本發(fā)明涉及電力物聯(lián)網(wǎng)，具體而言，涉及一種電力物聯(lián)網(wǎng)的零信任訪問控制方法及裝置。

背景技術(shù)：

1、當(dāng)前，電力物聯(lián)網(wǎng)呈現(xiàn)終端設(shè)備分布范圍廣，終端設(shè)備類型多。同時由于電力物聯(lián)網(wǎng)接入的終端設(shè)備多且難以管控。不同終端設(shè)備的網(wǎng)絡(luò)攻擊手法多樣，難以防護(hù)。若電力終端設(shè)備接入電力業(yè)務(wù)系統(tǒng)后被惡意攻擊將會導(dǎo)致電力業(yè)務(wù)系統(tǒng)無法正常工作，給用電安全帶來極大的影響。因此，現(xiàn)如今大多電力公司都會引入零信任架構(gòu)在電力物聯(lián)網(wǎng)終端設(shè)備和電力業(yè)務(wù)系統(tǒng)的接入與訪問中。

2、但現(xiàn)有的用于電力物聯(lián)網(wǎng)的訪問控制方法中，大多通過終端標(biāo)識對終端設(shè)備進(jìn)行可信度量，但這種方法度量標(biāo)準(zhǔn)較為單一，無法滿足終端設(shè)備的完整安全狀態(tài)度量。同時對于終端的訪問控制策略，也大多僅通過簡單的信任等級劃分，而并沒有從具體的數(shù)據(jù)進(jìn)行信任系數(shù)和安全畫像的生成，從而使最終得出的訪問控制策略的可靠性不足，導(dǎo)致對于電力互聯(lián)網(wǎng)與電力業(yè)務(wù)系統(tǒng)之間的訪問控制未能達(dá)到理想效果，對于終端接入系統(tǒng)的安全保障性不足。

3、針對上述的問題，目前尚未提出有效的解決方案。

技術(shù)實現(xiàn)思路

1、本發(fā)明實施例提供了一種電力物聯(lián)網(wǎng)的零信任訪問控制方法及裝置，以至少解決現(xiàn)有技術(shù)中電力物聯(lián)網(wǎng)的訪問控制方式，大多通過終端標(biāo)識對終端設(shè)備進(jìn)行可信度量，度量標(biāo)準(zhǔn)比較單一，無法滿足終端設(shè)備的完整安全狀態(tài)度量，存在安全隱患的技術(shù)問題。

2、根據(jù)本發(fā)明實施例的一個方面，提供了一種電力物聯(lián)網(wǎng)的零信任訪問控制方法，包括：獲取電力物聯(lián)網(wǎng)所接入的終端設(shè)備的設(shè)備信息和所述終端設(shè)備的通信鏈路安全狀態(tài)信息，其中，所述設(shè)備信息至少包括：硬件信息、系統(tǒng)配置信息、物理地址信息、地理坐標(biāo)信息以及網(wǎng)絡(luò)地址信息；對所述設(shè)備信息進(jìn)行整合，得到所述終端設(shè)備的終端指紋信息；獲取所述終端設(shè)備與所述電力物聯(lián)網(wǎng)的歷史交互數(shù)據(jù)；根據(jù)所述終端指紋信息、所述通信鏈路安全狀態(tài)信息以及所述歷史交互數(shù)據(jù)確定所述終端設(shè)備的信任量化系數(shù)和安全狀態(tài)畫像；根據(jù)所述信任量化系數(shù)和所述安全狀態(tài)畫像確定所述終端設(shè)備的身份信息和對所述電力物聯(lián)網(wǎng)的訪問控制策略；根據(jù)所述身份信息和所述訪問控制策略確定所述終端設(shè)備的權(quán)限等級；根據(jù)所述權(quán)限等級對所述終端設(shè)備接入所述電力物聯(lián)網(wǎng)系統(tǒng)中電力業(yè)務(wù)系統(tǒng)進(jìn)行訪問控制。

3、可選地，對所述設(shè)備信息進(jìn)行整合，得到所述終端設(shè)備的終端指紋信息，包括：通過多維主成分分析方式對所述設(shè)備信息進(jìn)行特征提取，以得到所述設(shè)備信息對應(yīng)的初始終端指紋特征信息；確定所述初始終端指紋特征信息中每一個特征的特征值；對所述每一個特征的特征值進(jìn)行映射，得到所述每一個特征的映射值；對所述每一個特征的映射值進(jìn)行降維處理，得到所述終端指紋特征信息。

4、可選地，對所述每一個特征的映射值進(jìn)行降維處理，得到所述終端指紋特征信息，包括：確定所述每一個特征的權(quán)重；對所述每一個特征的映射值按照所述權(quán)重進(jìn)行加權(quán)處理，得到加權(quán)處理后的所述映射值；將加權(quán)處理后的所述映射值進(jìn)行累加處理，得到累加處理后的所述映射值；對所述映射值進(jìn)行降維處理，得到所述終端指紋特征信息。

5、可選地，獲取電力物聯(lián)網(wǎng)所接入的終端設(shè)備的通信鏈路安全狀態(tài)信息，包括：利用所述電力物聯(lián)網(wǎng)中的網(wǎng)關(guān)對所述終端設(shè)備連接的每一條通信鏈路進(jìn)行安全狀態(tài)監(jiān)測，得到監(jiān)測結(jié)果；在所述監(jiān)測結(jié)果表示所述通信鏈路上的數(shù)據(jù)流中攜帶的網(wǎng)絡(luò)通信協(xié)議模型中至少一層的協(xié)議特征值與該層對應(yīng)的協(xié)議標(biāo)準(zhǔn)特征值不一致時，生成通信鏈路安全狀態(tài)事件；獲取所述終端設(shè)備的設(shè)備漏洞信息；將所述通信鏈路安全狀態(tài)事件和所述設(shè)備漏洞信息進(jìn)行整合，得到所述通信鏈路安全狀態(tài)信息。

6、可選地，根據(jù)所述終端指紋信息、所述通信鏈路安全狀態(tài)信息以及所述歷史交互數(shù)據(jù)確定所述終端設(shè)備的信任量化系數(shù)，包括：根據(jù)所述終端指紋信息、所述通信鏈路安全狀態(tài)信息以及所述歷史交互數(shù)據(jù)生成第一信任偏移系數(shù)；對所述第一信任偏移系數(shù)進(jìn)行量化處理，以得到初始量化系數(shù)；基于所述歷史交互信息獲取第一反饋信息和第二反饋信息，其中，所述第一反饋信息是所述終端設(shè)備被所述電力業(yè)務(wù)系統(tǒng)所允許的訪問行為，所述第二反饋信息是所述終端設(shè)備被所述電力業(yè)務(wù)系統(tǒng)所拒絕的訪問行為；對所述第一反饋信息和所述第二反饋信息進(jìn)行加權(quán)處理，得到量化偏移值；根據(jù)所述終端指紋信息和所述通信鏈路安全狀態(tài)信息生成第二信任偏移系數(shù)；根據(jù)所述量化偏移值和所述第二信任偏移系數(shù)對所述初始量化系數(shù)進(jìn)行偏移處理，得到所述信任量化系數(shù)。

7、可選地，根據(jù)所述量化偏移值和所述第二信任偏移系數(shù)對所述初始量化系數(shù)值進(jìn)行偏移處理，得到所述信任量化系數(shù)，包括：根據(jù)所述量化偏移值和所述第二信任偏移系數(shù)，通過預(yù)定公式得到所述信任量化系數(shù)，其中，所述預(yù)定公式為：b表示所述信任量化系數(shù)，qmax表示根據(jù)所述初始量化系數(shù)劃分權(quán)限對應(yīng)系數(shù)子區(qū)間的最大值，qmin表示根據(jù)所述初始量化系數(shù)劃分權(quán)限對應(yīng)系數(shù)子區(qū)間的最小值，k1表示所述第一反饋信息的數(shù)量，k2表示所述第二反饋信息的數(shù)量，r表示所述量化偏移值，s表示所述第二信任偏移系數(shù)，ρ表示修正系數(shù)。

8、可選地，根據(jù)所述終端指紋信息、所述通信鏈路安全狀態(tài)信息以及所述歷史交互數(shù)據(jù)確定所述終端設(shè)備的安全狀態(tài)畫像，包括：根據(jù)所述終端指紋信息、所述通信鏈路安全狀態(tài)信息以及所述歷史交互數(shù)據(jù)確定與所述終端設(shè)備相關(guān)聯(lián)的安全風(fēng)險；根據(jù)所述終端指紋信息、所述通信鏈路安全狀態(tài)信息、所述歷史交互數(shù)據(jù)以及所述安全風(fēng)險進(jìn)行屬性標(biāo)簽化，得到基本狀態(tài)畫像；根據(jù)所述終端指紋信息、所述通信鏈路安全狀態(tài)信息、所述歷史交互數(shù)據(jù)以及所述基本狀態(tài)畫像對所述安全風(fēng)險進(jìn)行歸類處理，以確定風(fēng)險原因；根據(jù)所述風(fēng)險原因和所述安全風(fēng)險生成所述安全狀態(tài)畫像。

9、可選地，根據(jù)所述信任量化系數(shù)和所述安全狀態(tài)畫像確定所述終端設(shè)備的身份信息和對所述電力物聯(lián)網(wǎng)的訪問控制策略，包括：利用預(yù)設(shè)二級決策樹中的第一級決策樹對所述信任量化系數(shù)和所述安全狀態(tài)畫像進(jìn)行預(yù)處理，得到預(yù)處理后的所述信任量化系數(shù)和所述安全狀態(tài)畫像；利用所述預(yù)設(shè)二級決策樹中的第二級決策樹對預(yù)處理后的所述信任量化系數(shù)和所述安全狀態(tài)畫像進(jìn)行信任評估，以得到所述身份信息和所述訪問控制策略。

10、根據(jù)本發(fā)明實施例的另外一個方面，還提供了一種電力物聯(lián)網(wǎng)的零信任訪問控制裝置，包括：第一獲取單元，用于獲取電力物聯(lián)網(wǎng)所接入的終端設(shè)備的設(shè)備信息和所述終端設(shè)備的通信鏈路安全狀態(tài)信息，其中，所述設(shè)備信息至少包括：硬件信息、系統(tǒng)配置信息、物理地址信息、地理坐標(biāo)信息以及網(wǎng)絡(luò)地址信息；整合單元，用于對所述設(shè)備信息進(jìn)行整合，得到所述終端設(shè)備的終端指紋信息；第二獲取單元，用于獲取所述終端設(shè)備與所述電力物聯(lián)網(wǎng)的歷史交互數(shù)據(jù)；第一確定單元，用于根據(jù)所述終端指紋信息、所述通信鏈路安全狀態(tài)信息以及所述歷史交互數(shù)據(jù)確定所述終端設(shè)備的信任量化系數(shù)和安全狀態(tài)畫像；第二確定單元，用于根據(jù)所述信任量化系數(shù)和所述安全狀態(tài)畫像確定所述終端設(shè)備的身份信息和對所述電力物聯(lián)網(wǎng)的訪問控制策略；第三確定單元，用于根據(jù)所述身份信息和所述訪問控制策略確定所述終端設(shè)備的權(quán)限等級；訪問控制單元，用于根據(jù)所述權(quán)限等級對所述終端設(shè)備接入所述電力物聯(lián)網(wǎng)系統(tǒng)中電力業(yè)務(wù)系統(tǒng)進(jìn)行訪問控制。

11、可選地，所述整合單元，包括：提取模塊，用于通過多維主成分分析方式對所述設(shè)備信息進(jìn)行特征提取，以得到所述設(shè)備信息對應(yīng)的初始終端指紋特征信息；第一確定模塊，用于確定所述初始終端指紋特征信息中每一個特征的特征值；映射模塊，用于對所述每一個特征的特征值進(jìn)行映射，得到所述每一個特征的映射值；降維處理模塊，用于對所述每一個特征的映射值進(jìn)行降維處理，得到所述終端指紋特征信息。

12、可選地，所述映射模塊，包括：確定子模塊，用于確定所述每一個特征的權(quán)重；加權(quán)處理子模塊，用于對所述每一個特征的映射值按照所述權(quán)重進(jìn)行加權(quán)處理，得到加權(quán)處理后的所述映射值；累加處理子模塊，用于將加權(quán)處理后的所述映射值進(jìn)行累加處理，得到累加處理后的所述映射值；降維處理子模塊，用于對所述映射值進(jìn)行降維處理，得到所述終端指紋特征信息。

13、可選地，所述第一獲取單元，包括：監(jiān)測模塊，用于利用所述電力物聯(lián)網(wǎng)中的網(wǎng)關(guān)對所述終端設(shè)備連接的每一條通信鏈路進(jìn)行安全狀態(tài)監(jiān)測，得到監(jiān)測結(jié)果；第一生成模塊，用于在所述監(jiān)測結(jié)果表示所述通信鏈路上的數(shù)據(jù)流中攜帶的網(wǎng)絡(luò)通信協(xié)議模型中至少一層的協(xié)議特征值與該層對應(yīng)的協(xié)議標(biāo)準(zhǔn)特征值不一致時，生成通信鏈路安全狀態(tài)事件；第一獲取模塊，用于獲取所述終端設(shè)備的設(shè)備漏洞信息；整合模塊，用于將所述通信鏈路安全狀態(tài)事件和所述設(shè)備漏洞信息進(jìn)行整合，得到所述通信鏈路安全狀態(tài)信息。

14、可選地，所述第一確定單元，包括：第二生成模塊，用于根據(jù)所述終端指紋信息、所述通信鏈路安全狀態(tài)信息以及所述歷史交互數(shù)據(jù)生成第一信任偏移系數(shù)；量化處理模塊，用于對所述第一信任偏移系數(shù)進(jìn)行量化處理，以得到初始量化系數(shù)；第二獲取模塊，用于基于所述歷史交互信息獲取第一反饋信息和第二反饋信息，其中，所述第一反饋信息是所述終端設(shè)備被所述電力業(yè)務(wù)系統(tǒng)所允許的訪問行為，所述第二反饋信息是所述終端設(shè)備被所述電力業(yè)務(wù)系統(tǒng)所拒絕的訪問行為；加權(quán)處理模塊，用于對所述第一反饋信息和所述第二反饋信息進(jìn)行加權(quán)處理，得到量化偏移值；第一生成模塊，用于根據(jù)所述終端指紋信息和所述通信鏈路安全狀態(tài)信息生成第二信任偏移系數(shù)；偏移處理模塊，用于根據(jù)所述量化偏移值和所述第二信任偏移系數(shù)對所述初始量化系數(shù)進(jìn)行偏移處理，得到所述信任量化系數(shù)。

15、可選地，所述偏移處理模塊，包括：獲取子模塊，用于根據(jù)所述量化偏移值和所述第二信任偏移系數(shù)，通過預(yù)定公式得到所述信任量化系數(shù)，其中，所述預(yù)定公式為：b表示所述信任量化系數(shù)，qmax表示根據(jù)所述初始量化系數(shù)劃分權(quán)限對應(yīng)系數(shù)子區(qū)間的最大值，qmin表示根據(jù)所述初始量化系數(shù)劃分權(quán)限對應(yīng)系數(shù)子區(qū)間的最小值，k1表示所述第一反饋信息的數(shù)量，k2表示所述第二反饋信息的數(shù)量，r表示所述量化偏移值，s表示所述第二信任偏移系數(shù)，ρ表示修正系數(shù)。

16、可選地，所述第一確定單元，包括：第一確定模塊，用于根據(jù)所述終端指紋信息、所述通信鏈路安全狀態(tài)信息以及所述歷史交互數(shù)據(jù)確定與所述終端設(shè)備相關(guān)聯(lián)的安全風(fēng)險；標(biāo)簽化模塊，用于根據(jù)所述終端指紋信息、所述通信鏈路安全狀態(tài)信息、所述歷史交互數(shù)據(jù)以及所述安全風(fēng)險進(jìn)行屬性標(biāo)簽化，得到基本狀態(tài)畫像；歸類處理模塊，用于根據(jù)所述終端指紋信息、所述通信鏈路安全狀態(tài)信息、所述歷史交互數(shù)據(jù)以及所述基本狀態(tài)畫像對所述安全風(fēng)險進(jìn)行歸類處理，以確定風(fēng)險原因；第二生成模塊，用于根據(jù)所述風(fēng)險原因和所述安全風(fēng)險生成所述安全狀態(tài)畫像。

17、可選地，所述第二確定單元，包括：預(yù)處理模塊，用于利用預(yù)設(shè)二級決策樹中的第一級決策樹對所述信任量化系數(shù)和所述安全狀態(tài)畫像進(jìn)行預(yù)處理，得到預(yù)處理后的所述信任量化系數(shù)和所述安全狀態(tài)畫像；信任評估模塊，用于利用所述預(yù)設(shè)二級決策樹中的第二級決策樹對預(yù)處理后的所述信任量化系數(shù)和所述安全狀態(tài)畫像進(jìn)行信任評估，以得到所述身份信息和所述訪問控制策略。

18、根據(jù)本發(fā)明實施例的另外一個方面，還提供了一種計算機(jī)可讀存儲介質(zhì)，所述計算機(jī)可讀存儲介質(zhì)包括存儲的程序，其中，所述程序執(zhí)行上述中任意一項所述的電力物聯(lián)網(wǎng)的零信任訪問控制方法。

19、根據(jù)本發(fā)明實施例的另外一個方面，還提供了一種處理器，所述處理器用于運(yùn)行程序，其中，所述程序運(yùn)行時執(zhí)行上述中任意一項所述的電力物聯(lián)網(wǎng)的零信任訪問控制方法。

20、根據(jù)本發(fā)明實施例的另外一個方面，還提供了一種計算機(jī)程序產(chǎn)品，包括計算機(jī)指令，所述計算機(jī)指令被處理器執(zhí)行時執(zhí)行上述中任意一項所述的電力物聯(lián)網(wǎng)的零信任訪問控制方法。

21、在本發(fā)明實施例中，獲取電力物聯(lián)網(wǎng)所接入的終端設(shè)備的設(shè)備信息和終端設(shè)備的通信鏈路安全狀態(tài)信息，其中，設(shè)備信息至少包括：硬件信息、系統(tǒng)配置信息、物理地址信息、地理坐標(biāo)信息以及網(wǎng)絡(luò)地址信息；對設(shè)備信息進(jìn)行整合，得到終端設(shè)備的終端指紋信息；獲取終端設(shè)備與電力物聯(lián)網(wǎng)的歷史交互數(shù)據(jù)；根據(jù)終端指紋信息、通信鏈路安全狀態(tài)信息以及歷史交互數(shù)據(jù)確定終端設(shè)備的信任量化系數(shù)和安全狀態(tài)畫像；根據(jù)信任量化系數(shù)和安全狀態(tài)畫像確定終端設(shè)備的身份信息和對電力物聯(lián)網(wǎng)的訪問控制策略；根據(jù)身份信息和訪問控制策略確定終端設(shè)備的權(quán)限等級；根據(jù)權(quán)限等級對終端設(shè)備接入電力物聯(lián)網(wǎng)系統(tǒng)中電力業(yè)務(wù)系統(tǒng)進(jìn)行訪問控制。通過本發(fā)明提供的上述技術(shù)方案，實現(xiàn)了根據(jù)終端指紋信息、歷史交互數(shù)據(jù)和通信鏈路安全狀態(tài)信息生成終端設(shè)備的安全狀態(tài)畫像和信任量化系數(shù)，進(jìn)而根據(jù)安全狀態(tài)畫像和信任量化系數(shù)來確定終端設(shè)備對電力業(yè)務(wù)系統(tǒng)的訪問控制的目的，降低了對電力物聯(lián)網(wǎng)系統(tǒng)的安全隱患，進(jìn)而解決了現(xiàn)有技術(shù)中電力物聯(lián)網(wǎng)的訪問控制方式，大多通過終端標(biāo)識對終端設(shè)備進(jìn)行可信度量，度量標(biāo)準(zhǔn)比較單一，無法滿足終端設(shè)備的完整安全狀態(tài)度量，存在安全隱患的技術(shù)問題。