一种基于电力系统安全标签的强制访问控制方法

一种基于电力系统安全标签的强制访问控制方法
【专利摘要】本发明涉及一种基于电力系统安全标签的强制访问控制方法，将电力生产控制类系统中的安全标签判定体系与可信计算密码平台相结合的双控制体系，对系统访问请求进行双重判定，建立一种双备份、双保险的强制访问控制体系；解决了目前电力生产控制类系统安全标签体系面临的安全隐患，防止越权访问，且不容易被旁路。
【专利说明】一种基于电力系统安全标签的强制访问控制方法

【技术领域】
[0001]本发明涉及一种强制访问控制方法，具体涉及一种基于电力系统安全标签的强制访问控制方法。

【背景技术】
[0002]远程浏览业务现主要应用于省际跨域浏览业务中，当某省发起远程浏览请求时，携带用户身份标签的请求被转发到目的省代理服务器进行处理，在被确定是远程浏览服务请求后，查验其身份标签。
[0003]首先取出身份标签中的权限数据，同时在本地的安全标签中查找服务的权限数据，将两份标签的权限数据部分进行异或操作；如果权限不允许，拒绝此请求，同时向源端发送权限拒绝错误信息。如果验证通过，代理端处理安全标签的格式，并向SCADA服务器端发起建立安全认证接口请求，SCADA服务器端将再次验证代理发来的安全标签，验证过程同上。验证通过后，接受此请求，进行后续的流程处理。
[0004]如图2所示，远程浏览业务流程主要涵盖人机端、远端代理服务器、远端SCADA服务端等三个阶段，具体业务流程如下:
[0005]人机端:用户通过指纹登录，登录时通过验证用户的安全标签判定用户的合法身份；验证通过后，操作员发起远程浏览指令进入指纹验证；并向远程代理服务器发起连接请求；连接成功后，通过验证用户的安全标签来判别用户是否有发起连接请求的权限，如果有，则建立安全认证通讯接口，发送服务请求。
[0006]远端代理服务器:人机端向跨域远端代理发起连接请求，代理服务器响应该请求；代理服务器向本地SCADA端发起连接请求；人机端向跨域远端代理发起建立安全认证接口请求，请求中携带人机主体标签；远端代理解析访问请求，摘取人机主体标签；远端代理根据本地保存的客体标签数据，提取浏览服务的客体标签；远端代理将人机主体标签与浏览服务的客体标签权限进行异或运算；查看人机是否有权进行浏览服务，满足权限则接受此请求，否则拒绝此请求；远端代理向本地SCADA端发起建立安全认证接口请求，请求中携带转化后的主体标签；人机端向跨域远端代理发起服务连接请求，代理服务器响应此请求；代理服务器向本地SCADA端发起连接请求。
[0007]远端SCADA服务端:SCADA启动，注册服务总线；接收连接端的连接请求；验证代理端转换后的安全标签(验证代理是否有请求某种服务的权限)，通过后响应建立安全认证接口请求；接收代理服务器服务请求，生成远程浏览指令。
[0008]当操作员对电厂下发控制命令时，使用下发控制命令服务；控制命令下发后，人机端需要与SCADA服务器建立安全认证接口，携带安全标签的安全认证接口请求将被发送到SCADA服务器端，SCADA服务器端将定位用户安全标签的位置，并将操作员的权限的数据取出，同时查取本地的服务安全标签的权限数据，权限比对通过，则建立认证接口，提供后续的服务；否则，无法建立安全认证接口，将拒绝的错误的信息发送给人机端。
[0009]如图3所示，下发控制命令业务流程主要涵盖人机端、SCADA服务端两个阶段，具体业务流程如下:
[0010]人机端:用户通过指纹登录，在登录过程中，通过验证用户的安全标签来验证用户的合法身份；验证通过后，操作员准备发起控制指令，再次进行指纹验证；指纹验证后，向SCADA服务总线发起连接请求；连接成功后，验证用户的安全标签(验证用户是否有发起连接请求的权限)，通过后建立安全认证通讯接口 ；安全认证接口建立完毕，发送服务请求。
[0011]SCADA服务端:SCADA启动，注册服务总线；接受连接端连接请求；通过验证用户安全标签验证用户是否有请求某种服务的权限，通过后响应建立安全认证接口请求；接收人机端服务请求，生成控制指令。
[0012]通过安全管理员对系统中的主体、客体进行统一标记，对主体进行授权，配置一致的安全策略，并确保标记、授权和安全策略的数据完整性。
[0013]如图2所示，系统在初始化过程中，可信安全管理中心需要对系统中的所有主体和客体实施身份管理、标记管理、授权管理和策略管理。身份管理确定系统中的所有合法用户的身份、工作密钥及证书等与安全相关的内容；标记管理是根据业务系统的需要，结合客体资源的重要程度确定系统中所有客体资源的安全级，生成全局客体标记列表。同时根据用户在业务系统中的权限和角色确定主体的安全标记，生成全局主体标记列表；授权管理根据系统需求和安全状况授予用户访问客体资源能力的权限，生成强制访问控制列表和特权列表；策略管理则是根据节点系统的需求生成和执行主体相关的策略，包括强制访问控制策略及级别改变检查策略等，供节点系统执行。除此之外，系统审计员需要通过可信安全管理中心制定系统审计策略，实施系统的审计管理。
[0014]利用上述方法，其系统中的安全标签由应用系统控制管理，执行机制容易被绕过，其管理控制的细粒度、扩展性和定制性不强，安全性差；安全标签制定的安全内容无法广泛适用，不能根据不同业务系统定制策略伸缩调整。


【发明内容】

[0015]针对现有技术的问题，本发明提出一种基于电力系统安全标签的强制访问控制方法，将电力生产控制类系统中的安全标签判定体系与可信计算密码平台相结合的双控制体系，对系统访问请求经过两种访问控制类别的双重判定。解决了目前电力生产控制类系统安全标签体系面临的安全隐患，使安全标签的安全强度大大提升，防止越权访问，且不容易被芳路。
[0016]本发明的目的是采用下述技术方案实现的:
[0017]一种基于电力系统安全标签的强制访问控制方法，所述方法将电力生产控制类系统中的安全标签判定体系与可信计算密码平台相结合的双控制体系，对系统访问请求进行双重判定，所述方法包括下述步骤:
[0018](I)可信计算密码平台截获客户端发送的系统访问请求；
[0019](2)提取请求中的主体安全标签，判定合法身份；
[0020](3)将所述可信计算密码平台合法的身份访问请求发送至安全标签判定体系，进行二次判定；
[0021](4)双控制体系判定通过后，接受系统访问请求。
[0022]优选的，所述可信计算密码平台部署在SCADA服务器上。
[0023]优选的，当任一种体系功能失效时，另一种访问控制体系阻止对电力生产控制类系统的越权访问。
[0024]优选的，所述步骤(I)中，所述系统访问请求包括:远端浏览服务和下发控制命令服务；除远端浏览服务和下发控制命令服务外，不控制其他服务。
[0025]优选的，所述步骤(2)包括，可信计算密码平台强制访问控制体系只对服务请求的第一个数据包截获，并进行权限判定；标记通过的服务请求和被标记的服务请求后续交互数据将不再判定。
[0026]进一步地，所述步骤⑵包括，当携带安全标签的访问请求到达时，首先经过可信计算密码平台提供的内核级高强度的访问控制的策略判定；根据被访问服务的端口号，在端口服务对应列表中寻找对应的服务名称；再通过服务名称在客体标签列表找中找到相应的客体标签；将主体安全标签中权限值与客体标签中的权限值进行异或运算；如果权限判定通过，放行数据包并进入下一步，否则，关闭此连接。
[0027]优选的，所述步骤(3)中，所述可信计算密码平台的判定，包括本地客体服务标签列表、端口与服务对应关系表和安全标签在请求数据包的实际偏移量及格式。
[0028]优选的，所述步骤(4)中双控制体系全部判定通过，则允许请求通过，任何一个双控制体系拒绝，则拒绝此访问请求。
[0029]与最接近的现有技术比，本发明的优异效果为:
[0030](I)本方案将电力生产控制类系统中的安全标签判定体系与可信计算密码平台的强制访问控制体系进行了有机的结合，对系统访问请求经过两种访问控制类别的双重判定，形成一种“双备份”的强制访问控制体系，即便任何一种访问控制体系由于某种原因导致功能失效，另外一种访问控制体系仍然可以阻止对电力生产控制类系统的越权访问，提高了安全性。
[0031](2)可信计算密码平台的强制访问控制体系提供内核级的安全访问控制，电力生产控制类系统安全标签体系提供基于应用级别的访问控。可信计算密码平台的强制访问控制体系粒度更细，处于操作系统底层，不容易被旁路，任何携带安全标签的服务的权限判定都会优先经过可信计算密码平台的判定，只有经过可信计算密码平台的判定通过之后，才会提交给应用级安全标签判定机制进行判定。

【专利附图】

【附图说明】
[0032]如图1所示为本发明提供的强制访问控制方法流程图；
[0033]如图2所示为【背景技术】提供的远程浏览业务流程图
[0034]如图3所示为【背景技术】提供的下发控制命令业务流程图
[0035]如图4所示为本发明提供的融合可信计算密码平台的强制访问控制体系
[0036]如图5所示为本发明提供的嵌入可信计算密码平台的远程浏览业务流程图
[0037]如图6所示为本发明提供的嵌入可信计算密码平台下发控制命令业务流程图

【具体实施方式】
[0038]下面结合附图对本发明作进一步详细说明。
[0039]如图1所示，一种基于电力系统安全标签的强制访问控制方法，将电力生产控制类系统中的安全标签判定体系与可信计算密码平台相结合的双控制体系，对系统访问请求进行双重判定，所述方法包括下述步骤:
[0040](I)可信计算密码平台截获客户端发送的系统访问请求；所述系统访问请求包括:远端浏览服务和下发控制命令服务；
[0041]除远端浏览服务和下发控制命令服务外，不控制其他服务。
[0042](2)提取请求中的主体安全标签，判定合法身份；可信计算密码平台强制访问控制体系只对服务请求的第一个数据包截获，并进行权限判定；标记通过的服务请求和被标记的服务请求后续交互数据将不再判定。
[0043]所述步骤(2)包括，当携带安全标签的访问请求到达时，首先经过可信计算密码平台提供的内核级高强度的访问控制的策略判定；根据被访问服务的端口号，在端口服务对应列表中寻找对应的服务名称；再通过服务名称在客体标签列表找中找到相应的客体标签；将主体安全标签中权限值与客体标签中的权限值进行异或运算；如果权限判定通过，放行数据包并进入下一步，否则，关闭此连接。
[0044]所述步骤(3)判定通过后，将所述可信计算密码平台访问请求发送至安全标签判定体系，进行二次判定；
[0045]所述步骤(3)中，所述可信计算密码平台的判定，包括本地客体服务标签列表、端口与服务对应关系表和安全标签在请求数据包的实际偏移量及格式。
[0046](4)双控制体系判定通过后，接受系统访问请求。所述步骤(4)中双控制体系全部判定通过，则允许请求通过，任何一个双控制体系拒绝，则拒绝此访问请求。
[0047]所述可信计算密码平台部署在SCADA服务器上；当任一种访问控制体系功能失效时，另一种访问控制体系仍然可以阻止对电力生产控制类系统的越权访问。
[0048]如图4 所示，用户(userI，权限标识 0x00000001，users2，权限标识 0x00000000)使用远端浏览服务(服务权限标识0x00000001)。
[0049]当userl使用远端浏览服务，当请求在代理端被截获之后，可信计算密码平台首先把userl的权限标识0x00000001取出来，同时在本地的服务列表中寻找远端浏览服务的权限标识，把远端浏览服务的权限标识0x00000001提取出来，将用户和服务的主客体权限标识进行异或运算(OxOOOOOOOlxor 0x00000001 = 0)，判定通过，则允许其发起远程浏览请求。
[0050]当user2发起远程浏览请求时，由于其权限判定不通过(0x00000000xor0x00000001 = I)，则不允许其发起远程浏览请求。
[0051]如图5所示，远程浏览业务主要用于省际跨域浏览业务，当某省发起远程浏览请求时，携带用户的身份标签的请求将被转发到目的省的代理服务器进行处理，目的省的代理服务器将收到的请求分析处理。确定是远程浏览服务请求之后，则查验其身份标签。首先将身份标签中权限数据取出，同时在本地的安全标签中查找服务的权限数据，将两份标签的权限数据部分进行异或操作，如果权限不允许，则拒绝此请求，并向源端发送权限拒绝错误信息。如果验证通过，代理端将安全标签进行格式处理后向SCADA服务器端发起建立安全认证接口请求，SCADA服务器端的可信计算密码平台将首先对此应用标签进行策略判定，如果判定通过再提交给应用级安全标签判定机制进行二次判定。任何一种判定机制判定不通过，都将拒绝此请求。验证通过后，接受此请求，进行后续的本地业务流程处理。
[0052]嵌入可信计算密码平台的远程浏览服务的主要业务流程如下:
[0053]人机端:
[0054]A.用户通过指纹登录，在登录过程中要验证用户的安全标签，验证用户的合法身份)；
[0055]B.验证通过后，操作员准备发起远程浏览指令，再次进行指纹验证；
[0056]C.指纹验证后，向远程代理服务器发起连接请求；
[0057]D.连接成功后，验证用户的安全标签(验证用户是否有发起连接请求的权限)，通过后建立安全认证通讯接口；
[0058]E.安全认证接口建立完毕，发送服务请求。
[0059]远端代理服务器:
[0060]A.人机端向跨域远端代理发起连接请求，代理服务器响应此请求；
[0061]B.代理服务器向本地SCADA端发起连接请求；
[0062]C.人机端向跨域远端代理发起建立安全认证接口请求，请求中携带人机主体标签；
[0063]D.远端代理解析访问请求，摘取人机主体标签；
[0064]E.远端代理根据本地保存的客体标签数据，提取浏览服务的客体标签；
[0065]F.远端代理将人机主体标签与浏览服务的客体标签权限进行异或运算；
[0066]G.查看人机是否有权进行浏览服务，满足权限则接受此请求，否则拒绝此请求；
[0067]H.远端代理向本地SCADA端发起建立安全认证接口请求，请求中携带转化后的主体标签；
[0068]1.人机端向跨域远端代理发起服务连接请求，代理服务器响应此请求；
[0069]J.代理服务器向本地SCADA端发起连接请求。
[0070]远端SCADA服务端:
[0071]A.SCADA启动，注册服务总线；
[0072]B.接受连接端连接请求；
[0073]C.可信计算密码平台首先截获安全认证接口建立请求，通过验证代理端转换后的安全标签判定代理是否有请求某种服务的权限；
[0074]D.通过后提交应用级安全标签进行再次验证；
[0075]E.双强制访问控制策略全部验证通过后，响应建立安全认证接口请求；
[0076]F.接收代理服务器服务请求，生成远程浏览指令。
[0077]如图6所示，当操作员对电厂下发控制命令时需要使用下发控制命令服务。操作员下发控制命令之后，人机端与SCADA服务器建立安全认证接口，携带安全标签的安全认证接口请求将被发送到SCADA服务器端，SCADA服务器端的可信计算密码平台将首先对此应用标签进行策略判定，可信计算密码平台将定位用户安全标签的位置，并将操作员的权限的数据取出，同时查取本地的服务安全标签的权限数据，进行权限数据的比对，权限比对通过，将提交给应用级安全标签判定机制进行二次判定；验证通过后，接受此请求，建立认证接口，提供后续的服务。任何一种判定机制判定不通过，都将拒绝访问请求。
[0078]嵌入可信计算密码平台的下发控制命令服务的工作流程如下:
[0079]人机端:
[0080]A.用户通过指纹登录，在登录过程中要验证用户的安全标签(验证用户的合法身份)；
[0081]B.验证通过后，操作员准备发起控制指令，再次进行指纹验证；
[0082]C.指纹验证后，向SCADA服务总线发起连接请求；
[0083]D.连接成功后，验证用户的安全标签(验证用户是否有发起连接请求的权限)，通过后建立安全认证通讯接口；
[0084]E.安全认证接口建立完毕，发送服务请求。
[0085]SCADA 服务端:
[0086]A.SCADA启动，注册服务总线；
[0087]B.接受连接端连接请求；
[0088]C.可信计算密码平台首先截获安全认证接口建立请求，验证请求中携带的安全标签(验证用户是否有请求某种服务的权限)；
[0089]D.通过后提交应用级安全标签进行再次验证；
[0090]E.双强制访问控制策略全部验证通过后，响应建立安全认证接口请求；
[0091]F.接收人机端服务请求，生成控制指令。
[0092]最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员依然可以对本发明的【具体实施方式】进行修改或者等同替换，而这些未脱离本发明精神和范围的任何修改或者等同替换，其均在申请待批的本发明的权利要求保护范围之内。
【权利要求】
1.一种基于电力系统安全标签的强制访问控制方法，所述方法将电力生产控制类系统中的安全标签判定体系与可信计算密码平台相结合的双控制体系，对系统访问请求进行双重判定，其特征在于，所述方法包括下述步骤: (1)可信计算密码平台截获客户端发送的系统访问请求； (2)提取请求中的主体安全标签，判定合法身份； (3)将所述可信计算密码平台合法的身份访问请求发送至安全标签判定体系，进行二次判定； (4)双控制体系判定通过后，接受系统访问请求。
2.如权利要求1所述的强制访问控制方法，其特征在于，所述可信计算密码平台部署在SCADA服务器上。
3.如权利要求1所述的强制访问控制方法，其特征在于，所述方法包括，当任一种体系功能失效时，另一种访问控制体系阻止对电力生产控制类系统的越权访问。
4.如权利要求1所述的强制访问控制方法，其特征在于，所述步骤(I)中，所述系统访问请求包括:远端浏览服务和下发控制命令服务； 除远端浏览服务和下发控制命令服务外，不控制其他服务。
5.如权利要求1所述的强制访问控制方法，其特征在于，所述步骤⑵包括，可信计算密码平台强制访问控制体系只对服务请求的第一个数据包截获，并进行权限判定；标记通过的服务请求和被标记的服务请求后续交互数据将不再判定。
6.如权利要求1所述的强制访问控制方法，其特征在于，所述步骤⑵包括，当携带安全标签的访问请求到达时，首先经过可信计算密码平台提供的内核级高强度的访问控制的策略判定；根据被访问服务的端口号，在端口服务对应列表中寻找对应的服务名称；再通过服务名称在客体标签列表找中找到相应的客体标签；将主体安全标签中权限值与客体标签中的权限值进行异或运算；如果权限判定通过，放行数据包并进入下一步，否则，关闭此连接。
7.如权利要求1所述的强制访问控制方法，其特征在于，所述步骤(3)中，所述可信计算密码平台的判定，包括本地客体服务标签列表、端口与服务对应关系表和安全标签在请求数据包的实际偏移量及格式。
8.如权利要求1所述的强制访问控制方法，其特征在于，所述步骤(4)中双控制体系全部判定通过，则允许请求通过，任何一个双控制体系拒绝，则拒绝此访问请求。
【文档编号】H04L9/32GK104504340SQ201410821099
【公开日】2015年4月8日 申请日期:2014年12月25日 优先权日:2014年12月25日
【发明者】王志皓, 郭子明, 赵保华, 宋磊, 杨博龙, 邢金, 戚岳, 李新鹏, 刘军娜, 阎博 申请人:国家电网公司, 中国电力科学研究院, 国网冀北电力有限公司