基于云存儲的電力系統訪問控制方案設計

，，，

( 1.貴州電網有限責任公司 電力調度控制中心， 貴陽 550002；2.貴州電網有限責任公司 貴陽供電局， 貴陽 550002； 3.貴州電網有限責任公司 興義供電局，貴州 興義 562400)

基于云存儲的電力系統訪問控制方案設計

陳勝1，劉曉放1，張承模2，王家軍3

( 1.貴州電網有限責任公司電力調度控制中心，貴陽550002；2.貴州電網有限責任公司貴陽供電局，貴陽550002； 3.貴州電網有限責任公司興義供電局，貴州興義562400)

電力系統是一個由多個子系統構成的綜合性系統，作為一個能夠實現海量數據處理同時具有高實時性、高可靠性的管理控制平臺，需要電力系統能夠實現對所轄多個子系統進行復雜、細密、大范圍的訪問控制，這些條件要求能夠設計出合理有效的訪問控制模型;為了實現安全、可靠、高效的電力系統訪問控制提出了將傳統電力系統同云存儲平臺相結合的訪問控制方案，通過云存儲平臺對數據進行存取可以達到大數據量、均衡負載、安全可靠的目的；通過添加可信度因子構建訪問控制模型，根據不同用戶的可行度計算值分配給以不同的權限，匹配其可操作的資源，實現了對于用戶操作對象的細化識別。

云存儲；電力系統；可信度；訪問控制

0 引言

隨著經濟社會的高速發展，電網已經成為了國家能源產業鏈條上的一個重要環節，更是一個國家國力的重要體現。各行各業的生產運營都高度依賴電力的可靠供應，是否能夠提高電網系統的供電可靠性以及供電質量顯得至關重要。經過電力工作者們的不斷研究探索，智能電網概念應運而生，其所具有的高效、安全、可靠、交互性強等特征為電網的發展指明了未來的方向。智能電網所具有的更強的信息流和業務流的融合能力大大提升了電網的堅強性同時具有更好的信息共享性與交互性。而能否構建一個有效可靠的智能電網的重要基礎就是信息平臺的搭建。

云存儲和云計算作為一個全面的IT解決方案，以提供服務的方式為用戶提供強大的存儲和計算能力[1-3]。云存儲技術在云計算的基礎上，采用網絡技術、文件分布式技術、集群技術、訪問控制相結合的方法將數目龐大的下層存儲設備進行集成，為上層提供透明可靠的數據存儲服務。其可以解決海量數據的存儲和維護問題，能夠為系統提供實時、可靠、安全的數據存儲服務[4]。為了提高電力系統的訪問效率與容量，提出了基于云存儲的電力系統訪問控制方案。首先構建一個基于云存儲的智能配電運營系統，提供了安全、可靠、高效、大容量的電力控制平臺；隨后引入可信度因子對每一個訪問用戶進行可行度計算，以確定其所擁有的權限，匹配相應資源。

本文的結構安排如下，首先介紹了云存儲的結構模型，構建了基于云存儲的智能配電運營系統，隨后提出了可信度因子，通過計算不同用戶可信度進行訪問控制，緊接著提出了基于云存儲的電力系統訪問控制方案設計。最后通過實驗進行了驗證與分析并給出結論。

1 云存儲的結構模型

1.1 云存儲基礎構型

與經典的存儲系統模型所不同，云存儲技術是將存儲數據與訪問業務服務都基于虛擬的應用軟件實現。一個標準的云存儲系統的結構框架自上而下可以簡化為：訪問層、應用接口層、基礎管理層和存儲層。其基本的體系結構如圖1所示[5-8]。

圖1 云存儲系統結構模型

其每一層都擁有不同的功能，在整個系統中分配著不同的作用：

1)訪問層。該層給所有訪問用戶進行授權以登錄云存儲系統，并使用相應的云存儲服務。

2)應用接口層。應用接口層是整個系統中適應性最強的部分，可以根據各類不同的具體業務需求進行應用接口開發，針對性地提供專業性的服務。

3)基礎管理層。這一層是云存儲系統中最為核心的部分，其技術實現也最為難辦。這一層綜合使用多種技術協調云端的各類不同設備之間的同步操作，使得 各類設備能夠根據外部需求提供一致的對外服務。

4)存儲層。作為云存儲系統的根基，存儲層是由各類具體的存儲于通信設備所組成的，為了實現該層的基礎功能需要搭建大量的計算機進行集群化計算實現虛擬管理。其中包含的大量存儲設備是分散的，并不是傳統模式的集中式，它們相互之間借助于網絡進行連接傳輸。

1.2 基于Hadoop的云存儲構型

圖2 HDFS體系結構示意圖

2 基于可信度的訪問控制模型

2.1 訪問控制

訪問控制技術是為了能夠實現系統的安全可靠，有效地監控每一位用戶對于目標資源的訪問并授予相應的權限，防止非法用戶對于系統資源的竊取與破壞[14]。訪問控制由主體、客體以及訪問控制策略這3個部分組成。主體指的是訪問的主動發起者，由他提出訪問或者使用目標系統中的特定資源，雖然他發起了訪問但是并不是一定執行。客體則是指可以被除自身外其他實體所訪問的目標對象，包括所有可悲操作的信息以及資源。訪問策略并不是實體的設備，而是規則集合，規定了操作的方式和約束條件。

2.2 可信度訪問控制

為了能夠動態地控制與調整從用戶發起請求到云存儲系統進行授權的整個生態周期，該文設計了如圖3所示的添加可信度的訪問控制架構。

圖3 可信度訪問控制框架示意圖

T(u)=ωATAT(u)+ωBTBT(u)

(1)

而用戶的基本可信度的關鍵因素與五個方面有關，分別是：靜態屬性、可信平臺、系統、安全設備以及應用軟件。假定這5個影響因子的權重分別為ω1，ω2，ω3，ω4，ω5，進一步可以計算得出用戶的基本可信度，計算公式如下：

AT(u)=ω1*t+ω2*(m1÷n1)+ω3*(m2÷n2)

+ω4*(m3÷n3)+ω5*(m4÷n4)(4-2)

(2)

其中：n1,n2,n3,n4分別表示平臺、系統、安全控制設備以及應用的操作數數目，而m1,m2,m3,m4則分別表示這其中的可信操作數目，而靜態可信度t由系統特性決定。

另一方面通過云存儲系統記錄并保存用戶的訪問行為，監控用戶完成任務的情況。用戶的訪問行為與任務處理結果可以分為正面與負面兩種情況，為了更加突出負面結果給系統造成的影響更大，在設計計算可信度時將正面結果的敏感值預定為vi=1，而另一方面將負面結果的敏感值預定為vi=-2，以體現出可信度的慢增驟降特性。由此，行為的可信度計算可以表示為：

BT(u)=∑vi÷∑|vi|(4-3)

(3)

3 基于云存儲的電力系統訪問控制方案

電力系統中的用戶角色可以分成系統管理人員、智能微網、用電用戶，當某一個用戶想對系統存儲于云端的資源發起訪問時首先通過云存儲端的可信度計算過程，通過計算得出的可信度與預設的閾值進行對比，根據相應的可信度分配以相應的操作權限。通過大量測試對比，可以假定系統管理人員的可信度閾值為0.8，智能微網的可信度閾值為0.7，而用電用戶閾值設置為0.6。

整個系統的訪問控制方法如下：

1)合法用戶Alice的訪問控制：用戶Alice進行登錄系統操作，提出某一項具體的操作請求，具體步驟設計如下：

(1)控制系統對用戶的身份進行確認，同時從云端搜集該用戶存儲于云端的操作記錄日志，如果目標身份認證通過則進行下一步操作，否則拒絕用戶登錄系統；

(2)根據系統從云端搜集的用戶操作記錄，依次分類出屬于平臺、系統、安全設備以及應用程序的操作數目，將該次計算操作轉移到目標文件處，根據合理預設的權重值，計算出用戶的最終可信度值；

(3)根據目標特征屬性匹配其所屬的用戶組，確定其可使用的相關操作；

(4)在系統數據庫中查詢用戶角色與所計算的可信度值，決定用戶組操作；

(5)根據用戶所屬用戶組與用戶所請求的操作進行對比，以確定該用戶是否可以進行相應操作；

(6)查詢云端數據庫，確定用戶對于該操作所擁有的權限；

(7)確認操作合理后，進行操作，否則拒絕，并將該次操作記錄的歷史文件存儲于云系統中。

2)非法用戶Bob的訪問控制：非法用戶Bob偽裝成合法用戶登錄系統，進行非法訪問操作請求。同合法用戶一樣，首先系統進行身份確認，但是由于其進行了偽裝，通過了系統認證，但是下一步計算用戶可信度時，由于其存儲于云端的操作記錄可信操作數低，計算出的最終可信度值大大低于正常用戶可信度，達不到其所屬用戶可信度值，系統根據這一可信度依據拒絕其進入系統，或者進入系統后不能達到高權限的操作。通過這種云端數據記錄與對比的方式實現對目標用戶的訪問控制。

4 實驗與分析

4.1 方案驗證與分析

由于采用了云存儲來實現海量數據的存儲以及通過可信度對目標用戶的訪問進行控制，實驗部分分別對系統的大數據存儲能力、吞吐量以及是否可有效進行訪問控制進行驗證分析。

首先搭建一個Hadoop集群以充分利用整個電力系統中的閑置資源，該實驗使用8臺計算機采用相同的配置構建了一個完全分布式的Hadoop集群。平臺一共由8個物理節點組成，其中一個作為Namenode，剩余7個作為Datanode，每一個節點的配置都是Intel(R)Core(TM)i3CPU,主頻2.27 GHz，內存大小4 G，使用的網絡帶寬100 Mbps。

由于Linux是唯一支持Hadoop的系統平臺，因此實驗采用Linux作為操作系統，所用Linux版本為Ubuntun12.04，JDK1.6版本。

在系統配置完成后，首先測試驗證了系統對于訪問數據的吞吐能力，插入一條大小為1 KB的數據，設置不同的數據量，測試其存儲速率。結果如圖4所示。

圖4 吞吐速率驗證結果

由圖4可以看出該系統具有很好的數據吞吐能力，同時隨著數據量的不斷提高其吞吐速率也隨著不斷增加，體現了云存儲方案集群化后的數據處理優勢。

由于系統需要從云存儲系統中讀取用戶存儲的訪問數據進行可信度的計算以對用戶的訪問行為進行控制，另一方面測試系統對于數據的讀取速率。結果如下圖5所示。

圖5 存儲速率驗證結果圖

由圖5可以看出該系統對于數據的讀取具有非常好的支持，其對于數據的讀取所花費的時間一直維持在一個較低的水平之下，但是隨著數據量的不斷增大其數據讀取時間也相應增加。

隨后我們對于系統是否可以進行用戶的訪問控制進行仿真驗證，首先通過仿真從云端讀取出用戶的訪問數據，通過計算后得出其可信度，反饋給訪問控制模塊。最終實現的系統會促進可信用戶的可信度不斷提升，而對于非法用戶其每次非法操作都會對其 后續可信度造成影響。在不同身份用戶進行訪問時其所對應的可信度如圖6所示。

圖6 不同用戶訪問可信度值

如圖6所示，在合法的用戶訪問電力系統時，根據其所計算出的可信度高于非法用戶的可信度值，且隨著訪問次數的增加，其每次的訪問記錄都會被存儲到云端，隨后的可信度計算會根據這些操作記錄進行判定。可以看出隨著操作次數的不斷增加，合法用戶的可信度不斷增加，而相反的對于非法用戶其可信度受其非法操作的影響可信度一直下降。結果表明系統有效實現了對于用戶訪問行為的控制管理目標。

4.2 方案不足

雖然該方案有效實現了對用戶訪問行為的控制管理并獲得了較高的吞吐量與速率，但是依然存在一些欠缺之處：

1)可信度計算依賴于權值的設置，只有設定合理的權值才能保證系統的穩定有效運行，兼容性不強；

2)云存儲系統的復雜度高、架構難度大，對于平臺遷移所產生的問題需要進一步研究。

5 結論

本文基于云存儲的高數據量處理能力，吞吐量快，讀取時間短的優勢結合可信度計算設計了基于云存儲的電力系統訪問控制方案。通過云存儲的方式將用戶的訪問記錄進行保存并在用戶訪問時進行提取以進行可信度計算，云存儲架構通過集群方式大大提高了系統的數據吞吐速率并降低了數據讀取時間，提高了系統效率。另一方面通過對用戶的特征并結合其過往操作記錄的可信度分析計算得出用戶的可信度，根據可信度進行相應的授權操作，有效實現了對不同用戶的訪問行為進行控制的目的。總結而言，該方案不但可以有效實現訪問控制，同時能夠極大提高系統效率，具有很好的發展前景。

[1]趙雪良. 電力云存儲中基于屬性和策略的訪問控制研究[D]. 保定:華北電力大學, 2014.

[2]甘玉芳. 面向智能電網云存儲的基于屬性角色的訪問控制研究[D].保定:華北電力大學, 2015.

[3]羅 超. 基于云存儲的智能配用電系統及其訪問控制方法研究[D]. 保定:華北電力大學, 2014.

[4]張鴻輝, 劉 偉, 李永強. 應用于電網企業的云存儲訪問控制增強策略[J]. 計算機應用與軟件, 2014(2):17-20.

[5]冉 軍. 基于云存儲的智能電網訪問控制研究[D].保定:華北電力大學, 2014.

[6]關志濤, 楊亭亭, 徐茹枝,等. 面向云存儲的基于屬性加密的多授權中心訪問控制方案[J]. 通信學報, 2015, 36(6):116-126.

[7]明 鏡. 智能配電網云存儲中基于屬性的訪問控制研究[D].保定:華北電力大學, 2015.

[8]厲優棟. 基于電力系統統一平臺的訪問控制機制的研究與實現[D]. 上海:上海交通大學, 2012.

[9]王保義, 王藍婧. 電力信息系統中基于屬性的訪問控制模型的設計[J]. 電力系統自動化, 2007, 31(7):81-84.

[10]王保義, 邱素改, 張少敏. 電力調度自動化系統中基于可信度的訪問控制模型[J]. 電力系統自動化, 2012, 36(12):76-81.

[11]張 強, 劉雪艷, 王維洲,等. 基于CP-ABE的智能電網訪問控制研究[J]. 計算機工程, 2014, 40(12):83-88.

[12]夏明超, 吳俊勇, 吳命利. 基于角色訪問控制在電力監控系統中的應用[J]. 電力系統及其自動化學報, 2008, 20(2):46-50.

[13]孫中偉, 張榮剛. 智能配電網通信系統訪問控制研究[J]. 電力系統保護與控制, 2010, 38(21):118-121.

[14]宋燕敏, 楊爭林, 曹榮章,等. 電力市場運營系統中的安全訪問控制[J]. 電力系統自動化, 2006, 30(7):80-84.

[15]孫中偉, 張榮剛. 智能配電網通信系統訪問控制研究[J]. 電力系統保護與控制, 2010, 38(21):118-121.

[16]丁 杰, 奚后瑋, 韓海韻,等. 面向智能電網的數據密集型云存儲策略[J]. 電力系統自動化, 2012, 36(12):66-70.

DesignofAccessControlSchemeforElectricSystemBasedonCloudStorage

Chen Sheng1，Liu Xiaofang1， Zhang Chengmo2， Wang Jiajun3

(1.Power Dispatching and Control Center, Guizhou Power Grid Co.,Ltd, Guiyang 550002, China；2.Guiyang Power Supply Bureau, Guizhou Power Grid Co.,Ltd., Guiyang 556000, China3.XingYi Power Supply Bureau, Guizhou Power Grid Co.,Ltd., Xingyi 562400, China)

Electric system is a comprehensive system which is composed of several subsystems, as to achieve a massive data processing control platform which has high real-time, high reliability, power system can realize complex, dense, large range of access control under the jurisdiction of a number of subsystems, these requirements can be designed a reasonable and effective access control model. In order to put forward the traditional access control power system with cloud storage platform combining access control scheme of power system security, reliability and efficiency, through the cloud storage platform for access to data can reach a large amount of data, load balancing, safe and reliable; through adding credibility factors to construct the access control model, according to the feasible degree the calculation of different users value assigned to a different authority, its operational resources, to achieve a detailed user operation object recognition.

cloud storage; electric system; reliability; access control

2017-04-17；

2017-05-03。

陳 勝(1986-)，男，貴州貴陽人，碩士，工程師，主要從事電力系統調度自動化方向的研究。

1671-4598(2017)10-0240-04

10.16526/j.cnki.11-4762/tp.2017.10.061

TP273

A