面向新一代調(diào)控系統(tǒng)業(yè)務(wù)場(chǎng)景的權(quán)限管理①

季惠英,彭 暉,3,宋奇兵,周 玲,馬 斌,陳 云

1(南瑞集團(tuán)有限公司(國(guó)網(wǎng)電力科學(xué)研究院有限公司),南京 211106)

2(國(guó)電南瑞科技股份有限公司,南京 211106)

3(智能電網(wǎng)保護(hù)和運(yùn)行控制國(guó)家重點(diǎn)實(shí)驗(yàn)室,南京 211106)

4(國(guó)網(wǎng)河北省電力有限公司,石家莊 050021)

2017年初國(guó)家電網(wǎng)有限公司提出研發(fā)新一代電網(wǎng)調(diào)度控制系統(tǒng)[1].在繼承現(xiàn)有電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)成果基礎(chǔ)上,新系統(tǒng)引入云計(jì)算、大數(shù)據(jù)及人工智能等新技術(shù),采用“物理分布、邏輯統(tǒng)一”的全新系統(tǒng)架構(gòu),部署“位置無(wú)關(guān)、權(quán)限約束、同景展示”的人機(jī)云終端,構(gòu)建具備“全、快、準(zhǔn)”特征的應(yīng)用功能,全面支撐新一代電力系統(tǒng)安全穩(wěn)定運(yùn)行[2-5].無(wú)論是系統(tǒng)架構(gòu)、人機(jī)交互方式的變化,還是新技術(shù)、新應(yīng)用的引入,對(duì)新一代調(diào)控系統(tǒng)安全防護(hù)提出了更高的要求,而業(yè)務(wù)安全是其重要環(huán)節(jié)之一.

分布式環(huán)境下,權(quán)限管理是保障系統(tǒng)業(yè)務(wù)安全的重要手段,主要功能包括身份認(rèn)證和訪問(wèn)控制.身份認(rèn)證通過(guò)密碼、數(shù)字證書(shū)、生物特征等認(rèn)證方式確認(rèn)用戶身份,解決“你是誰(shuí)”的問(wèn)題,避免非法用戶進(jìn)入系統(tǒng)[6,7];訪問(wèn)控制通過(guò)預(yù)定義的權(quán)限約束規(guī)則對(duì)用戶訪問(wèn)系統(tǒng)的能力進(jìn)行限制,解決“你能做什么”的問(wèn)題,避免用戶的非法操作[8,9].

近年來(lái),電網(wǎng)調(diào)度控制系統(tǒng)在安全防護(hù)方面已有較多研究,主要集中在網(wǎng)絡(luò)安全方面,側(cè)重于網(wǎng)絡(luò)邊界安全防護(hù)[10-13],而在業(yè)務(wù)安全防護(hù)方面研究較少.目前,國(guó)網(wǎng)范圍內(nèi)智能電網(wǎng)調(diào)度技術(shù)支持系統(tǒng)基礎(chǔ)平臺(tái)(簡(jiǎn)稱D5000 系統(tǒng))[14]使用廣泛,該平臺(tái)提供基于角色訪問(wèn)控制模型和基于資源訪問(wèn)控制模型的權(quán)限管理子系統(tǒng),為上層業(yè)務(wù)提供統(tǒng)一權(quán)限管理服務(wù),功能包括用戶管理、功能管理、角色管理、授權(quán)管理、權(quán)限鑒權(quán)等,保證了系統(tǒng)內(nèi)用戶對(duì)系統(tǒng)內(nèi)受控資源訪問(wèn)的安全性和可靠性.但是,該權(quán)限管理子系統(tǒng)存在以下不足:

(1)受控資源類(lèi)型以及受控資源實(shí)例數(shù)量支持有限,類(lèi)型只支持功能類(lèi)、表域特殊屬性類(lèi)、報(bào)表文件類(lèi)和圖形文件類(lèi),其中功能類(lèi)實(shí)例數(shù)≤200;

(2)受控資源定義維度單一,只支持系統(tǒng)級(jí)定義,沒(méi)有與業(yè)務(wù)應(yīng)用關(guān)聯(lián);

(3)未解決跨域業(yè)務(wù)安全防控問(wèn)題,只適用于單系統(tǒng)內(nèi)訪問(wèn)控制.

本文在深入分析新一代調(diào)控系統(tǒng)業(yè)務(wù)場(chǎng)景權(quán)限管理實(shí)際需求的基礎(chǔ)上,提出面向新一代調(diào)控系統(tǒng)業(yè)務(wù)場(chǎng)景的權(quán)限管理方案,詳細(xì)闡述了基于路徑的全局受控資源標(biāo)識(shí)定義方法、基于元數(shù)據(jù)的受控資源管理方法、基于規(guī)則引擎的多因素約束訪問(wèn)控制方法以及基于上下級(jí)關(guān)系的跨域訪問(wèn)控制方法關(guān)鍵技術(shù),研發(fā)實(shí)現(xiàn)了權(quán)限管理原型系統(tǒng),為保障新一代調(diào)控系統(tǒng)業(yè)務(wù)安全提供技術(shù)手段.

1 需求分析

新一代調(diào)控系統(tǒng)體系架構(gòu)的核心特征是“物理分布、邏輯統(tǒng)一”[2],建設(shè)方式如圖1所示:一是構(gòu)建模型數(shù)據(jù)中心,實(shí)現(xiàn)全網(wǎng)模型和數(shù)據(jù)的統(tǒng)一管理和按需使用,為全局分析決策提供同源同質(zhì)、時(shí)空多維的全局模型;二是創(chuàng)新建設(shè)分析決策中心,將原分散于各調(diào)控中心的分析決策功能相對(duì)集中部署;三是升級(jí)新架構(gòu)下的監(jiān)控系統(tǒng),支持全局監(jiān)視、作業(yè)自動(dòng)導(dǎo)航和所轄電網(wǎng)實(shí)時(shí)就地控制;四是構(gòu)建位置無(wú)關(guān)、權(quán)限約束、同景展示的人機(jī)云終端,支持調(diào)控人員本地、異地?zé)o差別監(jiān)視控制.

圖1 新一代調(diào)控系統(tǒng)架構(gòu)示意圖

與傳統(tǒng)智能電網(wǎng)調(diào)度控制系統(tǒng)相比,新一代調(diào)控系統(tǒng)在系統(tǒng)架構(gòu)、人機(jī)交互方式、業(yè)務(wù)組織方式、應(yīng)用功能特性上存在明顯的變化,這種變化對(duì)權(quán)限管理提出了新的挑戰(zhàn).

(1)系統(tǒng)架構(gòu)變化

新一代調(diào)控系統(tǒng)打破了以往智能電網(wǎng)調(diào)度控制系統(tǒng)的地域限制,由本地一套系統(tǒng)運(yùn)行模式轉(zhuǎn)變?yōu)榈乩砦恢脧V域分布的多套系統(tǒng)協(xié)同運(yùn)行模式.系統(tǒng)的這種廣域特性,要求用戶可以方便快捷的登錄其他異地系統(tǒng),或者在用戶無(wú)感知情況下在本系統(tǒng)中進(jìn)行跨域訪問(wèn)其他系統(tǒng),不受控的非法訪問(wèn)的影響范圍將從單系統(tǒng)擴(kuò)散到多系統(tǒng)中,因此新一代調(diào)控系統(tǒng)訪問(wèn)控制范圍需從單系統(tǒng)內(nèi)擴(kuò)大到多系統(tǒng)間.

(2)人機(jī)交互方式變化

新一代調(diào)控系統(tǒng)啟用了全新的云終端交互方式(人機(jī)云終端具有地理位置無(wú)關(guān)性)[15],這種方式打破了以往智能調(diào)度控制系統(tǒng)本地工作站模式,新一代調(diào)控系統(tǒng)中的模型數(shù)據(jù)中心、分析決策中心、監(jiān)控系統(tǒng)通過(guò)人機(jī)交互網(wǎng)在任意時(shí)刻、任意地點(diǎn)均可達(dá),這使得訪問(wèn)系統(tǒng)的用戶在地域、時(shí)間、業(yè)務(wù)等多個(gè)維度上變得不可控,客戶端環(huán)境因素變得復(fù)雜,環(huán)境約束成為權(quán)限管理不可忽略的一個(gè)方面,因此新一代調(diào)控系統(tǒng)訪問(wèn)控制維度需從業(yè)務(wù)維度擴(kuò)展到環(huán)境維度.

(3)業(yè)務(wù)組織方式的變化

新一代調(diào)控系統(tǒng)采用了全新的業(yè)務(wù)組織方式,業(yè)務(wù)概念包括功能、子場(chǎng)景和場(chǎng)景.功能是調(diào)控系統(tǒng)中包含數(shù)據(jù)輸入輸出和數(shù)據(jù)處理的過(guò)程;場(chǎng)景由各功能根據(jù)業(yè)務(wù)邏輯靈活組合而成,滿足不同調(diào)控機(jī)構(gòu)各業(yè)務(wù)的需求;子場(chǎng)景是場(chǎng)景中邏輯緊密的功能子集.復(fù)雜場(chǎng)景可包含多個(gè)子場(chǎng)景,簡(jiǎn)單場(chǎng)景可只包含一個(gè)子場(chǎng)景;功能及子場(chǎng)景均系統(tǒng)內(nèi)部署,場(chǎng)景可跨系統(tǒng)部署.這種新的業(yè)務(wù)組織方式,需要對(duì)系統(tǒng)受控資源的管理粒度更精細(xì)化,因此新一代調(diào)控系統(tǒng)訪問(wèn)控制粒度需從系統(tǒng)級(jí)別細(xì)化到業(yè)務(wù)場(chǎng)景級(jí)別.

(4)應(yīng)用功能特性變化

新一代調(diào)控系統(tǒng)應(yīng)用具備“全局”特征[5],模型全、數(shù)據(jù)全、功能全,這意味著系統(tǒng)將進(jìn)入大規(guī)模信息共享時(shí)代,信息急劇膨脹,資源種類(lèi)多、體量大且變化頻繁.這種應(yīng)用特性,使得受控資源管理的可擴(kuò)展性要求更高,因此新一代調(diào)控系統(tǒng)受控資源管理手段需要由靜態(tài)配置方式轉(zhuǎn)變?yōu)閯?dòng)態(tài)配置方式.

2 總體設(shè)計(jì)

根據(jù)新一代調(diào)控系統(tǒng)業(yè)務(wù)訪問(wèn)控制需求,權(quán)限管理軟件采用就地部署方式.該方式要求在模型數(shù)據(jù)中心、分析決策中心、監(jiān)控系統(tǒng)均獨(dú)立部署權(quán)限管理軟件,使用圖形化手段對(duì)系統(tǒng)內(nèi)部用戶、外部用戶、受控資源以及權(quán)限策略進(jìn)行管理,同時(shí)為業(yè)務(wù)提供透明訪問(wèn)接口,從業(yè)務(wù)角度為訪問(wèn)新一代調(diào)控系統(tǒng)關(guān)鍵資源提供安全保護(hù)機(jī)制.

2.1 功能架構(gòu)

該軟件功能架構(gòu)如圖2所示,包括受控資源管理、用戶權(quán)限配置以及用戶權(quán)限驗(yàn)證.

圖2 新一代調(diào)控系統(tǒng)權(quán)限軟件功能模塊示意圖

(1)受控資源管理

系統(tǒng)中任意需要訪問(wèn)控制的對(duì)象均可配置為受控資源,例如操作、數(shù)據(jù)、文件等.本文采用元數(shù)據(jù)管理方法,通過(guò)類(lèi)型、類(lèi)型擴(kuò)展屬性、實(shí)例、實(shí)例擴(kuò)展屬性、業(yè)務(wù)資源來(lái)描述受控資源信息,以適應(yīng)不斷新增的受控資源類(lèi)型以及實(shí)例,提高受控資源管理的靈活性和擴(kuò)展性.

(2)用戶權(quán)限配置

用戶權(quán)限配置采用基于角色訪問(wèn)控制模型和資源訪問(wèn)控制模型相結(jié)合的方法,定義用戶與角色的包含關(guān)系、用戶對(duì)受控資源的控制策略、角色對(duì)受控資源的控制策略.用戶最終的受控資源控制策略是用戶受控資源控制策略和用戶所包含角色的受控資源控制策略的合集,當(dāng)兩者存在沖突時(shí),以用戶受控資源控制策略為優(yōu)先.本文中,除考慮受控資源外,對(duì)用戶訪問(wèn)受控資源的時(shí)間特性和位置特性也進(jìn)行了管理,采用基于規(guī)則引擎方法定義權(quán)限生效的時(shí)間規(guī)則和位置規(guī)則并配置用戶與規(guī)則的關(guān)系,從而擴(kuò)展了訪問(wèn)控制約束的維度.

(3)用戶權(quán)限驗(yàn)證

根據(jù)用戶權(quán)限配置數(shù)據(jù),對(duì)每次用戶受控資源訪問(wèn)操作進(jìn)行權(quán)限驗(yàn)證,判斷給定的受控資源訪問(wèn)約束是否成立.在新一代調(diào)控系統(tǒng)中,用戶權(quán)限驗(yàn)證包括本地驗(yàn)證和跨域驗(yàn)證.本文采用基于上下級(jí)關(guān)系的跨域訪問(wèn)控制策略,實(shí)現(xiàn)“上級(jí)訪問(wèn)”,“下級(jí)訪問(wèn)”、“同級(jí)訪問(wèn)”以及“訪客訪問(wèn)”等多種跨域控制策略,將訪問(wèn)控制范圍從單系統(tǒng)擴(kuò)展到多系統(tǒng)間.

2.2 部署架構(gòu)

如圖3所示,權(quán)限管理模塊在各系統(tǒng)均獨(dú)立部署,負(fù)責(zé)本系統(tǒng)受控資源的安全訪問(wèn)控制.用戶訪問(wèn)系統(tǒng)時(shí)首先通過(guò)安全認(rèn)證中心進(jìn)行身份認(rèn)證,然后通過(guò)被訪問(wèn)系統(tǒng)的權(quán)限管理模塊進(jìn)行安全訪問(wèn)控制.權(quán)限的鑒權(quán)模塊以當(dāng)前系統(tǒng)的權(quán)限策略為判斷依據(jù)進(jìn)行內(nèi)外訪問(wèn)鑒權(quán)和信息查詢.

圖3 新一代調(diào)控系統(tǒng)權(quán)限軟件部署示意圖

3 關(guān)鍵技術(shù)

3.1 基于路徑的全局受控資源標(biāo)識(shí)定義方法

全局受控資源標(biāo)識(shí)定義需要考慮以下幾個(gè)方面:

(1)系統(tǒng)基于“物理分布、邏輯統(tǒng)一”的理念,將分析決策中心、模型數(shù)據(jù)中心和監(jiān)控系統(tǒng)通過(guò)高速通信網(wǎng)絡(luò)連接起來(lái),形成邏輯上統(tǒng)一的大系統(tǒng).受控資源在邏輯上屬于虛擬大系統(tǒng),但在跨域訪問(wèn)時(shí)需要區(qū)分受控資源所屬實(shí)際物理系統(tǒng).

(2)系統(tǒng)采用“場(chǎng)景”、“子場(chǎng)景”新的業(yè)務(wù)概念,需考慮不同業(yè)務(wù)對(duì)同類(lèi)資源差異化的訪問(wèn)控制需求,受控資源標(biāo)識(shí)需要明確資源所屬業(yè)務(wù)實(shí)例.

(3)受控資源是系統(tǒng)中需要受控訪問(wèn)的實(shí)體的統(tǒng)稱,常見(jiàn)類(lèi)型包括:操作、數(shù)據(jù)、文件等.不同受控資源類(lèi)型實(shí)例描述方式不同,例如操作類(lèi)通過(guò)操作名稱定義、文件類(lèi)通過(guò)路徑和文件名定義等,因此,在受控資源標(biāo)識(shí)中需要明確資源的類(lèi)型,從而確定該類(lèi)型實(shí)例的描述方法.

本文提出基于路徑的全局受控資源標(biāo)識(shí)定義方法,按系統(tǒng)屬性、業(yè)務(wù)屬性、類(lèi)型屬性以及實(shí)例描述的層次組織,在不同的屬性間以“:”分隔,格式如下所示:

＜domainObj＞:＜scnObj＞:＜resourceTypeCode＞:＜reso urceInstance＞

其中,domainObj 表示物理系統(tǒng)屬性;scnObj 表示業(yè)務(wù)屬性;resourceTypeCode 表示受控資源類(lèi)型;resourceInstance 表示受控資源實(shí)例.

根據(jù)上述定義方法,以某監(jiān)控系統(tǒng)公共服務(wù)業(yè)務(wù)下表域資源的節(jié)點(diǎn)信息表node_info)節(jié)點(diǎn)名(name)為例進(jìn)行說(shuō)明:

格式:FXJC1:realtime/public:RESTYPE_TABCOL:node_info/name

其中,FXJC1為某監(jiān)控系統(tǒng)全局系統(tǒng)名,realtime/public為業(yè)務(wù)實(shí)例,RESTYPE_TABCOL為表域類(lèi)型標(biāo)識(shí),node_info/name為具體的表域類(lèi)型實(shí)例.對(duì)于＜domainObj＞和＜scnObj＞關(guān)鍵字可使用“-”標(biāo)識(shí)其默認(rèn)屬性,分別指代被訪問(wèn)系統(tǒng)以及系統(tǒng)全業(yè)務(wù).

3.2 基于元數(shù)據(jù)的受控資源管理方法

新一代調(diào)控系統(tǒng)打破了以往智能電網(wǎng)調(diào)度控制系統(tǒng)的地域限制,由本地一套系統(tǒng)運(yùn)行模式轉(zhuǎn)變?yōu)榈乩砦恢脧V域分布的多套系統(tǒng)協(xié)同運(yùn)行模式,系統(tǒng)間交互以及信息資源的共享變的更加頻繁,這意味著受控訪問(wèn)的資源信息將急劇膨脹.如何有效管理龐大的受控資源,是權(quán)限管理解決的核心問(wèn)題之一.本文提出了基于元數(shù)據(jù)的受控資源管理方法,通過(guò)對(duì)已知受控資源類(lèi)型抽象建模,滿足受控資源持續(xù)更新、靈活定義需求,有效提升受控資源管理的可擴(kuò)展性.

受控資源元數(shù)據(jù)包括資源類(lèi)型、資源類(lèi)型擴(kuò)展屬性、資源實(shí)例、資源實(shí)例擴(kuò)展屬性、業(yè)務(wù)資源,表結(jié)構(gòu)原型設(shè)計(jì)如圖4所示.

圖4 基于元數(shù)據(jù)受控資源管理表結(jié)構(gòu)原型

(1)資源類(lèi)型用于定義資源類(lèi)型標(biāo)識(shí)以及該資源類(lèi)型對(duì)應(yīng)的權(quán)限效力,例如操作資源,其類(lèi)型標(biāo)識(shí)為RESTYPE_OP,其權(quán)限效力包括允許、禁止;文件資源,其類(lèi)型標(biāo)識(shí)為RESTYPE_FILE,其權(quán)限效力包括可讀、可寫(xiě)、可刪除、禁止讀、禁止寫(xiě)、禁止刪除.

(2)資源類(lèi)型擴(kuò)展屬性用于描述該資源類(lèi)型的特征屬性,例如操作類(lèi)具有操作名屬性、文件類(lèi)具有根路徑及文件名屬性.

(3)資源實(shí)例和資源實(shí)例擴(kuò)展屬性用于描述具體的資源實(shí)例,例如圖形文件、報(bào)表文件是文件類(lèi)資源實(shí)例.

(4)業(yè)務(wù)資源是與具體業(yè)務(wù)場(chǎng)景綁定的資源實(shí)例.新一代調(diào)控系統(tǒng)業(yè)務(wù)場(chǎng)景間存在大量屬性相同的資源,為避免在各場(chǎng)景下重復(fù)定義,先將其定義為業(yè)務(wù)場(chǎng)景無(wú)關(guān)的資源實(shí)例,再與需要的業(yè)務(wù)場(chǎng)景進(jìn)行關(guān)聯(lián).

下面以表數(shù)據(jù)資源為例說(shuō)明元數(shù)據(jù)定義方法,步驟如下:

(1)定義資源類(lèi)型及權(quán)限效力.表數(shù)據(jù)資源類(lèi)型為RESTYPE_DATA,其權(quán)限效力包括可讀、可寫(xiě)、可刪除、禁止讀、禁止寫(xiě)、禁止刪除.

(2)定義資源類(lèi)型擴(kuò)展屬性.表數(shù)據(jù)資源類(lèi)型擴(kuò)展屬性包括:表名、主鍵域、顯示域、檢索域、過(guò)濾條件等.

(3)定義表數(shù)據(jù)資源實(shí)例.如需定義圖形信息表表數(shù)據(jù)資源實(shí)例,表1顯示了一種可能的資源實(shí)例擴(kuò)展屬性填寫(xiě)樣例.

表1 圖形信息表表數(shù)據(jù)資源實(shí)例定義示例

3.3 基于規(guī)則引擎的多因素約束訪問(wèn)控制方法

新一代調(diào)控系統(tǒng)啟用全新人機(jī)云終端交互方式,與以往智能電網(wǎng)調(diào)度控制系統(tǒng)人機(jī)相比,人機(jī)云終端具有開(kāi)放性、訪問(wèn)透明性和位置無(wú)關(guān)性的特點(diǎn)[4,9].針對(duì)人機(jī)云終端的特點(diǎn),提出基于規(guī)則引擎的多因素約束訪問(wèn)控制方法,定義用戶在時(shí)間維度、位置維度的訪問(wèn)約束,使得用戶在不同時(shí)間、不同地理位置具有不同的受控資源訪問(wèn)權(quán)限,提升新一代調(diào)控系統(tǒng)受控資源安全防護(hù)的全面性.

如圖5所示,在位置維度方面,按云終端IP 地址設(shè)置約束.在約束管理中創(chuàng)建IP 地址約束實(shí)例,例如配置IP 網(wǎng)段192.168.*.*為本地云終端網(wǎng)段,約束為“權(quán)限生效”.將該位置約束作用到某權(quán)限規(guī)則上,例如權(quán)限規(guī)則為“用戶登陸監(jiān)控系統(tǒng)A 允許”,則實(shí)際含義為用戶只有通過(guò)192.168.*.*網(wǎng)段的人機(jī)云終端才能訪問(wèn)監(jiān)控系統(tǒng)A,用戶在其他網(wǎng)段云終端上禁止訪問(wèn)監(jiān)控系統(tǒng)A.

圖5 權(quán)限管理位置約束示意圖

如圖6所示,在時(shí)間維度方面,支持時(shí)刻約束和時(shí)段約束.在約束管理中創(chuàng)建時(shí)段約束實(shí)例,例如配置時(shí)段每天8:00～17:00為工作時(shí)間,約束為“權(quán)限生效”.將該時(shí)間約束作用到某權(quán)限規(guī)則上,例如權(quán)限規(guī)則為“用戶登陸監(jiān)控系統(tǒng)A 允許”,則實(shí)際含義為用戶只有在每天8:00～17:00 才能通過(guò)人機(jī)云終端訪問(wèn)監(jiān)控系統(tǒng)A,在該時(shí)間段外用戶無(wú)法訪問(wèn)監(jiān)控系統(tǒng)A.

圖6 權(quán)限管理時(shí)間約束示意圖

3.4 基于上下級(jí)關(guān)系的跨域訪問(wèn)控制方法

與以往智能電網(wǎng)調(diào)度控制系統(tǒng)相比,新一代調(diào)控系統(tǒng)的廣域特性以及數(shù)據(jù)共享特性,使得系統(tǒng)間跨域訪問(wèn)成為一種常規(guī)操作,如何有效控制跨域訪問(wèn)的安全性以及方便配置跨域訪問(wèn)約束是需要解決的一個(gè)難題.本文提出了基于上下級(jí)關(guān)系的跨域訪問(wèn)控制方法,通過(guò)用戶所屬組織機(jī)構(gòu)與被訪問(wèn)系統(tǒng)所屬組織機(jī)構(gòu)的等級(jí)關(guān)系,確定用戶扮演的跨域訪問(wèn)角色——跨域訪問(wèn)角色包括“上級(jí)訪問(wèn)”、“下級(jí)訪問(wèn)”、“同級(jí)訪問(wèn)”以及“默認(rèn)訪問(wèn)”,然后使用跨域訪問(wèn)角色所配置的權(quán)限規(guī)則進(jìn)行鑒權(quán).

如圖7所示,用戶在安全認(rèn)證中心進(jìn)行身份認(rèn)證,返回身份認(rèn)證信息(包含用戶所屬組織機(jī)構(gòu)信息);用戶訪問(wèn)某系統(tǒng)時(shí)進(jìn)行訪問(wèn)控制,首先根據(jù)用戶所屬組織機(jī)構(gòu)和系統(tǒng)所屬組織機(jī)構(gòu)關(guān)系進(jìn)行訪問(wèn)模式判斷,然后根據(jù)訪問(wèn)模式進(jìn)行對(duì)應(yīng)處理.本地訪問(wèn)模式,即用戶和被訪問(wèn)系統(tǒng)所屬組織機(jī)構(gòu)一致,則根據(jù)用戶獲取其權(quán)限規(guī)則進(jìn)行判斷;跨域訪問(wèn)模式,即用戶和被訪問(wèn)系統(tǒng)所屬組織機(jī)構(gòu)不同,則根據(jù)所屬組織機(jī)構(gòu)的上下級(jí)關(guān)系確定用戶扮演的跨域訪問(wèn)角色,然后根據(jù)對(duì)應(yīng)的跨域訪問(wèn)角色獲取其權(quán)限規(guī)則進(jìn)行判斷.在圖7中,步驟①、②示意了身份認(rèn)證過(guò)程;步驟③～⑤示意了本地訪問(wèn)模式過(guò)程;步驟⑥～⑧示意了跨域訪問(wèn)模式過(guò)程.

圖7 跨域鑒權(quán)示意圖

4 驗(yàn)證及應(yīng)用

開(kāi)發(fā)團(tuán)隊(duì)搭建實(shí)驗(yàn)驗(yàn)證環(huán)境,用于驗(yàn)證面向新一代調(diào)控系統(tǒng)業(yè)務(wù)場(chǎng)景的權(quán)限管理方案,重點(diǎn)驗(yàn)證了基于規(guī)則引擎的多因素約束訪問(wèn)控制功能以及基于上下級(jí)關(guān)系的跨域訪問(wèn)控制功能.

4.1 實(shí)驗(yàn)驗(yàn)證環(huán)境

實(shí)驗(yàn)驗(yàn)證環(huán)境如圖8所示,由2 個(gè)監(jiān)控系統(tǒng)、2 個(gè)人機(jī)云終端組成.監(jiān)控系統(tǒng)A 所屬組織機(jī)構(gòu)為ORGHD,監(jiān)控系統(tǒng)B 所屬組織機(jī)構(gòu)為ORG-JS,其中ORGHD的等級(jí)高于ORG-JS.配置云終端IP 地址分別為10.85.166.18、10.85.63.122.運(yùn)行在人機(jī)云終端的軟件通過(guò)人機(jī)交互網(wǎng)訪問(wèn)監(jiān)控系統(tǒng).

圖8 權(quán)限管理驗(yàn)證環(huán)境示意圖

4.2 驗(yàn)證內(nèi)容

在監(jiān)控系統(tǒng)A 定義用戶權(quán)限規(guī)則、時(shí)間約束和位置約束,如表2、表3所示;在監(jiān)控系統(tǒng)B 定義上級(jí)訪問(wèn)角色權(quán)限規(guī)則,如表4所示.在本地鑒權(quán)模式下,驗(yàn)證無(wú)約束條件和有約束條件下用戶操作資源鑒權(quán)情況;在跨域鑒權(quán)模式下,驗(yàn)證上級(jí)訪問(wèn)下級(jí)時(shí)文件資源鑒權(quán)情況.

表2 監(jiān)控系統(tǒng)A 約束配置示例

表3 監(jiān)控系統(tǒng)A 用戶權(quán)限配置示例

表4 監(jiān)控系統(tǒng)B 角色權(quán)限配置示例

4.3 驗(yàn)證結(jié)果

根據(jù)上述權(quán)限配置情況,驗(yàn)證(1)本地驗(yàn)證無(wú)約束條件下用戶操作資源鑒權(quán)情況;(2)本地驗(yàn)證有約束條件下用戶操作資源鑒權(quán)情況;(3)跨域驗(yàn)證上級(jí)訪問(wèn)下級(jí)文件資源鑒權(quán)情況.

(1)通過(guò)用戶hd1 訪問(wèn)監(jiān)控系統(tǒng)A 驗(yàn)證本地?zé)o約束條件下用戶操作資源鑒權(quán)情況,鑒權(quán)結(jié)果見(jiàn)表5,驗(yàn)證結(jié)果符合預(yù)期.

表5 驗(yàn)證內(nèi)容(1)的結(jié)論

(2)通過(guò)用戶hd3 訪問(wèn)監(jiān)控系統(tǒng)A,驗(yàn)證本地有約束條件下用戶操作資源鑒權(quán)情況,鑒權(quán)結(jié)果見(jiàn)表6,驗(yàn)證結(jié)果符合預(yù)期.

表6 驗(yàn)證內(nèi)容(2)的結(jié)論

(3)通過(guò)用戶hd1 訪問(wèn)監(jiān)控系統(tǒng)B 驗(yàn)證上級(jí)訪問(wèn)下級(jí)的跨域文件資源鑒權(quán)情況,鑒權(quán)結(jié)果見(jiàn)表7,驗(yàn)證結(jié)果符合預(yù)期.

表7 驗(yàn)證內(nèi)容(3)的結(jié)論

4.4 應(yīng)用情況

目前新一代調(diào)控系統(tǒng)已陸續(xù)在華東、西北、江蘇、上海等調(diào)控中心建設(shè)示范工程并進(jìn)行試運(yùn)行.權(quán)限管理作為新一代調(diào)控系統(tǒng)重要公共服務(wù)組件之一,為圖形、云桌面、應(yīng)用商店等業(yè)務(wù)應(yīng)用提供了業(yè)務(wù)安全訪問(wèn)控制,滿足業(yè)務(wù)多維度、細(xì)粒度的權(quán)限控制需求.在圖形應(yīng)用中,通過(guò)權(quán)限管理實(shí)現(xiàn)了不同用戶對(duì)圖形文件、圖形操作的受控訪問(wèn);在云桌面應(yīng)用中,通過(guò)權(quán)限管理實(shí)現(xiàn)了不同用戶可登錄系統(tǒng)的受控訪問(wèn);在應(yīng)用商店中,通過(guò)權(quán)限管理實(shí)現(xiàn)了不同用戶在應(yīng)用全生命周期管理流程中不同操作的受控訪問(wèn).

5 結(jié)語(yǔ)

本文在分析新一代調(diào)控系統(tǒng)業(yè)務(wù)場(chǎng)景的權(quán)限管理需求基礎(chǔ)上,提出了面向新一代調(diào)控系統(tǒng)業(yè)場(chǎng)景的權(quán)限管理方案以及相關(guān)關(guān)鍵技術(shù).基于路徑的全局受控資源標(biāo)識(shí)定義方法,解決了受控資源全局描述問(wèn)題;基于元數(shù)據(jù)的受控資源管理方法,解決了受控資源的動(dòng)態(tài)擴(kuò)展問(wèn)題;基于規(guī)則引擎的多因素約束訪問(wèn)控制方法,解決了多維度權(quán)限約束問(wèn)題;基于上下級(jí)關(guān)系的跨域訪問(wèn)控制方法,解決了跨域訪問(wèn)控制問(wèn)題.實(shí)驗(yàn)驗(yàn)證及應(yīng)用情況表明,相關(guān)技術(shù)滿足新一代調(diào)控系統(tǒng)業(yè)務(wù)場(chǎng)景的權(quán)限管理需求,為新一代調(diào)控系統(tǒng)安全運(yùn)行奠定了基礎(chǔ).后續(xù)隨著業(yè)務(wù)發(fā)展的需要,將繼續(xù)對(duì)業(yè)務(wù)場(chǎng)景訪問(wèn)控制需求進(jìn)行分析和功能研發(fā).