论文部分内容阅读
随着电力信息系统的不断发展,分布式电力综合自动化系统已成为现代电力信息系统领域的主角,其安全性也越来越受到人们的重视,而访问控制技术是解决安全问题的关键。通常,分布式电力综合自动化系统中主要的安全隐患存在于非法用户的访问和合法用户的误操作,因此有必要为系统提供一套具有访问控制功能的安全机制来控制对系统资源的访问。 传统的访问控制技术主要分为两大类,即自主型的访问控制DAC和强制型的访问控制MAC。这两种访问控制方式的都有其明显的不足,DAC将赋予或取消访问权限的一部分权力留给用户个人,这使得管理员难以确定哪些用户对哪些资源有访问权限,不利于实现统一的全局访问控制。而MAC由于过于偏重保密性,对其他方面如系统连续工作能力、授权的可管理性等考虑不足。 基于角色的访问控制RBAC技术有效地克服了传统访问控制技术中存在的不足,减少授权管理的复杂性,降低管理开销,使指定和执行特定企业保护策略的过程更加灵活,能为管理员提供一个比较好的实现安全政策的环境。 RBAC中引入了角色这一重要概念。它的基本思想是:授权给用户的访问权限,通常由用户在一个组织中担当的角色来确定。RBAC根据用户在组织内所处的角色进行访问授权与控制。也就是说,传统的访问控制直接将访问主体(发出访问操作、存取要求的主动方)和客体(被调用的程序或欲存取的数据)相联系,而RBAC在中间加入了角色,通过角色沟通主体与客体。真正决定访问权限的是用户对应的角色。 本文在研究了典型分布式电力综合自动化系统的特点后,进行了分布式电力综合自动化的系统设计,并重点研究了分布式电力综合自动化系统的访问控制技术。本文从理论上研究了RBAC的概念模型,并与传统的安全访问控制模型相比较,论证了在电力综合自动化系统中采用RBAC模型的必要性。通过分析电力综合自动化系统的特点和安全需求,指出了RBAC概念模型的不足,提出了RBAC的改进模型ERBAC,该模型通过引入时间的约束,来加强权限的管理,通过引入对象类型这一属性,提高了系统的鉴权效率。最后论文基于ERBAC模型,设计了一套电力综合自动化系统中的访问控制实现方案。该方案采用公用信息模型CIM来描述资源组织模型。在论文中详细的论述了RBAC中各个元素:对象、用户、角色、权限、用