多域环境下基于属性的访问控制模型设计 design of attribute-based access control model in multi-domain.pdfVIP

SOFlWAREDEVELOPMENTANDDESIGN 软件开发与设计 多域环境下基于属性的访问控制模型设计 杨红变1。李艳青2 (1．华北电力大学控制与计算机．r程学院，保定071003；2．华北电力大学电气与电子工程学院，保定071003) 摘要：针对电力信息系统的复杂多域环境，提出了一个访问控制模型(BP—SABAC)。该模型将属性访问控制 (ABAC)与语义Web技术结合。引入边界策略，扩展了XACML标准框架结构。确保了跨域信息共享的安全。加强 了边界防护。 关键词：电力信息系统；多域；访问控制；ABAC；XACML ofAttribute—basedAccessControlModelin Design YANG Hongbianl．LIYanqin92 ofControland ChinaElectricPower 071003； (1．College ComputerEngineering，North University，Baoding ofElectricalandElectronic ChinaElectricPower 071003) 2．College Engineering，North University，Baoding tothe andmulti-domainenvironmentofPowerInformation ltn Abstract：Accordingcomplexity System，thispaperproposed the accesscontrol attribute—basedaccesscontrolandthesemanticWeb model(BP-SABAC)．Itintegrated technology，and and the standard introducedborder XACML framework．Ensurethe ofinter—domaininformation policy expanded safety and theborder sharingstrengthen protection． Information words：Power Control；ABAC；XACML Key System；Multi-domain；Access l 引言 这种开放的动态环境，IBAC无法很好地满足其安全需要。 智能电网被公认为是电力系统在2l世纪的发展趋势，集 成共享是实现智能电网的重要手段。国际电一I：委员会(IEC) 提出的IEC61970系列标准，制定了统一的CIM数据模型和标 准的CIS数据接口规范，解决了“信息孤岛”难题，实现了真 正意义上的信息共享。集成共享给复杂、庞大的电力信息系 统带来诸多好处的同时也带来了安全隐患，其中访问控制就 是一项亟待解决的问题。 目前电力信息系统按照“电力二次系统安全防护总体方 案”规定的“安全分区、网络专用、横向隔离、纵向认证” 原则，将各地调度中心按照业务职能和安全等级划分为实时 控制区、非实时控制区、生产管理区和管理信息区4个安全 区来进行网络结构调整，并通过调度数据网将不同地点位于 图1全网安全防护示意图 同一安全分区的系统瓦联，如图1所示。各域互联形成的网