本發(fā)明涉及網(wǎng)絡(luò)通信安全，更具體地說，本發(fā)明涉及一種電力云數(shù)據(jù)安全訪問方法及系統(tǒng)。

背景技術(shù)：

1、隨著電力系統(tǒng)信息化建設(shè)的深入推進(jìn)，電力云平臺(tái)已成為電力數(shù)據(jù)存儲(chǔ)、處理和共享的重要基礎(chǔ)設(shè)施。在電力云環(huán)境下，如何確保數(shù)據(jù)訪問的安全性和可控性，成為保障電力系統(tǒng)穩(wěn)定運(yùn)行的關(guān)鍵問題。

2、然而，現(xiàn)有的電力云數(shù)據(jù)訪問方案在安全性方面存在諸多不足。首先，傳統(tǒng)的訪問控制機(jī)制往往采用靜態(tài)的用戶名密碼認(rèn)證方式，難以應(yīng)對身份偽造和重放攻擊等安全威脅。其次，數(shù)據(jù)訪問權(quán)限管理缺乏精細(xì)化控制，無法根據(jù)數(shù)據(jù)敏感程度和用戶角色實(shí)施差異化的安全策略。此外，在數(shù)據(jù)傳輸過程中，由于缺乏有效的加密機(jī)制和完整性校驗(yàn)，容易導(dǎo)致數(shù)據(jù)泄露或被篡改。

3、目前的電力云平臺(tái)在處理數(shù)據(jù)訪問請求時(shí)，通常采用簡單的認(rèn)證授權(quán)機(jī)制，未能充分考慮訪問時(shí)效性、頻率控制和動(dòng)態(tài)認(rèn)證等安全要素。這種方式不僅增加了數(shù)據(jù)安全隱患，也無法滿足電力行業(yè)對數(shù)據(jù)訪問安全的嚴(yán)格要求，可能對電力系統(tǒng)的安全穩(wěn)定運(yùn)行造成潛在威脅。

技術(shù)實(shí)現(xiàn)思路

1、為了克服現(xiàn)有技術(shù)存在數(shù)據(jù)安全隱患的問題，本發(fā)明提出了一種電力云數(shù)據(jù)安全訪問方法及系統(tǒng)，用于解決上述問題。

2、本發(fā)明提供如下技術(shù)方案：

3、一種電力云數(shù)據(jù)安全訪問方法，包括：

4、s1、客戶端構(gòu)建并發(fā)送對電力云數(shù)據(jù)的訪問請求包，所述訪問請求包包括請求包頭部和請求包主體；

5、s2、服務(wù)器端接收訪問請求包，根據(jù)請求包頭部對訪問請求包進(jìn)行請求驗(yàn)證；

6、s3、獲取請求驗(yàn)證結(jié)果，對請求驗(yàn)證通過的訪問請求包，提取請求包主體，并根據(jù)提取到的請求包主體生成安全訪問鏈；

7、s4、根據(jù)生成的安全訪問鏈進(jìn)行訪問驗(yàn)證，包括時(shí)間窗口驗(yàn)證、數(shù)據(jù)訪問權(quán)限驗(yàn)證和訪問頻率驗(yàn)證；

8、s5、獲取訪問驗(yàn)證結(jié)果，當(dāng)數(shù)據(jù)訪問權(quán)限驗(yàn)證、訪問頻率驗(yàn)證和時(shí)間窗口驗(yàn)證均通過時(shí)，根據(jù)安全訪問鏈進(jìn)行身份認(rèn)證；

9、s6、獲取身份認(rèn)證結(jié)果，身份認(rèn)證通過后，服務(wù)器根據(jù)安全訪問鏈生成加密密鑰，并對請求的數(shù)據(jù)進(jìn)行加密后發(fā)送給客戶端，客戶端生成對應(yīng)的解密密鑰對接收到的數(shù)據(jù)進(jìn)行解密。

10、優(yōu)選的，所述請求包頭部包括數(shù)據(jù)傳輸協(xié)議版本號與校驗(yàn)和；所述請求包主體包括基本信息和數(shù)字證書；所述基本信息包括請求類型、請求目標(biāo)、請求跨度、時(shí)間戳和請求人信息。

11、優(yōu)選的，所述請求驗(yàn)證包括：

12、計(jì)算訪問請求包的校驗(yàn)和，將計(jì)算的校驗(yàn)和與請求包頭部中提供的校驗(yàn)和進(jìn)行比對；若相同，則進(jìn)行協(xié)議驗(yàn)證；若不相同，則將請求驗(yàn)證結(jié)果判定為不通過；

13、所述協(xié)議驗(yàn)證包括：獲取數(shù)據(jù)傳輸協(xié)議版本號，將其與服務(wù)器支持的數(shù)據(jù)傳輸協(xié)議版本號列表進(jìn)行比對；

14、如果未找到相同的數(shù)據(jù)傳輸協(xié)議版本號，則將請求驗(yàn)證結(jié)果判定為不通過；

15、如果找到相同的數(shù)據(jù)傳輸協(xié)議版本號，則提取該數(shù)據(jù)傳輸協(xié)議版本號對應(yīng)的傳輸協(xié)議規(guī)則，并檢查請求包是否符合傳輸協(xié)議規(guī)則；

16、若符合，則將請求驗(yàn)證結(jié)果判定為通過；若不符合，則將請求驗(yàn)證結(jié)果判定為不通過。

17、優(yōu)選的，所述根據(jù)提取到的請求包主體生成安全訪問鏈的步驟包括：

18、獲取請求包主體中的基本信息；

19、使用基本信息中的請求類型、請求目標(biāo)、請求跨度、時(shí)間戳和請求人信息組成第一鏈條；

20、根據(jù)請求人信息和請求目標(biāo)，從服務(wù)器端獲取該請求人對請求目標(biāo)的請求頻率記為服務(wù)器頻率；

21、獲取請求目標(biāo)的元數(shù)據(jù)，所述元數(shù)據(jù)包括類型、權(quán)限編號、窗口時(shí)間、允許頻率和認(rèn)證標(biāo)識；其中，權(quán)限編號對應(yīng)權(quán)限表，權(quán)限表包括權(quán)限用戶和對應(yīng)的跨度權(quán)限，認(rèn)證標(biāo)識用于表示是否需要進(jìn)行補(bǔ)充認(rèn)證；

22、使用服務(wù)器頻率與請求數(shù)據(jù)的元數(shù)據(jù)組成第二鏈條；

23、將第一鏈條和第二鏈條組合得到安全訪問鏈。

24、優(yōu)選的，所述時(shí)間窗口驗(yàn)證包括，獲取安全訪問鏈中的時(shí)間戳和窗口時(shí)間，判斷時(shí)間戳是否在窗口時(shí)間內(nèi)；

25、若否，則時(shí)間窗口驗(yàn)證不通過；若是，則獲取當(dāng)前時(shí)間與時(shí)間戳相減得到時(shí)間差，判斷時(shí)間差是否在預(yù)設(shè)的時(shí)間差范圍內(nèi)；

26、若是，則時(shí)間窗口驗(yàn)證通過；若否則時(shí)間窗口驗(yàn)證不通過；

27、所述數(shù)據(jù)訪問權(quán)限驗(yàn)證包括：獲取安全訪問鏈中的權(quán)限編號和請求人信息，根據(jù)權(quán)限編號獲取權(quán)限表，查詢請求人是否為權(quán)限表中的權(quán)限用戶；

28、若否，則數(shù)據(jù)訪問權(quán)限驗(yàn)證不通過；若是，則獲取對應(yīng)的跨度權(quán)限，判斷安全訪問鏈中的請求跨度是否在跨度權(quán)限內(nèi)；

29、若是，則數(shù)據(jù)訪問權(quán)限驗(yàn)證通過，若不是，則數(shù)據(jù)訪問權(quán)限驗(yàn)證不通過；

30、所述訪問頻率驗(yàn)證包括：獲取安全訪問鏈中的服務(wù)器頻率和允許頻率，判斷請求頻率是否不大于允許頻率，若是，則訪問頻率驗(yàn)證通過，若否，則訪問頻率驗(yàn)證不通過。

31、優(yōu)選的，所述根據(jù)安全訪問鏈進(jìn)行身份認(rèn)證的步驟包括：

32、獲取數(shù)字證書并對數(shù)字證書進(jìn)行驗(yàn)證；

33、當(dāng)數(shù)字證書驗(yàn)證不通過時(shí)，判定身份認(rèn)證不通過；

34、當(dāng)數(shù)字證書驗(yàn)證通過時(shí)，獲取安全訪問鏈的認(rèn)證標(biāo)識；

35、若認(rèn)證標(biāo)識為否，則判定身份認(rèn)證通過；

36、若認(rèn)證標(biāo)識為是則進(jìn)行補(bǔ)充認(rèn)證；

37、如果補(bǔ)充認(rèn)證通過，則判定身份認(rèn)證通過；否則，則身份認(rèn)證不通過。

38、優(yōu)選的，所述補(bǔ)充認(rèn)證的步驟包括：

39、獲取數(shù)字證書中的公鑰，服務(wù)器端生成隨機(jī)挑戰(zhàn)碼，將挑戰(zhàn)碼和生成時(shí)間組合成待簽名信息；

40、將待簽名信息發(fā)送至客戶端，客戶端使用私鑰對待簽名信息進(jìn)行數(shù)字簽名，并將簽名結(jié)果返回給服務(wù)器端；

41、服務(wù)器使用公鑰解密簽名結(jié)果，判斷解密后的簽名結(jié)果是否與待簽名信息一致，同時(shí)判斷解密后的簽名結(jié)果中的生成時(shí)間與當(dāng)前時(shí)間的差距是否在預(yù)設(shè)的范圍內(nèi)；

42、當(dāng)以上兩個(gè)判斷結(jié)果都為是時(shí)，補(bǔ)充認(rèn)證判定為通過；否則補(bǔ)充認(rèn)證判定為不通過。

43、優(yōu)選的，加密密鑰的生成步驟包括：獲取安全訪問鏈中的請求類型、時(shí)間戳、請求人信息和服務(wù)器頻率；根據(jù)請求類型、時(shí)間戳、請求人信息和服務(wù)器頻率使用密鑰生成算法生成加密密鑰；

44、解密密鑰的生成步驟包括：獲取訪問請求包中的請求類型、時(shí)間戳、請求人信息和請求目標(biāo)，獲取客戶端記錄的請求人對請求目標(biāo)的請求頻率記為客戶端頻率；根據(jù)訪問請求包中的請求類型、時(shí)間戳、請求人信息和客戶端頻率使用相同的密鑰生成算法生成解密密鑰。

45、本發(fā)明還提供一種電力云數(shù)據(jù)安全訪問系統(tǒng)，用于實(shí)現(xiàn)一種電力云數(shù)據(jù)安全訪問方法，包括：

46、請求包構(gòu)建模塊，用于客戶端構(gòu)建并發(fā)送對電力云數(shù)據(jù)的訪問請求包，所述訪問請求包包括請求包頭部和請求包主體；

47、請求驗(yàn)證模塊，用于服務(wù)器端接收訪問請求包，根據(jù)請求包頭部對訪問請求包進(jìn)行請求驗(yàn)證；

48、安全鏈生成模塊，用于獲取請求驗(yàn)證結(jié)果，對請求驗(yàn)證通過的訪問請求包，提取請求包主體，并根據(jù)提取到的請求包主體生成安全訪問鏈；

49、訪問驗(yàn)證模塊，用于根據(jù)生成的安全訪問鏈進(jìn)行訪問驗(yàn)證，包括數(shù)據(jù)訪問權(quán)限驗(yàn)證、訪問頻率驗(yàn)證和時(shí)間窗口驗(yàn)證；

50、身份認(rèn)證模塊，用于獲取訪問驗(yàn)證結(jié)果，當(dāng)數(shù)據(jù)訪問權(quán)限驗(yàn)證、訪問頻率驗(yàn)證和時(shí)間窗口驗(yàn)證均通過時(shí)，根據(jù)安全訪問鏈進(jìn)行身份認(rèn)證；

51、數(shù)據(jù)安全傳輸模塊，用于獲取身份認(rèn)證結(jié)果，身份認(rèn)證通過后，服務(wù)器根據(jù)安全訪問鏈生成加密密鑰，并對請求的數(shù)據(jù)進(jìn)行加密后發(fā)送給客戶端，客戶端生成對應(yīng)的解密密鑰對接收到的數(shù)據(jù)進(jìn)行解密。

52、本發(fā)明提供了一種電力云數(shù)據(jù)安全訪問方法及系統(tǒng)，具備以下有益效果：

53、通過設(shè)計(jì)包含請求包頭部和請求包主體的標(biāo)準(zhǔn)化訪問請求格式，結(jié)合校驗(yàn)和驗(yàn)證和協(xié)議驗(yàn)證機(jī)制，能夠有效確保數(shù)據(jù)傳輸?shù)耐暾院蜏?zhǔn)確性。同時(shí)，協(xié)議版本號的設(shè)置為后續(xù)協(xié)議升級提供了良好的擴(kuò)展性，使系統(tǒng)具備更強(qiáng)的適應(yīng)能力和可維護(hù)性。本發(fā)明設(shè)計(jì)了由時(shí)間窗口驗(yàn)證、數(shù)據(jù)訪問權(quán)限驗(yàn)證和訪問頻率驗(yàn)證組成的三重驗(yàn)證機(jī)制，通過精確控制數(shù)據(jù)訪問的時(shí)效性、權(quán)限范圍和訪問頻率，顯著提升了數(shù)據(jù)訪問的安全性。特別是權(quán)限表的引入，實(shí)現(xiàn)了基于用戶身份和數(shù)據(jù)特征的精細(xì)化權(quán)限管理，有效防止了未授權(quán)訪問和越權(quán)操作。此外，本發(fā)明通過基于數(shù)字證書驗(yàn)證和補(bǔ)充認(rèn)證的雙重身份認(rèn)證機(jī)制，配合動(dòng)態(tài)密鑰生成的加解密方案，構(gòu)建了完整的數(shù)據(jù)訪問安全防護(hù)體系。這種機(jī)制不僅能夠有效防范身份偽造和重放攻擊，還通過動(dòng)態(tài)密鑰生成確保了數(shù)據(jù)傳輸過程的安全性，為電力云數(shù)據(jù)的安全訪問提供了可靠保障。