本发明涉及智能电表的数据访问控制,尤其是涉及基于多用户智能电表的数据访问控制方法及系统。
背景技术:
1、多用户智能电表的数据访问控制对于现代电力系统来说至关重要,其意义主要体现在以下几个方面:
2、确保用户用电数据不被未授权的第三方获取,保护用户隐私;防止恶意攻击者通过电表系统侵入电网,保障电力系统的稳定运行;通过对数据访问的有效控制,增强用户对智能电网系统的信任;确保数据在传输过程中不被篡改,保证数据的真实性和准确性;通过对用户数据的访问控制,可以为用户提供更加个性化的电力服务。
3、以下是一些在多用户智能电表中常用的数据访问控制技术:
4、使用对称加密(如aes)或非对称加密(如rsa)来保护数据;通过用户名/密码、数字证书、生物识别等技术来验证用户身份;根据用户的角色来分配权限;根据用户、资源和环境的属性来决定访问权限,如ssl/tls,用于建立安全的通信通道。
5、尽管现有技术为多用户智能电表的数据访问控制提供了多种解决方案,但它们也存在一些缺陷:
6、用户身份信息可能被盗用或泄露,尤其是在弱密码或证书管理不善的情况下。
7、基于角色的访问控制(rbac)可能无法满足复杂的权限需求,角色之间的权限界限可能不清晰。
8、多用户智能电表的数据访问控制对于保障电力系统的安全性、用户隐私和系统可靠性至关重要。虽然现有技术提供了多种解决方案,但它们在实现、管理和维护上仍存在一定的缺陷。随着技术的发展,需要不断优化和改进这些技术,以更好地适应智能电网的需求。
9、因此设计一种基于多用户智能电表的数据访问控制方法及系统,对智能电表的数据进行安全防护是亟需解决的技术问题。
技术实现思路
1、为了解决上述多用户智能电表的数据访问控制的技术问题,本发明提供基于多用户智能电表的数据访问控制方法及系统。采用如下的技术方案:
2、基于多用户智能电表的数据访问控制方法,包括以下步骤:
3、步骤1,分别对多个用户安装的多个智能电表进行编号;
4、步骤2,当智能电表接收到访问请求端发送的远端数据访问请求时,访问请求控制模块解析远端数据访问请求数据包得到访问请求数据;
5、步骤3,访问请求控制模块校验访问请求数据的数据格式是否满足标准数据格式,标准数据格式包括完整的访问端网络地址数据、完整的访问目标编号数据、基于访问时间的密钥数据和请求交互数据;
6、步骤4,若访问请求控制模块判断步骤3访问请求数据满足标准格式,则与中央服务器通信交互访问端网络地址数据,中央服务器判断访问端网络地址数据是否属于安全地址数据库内的网络地址,若判断属于则向访问请求控制模块反馈访问端网络地址校验成功信号;
7、步骤5,若访问请求控制模块接收到反馈访问端网络地址校验成功信号,继续进行访问目标编号数据校验,判断访问目标编号数据是否是自身编号,若是则进行密钥数据校验,若访问目标编号数据不是自身编号,则基于自组网将访问请求数据转发到对应编号的智能电表,对应编号的智能电表继续进行密钥数据校验;
8、步骤6,若密钥数据校验成功则判断访问请求合格,调取智能电表存储器中存储的对应请求交互数据发送给访问端网络地址数据。
9、通过采用上述技术方案,访问请求端可以是移动终端app或办理业务的电脑等,当指定网络地址的对应编号的智能电表接收到访问请求端发送的远端数据访问请求时,其自带的访问请求控制模块先解析远端数据访问请求数据包得到访问请求数据;
10、对于访问请求需要经过以下逻辑判断访问是否安全:
11、首先是校验访问请求数据的数据格式是否满足标准数据格式,标准数据格式包括完整的访问端网络地址数据、完整的访问目标编号数据、基于访问时间的密钥数据和请求交互数据,若访问数据不能完全包括上述标准数据格式,那么认为访问请求端是非法的;
12、在访问请求数据的数据格式满足标准数据格式的情况下,需要进行第二步的访问地址是否安全的校验,这个校验不在本地,因为本地的信息更新有限,采用与中央服务器通信交互访问端网络地址数据,
13、在中央服务器端判断访问端网络地址数据是否属于安全地址数据库内的网络地址的模式来进行判断,判断是基于不断更新的安全地址数据库来实现的,若判断属于则向访问请求控制模块反馈访问端网络地址校验成功信号;
14、如果中央服务器反馈访问端网络地址校验成功信号,访问请求控制模块1需要校验完整的访问目标编号数据是否是自身编号数据,防止错误编号导致反馈的数据与请求数据不符合的情况出现,这时若判断不是自身编号数据,按照逻辑访问请求端的远端数据访问请求数据包能发送成功,这时对应编号应当是自组网内的智能电表,此时可以基于自组网将访问请求数据转发到对应编号的智能电表,对应编号的智能电表继续进行密钥数据校验;
15、最后一步判断是基于访问时间的密钥数据的校验,基于访问时间的密钥数据的校验时间同步是关键,需要保证参与设备的时间偏差在可接受的范围内。基础密钥k_base必须安全地存储和传输,不得泄露。时间戳的精度(如秒级或毫秒级)将影响密钥的更新频率。密钥长度应根据加密算法的要求和安全需求来确定。应考虑密钥泄露的风险,并设置机制来更换基础密钥。通过以上设计,可以实现一个基于访问时间的动态密钥数据系统,提高数据访问的安全性。
16、经过上述三步的校验,如果均通过,那么认为访问请求端是合法的,访问请求控制模块可以基于请求交互数据调用智能电表存储器内的数据发送给访问请求端,例如请求交互数据指定的时间点或时间区间的智能电表运行数据。
17、大幅提升智能电表数据访问的安全性,保障电力系统的安全性,确保访问请求端访问数据的准确性。
18、可选的,步骤1中,多个智能电表基于自组网进行编号,在同一个自组网网络中,智能电表的编号格式为:abc,其中a是区域代码,b是设备类型代码,c是序列号;
19、步骤5中若访问请求控制模块基于编号abc中的c值与自身编号的c值进行比较,若相同则判断是自身编号。
20、通过采用上述技术方案,在多个智能电表的自组网中,多个智能电表需要有一个唯一的标识符以便于相互识别和通信。编号格式的设计需要考虑网络的规模、电表的可扩展性,以及便于管理和维护。
21、区域代码a一般为两位字母或数字,用于标识电表所在的地理区域或管理区域;
22、设备类型代码b一般为四位字母或数字,用于标识电表的型号或功能类型,例如:elec代表智能电表。
23、序列号c一般根据情况为四位数字,用于标识同一区域内同一类型电表的不同个体,从0001开始递增。
24、可选的,步骤3中,基于访问时间的密钥数据生成方法是:访问请求控制模块与访问请求端基于ntp进行时间同步,将当前时间戳转换为固定长度的字符串或数值;
25、将基础密钥k_base与时间戳t_now进行组合,应用哈希函数来生成一个哈希值,从哈希值中提取所需长度的子串作为动态密钥。
26、可选的,基于访问时间的密钥数据生成公式是:
27、设基础密钥为k_base,当前时间戳为t_now,密钥生成函数为f_keygen,基于访问时间的动态密钥为k_dynamic;
28、;
29、;
30、;
31、其中sha-256是一种广泛使用的密码学散列函数;是基础密钥与时间戳组合数,是应用sha-256哈希函数;是提取子字符串的函数,是字符串索引开始位置,是字符串长度。
32、可选的,每隔一分钟生成基于访问时间的密钥数据。
33、通过采用上述技术方案,假设基础密钥k_base为secretkey123,当前时间戳t_now为2024-08-21t14:00:00z,则组合基础密钥和时间戳:k_combined="secretkey1232024-08-21t14:00:00z"应用sha-256哈希函数:hash_combined=sha-256("secretkey1232024-08-21t14:00:00z")假设哈希值的前32个字符作为动态密钥:k_dynamic=substring(hash_combined,0,32)这样,每过一个时间间隔,如一分钟,就会根据新的时间戳生成一个新的动态密钥。时间同步是关键,需要保证参与设备的时间偏差在可接受的范围内。
34、基础密钥k_base必须安全地存储和传输,不得泄露。时间戳的精度(如秒级或毫秒级)将影响密钥的更新频率。密钥长度应根据加密算法的要求和安全需求来确定。应考虑密钥泄露的风险,并设置机制来更换基础密钥。通过以上设计,可以实现一个基于访问时间的动态密钥数据系统,提高智能电表数据访问的安全性。
35、可选的,步骤4中,中央服务器判断访问端网络地址数据是否属于安全地址数据库内的网络地址的方法是:
36、安全地址数据库包含多组被信任的安全网络地址数据及关联信息数据;
37、采用网络地址匹配算法比较访问端网络地址数据与安全地址数据库中的安全网络地址数据,根据匹配结果判断是否属于。
38、可选的,安全网络地址数据及关联信息数据是ip地址范围、子网掩码和网络前缀。
39、可选的,设访问端网络地址为a_ip,安全网络地址数据库中的地址条目为db_ip,其中每个条目包含网络地址net_ip和子网掩码mask,地址匹配函数为f_match,判断是否属于安全地址数据库内的网络地址的公式是:
40、;
41、其中是一个布尔值,表示访问端网络地址数据是否属于安全地址数据;
42、地址匹配函数f_match采用以下公式定义:
43、;
44、其中and表示按位与操作,用于将ip地址与子网掩码结合以确定网络地址。
45、通过采用上述技术方案,安全网络地址数据库需要定期更新和维护,以反映最新的安全策略。访问端网络地址的收集应确保准确无误。地址匹配算法应能够高效运行,以应对大量的访问请求。对于ipv6地址,匹配算法需要进行相应的调整。通过以上方法,中央服务器可以有效地判断访问端网络地址是否属于安全地址数据库内的网络地址,从而决定是否允许访问。
46、基于多用户智能电表的数据访问控制系统,用于实现基于多用户智能电表的数据访问控制方法,数据访问控制系统包括多个智能电表、电表通信模块和中央服务器,所述多个智能电表分别通过电表通信模块与中央服务器,并基于电表通信模块自组网通信连接,访问请求端通过电表通信模块与多个智能电表通信连接,交互远端数据访问请求数据,所述智能电表设有基于数据分析芯片的访问请求控制模块,访问请求控制模块通过电表通信模块与中央服务器通信连接。
47、综上所述,本发明包括以下至少一种有益技术效果:对于访问请求首先是校验访问请求数据的数据格式是否满足标准数据格式,在访问请求数据的数据格式满足标准数据格式的情况下,需要进行第二步的访问地址是否安全的校验,采用与中央服务器通信交互访问端网络地址数据,在中央服务器端判断访问端网络地址数据是否属于安全地址数据库内的网络地址的模式来进行判断,判断是基于不断更新的安全地址数据库来实现的,如果中央服务器反馈访问端网络地址校验成功信号,请求控制模块需要校验完整的访问目标编号数据是否是自身编号数据,防止错误编号导致反馈的数据与请求数据不符合的情况出现,这时若判断不是自身编号数据,此时可以基于自组网将访问请求数据转发到对应编号的智能电表,对应编号的智能电表继续进行密钥数据校验;最后一步判断是基于访问时间的密钥数据的校验;
48、上述三步的校验如果均通过,认为访问请求端是合法的,访问请求控制模块基于请求交互数据调用智能电表存储器内的数据发送给访问请求端,大幅提升智能电表数据访问的安全性,保障电力系统的安全性,确保访问请求端访问数据的准确性。
1.基于多用户智能电表的数据访问控制方法,其特征在于:包括以下步骤:
2.根据权利要求1所述的基于多用户智能电表的数据访问控制方法,其特征在于:步骤1中,多个智能电表(100)基于自组网进行编号,在同一个自组网网络中,智能电表(100)的编号格式为:abc,其中a是区域代码,b是设备类型代码,c是序列号;
3.根据权利要求2所述的基于多用户智能电表的数据访问控制方法,其特征在于:步骤3中,基于访问时间的密钥数据生成方法是:访问请求控制模块(1)与访问请求端(102)基于ntp进行时间同步,将当前时间戳转换为固定长度的字符串或数值;
4.根据权利要求3所述的基于多用户智能电表的数据访问控制方法,其特征在于:基于访问时间的密钥数据生成公式是:
5.根据权利要求4所述的基于多用户智能电表的数据访问控制方法,其特征在于:每隔一分钟生成基于访问时间的密钥数据。
6.根据权利要求4所述的基于多用户智能电表的数据访问控制方法,其特征在于:步骤4中,中央服务器(101)判断访问端网络地址数据是否属于安全地址数据库内的网络地址的方法是:
7.根据权利要求6所述的基于多用户智能电表的数据访问控制方法,其特征在于:安全网络地址数据及关联信息数据是ip地址范围、子网掩码和网络前缀。
8.根据权利要求7所述的基于多用户智能电表的数据访问控制方法,其特征在于:设访问端网络地址为a_ip,安全网络地址数据库中的地址条目为db_ip,其中每个条目包含网络地址net_ip和子网掩码mask,地址匹配函数为f_match,判断是否属于安全地址数据库内的网络地址的公式是:
9.基于多用户智能电表的数据访问控制系统,其特征在于:用于实现权利要求8所述的基于多用户智能电表的数据访问控制方法,数据访问控制系统包括多个智能电表(100)、电表通信模块(103)和中央服务器(101),所述多个智能电表(100)分别通过电表通信模块(103)与中央服务器(101),并基于电表通信模块(103)自组网通信连接,访问请求端(102)通过电表通信模块(103)与多个智能电表(100)通信连接,交互远端数据访问请求数据,所述智能电表(100)设有基于数据分析芯片的访问请求控制模块(1),访问请求控制模块(1)通过电表通信模块(103)与中央服务器(101)通信连接。
