一种能够实现对电网模型数据安全配置和访问的电网对象访问控制装置

摘要

本发明的目的在于提供一种能够实现对电网模型数据安全配置和访问的电网对象访问控制装置，其特征在于所述装置包括：电网模型数据的分层划分及安全权限配置模块和访问安全控制模块；所述分层划分及安全权限配置模块实现电网模型数据的分层划分及安全权限配置；所述访问安全控制模块实现电网模型的访问安全控制。本发明通过将电网模型按照地区->子地区->厂站->电压等级按层次组织，其它电网对象，如设备、端子、量测等按照其关联关系归属到相应层级中，并将系统访问用户对数据的访问权限与这个层次结果结合，实现了将整个电网运行数据的安全访问与现行管理体系对应的、合适粒度的访问安全控制。

说明书

技术领域

本发明涉及电网数据的安全访问和控制，具体来说涉及提供一种能够实现对电网模型数据安全配置和访问的电网对象访问控制装置。

背景技术

电力系统的生产管理通常根据电网分布的地域、电网的电压等级等特征，将电网划分成分层分块的多个子网，如按电压等级等电气特征，可以将电网划分成国调、网调、省调、地调、县调等多级调度中心；而在同一个级别，又可以按照电网分布的地域将同一级别的电网划分为多个调度中心；最终形成一套“统一调度、分层管理”的管理体系。

近年来，随着电网业务的发展和管理要求的提高，电力系统各个专业应用之间、各部门之间、上下级调度机构之间的信息共享和协作的要求越来越高。电力控制中心需要在满足电力调度系统网络安全隔离的要求下，整合管理多级调度电网模型、数据、图形等各种信息资源，建立统一的电网运行数据中心，实现电力系统信息资源的共享，进而为电网调度生产、管理决策提供可靠的数据资源和有力的综合分析与应用手段。

伴随着统一的电网运行数据中心而来的，是对信息访问管控的需求。在建设电网运行数据中心以前，与“统一调度、分层管理”的管理体系对应，各调度中心都建立并维护着所辖电网的详细的电网模型结构参数和与运行数据，并负责相应的电网运行数据进行整体安全管控。但在电网运行数据中心中，各调度中心的的电网运行数据被整合在一起，对电网运行数据访问的安全管控则必须更为细致和灵活。

现有技术中，直接利用系统所基于的数据库安全访问控制对电网运行数据的访问进行管控是目前常见的方式。通过设置用户是否对指定对象类型（或表格）、对象实例（或表格记录）的访问权限达到对指定数据访问的管控。

而基于数据库的安全访问控制的缺点在于：安全控制粒度与电力系统实际不匹配，电力系统采取的分层、分区域安全管控，而数据库安全管理，如关系数据库系统，面向的是表格、表格记录；这就导致相应的安全控制实现复杂、访问控制效率低。

另外一种常见的安全解决方案是直接针对OPC UA服务器电网模型节点进行访问权限控制。

OPC：OLE for Process Control, 用于过程控制的OLE。是一个工业标准，管理这个标准国际组织是OPC基金会。OPC包括一整套接口、属性和方法的标准集，用于过程控制和制造业自动化系统。

OPC UA：OPC Unified Architecture，OPC基金会规定的用于替代OPC的新标准协议。UA为统一架构。

OPC UA是一种由OPC基金会规定的、用于独立于制造厂商和平台的通信的新标准协议，特别是在过程自动化中。OPC UA提供了一个一致的、完整的地址空间和服务模型，可用来将电网运行数据中心中的所有电网运行数据，包括电网描述数据、实时数据，报警与事件以及它们的历史信息统一到一个OPC UA服务器地址空间里，并且以用一套统一的服务为它们向外提供接口。OPC UA还提供了一个安全模型，给出了何种安全机制可供选择和配置以满足对特定安装的安全需求。安全模型包括标准安全机制和参数。应用程序级的安全性依靠一个安全的通信通道，这个通信通道在应用程序会话过程中始终有效，并且保证所有被交换信息的完整性。当一个会话建立时，客户端和服务器应用程序协商构造一个安全通信通道并且交换表明客户端和服务器身份的软件认证书还要交换各自所能提供功能的信息。

直接基于OPC UA服务器电网模型节点的安全访问控制的缺点在于：以OPC UA节点为安全控制基础，对于地调电网模型OPC UA节点就达到百万数量级的电网模型而言，其安全控制粒度过细，相应的系统配置维护工作量大。而且，由于不能与电网生产管理的现行管理方式匹配，在电网模型或电网调度权限发生变化时，难以自动进行安全配置迁移。

发明内容

本发明的目的在于提供一种能够实现对电网模型数据安全配置和访问的电网对象访问控制装置，该装置能够将用户认证和授权机制与电网模型的层次划分继承，实现对电网运行数据访问的更加细致、灵活和高效的安全管控，并且该装置能够实现对整个电网运行数据的安全访问与现行管理系统的对应的、合适力度的访问控制。

本发明的目的可通过以下的技术措施来实现：

一种能够实现对电网模型数据安全配置和访问的电网对象访问控制装置，所述装置包括：

电网模型数据的分层划分及安全权限配置模块和访问安全控制模块；所述分层划分及安全权限配置模块实现电网模型数据的分层划分及安全权限配置，包括如下内容：

（11）电网模型分区初始化：

电网对象访问控制装置从OPC UA服务器获取电网模型数据，将电网模型数据中的地区、设备容器、设备、量测、量测值类型的电网模型对象按照地区间、地区与设备容器间、不同类型设备容器之间、设备容器与设备间、设备与量测间、量测与量测值间的关联关系进行层次划分；

所述地区间关联关系，是指“省-市-县”这样的地区->子地区之间的包含关系；

所述设备容器是一种抽象概念，包括电厂、变电站、电压等级、间隔、线路；其中，所述电厂、变电站通常统称为厂站；所述电压等级含义为一个变电站内由具有相同电压的设备构成的一个逻辑上的设备容器；所述间隔为一个变电站内紧密连接、具有某些共同功能的部分所构成的一个逻辑上的设备容器；通常间隔根据其包含的主要设备的类型被归类为不同的间隔，包括电力出线间隔、母线间隔、主变压器间隔；

所述地区与设备容器间关联关系，是指地区与厂站之间的包含关系；

所述设备容器间的关联关系，是指厂站包含电压等级、电压等级包含间隔以及厂站直接包含间隔这几种关联关系；

所述设备容器与设备间的关联关系，是指变电站、电压等级、间隔与设备之间的包含关系；

所述设备与量测间的关联关系，是指设备与量测之间的包含关系；

所述量测与量测值间的关联关系，是指量测与量测值之间的包含关系；

（12）异步订阅：电网对象访问控制装置向OPC UA服务器订阅监听电网模型变化事件，OPC UA服务器在其管理的电网模型发生变化时，针对异步订阅的电网模型事件变化事件，向电网对象访问控制装置提供模型变化的异步通知；所关心的电网模型变化事件的类型包括电网对象增加、删除、电网对象间的关联关系修改；

（13）电网对象访问控制装置对异步订阅对应的异步通知进行响应，根据异步通知中携带的电网模型的增删改信息，动态的维护电网模型层次划分；

（14）管理操作设定：指定特定的用户对不同电网模型层次分支的访问权限，支持的访问权限有“读取”、“创建”、“更改”和“删除”，对电网层次分支而言，针对下一层次的权限指定覆盖对父层次的统一权限指定；

所述访问安全控制模块实现电网模型的访问安全控制，所述访问安全控制包括如下内容：

（21）OPC UA客户端、OPC UA服务器端通过协商，建立起安全通道，并对对方的身份进行了认证，设此时客户端会话被确认为“用户1”；

（22）OPC UA客户端发起电网模型相关操作；

（23）OPC UA服务器向电网对象访问控制装置查询用户是否具有合适的权限；

（24）电网对象访问控制装置首先确认客户端所访问的UA节点对应的电网模型对象所属电网区域，然后查询客户端的身份，是否具有对目标区域的相应权限，如果拥有，则返回“允许”，否则，返回“拒绝”；并作为对步骤（23）调用的应答，向OPC UA服务器返回处理步骤结果；

（25）根据步骤（24）返回结果，如果是“允许”，则执行步骤（22）请求操作，返回操作执行结果；否则直接向OPC UA客户端返回“无访问权限，操作被拒绝”；

（26）作为对步骤（22）调用的应答，向OPC UA客户端返回步骤（25）处理步骤结果。

本发明对比现有技术，有如下优点：

本发明提出通过将OPC UA安全模型，特别是其中的用户认证和授权机制与电网模型的层次化划分集成，实现对电网运行数据访问的更加细致、灵活和高效的安全管控。

本发明通过将电网模型按照地区-> 子地区-> 厂站-> 电压等级按层次组织，其它电网对象，如设备、端子、量测等按照其关联关系归属到相应层级中，并将系统访问用户对数据的访问权限与这个层次结果结合，实现了将整个电网运行数据的安全访问与现行管理体系对应的、合适粒度的访问安全控制。

附图说明

图1是电网模型数据分层划分及安全权限配置的流程图；

图2是电网模型访问安全控制策略实施的流程图；

图3是电网模型树状结构层次划分示意图。

具体实施方式

本发明提供一种能够实现如下目的的并能够实现对电网模型数据安全配置和访问的电网对象访问控制装置，

1.与电网生产管理现行管理体系对应的，电网模型地区-> 子地区-> 厂站-> 电压等级层次化组织方法。

2.利用OPC UA模型更新变化订阅、发布技术实现对电网模型层次化组织的动态维护。

3.基于OPC UA安全模型与电网模型层次化组织相结合，而实现的运行时电网运行数据受控访问技术。

该电网对象访问控制装置包括：电网模型数据的分层划分及安全权限配置模块和访问安全控制模块；

如图1所示，分层划分及安全权限配置模块实现电网模型数据的分层划分及安全权限配置，包括如下步骤：

（11）电网模型分区初始化步骤：电网对象访问控制装置从OPC UA服务器获取电网模型数据，将电网模型数据中的地区、设备容器、设备、量测、量测值类型的电网模型对象按照地区间、地区与设备容器间、不同类型设备容器之间、设备容器与设备间、设备与量测间、量测与量测值间的关联关系进行层次划分；

所述地区间关联关系，是指“省-市-县”这样的地区->子地区之间的包含关系。

所述设备容器是一种抽象概念，包括电厂、变电站、电压等级、间隔、线路。其中，所述电厂、变电站通常统称为厂站。所述电压等级含义为一个变电站内由具有相同电压的设备构成的一个逻辑上的设备容器。所述间隔为一个变电站内紧密连接、具有某些共同功能的部分所构成的一个逻辑上的设备容器。通常间隔根据其包含的主要设备的类型被归类为不同的间隔，例如电力出线间隔、母线间隔、主变压器间隔。

所述地区与设备容器间关联关系，是指地区与厂站之间的包含关系。

所述设备容器间的关联关系，是指厂站包含电压等级、电压等级包含间隔以及厂站直接包含间隔这几种关联关系。

所述设备容器与设备间的关联关系，是指变电站、电压等级、间隔与设备之间的包含关系。

所述设备与量测间的关联关系，是指设备与量测之间的包含关系。

所述量测与量测值间的关联关系，是指量测与量测值之间的包含关系。

（12）异步订阅：电网对象访问控制装置向OPC UA服务器订阅监听电网模型变化事件。

首先，OPC UA服务器在其管理的电网模型发生变化时，针对异步订阅的电网模型事件变化事件，向电网对象访问控制装置提供模型变化的异步通知。为了确保电网对象访问控制装置中管理的电网对象与OPC UA服务器中的电网对象模型保持一致，电网对象访问控制装置向OPC UA服务器订阅监听电网模型变化事件，所关心的电网模型变化类型包括电网对象增加、删除、电网对象间的关联关系修改，例如一个变电站的调度权由省调下放到地调，就会导致相应的地区（省）->子地区（地市）->厂站的关联关系发生变化。

按照地区->子地区->厂站->电压等级->间隔之间的包含关系,可以将电网模型从网状结构划分为图3所示树状结构层次，从而将电网模型中的设备、量测按照关联关系归属到相应的树状结构分支中，所述树状结构中地区为根节点，每个地区-> 子地区-> 厂站-> 电压等级构成一个具体的分支；这样，设备、量测就可以根据其与设备容器及相互之间的关联关系，被归属到相应的树状结构分支中。

由于在一个OPC UA服务器中，每个电网模型对象对应于一个OPC UA节点，且这些OPC UA节点间会根据其所代表的电网模型对象间的关系建立起相互的关联引用，自然也就可以根据其所代表的电网模型对象而被划分到一个具体的电网模型层次分支中。因此，进过步骤（1）的划分后，所有电网模型对象对应的OPC UA节点，均被划分到一个具体的电网模型层次分支中。

OPC UA服务器在其管理的电网模型发生变化时，会产生相应的模型变化描述，并向那些之前明确订阅这些变化的应用，如电网对象访问控制装置，发送所产生的模型变化描述。模型变化描述，在OPC UA标准里，被称之为模型变化事件。

（13）电网对象访问控制装置对异步订阅对应的异步通知进行响应，根据异步通知中携带的电网模型的增删改信息，动态的维护电网模型层次划分。

所述电网对象访问控制装置和OPC UA服务器间的电网模型同步，是通过一组异步操作完成的，包括异步订阅和异步通知：

a. 异步订阅，电网对象访问控制装置订阅所关心的模型变化事件

b．异步通知，当电网模型发生变化时， OPC UA服务器产生电网模型变化事件，并向电网对象访问控制装置发送。这一操作与电网对象访问控制装置的订阅操作之间不是同步执行的，而是异步执行的。

（14）管理操作设定步骤：指定特定的用户对不同电网模型层次分支的访问权限，支持的访问权限有“读取”、“创建”、“更改”和“删除”，对电网层次分支而言，针对下一层次的权限指定覆盖对父层次的统一权限指定，例如指定“用户1”对“xx省aa市”具有“读取、更新”权限，而对“xx省aa市xxx变电站”具有“读取”权限，则“用户1”对“xx省aa市xxx变电站”的“更新”权限被剥夺。

如图2所示，访问安全控制模块实现电网模型的访问安全控制，所述访问安全控制包括如下步骤：

（21）OPC UA客户端、OPC UA服务器端通过协商，建立起安全通道，并对对方的身份进行了认证，设此时客户端会话被确认为“用户1”。

（22）OPC UA客户端发起电网模型相关操作。

（23）OPC UA服务器向电网对象访问控制装置查询用户是否具有合适的权限。比如，如果步骤（22）的相关操作为OPC UA的Browse(Node1)操作，则检查读取（用户1，Node1，“读取”）访问请求是否满足；如果步骤（22）的相关操作为DeleteNodes(Node2)操作，则检查删除（用户1，Node2，“删除”）访问请求是否满足。

（24）电网对象访问控制装置首先确认客户端所访问的UA节点对应的电网模型对象所属电网区域，然后查询客户端的身份，是否具有对目标区域的相应权限，如果拥有，则返回“允许”，否则，返回“拒绝”。例如，在步骤（22）的相关操作为DeleteNodes(Node2)操作时，查询到Node2属于”xx省dd市”，而“用户1”不具有“删除权限”，返回拒绝。

并作为对步骤（23）调用的应答，向OPC UA服务器返回处理步骤结果。

（25）根据步骤（24）返回结果，如果是“允许”，则执行步骤（22）请求操作，返回操作执行结果；否则直接向OPC UA客户端返回“无访问权限，操作被拒绝”。

（26）作为对步骤（22）调用的应答，向OPC UA客户端返回步骤（25）处理步骤结果。

本发明的实施方式不限于此，在本发明上述基本技术思想前提下，按照本领域的普通技术知识和惯用手段对本发明内容所做出其它多种形式的修改、替换或变更，均落在本发明权利保护范围之内。