海德体育本发明属于信息安全技术领域，公开一种能源互联网动态访问控制方法、装置、设备及介质，所述方法包括：用户进行身份标识认证，认证通过后查询用户对应的角色；根据所述角色编辑控制权限函数集；根据控制权限函数集对资源权限进行打包控制获得权限集，并设置权限集有效时间；查询用户请求访问能源互联网资源的请求时间，判断请求时间是否在用户对应权限集的权限集有效时间内，若是反馈权限集授权结果信息至用户，否则结束。本发明能适应于用户角色身份的动态变化，保护用户角色与权限之间的正确对应关系，有效防止内网资源的非法访问，很好地满足系统不断变化的安全需求。

　　本发明属于信息安全技术领域，涉及一种能源互联网动态访问控制方法、装置、设备及介质。

　　在全球信息化发展节奏不断加快的当下，能源互联网在能源生产端、能源传输端、能源消费端产生了庞大的信息数据，数据在采集、传输和存储过程中的泄露会带来严重的安全问题。现有的能源互联网安全机制依赖于传统的访问控制机制和特定的网络防御边界，存在静态策略和粗粒度设计的局限性。既无法保障能源互联网资源访问过程中的安全可靠，同时也难以提供高效动态的访问控制服务。

　　当前主流的访问控制方式主要有三种模式：自主访问控制、强制访问控制和基于角色的访问控制。

　　自主访问控制(Discretionary Access Control，DAC)，是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问，并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。属主可自行决定自己的客体的访问权限或部分访问权限授予其他主体。这种模式是自主进行的，在一定程度上可以实现不同用户的权限隔离和资源保护，实现高效简便。

　　强制访问控制(Mandatory Access Control，MAC)，是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强制性控制，按照规定的规则决定哪些用户可以对哪些对象进行什么样操作系统类型的访问，即使是创建者用户，在创建一个对象后，也可能无权访问该对象。这种访问控制的信息流从低安全级向高安全级流动。

　　DAC或MAC模型的主要任务都是对系统中的访问主体和受控对象进行一维的权限管理。当用户数量多、处理的信息数据量巨大时，用户权限的管理任务将变得十分繁重且难以维护，这就降低了系统的安全性和可靠性。

　　基于属性的访问控制(Arttribute-Based Access Control，ABAC)，是一种为解决行业分布式应用可信关系访问控制模型，它利用相关实体(如主体、客体、环境)的属性作为授权的基础来研究如何进行访问控制。基于这样的目的，可将实体的属性分为主体属性、客体属性和环境属性。

　　基于角色的访问控制(Role-Based Access Control，RBAC)是目前国际上流行的安全访问控制方法。它从控制主体的角度出发，根据管理中相对稳定的职权和责任来划分角色，将访问权限与角色相联系，并且提供角色分配规则。基于角色访问控制可以很好地描述角色层次关系，实现最小特权原则和职责分离原则。

　　随着网络环境不断发展，系统结构持续优化，资源权限也在不断细化，用户自身的角色及其对应的资源访问权限往往会因为一些外在因素发生变化。同时，系统中的角色也会进行更新或增删，相应的访问权限也会随之变化，如果用户的角色身份地位被降低，而分配给用户的权限没有收回或降低，又或是资源访问权限等级被提升，而分配到相应角色的权限没有进行对应调整，则都会造成低等级角色用户非法访问高等级内部工作网络资源的严重后果。传统的面向封闭环境的静态访问控制策略在当前信息形势下，难以保证内部工作网络资源对终端的安全分配。

　　本发明的目的在于提供一种能源互联网动态访问控制方法、装置、设备及介质，基于最小权限原则，实现用户角色变更时对资源访问权限的动态调整，以解决上述技术问题。

　　根据控制权限函数集对资源权限进行打包控制获得权限集，并设置权限集有效时间；

　　查询用户请求访问能源互联网资源的请求时间，判断请求时间是否在用户对应权限集的权限集有效时间内，若是反馈权限集授权结果信息至用户，否则结束。

　　本发明进一步的改进在于：所述用户进行身份标识认证，认证通过后查询用户对应的角色的步骤中，所述用户进行身份标识认证的步骤具体包括：

　　本发明进一步的改进在于：所述根据所述角色编辑控制权限函数集的步骤具体包括：

　　本发明进一步的改进在于：所述根据控制权限函数集对资源权限进行打包控制获得权限集，并设置权限集有效时间的步骤，具体包括：

　　资源管理服务器根据控制权限函数集对角色能够访问的内网资源权限进行打包控制，将资源权限输出为权限集P

　　本发明进一步的改进在于：所述根据控制权限函数集对资源权限进行打包控制获得权限集，并设置权限集有效时间的步骤，与查询用户请求访问能源互联网资源的请求时间的步骤之间，还包括以下步骤：

　　资源管理服务器判断角色对应的资源权限集合是否需要更新，若是转入资源管理服务器根据所述角色编辑控制权限函数集的步骤，若否转入查询用户请求访问能源互联网资源的请求时间的步骤。

　　打包模块，用于根据控制权限函数集对资源权限进行打包控制获得权限集，并设置权限集有效时间；

　　查询反馈模块，用于查询用户请求访问能源互联网资源的请求时间，判断请求时间是否在用户对应权限集的权限集有效时间内，若是反馈权限集授权结果信息至用户，否则结束。

　　本发明进一步的改进在于：所述认证模块对用户进行身份标识认证的步骤具体包括：

　　本发明进一步的改进在于：所述编辑模块根据所述角色编辑控制权限函数集的步骤具体包括：

　　本发明进一步的改进在于：所述打包模块根据控制权限函数集对资源权限进行打包控制获得权限集，并设置权限集有效时间的步骤，具体包括：

　　资源管理服务器根据控制权限函数集对角色能够访问的内网资源权限进行打包控制，将资源权限输出为权限集P

　　第三方面，本发明提供一种电子设备海德体育，包括处理器和存储器，所述处理器用于执行存储器中存储的计算机程序以实现所述的能源互联网动态访问控制方法。

　　第四方面，本发明提供一种计算机可读存储介质，所述计算机可读存储介质存储有至少一个指令，所述至少一个指令被处理器执行时实现所述的能源互联网动态访问控制方法。

　　本发明提供一种能源互联网动态访问控制方法、装置、设备和介质，首先对所有资源权限进行基于最小化权限原则的权限划分海德体育，形成权限的包容集合，资源管理服务器再通过编辑控制权限函数集将最小化的权限根据不同角色的具体权限需要进行打包控制，形成一个个权限集合，共同构成权限集。最后系统将权限集里对用户角色的权限集合赋予用户。资源管理服务器只需对控制权限函数集进行编辑，就可以对权限的分配进行动态控制。本发明能适应于用户角色身份的动态变化，保护用户角色与权限之间的正确对应关系，有效防止内网资源的非法访问，很好地满足系统不断变化的安全需求。

　　本发明通过分析能源互联网场景的安全需求，在细化能源互联网资源权限分配粒度的同时海德体育，保证资源的访问控制过程与能源互联网环境安全状态实时相关，实现与能源互联网环境相关联的动态资源访问权限调整策略。

　　本发明能有效保障内网访问控制权限分配的安全性，能够根据用户角色变化和系统资源权限更新动态调整用户权限，具有安全性高、授权管理便捷、可以根据工作需要灵活调整终端度量内容、容易实现的优点。

　　通过本发明的技术方案，角色对应的权限集合具有灵活性，能够根据当前工作场景要求和权限集有效时间判断是否要重新计算权限集，实现动态调整角色对应的访问权限。

　　构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

　　图1为本发明实施例1的基于终端属性和用户角色的细粒度能源互联网动态访问控制方法模型示意图；

　　图2为本发明实施例2的基于终端属性和用户角色的细粒度能源互联网动态访问控制方法流程图示意图；

　　图3为本发明能源互联网动态访问控制方法访问、查询、打包、授权过程示意图；

　　下面将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

　　以下详细说明均是示例性的说明，旨在对本发明提供进一步的详细说明。除非另有指明，本发明所采用的所有技术术语与本发明所属领域的一般技术人员的通常理解的含义相同。本发明所使用的术语仅是为了描述具体实施方式，而并非意图限制根据本发明的示例性实施方式。

　　本发明的拓展模型请见图1，本发明提供一种基于终端属性和用户角色的细粒度能源互联网动态访问控制方法，它由资源权限(A

　　步骤1：资源管理服务器对内网资源进行最小化权限划分，形成各个资源对应的多种权限Aij；

　　每一个内网用户在访问内网资源前需要验证用户身份，验证通过后再使用资源访问权限打包控制方法，返回对应角色当前的访问控制策略。系统认证服务器依据用户ID生成唯一身份令牌(T

　　假设用户验证口令通过后系统认证服务查询到该用户对应角色k，资源管理服务器开始轮询资源i的权限更新状态Ri

　　步骤4：资源管理服务器根据控制权限函数集对资源权限进行打包控制获得权限集，并设置权限集有效时间；

　　访问权限打包控制函数F是资源管理服务器可以自主调整的权限集计算函数，一个角色对应一种访问权限打包控制函数F。例如，角色k的权限打包控制算法如式(7)所示：

　　资源管理服务器根据控制权限函数集对角色能够访问的内网资源权限进行打包控制，将资源权限输出为权限集P

　　步骤5：资源管理服务器判断是否当前系统内角色对应的资源权限集合是否需要更新，若是转入步骤3，若否转入步骤6；

　　当资源管理服务器需要修改资源访问权限时，资源更新匹配算法对包含所述资源的权限打包控制函数进行映射和更新。资源管理服务器对控制权限函数集中相应的F进行编辑，就可以对权限的分配进行动态控制。

　　当控制权限函数集中的访问权限打包控制函数F包含更改了访问权限的资源i时，资源管理服务器通过Algo

　　步骤6：资源管理服务器根据用户角色，查询用户对资源对象的访问权限，在能源互联网，访问系统在可信授权中心预先设置数据库存储的模型策略表项，在表单中记录了各模型实体的属性结构。不同访问安全等级的角色下用户的访问权限也会随之改变，可信授权中心为根据用户终端属性分配用户角色和访问安全等级，以此执行细粒度的动态访问控制，访问控制策略表发送至可信服务器中加密保存，在用户请求访问时执行策略；

　　步骤7：根据用户在当前工作场景的查询请求时间判断是否在权限集有效时间段内，若在转入步骤8，若不在转入步骤3；

　　本实施例提供一种基于终端属性和用户角色的细粒度能源互联网动态访问控制方法，基于用户定义:

　　步骤1：资源管理服务器对内网资源进行最小化权限划分，形成各个资源对应的多种权限；

　　步骤4：根据控制函数权限集对资源权限进行打包控制，将输入的资源权限输出为权限集，设置权限集有效时间,所述的资源权限打包控制，计算公式如下：

　　步骤5：根据工作场景和资源更新等系统外界因素判断是否当前系统内角色对应的资源权限集合是否更新，若是转入步骤3，若否转入步骤6；

　　步骤7：根据用户在当前工作场景的查询请求时间判断是否在权限集有效时间段内，若在转入步骤8，若不在转入步骤3；

　　S3、根据控制权限函数集对资源权限进行打包控制获得权限集，并设置权限集有效时间；

　　S4、查询用户请求访问能源互联网资源的请求时间，判断请求时间是否在用户对应权限集的权限集有效时间内，若是反馈权限集授权结果信息至用户，否则结束。

　　步骤S1中，认证通过后系统认证服务器查询用户角色；资源管理服务器开始轮询资源i的权限更新状态Ri

　　步骤S3中，所述根据控制权限函数集对资源权限进行打包控制获得权限集，并设置权限集有效时间的步骤，具体包括：

　　资源管理服务器根据控制权限函数集对角色能够访问的内网资源权限进行打包控制，将资源权限输出为权限集P

　　步骤S3和步骤S4之间，还包括以下步骤：资源管理服务器判断角色对应的资源权限集合是否需要更新，若是转入资源管理服务器根据所述角色编辑控制权限函数集的步骤，若否转入查询用户请求访问能源互联网资源的请求时间的步骤。

　　打包模块，用于根据控制权限函数集对资源权限进行打包控制获得权限集，并设置权限集有效时间；

　　查询反馈模块，用于查询用户请求访问能源互联网资源的请求时间，判断请求时间是否在用户对应权限集的权限集有效时间内，若是反馈权限集授权结果信息至用户，否则结束。

　　认证通过后系统认证服务器查询用户角色；资源管理服务器开始轮询资源i的权限更新状态Ri

　　所述打包模块根据控制权限函数集对资源权限进行打包控制获得权限集，并设置权限集有效时间的步骤，具体包括：

　　资源管理服务器根据控制权限函数集对角色能够访问的内网资源权限进行打包控制，将资源权限输出为权限集P

　　请参阅图6所示，本实施例提供一种电子设备100；所述电子设备100包括存储器101、至少一个处理器102、存储在所述存储器101中并可在所述至少一个处理器102上运行的计算机程序103及至少一条通讯总线可用于存储所述计算机程序103，所述处理器102通过运行或执行存储在所述存储器101内的计算机程序，以及调用存储在存储器101内的数据，实现实施例1或2所述的能源互联网动态访问控制方法步骤。所述存储器101可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据电子设备100的使用所创建的数据(比如音频数据)等。此外，存储器101可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(Smart Media Card，SMC)，安全数字(Secure Digital，SD)卡，闪存卡(FlashCard)、至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。

　　所述至少一个处理器102可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器102可以是微处理器或者该处理器102也可以是任何常规的处理器等，所述处理器102是所述电子设备100的控制中心，利用各种接口和线的各个部分。

　　所述电子设备100中的所述存储器101存储多个指令以实现能源互联网动态访问控制方法，所述处理器102可执行所述多个指令从而实现：

　　根据控制权限函数集对资源权限进行打包控制获得权限集，并设置权限集有效时间；

　　查询用户请求访问能源互联网资源的请求时间，判断请求时间是否在用户对应权限集的权限集有效时间内，若是反馈权限集授权结果信息至用户，否则结束。

　　所述电子设备100集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器及只读存储器(ROM，Read-Only Memory)。

　　本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例海德体育、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

　　本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

　　这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

　　这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

　　最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。

　　认证访问控制服务器设备，网关设备，认证访问控制方法，网关控制方法，认证访问控制程序和已记录程序的记录介质以及网关控制程序和已记录程序的记录介质

　　认证访问控制服务器设备，网关设备，认证访问控制方法，网关控制方法，通过其记录的认证访问控制程序和记录介质，以及通过该记录的网关控制程序和记录介质

　　一种计算机化形成系统信息介质访问控制协议消息的方法，一种从系统信息介质访问控制协议消息辅助确定系统信息的方法，介质访问控制单元，蜂窝通信设备和计算机程序元素

　　在专利申请中，标题为“几何特征提取装置海德体育，几何特征提取方法，存储介质，三维测量设备和物体识别设备”的专利申请

　　7.Разработка метода и средств проведения испытаний оптико-электронных устройств контроля доступа в системах обеспечения безопасности полиграфического оборудования[O]