，，，

( 1.貴州電網(wǎng)有限責(zé)任公司 電力調(diào)度控制中心， 貴陽 550002；2.貴州電網(wǎng)有限責(zé)任公司 貴陽供電局， 貴陽 550002； 3.貴州電網(wǎng)有限責(zé)任公司 興義供電局，貴州 興義 562400)

基于云存儲的電力系統(tǒng)訪問控制方案設(shè)計(jì)

陳勝1，劉曉放1，張承模2，王家軍3

( 1.貴州電網(wǎng)有限責(zé)任公司電力調(diào)度控制中心，貴陽550002；2.貴州電網(wǎng)有限責(zé)任公司貴陽供電局，貴陽550002； 3.貴州電網(wǎng)有限責(zé)任公司興義供電局，貴州興義562400)

電力系統(tǒng)是一個(gè)由多個(gè)子系統(tǒng)構(gòu)成的綜合性系統(tǒng)，作為一個(gè)能夠?qū)崿F(xiàn)海量數(shù)據(jù)處理同時(shí)具有高實(shí)時(shí)性、高可靠性的管理控制平臺，需要電力系統(tǒng)能夠?qū)崿F(xiàn)對所轄多個(gè)子系統(tǒng)進(jìn)行復(fù)雜、細(xì)密、大范圍的訪問控制，這些條件要求能夠設(shè)計(jì)出合理有效的訪問控制模型;為了實(shí)現(xiàn)安全、可靠、高效的電力系統(tǒng)訪問控制提出了將傳統(tǒng)電力系統(tǒng)同云存儲平臺相結(jié)合的訪問控制方案，通過云存儲平臺對數(shù)據(jù)進(jìn)行存取可以達(dá)到大數(shù)據(jù)量、均衡負(fù)載、安全可靠的目的；通過添加可信度因子構(gòu)建訪問控制模型，根據(jù)不同用戶的可行度計(jì)算值分配給以不同的權(quán)限，匹配其可操作的資源，實(shí)現(xiàn)了對于用戶操作對象的細(xì)化識別。

云存儲；電力系統(tǒng)；可信度；訪問控制

0 引言

隨著經(jīng)濟(jì)社會的高速發(fā)展，電網(wǎng)已經(jīng)成為了國家能源產(chǎn)業(yè)鏈條上的一個(gè)重要環(huán)節(jié)，更是一個(gè)國家國力的重要體現(xiàn)。各行各業(yè)的生產(chǎn)運(yùn)營都高度依賴電力的可靠供應(yīng)，是否能夠提高電網(wǎng)系統(tǒng)的供電可靠性以及供電質(zhì)量顯得至關(guān)重要。經(jīng)過電力工作者們的不斷研究探索，智能電網(wǎng)概念應(yīng)運(yùn)而生，其所具有的高效、安全、可靠、交互性強(qiáng)等特征為電網(wǎng)的發(fā)展指明了未來的方向。智能電網(wǎng)所具有的更強(qiáng)的信息流和業(yè)務(wù)流的融合能力大大提升了電網(wǎng)的堅(jiān)強(qiáng)性同時(shí)具有更好的信息共享性與交互性。而能否構(gòu)建一個(gè)有效可靠的智能電網(wǎng)的重要基礎(chǔ)就是信息平臺的搭建。

云存儲和云計(jì)算作為一個(gè)全面的IT解決方案，以提供服務(wù)的方式為用戶提供強(qiáng)大的存儲和計(jì)算能力[1-3]。云存儲技術(shù)在云計(jì)算的基礎(chǔ)上，采用網(wǎng)絡(luò)技術(shù)、文件分布式技術(shù)、集群技術(shù)、訪問控制相結(jié)合的方法將數(shù)目龐大的下層存儲設(shè)備進(jìn)行集成，為上層提供透明可靠的數(shù)據(jù)存儲服務(wù)。其可以解決海量數(shù)據(jù)的存儲和維護(hù)問題，能夠?yàn)橄到y(tǒng)提供實(shí)時(shí)、可靠、安全的數(shù)據(jù)存儲服務(wù)[4]。為了提高電力系統(tǒng)的訪問效率與容量，提出了基于云存儲的電力系統(tǒng)訪問控制方案。首先構(gòu)建一個(gè)基于云存儲的智能配電運(yùn)營系統(tǒng)，提供了安全、可靠、高效、大容量的電力控制平臺；隨后引入可信度因子對每一個(gè)訪問用戶進(jìn)行可行度計(jì)算，以確定其所擁有的權(quán)限，匹配相應(yīng)資源。

本文的結(jié)構(gòu)安排如下，首先介紹了云存儲的結(jié)構(gòu)模型，構(gòu)建了基于云存儲的智能配電運(yùn)營系統(tǒng)，隨后提出了可信度因子，通過計(jì)算不同用戶可信度進(jìn)行訪問控制，緊接著提出了基于云存儲的電力系統(tǒng)訪問控制方案設(shè)計(jì)。最后通過實(shí)驗(yàn)進(jìn)行了驗(yàn)證與分析并給出結(jié)論。

1 云存儲的結(jié)構(gòu)模型

1.1 云存儲基礎(chǔ)構(gòu)型

與經(jīng)典的存儲系統(tǒng)模型所不同，云存儲技術(shù)是將存儲數(shù)據(jù)與訪問業(yè)務(wù)服務(wù)都基于虛擬的應(yīng)用軟件實(shí)現(xiàn)。一個(gè)標(biāo)準(zhǔn)的云存儲系統(tǒng)的結(jié)構(gòu)框架自上而下可以簡化為：訪問層、應(yīng)用接口層、基礎(chǔ)管理層和存儲層。其基本的體系結(jié)構(gòu)如圖1所示[5-8]。

圖1 云存儲系統(tǒng)結(jié)構(gòu)模型

其每一層都擁有不同的功能，在整個(gè)系統(tǒng)中分配著不同的作用：

1)訪問層。該層給所有訪問用戶進(jìn)行授權(quán)以登錄云存儲系統(tǒng)，并使用相應(yīng)的云存儲服務(wù)。

2)應(yīng)用接口層。應(yīng)用接口層是整個(gè)系統(tǒng)中適應(yīng)性最強(qiáng)的部分，可以根據(jù)各類不同的具體業(yè)務(wù)需求進(jìn)行應(yīng)用接口開發(fā)，針對性地提供專業(yè)性的服務(wù)。

3)基礎(chǔ)管理層。這一層是云存儲系統(tǒng)中最為核心的部分，其技術(shù)實(shí)現(xiàn)也最為難辦。這一層綜合使用多種技術(shù)協(xié)調(diào)云端的各類不同設(shè)備之間的同步操作，使得 各類設(shè)備能夠根據(jù)外部需求提供一致的對外服務(wù)。

4)存儲層。作為云存儲系統(tǒng)的根基，存儲層是由各類具體的存儲于通信設(shè)備所組成的，為了實(shí)現(xiàn)該層的基礎(chǔ)功能需要搭建大量的計(jì)算機(jī)進(jìn)行集群化計(jì)算實(shí)現(xiàn)虛擬管理。其中包含的大量存儲設(shè)備是分散的，并不是傳統(tǒng)模式的集中式，它們相互之間借助于網(wǎng)絡(luò)進(jìn)行連接傳輸。

1.2 基于Hadoop的云存儲構(gòu)型

圖2 HDFS體系結(jié)構(gòu)示意圖

2 基于可信度的訪問控制模型

2.1 訪問控制

訪問控制技術(shù)是為了能夠?qū)崿F(xiàn)系統(tǒng)的安全可靠，有效地監(jiān)控每一位用戶對于目標(biāo)資源的訪問并授予相應(yīng)的權(quán)限，防止非法用戶對于系統(tǒng)資源的竊取與破壞[14]。訪問控制由主體、客體以及訪問控制策略這3個(gè)部分組成。主體指的是訪問的主動發(fā)起者，由他提出訪問或者使用目標(biāo)系統(tǒng)中的特定資源，雖然他發(fā)起了訪問但是并不是一定執(zhí)行。客體則是指可以被除自身外其他實(shí)體所訪問的目標(biāo)對象，包括所有可悲操作的信息以及資源。訪問策略并不是實(shí)體的設(shè)備，而是規(guī)則集合，規(guī)定了操作的方式和約束條件。

2.2 可信度訪問控制

為了能夠動態(tài)地控制與調(diào)整從用戶發(fā)起請求到云存儲系統(tǒng)進(jìn)行授權(quán)的整個(gè)生態(tài)周期，該文設(shè)計(jì)了如圖3所示的添加可信度的訪問控制架構(gòu)。

圖3 可信度訪問控制框架示意圖

T(u)=ωATAT(u)+ωBTBT(u)

(1)

而用戶的基本可信度的關(guān)鍵因素與五個(gè)方面有關(guān)，分別是：靜態(tài)屬性、可信平臺、系統(tǒng)、安全設(shè)備以及應(yīng)用軟件。假定這5個(gè)影響因子的權(quán)重分別為ω1，ω2，ω3，ω4，ω5，進(jìn)一步可以計(jì)算得出用戶的基本可信度，計(jì)算公式如下：

AT(u)=ω1*t+ω2*(m1÷n1)+ω3*(m2÷n2)

+ω4*(m3÷n3)+ω5*(m4÷n4)(4-2)

(2)

其中：n1,n2,n3,n4分別表示平臺、系統(tǒng)、安全控制設(shè)備以及應(yīng)用的操作數(shù)數(shù)目，而m1,m2,m3,m4則分別表示這其中的可信操作數(shù)目，而靜態(tài)可信度t由系統(tǒng)特性決定。

另一方面通過云存儲系統(tǒng)記錄并保存用戶的訪問行為，監(jiān)控用戶完成任務(wù)的情況。用戶的訪問行為與任務(wù)處理結(jié)果可以分為正面與負(fù)面兩種情況，為了更加突出負(fù)面結(jié)果給系統(tǒng)造成的影響更大，在設(shè)計(jì)計(jì)算可信度時(shí)將正面結(jié)果的敏感值預(yù)定為vi=1，而另一方面將負(fù)面結(jié)果的敏感值預(yù)定為vi=-2，以體現(xiàn)出可信度的慢增驟降特性。由此，行為的可信度計(jì)算可以表示為：

BT(u)=∑vi÷∑|vi|(4-3)

(3)

3 基于云存儲的電力系統(tǒng)訪問控制方案

電力系統(tǒng)中的用戶角色可以分成系統(tǒng)管理人員、智能微網(wǎng)、用電用戶，當(dāng)某一個(gè)用戶想對系統(tǒng)存儲于云端的資源發(fā)起訪問時(shí)首先通過云存儲端的可信度計(jì)算過程，通過計(jì)算得出的可信度與預(yù)設(shè)的閾值進(jìn)行對比，根據(jù)相應(yīng)的可信度分配以相應(yīng)的操作權(quán)限。通過大量測試對比，可以假定系統(tǒng)管理人員的可信度閾值為0.8，智能微網(wǎng)的可信度閾值為0.7，而用電用戶閾值設(shè)置為0.6。

整個(gè)系統(tǒng)的訪問控制方法如下：

1)合法用戶Alice的訪問控制：用戶Alice進(jìn)行登錄系統(tǒng)操作，提出某一項(xiàng)具體的操作請求，具體步驟設(shè)計(jì)如下：

(1)控制系統(tǒng)對用戶的身份進(jìn)行確認(rèn)，同時(shí)從云端搜集該用戶存儲于云端的操作記錄日志，如果目標(biāo)身份認(rèn)證通過則進(jìn)行下一步操作，否則拒絕用戶登錄系統(tǒng)；

(2)根據(jù)系統(tǒng)從云端搜集的用戶操作記錄，依次分類出屬于平臺、系統(tǒng)、安全設(shè)備以及應(yīng)用程序的操作數(shù)目，將該次計(jì)算操作轉(zhuǎn)移到目標(biāo)文件處，根據(jù)合理預(yù)設(shè)的權(quán)重值，計(jì)算出用戶的最終可信度值；

(3)根據(jù)目標(biāo)特征屬性匹配其所屬的用戶組，確定其可使用的相關(guān)操作；

(4)在系統(tǒng)數(shù)據(jù)庫中查詢用戶角色與所計(jì)算的可信度值，決定用戶組操作；

(5)根據(jù)用戶所屬用戶組與用戶所請求的操作進(jìn)行對比，以確定該用戶是否可以進(jìn)行相應(yīng)操作；

(6)查詢云端數(shù)據(jù)庫，確定用戶對于該操作所擁有的權(quán)限；

(7)確認(rèn)操作合理后，進(jìn)行操作，否則拒絕，并將該次操作記錄的歷史文件存儲于云系統(tǒng)中。

2)非法用戶Bob的訪問控制：非法用戶Bob偽裝成合法用戶登錄系統(tǒng)，進(jìn)行非法訪問操作請求。同合法用戶一樣，首先系統(tǒng)進(jìn)行身份確認(rèn)，但是由于其進(jìn)行了偽裝，通過了系統(tǒng)認(rèn)證，但是下一步計(jì)算用戶可信度時(shí)，由于其存儲于云端的操作記錄可信操作數(shù)低，計(jì)算出的最終可信度值大大低于正常用戶可信度，達(dá)不到其所屬用戶可信度值，系統(tǒng)根據(jù)這一可信度依據(jù)拒絕其進(jìn)入系統(tǒng)，或者進(jìn)入系統(tǒng)后不能達(dá)到高權(quán)限的操作。通過這種云端數(shù)據(jù)記錄與對比的方式實(shí)現(xiàn)對目標(biāo)用戶的訪問控制。

4 實(shí)驗(yàn)與分析

4.1 方案驗(yàn)證與分析

由于采用了云存儲來實(shí)現(xiàn)海量數(shù)據(jù)的存儲以及通過可信度對目標(biāo)用戶的訪問進(jìn)行控制，實(shí)驗(yàn)部分分別對系統(tǒng)的大數(shù)據(jù)存儲能力、吞吐量以及是否可有效進(jìn)行訪問控制進(jìn)行驗(yàn)證分析。

首先搭建一個(gè)Hadoop集群以充分利用整個(gè)電力系統(tǒng)中的閑置資源，該實(shí)驗(yàn)使用8臺計(jì)算機(jī)采用相同的配置構(gòu)建了一個(gè)完全分布式的Hadoop集群。平臺一共由8個(gè)物理節(jié)點(diǎn)組成，其中一個(gè)作為Namenode，剩余7個(gè)作為Datanode，每一個(gè)節(jié)點(diǎn)的配置都是Intel(R)Core(TM)i3CPU,主頻2.27 GHz，內(nèi)存大小4 G，使用的網(wǎng)絡(luò)帶寬100 Mbps。

由于Linux是唯一支持Hadoop的系統(tǒng)平臺，因此實(shí)驗(yàn)采用Linux作為操作系統(tǒng)，所用Linux版本為Ubuntun12.04，JDK1.6版本。

在系統(tǒng)配置完成后，首先測試驗(yàn)證了系統(tǒng)對于訪問數(shù)據(jù)的吞吐能力，插入一條大小為1 KB的數(shù)據(jù)，設(shè)置不同的數(shù)據(jù)量，測試其存儲速率。結(jié)果如圖4所示。

圖4 吞吐速率驗(yàn)證結(jié)果

由圖4可以看出該系統(tǒng)具有很好的數(shù)據(jù)吞吐能力，同時(shí)隨著數(shù)據(jù)量的不斷提高其吞吐速率也隨著不斷增加，體現(xiàn)了云存儲方案集群化后的數(shù)據(jù)處理優(yōu)勢。

由于系統(tǒng)需要從云存儲系統(tǒng)中讀取用戶存儲的訪問數(shù)據(jù)進(jìn)行可信度的計(jì)算以對用戶的訪問行為進(jìn)行控制，另一方面測試系統(tǒng)對于數(shù)據(jù)的讀取速率。結(jié)果如下圖5所示。

圖5 存儲速率驗(yàn)證結(jié)果圖

由圖5可以看出該系統(tǒng)對于數(shù)據(jù)的讀取具有非常好的支持，其對于數(shù)據(jù)的讀取所花費(fèi)的時(shí)間一直維持在一個(gè)較低的水平之下，但是隨著數(shù)據(jù)量的不斷增大其數(shù)據(jù)讀取時(shí)間也相應(yīng)增加。

隨后我們對于系統(tǒng)是否可以進(jìn)行用戶的訪問控制進(jìn)行仿真驗(yàn)證，首先通過仿真從云端讀取出用戶的訪問數(shù)據(jù)，通過計(jì)算后得出其可信度，反饋給訪問控制模塊。最終實(shí)現(xiàn)的系統(tǒng)會促進(jìn)可信用戶的可信度不斷提升，而對于非法用戶其每次非法操作都會對其 后續(xù)可信度造成影響。在不同身份用戶進(jìn)行訪問時(shí)其所對應(yīng)的可信度如圖6所示。

圖6 不同用戶訪問可信度值

如圖6所示，在合法的用戶訪問電力系統(tǒng)時(shí)，根據(jù)其所計(jì)算出的可信度高于非法用戶的可信度值，且隨著訪問次數(shù)的增加，其每次的訪問記錄都會被存儲到云端，隨后的可信度計(jì)算會根據(jù)這些操作記錄進(jìn)行判定?？梢钥闯鲭S著操作次數(shù)的不斷增加，合法用戶的可信度不斷增加，而相反的對于非法用戶其可信度受其非法操作的影響可信度一直下降。結(jié)果表明系統(tǒng)有效實(shí)現(xiàn)了對于用戶訪問行為的控制管理目標(biāo)。

4.2 方案不足

雖然該方案有效實(shí)現(xiàn)了對用戶訪問行為的控制管理并獲得了較高的吞吐量與速率，但是依然存在一些欠缺之處：

1)可信度計(jì)算依賴于權(quán)值的設(shè)置，只有設(shè)定合理的權(quán)值才能保證系統(tǒng)的穩(wěn)定有效運(yùn)行，兼容性不強(qiáng)；

2)云存儲系統(tǒng)的復(fù)雜度高、架構(gòu)難度大，對于平臺遷移所產(chǎn)生的問題需要進(jìn)一步研究。

5 結(jié)論

本文基于云存儲的高數(shù)據(jù)量處理能力，吞吐量快，讀取時(shí)間短的優(yōu)勢結(jié)合可信度計(jì)算設(shè)計(jì)了基于云存儲的電力系統(tǒng)訪問控制方案。通過云存儲的方式將用戶的訪問記錄進(jìn)行保存并在用戶訪問時(shí)進(jìn)行提取以進(jìn)行可信度計(jì)算，云存儲架構(gòu)通過集群方式大大提高了系統(tǒng)的數(shù)據(jù)吞吐速率并降低了數(shù)據(jù)讀取時(shí)間，提高了系統(tǒng)效率。另一方面通過對用戶的特征并結(jié)合其過往操作記錄的可信度分析計(jì)算得出用戶的可信度，根據(jù)可信度進(jìn)行相應(yīng)的授權(quán)操作，有效實(shí)現(xiàn)了對不同用戶的訪問行為進(jìn)行控制的目的?？偨Y(jié)而言，該方案不但可以有效實(shí)現(xiàn)訪問控制，同時(shí)能夠極大提高系統(tǒng)效率，具有很好的發(fā)展前景。

[1]趙雪良. 電力云存儲中基于屬性和策略的訪問控制研究[D]. 保定:華北電力大學(xué), 2014.

[2]甘玉芳. 面向智能電網(wǎng)云存儲的基于屬性角色的訪問控制研究[D].保定:華北電力大學(xué), 2015.

[3]羅 超. 基于云存儲的智能配用電系統(tǒng)及其訪問控制方法研究[D]. 保定:華北電力大學(xué), 2014.

[4]張鴻輝, 劉 偉, 李永強(qiáng). 應(yīng)用于電網(wǎng)企業(yè)的云存儲訪問控制增強(qiáng)策略[J]. 計(jì)算機(jī)應(yīng)用與軟件, 2014(2):17-20.

[5]冉 軍. 基于云存儲的智能電網(wǎng)訪問控制研究[D].保定:華北電力大學(xué), 2014.

[6]關(guān)志濤, 楊亭亭, 徐茹枝,等. 面向云存儲的基于屬性加密的多授權(quán)中心訪問控制方案[J]. 通信學(xué)報(bào), 2015, 36(6):116-126.

[7]明 鏡. 智能配電網(wǎng)云存儲中基于屬性的訪問控制研究[D].保定:華北電力大學(xué), 2015.

[8]厲優(yōu)棟. 基于電力系統(tǒng)統(tǒng)一平臺的訪問控制機(jī)制的研究與實(shí)現(xiàn)[D]. 上海:上海交通大學(xué), 2012.

[9]王保義, 王藍(lán)婧. 電力信息系統(tǒng)中基于屬性的訪問控制模型的設(shè)計(jì)[J]. 電力系統(tǒng)自動化, 2007, 31(7):81-84.

[10]王保義, 邱素改, 張少敏. 電力調(diào)度自動化系統(tǒng)中基于可信度的訪問控制模型[J]. 電力系統(tǒng)自動化, 2012, 36(12):76-81.

[11]張 強(qiáng), 劉雪艷, 王維洲,等. 基于CP-ABE的智能電網(wǎng)訪問控制研究[J]. 計(jì)算機(jī)工程, 2014, 40(12):83-88.

[12]夏明超, 吳俊勇, 吳命利. 基于角色訪問控制在電力監(jiān)控系統(tǒng)中的應(yīng)用[J]. 電力系統(tǒng)及其自動化學(xué)報(bào), 2008, 20(2):46-50.

[13]孫中偉, 張榮剛. 智能配電網(wǎng)通信系統(tǒng)訪問控制研究[J]. 電力系統(tǒng)保護(hù)與控制, 2010, 38(21):118-121.

[14]宋燕敏, 楊爭林, 曹榮章,等. 電力市場運(yùn)營系統(tǒng)中的安全訪問控制[J]. 電力系統(tǒng)自動化, 2006, 30(7):80-84.

[15]孫中偉, 張榮剛. 智能配電網(wǎng)通信系統(tǒng)訪問控制研究[J]. 電力系統(tǒng)保護(hù)與控制, 2010, 38(21):118-121.

[16]丁 杰, 奚后瑋, 韓海韻,等. 面向智能電網(wǎng)的數(shù)據(jù)密集型云存儲策略[J]. 電力系統(tǒng)自動化, 2012, 36(12):66-70.

DesignofAccessControlSchemeforElectricSystemBasedonCloudStorage

Chen Sheng1，Liu Xiaofang1， Zhang Chengmo2， Wang Jiajun3

(1.Power Dispatching and Control Center, Guizhou Power Grid Co.,Ltd, Guiyang 550002, China；2.Guiyang Power Supply Bureau, Guizhou Power Grid Co.,Ltd., Guiyang 556000, China3.XingYi Power Supply Bureau, Guizhou Power Grid Co.,Ltd., Xingyi 562400, China)

Electric system is a comprehensive system which is composed of several subsystems, as to achieve a massive data processing control platform which has high real-time, high reliability, power system can realize complex, dense, large range of access control under the jurisdiction of a number of subsystems, these requirements can be designed a reasonable and effective access control model. In order to put forward the traditional access control power system with cloud storage platform combining access control scheme of power system security, reliability and efficiency, through the cloud storage platform for access to data can reach a large amount of data, load balancing, safe and reliable; through adding credibility factors to construct the access control model, according to the feasible degree the calculation of different users value assigned to a different authority, its operational resources, to achieve a detailed user operation object recognition.

cloud storage; electric system; reliability; access control

2017-04-17；

2017-05-03。

陳 勝(1986-)，男，貴州貴陽人，碩士，工程師，主要從事電力系統(tǒng)調(diào)度自動化方向的研究。

1671-4598(2017)10-0240-04

10.16526/j.cnki.11-4762/tp.2017.10.061

TP273

A