[发明专利]一种能够实现对电网模型数据安全配置和访问的电网对象访问控制装置

说明书

技术领域

本发明涉及电网数据的安全访问和控制，具体来说涉及提供一种能够实现对电网模型数据安全配置和访问的电网对象访问控制装置。

背景技术

电力系统的生产管理通常根据电网分布的地域、电网的电压等级等特征，将电网划分成分层分块的多个子网，如按电压等级等电气特征，可以将电网划分成国调、网调、省调、地调、县调等多级调度中心；而在同一个级别，又可以按照电网分布的地域将同一级别的电网划分为多个调度中心；最终形成一套“统一调度、分层管理”的管理体系。

近年来，随着电网业务的发展和管理要求的提高，电力系统各个专业应用之间、各部门之间、上下级调度机构之间的信息共享和协作的要求越来越高。电力控制中心需要在满足电力调度系统网络安全隔离的要求下，整合管理多级调度电网模型、数据、图形等各种信息资源，建立统一的电网运行数据中心，实现电力系统信息资源的共享，进而为电网调度生产、管理决策提供可靠的数据资源和有力的综合分析与应用手段。

伴随着统一的电网运行数据中心而来的，是对信息访问管控的需求。在建设电网运行数据中心以前，与“统一调度、分层管理”的管理体系对应，各调度中心都建立并维护着所辖电网的详细的电网模型结构参数和与运行数据，并负责相应的电网运行数据进行整体安全管控。但在电网运行数据中心中，各调度中心的的电网运行数据被整合在一起，对电网运行数据访问的安全管控则必须更为细致和灵活。

现有技术中，直接利用系统所基于的数据库安全访问控制对电网运行数据的访问进行管控是目前常见的方式。通过设置用户是否对指定对象类型（或表格）、对象实例（或表格记录）的访问权限达到对指定数据访问的管控。

而基于数据库的安全访问控制的缺点在于：安全控制粒度与电力系统实际不匹配，电力系统采取的分层、分区域安全管控，而数据库安全管理，如关系数据库系统，面向的是表格、表格记录；这就导致相应的安全控制实现复杂、访问控制效率低。

另外一种常见的安全解决方案是直接针对OPC UA服务器电网模型节点进行访问权限控制。

OPC：OLE for Process Control, 用于过程控制的OLE。是一个工业标准，管理这个标准国际组织是OPC基金会。OPC包括一整套接口、属性和方法的标准集，用于过程控制和制造业自动化系统。

OPC UA：OPC Unified Architecture，OPC基金会规定的用于替代OPC的新标准协议。UA为统一架构。

OPC UA是一种由OPC基金会规定的、用于独立于制造厂商和平台的通信的新标准协议，特别是在过程自动化中。OPC UA提供了一个一致的、完整的地址空间和服务模型，可用来将电网运行数据中心中的所有电网运行数据，包括电网描述数据、实时数据，报警与事件以及它们的历史信息统一到一个OPC UA服务器地址空间里，并且以用一套统一的服务为它们向外提供接口。OPC UA还提供了一个安全模型，给出了何种安全机制可供选择和配置以满足对特定安装的安全需求。安全模型包括标准安全机制和参数。应用程序级的安全性依靠一个安全的通信通道，这个通信通道在应用程序会话过程中始终有效，并且保证所有被交换信息的完整性。当一个会话建立时，客户端和服务器应用程序协商构造一个安全通信通道并且交换表明客户端和服务器身份的软件认证书还要交换各自所能提供功能的信息。

直接基于OPC UA服务器电网模型节点的安全访问控制的缺点在于：以OPC UA节点为安全控制基础，对于地调电网模型OPC UA节点就达到百万数量级的电网模型而言，其安全控制粒度过细，相应的系统配置维护工作量大。而且，由于不能与电网生产管理的现行管理方式匹配，在电网模型或电网调度权限发生变化时，难以自动进行安全配置迁移。

发明内容

本发明的目的在于提供一种能够实现对电网模型数据安全配置和访问的电网对象访问控制装置，该装置能够将用户认证和授权机制与电网模型的层次划分继承，实现对电网运行数据访问的更加细致、灵活和高效的安全管控，并且该装置能够实现对整个电网运行数据的安全访问与现行管理系统的对应的、合适力度的访问控制。

本发明的目的可通过以下的技术措施来实现：

一种能够实现对电网模型数据安全配置和访问的电网对象访问控制装置，所述装置包括：

电网模型数据的分层划分及安全权限配置模块和访问安全控制模块；所述分层划分及安全权限配置模块实现电网模型数据的分层划分及安全权限配置，包括如下内容：

（11）电网模型分区初始化：