[发明专利]一种云边端融合的电力信息通信系统跨域零信任认证系统

权利要求书

1.一种云边端融合的电力信息通信系统跨域零信任认证系统，其特征在于，所述跨域零信任认证系统应用于云边端一体化的电力信息通信系统；

所述跨域零信任认证系统包括云端资源导航服务器和互相隔离的若干个信任域；每个所述信任域均具有若干个注册用户，其内部存储有待访问的电力信息相关的资源数据；所述云端资源导航服务器用于对信任域路由信息和每个注册用户关联的信任域信息进行管理；

每个所述信任域均包括策略中心和代理网关；具有资源访问业务的信任域的代理网关之间构建有物理的资源访问通道；参与分布式认证的信任域的策略中心之间构建有零信任认证通道；策略中心运行在边缘侧；

所述代理网关对接收到的请求方的资源访问请求进行拦截，返回请求方的数字身份，生成访问请求事件并提交至所属信任域的策略中心；

所述策略中心内部署有域判断模块、本域认证模块、跨域认证模块和行为日志记录模块；所述行为日志记录模块用于存储访问策略中心所在域的所有用户的访问行为日志；所述域判断模块用于对访问请求事件对应的资源所属域进行判断，如果属于用户所在域，将访问请求事件转入本域认证模块，否则，将访问请求事件转入跨域认证模块，触发目标资源所在域的跨域认证模块进入认证流程；所述本域认证模块结合请求方的数字身份和访问策略库的匹配结果，通知本地代理网关向用户限时开放与其权限相对应的资源的访问权限；所述目标资源所在域的跨域认证模块访问云端资源导航服务器，获取与请求方关联的多个信任域的策略中心组成分布式认证组，所述分布式认证组中不包括请求方所在信任域和资源所在信任域；

所述分布式认证组中的每个成员根据存放于云端公共数据库的资源请求者的历史跨域访问行为日志以及各自行为日志记录模块存放的资源请求者的历史本域访问行为日志，对资源请求者的信任情况进行综合评价，如果认为该请求方可信，则基于椭圆曲线加密机制的门限签名算法对评分数据进行加密提交至资源所在信任域的策略中心，否则返回无法评价信息；所述资源所在信任域的策略中心根据分布式认证组中的所有成员的提交结果，对资源请求进行信任认证，对认证通过的资源请求，通知代理网关开放相应的访问端口，向请求方限时开放与其权限相对应的资源的访问权限。

2.根据权利要求1所述的云边端融合的电力信息通信系统跨域零信任认证系统，其特征在于，采用5G切片或者IP隧道技术对资源访问通道和零信任认证通道进行切换。

3.根据权利要求1所述的云边端融合的电力信息通信系统跨域零信任认证系统，其特征在于，所述策略中心包括用户注册模块；

所述用户注册模块接收用户发送的唯一标识符Id和有效期T₁，生成具有预设有效期T₁的用户的数字身份DID＝＜H₁(Id||T₁)，P)；其中，P为访问权限；H₁()为单向散列函数；

在达到有效期后，用户注册模块定期或者根据用户发送的更新请求对用户的数字身份进行更新，更新根据运行时间叠加计算，经过T₂时间段后更新的数字身份为DID＝＜H₁(Id||(T₁+T₂))，P)。