技術領域

本發明應用于智能電網通信領域，具體是一種智能電表數據的安全訪問控制方案。

背景技術

近年來智能電網迅猛發展，電力公司與各終端間數據傳輸量越來越大，并且對數據的安全性要求越來越高。作為智能電網中的智能電表，其數據量也在增加，并且電力公司對智能電表的數據也做出了安全要求。

一般，智能電表的數據通信安全以對通信數據的加密和數據驗證來保證數據的機密性和完整性，訪問者身份安全則以對訪問者身份的身份鑒別來保證。并且由于智能電表CPU、內存等的限制，智能電表對通信數據的加密和數據驗證采用對稱算法，以減小算法處理時間。同時一般只對訪問者做一個身份認證，對數據的訪問權限不做具體的細分，而且只有對整體訪問數據的傳輸安全設定，未針對不同的訪問數據做不同的數據傳輸要求。

這樣，面對越來越龐大的數據量，作為嵌入式設備，智能電表若一味對所有數據使用高標準安全訪問安全方案，對其軟硬件都是考驗，并且隨著數據量的增大，智能電表可能需要硬件升級才能滿足對所有數據的安全控制，但若不使用保護措施則智能電表的數據處于不安全之中。

應當在現有的軟硬件條件下，做出一個可調節的數據安全訪問控制方案，根據數據的敏感度及操作的敏感度來對不同的數據及不同的操作進行訪問安全控制，該方案應包括數據分層，訪問權限劃分、分層數據所需訪問權限設定、訪問權限采用的身份鑒別手段設定、各分層數據所需數據傳輸安全控制設定。

發明內容

本發明提供了一套基于智能電表數據安全訪問的控制方案。包括智能電表數據的分層、訪問權限劃分、分層數據所需訪問權限設定、訪問權限采用的身份鑒別手段設定、各分層數據所需數據傳輸安全控制設定。

智能電表數據將分層為：基礎數據、普通數據、管理數據、安全數據、機密數據以及升級數據。

訪問權限將劃分為：公共權限、只讀權限、管理權限、安全權限、升級權限。

分層數據所需訪問權限為：基礎數據除升級權限所有權限可訪問，管理及安全權限可設置；普通數據、管理數據可由只讀權限只讀，并由管理權限及安全權限設置；安全數據只有安全權限可讀可設置，只讀和管理權限可讀；機密數據只能由安全權限設置，不可讀；升級數據只有升級權限可執行。

各訪問權限應采用的身份鑒別手段為：公共權限無安全要求；只讀權限低安全要求；管理權限可接受低安全和高安全；安全權限和升級權限要求高安全；

各分層數據所需數據傳輸安全控制為：基礎數據無要求；普通數據按照安全傳輸設置確定；管理數據讀由安全傳輸設置確定，管理數據寫必須加密并認證；安全數據、機密數據的讀寫都需加密并認證；升級數據需要數字簽名。

附圖說明

圖1：智能電表數據分層圖；

圖2：智能電表對數據訪問的安全控制流程圖。

具體實施方式

下面結合附圖詳細介紹本發明：

智能電表數據的分層：如附圖1，將數據分為基礎數據、普通數據、管理數據、安全數據、機密數據以及升級數據。基礎數據主要是電表的結構數據；普通數據包括一般的電表實時數據，如瞬時電壓電流等；管理數據主要包括電能量、需量等，以及費率等數據；安全數據主要包括IEC62056-62中安全類security-setup中各屬性；機密數據包括訪問者身份認證密碼以及傳輸數據所用加密密碼和認證密碼，因其涉及后續來訪數據所需的傳輸安全，需要特殊考慮；升級數據，由于其數據將會改變智能電表運行軟件，其數據來源需要完全保證，需要對傳輸數據特殊處理。

針對分層后的數據，將權限劃分為：公共權限、只讀權限、安全權限、管理權限、升級權限。并根據分層數據的敏感度，將智能電表數據與權限綁定，如表1：

表1：智能電表數據與權限綁定