基于身份管理的配电运维用户动态访问控制系统与方法

技术领域

本发明涉及配电二次系统运维安全领域，特别是涉及一种基于身份管理的配电运维用户动态访问控制系统与方法。

背景技术

配电二次系统采用计算机技术和现代通讯技术实现对配电一次设备运行状态的管理和分析，包含生产控制大区、信息管理大区、安全接入区等大区，其中又包括大量服务器、配电终端等设备，运行着配电调度和生产服务的重要信息。当前配电二次系统的运维安全主要通过密码登录、数字证书等认证与防护手段以防止非法的用户进入受保护的通信网络，通过基于角色的访问控制(RBAC)实现运维用户对数据资源的粗粒度的权限授予；配电终端的运维大多是由工作人员携带运维设备，现场经串口或网口连接配电终端进行维护，理论上，任何人采用运维设备均可以对配电终端进行操作，这就存在很大的安全风险，一旦运维设备被窃取并破解密码，窃取者随意操作配电终端，可能会导致部分范围内电网瘫痪；同时随着配电运维场景的复杂化，所涉及到的运维人员和运维设备大大增加且不固定，增大了由于运维人员的误操作或恶意操作所造成的对系统和资源的非法使用或对外泄密等风险。

传统RBAC主要包括核心模型RBAC0，定义了基于角色访问控制的最小需求，主要包括用户集(U)、角色集(R)、权限集(P)和会话集(S)，权限集又由操作集(OPS)和客体集(OBS)构成；角色分层模型RBAC1，在RBAC0基础上加入了使用偏序关系描述的角色继承关系；约束模型RBAC2，在RBAC0基础上给出了用户、角色、权限之间的约束关系；统一模型RBAC3，综合了RBAC1和RBAC2。

传统的RBAC在应对配电二次系统运维安全风险时仍存在以下不足之处：

(1)首先，使用RBAC为大量用户进行角色分配时存在重复操作的问题，在为角色分配权限时也存在重复操作的问题；同时用户的角色、权限不是一成不变的，如果用户或上下文状态发生变化，则需要修改用户到角色、角色到权限的关系映射，系统的维护难度大成本高。

(2)其次，在配电二次系统运维过程中有些权限只需要在一定条件下动态授予，例如由于运维任务需要运维人员需获取主站系统内高敏信息时，只需临时授予特权，而传统RBAC在进入系统之前，用户就被授予了权限，若用户一旦拥有了某项权限，在操作执行中或完成后仍继续拥有这项权限，使得系统面临巨大威胁，也不符合最小权限原则。

发明内容

本发明所要解决的技术问题是提供一种基于身份管理的配电运维用户动态访问控制系统与方法，能够实现配电用户的动态访问控制。

本发明解决其技术问题所采用的技术方案是：提供一种基于身份管理的配电运维用户动态访问控制系统，包括：

身份信息标准数据库，用于存储由该系统范围内各个运维用户的属性信息及其对应的运维设备的属性信息构成的访问主体身份信息标准数据；

运维任务管理模块，用于获取和审核各个运维用户上传的运维任务，以及保存审核通过的运维任务的运维任务属性信息；

身份认证模块，用于获取待授权访问主体的身份信息，根据所述访问主体身份信息标准数据对所述待授权访问主体的身份信息进行认证，得到身份认证结果；

信任评估模块，用于实时监测访问过程中所述待授权访问主体的业务行为和对应的运维设备的状态数据，并根据所述身份认证结果以及所述访问过程中所述待授权访问主体的业务行为和运维设备的状态数据的监测结果对所述待授权访问主体进行评估，得到所述待授权访问主体的信任值；

访问控制模块，用于根据所述访问主体身份信息标准数据、运维任务属性信息以及所述待授权访问主体的信任值，采用基于角色和属性结合的动态访问控制模型对所述待授权访问主体进行授权。

所述身份信息标准数据库包括：

采集模块，用于在所述各个运维用户及其对应的运维设备首次接入时，采集所述各个运维用户的属性信息及其对应的运维设备的属性信息；

组成模块，用于将采集到的所述各个运维用户的属性信息及其对应的运维设备的属性信息组成所述访问主体身份信息标准数据；

保存模块，用于存储所述访问主体身份信息标准数据；

其中，所述运维用户的属性信息包括运维用户的姓名、性别、出生日期、地址、所属部门和职务中的一种或几种；所述运维设备的属性信息包括运维设备的硬件ID号、设备类型、硬件版本号、软件版本号、通信规约类型和网卡MAC地址中的一种或几种。

所述身份认证模块包括：

接收获取单元，用于接收所述待授权访问主体的请求信息并获取所述待授权访问主体的身份属性信息；

查询获取单元，用于向所述身份信息标准数据库请求查询所述访问主体身份标准数据，并获取所述身份信息标准数据库反馈的所述访问主体身份标准数据；

比对认证单元，用于将所述待授权访问主体的身份属性信息与所述访问主体身份标准数据进行比对认证，并在一致时通过身份认证。

所述运维任务管理模块包括：

任务接收获取模块，用于接收所述各个运维用户上传的运维任务，并从所述运维任务中获取运维任务属性信息；

审核模块，用于对运维任务进行审核；

任务保存模块，用于保存审核通过的运维任务的运维任务属性信息；

其中，所述运维任务属性信息包括运维时间、运维地点、运维系统、运维设备类型和运维用户中的一种或几种。

所述信任评估模块包括：

静态信任度确定单元，用于根据所述身份认证结果计算所述待授权访问主体的静态信任度；

动态信任度确定单元，用于基于流量实时监测分析所述待授权访问主体的业务行为以及对应的运维设备的实时状态数据，通过采集接入访问过程中的流量数据，提取流量特征构建安全基线库，基于安全基线库与本次访问请求的真实业务行为进行比较得出所述待授权访问主体的动态信任度；

信任值计算单元，用于根据所述待授权访问主体的静态信任度和动态信任度计算所述待授权访问主体的信任值。

所述信任评估模块还包括：判断模块，用于判断在访问过程中所述待授权访问主体的身份属性信息否被恶意篡改，并在被恶意篡改时，通知所述访问控制模块更改所述待授权访问主体的权限或撤销访问权限。

所述基于角色和属性结合的动态访问控制模型包括：

角色映射策略模块，用于基于所述待授权访问主体身份属性信息和环境属性构建属性策略，动态实现所述待授权访问主体的身份到角色的映射；

权限映射策略模块，用于基于运维任务属性、环境属性、访问客体属性、会话属性和信任值来实现所述待授权访问主体的角色到权限的动态授予。

所述角色映射策略模块包括：

会话接收单元，用于接收所述待授权访问主体发起的会话，并将所述待授权访问主体的身份信息存储在会话中；

角色提取单元，用于根据所述待授权访问主体的身份属性信息从角色集中提取与所述待授权访问主体相关的角色子集；

角色策略判断单元，用于判断所述待授权访问主体的身份信息以及环境属性是否满足角色策略，若满足则所述待授权访问主体在会话中从角色子集中获得相应的角色。

所述权限映射策略模块包括：

身份角色提取单元，用于从会话属性集中提取出所述待授权访问主体的身份信息和角色的属性信息；

权限映射判断单元，用于结合访问客体属性、环境属性、运维任务属性判断所述待授权访问主体是否满足权限映射策略；

信任值判断单元，用于在所述待授权访问主体满足权限映射策略时，判断所述待授权访问主体的信任值是否满足要求，若满足，所述待授权访问主体在给定会话中获得访问客体的相应权限。

本发明解决其技术问题所采用的技术方案是：提供一种采用上述基于身份管理的配电运维用户动态访问控制系统的访问控制方法，包括：

存储由所述配电运维用户动态访问控制系统范围内各个运维用户的属性信息及其对应的运维设备的属性信息构成的访问主体身份信息标准数据；

获取和审核各个运维用户上传的运维任务，以及保存审核通过的运维任务的运维任务属性信息；

获取待授权访问主体的身份信息，根据所述访问主体身份信息标准数据对所述待授权访问主体的身份信息进行认证，得到身份认证结果；

实时监测访问过程中所述待授权访问主体的业务行为和运维设备的状态数据，并根据所述身份认证结果以及所述访问过程中所述待授权访问主体的业务行为和对应的运维设备的状态数据的监测结果对所述待授权访问主体进行评估，得到所述待授权访问主体的信任值；

根据所述访问主体身份信息标准数据、运维任务属性信息以及所述待授权访问主体的信任值，采用基于角色和属性结合的动态访问控制模型对所述待授权访问主体进行授权。

有益效果

由于采用了上述的技术方案，本发明与现有技术相比，具有以下的优点和积极效果：本发明基于运维用户、运维设备两方面属性构建访问主体身份信息并形成标准数据库作为身份认证模块判别基准，若某些属性被篡改则拒绝访问，以此保证运维用户身份安全可信。本发明通过加入时间、地点等环境属性防止恶意用户或设备在非正常时间或地点滥用权限，同时基于访问主体身份信息属性、环境属性构建属性策略动态实现访问主体身份到角色的授予，避免由于用户、设备状态或上下文状态变化引起的角色权限大规模修改问题，减少角色权限维护成本，实现更复杂、细粒度的访问控制，能够较好的应用于多系统共存的配电二次系统中。本发明通过加入运维任务属性信息，基于角色、环境、客体、任务四方面属性信息构建策略实现角色到权限的映射，基于运维任务实现临时动态授予或撤销访问主体特权，实现最小权限访问，避免权限过大滥用权限等问题。本发明过加入信任度作为访问控制决策依据之一，对访问主体在访问过程中的行为状态数据实时监测，如有异常立即通知访问控制模块调整或撤销其相应权限，保证配电二次系统运维过程中的安全性。

附图说明

图1是本发明第一实施方式的配电运维用户动态访问控制系统的结构方框图；

图2是本发明第二实施方式中访问主体构建身份信息过程图；

图3是本发明第二实施方式中基于角色和属性的动态访问控制模型的框架图；

图4是本发明第二实施方式中角色权限授予的流程图；

图5是本发明实施例中角色映射过程图；

图6是本发明实施例中权限映射过程图。

具体实施方式

下面结合具体实施例，进一步阐述本发明。应理解，这些实施例仅用于说明本发明而不用于限制本发明的范围。此外应理解，在阅读了本发明讲授的内容之后，本领域技术人员可以对本发明作各种改动或修改，这些等价形式同样落于本申请所附权利要求书所限定的范围。

本发明的第一实施方式涉及一种基于身份管理的配电运维用户动态访问控制系统，如图1所示，包括：

身份信息标准数据库，用于存储由该系统范围内各个运维用户的属性信息及其对应的运维设备的属性信息构成的访问主体的身份信息标准数据。所述身份信息标准数据库包括：采集模块，用于在各个运维用户及其对应的运维设备首次接入时，采集各个运维用户的属性信息及其对应的运维设备的属性信息；组成模块，用于将采集到的各个运维用户的属性信息及其对应的运维设备的属性信息组成访问主体身份信息标准数据；保存模块，用于存储访问主体身份信息标准数据；其中，所述运维用户的属性信息包括运维用户的姓名、性别、出生日期、地址、所属部门和职务中的一种或几种；所述运维设备的属性信息包括运维设备的硬件ID号、设备类型、硬件版本号、软件版本号、通信规约类型和网卡MAC地址中的一种或几种。

运维任务管理模块，用于获取和审核各个运维用户上传的运维任务，以及保存审核通过的运维任务的运维任务属性信息。所述运维任务管理模块包括：任务接收获取模块，用于接收各个运维用户上传的运维任务，并从运维任务中获取运维任务属性信息；审核模块，用于对运维任务进行审核；任务保存模块，用于保存审核通过的运维任务的运维任务属性信息；其中，所述运维任务属性信息包括运维时间、运维地点、运维系统、运维设备类型和运维用户中的一种或几种。

身份认证模块，用于获取待授权访问主体的身份信息，根据所述访问主体的身份信息标准数据对待授权访问主体的身份信息进行认证，得到身份认证结果。所述身份认证模块包括：接收获取单元，用于接收待授权访问主体的请求信息并获取待授权访问主体的身份属性信息；查询获取单元，用于向所述身份信息标准数据库请求查询访问主体身份标准数据，并获取身份信息标准数据库反馈的访问主体身份标准数据；比对认证单元，用于将所述待授权访问主体的身份属性信息与所述访问主体身份标准数据进行比对认证，并在一致时通过身份认证。

信任评估模块，用于实时监测访问过程中待授权访问主体的业务行为和对应的运维设备的状态数据，并根据所述身份认证结果以及对访问过程中待授权访问主体的业务行为和运维设备的状态数据的监测结果对待授权访问主体进行评估，得到待授权访问主体的信任值。所述信任评估模块包括：静态信任度确定单元，用于根据身份认证结果计算待授权访问主体的静态信任度；动态信任度确定单元，用于基于流量实时监测分析待授权访问主体的业务行为以及对应的运维设备的实时状态数据，通过采集接入访问过程中的流量数据，提取流量特征构建安全基线库，基于安全基线库与本次访问请求的真实业务行为进行比较得出待授权访问主体的动态信任度；信任值计算单元，用于根据待授权访问主体的静态信任度和动态信任度计算待授权访问主体的信任值。所述信任评估模块还包括：判断模块，用于判断在访问过程中待授权访问主体的身份属性信息否被恶意篡改，并在被恶意篡改时，通知所述访问控制模块更改权限或撤销访问权限。

访问控制模块，用于根据访问主体的身份信息标准数据、运维任务属性信息以及待授权访问主体的信任值，采用基于角色和属性结合的动态访问控制模型对待授权访问主体进行授权。

其中，基于角色和属性结合的动态访问控制模型包括：角色映射策略模块，用于基于待授权访问主体身份属性信息和环境属性构建属性策略，动态实现待授权访问主体的身份到角色的映射；权限映射策略模块，用于基于运维任务属性、环境属性、访问客体属性、会话属性和信任值来实现待授权访问主体的角色到权限的动态授予。

所述角色映射策略模块包括：会话接收单元，用于接收待授权访问主体发起的会话，并将待授权访问主体的身份信息存储在会话中；角色提取单元，用于根据待授权访问主体的身份属性信息从角色集中提取与待授权访问主体相关的角色子集；角色策略判断单元，用于判断待授权访问主体的身份信息以及环境属性是否满足角色策略，若满足则待授权访问主体在会话中获得相应的角色。

所述权限映射策略模块包括：身份角色提取单元，用于从会话属性集中提取出待授权访问主体的身份信息和角色的属性信息；权限映射判断单元，用于结合访问客体属性、环境属性、运维任务属性判断待授权访问主体是否满足权限映射策略；信任值判断单元，用于在待授权访问主体满足权限映射策略时，判断待授权访问主体的信任值是否满足要求，若满足，待授权访问主体在给定会话中获得请求访问客体的相应权限。

由此可见，本发明基于用户和设备两方面属性来构建访问主体身份信息标准数据库作为身份认证和信任评估模块的判别基准；通过运维任务管理模块实现配电用户上传运维任务信息经审核后存储到数据库中作为构建权限映射属性策略的数据来源之一；通过信任评估模块实现对访问主体在访问过程中行为状态的实时监测并生成信任值，作为访问控制模块授权决策的因素之一；在访问控制模块发明了一种基于角色和属性结合的动态访问控制模型，通过加入运维任务属性、环境属性和信任度，实现动态授予用户到角色减少角色的维护成本，实现动态授予和撤销权限，防止恶意用户或设备在非正常操作时间和地点使用特定权限进行数据篡改、资源泄露等，保证配电二次系统运维的安全性。

本发明的第二实施方式涉及一种基于身份管理的配电运维用户动态访问控制方法，该方法基于第一实施方式的基于身份管理的配电运维用户动态访问控制实现。具体如下：

1、构建访问主体身份信息

用户和设备首次接入时，采集用户的姓名，性别，出生日期，地址，所属部门，职务等属性信息以及设备的硬件ID号，设备类型，硬件版本号，软件版本号，通信规约类型，网卡MAC地址等属性信息；将采集到的用户和设备属性信息组成访问主体身份信息并存储在身份信息标准数据库中，具体过程如图2所示。

该身份信息标准数据一方面作为身份认证判别基准，当待授权访问主体提出申请后，身份认证模块将待授权访问主体的属性信息与预存的身份信息标准数据比较是否一致，若某些属性信息被篡改则拒绝访问，以此确保用户和设备的安全可信；另一方面身份信息中所属部门、职务、职位、是否当班等属性与角色分配具有强关联性，则为身份到角色的映射策略提供数据基础。

2、身份认证

待授权访问主体发起访问请求；身份认证模块接收待授权访问主体的请求信息并获取待授权访问主体的身份属性信息；身份认证模块向身份信息标准数据库请求查询该待授权访问主体的身份标准数据；身份认证模块将本次请求时待授权访问主体的属性信息与身份信息标准数据库中的数据进行比对，查看是否一致，若某些信息被篡改则拒绝访问；若一致，则通过身份认证并将认证结果发送给信任评估模块。

3、运维任务管理

当运维用户需要进行运维时，首先上传相关运维任务到运维任务管理模块中，其中运维任务中包括运维任务属性信息，运维任务属性信息包括运维时间，运维地点，运维系统，运维设备类型，运维用户等；然后由管理员通过运维任务管理模块对运维用户上传的运维任务进行审核；将审核通过的运维任务的运维任务属性信息存储到运维任务管理模块的数据库中，运维属性信息将作为访问控制模块权限映射策略中的属性来源之一。

4、信任评估

首先，信任评估模块接收来自身份认证模块发送的认证结果，其中包含待授权访问主体属性与标准数据库中的匹配程度、待授权访问主体属性是否全面等信息，根据对待授权访问主体身份的认证比对信息得出静态信任度；其次，在待授权访问主体访问过程中，信任评估模块会监测待授权访问主体身份属性信息，并判断是否被恶意篡改，如有异常立即通知访问控制模块更改权限或撤销访问权限；待授权访问主体在接入访问过程中，信任评估模块基于流量实时监测分析待授权访问主体的业务行为以及对应的运维设备的实时状态数据，通过采集访问过程中的流量数据提取流量特征构建待授权访问主体正常访问流量特征安全基线库，基于安全基线库比对本次访问请求的真实业务行为是否发生异常变化，从而得出待授权访问主体动态信任度；基于以上静态信任值和动态信任值两部分信息，信任评估模块进行综合计算得出待授权访问主体本次请求的信任度，并将信任度发送给访问控制模块；信任评估模块会作用在访问主体获取访问权限的整个过程中，对待授权访问主体的环境状况、待授权访问主体访问过程中的行为状态数据等进行实时监测，因此待授权访问主体的信任度是持续评估且动态变化的，若产生大幅度变化则立即发送给访问控制模块，访问控制模块作出相应权限撤销或调整。

5访问控制

本实施方式提出了一种基于角色和属性结合的动态访问控制模型，其模型整体框架如图3所示。在访问控制模块中，基于此模型实现访问主体角色和权限的授予，实现细粒度访问控制。该模型具体内容如下：

基于角色和属性结合的动态访问控制模型主要包括：基于访问主体身份属性信息和环境属性构建属性策略动态实现访问主体身份到角色的映射；基于运维任务属性、环境属性、客体属性、会话属性和信任度来实现角色到权限的动态授予。该模型可确保正确的用户获得运维所需的最小权限，使用正确的设备在正确的时间和地点进行运维操作，实现细粒度访问控制，保证配电二次系统的运维安全性。

基于角色和属性结合的动态访问控制模型是基于RBAC基础设施，在原有的核心元素用户集、角色集、权限集、会话集中增加属性集和策略集。基于角色和属性结合的动态访问控制模型框架图3中的主要要素介绍如下：

(1)访问主体集：申请访问某些客体的主体，并对访问客体执行操作；

(2)角色集：本实施方式中的模型中角色参照操作系统角色划分为管理员、普通用户和临时用户三个等级，普通用户角色和临时用户角色及权限均可自定义，角色对应各类操作权限的组合。其中，运维用户的角色必须在普通用户角色下定义，不可直接在管理员角色下定义，防止恶意用户滥用权限等；

(3)权限集：由客体集和操作集构成，表示对某些客体进行某些特定操作；

(4)会话集：会话将给定的访问主体映射到可能的多个角色，以及在会话中请求对客体的权限。若相关属性符合角色映射策略，则该会话激活对应角色；

(5)属性集：由用户属性、设备属性、访问客体属性、会话属性、任务属性、环境属性构成。本实施方式中的模型在权限映射策略中加入运维任务属性，实现最小权限划分避免运维权限过大等问题；加入环境属性避免恶意用户或恶意设备在非正常工作时间或地点滥用权限等问题；

(6)策略集：由角色映射策略、权限映射策略构成。其中，角色映射策略基于访问主体身份集、环境属性集构建属性映射策略，实现访问主体身份到角色的授予；权限映射策略基于会话属性、访问客体属性、运维任务属性、环境属性实现角色到权限的映射，加入信任度作为访问控制决策因素之一，实现访问主体行为的安全监测和管控。

配电二次系统运维场景下该模型角色和权限授予具体流程如图4所示，内容描述如下：

(1)依据待授权访问主体的身份属性集，通过角色映射策略实现待授权访问主体的身份到角色的映射；

(2)待授权访问主体发起一个新会话，并将待授权访问主体的身份信息存储在会话中；

(3)会话依据待授权访问主体的身份属性信息从角色集中提取与待授权访问主体相关的角色子集；

(4)通过判断环境属性例如时间、地点等是否满足相应的角色策略，若满足则在该会话中激活相应的角色，即访问主体在该会话中获得相应的角色；

(5)基于角色属性、访问客体属性、环境属性、任务属性构建属性映射策略；

(6)从会话中提取待授权访问主体的身份信息，激活的角色等属性信息；

(7)判断当前请求中的任务属性、环境属性是否满足权限映射策略；若不满足，则拒绝待授权访问主体在该会话中获得相应权限；

(8)判断待授权访问主体的信任度是否满足要求，若信任度低于某一个特定的阈值，则调整权限或拒绝访问。若待授权访问主体的信任度发生变化，则该模型会更新策略动态调整其权限，调整或撤销访问权限；

(9)若全部满足，则待授权访问主体在给定会话中获得请求访问客体的相应权限。

下面通过一个具体的实施例进一步说明基于角色和属性结合的动态访问控制模型。

本实施例中主要元素列举如下：

一、属性集

(1)访问主体集：

运维用户：{姓名，性别，身份证号，地址，所属部门，职位，职级，所属系统，是否当班...}

运维设备：{硬件ID号，设备类型，硬件版本号，软件版本号，通信规约类型，网卡MAC地址...}

我们通过基于运维用户、运维设备两方面属性信息来构建访问主体的属性集，形成访问主体的身份信息。

(2)访问客体属性集：

客体：{所属系统，存储时间，存储位置，最近修改信息记录...}

(3)环境属性集：

环境：{日期，时间，期间，位置...}

例如：期间：{正常工作时间，非正常工作时间...}

(4)任务属性：

任务：{运维时间，运维地点，运维系统，运维设备类型，运维用户信息，运维业务...}

(5)会话属性：

会话：{访问主体身份信息，角色信息，访问客体信息...}

二、角色集

角色：{管理员，普通用户，临时用户}

角色主要分管理员、普通用户和临时用户三个级别。管理员分为两种：(1)admin，默认拥有所有权限；(2)自定义的管理员，例如可细分为系统管理员、安全管理员、审核管理员、运维管理员等；普通用户角色及权限均可自定义，角色对应各类操作权限的组合(如：控制操作、挂牌、置位、图模维护、三遥配置、信息发布以及其他系统里的业务权限等)，每个用户还会结合具体工作站的权限和分区，按照职能分割和最小授权原则进行授权；临时用户主要是指外包人员或临时授予部分权限的人员，可根据需要为其提供访客权限。

三、权限集

权限：{控制操作，挂牌，置位，图模维护，三遥配置，信息发布，遥测封锁，遥控，遥调，系统运行监视，系统运行维护，系统运行配置，告警处理，采样定义，数据库备份，数据库恢复...}。

在进行访问控制时，如图5所示，首先通过角色映射策略将访问主体身份信息中的姓名、所属部门、职位、是否当班等属性以及时间、地点等环境属性映射到角色。然后访问主体发起一个新会话，并将访问主体的身份信息存储在会话中，然后根据访问主体身份信息提取与访问主体相关的激活角色子集并存储在该会话中，然后判断访问主体的身份信息以及环境属性是否满足角色策略，若满足则获得对应角色。例如：若a运维部值班人员正常工作时间内需要运维SCADA系统，则a此时的属性集为{a，男，当班，值长，运维部，SCADA系统}，根据角色映射策略则允许通过请求运维管理员角色的会话；若b为人事部不当班的值班员，b的属性集为{b，男，不当班，值班员，人事部}，根据角色映射策略则拒绝请求运维管理员角色的会话。角色映射策略中的一些规则如下：

(职位＝值长)

AND(所属部门＝运维部)

AND(期间＝正常工作时间)

＝>PERMIT(session→运维管理员)

或

(职位≠值班员)

OR(所属部门＝人事部)

OR(期间＝非正常工作时间)

＝>DENY(session→运维管理员)

其次，如图6所示，基于请求角色的会话获得访问主体相关身份、角色的属性信息，然后基于会话属性、客体属性、环境属性、运维任务属性判断是否满足权限映射策略，然后判断访问主体的信任度是否符合策略，若信任值低于某一个特定的阈值，授权不会通过，该阈值是域管理员手动设置的，一般对于不同的资源，这个阈值会不同。若全部满足则允许访问主体在给定会话中对请求客体执行给定的操作。例如，运维部当班人员a接到运维任务，需对配网SCADA系统中的监控数据访问及修改，则所属系统＝“SCADA系统”and运维系统＝“SCADA系统”and ROLE＝“运维管理员”and是否当班＝“当班”and信任值≥50的人对监控数据具有访问和修改权限，那么其他业务系统和其他角色以及同部门不在当班的员工或信任值低于50的员工没有修改权限，即权限映射策略中可能有以下规则：

(ROLE＝运维管理员)

AND(所属系统＝SCADA系统)

AND(运维系统＝SCADA系统)

AND(是否当班＝当班)

AND(信任值≥50)

＝>PERMIT(read,write)

(ROLE＝运维管理员)

AND(所属系统＝GIS系统)

AND(运维系统＝SCADA系统)

AND(是否当班＝当班)

＝>PERMIT(read),DENY(write)

若配电网GIS系统可能需要在地理分布图内安排该站室的例行巡检和查线工作(假设为8:00-10:00)，而此时SCADA系统正在实时监控该区域的电网运行情况，此时需要SCADA系统为GIS系统临时开辟查询该地区电网数据，则为监控数据设置以下访问策略：

(所属系统＝SCADA系统)

AND(期间＝正常工作时间)

AND(是否当班＝当班)

AND(信任值≥50)

OR

(所属系统＝GIS系统)

AND(职位＝值班长)

AND(期间＝8:00-10:00)

AND(是否当班＝当班)

AND(信任值≥50)

＝>PERMIT(read)

则当b在执行查线工作时的数据集为{b，男，当班，值班长，GIS系统，8:00-10:00，70}，b在非正常工作时间时的数据集为{b，男，非当班，值班长，GIS系统,70}，可以看出在更改监控数据的访问策略之后，b在执行查线工作想要访问云端监控数据时，在8:00-10:00内满足访问策略要求可以进行访问，若在非当班时间或8:00-10:00之外时间进行访问，则拒绝访问。

通过以上实施例可以看出，SCADA和GIS虽然属于不同业务系统，但是只要设置合适的访问策略，b可以被临时授予访问权限，同时在任务结束以后可以通过修改访问策略，撤回b的权限，避免权限滥用。