CN108462685A - 基于二进制的电动汽车数据互联互通权限控制方法及*** - Google Patents

基于二进制的电动汽车数据互联互通权限控制方法及*** Download PDF

Info

Publication number
CN108462685A
CN108462685A CN201711477987.6A CN201711477987A CN108462685A CN 108462685 A CN108462685 A CN 108462685A CN 201711477987 A CN201711477987 A CN 201711477987A CN 108462685 A CN108462685 A CN 108462685A
Authority
CN
China
Prior art keywords
data
user
authorization
value
tables
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201711477987.6A
Other languages
English (en)
Inventor
彭建国
朱承治
谷兴旺
朱炯
秦俭
叶飞
刘剑锋
覃华勤
刘晔
史双龙
严辉
仲轩
张志洋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Zhejiang Electric Power Co Ltd
Beijing Kedong Electric Power Control System Co Ltd
State Grid Electric Vehicle Service Co Ltd
Original Assignee
State Grid Zhejiang Electric Power Co Ltd
Beijing Kedong Electric Power Control System Co Ltd
State Grid Electric Vehicle Service Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Zhejiang Electric Power Co Ltd, Beijing Kedong Electric Power Control System Co Ltd, State Grid Electric Vehicle Service Co Ltd filed Critical State Grid Zhejiang Electric Power Co Ltd
Priority to CN201711477987.6A priority Critical patent/CN108462685A/zh
Publication of CN108462685A publication Critical patent/CN108462685A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Power Engineering (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)
  • Charge And Discharge Circuits For Batteries Or The Like (AREA)

Abstract

本发明涉及车联网服务领域,特别涉及一种基于二进制的电动汽车数据互联互通权限控制方法及***。所述方法包括如下步骤:(1)建立用户模型,在用户表中添加授权序列属性;(2)在生成数据列表中的授权值前,需对用户制定授权策略,根据属性名称与数据值进行判断;(3)更新被访问数据表行记录的权限值;(4)经过依靠数据表中授权值与用户表中的授权序列生成的权限表对外提供授权信息,查询用户下的多条数据权限时返回枚举数据。所述***包括策略定义模块、数据资源模块、权限列表模块和用户模块。本发明提出了一种新的充电信息互联互通权限管理方案,提高了数据权限管理的高效性、灵活性和安全性。

Description

基于二进制的电动汽车数据互联互通权限控制方法及***
技术领域
本发明涉及车联网服务领域,特别涉及一种基于二进制的电动汽车数据互联互通权限控制方法及***。
背景技术
随着电动汽车的大力推广,电动汽车充电桩运营商已从“一花独放”发展到“百家争鸣”的局面,国内主要的充电桩运营商至少已有20家以上。目前每个运营商都发行自己的充电卡和App应用,而不同运营商的充电卡和App无法实现共享和通用,给电动汽车用户充电带来了极大的困扰。为解决用户便捷充电需求,国家电网公司在车联网服务平台中构建了互联互通服务,通过该服务模块实现不同运营商充电服务的信息互联互通。充电设施服务商可通过互联互通服务接口将充电设施的服务信息,如场站信息、位置信息、设备信息、设备运行状态信息等数据,共享给相关的其他平台,使其他相关方能够获取到服务商的设施情况。
互联互通服务是基于互联网的开放式服务,在享受开放带来的便利时也会面临开放式服务的风险。为解决开放式服务带来的网络攻击问题,需对互联互通中每一个服务进行安全加固。通常每一次请求都需进行数据权限校验,每次请求都需要枚举所有权限。
基于角色的访问控制是目前信息管理***普遍采用的安全授权机制。基于角色的***安全控制特点是通过分配和取消角色来完成用户权限的授予和取消。安全管理人员根据需要定义各种角色,并设置合适的访问权限,而用户根据其责任和资历再被指派为不同的角色。
整个访问控制过程就分成两个部分,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离,角色可以看成是一个表达访问控制策略的语义结构,它可以表示承担特定工作的资格。
针对电动汽车车联网服务平台中的互联互通应用,基于角色管理权限的方法存在如下缺点:
1、互联互通用户包括各类社会充电信息提供者及充电信息使用者,不隶属于同一固定的组织,难以建立角色与实体的映射关系;
2、互联互通用户的权限与社会发展、政策变更及合作策略调整紧密相关,具有较大的灵活性,维护角色与权限关系的工作量巨大;
3、基于角色管理权限的方式需要研发大量的管理功能,而互联互通用户的访问是通过接口方式实现;
4、不同用户访问的数据对象完全不同,基于角色管理权限的方式无法实现数据对象与权限对象的分离,不适用于数据权限项量级较大、权限使用者较多的***。
缩略语和关键术语定义:
基于角色的访问控制:Role-Based Access Control(RBAC),是目前应用最普遍的一种权限控制方法。
车联网服务平台:国家电网公司建设的电动汽车车联网服务平台,旨在通过建设桩联网、车联网和智能电网三个物联网,让电动汽车用户通过互联网享受一站式便捷服务。
权限:对车联网服务平台互联互通数据或者用数据表示的其它资源进行访问的许可。
发明内容
针对背景技术中的问题,本发明的目的在于提出一种基于二进制的电动汽车数据互联互通权限控制方法及***。
为实现上述目的,本发明提出如下技术方案:
一种基于二进制的电动汽车数据互联互通权限控制方法,其特征在于,所述方法包括以下步骤:
(1)建立用户模型:手动维护用户属性,在用户表中存储用户数据时根据预先定义的序列自动生成用户授权序列,授权序列不可重复;授权序列表示用户在数据表中授权值的位置,依据授权序列结合数据列表中的授权值确定该用户是否具备访问行数据的权限;
(2)在生成数据列表中的授权值前,需对用户制定授权策略,根据数据表属性名称与数据值进行判断,以此减少授权前的手动筛选工作;
(3)建立被访问数据表的授权值:对于已有的数据表,增加授权位字段,依据用户授权序列及授权策略生成数据表行记录的授权值,用以判断该用户是否具有访问该数据行记录的权限;
(4)根据数据表中授权值与用户表中的授权序列生成权限列表,对外提供授权信息,查询用户下的多条数据权限时返回枚举数据,高效查询数据,且生成的数据权限数据在每次权限数据有更改时进行数据校验,与原始数据列表中的授权值进行匹配,将被篡改的权限数据恢复到原始状态。
进一步地,在步骤(3)中,授权位中存储的数据是根据用户制定的策略定义表生成的授权位,从低位向高位依次代表用户表中的授权代码的最小值到最大值,1代表可以访问,0代表不可访问,将此二进制数转换为16进制数据进行存储,减少存储空间。
一种基于二进制的电动汽车数据互联互通权限控制***,其特征在于:
所述***包括策略定义模块、数据资源模块、权限列表模块和用户模块;
所述用户模块用于管理访问用户,生成用户表,维护访问用户的授权序列、名称、电话、地址、所属组织机构编码属性;
所述策略定义模块用于根据用户表、数据表,定义用户对数据资源的访问策略,生成策略定义表;
所述数据资源模块用于存储用户访问的充电桩、充电站数据资源,并依据策略定义表及用户表中授权序列,生成并存储所有用户对每个数据表行记录的访问授权值;
所述权限列表模块用于根据数据表与用户表自动生成权限列表,记录每个用户有权访问的数据记录,基于权限列表校验每个用户的访问权限并快速反馈请求数据结果。
进一步地,所述策略定义表包括用户USERID、数据表名称、数据表属性名称、数据过滤条件、数据访问权限。
进一步地,所述数据表包括DATAID、授权值、充电站ID、运营商ID、设备所属方ID、充电站名称、充电站国家代码、充电站省市辖区编码、详细地址、服务电话、站点类型、站点状态、车位数量、经度、纬度、建设场所、充电电费率、服务费率、停车费、支付方式、是否支持预约、备注、修改时间、删除标识。
进一步地,所述权限列表包括表主键、表名、数据主键、用户ID、是否可读字段。
相对于现有技术,本发明的有益效果如下:
本发明针对车联网平台互联互通服务的数据权限管理需求及通用权限控制机制不适用问题,提出了一种新的充电信息互联互通权限管理方案,提高了数据权限管理的高效性、灵活性和安全性。该方法推广后具有如下效果:
1、对于接口方式的数据交互,可实现用户权限动态管理,大大降低权限管理的研发成本;
2、将数据对象与权限控制集成在一起,减少用户访问数据时权限判断的时间,提高了数据访问效率;
3、对用户权限的控制具有可追溯性,当权限遭到非法篡改时,可通过溯源快速恢复,具有较高安全性。
附图说明
图1是基于二进制的电动汽车数据互联互通权限控制***的架构示意图。
具体实施方式
下面结合附图和具体实施方式,对本发明的具体实施方案作详细的阐述。这些具体实施方式仅供叙述而并非用来限定本发明的范围或实施原则,本发明的保护范围仍以权利要求为准,包括在此基础上所作出的显而易见的变化或变动等。
车联网服务平台互联互通服务提供的权限管理主要是对充电服务数据的访问控制,具有权限项量级大、权限使用者多且权限变化大特点。目前,用户对数据权限主要是查询,实现方式均为接口。根据权限授权数量、权限安全、权限抗破坏性、权限高效读取等方面因素,制定合理有效的授权方案,才能使互联互通服务健壮性得到根本保障。本发明针对互联互通服务的数据权限特点,通过权限编码规则、权限定制、权限审核、权限项生成、权限项校验等多重机制,设计了一种基于二进制的高效、安全、灵活数据互联互通权限控制方案。
本发明中提出的基于二进制算法的权限控制方案是指,用二进制数1/0代表用户是/否有数据表记录的访问权限。多用户时,按照用户授权序列的顺序,从右到左依次排列生成多用户权限二进制串,生成的二进制串最终转换成十六进制数存储于数据表的授权值字段中。
基于二进制的电动汽车充电数据互联互通权限控制方案架构设计如图1所示。基于二进制的电动汽车充电数据互联互通权限控制方案,考虑到互联互通服务在对外提供服务时,每一个用户所赋予的数据访问权限都不一样,用户与用户之间的权限复用度低,所以需要针对每一个用户存储数据访问权限数据。为了方便进行授权操作,在授权前增加了策略定义环节,在定义策略时根据用户与数据字段制定授权方案,在数据资源中存储权限位。根据用户与数据资源中权限位的关系,生成权限列表。用户在访问数据资源时,经过枚举权限列表中的数据资源,提供数据资源列表。
本发明的***包括策略定义模块、数据资源模块、权限列表模块和用户模块;
所述用户模块用于管理访问用户,生成用户表,维护访问用户的授权序列、名称、电话、地址、所属组织机构编码等属性;
所述策略定义模块用于根据用户表、数据表,定义用户对数据资源(行记录) 的访问策略,生成策略定义表,包括用户USERID、数据表名称、数据表属性名称、数据过滤条件(比较方式)、数据访问权限等;
所述数据资源模块用于存储用户访问的充电桩、充电站等数据资源,并依据策略定义表及用户表中授权序列,生成并存储所有用户对每个数据表行记录的访问授权值;
所述权限列表模块用于根据数据表与用户表自动生成权限列表,记录每个用户有权访问的数据记录,基于权限列表校验每个用户的访问权限并快速反馈请求数据结果。
本发明提供的一种基于二进制的电动汽车数据互联互通权限控制方法,具体步骤如下:
1、建立用户模型,在用户表中添加授权序列属性,其中存储的是用户在数据表中授权值的位置序列值,依据此序列值结合数据列表中的授权位确定本对象是否具备访问该数据的权限,授权代码应是一个序列且不可重复。
表格1 用户表
2、在生成数据列表中的授权值前,需对用户制定预授权信息,其中根据属性名称与数据值进行判断,以此减少授权前的手动筛选工作。
表格2 策略定义表
3、建立被访问数据表的基础模型。其中授权位中存储的数据是根据用户制定的策略定义表生成的授权值,从低位向高位依次代表用户表中的授权代码的最小值到最大值,1代表可以访问,0代表不可访问,将此二进制数转换为16进制数据进行存储,减少存储空间。
表格3 数据表
4、经过依靠数据表中授权值与用户表中的授权序列生成的权限表可对外提供授权信息,查询用户下的多条数据权限时可返回枚举数据,高效查询数据,且生成的数据权限数据在每次权限数据有更改时进行数据校验,与原始数据列表中的授权值进行匹配,将被篡改的权限数据恢复到原始状态。
表格4 权限表。

Claims (6)

1.一种基于二进制的电动汽车数据互联互通权限控制方法,其特征在于,所述方法包括以下步骤:
(1)建立用户模型:手动维护用户属性,在用户表中存储用户数据时根据预先定义的序列自动生成用户授权序列,授权序列不可重复;授权序列表示用户在数据表中授权值的位置,依据授权序列结合数据列表中的授权值确定该用户是否具备访问行数据的权限;
(2)在生成数据列表中的授权值前,需对用户制定授权策略,根据数据表属性名称与数据值进行判断,以此减少授权前的手动筛选工作;
(3)建立被访问数据表的授权值:对于已有的数据表,增加授权位字段,依据用户授权序列及授权策略生成数据表行记录的授权值,用以判断该用户是否具有访问该数据行记录的权限;
(4)根据数据表中授权值与用户表中的授权序列生成权限列表,对外提供授权信息,查询用户下的多条数据权限时返回枚举数据,高效查询数据,且生成的数据权限数据在每次权限数据有更改时进行数据校验,与原始数据列表中的授权值进行匹配,将被篡改的权限数据恢复到原始状态。
2.根据权利要求1所述的一种基于二进制的电动汽车数据互联互通权限控制方法,其特征在于:
在步骤(3)中,授权位中存储的数据是根据用户制定的策略定义表生成的授权值,从低位向高位依次代表用户表中的授权代码的最小值到最大值,1代表可以访问,0代表不可访问,将此二进制数转换为16进制数据进行存储,减少存储空间。
3.一种基于二进制的电动汽车数据互联互通权限控制***,其特征在于:
所述***包括策略定义模块、数据资源模块、权限列表模块和用户模块;
所述用户模块用于管理访问用户,生成用户表,维护访问用户的授权序列、名称、电话、地址、所属组织机构编码属性;
所述策略定义模块用于根据用户表、数据表,定义用户对数据资源的访问策略,生成策略定义表;
所述数据资源模块用于存储用户访问的充电桩、充电站数据资源,并依据策略定义表及用户表中授权序列,生成并存储所有用户对每个数据表行记录的访问授权值;
所述权限列表模块用于根据数据表与用户表自动生成权限列表,记录每个用户有权访问的数据记录,基于权限列表校验每个用户的访问权限并快速反馈请求数据结果。
4.根据权利要求3所述的一种基于二进制的电动汽车数据互联互通权限控制***,其特征在于:
所述策略定义表包括用户USERID、数据表名称、数据表属性名称、数据过滤条件、数据访问权限。
5.根据权利要求3所述的一种基于二进制的电动汽车数据互联互通权限控制***,其特征在于:
所述数据表包括DATAID、授权值、充电站ID、运营商ID、设备所属方ID、充电站名称、充电站国家代码、充电站省市辖区编码、详细地址、服务电话、站点类型、站点状态、车位数量、经度、纬度、建设场所、充电电费率、服务费率、停车费、支付方式、是否支持预约、备注、修改时间、删除标识。
6.根据权利要求3所述的一种基于二进制的电动汽车数据互联互通权限控制***,其特征在于:
所述权限列表包括表主键、表名、数据主键、用户ID、是否可读字段。
CN201711477987.6A 2017-12-29 2017-12-29 基于二进制的电动汽车数据互联互通权限控制方法及*** Pending CN108462685A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711477987.6A CN108462685A (zh) 2017-12-29 2017-12-29 基于二进制的电动汽车数据互联互通权限控制方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711477987.6A CN108462685A (zh) 2017-12-29 2017-12-29 基于二进制的电动汽车数据互联互通权限控制方法及***

Publications (1)

Publication Number Publication Date
CN108462685A true CN108462685A (zh) 2018-08-28

Family

ID=63220532

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711477987.6A Pending CN108462685A (zh) 2017-12-29 2017-12-29 基于二进制的电动汽车数据互联互通权限控制方法及***

Country Status (1)

Country Link
CN (1) CN108462685A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111159729A (zh) * 2019-12-13 2020-05-15 中移(杭州)信息技术有限公司 权限控制方法、装置及存储介质
CN114124424A (zh) * 2020-08-31 2022-03-01 通用汽车环球科技运作有限责任公司 汽车共享服务中的差异化访问控制

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111159729A (zh) * 2019-12-13 2020-05-15 中移(杭州)信息技术有限公司 权限控制方法、装置及存储介质
CN114124424A (zh) * 2020-08-31 2022-03-01 通用汽车环球科技运作有限责任公司 汽车共享服务中的差异化访问控制

Similar Documents

Publication Publication Date Title
CN102761551B (zh) 多级跨域访问控制***及控制方法
CN110197058B (zh) 统一内控安全管理方法、***、介质及电子设备
US9047462B2 (en) Computer account management system and realizing method thereof
CN105871914B (zh) 客户关系管理***访问控制方法
CN105872094B (zh) 一种基于soa的服务机器人云平台接口***及方法
CN107104931A (zh) 一种访问控制方法及平台
CN103347090B (zh) 一种基于企业网络的软件许可证管理方法
CN101286845B (zh) 一种基于角色的域间访问控制***
CN101453357B (zh) 一种网络管理控制方法与网络管理控制***
Li et al. RBAC-based access control for SaaS systems
CN102422298A (zh) 分布式计算资源的访问控制***和方法
CN101631116A (zh) 一种分布式双重授权及访问控制方法和***
CN104301301B (zh) 一种基于云存储***间的数据迁移加密方法
CN106067119A (zh) 基于私有云的客户关系管理方法
CN104394141A (zh) 一种基于分布式文件***的统一认证方法
WO2008086757A1 (fr) Dispositif et procédé de commande d'accès à un document électronique
CN102004866A (zh) 用于信息***的用户身份验证及访问控制的方法及装置
CN109525570A (zh) 一种面向集团客户的数据分层安全访问控制方法
CN106096976A (zh) 小型企业客户关系管理方法
CN103023921A (zh) 一种认证接入方法和认证***
CN111865943A (zh) 一种基于微服务的多层级租户鉴权方法及装置
CN102469089A (zh) 一种动态数据共享与隔离的方法及装置
CN104866774B (zh) 账户权限管理的方法及***
CN100574210C (zh) 一种基于无等级角色间映射的访问控制方法
CN108462685A (zh) 基于二进制的电动汽车数据互联互通权限控制方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20180828