(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115842650A(43)申请公布日2023.03.24(21)申请号202211247084.XH04L67/12(2022.01)(22)申请日2022.10.12G16Y40/50(2020.01)G16Y30/10(2020.01)(71)申请人国网浙江省电力有限公司桐乡市供G16Y10/35(2020.01)电公司地址314599浙江省嘉兴市桐乡市梧桐街道环园路818号申请人桐乡市电力工程有限责任公司(72)发明人徐宏顾雷春刘书涵花志伟李鑫(74)专利代理机构成都鱼爪智云知识产权代理有限公司51308专利代理师罗怡韵(51)Int.Cl.H04L9/40(2022.01)H04L9/32(2006.01)权利要求书2页说明书7页附图3页(54)发明名称基于零信任架构的电力融合终端可信接入方法及系统(57)摘要本发明公开了一种基于零信任架构的电力融合终端可信接入方法及系统，涉及电网安全技术领域。该方法包括：为电力物联网系统构建虚拟边界，为系统应用和服务提供隐身保护功能；基于零信任架构的持续信任评估模块持续为访问控制引擎提供多个方面的评估数据，作为访问控制策略判定依据；获取并根据电力物联网系统中的基础网络、设备、用户以及应用多个对象构建动态访问控制架构；基于动态访问控制架构结合访问控制策略判定依据实现对电力融合终端的可信接入。本发明基于多方面的对象的身份构建合理的访问控制体系，实现边缘侧电力融合设备的可信接入。CN115842650ACN115842650A权利要求书1/2页1.一种基于零信任架构的电力融合终端可信接入方法，其特征在于，包括以下步骤：为电力物联网系统构建虚拟边界，为系统应用和服务提供隐身保护功能；基于零信任架构的持续信任评估模块持续为访问控制引擎提供多个方面的评估数据，作为访问控制策略判定依据；获取并根据电力物联网系统中的基础网络、设备、用户以及应用多个对象构建动态访问控制架构；基于动态访问控制架构结合访问控制策略判定依据实现对电力融合终端的可信接入。2.根据权利要求1所述的一种基于零信任架构的电力融合终端可信接入方法，其特征在于，所述多个方面的评估数据包括设备信任等级评估、身份安全等级评估以及网络安全评估。3.根据权利要求1所述的一种基于零信任架构的电力融合终端可信接入方法，其特征在于，所述动态访问控制架构包括访问控制策略和访问控制基础权限。4.根据权利要求3所述的一种基于零信任架构的电力融合终端可信接入方法，其特征在于，所述根据电力物联网系统中的基础网络、设备、用户以及应用多个对象构建动态访问控制架构的方法包括以下步骤：基于数据平面的访问会话，对电力物联网系统中的基础网络、设备、用户以及应用的所有访问请求建立访问控制策略；基于安全策略和基础信任等级，建立基础网络、设备、用户以及应用各个对象的访问控制基础权限。5.根据权利要求4所述的一种基于零信任架构的电力融合终端可信接入方法，其特征在于，所述基于动态访问控制架构结合访问控制策略判定依据实现对电力融合终端的可信接入的方法包括以下步骤：根据安全上下文最小化访问控制原则进行持续信任评估，以得到并将评估数据作为访问控制策略判定依据；根据访问控制策略判定依据动态调整各个对象的访问控制基础权限，并执行对应的访问控制策略，对无访问权限的请求进行阻断。6.根据权利要求1所述的一种基于零信任架构的电力融合终端可信接入方法，其特征在于，还包括以下步骤：根据电力物联网系统的云管边端架构在边缘计算层建立端点探针，在异构的端点操作系统上构建统一的抽象层；在云端侧构建并通过统一的端点应用接口网关给端点探针下达安全管控指令，阻止对应的电力融合终端的接入。7.一种基于零信任架构的电力融合终端可信接入系统，其特征在于，包括虚拟边界构建模块、持续信任评估模块、访问架构构建模块以及终端接入控制模块，其中：虚拟边界构建模块，用于为电力物联网系统构建虚拟边界，为系统应用和服务提供隐身保护功能；持续信任评估模块，用于基于零信任架构的持续信任评估模块持续为访问控制引擎提供多个方面的评估数据，作为访问控制策略判定依据；访问架构构建模块，用于获取并根据电力物联网系统中的基础网络、设备、用户以及应2CN115842650A权利要求书2/2页用多个对象构建动态访问控制架构；终端接入控制模块，用于基于动态访问控制架构结合访问控制策略判定依据实现对电力融合终端的可信接入。8.根据权利要求7所述的一种基于零信任架构的电力融合终端可信接入系统，其特征在于，所述多个方面的评估数据包括设备信任等级评估、身份安全等级评估以及网络安全评估。9.一种电子设备，其特征在于，包括：存储器，用于存储一个或多个程序；处理器；当所述一个或多个程序被所述处理器执行时，