本發(fā)明涉及信息安全，具體為一種基于強(qiáng)身份認(rèn)證和數(shù)據(jù)訪問安全可控方法及系統(tǒng)。

背景技術(shù)：

1、水電站計(jì)算機(jī)監(jiān)控系統(tǒng)是利用電子計(jì)算機(jī)對水電站電力生產(chǎn)業(yè)務(wù)全過程進(jìn)行實(shí)時監(jiān)視和控制，確保水電站安全、穩(wěn)定、高效運(yùn)行的重要信息系統(tǒng)，對于保障電力可靠供應(yīng)具有重要意義。隨著現(xiàn)代工業(yè)的不斷發(fā)展，信息系統(tǒng)在水電站的運(yùn)行管理中扮演著越來越重要的角色。然而，近年來信息系統(tǒng)網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，針對水電站計(jì)算機(jī)監(jiān)控系統(tǒng)的網(wǎng)絡(luò)攻擊見效快、影響范圍廣、社會破壞大，水電站計(jì)算機(jī)監(jiān)控系統(tǒng)往往成為網(wǎng)絡(luò)攻擊的重點(diǎn)打擊目標(biāo)。因此，如何有效提升水電站計(jì)算機(jī)監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力，成為亟待解決的重大課題。商用密碼技術(shù)作為信息安全領(lǐng)域的重要手段，其應(yīng)用在保障信息系統(tǒng)的安全性方面具有關(guān)鍵作用。

2、盡管商用密碼技術(shù)在信息安全防護(hù)中具有重要地位，但現(xiàn)有的相關(guān)技術(shù)在實(shí)際應(yīng)用中仍存在諸多不足。首先，傳統(tǒng)的單因子身份認(rèn)證方法，如僅依靠密碼進(jìn)行認(rèn)證，容易受到暴力破解和社會工程攻擊的威脅，難以提供足夠的安全保障。其次，即使是多因子身份認(rèn)證，由于其復(fù)雜性和用戶體驗(yàn)問題，往往導(dǎo)致用戶操作繁瑣、登錄過程緩慢，進(jìn)而影響系統(tǒng)的整體效率和用戶滿意度。此外，現(xiàn)有的訪問控制策略較為粗糙，無法根據(jù)用戶的動態(tài)行為和實(shí)時環(huán)境進(jìn)行細(xì)粒度的訪問控制，導(dǎo)致數(shù)據(jù)泄露和權(quán)限濫用的風(fēng)險增加。在數(shù)據(jù)存儲和傳輸過程中，雖然現(xiàn)有技術(shù)采用了一定的加密措施，但由于加密算法的復(fù)雜度和密鑰管理的難題，依然存在被破解和數(shù)據(jù)被竊取的隱患。尤其在水電站計(jì)算機(jī)監(jiān)控系統(tǒng)中，由于涉及到大量的實(shí)時數(shù)據(jù)和關(guān)鍵性操作，現(xiàn)有的安全防護(hù)措施難以滿足高安全性和高效率的雙重需求。

3、綜上所述，現(xiàn)有的信息安全技術(shù)在身份認(rèn)證、數(shù)據(jù)訪問控制和用戶行為監(jiān)控方面仍存在較多不足之處，特別是傳統(tǒng)單因子身份認(rèn)證易被破解、訪問控制策略粗糙、數(shù)據(jù)加密存儲不夠安全等問題。

技術(shù)實(shí)現(xiàn)思路

1、鑒于上述存在的問題，提出了本發(fā)明。

2、因此，本發(fā)明解決的技術(shù)問題是：針對現(xiàn)有水電站計(jì)算機(jī)監(jiān)控系統(tǒng)在身份認(rèn)證、數(shù)據(jù)訪問控制和用戶行為監(jiān)控方面存在的不足，如何確保系統(tǒng)的安全性和可靠性，減少網(wǎng)絡(luò)攻擊的風(fēng)險，保障電力生產(chǎn)的穩(wěn)定運(yùn)行的問題。

3、為解決上述技術(shù)問題，本發(fā)明提供如下技術(shù)方案：一種基于強(qiáng)身份認(rèn)證和數(shù)據(jù)訪問安全可控方法，包括：采用橢圓曲線密碼算法ecc結(jié)合多因子身份認(rèn)證機(jī)制，對每次登錄請求進(jìn)行認(rèn)證；

4、根據(jù)用戶信息，制定并實(shí)施細(xì)粒度訪問控制策略，使用ecc加密控制策略；

5、收集用戶行為數(shù)據(jù)，并進(jìn)行ecc加密存儲；

6、利用機(jī)器學(xué)習(xí)算法構(gòu)建用戶行為模型，識別正常行為和異常行為；

7、實(shí)時監(jiān)控用戶行為，并針對異常行為進(jìn)行預(yù)警和觸發(fā)安全措施。

8、作為本發(fā)明所述的基于強(qiáng)身份認(rèn)證和數(shù)據(jù)訪問安全可控方法的一種優(yōu)選方案，其中：所述對每次登錄請求進(jìn)行認(rèn)證包括，通過ecc算法生成用戶的公鑰和私鑰對，私鑰k由系統(tǒng)根據(jù)隨機(jī)數(shù)生成器通過積分生成，表示為：

9、

10、其中，∈(t)表示時間函數(shù)，具體定義為：

11、

12、公鑰p通過橢圓曲線點(diǎn)乘運(yùn)算從私鑰導(dǎo)出，表示為：

13、

14、其中，η(t)用于引入公鑰生成過程中的修正，定義為：

15、η(t)＝αt3+βln(t+1)+γ1e-μt+δ1sin(ξt)

16、其中，ζ(τ)表示二級修正項(xiàng)，定義為：

17、ζ(τ)＝στ2+ρcosh(vτ)+k

18、其中，t表示積分上限，∈(t)表示時間變量t的函數(shù)，g表示橢圓曲線基點(diǎn)，a表示正弦函數(shù)的振幅，ω表示正弦函數(shù)的角頻率，ψ表示正弦函數(shù)的相位，b表示指數(shù)衰減項(xiàng)的系數(shù)，λ表示指數(shù)衰減項(xiàng)的衰減常數(shù)，c表示余弦函數(shù)的振幅，γ表示余弦函數(shù)的角頻率，d表示平方根項(xiàng)的系數(shù)，e表示雙曲正切函數(shù)的系數(shù)，δ表示雙曲正切函數(shù)的參數(shù)，f表示反正切函數(shù)的系數(shù)，θ表示反正切函數(shù)的參數(shù)；α表示多項(xiàng)式項(xiàng)的系數(shù)，β表示對數(shù)函數(shù)項(xiàng)的系數(shù)，γ1表示指數(shù)衰減項(xiàng)的系數(shù)，μ表示指數(shù)衰減項(xiàng)的參數(shù)，δ1表示正弦函數(shù)項(xiàng)的系數(shù)，ξ表示正弦函數(shù)的角頻率；σ表示二次項(xiàng)的系數(shù)，ρ表示雙曲余弦函數(shù)項(xiàng)的系數(shù)，v表示雙曲余弦函數(shù)項(xiàng)的參數(shù)，k表示常數(shù)項(xiàng)；τ表示中間時間變量，用于二級修正積分中的自變量，為時間t之前的時間點(diǎn)；

19、在用戶首次注冊時，系統(tǒng)生成公鑰和私鑰對，并將公鑰存儲在認(rèn)證服務(wù)器中，私鑰保存在用戶設(shè)備中；

20、用戶登錄時，使用私鑰k對隨機(jī)生成的挑戰(zhàn)消息c1進(jìn)行簽名，挑戰(zhàn)消息c1表示為：

21、

22、其中，j表示求和索引，范圍從1到m；αj和βj表示挑戰(zhàn)消息生成過程中的系數(shù)和變量；

23、簽名生成過程為：

24、r＝(kg)x

25、s＝k-1(h(m)+rda)mod?q

26、其中，r和s表示簽名，x表示橢圓曲線上點(diǎn)的橫坐標(biāo)，h(m)表示消息的哈希值，da表示用戶的私鑰，q表示橢圓曲線的階數(shù)；

27、認(rèn)證服務(wù)器利用存儲的公鑰p驗(yàn)證簽名的有效性，驗(yàn)證過程為：

28、u1＝s-1h(m)mod?q

29、u2＝s-1r?mod?q

30、其中，u1和u2表示簽名驗(yàn)證過程中的中間變量；

31、計(jì)算驗(yàn)證點(diǎn)r，表示為：

32、r＝u1?g+u2q

33、其中，q表示用戶的公鑰；

34、并驗(yàn)證：rx≡r?mod?q；

35、當(dāng)驗(yàn)證點(diǎn)r的橫坐標(biāo)rx和簽名r滿足同余關(guān)系時，表明簽名的計(jì)算和公鑰驗(yàn)證是一致的，簽名是有效的，用戶身份得到確認(rèn)，繼續(xù)進(jìn)行后續(xù)驗(yàn)證；

36、當(dāng)驗(yàn)證點(diǎn)r的橫坐標(biāo)rx和簽名r不滿足同余關(guān)系時，表明簽名的計(jì)算和公鑰驗(yàn)證不一致，簽名是無效的，用戶身份未得到確認(rèn)，拒絕用戶的訪問請求，記錄此次失敗的登錄嘗試。

37、作為本發(fā)明所述的基于強(qiáng)身份認(rèn)證和數(shù)據(jù)訪問安全可控方法的一種優(yōu)選方案，其中：所述對每次登錄請求進(jìn)行認(rèn)證還包括，使用生物特征進(jìn)一步驗(yàn)證用戶身份，結(jié)合動態(tài)驗(yàn)證碼實(shí)現(xiàn)多因子認(rèn)證，多因子認(rèn)證結(jié)果m表示為：

38、

39、其中，i表示求積的索引，范圍從1到n；bi表示第i個因子的權(quán)重系數(shù)，fi表示用于第i個因子認(rèn)證的函數(shù)，vi表示第i個因子的輸入變量；

40、fi(vi)具體表示為：

41、

42、其中，ai表示正弦函數(shù)的振幅系數(shù)，bi表示正弦函數(shù)的頻率系數(shù)，ci表示正弦函數(shù)的相位偏移量，di表示指數(shù)函數(shù)的系數(shù)，ei表示指數(shù)函數(shù)的指數(shù)系數(shù)，gi表示對數(shù)函數(shù)的系數(shù)，hi表示對數(shù)函數(shù)的基數(shù)系數(shù)；

43、進(jìn)行綜合認(rèn)證，確認(rèn)認(rèn)證結(jié)果，表示為：

44、

45、其中，a表示綜合認(rèn)證公式結(jié)果，若a＞1，則表示認(rèn)證成功，允許進(jìn)行數(shù)據(jù)訪問；若a≤1，則表示認(rèn)證失敗，拒絕用戶的訪問請求，記錄此次失敗的登錄嘗試。

46、5.作為本發(fā)明所述的基于強(qiáng)身份認(rèn)證和數(shù)據(jù)訪問安全可控方法的一種優(yōu)選方案，其中所述制定并實(shí)施細(xì)粒度訪問控制策略包括，根據(jù)用戶在系統(tǒng)中的角色定義對應(yīng)的訪問權(quán)限；

47、根據(jù)不同的用戶角色分配不同的權(quán)限等級，確定各角色能夠訪問的資源和操作權(quán)限；

48、基于用戶的具體訪問需求，匹配相應(yīng)的權(quán)限，確保用戶只能訪問其工作所需的資源；

49、根據(jù)用戶角色、權(quán)限等級和訪問需求，生成原始訪問控制策略s。

50、作為本發(fā)明所述的基于強(qiáng)身份認(rèn)證和數(shù)據(jù)訪問安全可控方法的一種優(yōu)選方案，其中：所述使用ecc加密控制策略包括，使用ecc算法對生成的訪問控制策略s進(jìn)行加密，生成加密策略es，公式表示為：

51、es＝encryptecc(s，k)

52、其中，encryptecc表示使用ecc算法進(jìn)行加密；

53、將加密后的訪問控制策略es存儲在認(rèn)證服務(wù)器中；

54、當(dāng)用戶發(fā)出訪問請求時，認(rèn)證服務(wù)器將加密的訪問控制策略es傳輸給需要驗(yàn)證的系統(tǒng)組件；

55、系統(tǒng)組件接收到加密的訪問控制策略es后，使用ecc解密算法進(jìn)行解密，得到原始訪問控制策略s，公式表示為：

56、s＝decryptecc(es，k)

57、其中，decryptecc表示使用ecc算法進(jìn)行解密；

58、系統(tǒng)根據(jù)解密后的原始訪問控制策略s對用戶的訪問請求進(jìn)行驗(yàn)證和處理，確保用戶只能訪問其授權(quán)的資源。

59、作為本發(fā)明所述的基于強(qiáng)身份認(rèn)證和數(shù)據(jù)訪問安全可控方法的一種優(yōu)選方案，其中：所述收集用戶行為數(shù)據(jù)包括，登錄時間、訪問的資源、操作頻率、操作命令、設(shè)備信息、地理位置和登錄ip地址；

60、對收集到的用戶行為數(shù)據(jù)進(jìn)行預(yù)處理，包括數(shù)據(jù)清洗、格式轉(zhuǎn)換、去重；

61、所述進(jìn)行ecc加密存儲包括，使用橢圓曲線密碼算法對預(yù)處理后的用戶行為數(shù)據(jù)d進(jìn)行加密，將加密后的用戶行為數(shù)據(jù)ed存儲在系統(tǒng)的數(shù)據(jù)庫中；

62、當(dāng)需要訪問和分析用戶行為數(shù)據(jù)時，使用相應(yīng)的解密密鑰對加密數(shù)據(jù)ed進(jìn)行解密，獲取原始數(shù)據(jù)d。

63、8.作為本發(fā)明所述的基于強(qiáng)身份認(rèn)證和數(shù)據(jù)訪問安全可控方法的一種優(yōu)選方案，其中：所述利用機(jī)器學(xué)習(xí)算法構(gòu)建用戶行為模型包括，利用神經(jīng)網(wǎng)絡(luò)模型處理用戶行為數(shù)據(jù)和集成學(xué)習(xí)模型結(jié)合多個基學(xué)習(xí)器的輸出，構(gòu)建用戶行為模型；

64、所述神經(jīng)網(wǎng)絡(luò)模型fnn(xu)表示為：

65、

66、其中，xu表示輸入特征向量，p表示神經(jīng)網(wǎng)絡(luò)的數(shù)量，p表示神經(jīng)網(wǎng)絡(luò)的索引，q表示時間窗口的長度，q表示時間索引，σ1表示激活函數(shù)，u表示輸入特征的數(shù)量，u表示輸入特征的索引，l表示特征的維度，l表示特征維度的索引；wpu表示第p個神經(jīng)網(wǎng)絡(luò)的第u個輸入特征，xuwq表示第q時間第u個特征的第l個維度；bp表示第p個神經(jīng)網(wǎng)絡(luò)的偏置；

67、所述集成學(xué)習(xí)模型fel(xu)表示為：

68、

69、其中，v表示基學(xué)習(xí)器的數(shù)量，v表示基學(xué)習(xí)器的索引，αv表示第v個基學(xué)習(xí)器的權(quán)重，μ表示衰減因子；k(xv，xp)表示核函數(shù)，衡量輸入特征xv和xp的相似性；xv表示第v個基學(xué)習(xí)器的輸入特征，xp表示時間q的輸入特征；

70、所述用戶行為模型u(xu)表示為：

71、u(xu)＝fnn(xu)+fel(xu)

72、將實(shí)時數(shù)據(jù)轉(zhuǎn)換為特征向量xreal，作為輸入特征向量；

73、利用訓(xùn)練好的模型對特征向量進(jìn)行預(yù)測，識別行為類別ypredict：

74、ypredict＝u(xreal)

75、所述針對異常行為進(jìn)行預(yù)警和觸發(fā)安全措施包括，設(shè)定異常行為判斷閾值θ，當(dāng)ypredict＞θ時，判斷當(dāng)前用戶行為是異常行為，將異常行為的數(shù)據(jù)信息記錄在系統(tǒng)日志中，立即向安全管理人員發(fā)送預(yù)警通知，并對當(dāng)前用戶的后續(xù)操作進(jìn)行限制；

76、當(dāng)ypredict≤θ時，判斷當(dāng)前用戶行為是正常行為，允許當(dāng)前用戶繼續(xù)進(jìn)行其當(dāng)前操作和訪問資源，不進(jìn)行干預(yù)。

77、一種基于強(qiáng)身份認(rèn)證和數(shù)據(jù)訪問安全可控系統(tǒng)，其特征在于：包括，

78、身份認(rèn)證模塊：采用橢圓曲線密碼算法ecc結(jié)合多因子身份認(rèn)證機(jī)制，對每次登錄請求進(jìn)行認(rèn)證；

79、細(xì)粒度訪問控制模塊：根據(jù)用戶信息，制定并實(shí)施細(xì)粒度訪問控制策略，使用ecc加密控制策略；

80、用戶行為數(shù)據(jù)收集模塊：收集用戶行為數(shù)據(jù)，并進(jìn)行ecc加密存儲；

81、用戶行為建模模塊：利用機(jī)器學(xué)習(xí)算法構(gòu)建用戶行為模型，識別正常行為和異常行為；

82、實(shí)時監(jiān)控和安全響應(yīng)模塊：實(shí)時監(jiān)控用戶行為，并針對異常行為進(jìn)行預(yù)警和觸發(fā)安全措施。

83、本發(fā)明的有益效果：本發(fā)明采用橢圓曲線密碼算法(ecc)結(jié)合多因子身份認(rèn)證機(jī)制，提高了身份認(rèn)證的安全性和速度。動態(tài)調(diào)整用戶訪問權(quán)限，防止數(shù)據(jù)泄露和權(quán)限濫用。使用ecc加密存儲用戶行為數(shù)據(jù)，確保數(shù)據(jù)隱私和安全。利用機(jī)器學(xué)習(xí)實(shí)時識別正常和異常行為，提供預(yù)警和安全響應(yīng)。提高水電站計(jì)算機(jī)監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力，保障電力生產(chǎn)穩(wěn)定運(yùn)行。