本发明专利技术公开了一种广域运维系统的远程维护操作认证方法,将双因子登录技术,数字签名技术和权限认证技术相结合,引入调变一体化系统远程维护的安全防护体系中。通过USBKey和用户名密码认证,实现双因子登录;通过将用户名和时间戳结合到远程维护报文中进行数字签名,解决了远程维护报文通信的安全问题,有效的防止了远程维护报文被篡改和复制的可能;通过在变电站侧使用调度中心的登录用户名进行权限对比,实现了细粒度的权限认证,使得调变一体化系统远程维护的安全性得到有效提高。
【技术实现步骤摘要】
一种广域运维系统的远程维护操作认证方法
本专利技术属电力系统信息
,涉及到一种广域运维系统的远程维护操作认证方法。
技术介绍
随着智能电网的蓬勃发展,现有的自动化系统越来越难以满足智能电网对于信息交流、应用协作和一体化操作维护的需求,因此基于集成平台的调变一体化系统成为一种新的发展方向。调变一体化系统不再是由各级异构的、面向单一领域的调度与变电站自动化系统所组成的松散系统,而是将大电网安全稳定运行、调控一体化和生产管理精益化工作紧密耦合的综合型平台化的一体化系统。调变一体化系统不仅支撑各级电网调度机构与各级变电站运维机构的各类业务,而且为整个电网监控提供一个完整的技术体系,成为调度自动化系统和变电站自动化系统之间相互联系的桥梁。智能变电站是调变一体化系统的重要组成部分,与传统的变电站相比,智能变电站实现了设备数字化以及调度中心对变电站的全面监控,以全站信息数字化、通信平台网络化、信息共享标准化为基本要求。目前无人值守智能变电站已经开始逐步替代了传统变电站,但是当调度中心显示屏上出现遥信状态异常、通信中断等故障时,调度中心往往就无法立即判断具体的故障原因,错失排除故障的最佳时机,甚至威胁电网的安全运行,因此远程维护在无人值守变电站中得到了广泛的应用。基于集成平台的调变一体化系统通过采用SOA架构,通过在调度中心登录调变一体化系统,直接调用变电站远程维护服务的方式,实现调度中心对变电站的远程维护。在远程维护中,安全性至关重要,必须满足《全国电力二次系统安全防护总体方案》中“安全分区、网络专用、横向隔离、纵向认证”的要求。传统的远程维护往往只在接入调度数据网时采用纵向加密装置进行边界上的安全防护,缺少对于用户登录、系统内的通信安全以及人员权限认证的保护,存在安全隐患。因此如何能够全面的保护远程维护的安全性,是需要解决的重要问题。
技术实现思路
本专利技术所要解决的技术问题是提供了一种广域运维系统的远程维护操作认证方法。为了实现上述目的,本专利技术是采取以下的技术方案来实现的:一种广域运维系统的远程维护操作认证方法,其特征在于,包括远程维护操作前的双因子登录,远程维护操作报文的数字签名和远程维护操作权限的服务端认证,三者之间相互关联,共同保证了远程维护过程的安全。所述远程维护操作前的双因子登录,远程维护操作报文的数字签名和远程维护操作权限的服务端认证的关系主要体现在,在数字签名时使用双因子登录中的用户私钥进行签名,在权限认证时先使用公钥进行签名验证,然后使用双因子登录时输入的用户名进行认证。所述远程维护操作前的双因子登录时使用USBKey加用户名密码的验证方式,USBKey中包含用户私钥和身份证书,验证时需要验证用户名和USBKey中用户身份证书的一致性,并且验证用户是否具有远程维护权限,从而防止用户的非法登录。进一步的,所述远程维护操作前的双因子登录,具体包括:插入USBKey,进行身份认证;输入正确的用户名和对应的密码;验证用户名和密码的一致性,以及用户名和USBKey中身份证书的一致性,并且验证用户是否具有远程维护权限。所述远程维护操作报文的数字签名算法采用国密SM2算法,内容包括用户名、时间戳和请求内容,数字签名有效的防止了远程维护报文被篡改和复制的可能。进一步的,远程维护操作数字签名过程如下:首先对Message进行摘要操作得到摘要内容Dmsg,再使用私钥对摘要结果Dmsg进行加密,得到摘要签名Smsg,最后将内容Message和摘要签名Smsg组成远程维护安全报文发给变电站;远程维护安全报文到达变电站后,进行验签,取出用户名、时间戳和远程维护请求三部分的内容作为Message,对Message进行摘要算法的计算,得到Dmsg_in;取出远程维护安全报文的摘要签名部分Smsg,使用公钥对摘要签名Smsg进行解密,得到需要验证的摘要Dmsg_out;然后比较原摘要Dmsg_in和需要验证的摘要Dmsg_out是否相同,如果Dmsg_in和Dmsg_out相同,则说明远程维护安全报文内容没有改变,验签成功,才会进行后续的权限验证。所述远程维护操作权限的服务端认证过程为远程维护服务使用远程调度中心登录时输入的用户名进行细粒度的权限认证,避免了无效用户误操作导致的安全问题。另一方面,本专利技术还提供一种广域运维系统的远程维护操作认证装置,其特征在于,包括:双因子登录模块,用于远程维护操作前的双因子登录;数字签名模块,用于远程维护操作报文的数字签名;权限认证模块,用于远程维护操作权限的服务端认证。进一步的,所述的广域运维系统的远程维护操作认证装置,其特征在于:所述双因子登录模块,使用USBKey加用户名密码的验证方式,USBKey中包含用户私钥和身份证书,验证时需要验证用户名和USBKey中用户身份证书的一致性,并且验证用户是否具有远程维护权限;所述数字签名模块,采用国密SM2算法,内容包括用户名、时间戳和远程维护请求内容;所述权限认证模块,对远程维护服务使用远程调度中心登录时输入的用户名进行细粒度的权限认证。本专利技术所达到的有益效果:本专利技术为调度与变电站一体化广域运维系统的远程维护过程,提供了一套将用户登录、数据通信和服务权限认证相结合的全方位的安全防护方法。将双因子登录技术,数字签名技术和权限认证技术相结合,引入调变一体化系统远程维护的安全防护体系中。通过USBKey和用户名密码认证,实现双因子登录;通过将用户名和时间戳结合到远程维护报文中进行数字签名,解决了远程维护报文通信的安全问题,有效的防止了远程维护报文被篡改和复制的可能;通过在变电站侧使用调度中心的登录用户名进行权限对比,实现了细粒度的权限认证,使得调变一体化系统远程维护的安全性得到有效提高。附图说明图1为本专利技术的广域运维系统网络架构示意图;图2为本专利技术的网卡监测程序工作流程图;图3为本专利技术的共享内存数据结构图;图4为本专利技术的数据流程示意图。具体实施方式下面是本专利技术的一个优选实施例,包括了采用本专利技术的方法实现的一个具体的广域运维系统的远程维护操作认证方法。广域运维系统的远程维护操作认证方法如图1所示,包括调度中心侧的双因子登录、通信过程中的数据签名以及变电站端的权限认证过程。一种广域运维系统的远程维护操作认证装置,其特征在于,包括:双因子登录模块,用于远程维护操作前的双因子登录;数字签名模块,用于远程维护操作报文的数字签名;权限认证模块,用于远程维护操作权限的服务端认证。进一步的,所述的广域运维系统的远程维护操作认证装置,其特征在于:所述双因子登录模块,使用USBKey加用户名密码的验证方式,USBKey中包含用户私钥和身份证书,验证时需要验证用户名和USBKey中用户身份证书的一致性,并且验证用户是否具有远程维护权限;所述数字签名模块,采用国密SM2算法,内容包括用户名、时间戳和远程维护请求内容;所述权限认证模块,对远程维护服务使用远程调度中心登录时输入的用户名进行细粒度的权限认证。本专利技术需要在调度中心侧启动远程维护界面,用户需要登录远程维护界面才能进行远程维护操作。双因子登录界面如图2所示,登录过程包括两个环节,一是插入电力调度专用USBKey,进行身份认证。我国电力调度证书系统采用了分布式结构,电力调度系统的数字证书由本级别拥有电力调度根证书本文档来自技高网...
【技术保护点】
1.一种广域运维系统的远程维护操作认证方法,其特征在于,包括以下步骤:A、远程维护操作前的双因子登录;B、远程维护操作报文的数字签名;C、远程维护操作权限的服务端认证。
【技术特征摘要】
1.一种广域运维系统的远程维护操作认证方法,其特征在于,包括以下步骤:A、远程维护操作前的双因子登录;B、远程维护操作报文的数字签名;C、远程维护操作权限的服务端认证。2.根据权利要求1所述的广域运维系统的远程维护操作认证方法,其特征在于:所述远程维护操作前的双因子登录,远程维护操作报文的数字签名和远程维护操作权限的服务端认证的关系为:所述远程维护操作前的双因子登录使用USBKey加用户名密码的验证方式,USBKey中包含用户私钥和身份证书,验证时需要验证用户名和USBKey中用户身份证书的一致性,并且验证用户是否具有远程维护权限,用户成功登录后,才能进行远程维护操作,所有的操作请求都要先通过数字签名;在数字签名时使用双因子登录中的用户私钥进行签名,在权限认证时先使用公钥进行签名验证,然后使用双因子登录时输入的用户名进行认证。3.根据权利要求1所述的广域运维系统的远程维护操作认证方法,其特征在于,所述远程维护操作前的双因子登录,具体包括:插入USBKey,进行身份认证;输入正确的用户名和对应的密码;验证用户名和密码的一致性,以及用户名和USBKey中身份证书的一致性,并且验证用户是否具有远程维护权限。4.根据权利要求1所述的广域运维系统的远程维护操作认证方法,其特征在于:所述远程维护操作报文的数字签名采用国密SM2算法,内容包括用户名、时间戳和远程维护请求内容。5.根据权利要求1所述的广域运维系统的远程维护操作认证方法,其特征在于:远程维护操作数字签名过程如下:首先对Message进行摘要操作得到摘要内容Dmsg,再使用私钥对摘要结果Dmsg进行加...
【专利技术属性】
技术研发人员:万书鹏,张凯,易强,张平,葛以踊,雷宝龙,郭海龙,高宝山,孙卫芳,
申请(专利权)人:国电南瑞南京控制系统有限公司,国电南瑞科技股份有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。