一种基于用户身份认证的主子站安全通信控制方法和系统技术方案

本发明专利技术公开一种基于用户身份认证的主子站通信安全控制方法和系统，用于智能电网调度主站对如智能变电站等厂站端通信时，提高其网络通信和远方控制操作的安全性。技术方案包括：调度主站与厂站端建立首次通信链接后，进行用户身份认证，若身份认证不通过则通信中断；调度主站对厂站端进行如遥控、定值修改、压板投退等远方控制操作时，进行用户身份认证，若认证不通过则不允许远控；调度主站与厂站端正常通信时，以设定的周期进行用户身份认证，认证不通过则通信中断。本发明专利技术通过对首次通信连接时、正常通信过程中，以及进行远方控制操作前，分别设置用户身份认证过程，一定程度上可提高远方通信和远方控制操作的网络信息安全，防止非法用户的入侵。

【技术实现步骤摘要】
一种基于用户身份认证的主子站安全通信控制方法和系统
本专利技术涉及智能电网调度安全控制
，特别是用于智能电网调度主站与厂站之间进行网络通信和远方控制操作时的一种基于用户身份认证的主子站安全通信控制方法。
技术介绍
智能变电站主子站信息交互主要基于IEC-101、IEC-104、IEC103等进行实时通信，缺少相关的安全措施，存在通信只能通过白名单直接连接，信息直接传送、控制命令直接下发等现象，安全性不高，会直接影响到电网安全，因信息安全非法入侵或操作不当造成的电网故障将会对社会生活和生产造成不可挽回的损失。近期，国家推出了网络安全法，网络安全问题已经上升到国家层面，电网相关部门和单位也进行了系统安全加固等方面的工作。
技术实现思路
本专利技术的目的是提供一种基于用户身份认证的主子站安全通信控制方法，加强网络通信和远方控制操作的安全性，有利用提升智能电网信息通信的安全控制。本专利技术采取的技术方案为：一方面，本专利技术从调度主站通信安全的角度，提供一种基于用户身份认证的主子站安全通信控制方法，包括：与厂站端建立初次通信连接后，发起用户身份认证，若认证不通过，则与厂站端之间的通信断开；对厂站端进行远方控制操作前，发起用户身份认证，若认证不通过，则不允许远方控制操作；与厂站端通信过程中，以设定的时间间隔发起周期性用户身份认证，若认证不通过，则通信中断；所述发起用户身份认证包括：获取当前用户身份数据；将包含用户身份数据的用户身份信息认证请求传输至厂站端；获取厂站端根据用户身份数据检查结果发出的认证结果信息，以确定认证是否通过。优选的，所述用户身份数据包括用户名、用户密码或用户操作权限数据。优选的，与厂站端建立初次通信连接后，所发起的用户身份认证包括用户名认证和用户密码认证。两者皆认证通过则认为此阶段认证通过。优选的，与厂站端通信过程中，所述周期性用户身份认证包括用户名认证和用户密码认证。两者皆认证通过则认为此阶段认证通过。优选的，对厂站端进行远方控制操作前，所发起的用户身份认证包括用户名认证、用户密码认证以及用户操作权限认证。三者皆认证通过则认为此阶段认证通过。优选的，发起用户身份认证时，按照用户名认证、用户密码认证、用户操作权限认证的先后顺序关系进行。本专利技术所述当前用户身份数据可由用户通过调度主站的人机交互模块输入或选择。另一方面，本专利技术从厂站端通信安全角度，提供一种基于用户身份认证的主子站安全通信控制方法，包括：与调度主站建立初次通信连接后，根据调度主站的用户身份信息认证请求，进行用户身份认证，若认证不通过，则断开与调度主站之间的通信连接；在调度主站进行远方控制操作前，根据调度主站的用户身份信息认证请求，进行用户身份认证，若认证不通过，则不允许调度主站对厂站端进行远方控制操作；与调度主站通信过程中，根据调度主站的用户身份信息认证请求，以设定的时间间隔进行周期性用户身份认证，若认证不通过，则中断与调度主站之间的通信；所述进行用户身份认证包括：获取调度主站发出的用户身份信息认证请求，得到其中的当前用户身份数据；基于预设的用户身份数据库，对当前用户身份数据进行数据检查，得到用户身份数据检查结果；将用户身份数据检查结果对应的认证结果信息回传至调度主站。本专利技术主要可用于当前基于IEC-101、IEC-104、IEC-103等进行电网实时信息交互通信中，通过多阶段认证，在不影响实时性的前提下，可防止非法用户的入侵，提高电网调度网络的安全性。优选的，厂站端存储有用户身份数据库，所述用户身份数据库包括对应各白名单用户的用户名、用户密码和用户操作权限数据；厂站端将接收到的用户身份数据，与用户身份数据库中的用户身份数据进行比较，以进行用户身份数据检查。优选的，所述用户密码为预分配给各白名单用户的静态密码，或者在认证时生成的动态密码。动态密码可根据调度主站用户与厂站端双方预先制定的密钥或规则生成，具体为现有技术。第三方面，本专利技术还公开一种基于用户身份认证的主子站安全通信控制系统，包括调度主站和厂站端；调度主站包括前置机和第一用户身份认证模块；厂站端包括通信网关和第二身份认证模块；调度主站与厂站端之间通过前置机和通信网关连接通信；在调度主站与厂站端建立初次通信连接后，调度主站向厂站端发出用户身份认证请求，厂站端根据调度主站的用户身份信息认证请求，进行用户身份认证，若认证不通过，则断开厂站端与调度主站之间的通信连接；在调度主站对厂站端进行远方控制操作前，调度主站向厂站端发出用户身份认证请求，产斩断根据调度主站的用户身份信息认证请求，进行用户身份认证，若认证不通过，则不允许调度主站对厂站端进行远方控制操作；在调度主站与厂站端通信过程中，调度主站以设定的时间间隔向厂站端发出用户身份认证请求，厂站端根据调度主站的用户身份信息认证请求，进行周期性用户身份认证，若认证不通过，则中断厂站端与调度主站之间的通信连接；所述用户身份认证的发起和进行包括：所述第一身份认证模块获取当前用户身份数据，并通过前置机将包含所述当前用户身份数据的用户身份信息认证请求传输至厂站端；所述第二身份认证模块通过通信网关获取所述用户身份信息认证请求，进而得到其中的当前用户身份数据；所述第二身份认证模块基于预设的用户身份数据库，对当前用户身份数据进行数据检查，得到用户身份数据检查结果；所述第二身份认证模块通过通信网关将用户身份数据检查结果对应的认证结果信息回传至调度主站；所述第一身份认证模块通过前置机获取所述认证结果信息，以确定认证是否通过。优选的，所述用户身份数据包括用户名、用户密码或用户操作权限数据；第二身份认证模块中预设有对应各白名单用户的用户身份数据；调度主站与厂站端建立首次通信连接时，以及通信过程中进行用户身份认证时，首先进行用户名认证，用户名认证通过后进行用户密码认证，用户密码认证通过后则认证通过；调度主站对厂站端进行远方控制操作前，进行用户身份认证时，按照用户名认证、用户密码认证、用户操作权限认证的顺序依次进行认证，三者皆认证通过，则用户身份认证通过，调度主站可开始对厂站端进行远方控制操作。厂站端则根据认证结果信息维持或断开与调度主站之间的通信连接，以及拒绝或接受调度主站的远方控制操作。有益效果本专利技术通过对首次通信连接时、正常通信过程中，以及进行远方控制操作前，分别设置用户身份认证过程，全方位的覆盖了调度主站与厂站端之间可能存在安全隐患的各阶段，可以为智能电网调度主站与厂站端之间，提供一种更为安全的主子站网络通信及安全控制操作机制，有利于提升电网信息通信的安全控制。同时本专利技术在首次通信连接和正常通信过程中的用户身份验证时，仅进行用户名和密码的验证，而在调度主站对厂站端进行远控前的用户身份验证时，进行了用户名、密码以及用户权限的认证，简化了首次通信连接和正常通信过程中常规验证的过程，提高了效率，同时通过含有用户权限的多重验证方式避免了非法用户对厂站端的非法操作。附图说明图1所示为本专利技术主子站安全通信控制系统用户身份验证原理示意图。具体实施方式以下结合附图和具体实施例进一步描述。实施例1参考图1所示，本实施例为基于用户身份认证的主子站安全通信控制系统，包括调度主站和厂站端；调度主站包括前置机和第一用户身份认证模块；厂站端包括通信网关和第二身份认证模块；调度主站与本文档来自技高网...

【技术保护点】
1.一种基于用户身份认证的主子站安全通信控制方法，其特征是，包括：与厂站端建立初次通信连接后，发起用户身份认证，若认证不通过，则与厂站端之间的通信断开；对厂站端进行远方控制操作前，发起用户身份认证，若认证不通过，则不允许远方控制操作；与厂站端通信过程中，以设定的时间间隔发起周期性用户身份认证，若认证不通过，则通信中断；所述发起用户身份认证包括：获取当前用户身份数据；将包含用户身份数据的用户身份信息认证请求传输至厂站端；获取厂站端根据用户身份数据检查结果发出的认证结果信息，以确定认证是否通过。

【技术特征摘要】
1.一种基于用户身份认证的主子站安全通信控制方法，其特征是，包括：与厂站端建立初次通信连接后，发起用户身份认证，若认证不通过，则与厂站端之间的通信断开；对厂站端进行远方控制操作前，发起用户身份认证，若认证不通过，则不允许远方控制操作；与厂站端通信过程中，以设定的时间间隔发起周期性用户身份认证，若认证不通过，则通信中断；所述发起用户身份认证包括：获取当前用户身份数据；将包含用户身份数据的用户身份信息认证请求传输至厂站端；获取厂站端根据用户身份数据检查结果发出的认证结果信息，以确定认证是否通过。2.根据权利要求1所述的方法，其特征是，所述用户身份数据包括用户名、用户密码或用户操作权限数据。3.根据权利要求2所述的方法，其特征是，与厂站端建立初次通信连接后，所发起的用户身份认证包括用户名认证和用户密码认证；与厂站端通信过程中，所述周期性用户身份认证包括用户名认证和用户密码认证；对厂站端进行远方控制操作前，所发起的用户身份认证包括用户名认证、用户密码认证以及用户操作权限认证。4.根据权利要求3所述的方法，其特征是，发起用户身份认证时，按照用户名认证、用户密码认证、用户操作权限认证的先后顺序关系进行。5.一种基于用户身份认证的主子站安全通信控制方法，其特征是，包括：与调度主站建立初次通信连接后，根据调度主站的用户身份信息认证请求，进行用户身份认证，若认证不通过，则断开与调度主站之间的通信连接；在调度主站进行远方控制操作前，根据调度主站的用户身份信息认证请求，进行用户身份认证，若认证不通过，则不允许调度主站对厂站端进行远方控制操作；与调度主站通信过程中，根据调度主站的用户身份信息认证请求，以设定的时间间隔进行周期性用户身份认证，若认证不通过，则中断与调度主站之间的通信；所述进行用户身份认证包括：获取调度主站发出的用户身份信息认证请求，得到其中的当前用户身份数据；基于预设的用户身份数据库，对当前用户身份数据进行数据检查，得到用户身份数据检查结果；将用户身份数据检查结果对应的认证结果信息回传至调度主站。6.根据权利要求5所述的方法，其特征是，厂站端存储有用户身份数据库，所述用户身份数据库包括对应各白名单用户的用户名、用户密码和用户操作权限数据；厂站端将接收到的用户身份数据，与用户身份数据库中的用户身份数据进行比较，以进行...

【专利技术属性】
技术研发人员：王位杰，董怀普，徐小俊，江南，李洪池，骆兆军，刘文彪，
申请(专利权)人：南京国电南自电网自动化有限公司，
类型：发明
国别省市：江苏,32