易 強， 萬書鵬， 彭 暉， 張 凱

(國電南瑞科技股份有限公司，江蘇南京 211106)

智能電網(wǎng)調度技術支持系統(tǒng)在調度主站已經(jīng)廣泛應用[1]，智能變電站技術也日趨成熟并得到全面推廣，但是傳統(tǒng)模式下，調度與變電站松散的交互方式已越來越難以滿足電網(wǎng)安全穩(wěn)定運行和精細化管理的要求，智能電網(wǎng)建設迫切需要將調度與變電站統(tǒng)籌設計，形成綜合型、平臺化調度與變電站一體化系統(tǒng)[2-4]（以下簡稱調變一體化系統(tǒng)）。調度和變電站廣域分布，其一體化運行、一體化維護的安全防護是必須解決的問題。調變一體化系統(tǒng)安全技術遵循以“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”為核心的二次安全防護標準規(guī)范。目前，無人值守智能變電站已經(jīng)開始逐步替代了傳統(tǒng)變電站，當調度中心顯示屏上出現(xiàn)遙信狀態(tài)異常、通信中斷等故障時，調度中心往往無法立即判斷具體的故障原因，錯失排除故障的最佳時機，因此遠程維護[5-7]在無人值守變電站中得到了廣泛的應用。國內已有學者對調度與變電站間的遠程維護的安全做過研究，但是研究內容僅局限于采用縱向加密裝置進行邊界安全防護，未見用戶雙因子登錄、系統(tǒng)內通信安全以及人員權限認證保護等方面的內容。文中以遠程維護為例，提出了一種基于調變一體化系統(tǒng)的遠程維護安全策略，采用雙因子登錄技術保障用戶的登錄安全，通過對發(fā)送數(shù)據(jù)的數(shù)字簽名實現(xiàn)全過程的安全通信，通過平臺一體化進行細粒度的有限認證。

1 遠程維護安全需求

1.1 登錄驗證

調度中心對變電站進行遠程維護,需要在調度中心進行登錄。目前調度中心登錄方式一般采用用戶名與口令相結合的方法，未采用高安全等級的安全訪問控制機制。一旦維護人員口令泄露，系統(tǒng)就可能被惡意登錄，進而導致信息泄露，甚至威脅電網(wǎng)安全。

1.2 通信安全

目前調度中心和變電站之間的數(shù)據(jù)通信安全主要通過縱向加密裝置保證，這種方式考慮了調度數(shù)據(jù)網(wǎng)傳輸?shù)陌踩?，未考慮調度和變電站自動化系統(tǒng)內自身通信的安全性。智能變電站中基于IEC 61850標準的各廠家互操作未考慮安全認證問題，支持任意客戶端的連接。如果遠程維護數(shù)據(jù)在系統(tǒng)內被篡改或被重置，將無法被發(fā)現(xiàn)。

1.3 權限管理和維護

無論調度中心還是變電站自動化系統(tǒng)內都有一套完整的用戶權限管理機制，能為每個用戶定義各自獨立的訪問控制權限。但是調度自動化系統(tǒng)與變電站自動化系統(tǒng)間的遠程維護缺乏有效的權限管理機制，而且無法靈活地為不同的維護人員配置不同的訪問控制權限。

2 遠程維護安全總體設計

基于集成平臺的調變一體化系統(tǒng)采用面向服務的體系結構（SOA架構），如圖1所示，將調度中心和變電站的信息進行統(tǒng)一維護，實現(xiàn)調度中心和變電站的信息共享和各種一體化應用。

圖1 基于SOA服務總線的一體化系統(tǒng)架構

調變一體化系統(tǒng)基于SOA架構的服務總線跨越調度系統(tǒng)和變電站監(jiān)控系統(tǒng)，在調度中心的操作就可實現(xiàn)對變電站的遠程維護。調度中心側運行遠程維護界面程序，變電站側啟動遠程維護的相應服務，兩者之間通過服務總線進行遠程通信。

如圖2所示，結合目前遠程維護的安全需求，在原有縱向加密裝置進行邊界安全防護基礎上，進行了如下幾方面的安全強化設計。

（1）一體化雙因子登錄技術。系統(tǒng)管理員登錄遠程維護界面時需要進行雙因子登錄，系統(tǒng)將通過數(shù)據(jù)庫認證人員身份以及查詢用戶權限信息表，判斷登錄用戶是否具有遠程維護權限。

（2）一體化簽名認證技術。進行數(shù)據(jù)遠程通信時，調度中心側的服務總線會對請求數(shù)據(jù)進行數(shù)字簽名，變電站側的服務總線負責使用公鑰證書進行驗簽。

（3）一體化權限管理技術。變電站側的遠程維護服務最終會從請求數(shù)據(jù)中獲取遠程維護請求者的用戶名，并根據(jù)自己本地定義的權限信息判斷該用戶是否具有具體的訪問權限。

圖2 調變一體化系統(tǒng)遠程維護安全認證流程

3 遠程維護安全防護關鍵技術

3.1 一體化雙因子登錄技術

在調度中心，用戶登錄遠程維護界面的過程采用一體化雙因子登錄技術。一體化雙因子登錄技術是依托電力調度數(shù)字證書系統(tǒng)，將電力調度數(shù)字證書與用戶口令結合的高安全等級的認證方式。登錄過程包括2個環(huán)節(jié)，一是用戶需要插入電力調度專用移動數(shù)字證書（USBKey）進行身份認證。我國電力調度證書系統(tǒng)采用了分布式結構[8，9]，電力調度系統(tǒng)的數(shù)字證書由本級別擁有電力調度根證書的證書簽發(fā)機構統(tǒng)一簽發(fā)，電力調度系統(tǒng)的數(shù)字證書采用電力調度專用的USBKey作為載體。USBKey簽發(fā)后，每個調度員都擁有一個與其身份相對應的USBKey。USBKey攜帶方便，能夠做到調度人員人手一個，需要下發(fā)調度指令時插入USBKey，能唯一地識別調度員身份。USBKey登錄時，彈出個人識別密碼 （PIN碼）框需要輸入的USBKey的PIN碼，PIN碼類似于USBKey的密碼，PIN碼保護功能還能防止USBKey丟失后被他人使用。只有PIN碼輸入正確，系統(tǒng)才會繼續(xù)對USBKey中的身份信息進行驗證，否則，將會直接登錄失敗。系統(tǒng)中通過調度數(shù)字證書簽名的信息將發(fā)送到站，并經(jīng)過站端系統(tǒng)的驗證。

雙因子登錄的另一個環(huán)節(jié)需要用戶輸入正確的用戶名和對應的密碼。程序能夠驗證用戶名和USBKey中身份證書的一致性，防止用戶名和密碼泄露導致的安全隱患。采用雙因子登錄的同時，程序還將驗證用戶是否具有遠程維護權限，保證只有維護人員才能成功登錄遠程維護界面。

3.2 一體化簽名認證技術

為了保證調度中心發(fā)送給變電站的遠程維護信息的通信安全，采用一體化數(shù)字簽名技術對遠程維護請求進行加密。在加密時，將把用戶名和時間戳包含到報文中。在遠程維護操作信息中加入用戶名，可用于后續(xù)在子站驗證遠程維護操作的權限；加入時間戳，既能保證每次報文內容不相同，又能用于對報文進行時效性驗證，防止報文被重置。超過時間閾值的遠程維護信息，被視為不安全的信息，變電站將會斷開此次與調度中心的會話連接，遠程維護操作將不被執(zhí)行。

如圖3所示，在調度中心將用戶名、時間戳和遠程維護請求三部分信息作為需要進行簽名的內容 （以下稱作Message），首先對Message進行摘要操作得到摘要內容Dmsg，再使用私鑰對摘要結果Dmsg進行加密，得到摘要簽名Smsg。最后將內容Message和摘要簽名Smsg組成遠程維護安全報文發(fā)給變電站。

圖3 遠程維護報文數(shù)字簽名流程

變電站收到主站的請求后，將進行驗證報文安全性和有效性的操作，一體化驗簽過程如圖4所示。取出用戶名、時間戳和遠程維護請求三部分的內容作為Message，對Message進行摘要算法的計算，得到Dmsg_in。取出遠程維護安全報文的摘要簽名部分Smsg，使用公鑰對摘要簽名Smsg進行解密，得到需要驗證的摘要Dmsg_out。然后比較原摘要Dmsg_in和需要驗證的摘要Dmsg_out是否相同，如果Dmsg_in和Dmsg_out相同，則說明遠程維護安全報文內容沒有改變，才會進行后續(xù)的權限驗證。如果Dmsg_in和Dmsg_out不同，則說明遠程維護安全報文內容被改變，該報文不應該被繼續(xù)處理，服務連接斷開。

圖4 遠程維護報文驗簽流程

遠程維護請求信息驗證通過后，還需要驗證時間戳。在正常情況下，操作報文由調度中心發(fā)往變電站，時間花費應該很短。當變電站收到的遠程維護安全報文的時間戳與本地的系統(tǒng)時間相差大于閾值時，變電站側一體化系統(tǒng)會認為該報文存在被非法復制的可能，將斷開會話連接。只有安全報文的時間戳與本地的系統(tǒng)時間之差小于有效時間閾值時，才會繼續(xù)處理遠程維護報文。

3.3 一體化權限管理技術

遠程維護中，用戶雖然是在調度中心登錄，但是調度中心只進行用戶是否具有遠程維護權限的粗粒度認證，具體的權限認證是由遠程變電站的對應服務根據(jù)自身需要進行認證。

和傳統(tǒng)的遠程維護訪問控制需要單獨架設權限認證服務器不同[10]，在調變一體化系統(tǒng)中，對調度中心維護人員權限的認證可以直接使用變電站系統(tǒng)中的權限服務。已有的調變一體化系統(tǒng)中的權限管理為服務使用者提供了豐富的控制手段，是各類應用實現(xiàn)數(shù)據(jù)安全訪問控制的重要機制。通過已有的權限管理工具，可以很靈活地為遠程維護人員配置不同的權限，既可以進行基于對象（模型表、圖形、報表、流程等）的權限控制，也可以進行基于物理節(jié)點（工作站、服務器等）的權限控制。通過這種在變電站進行細粒度的權限認證，使得同一個調度中心的遠程維護人員可以在不同的變電站擁有不同的維護權限，而這些權限是由變電站的管理人員控制的。這就保證了調度中心的遠程維護人員必須經(jīng)過變電站的授權才能進行遠程維護，從而保證了變電站自身的安全。

4 結束語

針對調度中心遠程維護變電站時可能存在的安全隱患，以調變一體化系統(tǒng)為基礎，通過USBKey數(shù)字證書和用戶名密碼認證，實現(xiàn)了調度人員的一體化雙因子登錄；通過一體化數(shù)字簽名認證技術，將用戶名和時間戳結合到遠程維護報文中進行數(shù)字簽名，解決了遠程維護報文通信的安全問題，有效防止了遠程維護報文被篡改和重置的可能性；使用維護人員的登錄用戶名在變電站上進行權限對比，實現(xiàn)了細粒度的權限認證和主子站的一體化權限管理。結合本文提出的安全防護技術，已開發(fā)出了調變一體化系統(tǒng)安全遠程維護功能。采用安全防護關鍵技術的調變一體化系統(tǒng)遠程維護功能已經(jīng)在江蘇省電力調度中心進行了測試，滿足設計要求。江蘇省電力調度中心試運行的結果表明，各項安全指標滿足實用化驗收的安全標準。調變一體化安全防護技術使得遠程維護的安全性得到有效提高，有效保障了調度中心和變電站一體化運行、一體化維護的安全防護要求。

[1]彭 暉，趙家慶，王昌頻，等.大型地區(qū)電網(wǎng)調度控制系統(tǒng)海量歷史數(shù)據(jù)處理技術[J].江蘇電機工程，2014，33（5）：11-14.

[2]YANG Z H,ZHANG H B,ZHAIM Y，et al.Study on Control Center and Substation Integrated Monitor and Control System in Smart Grid[C]//2012 GIGRE Canada Conference∶Technology and Innovation for the Erolving Power Gird,Moteral Canada,2012：24-26.

[3]萬書鵬，雷寶龍，翟明玉.調度與變電站一體化系統(tǒng)鏈路狀態(tài)監(jiān)測與TCP通信方案[J].電力系統(tǒng)自動化，2014，38(1)：92-96.

[4]史金偉，楊啟京，肖艷煒，等.異構系統(tǒng)間數(shù)據(jù)遠程調閱的方法與實現(xiàn) [J].江蘇電機工程，2014，33(2)：44-47.

[5]梁運華，沈夢甜.500 kV變電站自動化系統(tǒng)實時遠程維護實現(xiàn)[J].電力系統(tǒng)保護與控制，2010，38（14）：165-168.

[6]詹成國，鐘 昀，徐 敏.一種基于P2P技術的遠程維護工具的實現(xiàn)[J].電力系統(tǒng)自動化， 2011，31(10)：131-133.

[7]高 卓，羅 毅，涂光瑜.基于分布式對象技術的變電站遠程維護系統(tǒng)[J].電力系統(tǒng)自動化，2002，26(16)：66-70.

[8]劉 剛，梁 野，李毅松，等.數(shù)字證書技術在電力二次系統(tǒng)中的實現(xiàn)及應用[J].電網(wǎng)技術，2006，30(S)：71-75.

[9]王 文，魯玉華，陶靜娜，等.電力調度證書系統(tǒng)的特點及應用[J].電網(wǎng)技術，2007，31(12)：23-27.

[10]段 斌，劉 念，王 鍵，等.基于PKI/PM I的變電站自動化系統(tǒng)訪問安全管理[J].電力系統(tǒng)自動化，2005，29(23)：58-63.