汪 偉，李端超

（安徽省電力公司調(diào)度控制中心，安徽 合肥 230022）

其它

基于數(shù)字證書的遠(yuǎn)方遙控操作身份認(rèn)證的研究與實現(xiàn)

汪 偉，李端超

（安徽省電力公司調(diào)度控制中心，安徽 合肥 230022）

隨著設(shè)備的遠(yuǎn)方遙控操作得到全面實施，原有的以用戶名和密碼登陸實現(xiàn)人員身份認(rèn)證方式已經(jīng)不能滿足安全性的要求。提出了使用用戶登陸和使用智能卡的數(shù)字證書認(rèn)證相結(jié)合的身份認(rèn)證實施方案。在安徽省電力公司調(diào)度中心的實施證明其可實現(xiàn)操作人員身份的可靠認(rèn)證，確保遙控操作的安全。

遙控；數(shù)字證書；身份認(rèn)證

隨著國網(wǎng)公司大運行體系的全面實施，各級調(diào)度機構(gòu)對變電現(xiàn)場設(shè)備實現(xiàn)了全面集中監(jiān)控，設(shè)備的遠(yuǎn)方遙控操作也得到了全面實施，使操作變得高效、快速，節(jié)省了大量的人力、物力。但是在實現(xiàn)這些便利的同時，也帶來了一些新的挑戰(zhàn)。由于網(wǎng)絡(luò)的廣泛性和開放性，所有能直接或間接連接調(diào)度控制系統(tǒng)的人員或程序都可以對設(shè)備進(jìn)行操作，因此，必須對操作人員的身份進(jìn)行安全認(rèn)證，有效識別操作者的身份，阻止沒有權(quán)限的人員或者黑客、病毒程序?qū)υO(shè)備進(jìn)行誤操作或惡意操作，僅僅允許具有操作資格的人員進(jìn)行設(shè)備的遠(yuǎn)方遙控操作，確保設(shè)備遠(yuǎn)方遙控操作的安全。

1 傳統(tǒng)遠(yuǎn)方遙控操作流程及其存在的安全隱患

傳統(tǒng)的遠(yuǎn)方遙控操作是由2名操作人員完成，操作者A選擇將要操作的設(shè)備和操作指令，由操作者B進(jìn)行監(jiān)護(hù)確認(rèn)，再由操作者A最終確認(rèn)下發(fā)指令。其中操作者A、B均通過在調(diào)度控制系統(tǒng)中輸入密碼確認(rèn)身份。

圖1中虛線框內(nèi)的身份認(rèn)證過程僅通過輸入密碼來實現(xiàn)，是基于密碼的身份認(rèn)證技術(shù)?；诿艽a的身份認(rèn)證技術(shù)比較原始，優(yōu)勢在于密碼是用戶自己設(shè)定，系統(tǒng)實現(xiàn)比較簡便，只要服務(wù)端程序接收到用戶名和對應(yīng)的密碼，系統(tǒng)就認(rèn)為訪問者身份合法。但弊端在于，用戶設(shè)定的密碼復(fù)雜性一般，破解密碼的難度較小。同時，用戶密碼在存儲和傳輸過程中極易被木馬程序和網(wǎng)絡(luò)黑客截取，很容易造成密碼泄漏。所以基于密碼的身份認(rèn)證技術(shù)是一種不安全的身份認(rèn)證技術(shù)，存在不具備操作權(quán)限的人員誤操作通過或者木馬程序、網(wǎng)絡(luò)黑客進(jìn)行攻擊的可能。

圖1 傳統(tǒng)的遠(yuǎn)方遙控操作流程

文獻(xiàn)［1］指出，對于調(diào)度主站遙控來說，存在多重安全問題，其中較容易發(fā)生的是誤操作問題，對電網(wǎng)安全威脅最大的是惡意破壞。對于誤操作，可能存在抵賴問題，調(diào)度員、監(jiān)控員之間的用戶名和密碼在實際工作中近乎公開，在交接班時或緊急情況處理時可能會出現(xiàn)誤操作后當(dāng)事人不承認(rèn)的問題，因此必須采取用戶名、密碼之外的措施來進(jìn)行人員身份的識別。而對于惡意破壞問題，值得注意的是，現(xiàn)在的智能電網(wǎng)調(diào)度控制系統(tǒng)用戶范圍廣，開發(fā)、維護(hù)單位多，且各用戶存在交叉使用的情況，權(quán)限配置又并非完美，因此，必須采取非常嚴(yán)格的措施，限制遙控功能的使用，除經(jīng)過授權(quán)的人員外其他人不得使用遙控功能。

針對以上2點，安徽省調(diào)采用數(shù)字證書和智能卡的方式實現(xiàn)了對遠(yuǎn)方遙控操作的身份認(rèn)證。

2 使用數(shù)字證書和智能卡實現(xiàn)對遠(yuǎn)方遙控操作的身份認(rèn)證

2.1 數(shù)字證書

數(shù)字證書（Digital Certificate）也稱數(shù)字標(biāo)識，它基于公開密鑰加密技術(shù)［1］，是一種應(yīng)用廣泛的信息安全技術(shù)。公開密鑰加密算法的加密密鑰與解密密鑰是一組相對的密鑰，稱為“非對稱密鑰對”或“密鑰對（Key Pair）”，其中一個為可以公開的加密密鑰（簡稱“公鑰”），另一個是必須秘密保存的解密密鑰（簡稱“私鑰”），而且由公鑰很難求出私鑰。使用私鑰加密（簽名），可以通過公鑰進(jìn)行解密認(rèn)證，這樣就可以進(jìn)行身份認(rèn)證，或用在抗抵賴應(yīng)用中。

數(shù)字證書一般由權(quán)威機構(gòu)CA（Certificate Au?thority）中心簽發(fā)，主要用于用戶身份認(rèn)證。數(shù)字證書包含用戶身份信息、用戶公鑰信息以及身份驗證機構(gòu)數(shù)字簽名的數(shù)據(jù)。其作用是證明數(shù)字證書中列出的用戶與數(shù)字證書中列出的公開密鑰對應(yīng)，通過身份認(rèn)證機構(gòu)的數(shù)字簽名來保證用戶身份的客觀真實性與數(shù)字證書的真實性一致。

多年前有研究電力信息安全的文獻(xiàn)曾指出可使用安全身份認(rèn)證體系加強對電力系統(tǒng)內(nèi)部系統(tǒng)的安全保障［2－3］。大運行體系深化實施和智能調(diào)度控制系統(tǒng)的全面應(yīng)用后，國網(wǎng)調(diào)度中心建立了完整的公鑰基礎(chǔ)設(shè)施體系［4］（PKI），為國網(wǎng)調(diào)度系統(tǒng)內(nèi)的安全服務(wù)提供基礎(chǔ)設(shè)施，安徽省調(diào)也建立了自己的CA體系，為具有遠(yuǎn)方遙控操作權(quán)限的操作人員簽發(fā)數(shù)字證書，提供身份認(rèn)證。具體架構(gòu)如圖2所示。

圖2 安徽省調(diào)為操作人員簽發(fā)數(shù)字證書架構(gòu)

2.2 智能卡

使用數(shù)字證書就可認(rèn)證用戶身份，但如何安全存儲數(shù)字證書，特別是私鑰是確保身份認(rèn)證過程可信的關(guān)鍵問題。傳統(tǒng)的數(shù)字證書大多都是“文件證書”，即將電子證書保存在本地磁盤上，在使用時直接讀入即可。這種存儲方式，使得數(shù)字證書極易被拷貝破解。此外，傳統(tǒng)上使用私鑰時，都是在內(nèi)存中進(jìn)行的，這樣就存在被惡意程序截取到的風(fēng)險，從而產(chǎn)生假冒用戶身份的事件發(fā)生。為了解決以上安全性問題，需要使用智能卡［5］來配合PKI系統(tǒng)的身份認(rèn)證就能夠很好地解決上述問題。

智能卡是一種帶有CPU的IC卡，使用智能卡存儲數(shù)字證書是一種更為安全的方式。我們采用了USB－Key形式的智能卡（下文簡稱U－Key），將數(shù)字證書的公鑰存儲在U－Key的開放存儲區(qū)，將私鑰存儲在U－Key的秘密存儲區(qū)并使用PIN碼進(jìn)行加密，在使用私鑰時，首先要輸入PIN碼，才能訪問私鑰，如果3次輸入PIN碼不正確，則U－Key將被鎖定，避免了使用暴力法破解私鑰。在身份認(rèn)證、加密和解密的過程中，所有涉及到私鑰的操作都在智能卡內(nèi)進(jìn)行，不會被計算機讀取。這絕對保證了數(shù)字證書的安全，確保了對操作人員的身份認(rèn)證是安全和可信的。

2.3 遠(yuǎn)方遙控操作的身份認(rèn)證

雖然并未改變傳統(tǒng)的遠(yuǎn)方遙控操作業(yè)務(wù)流程，但對身份驗證做了嚴(yán)格化的處理，采取了三重認(rèn)證的方式。

首先使用安徽省調(diào)CA為每位調(diào)度員、監(jiān)控員以及其他有遙控操作權(quán)限的人員分別簽發(fā)相應(yīng)的數(shù)字證書，將其私鑰存儲于U－Key中。并在調(diào)度控制系統(tǒng)上維護(hù)一個列表，其中包含所有被配置為允許進(jìn)行遠(yuǎn)方遙控操作的操作人員名稱和其數(shù)字證書的公鑰。每個操作人員配發(fā)一個U－Key，U－Key內(nèi)部存儲相應(yīng)人員的數(shù)字證書（包括公鑰和私鑰）。當(dāng)需要進(jìn)行遠(yuǎn)方遙控操作時，操作人員需要將U－Key插入其使用的工作站，首先使用調(diào)度控制系統(tǒng)的登陸界面使用用戶名和密碼進(jìn)行登陸，登陸成功后系統(tǒng)對已登陸的用戶和調(diào)度控制系統(tǒng)中維護(hù)的具有操作權(quán)限的用戶進(jìn)行比對，當(dāng)命中時，即登陸的用戶具有操作權(quán)限，然后再對系統(tǒng)中所配置的相應(yīng)操作人員的公鑰和U－Key中的公鑰進(jìn)行比較，如果相同則進(jìn)行該用戶數(shù)字證書的驗證：用戶輸入U－Key的PIN碼，如果輸入正確通過則對UKey中數(shù)字證書的公鑰和私鑰進(jìn)行驗證，三重認(rèn)證均無誤后才允許用戶執(zhí)行遠(yuǎn)方遙控中選擇、監(jiān)護(hù)和執(zhí)行的操作。具體的用戶驗證過程可參照圖3所示。

圖3 使用數(shù)字證書實現(xiàn)遠(yuǎn)方遙控操作的身份認(rèn)證

3 使用數(shù)字證書實現(xiàn)遠(yuǎn)方遙控操作身份認(rèn)證的優(yōu)勢

a.使用數(shù)字證書的身份認(rèn)證技術(shù)基于經(jīng)過嚴(yán)格考驗的公開密鑰算法，從當(dāng)前的研究來看，如果使用當(dāng)前世界上最先進(jìn)的計算機，也需數(shù)百年時間才能對我們所使用的數(shù)字證書進(jìn)行破解［6］。

b.數(shù)字證書使用了可靠的智能卡硬件實現(xiàn)。從數(shù)字證書的生成，私鑰的存儲和數(shù)字證書的驗證過程均在安全的智能卡內(nèi)實現(xiàn)，不將私鑰存儲到可導(dǎo)出的存儲設(shè)備中，也不載入內(nèi)存，并采取限制次數(shù)的PIN碼保護(hù)私鑰，確保了數(shù)字證書的安全。

c.身份驗證過程在原有的用戶登陸基礎(chǔ)上增加了數(shù)字證書的認(rèn)證，采取了三重認(rèn)證的方式，從流程上確保了對用戶身份的嚴(yán)格認(rèn)證，避免其他用戶的誤操作和黑客、木馬程序的惡意攻擊，也具備完備的不可抵賴性，從技術(shù)層面嚴(yán)格限制了只允許授權(quán)用戶進(jìn)行遙控操作。

4 結(jié)束語

數(shù)字證書技術(shù)已經(jīng)在各行各業(yè)得到了廣泛的應(yīng)用，它可以作為人員、設(shè)備、組織等的身份證明，可以用于身份認(rèn)證、加密解密、數(shù)字簽名，保證各項基于網(wǎng)絡(luò)的業(yè)務(wù)的安全性和可靠性，為業(yè)務(wù)的信息化提供強有力保障。

電力調(diào)控業(yè)務(wù)對安全性和可靠性要求極強，數(shù)字證書技術(shù)應(yīng)該在調(diào)控業(yè)務(wù)中得到全面的推廣和應(yīng)用，以進(jìn)一步提高調(diào)控業(yè)務(wù)的安全性和可靠性。安徽省調(diào)使用數(shù)字證書實現(xiàn)遠(yuǎn)方遙控操作的身份認(rèn)證管理，取得了較好的效果。如何將數(shù)字證書技術(shù)應(yīng)用到關(guān)鍵數(shù)據(jù)如關(guān)口數(shù)據(jù)、遙控遙調(diào)報文的加密傳輸和完整性驗證等方面，是下一步工作研究的重點。

［1］王順江.關(guān)于電力自動化遙控安全問題的研究［J］.東北電力技術(shù)，2012，33（2）：25－31.

［2］W.Diffie，M.E.Hellman.New Directions in Cryptography［J］. IEEE Transactions on Information Theory，1976，22（6）：644－654.

［3］潘明惠，偏瑞琪，張亞軍.電力系統(tǒng)信息安全應(yīng)用研究［J］.東北電力技術(shù)，2001，22（12）：44－48.

［4］Andrew Nash，William Duane，Celia Joseph，Derek Brink.PKI Implementing and Managing E－Seurity（公鑰基礎(chǔ)設(shè)施PKI實現(xiàn)和管理電子安全）［M］.北京：清華大學(xué)出版社，2002：285－302.

［5］李 祥.智能卡研發(fā)技術(shù)與工程實踐［M］.北京：人民郵電出版社，2003.

［6］Bruce Schneier.Applied Cryptograph Second Edition：protocols，algorithms，and source code in C（應(yīng)用密碼學(xué)：協(xié)議、算法與C源程序）［M］.北京：機械工業(yè)出版社，2000：334－340.

Research and Implementation on Identity Authentication of Remote Control Based on Digital Certificate

WANG Wei，LI Duan?chao
（Dispatch＆Control Center，Anhui Electric Power Corporation，Hefei，Anhui 230022，China）

With the full implementation of remote control of high voltage devices，the former identity authentication based on username and password cannot meet the requirement for safety of remote control.Focusing on this case，the solution using the combination of use?rname，password and digital certificate for identity authentication is presented.The implementation in Anhui dispatching center is proved that the solution can improve the stability of identity authentication to ensure the safety of device remote control.

Remote control；Digital certificate；Identity authentication

TM764.2

A

1004－7913（2016）03－0056－03

汪 偉（1985—），男，碩士，工程師，主要從事電網(wǎng)調(diào)度自動化工作。

2015－11－18）