繼電保護定值在線發(fā)放管理系統(tǒng)及其安全防護

1、<p>　　繼電保護定值在線發(fā)放管理系統(tǒng)及其安全防護</p><p>　　關(guān)亞東，李中偉，朱識天，譚凱，王艷敏</p><p>　?。ü枮I工業(yè)大學(xué) 電氣工程及自動化學(xué)院，哈爾濱 150001）</p><p>　　摘要：為實現(xiàn)繼電保護定值的在線發(fā)放和滿足定值在線發(fā)放過程中的機密性、完整性、真實性和不可否認性等安全需求，本文在對繼電保護定值在線發(fā)放管理系統(tǒng)

2、進行需求分析的基礎(chǔ)上，設(shè)計了定值在線流轉(zhuǎn)、設(shè)備參數(shù)表上傳、系統(tǒng)認證與訪問控制、SSL/TLS協(xié)議通信模塊；基于雙因子身份認證、基于任務(wù)的訪問控制策略和SSL/TLS協(xié)議，設(shè)計了基于安全信道的數(shù)據(jù)加密/解密方案和系統(tǒng)安全防護方案；采用C#語言、SQL數(shù)據(jù)庫和OpenSSL開發(fā)工具，開發(fā)了具有定值單錄入、定值單校核、定值單審批和設(shè)備參數(shù)上傳等功能的繼電保護定值在線發(fā)放管理系統(tǒng)。實際應(yīng)用結(jié)果表明，該系統(tǒng)可實現(xiàn)繼電保護定值的在線流轉(zhuǎn)，滿足定值在

3、線發(fā)放過程中的安全需求。</p><p>　　關(guān)鍵詞：繼電保護；定值在線發(fā)放；基于任務(wù)的訪問控制；雙因子身份認證；SSL/TLS</p><p>　　中圖分類號：TM77 文獻標(biāo)識碼：B 文章編號：1001-1390(2018)00-0000-00</p><p>　　The online distributi

4、on management system of Relay relay protection fixed value online distribution management system and its security protection </p><p>　　Guan Yadong, Li Zhongwei, Zhu Shitian, Tan Kai, Wang Yanmin</p>&

5、lt;p>　　( School(School of Electrical Engineering & Automation, Harbin Institute of Technology, Harbin 150001, China)</p><p>　　Abstract：In order to realize the online distribution of relay protection v

6、alue and meet the security requirements such as confidentiality, integrity, authenticity and non-repudiation in the process of online distribution of fixed value, this paper value, and on the basis of analyzes analyzing

7、the demand for the online distribution management system of relay protection. , This this paper design designs the fixed value online flow module, device parameter upload module, system authentication and a</p>&l

8、t;p>　　Keywords: ：Relay relay protection, Onon-line distribution of fixed value, Tasktask-based access control, Twotwo-factor authentication, SSL/TLS </p><p><b>　　0　引 言</b></p><p>

9、　　繼電保護是電網(wǎng)安全運行的根本保證，繼電保護裝置及時切除故障是避免事故范圍擴大、保證電力設(shè)備安全運行的重要手段。定值作為繼電保護邏輯判斷的重要參數(shù)，決定了保護裝置動作的正確性。傳統(tǒng)的繼電保護定值管理與發(fā)放模式為在電力調(diào)度中心進行整定計算得到電力系統(tǒng)保護裝置定值后生成定值單，并進行定值單的人工審核和審批，而后通過人工下發(fā)到各變電站，進而完成現(xiàn)場定值核對與執(zhí)行工作。這種依靠人工操作的定值單管理下發(fā)模式無法實現(xiàn)定值單在各部門之間的自動高效流

10、轉(zhuǎn)，極大地浪費了人力、物力；而且存在大量的重復(fù)工作，導(dǎo)致在日常管理中定值單的匯總、查詢極為困難，甚至出現(xiàn)由于人為原因?qū)е露ㄖ祮蝸G失及兩份定值單不一致等情況，對定值單流轉(zhuǎn)過程也缺乏有效地監(jiān)控和管理。</p><p>　　隨著電力系統(tǒng)信息化的發(fā)展，利用信息化手段提高繼電保護定值發(fā)放與管理效率得到了廣泛的研究。文獻[1]給出了利用電力系統(tǒng)通信網(wǎng)絡(luò)提高繼電保護工作效率的方法，設(shè)計了繼電保護定值在線發(fā)放管理方案。文獻[2]

11、與文獻[3]給出了分布式多自主體網(wǎng)絡(luò)條件下的繼電保護定值發(fā)放管理方案。繼電保護定值的在線發(fā)放與管理提高了定值單流轉(zhuǎn)效率，減少了繼電保護工作人員的工作量[4]。但與此同時，繼電保護定值的在線發(fā)放與信息化管理也帶來了信息安全問題。近幾年來，以電力數(shù)據(jù)/信息為攻擊目標(biāo)，通過通信網(wǎng)絡(luò)對電力系統(tǒng)進行攻擊的事件時有發(fā)生[5]。</p><p>　　針對繼電保護定值在線發(fā)放的準(zhǔn)確性與安全性這一問題，國內(nèi)外進行了廣泛研究。文獻[

12、6]與文獻[7]結(jié)合電力系統(tǒng)通信網(wǎng)絡(luò)環(huán)境，分析了繼電保護定值在線發(fā)放管理系統(tǒng)的安全威脅與安全需求。文獻[8]分析了智能電網(wǎng)中的繼電保護定值的信息安全威脅，設(shè)計了結(jié)合加密技術(shù)與數(shù)字簽名技術(shù)的安全防護方案。文獻[9]采用基于角色的訪問控制策略，通過用戶組與用戶角色的設(shè)置，約束用戶訪問定值單的權(quán)限。同時系統(tǒng)記錄了用戶的操作日志，方便管理員進行安全審計。文獻[10]在繼電保護數(shù)據(jù)服務(wù)器上安裝了防火墻，過濾了外來人員的非授權(quán)訪問操作。然而，通過對

13、上述文獻分析可知，現(xiàn)有繼電保護定值在線發(fā)放管理系統(tǒng)的訪問控制策略只能阻擋與過濾來自外部的非授權(quán)訪問；數(shù)字簽名保證了數(shù)據(jù)來源的正確性，但無法保證定值實時性，定值面臨重放攻擊威脅；部分系統(tǒng)將非對稱加密算法公鑰與私鑰寫入程序中，無法保證密鑰的安全性。</p><p>　　為解決某地區(qū)電力調(diào)度中心繼電保護定值單長期依靠人工發(fā)放工作效率低的問題，在考慮上述安全問題的基礎(chǔ)上，本文擬設(shè)計具有定值單錄入、定值單在線校核與審批、設(shè)

14、備參數(shù)上傳等功能的繼電保護定值在線發(fā)放管理系統(tǒng)；基于SSL/TLS協(xié)議構(gòu)建系統(tǒng)安全信道，設(shè)計系統(tǒng)雙因子身份認證方案、基于任務(wù)的訪問控制策略和基于安全信道的數(shù)據(jù)加密/解密方案，構(gòu)建完整的系統(tǒng)安全防護方案。</p><p><b>　　1　系統(tǒng)需求分析</b></p><p>　　1.1　功能需求分析</p><p>　　繼電保護定值在線發(fā)放管理系

15、統(tǒng)的基本功能是實現(xiàn)定值單的在線發(fā)放與流轉(zhuǎn)，具體來說，是在與現(xiàn)有各類保護定值單格式兼容的基礎(chǔ)上，實現(xiàn)定值錄入、定值校核、定值批準(zhǔn)、定值接收、設(shè)備參數(shù)上傳、設(shè)備參數(shù)接收、定值單修改和定值單駁回等功能，并可實時查看、追蹤定值單所處的狀態(tài)。</p><p>　　繼電保護定值在線發(fā)放管理系統(tǒng)應(yīng)能自動形成日志文件，記錄用戶名稱、登陸時間、操作內(nèi)容、所操作定值單編號、操作時間及其IP地址等信息，監(jiān)測定值單的生成、流轉(zhuǎn)、在線下發(fā)

16、和設(shè)備參數(shù)的填報、上傳、訪問等各個流程，系統(tǒng)需提供日志記錄和查詢功能。保障對定值單和設(shè)備參數(shù)的操作具有可追溯性，同時方便各級用戶根據(jù)需要依據(jù)每個定值單的實時狀態(tài)有針對性地聯(lián)系上游用戶解決問題，更加快捷、便利地完成定值發(fā)放管理工作。</p><p>　　在定值單較多的春檢階段易出現(xiàn)分發(fā)不及時或分發(fā)錯誤等問題，因此，該系統(tǒng)需實現(xiàn)春檢校核、批量打印、批量流轉(zhuǎn)等功能，實現(xiàn)同質(zhì)化的批量處理。同時，為更加高效、簡明、安全地實

17、現(xiàn)用戶的添加、刪除、修改，需建立層次分明的用戶管理機制。同時為便于記錄的管理，系統(tǒng)需支持數(shù)據(jù)庫遠程備份及日志記錄查詢功能。</p><p>　　1.2　安全需求分析</p><p>　　繼電保護定值在線發(fā)放管理系統(tǒng)工作于電力調(diào)度專用數(shù)據(jù)網(wǎng)安全區(qū)IV，其通信網(wǎng)絡(luò)在物理上與外部網(wǎng)絡(luò)隔離，因此安全威脅大多來自于局域網(wǎng)內(nèi)部。信息安全威脅從攻擊類型角度可以分為4類：阻斷、截取、篡改、偽造[11]。下

18、面具體結(jié)合繼電保護定值在線發(fā)放管理系統(tǒng)進行威脅分析。</p><p>　　由于該系統(tǒng)通信網(wǎng)絡(luò)在物理上與外部網(wǎng)絡(luò)隔離，系統(tǒng)中通信節(jié)點數(shù)量與網(wǎng)絡(luò)內(nèi)的通信數(shù)據(jù)量均有限。因此，繼電保護定值在線發(fā)放管理系統(tǒng)無需考慮阻斷威脅。截取攻擊屬于被動攻擊，其本身不會改變定值單的數(shù)據(jù)內(nèi)容，并不會直接破壞電力系統(tǒng)的運行。對截取攻擊進行檢測極其困難，但截取攻擊后往往伴隨對報文的篡改和偽造，而篡改和偽造攻擊屬于主動攻擊，對其檢測較為容易。因

19、此該系統(tǒng)著重對篡改攻擊和偽造攻擊進行防范。篡改攻擊可能會發(fā)生在攻擊者對定值信息與設(shè)備參數(shù)表的非授權(quán)修改或通過中間人工具如kali系統(tǒng)中的Ettercap工具對網(wǎng)絡(luò)通信中傳輸?shù)男畔⑦M行篡改。因此，篡改攻擊包括兩個部分：非授權(quán)人員對關(guān)鍵數(shù)據(jù)文件的非授權(quán)篡改與對在通信網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)的篡改。由于篡改攻擊是以非授權(quán)的方式進行數(shù)據(jù)的訪問與篡改，受攻擊數(shù)據(jù)中往往存在部分真實信息，因此無法從分析數(shù)據(jù)真實性的角度檢測篡改攻擊，只能從數(shù)據(jù)完整性角度進行分

20、析。偽造攻擊為攻擊者生成虛假信息直接發(fā)送給信息目的地。因此，偽造信息具有較好的完整性，只能從真實性角度對傳輸報文進行分析。</p><p>　　綜上所述，結(jié)合繼電保護定值在線發(fā)放管理系統(tǒng)面臨的安全威脅，系統(tǒng)的安全性需求為保證繼電保護定值信息、使用人員身份信息、設(shè)備參數(shù)等數(shù)據(jù)的機密性、完整性、真實性以及不可否認性。為此，需設(shè)計相應(yīng)的安全防護方案滿足系統(tǒng)的安全需求。</p><p>　　2　系

21、統(tǒng)方案與模塊設(shè)計</p><p><b>　　2.1　系統(tǒng)架構(gòu)</b></p><p>　　通過分析系統(tǒng)的功能需求與安全需求，對繼電保護定值在線發(fā)放在線管理系統(tǒng)進行設(shè)計，所設(shè)計系統(tǒng)的架構(gòu)與主要功能框圖如圖1所示。</p><p>　　圖1 繼電保護定值在線發(fā)放管理系統(tǒng)框圖</p><p>　　Fig.1 Block Di

22、agram diagram of on-line distribution</p><p>　　management system for relay protection</p><p>　　系統(tǒng)包括定值在線流轉(zhuǎn)模塊、設(shè)備參數(shù)上傳模塊、身份認證與訪問控制模塊和SSL/TLS協(xié)議通信模塊。定值在線流轉(zhuǎn)模塊實現(xiàn)系統(tǒng)的核心功能，即實現(xiàn)定值單的在線流轉(zhuǎn)，具體包括定值單的錄入生成、定值單在線校核、

23、定值單在線下發(fā)與使用以及定值單駁回處理。設(shè)備參數(shù)上傳模塊實現(xiàn)設(shè)備參數(shù)的上傳，廠站設(shè)備參數(shù)上傳后通過定值錄入人員校核通過后，存入數(shù)據(jù)庫中，為繼定值錄入人員提供定值整定計算所需數(shù)據(jù)。身份認證與訪問控制模塊賦予用戶角色對應(yīng)的權(quán)限并實現(xiàn)用戶身份的認證。SSL/TLS協(xié)議通信模塊的功能是保障系統(tǒng)通信過程的信息安全。</p><p>　　2.1　定值在線流轉(zhuǎn)與設(shè)備參數(shù)表上傳模塊設(shè)計</p><p>　

24、　定值在線流轉(zhuǎn)模塊實現(xiàn)的功能即定值單在線流轉(zhuǎn)如圖2所示，圖中虛線部分表示定值單的流轉(zhuǎn)過程，定值在線發(fā)放流程可以分為如下幾個環(huán)節(jié)：定值單生成、定值單校核、定值單審批、定值單使用、定值單流轉(zhuǎn)查詢、定值單駁回處理。</p><p>　　圖2 定值單在線流轉(zhuǎn)</p><p>　　Fig.2 Online circulation of fixed value </p><p>

25、;<b>　?。?）定值單生成</b></p><p>　　生成定值單時，為提高效率，可從數(shù)據(jù)庫中查找原來的繼電保護定值單，對其整定值進行修改，從而得到新的定值單。在定值單的生成過程中，定值單錄入人員可在未完成的定值單記錄中刪除錯誤記錄。定值單記錄支持以表格形式進行輸出與讀取，以便錄入人員進行定值單編輯，編輯完成的定值單會執(zhí)行自動更新。定值單編輯完成后，錄入人員將定值單發(fā)送給校核人員。<

26、;/p><p><b>　　（2）定值單校核</b></p><p>　　校核人員登陸系統(tǒng)后，進入校核頁面進行定值單校核工作。校核人員可查看的定值單分為近期定值單、最近已完成校核定值單、待處理（即等待校核）定值單。系統(tǒng)在顯示定值單數(shù)據(jù)的同時，判斷定值單是否校核完成。若定值單未校核，則需要校核人員對定值單進行計算校核。校核人員完成校核任務(wù)后，可選擇校核通過、校核駁回（發(fā)現(xiàn)問

27、題時使用）與直接下發(fā)（校核通過且定值單審批人員不在崗，無法審批時使用），分別將定值單發(fā)給審批人員、填寫駁回理由并駁回定值單給錄入人員或直接下發(fā)給使用人員。校核人員本身不參與定值單的修改工作，因此其沒有定值單的修改權(quán)限。</p><p><b>　　（3）定值單審批</b></p><p>　　若定值單校核通過，則系統(tǒng)將定值單發(fā)給審批人員進行審批操作。在審批窗口，定值單

28、分為近期定值單、最近已完成審批定值單、待處理（即等待審批）定值單。若定值單未發(fā)現(xiàn)問題，則審批人員審批通過定值單，系統(tǒng)發(fā)放定值單給滿足條件的廠站使用人員。若定值單在審批環(huán)節(jié)發(fā)現(xiàn)問題，那么審批人員需要填寫定值單駁回理由，駁回定值單給錄入人員。同樣地，審批人員本身不參與定值單修改工作，沒有定值單修改權(quán)限。</p><p><b>　　（4）定值單使用</b></p><p>

29、;　　若定值單審批通過，則系統(tǒng)將定值單發(fā)放給廠站的定值單使用人員進行繼電保護定值整定操作。由于不同廠站位置不同，因此系統(tǒng)需將定值單正確發(fā)放給對應(yīng)廠站的定值單使用人員。定值單使用人員登錄系統(tǒng)后，系統(tǒng)根據(jù)記錄的用戶信息為使用人員分配相應(yīng)權(quán)限。使用人員可直接查看并打印定值單，并根據(jù)打印好的定值單進行設(shè)備參數(shù)整定，整定完成后，使用人員點擊使用完成信息，錄入人員收到提示，至此即完成了整個定值單的流轉(zhuǎn)。</p><p>　　

30、在進行設(shè)備參數(shù)上傳時，由設(shè)備參數(shù)上傳人員填寫設(shè)備參數(shù)并上傳，由定值單錄入人員進行校核。</p><p>　　若校核時發(fā)現(xiàn)錯誤，則錄入人員駁回設(shè)備參數(shù)，設(shè)備參數(shù)上傳人員針對駁回意見進行修改并重新上傳。如設(shè)備參數(shù)校核無誤，經(jīng)過錄入人員確認，即完成設(shè)備參數(shù)的上傳。</p><p>　　考慮到春檢時需處理和發(fā)放的定值單較多，為避免分發(fā)不及時或分發(fā)錯誤，將批處理引入到系統(tǒng)中，具體處理過程如下：首先將

31、需做春檢對比的舊數(shù)據(jù)庫進行還原，然后與當(dāng)前數(shù)據(jù)庫中的現(xiàn)有定值根據(jù)“電壓等級>廠站選擇”的順序進行逐條對比，自動生成春檢校核報告。除此之外，該系統(tǒng)還需實現(xiàn)將春檢定值按照“電壓等級>所屬單位”層次的批量打印將春檢校核完畢后的定值按“接收單位”批量流轉(zhuǎn)。打印完畢的春檢定值單可用于存檔，批量流轉(zhuǎn)的定值是接收單位一年來定值接收的匯總，這樣，充分發(fā)揮了計算機的計算能力，減輕了繼電保護工作人員的負擔(dān)。</p><p&g

32、t;　　為實現(xiàn)定值單在線監(jiān)測，針對人工發(fā)放定值單的過程中可能出現(xiàn)的各種復(fù)雜情形，本文采用布爾變量來記錄定值單的狀態(tài)。模塊中每個定值單都附加9個布爾變量，包括：s1、s2、s3、s4、s5、s6、s7、s8和s9。規(guī)定9個布爾變量分別表示8種狀態(tài)，如表1所示。</p><p>　　表1 定值單狀態(tài)與變量對照表</p><p>　　Tab.1 Fixed value single state

33、and variable </p><p>　　8種狀態(tài)具體的對應(yīng)關(guān)系為：①待上傳；②待校核；③校核通過（待批準(zhǔn)）；④校核駁回；⑤直接下發(fā)；⑥批準(zhǔn)通過（待接收確認）；⑦批準(zhǔn)駁回；⑧已完成（定值接收完畢）。</p><p>　　在用戶對定值單進行有效操作后，系統(tǒng)將更新所有布爾變量并上傳至服務(wù)器數(shù)據(jù)庫，并記錄用戶的活動日志。通過監(jiān)測定值單的生成、自動流轉(zhuǎn)、在線下發(fā)和設(shè)備參數(shù)的填報、上傳、訪問等

34、各個流程，保障對定值單和設(shè)備參數(shù)的操作具有可追溯性。</p><p>　　2.3　系統(tǒng)認證與訪問控制模塊設(shè)計</p><p>　　系統(tǒng)認證用于確認系統(tǒng)用戶身份，并賦予用戶正確的訪問權(quán)限。訪問控制用于約束用戶對系統(tǒng)資源的訪問，即控制完成身份認證的系統(tǒng)用戶訪問系統(tǒng)文件資源。為確保用戶合法登錄及合理分配權(quán)限，本文所設(shè)計系統(tǒng)采用安全性較高的雙因子認證，下面通過比較不同的訪問控制策略，結(jié)合本文實際情

35、況進行訪問控制策略的設(shè)計。</p><p>　　常用的訪問控制策略主要有：自主訪問控制(DAC)、強制訪問控制(MAC)、基于角色的訪問控制(RBAC)、基于對象的訪問控制(OBAC)和基于任務(wù)的訪問控制(TBAC)。</p><p>　　DAC的特點為主體可把自己的權(quán)限直接或間接轉(zhuǎn)移給另一主體，同時DAC模型中規(guī)定文件創(chuàng)建者對文件擁有最高權(quán)限。DAC對木馬類攻擊抵抗性非常差，且該機制不限

36、制主體之間的權(quán)限轉(zhuǎn)移，易導(dǎo)致信息泄露。結(jié)合繼電保護定值在線發(fā)放管理系統(tǒng)的安全需求可知，該控制策略不適合應(yīng)用于該系統(tǒng)。</p><p>　　相對于DAC，MAC可保證客體不會被非授權(quán)者訪問，因此對木馬類攻擊具有較高的抵抗性。同時由于MAC遵循“不許往上讀，不許向下寫”的原則，可保證關(guān)鍵信息的不外流。其缺點在于系統(tǒng)管理員的工作量非常大，管理不靈活，系統(tǒng)中訪問控制信息非常龐大，這影響了繼電保護定值在線發(fā)放管理系統(tǒng)的連續(xù)

37、工作能力，不便于系統(tǒng)的維護升級。因此，MAC控制策略不適合應(yīng)用于該系統(tǒng)。</p><p>　　RBAC通過對主體的分類，對不同類型的客體賦予主體不同類型的權(quán)限“模板”即角色，在一定程度上簡化了系統(tǒng)管理員的工作。其不足在于系統(tǒng)管理員仍需對每個主體賦予權(quán)限并對權(quán)限進行維護管理，如系統(tǒng)用戶達到幾百人或上千人，系統(tǒng)管理員的工作量會十分龐大，因此RBAC控制策略不適用于該系統(tǒng)。</p><p>　　

38、OBAC通過建立用戶及用戶組并允許對策略和規(guī)則進行重用、繼承和派生，實現(xiàn)了對主體的訪問控制，通過對用戶組操作便于管理員修改主體權(quán)限，同時利用派生操作解決新主體權(quán)限分配問題，解決了用戶數(shù)目龐大時工作量大的問題。</p><p>　　以上四種訪問控制策略都為靜態(tài)訪問控制策略，主體能否訪問客體在修改權(quán)限之前是確定的，即若確定了主體S與客體O條件下，則權(quán)限P就是固定的?？紤]到實際應(yīng)用中繼電保護定值在線流轉(zhuǎn)流程，如定值單需

39、要先生成，校核人員才能讀取校核，在校核人員校核操作后，才需要審批人員進行審批，通過校核審批后的定值單才允許定值單使用人員使用；定值單生成后，校核人員校核過程中，只有校核人員可以訪問定值單，審批人員與使用人員不允許訪問定值單；相反地，審批人員審批定值單時，校核人員與使用人員沒有對定值單的訪問權(quán)限。綜上可知，考慮到實際工作流程，本文所涉及繼電保護定值在線發(fā)放管理系統(tǒng)需采用動態(tài)訪問控制策略。</p><p>　　基于任

40、務(wù)的訪問控制策略TBAC是隨著數(shù)據(jù)庫、網(wǎng)絡(luò)、分布式計算發(fā)展出的新型訪問控制策略，支持隨著任務(wù)執(zhí)行過程，對主體進行動態(tài)授權(quán)。TBAC采用五元組描述控制策略模型(S，O，P，L，AS)，權(quán)限P由主體S、客體O、生命期L與授權(quán)步AS共同決定。</p><p>　　結(jié)合繼電保護定值在線發(fā)放系統(tǒng)使用環(huán)境對TBAC模型中五元組進行分析。系統(tǒng)用戶組S為：定值錄入人員、定值校核人員、定值審批人員、定值使用人員、廠站設(shè)備參數(shù)上傳人

41、員、系統(tǒng)管理人員。系統(tǒng)客體O為三類：繼電保護定值單、設(shè)備參數(shù)表、用戶信息表。系統(tǒng)用戶主要涉及的權(quán)限P有三種：讀取、寫入、駁回。授權(quán)步表示某時刻主體S對客體O被授予了權(quán)限P。生命期為授權(quán)步開始后，系統(tǒng)在授權(quán)步中給予主體權(quán)限的使用期限，因此生命期只有從授權(quán)步開始后才開始生效。</p><p>　　具體來說，定值錄入人員、定值校核人員、定值審批人員、定值使用人員負責(zé)繼電保護定值單發(fā)放工作，對應(yīng)客體定值單。定值錄入人員與

42、廠站設(shè)備參數(shù)上傳人員負責(zé)設(shè)備參數(shù)上傳工作，對應(yīng)客體設(shè)備參數(shù)表。系統(tǒng)管理員負責(zé)系統(tǒng)中用戶權(quán)限管理工作，對應(yīng)用戶信息表。</p><p>　　TBAC在進行權(quán)限分配時需按照一定規(guī)則，其在分配規(guī)則時所用符號如表2所示，在進行角色指派時需遵循式（1）。</p><p><b>　　（1）</b></p><p>　　表2 用戶權(quán)限分配過程中的符號<

43、;/p><p>　　Tab.1 Symbol in the process of assigning rights</p><p>　　主體S可以執(zhí)行任務(wù)t的前提是主體角色不為空，在TBAC訪問控制策略中用戶本身沒有任何權(quán)限。角色與權(quán)限互相綁定，系統(tǒng)賦予角色r任務(wù)t的權(quán)限，用戶通過角色r獲取任務(wù)t權(quán)限，并執(zhí)行任務(wù)t或訪問客體。角色認證過程需要遵循規(guī)則如式（2）所示：</p>&l

44、t;p><b>　?。?） </b></p><p>　　主體S使用的角色必須是系統(tǒng)向主體授權(quán)過的角色。結(jié)合式（1）角色指派原則可得系統(tǒng)授權(quán)規(guī)則如式（3）所示：</p><p><b>　?。?）</b></p><p>　　系統(tǒng)用戶必須先通過授權(quán)，獲得角色授權(quán)，通過角色獲取權(quán)限，考慮到實際應(yīng)用中，系統(tǒng)管理員需給所有

45、用戶確定不同角色，每種角色的權(quán)限都需系統(tǒng)管理員進行分配，同時系統(tǒng)管理員還需負責(zé)系統(tǒng)角色與系統(tǒng)權(quán)限的維護更新工作。在用戶數(shù)量較多的情況下，系統(tǒng)管理員工作量非常大。本文允許使用TBAC策略中的角色繼承規(guī)則，rj繼承ri的前提如式（4）所示：</p><p><b>　?。?）</b></p><p>　　式中ri> rj為角色rj繼承角色ri。</p>

46、<p>　　角色rj繼承角色ri后，角色rj的權(quán)限集合是角色ri權(quán)限集合的子集，即用戶只允許通過繼承的方式，將用戶對應(yīng)角色具有的權(quán)限分發(fā)給特定的其他用戶。結(jié)合本文所設(shè)計系統(tǒng)，系統(tǒng)主體用戶組有六個，每個用戶組添加組內(nèi)管理員。每個系統(tǒng)用戶注冊時，需要利用對應(yīng)高級別用戶賬號登錄系統(tǒng)進行注冊。組內(nèi)管理員負責(zé)整個用戶組成員信息的添加、更新、維護、刪除。</p><p>　　結(jié)合以上對TBAC模型的權(quán)限分配規(guī)則，

47、設(shè)計本模塊的具體實現(xiàn)方案。在系統(tǒng)認證與訪問控制過程中，系統(tǒng)利用用戶與角色信息庫和任務(wù)工作狀態(tài)完成用戶權(quán)限分配，用戶與角色信息庫由用戶注冊信息生成，任務(wù)工作狀態(tài)為定值單在線流轉(zhuǎn)狀態(tài)。系統(tǒng)身份認證與訪問控制流程如圖3所示，主要包括用戶登錄及雙因子身份認證、用戶角色的賦予、訪問操作請求處理和賦予用戶權(quán)限四個過程。</p><p>　　圖3 系統(tǒng)身份認證與訪問控制流程</p><p>　　Fig.

48、3 System identity authentication and access control process</p><p>　?。?）用戶登錄及雙因子身份認證</p><p>　　系統(tǒng)身份認證方案中針對系統(tǒng)用戶設(shè)計了用戶名和密碼與指紋識別雙因子身份認證。因此，系統(tǒng)需具備指紋信息的采集、上傳和比對功能。具體方案如下：用戶首先測試指紋識別終端連接，連接成功后輸入指紋與用戶名和密碼進

49、行認證。指紋認證功能通過比對登錄人員的指紋信息與數(shù)據(jù)庫中存儲的對應(yīng)用戶的指紋信息，完成登錄人員的身份認證。若指紋認證成功則會出現(xiàn)成功提醒，從而完成系統(tǒng)用戶身份的可靠性驗證。同時，系統(tǒng)將用戶信息存入應(yīng)用程序中以便于訪問控制策略的實施和信息的保護，并且系統(tǒng)數(shù)據(jù)庫會記錄用戶登錄身份與時間，生成系統(tǒng)日志方便系統(tǒng)管理員進行安全審查，為繼電保護定值與設(shè)備參數(shù)提供了不可否認性驗證，以便檢測和防止電力系統(tǒng)內(nèi)部人員通過非法登錄對數(shù)據(jù)進行截取、偽造與篡改。

50、</p><p><b>　?。?）賦予用戶角色</b></p><p>　　身份認證成功后，系統(tǒng)比對用戶信息與系統(tǒng)內(nèi)的角色信息，從而判斷用戶的身份信息，賦予登錄用戶角色，同時通過角色任務(wù)權(quán)限庫為訪問控制模塊提供角色任務(wù)權(quán)限信息。</p><p><b>　　（3）訪問請求處理</b></p><p&g

51、t;　　用戶利用客戶端功能提出訪問操作請求，系統(tǒng)將請求提交到訪問請求處理模塊。訪問請求處理模塊一方面將用戶請求發(fā)往任務(wù)工作狀態(tài)記錄子模塊，系統(tǒng)中的任務(wù)工作狀態(tài)為記錄定值單在線流轉(zhuǎn)狀態(tài)的數(shù)據(jù)信息表；另一方面將相關(guān)信息如用戶、角色、訪問的客體資源與任務(wù)信息提交到訪問控制模塊。</p><p>　　任務(wù)工作狀態(tài)激活任務(wù)信息庫中的信息，向訪問控制模塊提供授權(quán)不相關(guān)條件。訪問控制模塊根據(jù)角色任務(wù)權(quán)限庫提供的角色任務(wù)權(quán)限，同

52、時判斷是否滿足授權(quán)步相關(guān)條件，將訪問控制策略決策結(jié)果發(fā)送到訪問請求處理模塊。</p><p><b>　?。?）賦予用戶權(quán)限</b></p><p>　　訪問請求處理模塊根據(jù)訪問策略決策結(jié)果賦予系統(tǒng)用戶權(quán)限，完成系統(tǒng)認證與訪問控制，用戶根據(jù)權(quán)限訪問客體資源文件并完成相關(guān)操作。</p><p>　　2.4　 SSL/TLS協(xié)議通信模塊設(shè)計<

53、/p><p>　　為確保信息在傳輸時的安全性，需構(gòu)建安全可靠的信道，該系統(tǒng)采用SSL/TLS協(xié)議進行安全信道的構(gòu)建。SSL/TLS協(xié)議通信模塊需實現(xiàn)的功能為：（1）加密數(shù)據(jù)以防止數(shù)據(jù)在傳輸過程中被竊?。唬?）維護數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被篡改；（3）認證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機和服務(wù)器。本文設(shè)計的SSL/TLS協(xié)議的認證部分采用HMAC模式下MD5哈希算法實現(xiàn)，同時協(xié)議規(guī)定加密部分采用對稱

54、密碼算法與非對稱密碼算法相結(jié)合的方式，采用RSA算法輔助生成對稱密碼算法的會話密鑰，采用AES加密算法在CBC模式下進行數(shù)據(jù)加密?，F(xiàn)對SSL/TLS協(xié)議進行詳細分析。</p><p>　　SSL/TLS協(xié)議?？梢苑譃閮蓪樱谝粚訛槿齻€子協(xié)議：握手協(xié)議、修改密碼規(guī)范協(xié)議、警報協(xié)議，第二層為記錄協(xié)議。本文采用的握手協(xié)議部分主要完成通信雙方的互相認證、協(xié)商加密算法和密鑰分發(fā)與交換任務(wù)，以下對握手協(xié)議實現(xiàn)過程進行分析，可

55、分為圖4所示的四個階段。</p><p>　　圖4 SSL/TLS握手協(xié)議</p><p>　　Fig.4 SSL/TLS handshake protocol</p><p>　　階段1：在客戶端C和服務(wù)器S建立SSL連接，客戶端發(fā)送MClient_hellow消息，建立握手：</p><p><b>　?。?）</b>

56、;</p><p>　　式中compression_list為支持壓縮算法列表；version為客戶端的SSL版本號；rand1為由時間戳與隨機128bit組成的隨機數(shù)；session_id為會話標(biāo)識號；cipher_list為客戶端支持密碼算法列表。</p><p>　　服務(wù)器端收到信息后以如下報文回應(yīng)：</p><p><b>　?。?）</b&

57、gt;</p><p>　　式中version為服務(wù)器與客戶端支持的最高版本；rand2為由服務(wù)器端生成的時間戳與隨機128bit組成的隨機數(shù)；cipher為服務(wù)器端選擇的兩端同時支持的加密算法，在該系統(tǒng)中cipher為RSA；compression為服務(wù)器端選擇的通信雙方同時支持的算法。</p><p>　　階段2：服務(wù)器認證過程。該階段是握手協(xié)議的關(guān)鍵部分。服務(wù)器端向客戶端發(fā)送服務(wù)器證

58、書進行身份認證，證書包含發(fā)放公鑰與數(shù)字簽名，具體報文如下：</p><p><b>　?。?）</b></p><p>　　式中server_cert為服務(wù)器證書。</p><p>　　服務(wù)器發(fā)送驗證請求，服務(wù)器密鑰交換報文如下：</p><p><b>　　（8）</b></p>&

59、lt;p>　　式中mod為RSA算法中公鑰模，exp為RSA算法中公鑰指數(shù)，KS為服務(wù)器端公鑰對應(yīng)的私鑰。</p><p>　　服務(wù)器私鑰用來加密由rand1、rand2、mod與exp通過哈希函數(shù)生成的消息摘要，利用挑戰(zhàn)-應(yīng)答機制驗證服務(wù)器來源可行性。客戶端證書請求報文為可選擇報文，在網(wǎng)絡(luò)中需要對客戶端進行驗證情況下，服務(wù)器要求客戶端提供證書，并對證書提出一定要求。本文中客戶端采用基于指紋與用戶名和密碼的

60、雙因子身份認證，不要求客戶端證書，握手階段省略證書請求與客戶端證書消息。</p><p>　　服務(wù)器向客戶端發(fā)送式（9）所示的信息表示第二階段即服務(wù)器身份認證結(jié)束。</p><p><b>　　（9）</b></p><p>　　服務(wù)器端身份認證的作用為：客戶端利用服務(wù)器提供的證書加密后續(xù)兩個階段的信息，服務(wù)器需利用對應(yīng)的私鑰獲取信息，否則無法

61、完成會話密鑰協(xié)商過程，這保障了繼電保護定值與設(shè)備參數(shù)數(shù)據(jù)來源的不可否認性。</p><p>　　階段3：客戶端向服務(wù)器端發(fā)放客戶端證書進行身份認證，在前面要求提供證書的條件下，向服務(wù)器端提供合格的客戶端證書。</p><p><b>　?。?0）</b></p><p>　　式中pre_master_secret為客戶端向服務(wù)器端發(fā)放預(yù)主密鑰。

62、</p><p>　　預(yù)主密鑰由服務(wù)器端RSA公鑰加密48bit隨機數(shù)生成，服務(wù)器端可以用私鑰解密，防止被攻擊者竊聽或監(jiān)聽，同時階段性對服務(wù)器端進行身份驗證。</p><p><b>　?。?1）</b></p><p>　　式中messages為上述報文的連接信息，mastr為主密鑰，由pre_master_secret、session_id

63、、rand1與rand2生成，opad和ipad為固定參數(shù)，分別為0x5C和0x36。</p><p>　　mastr的生成過程如圖5所示，通過SHA-1算法與MD5算法對四個參數(shù)進行處理，使用Diffie-Hellman密鑰生成方法，保證密鑰生成過程的隨機性。</p><p>　　階段四：完成服務(wù)器端握手協(xié)議。該階段有四個部分，客戶端發(fā)送兩個消息給服務(wù)器，服務(wù)器回復(fù)客戶端兩個消息。其中兩

64、個完成消息為固定格式?？蛻舳烁淖兠艽a規(guī)格報文如下：</p><p><b>　?。?2）</b></p><p>　　式中msg為報文應(yīng)用密碼參數(shù)，本消息中為0x434C4E54。</p><p>　　圖5 主密鑰生成過程</p><p>　　Fig.5 Master key generation process<

65、/p><p>　　客服端和服務(wù)器完成握手協(xié)議之后，密鑰分發(fā)工作完成，若要完成密鑰更換需要采用SSL/TLS修改密文協(xié)議。SSL/TLS報警協(xié)議用于向?qū)Φ葘嶓w傳遞通信過程中的相關(guān)警告。</p><p>　　SSL/TLS協(xié)議中的記錄協(xié)議位于握手協(xié)議、報警協(xié)議、修改密文協(xié)議的下層，傳輸層協(xié)議之上，用于完成報文分組和封裝、數(shù)據(jù)的壓縮和解壓縮以及報文認證和數(shù)據(jù)加密等功能。具體實現(xiàn)過程為：（1）報文重新

66、分割成最大為214字節(jié)的數(shù)據(jù)塊，每個數(shù)據(jù)塊中插入包含版本號、長度、數(shù)據(jù)字段和類型的報文記錄；（2）采用無損壓縮算法進行數(shù)據(jù)壓縮，同時保證壓縮后增加的報文記錄長度超過1 024字節(jié)?？紤]到分組密碼算法要求，若發(fā)送方本身未選擇壓縮數(shù)據(jù)，則仍需對數(shù)據(jù)進行填充等處理；（3）計算消息認證MAC保證分組數(shù)據(jù)完整性，消息認證碼算法采用由握手協(xié)議確定的256位SHA-1算法；（4）對壓縮數(shù)據(jù)及MAC進行加密，加密算法也由握手協(xié)議確定；（5）完善SSL記

67、錄，即對處理過的數(shù)據(jù)添加封裝。</p><p>　　綜上所述，采用SSL/TLS協(xié)議可有效抵御截取、偽造與篡改攻擊。偽造與篡改攻擊后的信息會被服務(wù)器識別。攻擊者通過截取攻擊獲取信息密文后，由于其無法得知密鑰，同樣無法破解密文獲取定值與設(shè)備參數(shù)。因此，通過以上安全方案保障了信息的機密性和完整性。</p><p><b>　　3　系統(tǒng)實現(xiàn)</b></p>&

68、lt;p>　　基于上述設(shè)計的系統(tǒng)方案和各個模塊，本文采用C#語言和SQL數(shù)據(jù)庫，基于C/S結(jié)構(gòu)，開發(fā)了繼電保護定值在線發(fā)放管理系統(tǒng)，所開發(fā)的系統(tǒng)軟件的界面結(jié)構(gòu)圖如圖6所示。本文利用.NET開發(fā)工具中ADO.NET技術(shù)實現(xiàn)數(shù)據(jù)庫訪問功能。該系統(tǒng)支持將服務(wù)器上的數(shù)據(jù)庫文件和日志文件打包備份到用戶本地上。通過利用數(shù)據(jù)庫cmdshell功能向數(shù)據(jù)庫所在的服務(wù)器發(fā)送DOS命令直接操作服務(wù)器進行實現(xiàn)。由于系統(tǒng)所在內(nèi)部局域網(wǎng)不允許與外網(wǎng)連接，S

69、SL/TLS證書不便于利用網(wǎng)絡(luò)申請，SSL/TLS證書采用OpenSSL開源安全套接字層密碼庫自行生成。</p><p>　　本文所設(shè)計的系統(tǒng)定值單在線編輯界面如圖7所示。在定值錄入界面上，“定值狀態(tài)一覽”提供定值狀態(tài)的直觀顯示，定值單狀態(tài)如圖8所示。</p><p>　　圖6 系統(tǒng)軟件界面結(jié)構(gòu)圖</p><p>　　Fig.6 System software in

70、terface structure diagram</p><p>　　圖7 定值單編輯界面</p><p>　　Fig.8 fixed Fixed value editing interface</p><p><b>　　圖8 定值單狀態(tài)圖</b></p><p>　　Fig.9 Fixed value state&

71、lt;/p><p><b>　　4　結(jié)術(shù)語</b></p><p>　　本文采用C#為語言、SQL數(shù)據(jù)庫和OpenSSL開發(fā)工具，開發(fā)了由定值在線流轉(zhuǎn)、設(shè)備參數(shù)表上傳、系統(tǒng)認證與訪問控制、SSL/TLS協(xié)議通信等模塊組成的繼電保護定值在線發(fā)放管理系統(tǒng)；設(shè)計了雙因子身份認證方案、基于任務(wù)的訪問控制策略、基于SSL/TLS協(xié)議的安全信道和基于安全信道的數(shù)據(jù)加密/解密方案，并由

72、此構(gòu)成了系統(tǒng)安全防護方案。目前，所開發(fā)系統(tǒng)已在某地區(qū)電網(wǎng)獲得了實際應(yīng)用。實際應(yīng)用效果表明，該系統(tǒng)實現(xiàn)了定值單與設(shè)備參數(shù)的在線流轉(zhuǎn)，并能對整個繼電保護定值在線發(fā)放流程進行跟蹤，預(yù)防和消除了通過通信網(wǎng)絡(luò)修改設(shè)備繼電保護定值的安全隱患，提高了定值單發(fā)放的安全性與可靠性，滿足了系統(tǒng)的功能需求與安全需求。</p><p><b>　　參 考 文 獻</b></p><p>　　

73、[1] Wang J, Tai N, Song K, et al. Penetration level permission of for DG in distributed network considering relay protection[J]. Proceedings of the CSEE, 2010, 30(22): 37-43.</p><p>　　[2] 楊增力, 周虎兵, 王友懷. 面向智能

74、電網(wǎng)的繼電保護在線應(yīng)用系統(tǒng)[J]. 湖北電力, 2011, 19(4): 65-67.</p><p>　　Yang Zengli, Zhou Hubing, Wang Youhuai. An On-line ApplicationSystem of Protective Relay for Smart Grid[J]. Hubei Electric Power, 2011, 19(4): 65-67.</

75、p><p>　　[3] Wan H, Li K K, Wong K P. A multi-agent approach to protection relay coordination with distributed generators in industrial power distribution system[C]. Industry Applications Conference, 2005. Forti

76、eth IAS Annual Meeting. Conference Record of the 2005. IEEE, 2005, 2: 830-836.</p><p>　　[4] 劉國平. 地區(qū)電網(wǎng)繼電保護在線整定與評估預(yù)警方法研究[D]. 華北電力大學(xué), 2013: 7-13.</p><p>　　Liu Guoping. Research on on-line setting a

77、nd assessment early warning of relay protection in regional grid[D]. Beijing: North China Electric Power University Doctor's Degree Thesis, 2013: 7-13.</p><p>　　[5] 蔡曉燁, 房鑫炎. 基于網(wǎng)格平臺的廣域后備保護專家系統(tǒng)[J]. 電力系統(tǒng)保護

78、與控制, 2007, 35(8): 1-5.</p><p>　　Cai Xiaoye, Fang Xinyan. Wide area back-up expert system based on grid[J]. Power System Protection and Control, 2007, 35(8): 1-5.</p><p>　　[6] He C, Zhang B, Yuan

79、 Y, et al. Relay protection setting calculation system in distribution networks[C]. China International Conference on Electricity Distribution. IEEE, 2010: 1-4.</p><p>　　[7] Beaumont P G. New trends in prote

80、ction relays and substation automation systems[C]. Transmission and Distribution Conference and Exhibition 2002: Asia Pacific. IEEE/PES. IEEE, 2002: 609-612.</p><p>　　[8] Xiao F, Zhang Z, Yin X. Reliability

81、evaluation of the centralized substation protection system in smart substation[J]. IEEE Transactions on Electrical and Electronic Engineering, 2017, 12(3): 317-327.</p><p>　　[9] Kulis I G, Marusic A, Leci G.

82、 Protection relay software models in interaction with power system simulators[C]. Mipro, 2012 Proceedings of the, International Convention. IEEE, 2012: 924-929.</p><p>　　[10]Yuan R, Zhang H. Research and Dev

83、elopment of Visual Relaying Protection Setting Simulation System[C]. International Conference on Power System Technology, 2007. Powercon. IEEE, 2007: 1-4.</p><p>　　[11]Chen M, Wang H, Shen S, et al. Research

84、 on a Distance Relay-Based Wide-Area Backup Protection Algorithm for Transmission Lines[J]. IEEE Transactions on Power Delivery, 2017, 32(1): 97-105.</p><p><b>　　作者簡介：</b></p><p>　　關(guān)

85、亞東（1996—），男，碩士研究生，從事智能電網(wǎng)通信安全的研究工作。</p><p>　　Email：gyd3532@qq.com</p><p>　　李中偉（1976—），男，博士，副教授，從事智能電網(wǎng)通信及其信息安全的研究工作。Email：lzw@hit.edu.cn</p><p>　　收稿日期：2018-07-31；修回日期：2018-09-14</p