统一身份鉴别与校验服务技术在电力监控系统中的应用研究论文

SCI论文（www.lunwensci.com）:
 
 　　摘要：电力监控系统为“发输电变配电”等电力环节提供了很大的帮助。在电力监控系统中统一身份鉴别与校验服务技术极其关键和重要,也是最直观有效的网络防护手段。因此,本文研究了电力监控系统身份鉴别与验证统一服务的关键技术途径和应用,有效降低电力监控系统运行中存在的安全风险,提高运营质量和效率。

　　关键词：身份鉴别；电力监控系统；研究

　　Application of Unified Identity Authentication and Verification Service Technology in Power Informatization

　　WU Jinyu,TAO Wenwei,ZENG Chuyang,ZHANG Wenzhe,PANG Xiaojian

　　(China Southern Power Grid Power Dispatch Control Center,Guangzhou Guangdong 510623)

　　【Abstract】：Power information system provides great help for power links such as"Generation,Transmission,Transformation and Distribution".In the power information system,the unified identity authentication and verification service technology is extremely key and important,and it is also the most intuitive and effective means of network protection.Therefore,this paper studies the key technical approaches and applications of the unified service of identity authentication and verification of power monitoring system,so as to effectively reduce the security risks existing in the operation of power information system and improve the operation quality and efficiency.

　　【Key words】：identification;power monitoring system;research

　　0引言

　　目前,电力行业也开始逐步完成了电力与信息化的深度融合,实现了电力信息化各环节的互联互通,形成物物相通、人机智联的电力物联网,为电力互联网的发展打造新的业务生态[1]。随着电力信息化建设的高速推进,在电力信息化“发输变配用”等环节部署了大量具有状态感知、数据处理及控制管理等功能的终端,将时间、地点、人、物等元素连接在一起,实现信息的高效共享和快速交互。面对电力信息化系统中大量移动终端的接入,各类电力运营数据被采集分析,大量碎片化的数据通过不同的装置采集提供给数据中心进行管理[2]。随着电力系统间信息交互日益频繁,访问主体的安全性影响着数据及指令的可靠性,电力监控系统强身份鉴别技术也将在日益复杂的网络环境中发挥重要作用[3]。因此,本文中对电力监控系统强身份鉴别与校验服务技术进行了深入的研究与分析。

　　1身份鉴别技术的重要性

　　身份鉴别技术是安全技术的重要组成部分,其主要功能是鉴别用户的身份,防止非法用户入侵网络、篡改和滥用资源。身份鉴别的目的是在双方之间建立信任关系,使双方不必担心对方。本质上看,身份鉴别信息一般是指鉴别方特有的信息或者秘密的信息,不得伪造任何第三方机构。被鉴别方必须出示或证明其拥有的信息,以获得被鉴别方的信任和认可,然后获得身份认可。身份鉴别通常涉及两个过程：身份鉴别和校验,通常确认访客的身份以及访客是否符合其声称的身份,以便输入其身份,为了核实访客的身份,防止冒充的发生。身份鉴别是保证身份鉴别系统用户合法性的重要保证,确保其有效性是十分重要的,每两个用户不能拥有相同的ID,每个用户的ID是唯一的。

　　2关键技术途径

　　2.1单点登录技术

　　在数个应用系统中,用户只需登录一次即可访问所有相关的应用系统。单点登录技术主要基于Web。Web的单点登录分发机制是一个涉及三个角色交互的过程：用户浏览器、单点登录客户端和单点登录服务器。要实现基于Web的单点登录,至少必须满足以下两个条件：

　　(1)统一的用户识别系统。统一、安全的用户鉴别系统是单点登录的先决条件之一。用户身份鉴别系统通过信任安全机制在各种环境中执行用户身份鉴别。

　　(2)应用系统和身份鉴别系统相互信任。用户身份鉴别系统可以将用户身份鉴别传递给应用系统。应用系统信任身份鉴别并完成用户的请求调用。

　　2.2多因子身份鉴别技术

　　多因子身份鉴别的目的是建立一个多层次的防御系统,这使得未经授权的人更难访问计算机系统或网络。除了账号密码系统、PKI系统、短信验证码和人脸识别技术外,多因子身份鉴别还利用设备指纹、空时码等技术引入设备、时间、空间,多因子鉴别中的行为和其他因素[4]。

　　2.3 PKI身份鉴别技术

　　PKI作为一种强大的实体鉴别技术,可以在开放网络和应用系统中提供身份鉴别和被鉴别,保证信息的真实性、完整性、机密性和不可否认性。一方面,PKI为每个人或实体提供可信的身份证书[5]。只有符合安全规则的身份才能被鉴别并访问相应的资源,从而简单有效地解决了信任问题；另一方面,PKI中的加密技术可以用来加密需要保护的数据,从而实质性地、有效地保护数据资源[6]。

　　2.4 IBC鉴别技术

　　IBC身份鉴别采用国家机密SM9算法。SM9算法是基于椭圆曲线上的双线性对作为基本数学工具,并使用用户ID作为公钥,无需数字证书。其中移动电话号码、电子邮件地址、身份鉴别号等都可以用作公钥[7]。同时,SM9算法只需要一些系统参数,由这些参数无法计算用户的标识公钥；签名鉴别部分将完整的系统参数存储为密钥,并使用它们进行签名鉴别,而不存储用户的公钥。此外,IBC鉴别不需要事先协商密码或交换证书,这可以大大减少传统鉴别系统中的应用和鉴别链接,并提供一种高效的无需身份鉴别方案。

　　2.5 USB密钥身份鉴别技术

　　USB密钥具有集成的单向散列算法(MD5),该算法将密钥存储在USB密钥和服务器中,以提前证明用户的身份[8]。当需要在网络上验证用户身份时,客户端首先向服务器发送身份验证请求。在收到该请求后,服务器生成一个随机数,并通过网络将其传输给客户端。客户端将接收到的随机数提供给插入客户端的USB密钥。USB密钥使用存储在USB密钥中的随机数和密钥对密钥(HMAC-MD5)执行单向散列操作,并获得要传输到服务器的结果,作为身份鉴别的依据。在收到指令后,服务器验证用户的身份,并确定用户的身份是否合法。具有合法身份的用户可以登录,否则将无法登录。

　　3电力监控系统强身份鉴别系统的架构

　　电力监控系统强身份鉴别系统如图1所示,其主要是对提供访问主体的身份和权限进行动态的校验功能。

　　电力监控系统强身份鉴别系统由三个子系统组成,分别为可信代理服务、统一身份鉴别服务系统和统一身份管理系统,并调用统一的密码服务进行密码运算,完成整个系统的构建。

　　(1)可信代理服务：可信代理服务负责对请求数据进行加解密,并调用通过统一身份鉴别服务系统对请求中的访问主体进行身份校验,是确保业务安全访问的第一道关口。主体对客体的所有访问请求都被可信代理拦截,进行强制访问控制。可信代理拦截访问请求后,通过动态访问控制引擎对访问主体进行鉴别,对访问主体的权限进行动态校验,保证只有身份鉴别通过、并且具有相应客体资源访问权限的访问请求才允许通过。

　　(2)统一身份鉴别服务系统：统一身份鉴别服务系统是身份鉴别的决策实体,为用户、设备、应用系统等访问主体提供基于多因子身份鉴别、联合鉴别、二次鉴别、应用接入以及单点登录访问技术等的身份鉴别服务,对访问主体的身份信息进行安全鉴别。

　　(3)统一身份管理系统：统一身份管理系统负责管理所有的用户身份数据,支持身份数据管理、查询、同步、身份凭证管理以及安全审计等功能,能够将身份数据信息同步发送给多个下级身份鉴别服务系统,为统一身份鉴别服务系统提供可靠的数据源。

　　4电力监控系统强身份鉴别系统的应用

　　4.1基于身份标识的强鉴别KEY功能设计

　　基于身份标识ID,为强鉴别KEY提供应用强鉴别服务所需的唯一身份标识。其身份鉴别KEY功能架构设计图如图2所示。

　　身份强鉴别KEY功能框架架构图中各模块单元功能如下：

　　(1)安全存储单元：为身份鉴别过程中所需的身份ID和密码资源的提供本地存储。

　　(2)鉴别交互模块：为设备登录提供必要的鉴别交互技术功能,配合预先设计的鉴别流程完成登录人员身份鉴别。标识接口调用单元以实现对算法芯片ID和密码资源调用。密码资源管理单元不仅提供密码资源的计算,还提供身份标识ID、密码资源的采集、更新、销毁周期,制定标识更新销毁标识策略。

　　(3)算法芯片：为提供身份鉴别的国密算法功能。

　　(4)交互接口：为强鉴别KEY提供所需的鉴别协议交互借口,实现电力监控系统关键设备对强鉴别KEY身份的强鉴别。

　　4.2基于身份标识ID的强鉴别流程设计

　　基于身份ID的强鉴别过程分两部分：强鉴别预置密钥注入过程和交互鉴别过程。

　　4.2.1强鉴别KEY预置密钥注入流程

　　基于对称算法体系,为强鉴别KEY提供了一种安全可靠的默认方法。

　　各地市局具备一套独立、且保密层级x最高的密钥管理系统,该管理系统实现对根密钥、子密钥的生成与安全存储。根密钥唯一。该密钥管理系统分别对鉴别装置以及密码模块执行不同操作。部署在主站的鉴别装置在部署前,需要通过密钥管理系统,采用在线的方式(网口连接)对鉴别装置进行根密钥注入。

　　需要部署的强鉴别KEY(已集成终端安全防护模块)在部署前,需要通过在线的方式(网口连接),同步自身算法芯片标识ID于密钥管理系统中。密钥管理系统基于该ID值,用根密钥散列(根密钥对ID进行加密)得到与该ID值唯一对应的子密钥(对称密钥),既是与该安全模块唯一对应的子密钥。密钥管理系统将该子密钥同步至该安全模块,并存储在强鉴别KEY中。

　　4.2.2交互鉴别流程

　　该流程利用上述子密钥与算法芯片标识ID,实现关键设备人员登录身份强鉴别。应用层接入交互鉴别流程逻辑图如图3所示。

       应用层接入交互鉴别流程逻辑步骤如下：

　　(1)强鉴别KEY产生R1并保存在本地,并对R1和强鉴别KEY唯一标识ID进行签名,用预置密钥对R1进行加密,将R1密文和对R1的签名值以及ID值发送给关键设备；

　　(2)关键对R1密文进行解密,从强鉴别KEY证书中取出强鉴别KEYID,验证强鉴别KEY签名的正确性,通过后,对R1和ID值进行签名,只将签名发送给强鉴别KEY；如果对强鉴别KEY签名验签失败,则双向身份鉴别失败；该步骤关键设备调用鉴别装置进行解密、验签和签名工作,解密时鉴别装置用根密钥对强鉴别KEYID进行加密得到强鉴别KEY子密钥,用该子密钥进行解密R1密文,验签时鉴别装置先基于CRL验证该终端证实是否合法,如果非法则停止双向鉴别；

　　(3)强鉴别KEY取出R1和强鉴别KEYID,对关键设备签名进行验证,验证通过后则向关键设备回复鉴别成功报文；

　　(4)身份鉴别成功后关闭Socket连接；至此强鉴别KEY与关键设备间的应用层身份鉴别通过。

　　5结语

　　统一身份鉴别与校验服务技术是电力监控系统中实现身份信息保密的重要技术。传统的身份鉴别技术采用用户名和密码模式,但由于用户名和密码容易被病毒入侵和破解,信息容易丢失和泄露,用户的合法身份往往被窃取,从而给用户带来经济或其他损失。为此,本文中基于身份鉴别关键技术途径,设计研究电力监控系统强身份鉴别系统架构与应用,为电力监控系统中的身份信息保密提供重要技术保障。

　　参考文献

　　[1]李贤文.电力公司安全监督与管理系统的设计与实现[D].成都:电子科技大学,2015.

　　[2]江志东.电力监控系统网络安全防护探究[J].网络安全技术与应用,2020(3):99-100.

　　[3]杨延栋,刘威麟,於湘涛.关于电力监控系统安全防护问题的思考[J].通信电源技术,2018,35(2):267-268.

　　[4]赵文清,王德文.PKI在电力系统信息网络安全中的应用[J].电力科学与工程,2003(3):69-70+82.

　　[5]段斌,刘念,王键,等.基于PKI／PMI的变电站自动化系统访问安全管理[J].电力系统自动化,2005(23):58-63.

　　[6]骆钊,金均华,谢吉华.基于PKI/PMI的AAAA服务器在电力系统信息安全中的应用研究[J].电力信息化,2012,10(12):87-91.

　　[7]廖会敏,俞果,班国民,等.基于国密SM9算法的电力物联网身份认证技术研究[J].山东电力技术,2020,47(10):1-5.

　　[8]喻谦.基于MD5算法的用户身份认证系统研究[D].北京:华北电力大学,2013.

关注SCI论文创作发表，寻求SCI论文修改润色、SCI论文代发表等服务支撑，请锁定SCI论文网！

文章出自SCI论文网转载请注明出处：https://www.lunwensci.com/jisuanjilunwen/46494.html