[发明专利]一种广域运维系统的远程维护操作认证方法

说明书

本发明公开了一种广域运维系统的远程维护操作认证方法，将双因子登录技术，数字签名技术和权限认证技术相结合，引入调变一体化系统远程维护的安全防护体系中。通过USBKey和用户名密码认证，实现双因子登录；通过将用户名和时间戳结合到远程维护报文中进行数字签名，解决了远程维护报文通信的安全问题，有效的防止了远程维护报文被篡改和复制的可能；通过在变电站侧使用调度中心的登录用户名进行权限对比，实现了细粒度的权限认证，使得调变一体化系统远程维护的安全性得到有效提高。

技术领域

本发明属电力系统信息技术领域，涉及到一种广域运维系统的远程维护操作认证方法。

背景技术

随着智能电网的蓬勃发展，现有的自动化系统越来越难以满足智能电网对于信息交流、应用协作和一体化操作维护的需求，因此基于集成平台的调变一体化系统成为一种新的发展方向。调变一体化系统不再是由各级异构的、面向单一领域的调度与变电站自动化系统所组成的松散系统，而是将大电网安全稳定运行、调控一体化和生产管理精益化工作紧密耦合的综合型平台化的一体化系统。调变一体化系统不仅支撑各级电网调度机构与各级变电站运维机构的各类业务，而且为整个电网监控提供一个完整的技术体系，成为调度自动化系统和变电站自动化系统之间相互联系的桥梁。

智能变电站是调变一体化系统的重要组成部分，与传统的变电站相比，智能变电站实现了设备数字化以及调度中心对变电站的全面监控，以全站信息数字化、通信平台网络化、信息共享标准化为基本要求。目前无人值守智能变电站已经开始逐步替代了传统变电站，但是当调度中心显示屏上出现遥信状态异常、通信中断等故障时，调度中心往往就无法立即判断具体的故障原因，错失排除故障的最佳时机，甚至威胁电网的安全运行，因此远程维护在无人值守变电站中得到了广泛的应用。基于集成平台的调变一体化系统通过采用SOA架构，通过在调度中心登录调变一体化系统，直接调用变电站远程维护服务的方式，实现调度中心对变电站的远程维护。

在远程维护中，安全性至关重要，必须满足《全国电力二次系统安全防护总体方案》中“安全分区、网络专用、横向隔离、纵向认证”的要求。传统的远程维护往往只在接入调度数据网时采用纵向加密装置进行边界上的安全防护，缺少对于用户登录、系统内的通信安全以及人员权限认证的保护，存在安全隐患。因此如何能够全面的保护远程维护的安全性，是需要解决的重要问题。

发明内容

本发明所要解决的技术问题是提供了一种广域运维系统的远程维护操作认证方法。

为了实现上述目的，本发明是采取以下的技术方案来实现的：

一种广域运维系统的远程维护操作认证方法，其特征在于，包括远程维护操作前的双因子登录，远程维护操作报文的数字签名和远程维护操作权限的服务端认证，三者之间相互关联，共同保证了远程维护过程的安全。

所述远程维护操作前的双因子登录，远程维护操作报文的数字签名和远程维护操作权限的服务端认证的关系主要体现在，在数字签名时使用双因子登录中的用户私钥进行签名，在权限认证时先使用公钥进行签名验证，然后使用双因子登录时输入的用户名进行认证。

所述远程维护操作前的双因子登录时使用USBKey加用户名密码的验证方式，USBKey中包含用户私钥和身份证书，验证时需要验证用户名和USBKey中用户身份证书的一致性，并且验证用户是否具有远程维护权限，从而防止用户的非法登录。

进一步的，所述远程维护操作前的双因子登录，具体包括：

插入USBKey，进行身份认证；

输入正确的用户名和对应的密码；

验证用户名和密码的一致性，以及用户名和USBKey中身份证书的一致性，并且验证用户是否具有远程维护权限。

所述远程维护操作报文的数字签名算法采用国密SM2算法，内容包括用户名、时间戳和请求内容，数字签名有效的防止了远程维护报文被篡改和复制的可能。