汪 偉，李端超

（安徽省電力公司調(diào)度控制中心，安徽 合肥 230022）

其它

基于數(shù)字證書(shū)的遠(yuǎn)方遙控操作身份認(rèn)證的研究與實(shí)現(xiàn)

汪 偉，李端超

（安徽省電力公司調(diào)度控制中心，安徽 合肥 230022）

隨著設(shè)備的遠(yuǎn)方遙控操作得到全面實(shí)施，原有的以用戶名和密碼登陸實(shí)現(xiàn)人員身份認(rèn)證方式已經(jīng)不能滿足安全性的要求。提出了使用用戶登陸和使用智能卡的數(shù)字證書(shū)認(rèn)證相結(jié)合的身份認(rèn)證實(shí)施方案。在安徽省電力公司調(diào)度中心的實(shí)施證明其可實(shí)現(xiàn)操作人員身份的可靠認(rèn)證，確保遙控操作的安全。

遙控；數(shù)字證書(shū)；身份認(rèn)證

隨著國(guó)網(wǎng)公司大運(yùn)行體系的全面實(shí)施，各級(jí)調(diào)度機(jī)構(gòu)對(duì)變電現(xiàn)場(chǎng)設(shè)備實(shí)現(xiàn)了全面集中監(jiān)控，設(shè)備的遠(yuǎn)方遙控操作也得到了全面實(shí)施，使操作變得高效、快速，節(jié)省了大量的人力、物力。但是在實(shí)現(xiàn)這些便利的同時(shí)，也帶來(lái)了一些新的挑戰(zhàn)。由于網(wǎng)絡(luò)的廣泛性和開(kāi)放性，所有能直接或間接連接調(diào)度控制系統(tǒng)的人員或程序都可以對(duì)設(shè)備進(jìn)行操作，因此，必須對(duì)操作人員的身份進(jìn)行安全認(rèn)證，有效識(shí)別操作者的身份，阻止沒(méi)有權(quán)限的人員或者黑客、病毒程序?qū)υO(shè)備進(jìn)行誤操作或惡意操作，僅僅允許具有操作資格的人員進(jìn)行設(shè)備的遠(yuǎn)方遙控操作，確保設(shè)備遠(yuǎn)方遙控操作的安全。

1 傳統(tǒng)遠(yuǎn)方遙控操作流程及其存在的安全隱患

傳統(tǒng)的遠(yuǎn)方遙控操作是由2名操作人員完成，操作者A選擇將要操作的設(shè)備和操作指令，由操作者B進(jìn)行監(jiān)護(hù)確認(rèn)，再由操作者A最終確認(rèn)下發(fā)指令。其中操作者A、B均通過(guò)在調(diào)度控制系統(tǒng)中輸入密碼確認(rèn)身份。

圖1中虛線框內(nèi)的身份認(rèn)證過(guò)程僅通過(guò)輸入密碼來(lái)實(shí)現(xiàn)，是基于密碼的身份認(rèn)證技術(shù)?；诿艽a的身份認(rèn)證技術(shù)比較原始，優(yōu)勢(shì)在于密碼是用戶自己設(shè)定，系統(tǒng)實(shí)現(xiàn)比較簡(jiǎn)便，只要服務(wù)端程序接收到用戶名和對(duì)應(yīng)的密碼，系統(tǒng)就認(rèn)為訪問(wèn)者身份合法。但弊端在于，用戶設(shè)定的密碼復(fù)雜性一般，破解密碼的難度較小。同時(shí)，用戶密碼在存儲(chǔ)和傳輸過(guò)程中極易被木馬程序和網(wǎng)絡(luò)黑客截取，很容易造成密碼泄漏。所以基于密碼的身份認(rèn)證技術(shù)是一種不安全的身份認(rèn)證技術(shù)，存在不具備操作權(quán)限的人員誤操作通過(guò)或者木馬程序、網(wǎng)絡(luò)黑客進(jìn)行攻擊的可能。

圖1 傳統(tǒng)的遠(yuǎn)方遙控操作流程

文獻(xiàn)［1］指出，對(duì)于調(diào)度主站遙控來(lái)說(shuō)，存在多重安全問(wèn)題，其中較容易發(fā)生的是誤操作問(wèn)題，對(duì)電網(wǎng)安全威脅最大的是惡意破壞。對(duì)于誤操作，可能存在抵賴問(wèn)題，調(diào)度員、監(jiān)控員之間的用戶名和密碼在實(shí)際工作中近乎公開(kāi)，在交接班時(shí)或緊急情況處理時(shí)可能會(huì)出現(xiàn)誤操作后當(dāng)事人不承認(rèn)的問(wèn)題，因此必須采取用戶名、密碼之外的措施來(lái)進(jìn)行人員身份的識(shí)別。而對(duì)于惡意破壞問(wèn)題，值得注意的是，現(xiàn)在的智能電網(wǎng)調(diào)度控制系統(tǒng)用戶范圍廣，開(kāi)發(fā)、維護(hù)單位多，且各用戶存在交叉使用的情況，權(quán)限配置又并非完美，因此，必須采取非常嚴(yán)格的措施，限制遙控功能的使用，除經(jīng)過(guò)授權(quán)的人員外其他人不得使用遙控功能。

針對(duì)以上2點(diǎn)，安徽省調(diào)采用數(shù)字證書(shū)和智能卡的方式實(shí)現(xiàn)了對(duì)遠(yuǎn)方遙控操作的身份認(rèn)證。

2 使用數(shù)字證書(shū)和智能卡實(shí)現(xiàn)對(duì)遠(yuǎn)方遙控操作的身份認(rèn)證

2.1 數(shù)字證書(shū)

數(shù)字證書(shū)（Digital Certificate）也稱數(shù)字標(biāo)識(shí)，它基于公開(kāi)密鑰加密技術(shù)［1］，是一種應(yīng)用廣泛的信息安全技術(shù)。公開(kāi)密鑰加密算法的加密密鑰與解密密鑰是一組相對(duì)的密鑰，稱為“非對(duì)稱密鑰對(duì)”或“密鑰對(duì)（Key Pair）”，其中一個(gè)為可以公開(kāi)的加密密鑰（簡(jiǎn)稱“公鑰”），另一個(gè)是必須秘密保存的解密密鑰（簡(jiǎn)稱“私鑰”），而且由公鑰很難求出私鑰。使用私鑰加密（簽名），可以通過(guò)公鑰進(jìn)行解密認(rèn)證，這樣就可以進(jìn)行身份認(rèn)證，或用在抗抵賴應(yīng)用中。

數(shù)字證書(shū)一般由權(quán)威機(jī)構(gòu)CA（Certificate Au?thority）中心簽發(fā)，主要用于用戶身份認(rèn)證。數(shù)字證書(shū)包含用戶身份信息、用戶公鑰信息以及身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)。其作用是證明數(shù)字證書(shū)中列出的用戶與數(shù)字證書(shū)中列出的公開(kāi)密鑰對(duì)應(yīng)，通過(guò)身份認(rèn)證機(jī)構(gòu)的數(shù)字簽名來(lái)保證用戶身份的客觀真實(shí)性與數(shù)字證書(shū)的真實(shí)性一致。

多年前有研究電力信息安全的文獻(xiàn)曾指出可使用安全身份認(rèn)證體系加強(qiáng)對(duì)電力系統(tǒng)內(nèi)部系統(tǒng)的安全保障［2－3］。大運(yùn)行體系深化實(shí)施和智能調(diào)度控制系統(tǒng)的全面應(yīng)用后，國(guó)網(wǎng)調(diào)度中心建立了完整的公鑰基礎(chǔ)設(shè)施體系［4］（PKI），為國(guó)網(wǎng)調(diào)度系統(tǒng)內(nèi)的安全服務(wù)提供基礎(chǔ)設(shè)施，安徽省調(diào)也建立了自己的CA體系，為具有遠(yuǎn)方遙控操作權(quán)限的操作人員簽發(fā)數(shù)字證書(shū)，提供身份認(rèn)證。具體架構(gòu)如圖2所示。

圖2 安徽省調(diào)為操作人員簽發(fā)數(shù)字證書(shū)架構(gòu)

2.2 智能卡

使用數(shù)字證書(shū)就可認(rèn)證用戶身份，但如何安全存儲(chǔ)數(shù)字證書(shū)，特別是私鑰是確保身份認(rèn)證過(guò)程可信的關(guān)鍵問(wèn)題。傳統(tǒng)的數(shù)字證書(shū)大多都是“文件證書(shū)”，即將電子證書(shū)保存在本地磁盤(pán)上，在使用時(shí)直接讀入即可。這種存儲(chǔ)方式，使得數(shù)字證書(shū)極易被拷貝破解。此外，傳統(tǒng)上使用私鑰時(shí)，都是在內(nèi)存中進(jìn)行的，這樣就存在被惡意程序截取到的風(fēng)險(xiǎn)，從而產(chǎn)生假冒用戶身份的事件發(fā)生。為了解決以上安全性問(wèn)題，需要使用智能卡［5］來(lái)配合PKI系統(tǒng)的身份認(rèn)證就能夠很好地解決上述問(wèn)題。

智能卡是一種帶有CPU的IC卡，使用智能卡存儲(chǔ)數(shù)字證書(shū)是一種更為安全的方式。我們采用了USB－Key形式的智能卡（下文簡(jiǎn)稱U－Key），將數(shù)字證書(shū)的公鑰存儲(chǔ)在U－Key的開(kāi)放存儲(chǔ)區(qū)，將私鑰存儲(chǔ)在U－Key的秘密存儲(chǔ)區(qū)并使用PIN碼進(jìn)行加密，在使用私鑰時(shí)，首先要輸入PIN碼，才能訪問(wèn)私鑰，如果3次輸入PIN碼不正確，則U－Key將被鎖定，避免了使用暴力法破解私鑰。在身份認(rèn)證、加密和解密的過(guò)程中，所有涉及到私鑰的操作都在智能卡內(nèi)進(jìn)行，不會(huì)被計(jì)算機(jī)讀取。這絕對(duì)保證了數(shù)字證書(shū)的安全，確保了對(duì)操作人員的身份認(rèn)證是安全和可信的。

2.3 遠(yuǎn)方遙控操作的身份認(rèn)證

雖然并未改變傳統(tǒng)的遠(yuǎn)方遙控操作業(yè)務(wù)流程，但對(duì)身份驗(yàn)證做了嚴(yán)格化的處理，采取了三重認(rèn)證的方式。

首先使用安徽省調(diào)CA為每位調(diào)度員、監(jiān)控員以及其他有遙控操作權(quán)限的人員分別簽發(fā)相應(yīng)的數(shù)字證書(shū)，將其私鑰存儲(chǔ)于U－Key中。并在調(diào)度控制系統(tǒng)上維護(hù)一個(gè)列表，其中包含所有被配置為允許進(jìn)行遠(yuǎn)方遙控操作的操作人員名稱和其數(shù)字證書(shū)的公鑰。每個(gè)操作人員配發(fā)一個(gè)U－Key，U－Key內(nèi)部存儲(chǔ)相應(yīng)人員的數(shù)字證書(shū)（包括公鑰和私鑰）。當(dāng)需要進(jìn)行遠(yuǎn)方遙控操作時(shí)，操作人員需要將U－Key插入其使用的工作站，首先使用調(diào)度控制系統(tǒng)的登陸界面使用用戶名和密碼進(jìn)行登陸，登陸成功后系統(tǒng)對(duì)已登陸的用戶和調(diào)度控制系統(tǒng)中維護(hù)的具有操作權(quán)限的用戶進(jìn)行比對(duì)，當(dāng)命中時(shí)，即登陸的用戶具有操作權(quán)限，然后再對(duì)系統(tǒng)中所配置的相應(yīng)操作人員的公鑰和U－Key中的公鑰進(jìn)行比較，如果相同則進(jìn)行該用戶數(shù)字證書(shū)的驗(yàn)證：用戶輸入U(xiǎn)－Key的PIN碼，如果輸入正確通過(guò)則對(duì)UKey中數(shù)字證書(shū)的公鑰和私鑰進(jìn)行驗(yàn)證，三重認(rèn)證均無(wú)誤后才允許用戶執(zhí)行遠(yuǎn)方遙控中選擇、監(jiān)護(hù)和執(zhí)行的操作。具體的用戶驗(yàn)證過(guò)程可參照?qǐng)D3所示。

圖3 使用數(shù)字證書(shū)實(shí)現(xiàn)遠(yuǎn)方遙控操作的身份認(rèn)證

3 使用數(shù)字證書(shū)實(shí)現(xiàn)遠(yuǎn)方遙控操作身份認(rèn)證的優(yōu)勢(shì)

a.使用數(shù)字證書(shū)的身份認(rèn)證技術(shù)基于經(jīng)過(guò)嚴(yán)格考驗(yàn)的公開(kāi)密鑰算法，從當(dāng)前的研究來(lái)看，如果使用當(dāng)前世界上最先進(jìn)的計(jì)算機(jī)，也需數(shù)百年時(shí)間才能對(duì)我們所使用的數(shù)字證書(shū)進(jìn)行破解［6］。

b.數(shù)字證書(shū)使用了可靠的智能卡硬件實(shí)現(xiàn)。從數(shù)字證書(shū)的生成，私鑰的存儲(chǔ)和數(shù)字證書(shū)的驗(yàn)證過(guò)程均在安全的智能卡內(nèi)實(shí)現(xiàn)，不將私鑰存儲(chǔ)到可導(dǎo)出的存儲(chǔ)設(shè)備中，也不載入內(nèi)存，并采取限制次數(shù)的PIN碼保護(hù)私鑰，確保了數(shù)字證書(shū)的安全。

c.身份驗(yàn)證過(guò)程在原有的用戶登陸基礎(chǔ)上增加了數(shù)字證書(shū)的認(rèn)證，采取了三重認(rèn)證的方式，從流程上確保了對(duì)用戶身份的嚴(yán)格認(rèn)證，避免其他用戶的誤操作和黑客、木馬程序的惡意攻擊，也具備完備的不可抵賴性，從技術(shù)層面嚴(yán)格限制了只允許授權(quán)用戶進(jìn)行遙控操作。

4 結(jié)束語(yǔ)

數(shù)字證書(shū)技術(shù)已經(jīng)在各行各業(yè)得到了廣泛的應(yīng)用，它可以作為人員、設(shè)備、組織等的身份證明，可以用于身份認(rèn)證、加密解密、數(shù)字簽名，保證各項(xiàng)基于網(wǎng)絡(luò)的業(yè)務(wù)的安全性和可靠性，為業(yè)務(wù)的信息化提供強(qiáng)有力保障。

電力調(diào)控業(yè)務(wù)對(duì)安全性和可靠性要求極強(qiáng)，數(shù)字證書(shū)技術(shù)應(yīng)該在調(diào)控業(yè)務(wù)中得到全面的推廣和應(yīng)用，以進(jìn)一步提高調(diào)控業(yè)務(wù)的安全性和可靠性。安徽省調(diào)使用數(shù)字證書(shū)實(shí)現(xiàn)遠(yuǎn)方遙控操作的身份認(rèn)證管理，取得了較好的效果。如何將數(shù)字證書(shū)技術(shù)應(yīng)用到關(guān)鍵數(shù)據(jù)如關(guān)口數(shù)據(jù)、遙控遙調(diào)報(bào)文的加密傳輸和完整性驗(yàn)證等方面，是下一步工作研究的重點(diǎn)。

［1］王順江.關(guān)于電力自動(dòng)化遙控安全問(wèn)題的研究［J］.東北電力技術(shù)，2012，33（2）：25－31.

［2］W.Diffie，M.E.Hellman.New Directions in Cryptography［J］. IEEE Transactions on Information Theory，1976，22（6）：644－654.

［3］潘明惠，偏瑞琪，張亞軍.電力系統(tǒng)信息安全應(yīng)用研究［J］.東北電力技術(shù)，2001，22（12）：44－48.

［4］Andrew Nash，William Duane，Celia Joseph，Derek Brink.PKI Implementing and Managing E－Seurity（公鑰基礎(chǔ)設(shè)施PKI實(shí)現(xiàn)和管理電子安全）［M］.北京：清華大學(xué)出版社，2002：285－302.

［5］李 祥.智能卡研發(fā)技術(shù)與工程實(shí)踐［M］.北京：人民郵電出版社，2003.

［6］Bruce Schneier.Applied Cryptograph Second Edition：protocols，algorithms，and source code in C（應(yīng)用密碼學(xué)：協(xié)議、算法與C源程序）［M］.北京：機(jī)械工業(yè)出版社，2000：334－340.

Research and Implementation on Identity Authentication of Remote Control Based on Digital Certificate

WANG Wei，LI Duan?chao
（Dispatch＆Control Center，Anhui Electric Power Corporation，Hefei，Anhui 230022，China）

With the full implementation of remote control of high voltage devices，the former identity authentication based on username and password cannot meet the requirement for safety of remote control.Focusing on this case，the solution using the combination of use?rname，password and digital certificate for identity authentication is presented.The implementation in Anhui dispatching center is proved that the solution can improve the stability of identity authentication to ensure the safety of device remote control.

Remote control；Digital certificate；Identity authentication

TM764.2

A

1004－7913（2016）03－0056－03

汪 偉（1985—），男，碩士，工程師，主要從事電網(wǎng)調(diào)度自動(dòng)化工作。

2015－11－18）