电力信息系统中单一登录和访问控制方法的研究
|
摘要
随着Internet的普及,电力企业网络安全问题日益突出,信息网络的安全将直接影响电网的稳定运行,PKI和PMI技术是电力企业中广泛应用和推广的认证和授权方式。本文以PKI/PMI为基础,根据电力行业多个信息系统的集成趋势设计了单一登录系统,并应用代理机制,该系统既能符合电力企业网络信息安全要求,又符合电力信息系统的发展方向,具有良好的兼容性和扩展性。在无人值守变电站中,普遍应用的是综合自动化系统,授权方式将影响自动化网络的安全,本文基于其结构特点,设计了分布式基于角色的访问控制方法,算法的设计符合ITU-T X.509和IEC61850国际标准,具有较高的实用性和适应性。
For the popularization of Internet, electric power network security is more and more important. Security of electric power enterprise information network will directly infect running stability of electric power network. PKI and PMI are the widely used and extended authentication and authorization method. Based on PKI/PMI, a single sign-on system is designed to adapt to the integration trend of many information systems in electric power enterprise. Agent mechanism is used. It not only answers for the request of electric system, but also accords with the developing direction of the electric information system. It has a good compatibility and expansibility. Integrated automation substation system is widely used in unattended substations. The authorization mode will affect the security of the automation net. Considering its special configuration, distributed RBAC access control method is designed. The algorithm accords to the ITU-T X.509 and IEC61850 international standards, and has high currency, adaptability and expansibility.
For the popularization of Internet, electric power network security is more and more important. Security of electric power enterprise information network will directly infect running stability of electric power network. PKI and PMI are the widely used and extended authentication and authorization method. Based on PKI/PMI, a single sign-on system is designed to adapt to the integration trend of many information systems in electric power enterprise. Agent mechanism is used. It not only answers for the request of electric system, but also accords with the developing direction of the electric information system. It has a good compatibility and expansibility. Integrated automation substation system is widely used in unattended substations. The authorization mode will affect the security of the automation net. Considering its special configuration, distributed RBAC access control method is designed. The algorithm accords to the ITU-T X.509 and IEC61850 international standards, and has high currency, adaptability and expansibility.
引文
[1] 辛耀中. 2006 年国际大电网会议系列报道(二). 电力系统自动化, 2006,30(22): 1-6.
[2] 冯 登 国 , 李 丹 . 我 国 PKI/PMI 标 准 的 制 定 与 应 用 . 信 息 技 术 与 标 准 化 , 2003,8:12-13.
[3] 王士政. 电网调度自动化技术与配电网自动化技术. 中国水利水电出版社,2006.
[4] 谭 立 球 , 费 耀 平 , 李 建 华 . 企 业 信 息 门 户 单 点 登 录 系 统 的 实 现 . 计 算 机 工程.2005,31(17):102-104.
[5] Radio Perlman. An Overview of PKI Trust Models. IEEE Network November/ December,1999.
[6] Haibo Yu, Chunzhao Jin, Haiyan Che. A Description Logic for PKI Trust Domain Modeling. Proceedings of the Third International Conference on Information Technology and Applications (ICITA’05).
[7] ITU-T Recommendation X.509 | ISO/IEC 9594-8: “Information Technology – Open Systems Interconnection – The Directory: Public-Key and Attribute Certificate Frameworks”[S]. 2001.
[8] 吉大正元信息技术股份有限公司, http://www.jit.com.cn/.
[9] 北京耐丁网络技术有限公司, http://www.nettingtech.com/.
[10] 魏晓菁,柳英楠,来风刚. 国家电力信息网信息安全防护体系框架与策略研究. 计算机安全,2004,6:4-6.
[11] 向继东,黄天戍,孙东. 电力企业信息网络安全管理系统设计与实现. 电力系统自动化.2003,27(15):71-74.
[12] 沈亮. 构建电力信息网安全防护框架. 电力信息化.2004,2(7):34-36.
[13] 段斌,刘念,王键,黄生龙. 基于 PKI/PMI 的变电站自动化系统访问安全管理. 电力系统自动化, 2005,39(23):58-63.
[14] 电力系统自动化杂志社. 国际特大电网运行年会工作重点. 电力系统自动化,2005, (29)23:1-2.
[15] 段斌,孙璐,邹吉昌. 基于SAML的电力企业集成服务智能登录系统设计. 电力系统自动化, 2006, 30(8):30-34.
[16] 吴在军,胡敏强. 基于IEC61850标准的变电站自动化系统研究[J]. 电网技术, 2003, 27(10):61-65.
[17] 蒋年德 , 魏育成 . 变电站综合自动化系统体系结构研究 [J]. 电网技术 , 2003,27(10):48-51.
[18] Nian Liu, Bin Duan, Jian Wang, Shenglong Huang. Study on PMI based Access Control of Substation Automation System. Power Engineering Society General Meeting,2006,IEEE,June 2006,18-22.
[19] 滕福生.电力系统调度自动化和能量管理系统. 四川大学出版社,2004.
[20] 王民昆, 田立峰, 苟骁毅. 四川电网调度自动化综合监控系统[J]. 电网技术, 2006,30(21):89-93.
[21] 李 文 武 , 王 先 培 , 孟 波 , 贺 鹏 . 电 力 行 业 信 息 安 全 体 系 结 构 初 探 . 中 国 电力.2002,35(5):76-78.
[22] Celia Li, Cungang Yang, Todd Mander, Richard Cheung. Advanced Security Model for Power System Computer Networks.
[23] 于华,蔡海滨,刘良旭. 基于LDAP和PKI的Intranet统一身份认证系统研究. 计算机工程与设计, 2006, 27(10):1863-1866.
[24] Jong Hyuk Choi, Sang Seok Lim, Kurt D. Zeilenga. A New On-line Certificate Validation Method Using LDAP Component Matching Technology. Proceedings of the 2005 IEEE Workshop on Information Assurance and Security United States Military Acadcmy, West Point, NY.
[25] 谢大为,杨晓忠.调度自动化系统中远动技术网络化的实现[J].电网技术, 2004,28(8):34-37.
[26] 续岩 , 季永志 . 单点登录技术在 Web应用中的研究与实现 . 计算机工程 , 2006,32(10):271-273.
[27] 王薇,张红旗,张斌,杨智. 基于PKI/PMI的多域单点登录研究. 微计算机信息, 2006,22(7):150-152.
[28] 杨波,王常吉,段海新,吴建平. 基于PKI/PMI的校园网安全单一登录方案. 计算机工程与应用, 2004, 36:118-121.
[29] 吴鹏,王晓峻,苏新宁. 基于PKI/PMI的Web应用安全解决方案. 计算机工程与应用, 2006, 6:1-6.
[30] Fumiko Satoh, Takayuki Itoh. Single Sign On Architecture with Dynamic Tokens. Proceedings of the 2004 International Symposium on Applications and the Internet (SAINT’04).
[31] 黄敏,朱永利. 基于多Agent和IEC61850的电力远动通信系统模型[J].电网技术, 2006,30(21):78-83.
[32] 周武,金远平. XML 数据语义映射方法研究. 计算机工程与应用, 2003,28. 88-91.
[33] 张磊,周良,谢强,丁秋林. 一种基于语义的 Ontology 映射方法. 南京航空航天大学学报. 2006,38(4):487-492.
[34] 宋琦,薛建武. 只能检索中基于用户模型的本体映射方法研究. 现代图书情报技术. 2006,(9):29-33.
[35] 江智伟 变电站自动化及其新技术,北京:中国电力出版社,2006.
[36] 任雁铭,秦立军,杨奇逊. IEC61850通信协议体系介绍和分析[J]. 电力系统自动化. 2004, 24(4):62-64.
[37] IEC 61850-7-2. Communication Networks and Systems in Substations – Part 7-2: Basic Communication Structure for Substation and Feeder Equipment – Abstract Communication Service Interface (ACSI). 2003.
[38] 眭碧霞.智能通信服务器在变电站自动化系统中的应用.电力自动化设备, 2006,26(10):88-91.
[39] 孙鸣, 谢芝东. 基于嵌入式以太网的变电站自动化系统无缝通信体系结构[J]. 电网技术, 2007,31(9):70-79.
[40] 史旺旺,陈虹,刘敏华,等. 智能建筑变电站综合自动化的分析和实施. 电力自动化设备, 2003,23(10):46-49.
[41] 晏运忠,岳青松,游建军.基于 GSM 短消息的变电站无人值班系统.电力自动化设备, 2007,27(3):99-101.
[42] 杨洪.变电站程序化操作的探索与实践.电力自动化设备, 2006,26(11):104-106.
[43] 徐立子. 变电站自动化系统的可靠性分析. 电网技术,2002,26(8): 68-72.
[44] 陈升. 网络化变电站自动化系统的应用. 电网技术. 2003, 27(2): 72-75.
[45] 段 斌 , 王 键 . 变 电 站 自 动 化 信 息 交 换 安 全 认 证 体 系 . 电 力 系 统 自 动 化 , 2005,29(9):55-59.
[46] 王保义,于晓波.电力工作流中基于组织与任务的访问控制模型.电力系统自动化, 2007,31(4):51-55.
[47] Qi Li, Jingpu Shi, SihanQing. An Administration Model of DRBAC on the Web. Proceedings of the2005 IEEE International Conference on e-Bussiness Engineering, 2005.
[48] Sandhu R S, Coyne E, FeiMtein H L, et a1. Role-based Access Control Models[J]. IEEE Computer, 1996, 29(2):38-47.
[49] Mingchao Ma , Steve Woodhead. Constraint-enabled Distributed RBAC for Subscription-based Remote Network Services[J]. Proceedings of The Sixth IEEE International Conference on Computer and Information Technology, 2006.
[50] 甘泉 , 贺也平 , 韩乃平 . 一种改进的基于角色的访问控制 . 计算机工程 . 2006,32(7):140-142.
[51] 廖振松,金海,李赤松.分布式环境下基于属性证书的RBAC模型.华中科技大学学报(自然科学版).2006,34(2):64-66.
[52] 汪厚祥,李卉.D_TRBAC访问控制模型的设计与应用研究.计算机工程与设计.2006,29(18): 3494-3496.
[53] 徐宁,朱永利,邸剑,等.基于 IEC61850 的变电站自动化对象建模.电力自动化设备, 2006,26(3):85-88.
[54] 范建忠,战学牛,王海玲.基于IEC61850动态建立IED模型的构想.电力系统自动化,2006,30(9):76-79.
[55] 廖 泽 友 , 孙 莉 , 贺 岑 , 刘 伟 .IED 遵 循 IEC61850 标 准 的 数 据 建 模 . 继 电器,2006,34(20):40-43.
[2] 冯 登 国 , 李 丹 . 我 国 PKI/PMI 标 准 的 制 定 与 应 用 . 信 息 技 术 与 标 准 化 , 2003,8:12-13.
[3] 王士政. 电网调度自动化技术与配电网自动化技术. 中国水利水电出版社,2006.
[4] 谭 立 球 , 费 耀 平 , 李 建 华 . 企 业 信 息 门 户 单 点 登 录 系 统 的 实 现 . 计 算 机 工程.2005,31(17):102-104.
[5] Radio Perlman. An Overview of PKI Trust Models. IEEE Network November/ December,1999.
[6] Haibo Yu, Chunzhao Jin, Haiyan Che. A Description Logic for PKI Trust Domain Modeling. Proceedings of the Third International Conference on Information Technology and Applications (ICITA’05).
[7] ITU-T Recommendation X.509 | ISO/IEC 9594-8: “Information Technology – Open Systems Interconnection – The Directory: Public-Key and Attribute Certificate Frameworks”[S]. 2001.
[8] 吉大正元信息技术股份有限公司, http://www.jit.com.cn/.
[9] 北京耐丁网络技术有限公司, http://www.nettingtech.com/.
[10] 魏晓菁,柳英楠,来风刚. 国家电力信息网信息安全防护体系框架与策略研究. 计算机安全,2004,6:4-6.
[11] 向继东,黄天戍,孙东. 电力企业信息网络安全管理系统设计与实现. 电力系统自动化.2003,27(15):71-74.
[12] 沈亮. 构建电力信息网安全防护框架. 电力信息化.2004,2(7):34-36.
[13] 段斌,刘念,王键,黄生龙. 基于 PKI/PMI 的变电站自动化系统访问安全管理. 电力系统自动化, 2005,39(23):58-63.
[14] 电力系统自动化杂志社. 国际特大电网运行年会工作重点. 电力系统自动化,2005, (29)23:1-2.
[15] 段斌,孙璐,邹吉昌. 基于SAML的电力企业集成服务智能登录系统设计. 电力系统自动化, 2006, 30(8):30-34.
[16] 吴在军,胡敏强. 基于IEC61850标准的变电站自动化系统研究[J]. 电网技术, 2003, 27(10):61-65.
[17] 蒋年德 , 魏育成 . 变电站综合自动化系统体系结构研究 [J]. 电网技术 , 2003,27(10):48-51.
[18] Nian Liu, Bin Duan, Jian Wang, Shenglong Huang. Study on PMI based Access Control of Substation Automation System. Power Engineering Society General Meeting,2006,IEEE,June 2006,18-22.
[19] 滕福生.电力系统调度自动化和能量管理系统. 四川大学出版社,2004.
[20] 王民昆, 田立峰, 苟骁毅. 四川电网调度自动化综合监控系统[J]. 电网技术, 2006,30(21):89-93.
[21] 李 文 武 , 王 先 培 , 孟 波 , 贺 鹏 . 电 力 行 业 信 息 安 全 体 系 结 构 初 探 . 中 国 电力.2002,35(5):76-78.
[22] Celia Li, Cungang Yang, Todd Mander, Richard Cheung. Advanced Security Model for Power System Computer Networks.
[23] 于华,蔡海滨,刘良旭. 基于LDAP和PKI的Intranet统一身份认证系统研究. 计算机工程与设计, 2006, 27(10):1863-1866.
[24] Jong Hyuk Choi, Sang Seok Lim, Kurt D. Zeilenga. A New On-line Certificate Validation Method Using LDAP Component Matching Technology. Proceedings of the 2005 IEEE Workshop on Information Assurance and Security United States Military Acadcmy, West Point, NY.
[25] 谢大为,杨晓忠.调度自动化系统中远动技术网络化的实现[J].电网技术, 2004,28(8):34-37.
[26] 续岩 , 季永志 . 单点登录技术在 Web应用中的研究与实现 . 计算机工程 , 2006,32(10):271-273.
[27] 王薇,张红旗,张斌,杨智. 基于PKI/PMI的多域单点登录研究. 微计算机信息, 2006,22(7):150-152.
[28] 杨波,王常吉,段海新,吴建平. 基于PKI/PMI的校园网安全单一登录方案. 计算机工程与应用, 2004, 36:118-121.
[29] 吴鹏,王晓峻,苏新宁. 基于PKI/PMI的Web应用安全解决方案. 计算机工程与应用, 2006, 6:1-6.
[30] Fumiko Satoh, Takayuki Itoh. Single Sign On Architecture with Dynamic Tokens. Proceedings of the 2004 International Symposium on Applications and the Internet (SAINT’04).
[31] 黄敏,朱永利. 基于多Agent和IEC61850的电力远动通信系统模型[J].电网技术, 2006,30(21):78-83.
[32] 周武,金远平. XML 数据语义映射方法研究. 计算机工程与应用, 2003,28. 88-91.
[33] 张磊,周良,谢强,丁秋林. 一种基于语义的 Ontology 映射方法. 南京航空航天大学学报. 2006,38(4):487-492.
[34] 宋琦,薛建武. 只能检索中基于用户模型的本体映射方法研究. 现代图书情报技术. 2006,(9):29-33.
[35] 江智伟 变电站自动化及其新技术,北京:中国电力出版社,2006.
[36] 任雁铭,秦立军,杨奇逊. IEC61850通信协议体系介绍和分析[J]. 电力系统自动化. 2004, 24(4):62-64.
[37] IEC 61850-7-2. Communication Networks and Systems in Substations – Part 7-2: Basic Communication Structure for Substation and Feeder Equipment – Abstract Communication Service Interface (ACSI). 2003.
[38] 眭碧霞.智能通信服务器在变电站自动化系统中的应用.电力自动化设备, 2006,26(10):88-91.
[39] 孙鸣, 谢芝东. 基于嵌入式以太网的变电站自动化系统无缝通信体系结构[J]. 电网技术, 2007,31(9):70-79.
[40] 史旺旺,陈虹,刘敏华,等. 智能建筑变电站综合自动化的分析和实施. 电力自动化设备, 2003,23(10):46-49.
[41] 晏运忠,岳青松,游建军.基于 GSM 短消息的变电站无人值班系统.电力自动化设备, 2007,27(3):99-101.
[42] 杨洪.变电站程序化操作的探索与实践.电力自动化设备, 2006,26(11):104-106.
[43] 徐立子. 变电站自动化系统的可靠性分析. 电网技术,2002,26(8): 68-72.
[44] 陈升. 网络化变电站自动化系统的应用. 电网技术. 2003, 27(2): 72-75.
[45] 段 斌 , 王 键 . 变 电 站 自 动 化 信 息 交 换 安 全 认 证 体 系 . 电 力 系 统 自 动 化 , 2005,29(9):55-59.
[46] 王保义,于晓波.电力工作流中基于组织与任务的访问控制模型.电力系统自动化, 2007,31(4):51-55.
[47] Qi Li, Jingpu Shi, SihanQing. An Administration Model of DRBAC on the Web. Proceedings of the2005 IEEE International Conference on e-Bussiness Engineering, 2005.
[48] Sandhu R S, Coyne E, FeiMtein H L, et a1. Role-based Access Control Models[J]. IEEE Computer, 1996, 29(2):38-47.
[49] Mingchao Ma , Steve Woodhead. Constraint-enabled Distributed RBAC for Subscription-based Remote Network Services[J]. Proceedings of The Sixth IEEE International Conference on Computer and Information Technology, 2006.
[50] 甘泉 , 贺也平 , 韩乃平 . 一种改进的基于角色的访问控制 . 计算机工程 . 2006,32(7):140-142.
[51] 廖振松,金海,李赤松.分布式环境下基于属性证书的RBAC模型.华中科技大学学报(自然科学版).2006,34(2):64-66.
[52] 汪厚祥,李卉.D_TRBAC访问控制模型的设计与应用研究.计算机工程与设计.2006,29(18): 3494-3496.
[53] 徐宁,朱永利,邸剑,等.基于 IEC61850 的变电站自动化对象建模.电力自动化设备, 2006,26(3):85-88.
[54] 范建忠,战学牛,王海玲.基于IEC61850动态建立IED模型的构想.电力系统自动化,2006,30(9):76-79.
[55] 廖 泽 友 , 孙 莉 , 贺 岑 , 刘 伟 .IED 遵 循 IEC61850 标 准 的 数 据 建 模 . 继 电器,2006,34(20):40-43.