摘要:电力信息系统是电力自动化系统的重要组成部分,为电力生产、输送、变电及分配提供了极大的帮助。电力信息系统的安全关系到人民群众的切身利益与国家安全,所以其安全性十分重要,而身份鉴别技术是有效保障电力信息系统安全性的重要技术。基于此,本文对电力信息系统身份鉴别技术进行了阐述。
关键词:电力信息系统;身份鉴别;SM2
对供电企业而言,当前电力信息系统是电力系统自动化的重要内容,其安全问题的重要性毋庸置疑,科学有效的身份鉴别技术应用至关重要。目前身份鉴别具有多技术集成、双向、标准化等特点,在今后,相关研究人员还应积极创新,开发一种更加安全、便捷的电力信息系统身份鉴别技术。
一、电力信息系统身份鉴别技术的重要性
电力信息系统身份鉴别技术的重要意义体现在能确保电力信息系统的安全,进而确保整个电力系统的安全。当前电力信息系统是电力系统自动化的重要组成部分,包含有众多的自动化设备。自动化设备既有优点,也有缺点。优点是将人力从繁重的劳动中解放出来,只需进行必要的监控即可,并在发现故障和排除故障方面具有重要的作用;但与此同时也造成了一旦出现严重问题,会无法保障整个系统的安全性和稳定性,从而使整个供电工作都受到影响。当前电力信息系统并不完善,其身份鉴别技术还没有广泛应用于整个行业中,也因此出现了一系列的问题,在未来,城乡用电量必然大大增加,电力系统的稳定运行已成为刻不容缓的重要责任,每个方面都要考虑到。
二、身份鉴别技术
身份鉴别可简单理解为一个人或系统对另一个人或系统关于其身份真实性的认证过程。GB/T22239《信息安全技术信息系统安全等级保护基本要求》中对各级信息系统的身份鉴别有着不同的要求:如对二级信息系统/三级信息系统均要求“操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别”;对四级信息系统要求“操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换,并且身份鉴别信息至少有一种是不可伪造的”。
1、类型。身份鉴别技术是信息安全的第一道门槛,只有通过身份认证的用户才能拥有对系统的访问权、使用权等。根据身份鉴别技术实现鉴别的依据,可分为以下三类:1)根据用户所知的信息来实现身份认证,如口令、密码等;2)根据用户所有的信息来实现身份认证,如证书、令牌等;3)根据用户的特征实现身份认证,如人脸、掌纹、指纹和声音等。
2、优劣性。基于用户所知的身份鉴别技术简单、灵活且费用较低,因此广泛用于主机系统、数据库的登录。电力信息系统中的大部分主机、数据库均采用口令进行认证,但该身份鉴别技术的缺点较明显:安全防护强度低,容易被破解、窃取或丢失,特别是部分供电局为了系统维护方便,将部分运行系统的口令交给厂家维护人员,极大地增加了系统的风险。
基于用户特征的身份鉴别技术具有很高的安全性,它一般基于个人独有的特征来实现身份认证,然而生物特征认证系统的成本高,因此其一般用于银行、机场等。
三、SM2算法概述
SM2算法属于非对称算法体系,属于椭圆曲线加密(ECC)算法的一种。它是一种更先进安全的算法,由国家密码管理局于2010年12月17日发布,是我国自主设计的公钥密码算法,基于更加安全先进的椭圆曲线密码机制,在国际标准的ECC椭圆曲线密码理论基础上进行自主研发设计,具备ECC算法的性能特点并实现优化改进。
此外,SM2算法具有以下优点:①安全性高,192位的SM2密码强度高。②存储空间小,SM2算法的密码一般使用192~256位。③签名速度快,SM2在私钥运算上速度快。④国产算法。由国家密码管理部门制订规范,不存在不可公开的密码,保证无国外可利用的后门。
四、身份鉴别技术在电力信息系统中的应用
当今的电力信息系统存在着很多的安全问题,一种基于SM2算法的身份鉴别技术被适时的提出来,这种技术手段利用优盾来将用户的使用信息进行加密,在用户要进入信息系统前通过SM2算法来实现用户的身份认证。
电力系统内的生产业务系统部署有EMS能量管理系统服务器、SCADA服务器和历史数据服务器,通过管理终端工作站来监控电力生产系统,USB-KEY的登录方式被用于SM2的身份认证系统,而身份认证系统的证书目录服务器和认证服务器在生产系统中进行离线部署,通过认证中心的认证获得了对系统的访问权限,但USB-KEY中包含了用户身份及私钥信息。
1、USB-KEY的证书签发。首先将USB-KEY接入数字证书系统,对其初始化后由USB-KEY内部电路产生密钥核对,然后进行产生证书请求,同时将证书请求文件发送到数字证书系统,按照X.509格式、P#10文件的要求,制作的数字证书,其中就包含了USB-KEY数字证书系统的数字签名。
2、管理终端的证书签发。数字证书系统要为管理终端工作站签发数字证书,主要是指为管理终端工作站安装数字证书系统的根数字证书,该数字证书中包含证书系统的公钥。签发类似于USB-KEY的证书签发过程,同时数字证书系统将管理终端工作站的登录方式更改为USB-KEY的登录方式。
3、基于SM2算法的身份认证过程。基于SM2算法的身份认证过程主要依靠数字证书和数字签名来实现:首先要将USB-KEY接入管理终端工作站,用户通过PIN码认证的方式获得USB-KEY的认证;完成初步认证后,管理终端工作站读取USB-KEY中的数字证书、序列号、用户数字签名信息等;读取信息后将根据数字证书、USB-KEY数字证书来验证用户信息是否合法,同时还需根据签名来验证其是否为伪造。
在进行身份鉴别技术选择时,要求注意风险及可靠性。这时基于要求使用的客户身份验证时要选择安全性很高的技术,所以可选择这些用户的特征来进行身份鉴别。对于客户的特征信息,这些信息是不可复制的,即使透露给厂家也不怕引起安全问题。
在电力信息系统中实施身份鉴别技术时,一些电力信息系统都是处在专用机房内,进行身份鉴别时可利用门禁系统。还可使用的身份鉴别技术就是口令技术,此时的口令技术可使用客户的特征来进行身份鉴别。虽然这种身份鉴别技术成本较高,但其投入也有一定的价值。
五、未来电力信息系统身份鉴别技术应有的特点
首先,这种身份鉴别技术应是多种技术的有机结合,并不是孤立的。这是因各种单一的技术虽然在某种程度上有很大的特点,但也有一定的局限性,如果将这些技术融合在一起,就能将各种优势充分发挥出来,而将缺陷尽可能地减少。相关的技术包括一次性口令鉴别技术、SSL安全代理服务器的双向加密技术等。其次,身份鉴别应是一种双向的鉴定。也即是说,鉴定不仅要能鉴定客户端,还要对服务器也进行必要的鉴定,这是因为有恶意用户假冒客户端的情况出现。最后,这种身份鉴别应是标准的、统一的。当前行业内并没有固定的规范,所以在不同厂家开发出的鉴别机制有较大差别,适用性不广。而设定统一的鉴别服务,就能用统一的标准来进行有效的衡量和评价,对电子信息系统身份鉴别技术的未来发展有很大好处。
综上所述,随着网络技术的不断发展,网络自身的漏洞和人为因素的影响,网络安全问题已成为一个十分重要的问题,网络安全无法保障,就无法保证电力系统运行的安全性。由于电力系统非常重要,一旦出现问题,很可能造成很大的经济损失,因此有必要做好信息系统的安全保障工作。
参考文献:
[1]王凯令.电力信息管理系统中统一身份认证技术研究及应用[D].上海交通大学,2014.
[2]国家密码管理局.SM2椭圆曲线公钥密码算法[S].2014.
[3]国家密码管理局.SM2椭圆曲线公钥密码算法推荐曲线参数[S].2014.
[4]周强峰.电力信息系统的身份鉴别技术的研究[C].首届全国信息安全等级保护技术大会论文集,2014:54-58.
[5]梁智强.电力信息系统身份鉴别技术的研究[J].计算机应用与软件,2013(12):318-321.
“国家电网有限公司科技项目《电力业务动态身份安全认证与风险控制关键技术研究》支持”