繼電保護定值在線發放管理系統及其安全防護

關亞東，許磊，李中偉，朱識天，譚凱，王艷敏

(1. 哈爾濱工業大學 計算機科學與技術學院，哈爾濱 150001；2.哈爾濱工業大學 電氣工程及自動化學院，哈爾濱 150001)

0 引 言

繼電保護是電網安全運行的根本保證，繼電保護裝置及時切除故障是避免事故范圍擴大、保證電力設備安全運行的重要手段。定值是繼電保護裝置進行邏輯判斷時的重要參數之一，其準確性決定了繼電保護裝置動作的正確性。傳統的繼電保護定值管理與發放模式為在電力調度中心進行整定計算得到電力系統保護裝置定值后生成定值單，并進行定值單的人工審核和審批，而后通過人工下發到各變電站，進而完成現場定值核對與執行工作。這種依靠人工操作的定值單管理下發模式無法實現定值單在各部門之間的自動高效流轉，極大地浪費了人力、物力；而且存在大量的重復工作，導致在日常管理中定值單的匯總、查詢極為困難，甚至出現由于人為原因導致定值單丟失及兩份定值單不一致等情況，對定值單流轉過程也缺乏有效監管。

隨著電力系統信息化與智能電網的發展，有不少學者研究利用信息化方法以提高繼電保護的定值發放管理效率。文獻[1]給出了繼電保護定值在線發放管理的總體方案，并設計了一種通過電力系統通信網提高繼電保護工作效率的具體方法。文獻[2-3]提出了一種基于分布式多自主體網絡下的繼電保護定值發放管理方案。繼電保護定值的在線發放與管理提高了定值單流轉效率，減少了繼電保護工作人員的工作量[4]。但與此同時，繼電保護定值的在線發放與信息化管理也帶來了信息安全問題。近年來， 通過通信網絡攻擊電力系統，破壞電力數據的事件時有發生[5]。

針對繼電保護定值在線發放的準確性與安全性這一問題，國內外進行了廣泛研究。文獻[6-7]在分析電力系統通信網絡環境的基礎上，對保護定值在線發放管理系統的安全需求以及其面臨的安全威脅進行了研究。文獻[8]在分析智能電網中的繼電保護定值可能面臨的各種信息安全威脅的基礎上，給出了相應的安全防護方法，該方法將加密技術與數字簽名技術結合起來。

文獻[9]研究通過基于角色的訪問控制策略，設置用戶組與用戶角色以確定用戶訪問定值單數據的權限。同時，為便于管理員進行安全審計，系統會將各用戶的操作日志記錄下來。文獻[10]研究設置防火墻以過濾外部人員非授權訪問繼電保護數據服務器的行為。然而，通過對上述文獻分析可知，現有的訪問控制策略僅能夠阻擋外部人員的非授權訪問；利用數字簽名可保證數據來源的正確性，但定值的實時性無法保證，因此繼電保護定值也面臨著重放攻擊的威脅；此外，部分系統將加密算法所使用的密鑰也寫入到程序中，密鑰安全性無法得到保證。

為解決某地區電力調度中心繼電保護定值單長期依靠人工發放工作效率低的問題，在考慮上述安全問題的基礎上，擬設計具有定值單錄入、定值單在線校核與審批、設備參數上傳等功能的繼電保護定值在線發放管理系統；基于SSL/TLS協議構建系統安全信道，設計系統雙因子身份認證方案、基于任務的訪問控制策略和基于安全信道的數據加密/解密方案，構建完整的系統安全防護方案。

1 系統需求分析

1.1 功能需求分析

定值單在線發放流轉是定值在線發放管理系統的基本功能，具體來說，是在與現有各類保護定值單格式兼容的基礎上，實現定值錄入、定值校核、定值批準、定值接收、設備參數上傳、設備參數接收、定值單修改和定值單駁回等功能，并可實時查看、追蹤定值單所處的狀態。

繼電保護定值在線發放管理系統應能自動形成日志文件，記錄用戶名稱、登陸時間、操作內容、所操作定值單編號、操作時間及其IP地址等信息，監測定值單的生成、流轉、在線下發和設備參數的填報、上傳、訪問等各個流程，系統需提供日志記錄和查詢功能。保障對定值單和設備參數的操作具有可追溯性，同時方便各級用戶根據需要依據每個定值單的實時狀態有針對性地聯系上游用戶解決問題，更加快捷、便利地完成定值發放管理工作。

在定值單較多的春檢階段易出現分發不及時或分發錯誤等問題，因此，該系統需實現春檢校核、批量打印、批量流轉等功能，實現同質化的批量處理。同時，為更加高效、簡明、安全地實現用戶的添加、刪除、修改，需建立層次分明的用戶管理機制。同時為便于記錄的管理，系統需支持數據庫遠程備份及日志記錄查詢功能。

1.2 安全需求分析

繼電保護定值在線發放管理系統工作于電力調度專用數據網安全區IV，其通信網絡在物理上與外部網絡隔離，因此安全威脅大多來自于局域網內部。信息安全威脅可分為截取、篡改、阻斷以及偽造四大類[11]。下面具體結合繼電保護定值在線發放管理系統進行威脅分析。

截取攻擊屬于被動攻擊，其本身并不改變定值單的數據內容，也不會直接破壞電力系統的運行。同時，對截取攻擊進行檢測極其困難，但截取攻擊后往往伴隨對報文的篡改和偽造，而篡改和偽造攻擊屬于主動攻擊，對其檢測較為容易。因此該系統著重對篡改攻擊和偽造攻擊進行防范。篡改包括非授權人員對通信網絡中傳輸數據或對服務器上關鍵文件的篡改。受篡改數據中的部分信息是真實的，因此可通過分析數據完整性來實現對篡改攻擊的檢測由于系統中通信節點數量與通信數據量都較為有限，且該系統通信網絡在物理上與外部網絡隔離。因此，無需考慮阻斷威脅。偽造攻擊即為攻擊者將生成的虛假信息直接發送給信息接收者。偽造信息的完整性較高而真實性欠缺，因此對于偽造攻擊的檢測可從真實性角度進行分析。

綜上所述，結合繼電保護定值在線發放管理系統面臨的安全威脅，系統的安全性需求為保障繼電保護定值信息、設備參數、人員身份信息等數據的完整性、機密性、真實性與不可否認性。為此，需設計相應的安全防護方案滿足系統的安全需求。

2 系統方案與模塊設計

2.1 系統架構

通過分析系統的功能需求與安全需求，對繼電保護定值在線發放在線管理系統進行設計，所設計系統的架構與主要功能框圖如圖1所示。

圖1 繼電保護定值在線發放管理系統框圖Fig.1 Diagram of online distribution management system for relay protection

系統包括定值在線流轉模塊、設備參數上傳模塊、身份認證與訪問控制模塊和SSL/TLS協議模塊。

系統的基本功能即實現定值單的在線流轉，具體包括定值單的錄入生成、定值單在線校核、定值單在線下發與使用以及定值單駁回處理，這些功能由定值在線流轉模塊實現。設備參數上傳模塊的功能是上傳設備參數，參數上傳后由定值錄入人員進行校核，完成校核后存入到數據庫，為定值錄入人員提供定值整定計算所需數據。身份認證與訪問控制模塊賦予用戶角色對應的權限并實現對于用戶身份的確認。SSL/TLS協議通信模塊用以保證系統的通信安全。

(1)定值單的生成

生成定值單時，為提高效率，可從數據庫中查找原來的繼電保護定值單，對其整定值進行修改，從而得到新的定值單。在定值單的生成過程中，定值單錄入人員可在未完成的定值單記錄中刪除錯誤記錄。為方便定值單錄入人員編輯定值單，定值單記錄支持以表格形式讀取與輸出，定值單在完成編輯后會自動更新。錄入人員在完成定值單編輯后將其發送給校核人員。

圖2 定值單在線流轉Fig.2 Online circulation of fixed value

(2)定值單的校核

定值單校核人員登陸系統后，進入校核頁面進行定值單校核工作。校核人員可查看的定值單分為待處理(即等待校核)定值單、近期定值單以及最近已完成校核定值單。系統可判斷定值單是否已完成校核。若定值單尚未完成校核，則需校核人員對其進行計算與校核。完成校核任務后，校核人員可進行如下選擇：校核通過并將定值單發給審批人員；直接下發給使用人員(校核通過且定值單審批人員不在崗，無法審批時使用)；駁回(發現問題時使用)，校核人員填寫駁回理由并將定值單返回給錄入人員。校核人員沒有修改定值單的權限，其無法完成對定值單的修改。

(3)定值單的審批

定值單校核通過后，系統將定值單發給審批人員進行審批。在定值單審批界面，定值單分為待處理(即等待審批)定值單、最近已完成審批定值單與近期定值單。若定值單未發現問題，則審批人員審批通過定值單，并將定值單發送給相應的廠站使用人員。若定值單未通過審批環節，則審批人員需填寫定值單駁回理由，駁回定值單給錄入人員。審批人員沒有修改定值單的權限，其無法完成對定值單的修改。

(4)定值單的使用

若定值單審批通過，則系統將定值單發放給廠站的定值單使用人員進行繼電保護定值整定操作。系統需將定值單發放給相應的廠站的定值單使用人員。定值單使用人員登錄系統后，系統根據記錄的用戶信息為使用人員分配相應權限。使用人員可直接查看并打印定值單，并完成設備參數的整定任務，在完成參數整定后，使用人員點擊定值單使用完成信息進行確認，此時定值錄入人員收到提示，整個定值單的流轉過程就此完成。

設備參數上傳人員填寫設備參數并上傳，上傳成功后定值錄入人員對設備參數進行校核。若設備參數經校核后未發現錯誤，則再經由錄入人員確認后完成上傳設備參數任務。若校核時發現錯誤，則錄入人員駁回設備參數，設備參數上傳人員針對駁回意見進行修改后重新上傳，直至校核通過。

考慮到春檢時需處理和發放的定值單較多，為避免分發不及時或分發錯誤，將批處理引入到系統中，具體處理過程如下：首先將需做春檢對比的舊數據庫進行還原，然后與當前數據庫中的現有定值根據“電壓等級>廠站選擇”的順序進行逐條對比，自動生成春檢校核報告。除此之外，該系統還需實現將春檢定值按照“電壓等級>所屬單位”層次的批量打印將春檢校核完畢后的定值按“接收單位”批量流轉。打印完畢的春檢定值單可用于存檔，批量流轉的定值是接收單位一年來定值接收的匯總，這樣，充分發揮了計算機的計算能力，減輕了工作人員的負擔。

為在線監測定值單狀態，考慮到人工發放定值單的過程中可能出現的各種復雜情形，本文采用布爾變量來記錄定值單的狀態。模塊中每個定值單都附加9個布爾變量，包括：s1、s2、s3、s4、s5、s6、s7、s8和s9。規定9個布爾變量分別表示8種狀態，如表1所示。

表1 定值單狀態與變量對照表Tab.1 Fixed value single state and variable

8種狀態具體的對應關系為：①待上傳；②待校核；③校核通過(待批準)；④校核駁回；⑤直接下發；⑥批準通過(待接收確認)；⑦批準駁回；⑧已完成(定值接收完畢)。

在用戶對定值單進行有效操作后，系統將更新所有布爾變量并上傳至服務器數據庫，并記錄用戶的活動日志。通過監測定值單的生成、自動流轉、在線下發和設備參數的填報、上傳、訪問等各個流程，保障對定值單和設備參數的操作具有可追溯性。

2.2 系統認證與訪問控制模塊設計

系統認證用于確認用戶身份，把正確的訪問權限賦予用戶。訪問控制用于限制用戶對系統資源的訪問，即控制完成身份認證的系統用戶訪問系統文件資源。為確保用戶合法登錄及合理分配權限，本文所設計系統采用安全性較高的雙因子認證，下面通過比較不同的訪問控制策略，結合本文實際情況設計訪問控制策略。

訪問控制策略主要有以下五類：自主訪問控制(DAC)、強制訪問控制(MAC)、基于角色的訪問控制(RBAC)、基于對象的訪問控制(OBAC)和基于任務的訪問控制(TBAC)。

DAC模型規定文件的創建者對文件擁有最高權限，其特點為主體可通過直接或間接的方式，把自己的權限轉移給另一主體。DAC的缺點在于其對木馬類攻擊的抵抗性很差，且DAC無法限制主體之間轉移權限，容易導致信息泄露。結合繼電保護定值在線發放管理系統的安全需求可知，該控制策略不適合應用于該系統。

相對于DAC，MAC可保證被非授權者無法訪問客體，因此其對木馬類攻擊的抵抗性較強。同時由于MAC遵循“不許往上讀，不許向下寫”的原則，可保證關鍵信息的不外流。其缺點在于系統管理員的工作量龐大，管理缺乏靈活性，系統中訪問控制的信息量很大，一定程度上影響了繼電保護定值在線發放管理系統的連續工作能力，不便于系統的維護升級。因此，MAC控制策略不適合應用于該系統。

RBAC將主體進行分類，通過對不同類型的客體賦予主體不同類型的權限“模板”，一定程度上減輕了系統管理員的負擔。但其不足在于系統管理員仍需對每個主體賦予權限，并需要對權限進行維護管理。在這種情況下，當用戶達到幾百人甚至上千人時，系統管理員的工作量又將十分龐大，因而RBAC不適用于本系統。

OBAC允許訪問策略規則的繼承、重用和派生，并通過對用戶組的操作方便管理員修改主體權限，通過派生實現了新主體的權限分配，解決了用戶數目龐大時工作量大的問題。

以上的訪問控制策略都為靜態的，即若確定了主體s與客體o，那么權限p就是固定的?？紤]在繼電保護定值在線流轉過程中，需要先生成定值單，校核人員才能對其進行讀取和校核，在完成校核任務后，審批人員才有審批權限，同樣地，在定值單通過審批后，定值單使用人員才有使用該定值單的權限；另一方面，在校核定值單的過程中，只允許校核人員訪問定值單，審批人員與使用人員都無法訪問定值單；類似地，在對定值單進行審批時，校核人員與使用人員都無法讀取定值單。因此，考慮到系統實際的工作情況，本文所涉及繼電保護定值在線發放管理系統應采用動態訪問控制策略。

基于任務的訪問控制策略(TBAC)是一種隨著數據庫與分布式計算而發展出的新型訪問控制策略，該策略的特點是可對在任務執行中主體完成動態授權。TBAC采用五元組描述控制策略模型(S，O，P，L，AS)，權限P由主體S、客體O、生命期L與授權步AS共同決定。

結合本系統使用環境分析該TBAC模型中的五元組。系統用戶組S包括：系統管理員、定值單錄入、校核、審批、使用人員，以及廠站設備參數上傳人員。系統客體O為三類：繼電保護定值單、設備參數表、用戶信息表。系統用戶主要涉及的權限P有三種：讀取、寫入、駁回。授權步表示某時刻主體S對客體O被授予了權限P。生命期為授權步開始后，系統賦予主體權限的使用期限。

管理員負責系統中用戶的權限管理工作，與之對應的客體為用戶信息表。定值單錄入、校核、審批與使用人員負責繼電保護定值單發放與流轉工作，與之相對應的客體即為定值單。廠站設備參數上傳與定值錄入人員負責上傳設備參數，與之相對應的客體為設備參數表。

TBAC在進行權限分配時需按照一定規則，其在分配規則時所用符號如表2所示，在進行角色指派時需遵循式(1)。

(?s∈S)(?t∈T)canexec(s,t)→actr(s)≠?

(1)

在TBAC中，主體角色不能為空，用戶本身也不具有任何權限。系統將任務t的權限賦予角色r，同時用戶通過角色r獲取任務t權限，進而執行t或訪問客體。式(2)為在認證過程需遵循的規則：

(?s∈S)actr(s)?authr(s)

(2)

表2 用戶權限分配過程中的符號Tab.2 Symbol in the process of assigning rights

主體s所使用角色必須是由系統向主體授權過的角色。結合式(1)的角色指派規則可得式(3)所示系統授權規則：

(?s∈S)(?t∈T)canexec(s,t)→t∈trans(actr(s))

(3)

用戶在獲得角色授權之后，利用角色獲取相應權限，在本系統中，管理員需為所有用戶確定不同角色，并且需要將權限分配給不同用戶，同時還需負責系統角色與系統權限的維護與更新工作，這在用戶數量較多的情況下，管理員工作量會十分龐大。因此，本系統采用TBAC策略中的角色繼承規則，式(4)表示角色rj繼承角色ri的前提：

(4)

式中ri>rj表示角色rj繼承角色ri。在角色rj繼承角色ri后，rj的權限集即為ri權限集的子集，即用戶只能以繼承的方式，將用戶對應角色所具有的權限分發給其他用戶。本系統有六個主體用戶組，每個用戶組都需要添加組內管理員。用戶在注冊時，需通過對應高級別用戶的賬號登錄系統并進行注冊。組內管理員負責用戶組內成員信息的添加、維護、更新與刪除。

結合以上對TBAC模型的權限分配規則，設計本模塊的具體實現方案。在系統認證與訪問控制過程中，系統綜合用戶任務狀態以及角色信息庫，進而將權限分配給相應的用戶。任務工作狀態即為定值單的流轉狀態，用戶通過注冊繼而生成用戶角色信息庫。系統身份認證與訪問控制流程如圖3所示，主要包括用戶登錄及雙因子身份認證、用戶角色的賦予、訪問操作請求處理和賦予用戶權限四個過程。

(1)用戶登錄及雙因子身份認證

圖3 系統身份認證與訪問控制流程Fig.3 System identity authentication and access control

本系統設計了基于指紋與用戶名密碼的雙因子身份認證方案。因此，系統需具備指紋信息的采集、上傳和比對功能。具體方案為：首先測試指紋識別終端是否連接成功，若連接成功后用戶需輸入用戶名密碼與指紋。系統通過將輸入的信息與數據庫中存儲的對應用戶信息進行比較。若信息符合則出現認證成功的提示，從而完成系統用戶身份的可靠性驗證。為保護用戶信息并便于實施訪問控制策略，系統將用戶信息存入到應用程序中。同時為便于管理員進行安全審查，系統數據庫會記錄下用戶的登錄身份與時間，進而生成系統日志，為系統提供了不可否認性驗證，防止內部人員通過非法登錄并截取、偽造與篡改數據。

(2)賦予用戶角色

身份認證成功后，系統比對用戶信息與系統內的角色信息，從而判斷用戶的身份信息，賦予登錄用戶角色，同時通過角色任務權限庫為訪問控制模塊提供角色的權限信息。

(3)處理訪問請求

用戶提出訪問請求后，系統將該請求提交給訪問請求處理模塊。一方面，訪問請求處理模塊將用戶、角色以及所要訪問的客體資源等信息提交給訪問控制模塊；另一方面，系統將用戶請求提交給任務狀態記錄子模塊，任務工作狀態即為定值單在線流轉狀態的數據表。系統通過任務工作狀態將任務信息庫中的數據信息激活，并向訪問控制模塊提供授權步的相關條件，訪問控制模塊根據角色任務權限庫所提供的角色權限并判斷是否用戶是否滿足授權步條件，從而作出決策，并將結果返回給訪問請求處理模塊。

(4)賦予權限

訪問請求處理模塊依據訪問策略的決策結果，將相應權限賦予用戶，完成系統認證與訪問控制，用戶根據權限訪問客體資源文件并完成相關操作。

2.3 SSL/TLS協議通信模塊設計

為確保信息在傳輸時的安全性，需構建安全可靠的信道，該系統采用SSL/TLS協議進行安全信道的構建。SSL/TLS協議通信模塊需實現的功能為：(1)對數據進行加密，防止攻擊者竊取在傳輸過程中的報文數據；(2)保證數據完整性，確保系統能夠識別出被篡改的數據；(3)認證用戶和服務器，確保數據發送到正確的客戶機和服務器。本文設計的SSL/TLS協議的認證部分采用HMAC模式下MD5哈希算法實現，同時協議規定加密部分采用對稱與非對稱加密算法相結合的方式，利用RSA算法輔助生成對稱加密算法的會話密鑰，采用AES加密算法在CBC模式下進行數據加密。下面詳細分析SSL/TLS協議。

SSL/TLS協議棧包括兩個子層，第一層包含三個子協議，分別為握手協議、警報協議與修改密碼規范協議，第二層是記錄協議。本文采用的握手協議用于通信雙方的身份認證、確定加密算法以及發放與交換密鑰以下對握手協議實現過程進行分析，可分為圖4所示的四個階段。

(1)在客戶端和服務器之間建立SSL連接，客戶端將MClient_hellow報文發送給服務器，建立握手：

MClient_hello=vers||rand1||sess_id||cipher_list||comp_list

(5)

式中vers為客戶端SSL版本號；comp_list為支持壓縮算法列表；rand1為由隨機128bit與t時間戳組成的隨機數；sess_id表示會話標識號；cipher_list表示客戶端可支持的加密算法列表。服務器在收到信息后向客戶端發送式(6)的報文。

MServer_hello=vers||rand2||sess_id||cipher||comp

(6)

式中cipher兩端均支持的加密算法，本系統規定為RSA；vers為服務器及客戶端能夠支持的最高版本；comp為由服務器選擇的通信雙方都支持的算法；rand2為隨機128位二進制數與由服務器生成的時間戳組合而成的隨機數。

(2)服務器認證過程。該階段是握手協議的關鍵部分。服務器將服務器證書發送給客戶端，該證書包括數字簽名與所要發放的公鑰，報文如下：

圖4 SSL/TLS握手協議Fig.4 SSL/TLS handshake protocol

MCertificate=server_cert

(7)

式中server_cert表示服務器證書。

服務器將驗證請求發送給客戶端，其交換密鑰的報文如下：

MServer_key_exchange=mod||exp||E(KS,[Hash(rand1||rand2||mod||exp)])

(8)

式中KS為服務器端的公鑰所對應的私鑰；mod為RSA算法中公鑰模；exp為RSA算法中公鑰指數。

采用哈希函數對mod、exp、rand1與rand2進行處理并生成消息摘要后用服務器私鑰進行加密，利用挑戰-應答機制以驗證服務器來源。客戶端證書的請求報文為可選報文，在需要對客戶端進行驗證的情況下，服務器要求客戶端提供證書并對證書的格式內容作出要求。本系統的客戶端采用基于用戶名密碼以及指紋的雙因子身份認證而無需客戶端證書，因此在握手階段，可省略證書請求報文與客戶端證書消息報文。

服務器向客戶端發送式(9)所示的信息表示第二階段即服務器身份認證結束。

MServer_hello_done=end_round2

(9)

服務器端身份認證的作用為：客戶端獲取服務器提供的證書后，基于該證書加密后續兩階段的報文信息，服務器需采用相應私鑰以完成信息的獲取，否則就無法進行會話密鑰的協商，確保了定值和設備參數來源的不可否認性。

(3)客戶端向服務器端發放客戶端證書進行身份認證，在前面要求提供證書的條件下，向服務器端提供合格的客戶端證書。

MClient_key_exchange=pre_master_secret

(10)

式中pre_master_secret為客戶端向服務器端發放預主密鑰。

服務器端采用RSA公鑰加密48位的隨機數生成預主密鑰，在服務器端需用私鑰進行解密以防止被攻擊者監聽，并階段性對服務器端進行身份驗證。

MCertificate_verify=Hash(mastr||opad||

Hash(messages||mastr||ipad))

(11)

式中opad和ipad為常值，分別為0x5C和0x36；messages為上述報文的連接信息，mastr為由rand1、rand2、session_id與pre_master_secret生成的主密鑰。

圖5表示生成mastr的過程，采用SHA-1與MD5算法處理四個參數，為確保密鑰生成的隨機性，采用Diffie-Hellman方法生成秘鑰。

圖5 主密鑰生成過程Fig.5 Master key generation process

(4)完成服務器端握手協議。該階段包含四部分，即客戶端向服務器發送兩條報文，服務器回復給客戶端兩條報文。其中兩條完成報文為固定格式。客戶端改變密碼規格報文如下：

MCert_change_cipher=Hash(mastr||opad||

Hash(messages||msg||mastr||ipad))

(12)

式中msg為報文應用密碼參數，本消息中為0x434C4E54。

(a)將報文分割為最大214字節的數據塊，在各數據塊中插入報文記錄，該報文記錄包括長度、版本號、數據字段和類型；

(b)選擇無損壓縮算法對數據進行壓縮，需確保壓縮后增加報文記錄的長度超過1024 byte?？紤]到分組密碼算法要求，若發送方本身未選擇壓縮數據，則仍需對數據進行填充等處理；

(c)計算消息認證碼MAC，用以確保分組數據的完整性，用到的算法采用在握手協議中確定的256位SHA-1算法；

(d)對壓縮數據及MAC進行加密，加密算法也由握手協議確定；

(e)完善SSL記錄，即對處理過的數據添加封裝。

綜上所述，采用SSL/TLS協議可有效抵御截取、篡改與偽造攻擊。攻擊者通過截取獲取通信密文后，由于其無法得知密鑰，同樣無法破解密文獲取定值與設備參數。服務器可識別篡改與偽造后的信息。因此，通過以上安全方案保障了信息的機密性和完整性。

3 系統實現

基于上述設計的系統方案和各個模塊，采用C#語言和SQL數據庫，基于C/S結構，開發了繼電保護定值在線發放管理系統，所開發的系統軟件的界面結構圖如圖6所示。利用.NET開發工具中ADO.NET技術實現數據庫訪問功能。該系統支持將服務器上的數據庫文件和日志文件打包備份到用戶本地上。通過利用數據庫cmdshell功能向數據庫所在的服務器發送DOS命令直接操作服務器進行實現。由于系統所在內部局域網與外網隔離，不便利用網絡申請SSL/TLS證書，因此系統采用OpenSSL開源安全套接字層密碼庫生成SSL/TLS證書。

所設計的系統定值單在線編輯界面如圖7所示。在定值錄入界面上，“定值狀態一覽”提供定值狀態的直觀顯示，定值單狀態如圖8所示。

圖6 系統軟件界面結構圖Fig.6 System software interface structure diagram

圖7 定值單編輯界面Fig.7 fixed value editing interface

圖8 定值單狀態圖Fig.8 Fixed value state

4 結束語

采用C#為語言、SQL數據庫和OpenSSL開發工具，開發了由定值在線流轉、設備參數表上傳、系統認證與訪問控制、SSL/TLS協議通信等模塊組成的繼電保護定值在線發放管理系統；設計了雙因子身份認證方案、基于任務的訪問控制策略、基于SSL/TLS協議的安全信道和基于安全信道的數據加密/解密方案，并由此構成了系統安全防護方案。目前，所開發系統已在某地區電網獲得了實際應用。實際應用效果表明，該系統實現了定值單與設備參數的在線流轉，并能對整個繼電保護定值在線發放流程進行跟蹤，預防和消除了通過通信網絡修改設備繼電保護定值的安全隱患，提高了定值單發放的安全性與可靠性，滿足了系統的功能需求與安全需求。