专利名称:配网自动化系统操作终端安全管理技术的制作方法
技术领域:
本发明涉及配电网自动化系统操作终端的安全管理,防止非法用户对配电
网自动化系统的关键应用进行操作酿成事故。
背景技术:
电网的正常运行事关国计民生,配电网自动化系统控制和管理了配电网的 正常运行,任何对配电网自动化系统的非法入侵都可能会给国家和人民的 生命财产造成无法估量的损失。对配电网自动化系统的操作终端应有严格 的管理手段,尤其对关键应用进行操作的终端,除实现严格的物理隔离外, 还应从系统层面增强保护措施,杜绝非法用户(黑客)入侵。
发明内容
为了保护配电网自动化系统的安全运行,除对登录系统的用户身份进行强 认证外,对于一些关键应用,还应该限制只能由指定的终端进行操作,本 发明提供一种技术手段,确保只能通过指定的终端对系统的关键应用进行 操作,从系统层面杜绝非法用户(黑客)入侵。
本发明解决其技术问题所采用的技术方案是在SCADA服务器的认证子模 块中采用帐号、密码、IP地址、MAC地址四元组的认证方式,其中IP地址 和MAC地址分别为待认证终端的IP地址和MAC地址。对于SCADA服务器上 的关键应用,SCADA的管理员通过设置访问控制表(ACL)可以设定能够访 问这些应用的用户和终端。
本发明 的有益效果是,可以限制任意的终端接入配电网自动化系统,避免非法用户通过口令猜测等方式非法侵入系统,保障整个系统的安全运 行。
下面结合附图和实施例对本发明进一步说明。 图l是本发明的认证示意图。
具体实施例方式
在图1中,当用户终端侧的登录模块发起认证请求时应包括如下四元组形 式
(帐号、密码、IP地址、MAC地址) SCADA服务器侧的认证模块在收到以上四元组后,采用如图2中所示的算 法流程,首先依据访问控制表中的内容确认用户名和密码是否正确,如果 不正确,则向用户终端返回失败信息;如果正确,则继续判断IP地址和 MAC地址是否正确,如果不正确,则向用户终端返回失败信息;如果正确, 则继续确认实际发起连接的源IP地址与所接收到的四元组中的IP地址是 否一致,如果不一致,则向用户终端返回失败信息;如果正确,则向用户 终端返回成功信息。
权利要求
1.一种配电网自动化系统操作终端的安全管理技术,防止非法用户对配电网自动化系统的关键应用进行操作酿成事故。其特征是采用帐号、密码、IP地址、MAC地址等四元组的认证方式,终端登录模块在向SCADA服务器的认证模块发起认证时应该提供该四元组信息。
2. 根据权利要求1所述的认证模块,其特征是在获得由终端发送的四元 组信息后,首先依据访问控制表中的内容确认用户名和密码是否正确,如 果不正确,则向用户终端返回失败信息;如果正确,则继续判断IP地址和 MAC地址是否正确,如果不正确,则向用户终端返回失败信息;如果正确, 则继续确认实际发起连接的源IP地址与所接收到的四元组中的EP地址是 否一致,如果不一致,则向用户终端返回失败信息;如果正确,则向用户 终端返回成功信息。
全文摘要
一种配电网自动化系统操作终端的安全管理技术,当操作终端的登录模块在向SCADA服务器的认证模块发起认证时,应该提供该帐号、密码、IP地址、MAC地址等四元组信息。SCADA服务器侧的登录模块根据本地访问控制表的设置确认该四元组信息的有效性。确保某些关键的应用只能由指定的用户从指定的终端进行访问,从而有效防止非法用户(黑客)对配电网自动化系统的违规操作。
文档编号H02J13/00GK101562355SQ20081006673
公开日2009年10月21日 申请日期2008年4月18日 优先权日2008年4月18日
发明者张晓金 申请人:东莞市腾华电子技术有限公司