CN104272645B

CN104272645B - 用于实现对工业自动化和控制系统iacs的智能电子装置ied的访问的访问使能器ae及其方法

Info

Publication number: CN104272645B
Application number: CN201380021486.0A
Authority: CN
Inventors: F.阿瓦雷兹; F.霍尔鲍姆; M.穆里
Original assignee: ABB Technology AG
Current assignee: Hitachi Energy Co ltd
Priority date: 2012-04-23
Filing date: 2013-04-23
Publication date: 2018-09-11
Anticipated expiration: 2033-04-23
Also published as: RU2014146982A; CN104272645A; EP2817915A1; EP2817915B1; US20150067828A1; WO2013160309A1; EP2675106A1

Abstract

本发明提供一种用于对与IEC 62351‑8兼容的工业或公用事业操作环境中的IED、特别是对具有带受限IED按键集合的LHMI的IED的简化用户访问的解决方案。中央访问使能器向先前认证的用户指配短和暂时的会话密钥，并且同时将会话密钥转发到IED，供IED进行后续本地用户验证。在IED的用户会话由访问使能器远程发起，其中IED屏幕通过会话密钥来瞬时锁定。

Description

用于实现对工业自动化和控制系统IACS的智能电子装置IED 的访问的访问使能器AE及其方法

技术领域

本发明涉及工业自动化和控制系统中、具体来说是过程控制和变电站自动化系统中的中央用户账户管理。

背景技术

变电站自动化系统通过分配给变电站的间隔和/或一次设备的智能电子装置或保护和控制装置来监督、保护和控制高压和中压电力网络中的变电站。这些装置可重复地需要由各种用户、例如调试或维护工程师来访问。随着网络安全要求和网络安全标准、特别是IEC 62351-8的出现，包括向用户提供用户凭证的中央用户账户管理的原理对公用事业变得至关重要。在本上下文中，用户凭证包括定义对装置的访问权的IEC 62351-8角色信息。用户凭证可包括用户名/密码组合、IEC 62351-8 SW令牌或者由置信证书机构所发布的X.509证书及关联私钥(private key)。用户的证书和/或私钥可存储在诸如USB盘、RFID标签或智能卡之类的物理令牌，并且是经由适当令牌读取器可访问的。

用户密码一般必须符合密码复杂度策略，例如最小长度、特殊字符、数字、大写字母的出现等。但是，工业或公用事业应用中进行操作的典型保护和控制装置可能没有完备的字母数字键盘或触摸屏。同样，这些装置可能没有使用证书的本地登录所需的令牌读取器。另一方面，典型保护和控制装置仍然包括用于用户与装置之间的本地交互的本地人机界面，包括局限于浏览预先配置菜单的小显示器和简约键盘。

以上所述暗示，在工业保护和控制装置呈现用户证书不一定是可行的或者其实现到底是很麻烦。

发明内容

因此，本发明的目的是增加工业自动化和控制系统中、特别是变电站自动化系统中的中央用户账户管理的可用性。这个目的通过按照独立权利要求、用于准予对智能电子装置的访问的方法和访问使能器(access enabler)来实现。优选实施例通过从属权利要求是显而易见的，其中权利要求从属性将不是被理解为排除其它有意义权利要求组合。

按照本发明，准予用户对工业自动化和控制系统(IACS)的智能电子装置(IED)的访问，其中IED具有带一组IED按键的本地人机界面(LHMI)，如下所述：

(i)由通信上连接到IED的IACS的中央用户账户管理计算机所运行的访问使能器(AE)应用通过检验由寻求对IED的访问的用户向AE呈现的诸如用户密码或X.509证书之类的用户凭证来认证用户；

(ii)AE模块生成或建立由从一组IED按键所选或者所组成的一连串N个按键或按键组合所组成的会话密钥(session secret)，使得会话密钥可在IED的LHMI通过一连串N个键击来输入；

(iii)将会话密钥传递给用户，并且将防止窃听的会话密钥或者会话密钥的散列(hash)传递给IED；

(iv)IED验证由物理上移动到IED的用户经由IED的LHMI所呈现或输入的密钥，并且在匹配密钥的情况下向用户准予IED访问。IED通过肯定地将密钥与先前传送的会话密钥进行比较、或者通过肯定地将密钥的散列与先前传送的会话密钥的散列进行比较，来断定匹配密钥。

一般来说，IEC 62351-8中的访问控制机制是拉(PULL)模式(其传送用户名和密码)或推(PUSH)模式(其询问用户的私钥)的基于角色的访问控制(RBAC)，如以上条目(i)所述。RBAC可降低具有大量IED的网络中的安全管理的复杂度和成本。工业自动化和控制系统具有用于配置或控制IED的接口。接口通常采取具有受限IED按键集合的LHMI的形式。

本发明提供一种用于对与IEC 62351-8兼容的工业或公用事业操作环境中的IED、特别是对具有带受限IED按键集合的LHMI的IED的简化用户访问的解决方案。短和暂时会话密钥被指配和发布给先前认证的用户，并且同时转发到IED供对移动到IED的用户的后续本地验证。虽然受限IED按键集合不包括完备的计算机键盘，但是它可包括数字按键(0…9)、菜单驱动按键(例如上/下/左/右箭头)、选择按键(例如取消/确定)、其它专用按键或者它们的任何组合。在触摸板的情况下，IED按键由触摸屏上的局部图像或符号来表示；或者IED按键对应于触摸屏上的手势。在这个意义上，所选的会话密钥可被认为是“IED兼容的”。

在本发明的一有利实施例中，AE继续进行在IED的用户会话的远程开启或发起，包括瞬时锁定或禁用IED的屏幕。在IED处验证会话密钥时，屏幕解锁，并且用户可本地恢复用户会话。为此并且为了使IED符合IEC 62351-8，IED在用户会话的发起时检验用户的身份。这可通过AE向IED发送用户名和密码并且IED检验这些凭证(IEC 62351-8 PULL模型)和/或通过按照询问响应方式应用用户证书和对应私钥(IEC 62351-8 PUSH模型)来实现，其中AE访问在连接到中央用户账户管理计算机的用户令牌上存储的用户证书。屏幕锁定用户会话的远程发起优于易受身份欺骗攻击的备选方案，在此备选方案中，IED检验AE的身份，并且AE专门向IED传送用户名和会话密钥。

优选地，AE应用通过开启涉及传输层安全(TLS)服务器证书的使用的TLS保护通信信道，即，通过使用TLS握手以执行客户端认证，来检验IED的身份。IED还可通过咨询特定证书撤消列表(CRL)来检查在登录IED的时间，由置信证书颁发机构所发布和签署的基本用户证书尚未到期或撤消。

具体来说，在IEC 62351-8 PULL模型(其中用户凭证包括用户标识符和用户密码)中，在IED的LHMI的键击方面，会话密钥选择为比用户密码要短。换言之，数量N小于在IED的LHMI输入用户密码所需的连续按键或者按键组合的数量。相应地，由于会话密钥无需符合扩展密码复杂度策略(其可适用于用户密码)，所以不需要构造IED的LHMI的按键的受限集合来组成标准字母数字密码。

如上所述，会话密钥可以是“暂时的”。还可定义用于认证用户的会话密钥的更详细策略，例如会话密钥是有效的时间期间或者一直到会话密钥为无效之前的使用次数。时间期间优选地较短，即，会话密钥对于短时间期间、例如1至24小时、优选地为1至8小时是有效的。由于某个原因，时间期间也可以为数天，例如在访问者账户的情况下。另外，也可定义会话密钥的使用次数，即，用户可一次、两次或多次(例如10次或20次)将会话密钥用于认证，其可与IED的数量相关。

优选地，用户在成功认证时在用户打算访问的IACS的IED的整体之中选择多个IED。单一会话密钥随后被生成并且传递给所有所选IED，以用于向用户准予IED访问，而无需用户密码的重复呈现。此外，会话密钥提供有验证期间或到期日期，以及在验证时验证期间已经到期的情况下，IED不准予访问。另外，可确定和提供用户角色，并且相应地限制访问。

本发明还涉及包括计算机程序代码的计算机程序产品，计算机程序代码用于控制中央用户账户管理计算机的一个或多个处理器，以执行如要求保护的访问使能器的功能性，具体来说，计算机程序产品包括其中包含计算机程序代码的计算机可读介质。

具体实施方式

图1示出按照本发明的变电站自动化SA系统的中央用户账户管理过程的步骤。

在第一步骤，用户在运行于特殊工作站或变电站PC的访问使能器AE应用通过其凭证和所选角色自行认证。在认证之后，用户选择SA系统的一个或多个智能电子装置IED。AE和用户建立适合于对所选IED的后续访问的至少一个会话密钥。

在第二步骤，AE按照安全方式、例如经由SSL向所选IED传送用户凭证和(一个或多个)协商会话密钥。

在第三步骤，用户物理上移动到IED，并且在本地人机界面LHMI输入会话密钥以访问IED。

图2示出按照本发明的变体的登录时序图。AE应用远程登录到IED，并且采用屏幕锁来开启用户会话。具体来说：

1.用户将其凭证提供给中央用户账户管理计算机上的AE应用。

2.AE应用通过本地复制数据库或者使用在线账户管理服务器来检验凭证。

3.建立会话密钥，由AE应用来生成或者由用户来建议。会话密钥设计成使得它能够易于在IED上输入。它可由IED的LHMI上存在的数字或者箭头和其它按键序列组成。

4.用户选择IED和将要用于访问IED的可选角色。

5.AE应用采用包括用户角色的用户凭证来登录到IED，并且开始屏幕锁定LHMI会话。为此，按照IEC 62351-8 PULL模型，将用户名、用户角色、用户密码和会话密钥传送给IED。优选地，这要求加密通信以及IED的身份的先前检验。

6.IED检验包括角色信息的凭证，这可包括将所传送密码的散列与先前在IED所存储的用户密码的散列进行比较。

7.LHMI会话通过会话密钥来建立和保护，这暗示对于这个会话，除了用户密钥的呈现之外没有活动是可能的。此后，中央用户账户管理计算机的使用是可选的，并且可限制到注销或添加更多装置。

8.用户在IED的LHMI输入会话密钥。如果密钥确定为有效，则IED屏幕解锁。用户登录到IED，并且被允许按照其角色进行动作。

如上所述的方式与IEC 62351-8 PULL模型中所述的机制完全兼容。在IEC 62351-8PUSH模型中，不是在步骤5和6向IED传送用户名和用户密码，而是后者通过询问用户的私钥来检验用户凭证和用户角色。换言之，IED检验AEAE具有用户的私钥或者经由其令牌读取器有权访问用户的私钥。

对于紧急操控，用户可协商空会话密钥。在这种情况下，用户将自动登录到所有所选IED，而无需输入会话密钥以解锁屏幕。由于安全原因，和/或在规章制度这样要求的情况下，必须存在禁用空密钥的配置选项。

系统能够扩展有若干超时，其在IED上本地配置或者连同用户凭证一起传送。超时包括：

-初始屏幕锁超时。用户需要在这个超时之内解锁IED。如果不是的话，则终止该会话；

-屏幕锁不活动超时：如果用户在比这个超时要长的时间不活动，则屏幕将再次锁定；

-会话不活动超时：如果用户在比这个超时要长的时间不活动，则关闭该会话；

-会话超时：会话将在这个超时之后关闭，而不管用户活动。

存在可用的用于注销的若干选项。用户可在IED或者在AE应用来注销并且关闭会话。在后一种情况下，AE应用关闭IED上的所有HMI会话。

因为会话密钥在绝对方面较短(大概在4与10个按键之间)，所以比较容易采用强力来破解。应当实现下列步骤以抵制那个问题。

-会话密钥是短暂的，其中初始有效性期间通过用户从中央用户账户管理计算机移动到系统的最外围IED所花费的时间来确定，假定在5至30分钟的范围之内；

-IED需要通过在3次输入错误之后引入5分钟的停滞期，来减缓输入错误密码的用户的速度。

-会话密钥遵循某些复杂度规则，例如至少4位数或者包含全部4个方向的6个箭头键。

-在特定IED的登录计数，以便防止用户使用会话密钥超过给定次数。

图3示出示出示范LHMI100的前面板，其中包括屏幕30和按键11-19的受限集合以及某些其它控制按键20-21。如前面所述，由于在IED的LHMI的按键没有包括任何字母数字和数字按键以便输入用户名和密码供认证。换言之，在IED的LHMI仅具有有限数量的按键，并且由此限制用户输入可能性。但是，按照网络安全策略，密码通常包括字母数字字符。

LHMI的一部分可包括数字小键盘(未示出)，但是仍然没有字母数字按键。这种小键盘简化数字键击的输入，但是在要求输入字母数字按键时仍然具有相当有限的输入可能性。字母数字按键可在屏幕上显示。字母数字按键可在屏幕上显示。但是，对于各字母数字按键的输入，用户必须通过使用箭头键来浏览屏幕上显示的字母数字按键面板，并且通过按下控制键来选择预期字母数字按钮。这是非常费时的。

按照本发明的会话密钥可以是数字按键(图3中未示出)、上/下/左/右箭头键14-17、关闭/开启/ESC按键11-13、返回/键入按键和/或其它控制按键20-21的一部分的组合。这些按键可依次按下。此外，会话密钥也可包括通过两个或更多按键的同时按压进行的输入。按键的这个依次和同时输入可以相结合，即，会话密钥包括一连串按键和/或按键组合。

例如，用户可通过连续按下按键14、15、14、16，并且然后同时按下按键16和17，之后接着按下按键19以发起认证，来输入暂时会话密钥。这个简化按键序列能够易于在IED的LHMI使用受限按键集合来输入。不再要求包括字母数字按键的更复杂的用户名和密码的输入。这显著降低用于输入认证的工作量。用户可将会话密钥用于认证，只要它没有到期，这能够在会话密钥策略中定义。另外，本发明为用户的认证提供更大灵活性，即，用户无需寻找包括完备的键盘的计算机。

屏幕30可以是触摸面板。在这种情况下，会话密钥可以是触摸屏上的手势。手势的输入对于认证用户会是充分的。但是，也有可能将键击11-21的输入与手势结合用于用户的认证。

本发明通过采用只包括能够在IED的LHMI直接输入的按键或手势的会话密钥取代用户名和具有字母数字字符的密码的用户凭证，来简化用户认证。因此，按照本发明在IED的有效用户认证显著改进可用性。

Claims

1.一种准予对工业自动化和控制系统IACS的智能电子装置IED的访问的方法，其中所述IED具有带受限IED按键集合的本地人机界面LHMI，包括

- 由通信上连接到所述IED的访问使能器AE检验用户向所述AE所呈现的用户凭证，

- 由所述访问使能器AE生成由从所述受限IED按键集合中选取的一连串按键或者按键组合所组成的暂时会话密钥，

- 由所述访问使能器AE将所述会话密钥传递给所述用户，并且将所述会话密钥或者所述会话密钥的散列传递给所述IED，

- 在由所述用户随后向所述IED所呈现的密钥匹配所述会话密钥的情况下，向所述用户准予IED访问。

2.如权利要求1所述的方法，包括

- 由所述AE在所述IED代表所述用户开启用户会话，并且锁定所述LHMI的屏幕；以及

- 在验证所述用户所呈现的所述会话密钥时，由所述IED解锁所述屏幕。

3.如权利要求1或2所述的方法，其中，所述用户凭证包括用户密码，其中包括

- 生成包括从IED按键中所选的、少于在所述IED的所述LHMI输入所述密码所需的按键或者按键组合的数量的多个按键或者按键组合的会话密钥。

4.如权利要求1或2所述的方法，包括

- 由所述用户选择所述IACS的多个IED，以及

- 由所述访问使能器AE生成所有所选IED的单一会话密钥。

5.如权利要求1或2所述的方法，包括

- 生成包括有效性期间的会话密钥，

- 准予IED访问，除非所述有效性期间已经到期。

6.如权利要求1或2所述的方法，包括

- 由所述AE向所述IED传递所述用户的角色，以及

- 按照其来准予IED访问。

7.一种用于实现对工业自动化和控制系统IACS的智能电子装置IED的访问的访问使能器AE，其中所述IED在通信上连接到所述AE，并且具有带一组受限IED按键集合的本地人机界面LHMI，包括

- 用户认证模块，用于检验用户向所述AE所呈现的用户凭证，

- 密钥生成模块，用于为所述用户对所述IED的后续IED访问生成暂时会话密钥，其由从所述一组受限IED按键集合中所选的一连串按键或者按键组合所组成，

- 通信模块，用于将所述会话密钥传递给所述用户，并且用于将所述会话密钥传递给所述IED。

8.如权利要求7所述的访问使能器，其中，它包括令牌读取器以用于访问令牌上存储的用户证书，其特征在于，所述通信模块适合访问所述用户证书，以便响应来自所述IED的询问。

9.如权利要求7所述的访问使能器，其特征在于，所述通信模块适合在所述IED开启用户会话，并且锁定所述LHMI的屏幕，以用于在验证所述用户所呈现的所述会话密钥时解锁。

10.如权利要求7所述的访问使能器，其特征在于，所述密钥生成模块适合为所述用户所选的所述IACS的多个IED生成单一会话密钥。