工業(yè)自動化和控制裝置用戶訪問的制作方法
【專利摘要】本發(fā)明提供一種用于對與IEC62351-8兼容的工業(yè)或公用事業(yè)操作環(huán)境中的IED�、特別是對具有帶受限IED按鍵集合的LHMI的IED的簡化用戶訪問的解決方案����。中央訪問使能器向先前認(rèn)證的用戶指配短和暫時的會話密鑰����,并且同時將會話密鑰轉(zhuǎn)發(fā)到IED,供IED進行后續(xù)本地用戶驗證。在IED的用戶會話由訪問使能器遠(yuǎn)程發(fā)起,其中IED屏幕通過會話密鑰來瞬時鎖定。
【專利說明】工業(yè)自動化和控制裝置用戶訪問
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及工業(yè)自動化和控制系統(tǒng)中、具體來說是過程控制和變電站自動化系統(tǒng)中的中央用戶賬戶管理。
【背景技術(shù)】
[0002]變電站自動化系統(tǒng)通過分配給變電站的間隔和/或一次設(shè)備的智能電子裝置或保護和控制裝置來監(jiān)督、保護和控制高壓和中壓電力網(wǎng)絡(luò)中的變電站���。這些裝置可重復(fù)地需要由各種用戶、例如調(diào)試或維護工程師來訪問����。隨著網(wǎng)絡(luò)安全要求和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、特別是IEC 62351-8的出現(xiàn)����,包括向用戶提供用戶憑證的中央用戶賬戶管理的原理對公用事業(yè)變得至關(guān)重要���。在本上下文中�����,用戶憑證包括定義對裝置的訪問權(quán)的IEC 62351-8角色信息。用戶憑證可包括用戶名/密碼組合、IEC 62351-8 SW令牌或者由置信證書機構(gòu)所發(fā)布的X.509證書及關(guān)聯(lián)私鑰(private key)。用戶的證書和/或私鑰可存儲在諸如USB盤����、RFID標(biāo)簽或智能卡之類的物理令牌����,并且是經(jīng)由適當(dāng)令牌讀取器可訪問的�。
[0003]用戶密碼一般必須符合密碼復(fù)雜度策略����,例如最小長度����、特殊字符��、數(shù)字、大寫字母的出現(xiàn)等����。但是���,工業(yè)或公用事業(yè)應(yīng)用中進行操作的典型保護和控制裝置可能沒有完備的字母數(shù)字鍵盤或觸摸屏。同樣����,這些裝置可能沒有使用證書的本地登錄所需的令牌讀取器��。另一方面�����,典型保護和控制裝置仍然包括用于用戶與裝置之間的本地交互的本地人機界面��,包括局限于瀏覽預(yù)先配置菜單的小顯示器和簡約鍵盤���。
[0004]以上所述暗示����,在工業(yè)保護和控制裝置呈現(xiàn)用戶證書不一定是可行的或者其實現(xiàn)到底是很麻煩。
【發(fā)明內(nèi)容】
[0005]因此�����,本發(fā)明的目的是增加工業(yè)自動化和控制系統(tǒng)中、特別是變電站自動化系統(tǒng)中的中央用戶賬戶管理的可用性���。這個目的通過按照獨立權(quán)利要求����、用于準(zhǔn)予對智能電子裝置的訪問的方法和訪問使能器(access enabler)來實現(xiàn)�����。優(yōu)選實施例通過從屬權(quán)利要求是顯而易見的,其中權(quán)利要求從屬性將不是被理解為排除其它有意義權(quán)利要求組合�����。
[0006]按照本發(fā)明,準(zhǔn)予用戶對工業(yè)自動化和控制系統(tǒng)(IACS)的智能電子裝置(IED)的訪問�,其中IED具有帶一組IED按鍵的本地人機界面(LHMI)����,如下所述:
(i)由通信上連接到IED的IACS的中央用戶賬戶管理計算機所運行的訪問使能器(AE)應(yīng)用通過檢驗由尋求對IED的訪問的用戶向AE呈現(xiàn)的諸如用戶密碼或X.509證書之類的用戶憑證來認(rèn)證用戶;
(ii)AE模塊生成或建立由從一組IED按鍵所選或者所組成的一連串N個按鍵或按鍵組合所組成的會話密鑰(sess1n secret),使得會話密鑰可在IED的LHMI通過一連串N個鍵擊來輸入����;
(iii)將會話密鑰傳遞給用戶,并且將防止竊聽的會話密鑰或者會話密鑰的散列(hash)傳遞給 IED ����; (iv)IED驗證由物理上移動到IED的用戶經(jīng)由IED的LHMI所呈現(xiàn)或輸入的密鑰���,并且在匹配密鑰的情況下向用戶準(zhǔn)予IED訪問。IED通過肯定地將密鑰與先前傳送的會話密鑰進行比較、或者通過肯定地將密鑰的散列與先前傳送的會話密鑰的散列進行比較,來斷定匹配密鑰�。
[0007]一般來說�����,IEC 62351-8中的訪問控制機制是拉(PULL)模式(其傳送用戶名和密碼)或推(PUSH)模式(其詢問用戶的私鑰)的基于角色的訪問控制(RBAC),如以上條目
(i)所述����。RBAC可降低具有大量IED的網(wǎng)絡(luò)中的安全管理的復(fù)雜度和成本�����。工業(yè)自動化和控制系統(tǒng)具有用于配置或控制IED的接口。接口通常采取具有受限IED按鍵集合的LHMI的形式��。
[0008]本發(fā)明提供一種用于對與IEC 62351-8兼容的工業(yè)或公用事業(yè)操作環(huán)境中的IED����、特別是對具有帶受限IED按鍵集合的LHMI的IED的簡化用戶訪問的解決方案�。短和暫時會話密鑰被指配和發(fā)布給先前認(rèn)證的用戶����,并且同時轉(zhuǎn)發(fā)到IED供對移動到IED的用戶的后續(xù)本地驗證��。雖然受限IED按鍵集合不包括完備的計算機鍵盤�����,但是它可包括數(shù)字按鍵(O…9)����、菜單驅(qū)動按鍵(例如上/下/左/右箭頭)�、選擇按鍵(例如取消/確定)、其它專用按鍵或者它們的任何組合���。在觸摸板的情況下����,IED按鍵由觸摸屏上的局部圖像或符號來表示���;或者IED按鍵對應(yīng)于觸摸屏上的手勢����。在這個意義上,所選的會話密鑰可被認(rèn)為是“IED兼容的”�。
[0009]在本發(fā)明的一有利實施例中,AE繼續(xù)進行在IED的用戶會話的遠(yuǎn)程開啟或發(fā)起��,包括瞬時鎖定或禁用IED的屏幕��。在IED處驗證會話密鑰時�,屏幕解鎖��,并且用戶可本地恢復(fù)用戶會話。為此并且為了使IED符合IEC 62351-8��,IED在用戶會話的發(fā)起時檢驗用戶的身份�。這可通過AE向IED發(fā)送用戶名和密碼并且IED檢驗這些憑證(IEC 62351-8 PULL模型)和/或通過按照詢問響應(yīng)方式應(yīng)用用戶證書和對應(yīng)私鑰(IEC 62351-8 PUSH模型)來實現(xiàn)��,其中AE訪問在連接到中央用戶賬戶管理計算機的用戶令牌上存儲的用戶證書��。屏幕鎖定用戶會話的遠(yuǎn)程發(fā)起優(yōu)于易受身份欺騙攻擊的備選方案,在此備選方案中����,IED檢驗AE的身份����,并且AE專門向IED傳送用戶名和會話密鑰。
[0010]優(yōu)選地,AE應(yīng)用通過開啟涉及傳輸層安全(TLS)服務(wù)器證書的使用的TLS保護通信信道,即,通過使用TLS握手以執(zhí)行客戶端認(rèn)證����,來檢驗IED的身份����。IED還可通過咨詢特定證書撤消列表(CRL)來檢查在登錄IED的時間,由置信證書頒發(fā)機構(gòu)所發(fā)布和簽署的基本用戶證書尚未到期或撤消�。
[0011]具體來說���,在IEC 62351-8 I3ULL模型(其中用戶憑證包括用戶標(biāo)識符和用戶密碼)中�����,在IED的LHMI的鍵擊方面��,會話密鑰選擇為比用戶密碼要短。換言之��,數(shù)量N小于在IED的LHMI輸入用戶密碼所需的連續(xù)按鍵或者按鍵組合的數(shù)量。相應(yīng)地,由于會話密鑰無需符合擴展密碼復(fù)雜度策略(其可適用于用戶密碼)����,所以不需要構(gòu)造IED的LHMI的按鍵的受限集合來組成標(biāo)準(zhǔn)字母數(shù)字密碼���。
[0012]如上所述�,會話密鑰可以是“暫時的”����。還可定義用于認(rèn)證用戶的會話密鑰的更詳細(xì)策略,例如會話密鑰是有效的時間期間或者一直到會話密鑰為無效之前的使用次數(shù)���。時間期間優(yōu)選地較短����,即�,會話密鑰對于短時間期間、例如I至24小時�、優(yōu)選地為I至8小時是有效的��。由于某個原因,時間期間也可以為數(shù)天�����,例如在訪問者賬戶的情況下。另外���,也可定義會話密鑰的使用次數(shù)�����,即���,用戶可一次、兩次或多次(例如10次或20次)將會話密鑰用于認(rèn)證�����,其可與IED的數(shù)量相關(guān)。
[0013]優(yōu)選地,用戶在成功認(rèn)證時在用戶打算訪問的IACS的IED的整體之中選擇多個IED0單一會話密鑰隨后被生成并且傳遞給所有所選IED,以用于向用戶準(zhǔn)予IED訪問��,而無需用戶密碼的重復(fù)呈現(xiàn)��。此外,會話密鑰提供有驗證期間或到期日期�,以及在驗證時驗證期間已經(jīng)到期的情況下,IED不準(zhǔn)予訪問��。另外���,可確定和提供用戶角色,并且相應(yīng)地限制訪問��。
[0014]本發(fā)明還涉及包括計算機程序代碼的計算機程序產(chǎn)品���,計算機程序代碼用于控制中央用戶賬戶管理計算機的一個或多個處理器����,以執(zhí)行如要求保護的訪問使能器的功能性,具體來說����,計算機程序產(chǎn)品包括其中包含計算機程序代碼的計算機可讀介質(zhì)��。
【具體實施方式】
[0015]圖1示出按照本發(fā)明的變電站自動化SA系統(tǒng)的中央用戶賬戶管理過程的步驟��。
[0016]在第一步驟���,用戶在運行于特殊工作站或變電站PC的訪問使能器AE應(yīng)用通過其憑證和所選角色自行認(rèn)證。在認(rèn)證之后�����,用戶選擇SA系統(tǒng)的一個或多個智能電子裝置IED。AE和用戶建立適合于對所選IED的后續(xù)訪問的至少一個會話密鑰�����。
[0017]在第二步驟�����,AE按照安全方式、例如經(jīng)由SSL向所選IED傳送用戶憑證和(一個或多個)協(xié)商會話密鑰���。
[0018]在第三步驟�����,用戶物理上移動到IED���,并且在本地人機界面LHMI輸入會話密鑰以訪問IED�����。
[0019]圖2示出按照本發(fā)明的變體的登錄時序圖����。AE應(yīng)用遠(yuǎn)程登錄到IED���,并且采用屏幕鎖來開啟用戶會話���。具體來說:
1.用戶將其憑證提供給中央用戶賬戶管理計算機上的AE應(yīng)用�����。
[0020]2.AE應(yīng)用通過本地復(fù)制數(shù)據(jù)庫或者使用在線賬戶管理服務(wù)器來檢驗憑證�����。
[0021]3.建立會話密鑰,由AE應(yīng)用來生成或者由用戶來建議��。會話密鑰設(shè)計成使得它能夠易于在IED上輸入����。它可由IED的LHMI上存在的數(shù)字或者箭頭和其它按鍵序列組成。
[0022]4.用戶選擇IED和將要用于訪問IED的可選角色。
[0023]5.AE應(yīng)用采用包括用戶角色的用戶憑證來登錄到IED�,并且開始屏幕鎖定LHMI會話����。為此�����,按照IEC 62351-8 I3ULL模型,將用戶名��、用戶角色����、用戶密碼和會話密鑰傳送給IED���。優(yōu)選地��,這要求加密通信以及IED的身份的先前檢驗���。
[0024]6.1ED檢驗包括角色信息的憑證���,這可包括將所傳送密碼的散列與先前在IED所存儲的用戶密碼的散列進行比較。
[0025]7.LHMI會話通過會話密鑰來建立和保護,這暗示對于這個會話�����,除了用戶密鑰的呈現(xiàn)之外沒有活動是可能的��。此后���,中央用戶賬戶管理計算機的使用是可選的���,并且可限制到注銷或添加更多裝置���。
[0026]8.用戶在IED的LHMI輸入會話密鑰。如果密鑰確定為有效,則IED屏幕解鎖。用戶登錄到IED����,并且被允許按照其角色進行動作����。
[0027]如上所述的方式與IEC 62351-8 PULL模型中所述的機制完全兼容����。在IEC62351-8 I3USH模型中�����,不是在步驟5和6向IED傳送用戶名和用戶密碼�����,而是后者通過詢問用戶的私鑰來檢驗用戶憑證和用戶角色。換言之���,IED檢驗AEAE具有用戶的私鑰或者經(jīng)由其令牌讀取器有權(quán)訪問用戶的私鑰�����。
[0028]對于緊急操控���,用戶可協(xié)商空會話密鑰。在這種情況下,用戶將自動登錄到所有所選IED����,而無需輸入會話密鑰以解鎖屏幕�����。由于安全原因�,和/或在規(guī)章制度這樣要求的情況下�����,必須存在禁用空密鑰的配置選項�。
[0029]系統(tǒng)能夠擴展有若干超時,其在IED上本地配置或者連同用戶憑證一起傳送���。超時包括:
-初始屏幕鎖超時���。用戶需要在這個超時之內(nèi)解鎖IED����。如果不是的話�,則終止該會話��;
-屏幕鎖不活動超時:如果用戶在比這個超時要長的時間不活動�,則屏幕將再次鎖定;
-會話不活動超時:如果用戶在比這個超時要長的時間不活動,則關(guān)閉該會話���;
-會話超時:會話將在這個超時之后關(guān)閉,而不管用戶活動��。
[0030]存在可用的用于注銷的若干選項��。用戶可在IED或者在AE應(yīng)用來注銷并且關(guān)閉會話����。在后一種情況下,AE應(yīng)用關(guān)閉IED上的所有HMI會話。
[0031]因為會話密鑰在絕對方面較短(大概在4與10個按鍵之間)�,所以比較容易采用強力來破解。應(yīng)當(dāng)實現(xiàn)下列步驟以抵制那個問題�。
[0032]-會話密鑰是短暫的�,其中初始有效性期間通過用戶從中央用戶賬戶管理計算機移動到系統(tǒng)的最外圍IED所花費的時間來確定�,假定在5至30分鐘的范圍之內(nèi)���;
-1ED需要通過在3次輸入錯誤之后引入5分鐘的停滯期�,來減緩輸入錯誤密碼的用戶的速度。
[0033]-會話密鑰遵循某些復(fù)雜度規(guī)則,例如至少4位數(shù)或者包含全部4個方向的6個箭頭鍵���。
[0034]-在特定IED的登錄計數(shù)���,以便防止用戶使用會話密鑰超過給定次數(shù)�����。
[0035]圖3示出示出示范LHMI100的前面板,其中包括屏幕30和按鍵11_19的受限集合以及某些其它控制按鍵20-21����。如前面所述�,由于在IED的LHMI的按鍵沒有包括任何字母數(shù)字和數(shù)字按鍵以便輸入用戶名和密碼供認(rèn)證�。換言之,在IED的LHMI僅具有有限數(shù)量的按鍵,并且由此限制用戶輸入可能性���。但是�,按照網(wǎng)絡(luò)安全策略���,密碼通常包括字母數(shù)字字符�����。
[0036]LHMI的一部分可包括數(shù)字小鍵盤(未示出)��,但是仍然沒有字母數(shù)字按鍵����。這種小鍵盤簡化數(shù)字鍵擊的輸入,但是在要求輸入字母數(shù)字按鍵時仍然具有相當(dāng)有限的輸入可能性����。字母數(shù)字按鍵可在屏幕上顯示�。字母數(shù)字按鍵可在屏幕上顯示。但是���,對于各字母數(shù)字按鍵的輸入�����,用戶必須通過使用箭頭鍵來瀏覽屏幕上顯示的字母數(shù)字按鍵面板���,并且通過按下控制鍵來選擇預(yù)期字母數(shù)字按鈕�����。這是非常費時的�。
[0037]按照本發(fā)明的會話密鑰可以是數(shù)字按鍵(圖3中未示出)���、上/下/左/右箭頭鍵14-17��、關(guān)閉/開啟/ESC按鍵11-13��、返回/鍵入按鍵和/或其它控制按鍵20-21的一部分的組合����。這些按鍵可依次按下。此外�,會話密鑰也可包括通過兩個或更多按鍵的同時按壓進行的輸入�。按鍵的這個依次和同時輸入可以相結(jié)合,即�,會話密鑰包括一連串按鍵和/或按鍵組合����。
[0038]例如,用戶可通過連續(xù)按下按鍵14����、15����、14��、16,并且然后同時按下按鍵16和17�,之后接著按下按鍵19以發(fā)起認(rèn)證���,來輸入暫時會話密鑰����。這個簡化按鍵序列能夠易于在IED的LHMI使用受限按鍵集合來輸入�。不再要求包括字母數(shù)字按鍵的更復(fù)雜的用戶名和密碼的輸入���。這顯著降低用于輸入認(rèn)證的工作量。用戶可將會話密鑰用于認(rèn)證,只要它沒有到期,這能夠在會話密鑰策略中定義�����。另外��,本發(fā)明為用戶的認(rèn)證提供更大靈活性,即���,用戶無需尋找包括完備的鍵盤的計算機。
[0039]屏幕30可以是觸摸面板。在這種情況下,會話密鑰可以是觸摸屏上的手勢。手勢的輸入對于認(rèn)證用戶會是充分的��。但是��,也有可能將鍵擊11-21的輸入與手勢結(jié)合用于用戶的認(rèn)證。
[0040]本發(fā)明通過采用只包括能夠在IED的LHMI直接輸入的按鍵或手勢的會話密鑰取代用戶名和具有字母數(shù)字字符的密碼的用戶憑證����,來簡化用戶認(rèn)證。因此,按照本發(fā)明在IED的有效用戶認(rèn)證顯著改進可用性�����。
【權(quán)利要求】
1.一種準(zhǔn)予對工業(yè)自動化和控制系統(tǒng)IACS的智能電子裝置IED的訪問的方法�,其中所述IED具有帶受限IED按鍵集合的本地人機界面LHMI����,包括 -由通信上連接到所述IED的訪問使能器AE檢驗用戶向所述AE所呈現(xiàn)的用戶憑證,-生成由從所述受限IED按鍵集合中選取的一連串按鍵或者按鍵組合所組成的暫時會話密鑰�, -將所述會話密鑰傳遞給所述用戶�,并且將所述會話密鑰或者所述會話密鑰的散列傳遞給所述IED, -在由所述用戶隨后向所述IED所呈現(xiàn)的密鑰匹配所述會話密鑰的情況下,向所述用戶準(zhǔn)予IED訪問���。
2.如權(quán)利要求1所述的方法���,包括 -由所述AE在所述IED代表所述用戶開啟用戶會話,并且鎖定所述LHMI的屏幕;以及 -在驗證所述用戶所呈現(xiàn)的所述會話密鑰時���,由所述IED解鎖所述屏幕。
3.如權(quán)利要求1或2所述的方法��,其中,所述用戶憑證包括用戶密碼,其中包括 -生成包括從IED按鍵中所選的、少于在所述IED的所述LHMI輸入所述密碼所需的按鍵或者按鍵組合的數(shù)量的多個按鍵或者按鍵組合的會話密鑰�。
4.如權(quán)利要求1或2所述的方法�,包括 -由所述用戶選擇所述IACS的多個IED,以及 -生成所有所選IED的單一會話密鑰�����。
5.如權(quán)利要求1或2所述的方法�,包括 -生成包括有效性期間的會話密鑰����, -準(zhǔn)予IED訪問,除非所述有效性期間已經(jīng)到期�����。
6.如權(quán)利要求1或2所述的方法�����,包括 -由所述AE向所述IED傳遞所述用戶的角色,以及 -按照其來準(zhǔn)予IED訪問����。
7.一種用于實現(xiàn)對工業(yè)自動化和控制系統(tǒng)IACS的智能電子裝置IED的訪問的訪問使能器EA�,其中所述IED在通信上連接到所述AE,并且具有帶一組受限IED按鍵集合的本地人機界面LHMI,包括 -用戶認(rèn)證模塊���,用于檢驗用戶向所述AE所呈現(xiàn)的用戶憑證����, -密鑰生成模塊�����,用于為所述用戶對所述IED的后續(xù)IED訪問生成暫時會話密鑰���,其由從所述一組受限IED按鍵集合中所選的一連串按鍵或者按鍵組合所組成����, -通信模塊�,用于將所述會話密鑰傳遞給所述用戶,并且用于將所述會話密鑰傳遞給所述IED。
8.如權(quán)利要求7所述的訪問使能器��,其中���,它包括令牌讀取器以用于訪問令牌上存儲的用戶證書�,其特征在于��,所述通信模塊適合訪問所述用戶證書���,以便響應(yīng)來自所述IED的詢問��。
9.如權(quán)利要求7所述的訪問使能器�,其特征在于��,所述通信模塊適合在所述IED開啟用戶會話,并且鎖定所述LHMI的屏幕,以用于在驗證所述用戶所呈現(xiàn)的所述會話密鑰時解鎖�����。
10.如權(quán)利要求7所述的訪問使能器,其特征在于,所述密鑰生成模塊適合為所述用 戶所選的所述IACS的多個IED生成單一會話密鑰����。
【文檔編號】H04L9/08GK104272645SQ201380021486
【公開日】2015年1月7日 申請日期:2013年4月23日 優(yōu)先權(quán)日:2012年4月23日
【發(fā)明者】F.阿瓦雷茲, F.霍爾鮑姆, M.穆里 申請人:Abb 技術(shù)有限公司