电力系统集成服务安全支撑平台及其应用研究-信号与信息处理专业论文.docx

I I 摘 要 随着电力系统信息化建设的快速发展，接入电力企业信息网络中的应用系统逐渐 增多，各系统间的数据交换与协作也日趋频繁，构成了一个典型的多域异构环境。在 满足开放、互联、标准化的前提下，如何解决电力企业中各异构系统的安全集成，实 现合法用户跨多安全域的可靠操作，已成为影响电力系统安全、稳定运行的现实问题。 对此，本文从电力系统集成服务的安全需求出发，研究如何将各种开放的、先进 的安全技术、标准引入电力系统的信息化建设，提出了基于 Web Services 的集成服务 安全支撑平台解决方案。围绕该安全平台，本文重点从安全通信、账号管理与身份同 步、访问控制、统一身份认证等方面进行了研究，并给出了各模块的解决方法与关键 实现。本文工作具体表现在： （1）讨论了电力系统集成服务环境下的安全通信机制，对 C/S 模式的 web 服务 安全通信流程进行了讨论，结合 WS-Security 建立了 Web 服务安全通信系统的有效功 能模型，设计并实现了安全通信过程中的签名节点、加密节点、解密节点、签名验证 等逻辑节点，通过上述节点的合作，有效地保证了异构集成环境下端到端的通信安全。 （2）针对集成服务环境下多异构应用系统中用户身份的统一管理和账号同步问 题，在分析已有用户账号管理方法的基础上，结合 SPML 设计了用户身份管理模型； 讨论了新用户加入时，用户身份在多应用系统中的创建问题；研究了安全的身份同步 模式，设计了密码同步器类图，详细分析了正常和非正常情况下的身份同步处理过程， 并给出了核心类的关键实现。 （3）访问控制方面，分析了传统的访问控制技术，以及 XACML 访问控制的基 本原理，设计了符合电力企业要求的访问控制系统，重点对用户访问控制的静态参考 模型、动态过程模型，以及访问控制策略进行了研究，给出了访问控制模型的关键实 现与软件演示。 （4）为实现统一身份认证，分析了统一身份认证服务的基本思想，结合 SAML 安全标准，给出了统一身份认证服务模型，讨论了 SAML 安全令牌生成和验证机制。 最后通过模型的实例分析与编程演示，论证了该模型符合未来电力系统所要求的便于 集成和重用的设计开发原则。 关键词：电力系统安全；安全通信；服务集成；统一用户管理；访问控制； 统一身份认证；XACML；SAML II II Abstract With the rapid development of electric power systems informationization, more and more application systems are accessing to power enterprise information network. The data exchange and collaboration between systems are becoming increasingly frequent. All of those things constitute a typical heterogeneous multi-domain environment. How to resolve heterogeneous systems security integration in the power enterprise under premise of open, interconnected, standardization, and realize the safe operation of legitimate users across multiple security domains, has become a reality problem that impacts the power system security, stability operation. Thereby, starting from the security requirement of power system integration services, the paper makes a study of how to introduce kinds of open security technologies and standards to the security information construction of power system. Then a solution of integration service security supporting platform of web services-based is putted forward. The paper focuses on s