专利名称:一种油气管道自控智能设备远程维护授权管理方法
技术领域:
本发明涉及一种油气管道自控智能设备远程维护授权管理技术。
背景技术:
油气管道自控智能设备的维护问题,在长输管道完整性管理中,越来越受到重视。 如何对已建的油气管道系统设备进行维护是重中之重。现有的长输管道维护方法主要有三 种1)传统的人为巡检方式缺点A.由于油气管道分布范围广泛,需要投入大量人力进行巡检,且巡检人员 均必须是有经验的技术人员,维护成本高,并且人员有限;B.大部分的管道分布位置偏远、 地处荒芜,人为巡检十分困难。2)直接接入现有调控网络进行远程维护缺点A.现有调控网络是调控石油生产和运营的专用监控网络,其采集及统计的 数据主要为石油生产和运营服务,具有很高的专业性和针对性。对于维护工程师而言单纯 从调控SCADA系统转发来的数据不足以在线监视、判别有关设备或子系统的运行状态,也 缺乏统一平台来支撑对越来越多的智能设备进行远程维护操作;B.不符合管控分离的国 际趋势,管控合一的方式降低了原有的调控网络的安全等级,增加了原有调控网络的不安 全因素。3)建立两套网络体系,分别用于调控和维护缺点A.两套体系投资巨大,需要使用大量设备,耗资上千万美金;B.重复建网, 浪费资源。针对上述问题,长输管道管理控制技术领域中出现了新一代的基于工业物联网的 石油行业长输管道远程监控与远程维护系统,具有建网成本低、建网周期短、独立维护、维 护成本低、维护效果好等特点。系统由远维主站系统、子站远维终端系统、连接主站和子站 的互联网组网系统组成。该系统通过工业物联网组网技术手段,将遍布各地的各类自动化 智能设备组成安全专属的网络系统。系统用户可以通过系统远维主站、系统中任何节点、系 统之外互联网节点,采用安全通道浏览系统设备运行状态、对故障设备进行维护。通过该项 目的实施,大大减少了维护工程师到现场的巡检次数、交通里程和人工检修费用,为油气管 线安全经济运行、提高节能降耗水平、改善环境和提高劳动生产率、做出最佳决策等提供整 体解决方案和技术手段。对于油气管道系统而言,其自控智能设备的安全同样十分重要,在远程维护的同 时,需要防止不法分子及黑客的攻击,进行远程维护的授权管理,对维护人员的身份进行认 证,并对不同的维护人员进行对应的操作授权。现有远程维护系统中的口令式身份认证方 法应用普及,维护人员直接远程登录智能设备,携带用户名及密码进行身份认证。该方式 下,远程维护操作的安全保障完全依赖于被维护的目标设备,即维护操作的认证过程由被 访问的目标设备自身来完成,多个被维护的目标设备与用户通过网络组成一个分散认证的无管理且难管理的系统。采用该方式的系统安全系数较低,不适用于对安全要求较高的油 气管道自控智能设备远程维护系统。
发明内容
本发明主要解决的技术问题是提供一种油气管道自控智能设备远程维护授权管 理方法,确保在无验证授权情况下,维护人员无法自行连接到场站的智能设备,使得远程维 护过程中智能设备的安全性得到保障。为了解决上述技术问题,本发明提供了一种油气管道自控智能设备远程维护授权 管理方法,油气管道远程维护系统包含一主站,主站管辖下的各子站,所述主站包含一授权 管理服务器,每个所述子站包含一授权执行设备,所述远程单元与所属子站的各自控智能 设备连接,该方法包含以下步骤A客户端携带用户名和密码向主站授权管理服务器发起登陆请求;B所述主站授权管理服务器对所述用户名和密码进行验证,并向所述客户端返回 验证结果;C如果验证通过,所述客户端向所述授权管理服务器发送建立维护连接通道请 求,在该请求中携带待维护的目标设备标示和该目标设备所属子站标示;D所述主站授权管理服务器验证所述客户端是否有维护所述目标子站的目标设 备的权限,并向所述客户端返回验证结果;E如果验证所述客户端有所述权限,则所述主站授权管理服务器向所述目标子站 的授权执行设备请求连接授权,所述目标子站授权执行设备建立与目标设备之间的虚拟通 道,并向所述主站授权管理服务器返回授权信息;F所述主站维护服务器将所述授权信息发送给所述客户端;G所述客户端根据该授权信息连接目标子站的授权执行设备,并通过该授权执行 设备建立的虚拟通道对所述目标设备进行远程维护。作为上述技术方案的改进,所述子站授权执行设备返回的授权信息至少包含授 权密码、操作权限和虚拟通道维持时间T。作为上述技术方案的改进,所述客户端通过所述虚拟通道对所述目标设备进行远 程维护的过程中,包含以下步骤所述主站授权管理服务器对所述虚拟通道进行监控,在所述通道维持时间T内, 拒绝其他客户端对所述目标设备发起建立维护连接通道请求。作为上述技术方案的改进,所述客户端通过所述虚拟通道对所述目标设备进行远 程维护的过程中,包含以下步骤所述主站授权管理服务器对所述虚拟通道进行监控,在达到所述通道维持时间T 后,指示所述目标子站授权执行设备关闭所述虚拟通道。作为上述技术方案的改进,所述客户端通过所述虚拟通道对所述目标设备进行远 程维护的过程中,包含以下步骤所述主站授权管理服务器对所述客户端的维护操作进行监控,禁止该客户端操作 权限外的维护操作。作为上述技术方案的改进,如果在所述虚拟通道达到通道维持时间T之前,所述客户端未完成目标设备的维护,则所述客户端向所述主站远程服务器申请续时,在所述续 时申请通过后,所述主站远程服务器指示所述目标子站授权执行设备保持所述虚拟通道。作为上述技术方案的改进,所述主站授权管理服务器上配置有预设时间内客户端 申请续时的次数、及申请通过后延长的时间值ΔΤ,所述主站授权管理服务器根据所述配置 信息处理所述客户端的续时申请。本发明实施方式与现有技术相比,主要区别及其效果在于目标子站的授权执行 设备与智能设备之间的连接是隐蔽的,维护人员无法通过客户端直接连接到目标智能设 备,需通过主站授权管理服务器对其进行身份以及权限的验证后,在授权管理服务器的控 制下,目标授权执行设备与目标设备建立虚拟连接,并由授权管理服务器将相关授权信息 反馈给客户端,客户端凭借该授权信息连接到目标授权执行设备,使用其虚拟通道对目标 设备进行远程维护,从而确保在无验证授权情况下,客户端无法自行连接到场站的智能设 备,使得远程维护过程中智能设备的安全性得到保障。
下面结合附图和具体实施方式
对本发明作进一步详细说明。图1是本发明一较佳实施方式油气管道自控智能设备远程维护授权管理方法流 程图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的实施 方式作进一步地详细描述。本发明一较佳实施方式涉及一种油气管道自控智能设备远程维护授权管理方法。 油气管道远程维护系统包含一主站,主站管辖下的各子站(场站),主站包含一授权管理服 务器,每个场站包含一授权执行设备,场站授权执行设备与该场站的各自控智能设备(IED) 连接。在油气管道自控智能设备远程维护系统中,维护人员进行远程维护的情形一般包 括以下几种 维护人员在公司总部维护操作全线各场站的设备。 维护人员通过VPN方式进入公司内网后维护操作全线各场站设备。 维护人员在输气处(地区管理单位)维护操作所管辖场站设备。 外委人员经授权后在公司以外远程登陆场站进行维护操作。在本发明实施方式中,维护人员需登陆总站的授权管理服务器,在授权管理服务 器的控制下建立维护连接通道,实现自控智能设备的远程维护,具体流程如图1所示。在步骤101中,维护人员在需要对油气管道的自控智能设备进行维护时,通过客 户端向总站授权管理服务器发起登陆请求,在该请求中携带自身的用户名和密码。其中 用户名和密码为客户端登录授权管理服务器的权限组合,存储在授权管理服务器的权限库 中。在步骤102中,授权管理服务器对客户端的用户名和密码进行验证,如果验证通 过,则进入步骤103,向客户端返回登录成功信息;如果验证未通过,则向客户端返回登录失败信息。客户端登陆成功后,进入步骤104,客户端向授权管理服务器发送建立维护连接通 道的请求,在请求中携带需要维护的目标设备标示、及该目标设备所在的目标场站标示。在授权管理服务器的权限库中保存有每个用户名或客户端IP所允许访问的设 备、及操作权限。在步骤105中,授权管理服务器对该用户名及客户端IP地址进行验证,如果验证 该用户名及客户端IP有该目标场站的目标设备的维护权限,则进入步骤106,授权管理服 务器向该目标场站的授权执行设备请求连接授权,接着进入步骤107。如果验证没有权限, 则向该客户端返回表示其无维护权限的信息。在步骤107中,场站授权执行设备建立本授权执行设备与目标设备之间的虚拟通 道,包括分配临时IP、建立动态路由、分配临时I/O端口等,并向授权管理服务器返回授权 信息(步骤108)。该授权信息可以包括一个授权密码、权限及该通道的维持时间T等。需 要说明的是,在本实施方式中,场站的授权执行设备与该场站中的各智能设备(IED)之间 可以是固定连接的,存在固定的IP及路由,但在建立远程维护通道时,通过建立虚拟通道, 分配临时IP和建立动态路由等操作,来避免客户端获取授权执行设备及智能设备的固定 IP等信息,以提高场站授权执行设备及智能设备的安全性。在步骤109中,主站授权管理服务器将授权申请结果信息(包括授权信息)发送 给客户端。在步骤110中,客户端根据收到的授权信息,登陆到目标场站的授权执行设备,连 接授权执行设备的虚拟通道。至此,客户端与目标设备之间成功建立了维护连接通道,客户 端可以对该目标场站的目标设备进行维护,并在维护结束后,断开该维护连接通道。可见在本实施方式中,目标子站的授权执行设备与智能设备之间的连接是隐蔽 的,维护人员无法通过客户端直接连接到目标智能设备,需通过主站授权管理服务器对其 进行身份以及权限的验证后,在授权管理服务器的控制下,目标授权执行设备与目标设备 建立虚拟连接,并由授权管理服务器将相关授权信息反馈给客户端,客户端凭借该授权信 息连接到目标授权执行设备,使用其虚拟通道对目标设备进行远程维护,从而确保在无验 证授权情况下,客户端无法自行连接到场站的智能设备,使得远程维护过程中智能设备的 安全性得到保障。当然,对于场站内的网线直连授权执行设备进行维护人员,以及外委拨号进入维 护的人员,他们也可以无需连接到授权管理服务器,但必须事先向系统管理员申请到授权 密码、权限及通道维持时间T。在授权管理服务器通知授权执行设备接受授权密码、权限及 通道维持时间T后,这两类维护人员即可以开始登录授权执行设备、连接授权执行设备的 虚拟通道,成功后即可进行维护操作,以确保远程维护过程中智能设备的安全性。在维护连接通道建立后,客户端对目标设备进行维护的过程中,主站授权管理服 务器对该维护过程进行监控。包括确保该通道的独占性,在通道的有效时间内,禁止其他 维护人员连接该目标设备;监控该进行维护的客户端的维护操作,仅允许其权限范围内的 维护操作;监控该虚拟通道的建立时间,在时间达到该通道的维持时间T时,关闭该虚拟通 道。通过总站的监控,进一步保障远程维护过程中智能设备的安全性。在客户端完成对目标设备的维护后、或一次维护权限的通道维持时间T结束后,授权执行设备将关闭当用虚拟通道,并等待下一次的申请建立。同时,授权管理服务器将事 件记录进数据库,将使用过的授权密码及权限存入“抛弃”名单。这种方式能够有效防止临 时授权被窃取后非法使用。如果在维护通道达到时间T之前,维护人员未完成目标设备的 维护,则维护人员可以通过客户端软件进行续时申请,续时不会中断虚拟通道。但是,预设 时间如M小时内,同一用户名可以申请续时的次数、每次可以延长的ΔΤ大小,是有限制 的,可以在授权管理服务器上进行配置。综上所述,本发明实施方式的授权管理包括连接通道的授权、维护的目标设备的 授权、维护操作内容的授权,三位一体,最大程度提升远程维护过程中智能设备的安全性。虽然通过参照本发明的某些优选实施方式,已经对本发明进行了图示和描述,但 本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发 明的精神和范围。
权利要求
1.一种油气管道自控智能设备远程维护授权管理方法,油气管道远程维护系统包含一 主站,主站管辖下的各子站,其特征在于,所述主站包含一授权管理服务器,每个所述子站 包含一授权执行设备,所述远程单元与所属子站的各自控智能设备连接,该方法包含以下 步骤A客户端携带用户名和密码向主站授权管理服务器发起登陆请求;B所述主站授权管理服务器对所述用户名和密码进行验证,并向所述客户端返回验证结果;C如果验证通过,所述客户端向所述授权管理服务器发送建立维护连接通道请求,在 该请求中携带待维护的目标设备标示和该目标设备所属子站标示;D所述主站授权管理服务器验证所述客户端是否有维护所述目标子站的目标设备的 权限,并向所述客户端返回验证结果;E如果验证所述客户端有所述权限,则所述主站授权管理服务器向所述目标子站的授 权执行设备请求连接授权,所述目标子站授权执行设备建立与目标设备之间的虚拟通道, 并向所述主站授权管理服务器返回授权信息;F所述主站维护服务器将所述授权信息发送给所述客户端;G所述客户端根据该授权信息连接目标子站的授权执行设备,并通过该授权执行设备 建立的虚拟通道对所述目标设备进行远程维护。
2.根据权利要求1所述的油气管道自控智能设备远程维护授权管理方法,其特征在 于,所述子站授权执行设备返回的授权信息至少包含授权密码、操作权限和虚拟通道维持时间T。
3.根据权利要求1所述的油气管道自控智能设备远程维护授权管理方法,其特征在 于,所述客户端通过所述虚拟通道对所述目标设备进行远程维护的过程中,包含以下步 骤所述主站授权管理服务器对所述虚拟通道进行监控,在所述通道维持时间T内,拒绝 其他客户端对所述目标设备发起建立维护连接通道请求。
4.根据权利要求1所述的油气管道自控智能设备远程维护授权管理方法,其特征在 于,所述客户端通过所述虚拟通道对所述目标设备进行远程维护的过程中,包含以下步 骤所述主站授权管理服务器对所述虚拟通道进行监控,在达到所述通道维持时间T后, 指示所述目标子站授权执行设备关闭所述虚拟通道。
5.根据权利要求1所述的油气管道自控智能设备远程维护授权管理方法,其特征在 于,所述客户端通过所述虚拟通道对所述目标设备进行远程维护的过程中,包含以下步 骤所述主站授权管理服务器对所述客户端的维护操作进行监控,禁止该客户端操作权限 外的维护操作。
6.根据权利要求1所述的油气管道自控智能设备远程维护授权管理方法,其特征在 于,如果在所述虚拟通道达到通道维持时间T之前,所述客户端未完成目标设备的维护,则 所述客户端向所述主站远程服务器申请续时,在所述续时申请通过后,所述主站远程服务 器指示所述目标子站授权执行设备保持所述虚拟通道。
7.根据权利要求1所述的油气管道自控智能设备远程维护授权管理方法,其特征在 于,所述主站授权管理服务器上配置有预设时间内客户端申请续时的次数、及申请通过后 延长的时间值ΔΤ,所述主站授权管理服务器根据所述配置信息处理所述客户端的续时申请。
全文摘要
本发明公开了一种油气管道自控智能设备远程维护授权管理方法,使用该方法,远程维护系统中子站的授权执行设备与智能设备之间的连接是隐蔽的,维护人员无法通过客户端直接连接到目标智能设备,需通过主站授权管理服务器对其进行身份以及权限的验证后,在授权管理服务器的控制下,目标授权执行设备与目标设备建立虚拟连接,并由授权管理服务器将相关授权信息反馈给客户端,客户端凭借该授权信息连接到目标授权执行设备,使用其虚拟通道对目标设备进行远程维护,从而确保在客户端无验证授权情况下,无法自行连接到场站的智能设备,使得远程维护过程中智能设备的安全性得到保障。本发明的授权管理包括连接通道的授权、维护的目标设备的授权、维护操作内容的授权,三位一体,最大程度提升远程维护过程中智能设备的安全性。
文档编号G05B19/418GK102053584SQ200910201769
公开日2011年5月11日 申请日期2009年11月6日 优先权日2009年11月6日
发明者傅建湘, 孙胜前, 孙金明, 宗健, 李勇, 李国海, 梁俊, 王达宗, 董秀娟 申请人:上海可鲁系统软件有限公司, 中石油北京天然气管道有限公司