继电保护定值在线发放管理系统及其安全防护

关亚东，许磊，李中伟，朱识天，谭凯，王艳敏

(1. 哈尔滨工业大学 计算机科学与技术学院，哈尔滨 150001；2.哈尔滨工业大学 电气工程及自动化学院，哈尔滨 150001)

0 引 言

继电保护是电网安全运行的根本保证，继电保护装置及时切除故障是避免事故范围扩大、保证电力设备安全运行的重要手段。定值是继电保护装置进行逻辑判断时的重要参数之一，其准确性决定了继电保护装置动作的正确性。传统的继电保护定值管理与发放模式为在电力调度中心进行整定计算得到电力系统保护装置定值后生成定值单，并进行定值单的人工审核和审批，而后通过人工下发到各变电站，进而完成现场定值核对与执行工作。这种依靠人工操作的定值单管理下发模式无法实现定值单在各部门之间的自动高效流转，极大地浪费了人力、物力；而且存在大量的重复工作，导致在日常管理中定值单的汇总、查询极为困难，甚至出现由于人为原因导致定值单丢失及两份定值单不一致等情况，对定值单流转过程也缺乏有效监管。

随着电力系统信息化与智能电网的发展，有不少学者研究利用信息化方法以提高继电保护的定值发放管理效率。文献[1]给出了继电保护定值在线发放管理的总体方案，并设计了一种通过电力系统通信网提高继电保护工作效率的具体方法。文献[2-3]提出了一种基于分布式多自主体网络下的继电保护定值发放管理方案。继电保护定值的在线发放与管理提高了定值单流转效率，减少了继电保护工作人员的工作量[4]。但与此同时，继电保护定值的在线发放与信息化管理也带来了信息安全问题。近年来， 通过通信网络攻击电力系统，破坏电力数据的事件时有发生[5]。

针对继电保护定值在线发放的准确性与安全性这一问题，国内外进行了广泛研究。文献[6-7]在分析电力系统通信网络环境的基础上，对保护定值在线发放管理系统的安全需求以及其面临的安全威胁进行了研究。文献[8]在分析智能电网中的继电保护定值可能面临的各种信息安全威胁的基础上，给出了相应的安全防护方法，该方法将加密技术与数字签名技术结合起来。

文献[9]研究通过基于角色的访问控制策略，设置用户组与用户角色以确定用户访问定值单数据的权限。同时，为便于管理员进行安全审计，系统会将各用户的操作日志记录下来。文献[10]研究设置防火墙以过滤外部人员非授权访问继电保护数据服务器的行为。然而，通过对上述文献分析可知，现有的访问控制策略仅能够阻挡外部人员的非授权访问；利用数字签名可保证数据来源的正确性，但定值的实时性无法保证，因此继电保护定值也面临着重放攻击的威胁；此外，部分系统将加密算法所使用的密钥也写入到程序中，密钥安全性无法得到保证。

为解决某地区电力调度中心继电保护定值单长期依靠人工发放工作效率低的问题，在考虑上述安全问题的基础上，拟设计具有定值单录入、定值单在线校核与审批、设备参数上传等功能的继电保护定值在线发放管理系统；基于SSL/TLS协议构建系统安全信道，设计系统双因子身份认证方案、基于任务的访问控制策略和基于安全信道的数据加密/解密方案，构建完整的系统安全防护方案。

1 系统需求分析

1.1 功能需求分析

定值单在线发放流转是定值在线发放管理系统的基本功能，具体来说，是在与现有各类保护定值单格式兼容的基础上，实现定值录入、定值校核、定值批准、定值接收、设备参数上传、设备参数接收、定值单修改和定值单驳回等功能，并可实时查看、追踪定值单所处的状态。

继电保护定值在线发放管理系统应能自动形成日志文件，记录用户名称、登陆时间、操作内容、所操作定值单编号、操作时间及其IP地址等信息，监测定值单的生成、流转、在线下发和设备参数的填报、上传、访问等各个流程，系统需提供日志记录和查询功能。保障对定值单和设备参数的操作具有可追溯性，同时方便各级用户根据需要依据每个定值单的实时状态有针对性地联系上游用户解决问题，更加快捷、便利地完成定值发放管理工作。

在定值单较多的春检阶段易出现分发不及时或分发错误等问题，因此，该系统需实现春检校核、批量打印、批量流转等功能，实现同质化的批量处理。同时，为更加高效、简明、安全地实现用户的添加、删除、修改，需建立层次分明的用户管理机制。同时为便于记录的管理，系统需支持数据库远程备份及日志记录查询功能。

1.2 安全需求分析

继电保护定值在线发放管理系统工作于电力调度专用数据网安全区IV，其通信网络在物理上与外部网络隔离，因此安全威胁大多来自于局域网内部。信息安全威胁可分为截取、篡改、阻断以及伪造四大类[11]。下面具体结合继电保护定值在线发放管理系统进行威胁分析。

截取攻击属于被动攻击，其本身并不改变定值单的数据内容，也不会直接破坏电力系统的运行。同时，对截取攻击进行检测极其困难，但截取攻击后往往伴随对报文的篡改和伪造，而篡改和伪造攻击属于主动攻击，对其检测较为容易。因此该系统着重对篡改攻击和伪造攻击进行防范。篡改包括非授权人员对通信网络中传输数据或对服务器上关键文件的篡改。受篡改数据中的部分信息是真实的，因此可通过分析数据完整性来实现对篡改攻击的检测由于系统中通信节点数量与通信数据量都较为有限，且该系统通信网络在物理上与外部网络隔离。因此，无需考虑阻断威胁。伪造攻击即为攻击者将生成的虚假信息直接发送给信息接收者。伪造信息的完整性较高而真实性欠缺，因此对于伪造攻击的检测可从真实性角度进行分析。

综上所述，结合继电保护定值在线发放管理系统面临的安全威胁，系统的安全性需求为保障继电保护定值信息、设备参数、人员身份信息等数据的完整性、机密性、真实性与不可否认性。为此，需设计相应的安全防护方案满足系统的安全需求。

2 系统方案与模块设计

2.1 系统架构

通过分析系统的功能需求与安全需求，对继电保护定值在线发放在线管理系统进行设计，所设计系统的架构与主要功能框图如图1所示。

图1 继电保护定值在线发放管理系统框图Fig.1 Diagram of online distribution management system for relay protection

系统包括定值在线流转模块、设备参数上传模块、身份认证与访问控制模块和SSL/TLS协议模块。

系统的基本功能即实现定值单的在线流转，具体包括定值单的录入生成、定值单在线校核、定值单在线下发与使用以及定值单驳回处理，这些功能由定值在线流转模块实现。设备参数上传模块的功能是上传设备参数，参数上传后由定值录入人员进行校核，完成校核后存入到数据库，为定值录入人员提供定值整定计算所需数据。身份认证与访问控制模块赋予用户角色对应的权限并实现对于用户身份的确认。SSL/TLS协议通信模块用以保证系统的通信安全。

(1)定值单的生成

生成定值单时，为提高效率，可从数据库中查找原来的继电保护定值单，对其整定值进行修改，从而得到新的定值单。在定值单的生成过程中，定值单录入人员可在未完成的定值单记录中删除错误记录。为方便定值单录入人员编辑定值单，定值单记录支持以表格形式读取与输出，定值单在完成编辑后会自动更新。录入人员在完成定值单编辑后将其发送给校核人员。

图2 定值单在线流转Fig.2 Online circulation of fixed value

(2)定值单的校核

定值单校核人员登陆系统后，进入校核页面进行定值单校核工作。校核人员可查看的定值单分为待处理(即等待校核)定值单、近期定值单以及最近已完成校核定值单。系统可判断定值单是否已完成校核。若定值单尚未完成校核，则需校核人员对其进行计算与校核。完成校核任务后，校核人员可进行如下选择：校核通过并将定值单发给审批人员；直接下发给使用人员(校核通过且定值单审批人员不在岗，无法审批时使用)；驳回(发现问题时使用)，校核人员填写驳回理由并将定值单返回给录入人员。校核人员没有修改定值单的权限，其无法完成对定值单的修改。

(3)定值单的审批

定值单校核通过后，系统将定值单发给审批人员进行审批。在定值单审批界面，定值单分为待处理(即等待审批)定值单、最近已完成审批定值单与近期定值单。若定值单未发现问题，则审批人员审批通过定值单，并将定值单发送给相应的厂站使用人员。若定值单未通过审批环节，则审批人员需填写定值单驳回理由，驳回定值单给录入人员。审批人员没有修改定值单的权限，其无法完成对定值单的修改。

(4)定值单的使用

若定值单审批通过，则系统将定值单发放给厂站的定值单使用人员进行继电保护定值整定操作。系统需将定值单发放给相应的厂站的定值单使用人员。定值单使用人员登录系统后，系统根据记录的用户信息为使用人员分配相应权限。使用人员可直接查看并打印定值单，并完成设备参数的整定任务，在完成参数整定后，使用人员点击定值单使用完成信息进行确认，此时定值录入人员收到提示，整个定值单的流转过程就此完成。

设备参数上传人员填写设备参数并上传，上传成功后定值录入人员对设备参数进行校核。若设备参数经校核后未发现错误，则再经由录入人员确认后完成上传设备参数任务。若校核时发现错误，则录入人员驳回设备参数，设备参数上传人员针对驳回意见进行修改后重新上传，直至校核通过。

考虑到春检时需处理和发放的定值单较多，为避免分发不及时或分发错误，将批处理引入到系统中，具体处理过程如下：首先将需做春检对比的旧数据库进行还原，然后与当前数据库中的现有定值根据“电压等级>厂站选择”的顺序进行逐条对比，自动生成春检校核报告。除此之外，该系统还需实现将春检定值按照“电压等级>所属单位”层次的批量打印将春检校核完毕后的定值按“接收单位”批量流转。打印完毕的春检定值单可用于存档，批量流转的定值是接收单位一年来定值接收的汇总，这样，充分发挥了计算机的计算能力，减轻了工作人员的负担。

为在线监测定值单状态，考虑到人工发放定值单的过程中可能出现的各种复杂情形，本文采用布尔变量来记录定值单的状态。模块中每个定值单都附加9个布尔变量，包括：s1、s2、s3、s4、s5、s6、s7、s8和s9。规定9个布尔变量分别表示8种状态，如表1所示。

表1 定值单状态与变量对照表Tab.1 Fixed value single state and variable

8种状态具体的对应关系为：①待上传；②待校核；③校核通过(待批准)；④校核驳回；⑤直接下发；⑥批准通过(待接收确认)；⑦批准驳回；⑧已完成(定值接收完毕)。

在用户对定值单进行有效操作后，系统将更新所有布尔变量并上传至服务器数据库，并记录用户的活动日志。通过监测定值单的生成、自动流转、在线下发和设备参数的填报、上传、访问等各个流程，保障对定值单和设备参数的操作具有可追溯性。

2.2 系统认证与访问控制模块设计

系统认证用于确认用户身份，把正确的访问权限赋予用户。访问控制用于限制用户对系统资源的访问，即控制完成身份认证的系统用户访问系统文件资源。为确保用户合法登录及合理分配权限，本文所设计系统采用安全性较高的双因子认证，下面通过比较不同的访问控制策略，结合本文实际情况设计访问控制策略。

访问控制策略主要有以下五类：自主访问控制(DAC)、强制访问控制(MAC)、基于角色的访问控制(RBAC)、基于对象的访问控制(OBAC)和基于任务的访问控制(TBAC)。

DAC模型规定文件的创建者对文件拥有最高权限，其特点为主体可通过直接或间接的方式，把自己的权限转移给另一主体。DAC的缺点在于其对木马类攻击的抵抗性很差，且DAC无法限制主体之间转移权限，容易导致信息泄露。结合继电保护定值在线发放管理系统的安全需求可知，该控制策略不适合应用于该系统。

相对于DAC，MAC可保证被非授权者无法访问客体，因此其对木马类攻击的抵抗性较强。同时由于MAC遵循“不许往上读，不许向下写”的原则，可保证关键信息的不外流。其缺点在于系统管理员的工作量庞大，管理缺乏灵活性，系统中访问控制的信息量很大，一定程度上影响了继电保护定值在线发放管理系统的连续工作能力，不便于系统的维护升级。因此，MAC控制策略不适合应用于该系统。

RBAC将主体进行分类，通过对不同类型的客体赋予主体不同类型的权限“模板”，一定程度上减轻了系统管理员的负担。但其不足在于系统管理员仍需对每个主体赋予权限，并需要对权限进行维护管理。在这种情况下，当用户达到几百人甚至上千人时，系统管理员的工作量又将十分庞大，因而RBAC不适用于本系统。

OBAC允许访问策略规则的继承、重用和派生，并通过对用户组的操作方便管理员修改主体权限，通过派生实现了新主体的权限分配，解决了用户数目庞大时工作量大的问题。

以上的访问控制策略都为静态的，即若确定了主体s与客体o，那么权限p就是固定的。考虑在继电保护定值在线流转过程中，需要先生成定值单，校核人员才能对其进行读取和校核，在完成校核任务后，审批人员才有审批权限，同样地，在定值单通过审批后，定值单使用人员才有使用该定值单的权限；另一方面，在校核定值单的过程中，只允许校核人员访问定值单，审批人员与使用人员都无法访问定值单；类似地，在对定值单进行审批时，校核人员与使用人员都无法读取定值单。因此，考虑到系统实际的工作情况，本文所涉及继电保护定值在线发放管理系统应采用动态访问控制策略。

基于任务的访问控制策略(TBAC)是一种随着数据库与分布式计算而发展出的新型访问控制策略，该策略的特点是可对在任务执行中主体完成动态授权。TBAC采用五元组描述控制策略模型(S，O，P，L，AS)，权限P由主体S、客体O、生命期L与授权步AS共同决定。

结合本系统使用环境分析该TBAC模型中的五元组。系统用户组S包括：系统管理员、定值单录入、校核、审批、使用人员，以及厂站设备参数上传人员。系统客体O为三类：继电保护定值单、设备参数表、用户信息表。系统用户主要涉及的权限P有三种：读取、写入、驳回。授权步表示某时刻主体S对客体O被授予了权限P。生命期为授权步开始后，系统赋予主体权限的使用期限。

管理员负责系统中用户的权限管理工作，与之对应的客体为用户信息表。定值单录入、校核、审批与使用人员负责继电保护定值单发放与流转工作，与之相对应的客体即为定值单。厂站设备参数上传与定值录入人员负责上传设备参数，与之相对应的客体为设备参数表。

TBAC在进行权限分配时需按照一定规则，其在分配规则时所用符号如表2所示，在进行角色指派时需遵循式(1)。

(∀s∈S)(∀t∈T)canexec(s,t)→actr(s)≠∅

(1)

在TBAC中，主体角色不能为空，用户本身也不具有任何权限。系统将任务t的权限赋予角色r，同时用户通过角色r获取任务t权限，进而执行t或访问客体。式(2)为在认证过程需遵循的规则：

(∀s∈S)actr(s)⊆authr(s)

(2)

表2 用户权限分配过程中的符号Tab.2 Symbol in the process of assigning rights

主体s所使用角色必须是由系统向主体授权过的角色。结合式(1)的角色指派规则可得式(3)所示系统授权规则：

(∀s∈S)(∀t∈T)canexec(s,t)→t∈trans(actr(s))

(3)

用户在获得角色授权之后，利用角色获取相应权限，在本系统中，管理员需为所有用户确定不同角色，并且需要将权限分配给不同用户，同时还需负责系统角色与系统权限的维护与更新工作，这在用户数量较多的情况下，管理员工作量会十分庞大。因此，本系统采用TBAC策略中的角色继承规则，式(4)表示角色rj继承角色ri的前提：

(4)

式中ri>rj表示角色rj继承角色ri。在角色rj继承角色ri后，rj的权限集即为ri权限集的子集，即用户只能以继承的方式，将用户对应角色所具有的权限分发给其他用户。本系统有六个主体用户组，每个用户组都需要添加组内管理员。用户在注册时，需通过对应高级别用户的账号登录系统并进行注册。组内管理员负责用户组内成员信息的添加、维护、更新与删除。

结合以上对TBAC模型的权限分配规则，设计本模块的具体实现方案。在系统认证与访问控制过程中，系统综合用户任务状态以及角色信息库，进而将权限分配给相应的用户。任务工作状态即为定值单的流转状态，用户通过注册继而生成用户角色信息库。系统身份认证与访问控制流程如图3所示，主要包括用户登录及双因子身份认证、用户角色的赋予、访问操作请求处理和赋予用户权限四个过程。

(1)用户登录及双因子身份认证

图3 系统身份认证与访问控制流程Fig.3 System identity authentication and access control

本系统设计了基于指纹与用户名密码的双因子身份认证方案。因此，系统需具备指纹信息的采集、上传和比对功能。具体方案为：首先测试指纹识别终端是否连接成功，若连接成功后用户需输入用户名密码与指纹。系统通过将输入的信息与数据库中存储的对应用户信息进行比较。若信息符合则出现认证成功的提示，从而完成系统用户身份的可靠性验证。为保护用户信息并便于实施访问控制策略，系统将用户信息存入到应用程序中。同时为便于管理员进行安全审查，系统数据库会记录下用户的登录身份与时间，进而生成系统日志，为系统提供了不可否认性验证，防止内部人员通过非法登录并截取、伪造与篡改数据。

(2)赋予用户角色

身份认证成功后，系统比对用户信息与系统内的角色信息，从而判断用户的身份信息，赋予登录用户角色，同时通过角色任务权限库为访问控制模块提供角色的权限信息。

(3)处理访问请求

用户提出访问请求后，系统将该请求提交给访问请求处理模块。一方面，访问请求处理模块将用户、角色以及所要访问的客体资源等信息提交给访问控制模块；另一方面，系统将用户请求提交给任务状态记录子模块，任务工作状态即为定值单在线流转状态的数据表。系统通过任务工作状态将任务信息库中的数据信息激活，并向访问控制模块提供授权步的相关条件，访问控制模块根据角色任务权限库所提供的角色权限并判断是否用户是否满足授权步条件，从而作出决策，并将结果返回给访问请求处理模块。

(4)赋予权限

访问请求处理模块依据访问策略的决策结果，将相应权限赋予用户，完成系统认证与访问控制，用户根据权限访问客体资源文件并完成相关操作。

2.3 SSL/TLS协议通信模块设计

为确保信息在传输时的安全性，需构建安全可靠的信道，该系统采用SSL/TLS协议进行安全信道的构建。SSL/TLS协议通信模块需实现的功能为：(1)对数据进行加密，防止攻击者窃取在传输过程中的报文数据；(2)保证数据完整性，确保系统能够识别出被篡改的数据；(3)认证用户和服务器，确保数据发送到正确的客户机和服务器。本文设计的SSL/TLS协议的认证部分采用HMAC模式下MD5哈希算法实现，同时协议规定加密部分采用对称与非对称加密算法相结合的方式，利用RSA算法辅助生成对称加密算法的会话密钥，采用AES加密算法在CBC模式下进行数据加密。下面详细分析SSL/TLS协议。

SSL/TLS协议栈包括两个子层，第一层包含三个子协议，分别为握手协议、警报协议与修改密码规范协议，第二层是记录协议。本文采用的握手协议用于通信双方的身份认证、确定加密算法以及发放与交换密钥以下对握手协议实现过程进行分析，可分为图4所示的四个阶段。

(1)在客户端和服务器之间建立SSL连接，客户端将MClient_hellow报文发送给服务器，建立握手：

MClient_hello=vers||rand1||sess_id||cipher_list||comp_list

(5)

式中vers为客户端SSL版本号；comp_list为支持压缩算法列表；rand1为由随机128bit与t时间戳组成的随机数；sess_id表示会话标识号；cipher_list表示客户端可支持的加密算法列表。服务器在收到信息后向客户端发送式(6)的报文。

MServer_hello=vers||rand2||sess_id||cipher||comp

(6)

式中cipher两端均支持的加密算法，本系统规定为RSA；vers为服务器及客户端能够支持的最高版本；comp为由服务器选择的通信双方都支持的算法；rand2为随机128位二进制数与由服务器生成的时间戳组合而成的随机数。

(2)服务器认证过程。该阶段是握手协议的关键部分。服务器将服务器证书发送给客户端，该证书包括数字签名与所要发放的公钥，报文如下：

图4 SSL/TLS握手协议Fig.4 SSL/TLS handshake protocol

MCertificate=server_cert

(7)

式中server_cert表示服务器证书。

服务器将验证请求发送给客户端，其交换密钥的报文如下：

MServer_key_exchange=mod||exp||E(KS,[Hash(rand1||rand2||mod||exp)])

(8)

式中KS为服务器端的公钥所对应的私钥；mod为RSA算法中公钥模；exp为RSA算法中公钥指数。

采用哈希函数对mod、exp、rand1与rand2进行处理并生成消息摘要后用服务器私钥进行加密，利用挑战-应答机制以验证服务器来源。客户端证书的请求报文为可选报文，在需要对客户端进行验证的情况下，服务器要求客户端提供证书并对证书的格式内容作出要求。本系统的客户端采用基于用户名密码以及指纹的双因子身份认证而无需客户端证书，因此在握手阶段，可省略证书请求报文与客户端证书消息报文。

服务器向客户端发送式(9)所示的信息表示第二阶段即服务器身份认证结束。

MServer_hello_done=end_round2

(9)

服务器端身份认证的作用为：客户端获取服务器提供的证书后，基于该证书加密后续两阶段的报文信息，服务器需采用相应私钥以完成信息的获取，否则就无法进行会话密钥的协商，确保了定值和设备参数来源的不可否认性。

(3)客户端向服务器端发放客户端证书进行身份认证，在前面要求提供证书的条件下，向服务器端提供合格的客户端证书。

MClient_key_exchange=pre_master_secret

(10)

式中pre_master_secret为客户端向服务器端发放预主密钥。

服务器端采用RSA公钥加密48位的随机数生成预主密钥，在服务器端需用私钥进行解密以防止被攻击者监听，并阶段性对服务器端进行身份验证。

MCertificate_verify=Hash(mastr||opad||

Hash(messages||mastr||ipad))

(11)

式中opad和ipad为常值，分别为0x5C和0x36；messages为上述报文的连接信息，mastr为由rand1、rand2、session_id与pre_master_secret生成的主密钥。

图5表示生成mastr的过程，采用SHA-1与MD5算法处理四个参数，为确保密钥生成的随机性，采用Diffie-Hellman方法生成秘钥。

图5 主密钥生成过程Fig.5 Master key generation process

(4)完成服务器端握手协议。该阶段包含四部分，即客户端向服务器发送两条报文，服务器回复给客户端两条报文。其中两条完成报文为固定格式。客户端改变密码规格报文如下：

MCert_change_cipher=Hash(mastr||opad||

Hash(messages||msg||mastr||ipad))

(12)

式中msg为报文应用密码参数，本消息中为0x434C4E54。

(a)将报文分割为最大214字节的数据块，在各数据块中插入报文记录，该报文记录包括长度、版本号、数据字段和类型；

(b)选择无损压缩算法对数据进行压缩，需确保压缩后增加报文记录的长度超过1024 byte。考虑到分组密码算法要求，若发送方本身未选择压缩数据，则仍需对数据进行填充等处理；

(c)计算消息认证码MAC，用以确保分组数据的完整性，用到的算法采用在握手协议中确定的256位SHA-1算法；

(d)对压缩数据及MAC进行加密，加密算法也由握手协议确定；

(e)完善SSL记录，即对处理过的数据添加封装。

综上所述，采用SSL/TLS协议可有效抵御截取、篡改与伪造攻击。攻击者通过截取获取通信密文后，由于其无法得知密钥，同样无法破解密文获取定值与设备参数。服务器可识别篡改与伪造后的信息。因此，通过以上安全方案保障了信息的机密性和完整性。

3 系统实现

基于上述设计的系统方案和各个模块，采用C#语言和SQL数据库，基于C/S结构，开发了继电保护定值在线发放管理系统，所开发的系统软件的界面结构图如图6所示。利用.NET开发工具中ADO.NET技术实现数据库访问功能。该系统支持将服务器上的数据库文件和日志文件打包备份到用户本地上。通过利用数据库cmdshell功能向数据库所在的服务器发送DOS命令直接操作服务器进行实现。由于系统所在内部局域网与外网隔离，不便利用网络申请SSL/TLS证书，因此系统采用OpenSSL开源安全套接字层密码库生成SSL/TLS证书。

所设计的系统定值单在线编辑界面如图7所示。在定值录入界面上，“定值状态一览”提供定值状态的直观显示，定值单状态如图8所示。

图6 系统软件界面结构图Fig.6 System software interface structure diagram

图7 定值单编辑界面Fig.7 fixed value editing interface

图8 定值单状态图Fig.8 Fixed value state

4 结束语

采用C#为语言、SQL数据库和OpenSSL开发工具，开发了由定值在线流转、设备参数表上传、系统认证与访问控制、SSL/TLS协议通信等模块组成的继电保护定值在线发放管理系统；设计了双因子身份认证方案、基于任务的访问控制策略、基于SSL/TLS协议的安全信道和基于安全信道的数据加密/解密方案，并由此构成了系统安全防护方案。目前，所开发系统已在某地区电网获得了实际应用。实际应用效果表明，该系统实现了定值单与设备参数的在线流转，并能对整个继电保护定值在线发放流程进行跟踪，预防和消除了通过通信网络修改设备继电保护定值的安全隐患，提高了定值单发放的安全性与可靠性，满足了系统的功能需求与安全需求。