CN109981568A - 一种基于双通道身份认证的变电站远方操作安全防护方法 - Google Patents
一种基于双通道身份认证的变电站远方操作安全防护方法 Download PDFInfo
- Publication number
- CN109981568A CN109981568A CN201910117179.1A CN201910117179A CN109981568A CN 109981568 A CN109981568 A CN 109981568A CN 201910117179 A CN201910117179 A CN 201910117179A CN 109981568 A CN109981568 A CN 109981568A
- Authority
- CN
- China
- Prior art keywords
- remote operation
- operator
- authentication gateway
- signature authentication
- substation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 238000001629 sign test Methods 0.000 claims abstract description 11
- 238000012790 confirmation Methods 0.000 claims abstract description 8
- 230000008676 import Effects 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013329 compounding Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H02J13/0017—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02E—REDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
- Y02E60/00—Enabling technologies; Technologies with a potential or indirect contribution to GHG emissions mitigation
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S10/00—Systems supporting electrical power generation, transmission or distribution
- Y04S10/16—Electric power substations
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Abstract
本发明公开了一种基于双通道身份认证的变电站远方操作安全防护方法。包括如下步骤:1)在主站前置服务器和纵向加密装置之间部署远方操作签名认证网关,负责对远方操作工作站下发的操作命令进行身份认证;2)远方操作工作站上需要许可员和操作员两个角色执行远方操作,许可员下发许可命令到远方操作签名认证网关,通知远方操作签名认证网关打开远方操作命令下发通道,操作员下发远方操作命令到远方操作签名认证网关,远方操作签名认证网关确认后转发到变电站对应设备;远方操作签名认证网关收到许可员和操作员的指令后采用对方的证书进行验签确认来源的合法性。本发明防止主站系统被恶意攻破后随意下发远方操作指令,保证远方操作安全,避免大面积停电的风险。
Description
技术领域
本发明涉及一种变电站远方操作安全防护方法,特别是一种基于双通道身份认证的变电站远方操作安全防护方法,属于变电站远方操作安全防护方法的创新技术。
背景技术
变电站的远方操作需求日益迫切,远方操作指在调度主站通过EMS系统、保信信息管理系统等(下文统称主站),经过调度数据网下发控制命令给厂站远动装置、保信子站(下文统称网关装置),再由远动装置、保信子站经站控层网络转发给保护、测控装置,实现远程对保护测控装置的功能软压板进行投退、定值进行修改、定值区号进行切换、信号进行复归等操作。
目前远方操作的通信通道两侧部署了纵向加密装置,保证了通信环节的安全性。但是主站侧还存在其他安全漏洞,包括黑客恶意入侵、内部人员恶意控制,主站系统被植入木马病毒,或直接被物理侵入,可能发生大规模非法远方操作,出现恶劣电网安全事故。
基于主站纵向加密装置和站内纵向加密装置之间通道是安全的前提,主站侧远方操作存在的网络安全风险点包括以下几点,见图1:
1) 远方操作主站有1名操作人员故意非法操作,并获取到监护许可人的密码。
2) 远方操作主站被植入木马程序侵入应用系统。
3) 远方操作主站被植入木马程序侵入前置服务器。
4) 非法人员带笔记本接入到前置前网络,采用主站系统访问接口下发非法操命令。
5) 非法人员带笔记本电脑接入到前置后网络,采用模拟通信规约下发非法操命令。
发明内容
针对上述问题,本发明提供一种基于双通道身份认证的变电站远方操作安全防护方法,本发明解决现有主站在被恶意攻击者攻破后没有后备防护手段的问题,保证远方操作的安全,避免大面积停电的风险。
为实现上述技术目的,达到上述技术效果,本发明通过以下技术方案实现:
本发明的基于双通道身份认证的变电站远方操作安全防护方法,包括有如下步骤:
1)在主站前置服务器和纵向加密装置之间部署远方操作签名认证网关,负责对远方操作工作站下发的操作命令进行身份认证;
2)远方操作工作站上需要许可员和操作员两个角色执行远方操作,其中许可员的职责是下发许可命令经过远方操作工作站、前置服务器到达远方操作签名认证网关,通知远方操作签名认证网关打开远方操作命令下发通道,操作员的职责是下发远方操作命令经远方操作工作站、前置服务器到达远方操作签名认证网关,远方操作签名认证网关确认后转发到变电站对应设备;远方操作签名认证网关收到许可员和操作员的指令后采用对方的证书进行验签确认来源的合法性,远方操作签名认证网关只有在收到许可员的许可命令的状态下,才会把操作员的远方操作命令转发到变电站对应设备。
本发明的有益效果是:本发明针对远方操作流程中的薄弱环节,在远方操作工作站和纵向加密装置之间采用双命令源和端到端的签名认证方法,结合原有的纵向加密通道,可以防止主站系统被恶意攻破后随意下发远方操作命令导致整个电力系统崩溃的风险,防止任何单独一种风险发生时,仍可以保证远方操作的安全,避免大面积停电的风险。本发明方法结构清晰,可操作性强、站内设备无需改动。
附图说明
图1是现有方法的原理图;
图2是本发明的原理图。
具体实施方式
下面结合附图和具体的实施例对本发明技术方案作进一步的详细描述,以使本领域的技术人员可以更好的理解本发明并能予以实施,但所举实施例不作为对本发明的限定。
本发明基于双通道身份认证的变电站远方操作安全防护方法的原理图如图2所示,远方操作各环节包括以下几类角色和设备:许可员、操作员、操作员工作站、前置服务器、远方操作签名认证网关、纵向加密装置、站内设备。变电站远方操作安全防护方法,包括有如下步骤:
1)在主站前置服务器和纵向加密装置之间部署远方操作签名认证网关,负责对主站中远方操作工作站下发的操作命令进行身份认证;
2)远方操作工作站上需要许可员和操作员两个角色执行远方操作,其中许可员的职责是下发许可命令经过远方操作工作站、前置服务器到达远方操作签名认证网关,通知远方操作签名认证网关打开远方操作命令下发通道,操作员的职责是下发远方操作命令经远方操作工作站、前置服务器到达远方操作签名认证网关,远方操作签名认证网关确认后转发到变电站对应设备;远方操作签名认证网关收到许可员和操作员的指令后采用对方的证书进行验签确认来源的合法性,远方操作签名认证网关只有在收到许可员的许可命令的状态下,才会把操作员的远方操作命令转发到变电站对应设备。
上述远方操作签名认证网关预先导入许可员和操作员的Ukey公钥证书,在收到许可员和操作员下发的指令时利用对方的公钥证书对命令中携带的签名进行验签。
本实施例中,上述远方操作签名认证网关可以与纵向加密装置集成在一起,作为纵向加密装置的一个软件功能模块。远方操作签名认证网关需要导入许可员、操作员的公钥证书,用来对其命令中的签名验签。
本实施例中,上述许可员和操作员可以在同一台远方操作工作站操作,也可以在不同的远方操作工作站操作。
上述许可员和操作员在远方操作工作站的登录密码和Ukey由各自保管,并定期更换。登录密码用来登录操作界面,Ukey用来存储秘钥。
上述许可员和操作员的远方操作步骤如下:
1)许可员把其Ukey插入远方操作工作站,并打开命令操作界面,按照提示输入登录密码,然后下发许可命令;
2)许可命令经过远方操作工作站、前置服务器到达远方操作签名认证网关,远方操作签名认证网关验签后确认许可命令的合法性,进入运行远方操作下发状态;
3)操作员把Ukey插入远方操作工作站,打开命令操作界面,按照提示输入登录密码,然后下发操作命令;
4)操作命令经远方操作工作站、前置服务器到达远方操作签名认证网关,远方操作签名认证网关首先判断当前是否处于允许操作命令下发状态,如果为处于允许状态,再对操作命令验签验证合法性,正确后把操作命令转发给对应变电站。
本发明中,在主站的远方操作工作站执行远方操作命令时,需要许可员和操作员配合操作,远方操作签名认证网关负责验证许可命令和操作命令的合法性,不需要改动任何站内设备。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或者等效流程变换,或者直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (6)
1.一种基于双通道身份认证的变电站远方操作安全防护方法,其特征在于包括有如下步骤:
1)在主站前置服务器和纵向加密装置之间部署远方操作签名认证网关,负责对远方操作工作站下发的操作命令进行身份认证;
2)远方操作工作站上需要许可员和操作员两个角色执行远方操作,其中许可员的职责是下发许可命令经过远方操作工作站、前置服务器到达远方操作签名认证网关,通知远方操作签名认证网关打开远方操作命令下发通道,操作员的职责是下发远方操作命令经远方操作工作站、前置服务器到达远方操作签名认证网关,远方操作签名认证网关确认后转发到变电站对应设备;远方操作签名认证网关收到许可员和操作员的指令后采用对方的证书进行验签确认来源的合法性,远方操作签名认证网关只有在收到许可员的许可命令的状态下,才会把操作员的远方操作命令转发到变电站对应设备。
2.根据权利要求1所述的基于双通道身份认证的变电站远方操作安全防护方法,其特征在于远方操作签名认证网关预先导入许可员和操作员的Ukey公钥证书,在收到许可员和操作员下发的指令时利用对方的公钥证书对命令中携带的签名进行验签。
3.根据权利要求1所述的基于双通道身份认证的变电站远方操作安全防护方法,其特征在于远方操作签名认证网关与纵向加密装置集成在一起,作为纵向加密装置的一个软件功能模块。
4.根据权利要求1所述的基于双通道身份认证的变电站远方操作安全防护方法,其特征在于许可员和操作员在同一台远方操作工作站操作,或在不同的远方操作工作站操作。
5.根据权利要求1至4任一项所述的基于双通道身份认证的变电站远方操作安全防护方法,其特征在于许可员和操作员在远方操作工作站的登录密码和Ukey由各自保管,并定期更换。
6.根据权利要求5所述的基于双通道身份认证的变电站远方操作安全防护方法,其特征在于许可员和操作员的远方操作步骤如下:
1)许可员把其Ukey插入远方操作工作站,并打开命令操作界面,按照提示输入登录密码,然后下发许可命令;
2)许可命令经过远方操作工作站、前置服务器到达远方操作签名认证网关,远方操作签名认证网关验签后确认许可命令的合法性,进入运行远方操作下发状态;
3)操作员把Ukey插入远方操作工作站,打开命令操作界面,按照提示输入登录密码,然后下发操作命令;
4)操作命令经远方操作工作站、前置服务器到达远方操作签名认证网关,远方操作签名认证网关首先判断当前是否处于允许操作命令下发状态,如果为处于允许状态,再对操作命令验签验证合法性,正确后把操作命令转发给对应变电站。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910117179.1A CN109981568B (zh) | 2019-02-15 | 2019-02-15 | 一种基于双通道身份认证的变电站远方操作安全防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910117179.1A CN109981568B (zh) | 2019-02-15 | 2019-02-15 | 一种基于双通道身份认证的变电站远方操作安全防护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109981568A true CN109981568A (zh) | 2019-07-05 |
| CN109981568B CN109981568B (zh) | 2022-01-04 |
Family
ID=67076950
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910117179.1A Active CN109981568B (zh) | 2019-02-15 | 2019-02-15 | 一种基于双通道身份认证的变电站远方操作安全防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109981568B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110768965A (zh) * | 2019-10-09 | 2020-02-07 | 南京南瑞继保电气有限公司 | 一种基于报文置换的电网调度远方操作安全许可方法 |
| CN111565167A (zh) * | 2020-03-09 | 2020-08-21 | 国网浙江省电力有限公司绍兴供电公司 | 智能变电站广义远方操作信息安全装置及安全运维方法 |
| CN112187729A (zh) * | 2020-09-08 | 2021-01-05 | 南京南瑞继保电气有限公司 | 一种操作许可安全管控系统及方法 |
| CN113783722A (zh) * | 2021-08-20 | 2021-12-10 | 中国南方电网有限责任公司超高压输电公司贵阳局 | 远程修改定值控制方法、装置、计算机设备和存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103475478A (zh) * | 2013-09-03 | 2013-12-25 | 广东电网公司电力科学研究院 | 终端安全防护方法和设备 |
| CN104320419A (zh) * | 2014-11-14 | 2015-01-28 | 厦门远通电子技术有限公司 | 电力配网的加密遥控系统 |
| CN105100252A (zh) * | 2015-08-03 | 2015-11-25 | 国家电网公司 | 一种分布式电源监控系统的网络拓扑结构 |
| CN107948100A (zh) * | 2017-12-28 | 2018-04-20 | 广西大学 | 云备用调度自动化主站系统及实现方法 |
| CN109103986A (zh) * | 2018-08-27 | 2018-12-28 | 南京南瑞继保电气有限公司 | 变电站远方操作安全防护方法及系统 |
| CN109302404A (zh) * | 2018-10-30 | 2019-02-01 | 国电南瑞南京控制系统有限公司 | 一种广域运维系统的远程维护操作认证方法 |
-
2019
- 2019-02-15 CN CN201910117179.1A patent/CN109981568B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103475478A (zh) * | 2013-09-03 | 2013-12-25 | 广东电网公司电力科学研究院 | 终端安全防护方法和设备 |
| CN104320419A (zh) * | 2014-11-14 | 2015-01-28 | 厦门远通电子技术有限公司 | 电力配网的加密遥控系统 |
| CN105100252A (zh) * | 2015-08-03 | 2015-11-25 | 国家电网公司 | 一种分布式电源监控系统的网络拓扑结构 |
| CN107948100A (zh) * | 2017-12-28 | 2018-04-20 | 广西大学 | 云备用调度自动化主站系统及实现方法 |
| CN109103986A (zh) * | 2018-08-27 | 2018-12-28 | 南京南瑞继保电气有限公司 | 变电站远方操作安全防护方法及系统 |
| CN109302404A (zh) * | 2018-10-30 | 2019-02-01 | 国电南瑞南京控制系统有限公司 | 一种广域运维系统的远程维护操作认证方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110768965A (zh) * | 2019-10-09 | 2020-02-07 | 南京南瑞继保电气有限公司 | 一种基于报文置换的电网调度远方操作安全许可方法 |
| WO2021068453A1 (zh) * | 2019-10-09 | 2021-04-15 | 南京南瑞继保电气有限公司 | 一种基于报文置换的电网调度远方操作安全许可方法 |
| CN111565167A (zh) * | 2020-03-09 | 2020-08-21 | 国网浙江省电力有限公司绍兴供电公司 | 智能变电站广义远方操作信息安全装置及安全运维方法 |
| CN111565167B (zh) * | 2020-03-09 | 2022-05-17 | 国网浙江省电力有限公司绍兴供电公司 | 智能变电站广义远方操作信息安全装置及安全运维方法 |
| CN112187729A (zh) * | 2020-09-08 | 2021-01-05 | 南京南瑞继保电气有限公司 | 一种操作许可安全管控系统及方法 |
| CN113783722A (zh) * | 2021-08-20 | 2021-12-10 | 中国南方电网有限责任公司超高压输电公司贵阳局 | 远程修改定值控制方法、装置、计算机设备和存储介质 |
| CN113783722B (zh) * | 2021-08-20 | 2024-01-19 | 中国南方电网有限责任公司超高压输电公司贵阳局 | 远程修改定值控制方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109981568B (zh) | 2022-01-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109981568A (zh) | 一种基于双通道身份认证的变电站远方操作安全防护方法 | |
| CN106789015B (zh) | 一种智能配电网通信安全系统 | |
| CN201846355U (zh) | 安全咨询系统 | |
| CN104282062B (zh) | 基于安全智能锁系统的开锁和关锁方法 | |
| CN105100044A (zh) | 用于可控装置访问的系统和方法 | |
| CN105430000A (zh) | 云计算安全管理系统 | |
| CN109088848A (zh) | 一种智能网联汽车信息安全保护方法 | |
| CN105656860A (zh) | Android系统的安全管控方法、装置及其系统 | |
| CN109302404A (zh) | 一种广域运维系统的远程维护操作认证方法 | |
| CN103941652A (zh) | 一种适用于各类dcs生产控制系统安全防护与安全审计的方法与装置 | |
| CN104282058A (zh) | 基于蓝牙的带视频监控的安全智能锁系统的开锁方法 | |
| CN104253813A (zh) | 一种基于调变一体化系统远程维护的安全防护方法 | |
| CN106603488A (zh) | 一种基于电网统计数据搜索方法的安全系统 | |
| CN110798474A (zh) | 基于北斗短报文通信方式的电力数据传输安全防护系统 | |
| CN107920089A (zh) | 一种智能网荷互动终端信息安全防护认证加密方法 | |
| CN111435390A (zh) | 一种配电终端运维工具安全防护方法 | |
| CN104282060A (zh) | 一种安全智能锁系统的开锁方法 | |
| CN115174157A (zh) | 一种继电保护远程运维网络安全多级阻断方法及系统 | |
| CN101118639A (zh) | 安全电子人口普查系统 | |
| CN104282059A (zh) | 基于蓝牙的带视频监控的安全智能锁系统及开、关锁方法 | |
| Alcaraz et al. | OCPP in the spotlight: threats and countermeasures for electric vehicle charging infrastructures 4.0 | |
| CN103259689A (zh) | 一种对设备进行密码变更以及发生故障后密码恢复的方法 | |
| CN1738241A (zh) | 基于远程分布式组件的身份认证的安全控制方法 | |
| CN101159733A (zh) | 电子突发事件管理系统 | |
| CN111236105A (zh) | 车位锁的管理方法、装置、系统及车位锁 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |