CN112491929B - 一种基于数纹特征识别的信息安全方法 - Google Patents

一种基于数纹特征识别的信息安全方法 Download PDF

Info

Publication number
CN112491929B
CN112491929B CN202011477353.2A CN202011477353A CN112491929B CN 112491929 B CN112491929 B CN 112491929B CN 202011477353 A CN202011477353 A CN 202011477353A CN 112491929 B CN112491929 B CN 112491929B
Authority
CN
China
Prior art keywords
authority
client
message
configuration file
information security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011477353.2A
Other languages
English (en)
Other versions
CN112491929A (zh
Inventor
秦红霞
徐刚
张月品
肖远清
房同忠
王丽华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Sifang Automation Co Ltd
Beijing Sifang Engineering Co Ltd
Original Assignee
Beijing Sifang Automation Co Ltd
Beijing Sifang Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Sifang Automation Co Ltd, Beijing Sifang Engineering Co Ltd filed Critical Beijing Sifang Automation Co Ltd
Priority to CN202011477353.2A priority Critical patent/CN112491929B/zh
Publication of CN112491929A publication Critical patent/CN112491929A/zh
Application granted granted Critical
Publication of CN112491929B publication Critical patent/CN112491929B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Remote Monitoring And Control Of Power-Distribution Networks (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明提出了一种基于数纹特征识别的信息安全方法,可提高服务端设备的通信安全性。为每个客户端设备,由用户根据变电站功能分配要求,精准分配操作权限。操作权限限定范围为遥控操作、定值操作、下装文件操作。服务端设备收到客户端设备的通信报文后,从TCP层实时报文中提取数纹特征,对报文进行信息安全处理。拦截非法报文,非法报文计入审计日志,实现服务端设备的信息安全管控。本发明为变电站服务端设备提供了防止客户端以合法身份连接服务端设备并发出无操作权限的非法操作的能力,提高了服务端设备的通信信息安全性。

Description

一种基于数纹特征识别的信息安全方法
技术领域:
本发明属于电力系统自动化领域,具体涉及到一种基于数纹特征识别的信息安全方法。
背景技术:
变电站通信系统的数据流中,从间隔层视角出发,可分为上行数据和下行数据。间隔层服务端设备上送到站控层客户端设备的主要是遥测、遥信、保护动作、告警、定值、录波文件等上行数据,这类数据不会危害一次设备正常运行。下行数据包括客户端设备对服务端设备下发的遥控操作、修改定值操作、下装文件操作等命令。遥控操作类命令可直接造成一次开关设备的分合,修改定值操作可造成保护误动拒动,下装文件可造成间隔层IED运行异常无法恢复等严重问题。
对于服务端设备,一方面需要通过登录密码验证及用户权限设置,防止从液晶发出非法操作。另一方面需要对通信报文发出的操作命令加强安全防护。通信安全机制,目前主要的变电站通信安全标准是IEC62351,其采用的技术手段是通信过程中增加数字证书和数据加密,实现通信安全。由于电网中变电站客户端设备总体数量巨大,数字证书和加密秘钥的管理会大大增加变电站运维的复杂性。因此在变电站内站控层通信网络并未采用IEC62351安全机制,仅在1-2个试点站进行过试点。
权限管控通常都是在变电站设备的操作界面实现,比如监控系统的人机界面,嵌入式间隔层设备和远动设备的的液晶操作界面进行限制。目前变电站间隔层设备在通信时不具备识别客户端是否有操作权限的能力。虽然可以通过IP白名单识别出客户端是否为合法身份,但如果以合法身份发出无权限操作,则无防护机制。在IEC62351不具备大面积推广的情况下,变电站间隔层设备的信息安全可以从防止无权限的恶意操作这种后果较严重的情景出发,制定防护措施。
发明内容:
为加强服务端设备通信信息安全性,有效防护客户端设备发出非法操作,利用《DLT 860通信报文》规范APDU帧格式特点,本发明提出了一种基于数纹特征识别的信息安全技术,可提高服务端设备的信息安全性。
本发明具体采用以下技术方案:
一种基于数纹特征识别的信息安全方法,其特征在于,所述信息安全方法包括以下步骤:
步骤1:为客户端分配操作权限,生成权限配置文件;
步骤2:服务器启动时,搜索客户端的权限配置文件,当搜索到权限配置文件,则开启数纹特征识别功能并将安全过滤标志设置为TRUE,然后进入步骤3;否则将安全过滤标志设置为FALSE;
步骤3:根据搜索到的权限配置文件自动生成数纹特征库;
步骤4:服务器从客户端接收通信报文,当安全过滤标志为TRUE,则从每帧报文中提取数纹特征信息;否则直接将报文发送至上层应用进行处理;
步骤5:将步骤4所提取的数纹特征信息,转为样本特征向量,与数纹特征库中的样本特征向量进行匹配;如果匹配成功,则判定为合法报文,否则为非法报文;
步骤6:将合法报文传输给应用层,非法报文记入审计日志并将其丢弃。
本发明进一步包括以下优选实施例:
在所述步骤1中,所述操作权限的分配包括对变电站操作权限的分配;所述操作权限限定范围包括遥控操作、定值操作与下载文件操作;
其中,所述遥控操作权限细分为操作遥控预选权限、遥控执行权限、遥控撤销权限;所述定值操作权限包括、切换运行区权限、切换编辑区权限、写定值权限、固化定值权限。
在步骤1中,采用权限配置文件记录操作权限规则;权限配置文件中,客户端用IP地址标识和对应的角色标识;所述客户端角色分为本地监控后台、本地操作员站、远动、保信子站。
所述操作权限用一个16位整数表示,每位表示一个特定的操作权限是否开放,对应位置1表示开放,0表示关闭。
在步骤3中,所述数纹特征库由合法的样本向量组成;每个样本向量包含2个特征信息:客户端角色以及客户端所具备的操作权限;数纹特征库中的样本向量为权限配置文件中每对角色和权限的组合;
在所述步骤4中,从TCP层报文中直接提取数纹特征信息,提取的数纹特征信息包括:客户端IP地址,根据权限配置文件转换为客户端角色;APDU的第2个字节服务码SC,用于识别每个APDU的操作类型。
在所述步骤5中,所述实时报文中的客户端IP地址根据权限配置文件转化为客户端角色,与实时报文中的服务码SC结合计算出一个样本向量,用于与数纹特征库中的样本向量进行匹配。相对于现有技术,本发明具有以下有益的技术效果:
本发明为变电站服务端设备提供了防止客户端以合法身份连接服务端设备并发出无操作权限的非法操作的能力,提高了服务端设备的通信信息安全性。
附图说明:
图1是本发明的基于数纹特征识别的信息安全方法流程示意图;
具体实施方式:
下面结合说明书附图对本发明的技术方案作进一步详细介绍。
步骤1,为客户端分配操作权限;在采用《DLT 860通信报文》作为通信协议的变电站中,在进行系统集成联调之前,由用户根据变电站功能分配要求,为每个站控层设备精准分配操作权限。变电站操作权限范围仅包括遥控操作、定值操作操作、下装文件操作这些对安全隐患重大的操作。对于站控层设备读取定值、读取录波文件列表、读取录波文件等操作,不进行权限限制。
采用权限配置文件authority.txt记录操作权限规则。权限配置文件中,客户端用IP地址标识和对应的角色标识。客户端角色分为本地监控后台、本地操作员站、远动、保信子站。因每个变电站客户端的IP地址不固定,但角色固定,因此权限按照角色分配具有可复制性。操作权限细分为遥控预选权限、遥控执行权限、遥控撤销权限、切换运行区权限、切换编辑区权限、写定值权限、固化定值权限、下装文件权限。操作权限用一个16位整数表示,每位表示一个特定的操作权限是否开放,对应位置1表示开放,置0表示关闭。
步骤2,服务端启动时,间隔层IED初始化时自动搜索authority.txt,搜索不到则不开启安全防护功能。此方式可灵活切换是否开启信息安全防护。当搜索到权限配置文件,则开启数纹特征识别功能并将安全过滤标志设置为TRUE,然后进入步骤3;否则将安全过滤标志设置为FALSE;
步骤3:根据权限配置文件自动生成数纹特征库;权限配置文件中每对角色和权限的组合关系,可以生成一个样本向量。数纹特征库由各种合法的样本向量组成。
步骤4:服务器从客户端接收通信报文,如果安全过滤标志为TRUE,则从每帧报文中提取数纹特征信息;否则直接将报文发送至上层应用进行处理;根据《DLT 860通信报文》APDU帧格式特点,提炼出APDU的数纹特征,包括2个实时报文中的特征信息:①客户端IP地址;②APDU的第2个字节服务码SC,用于识别每个APDU的操作类型。此2个特征信息,可以从每帧APDU的TCP层原始报文中很方便地提取出来。
步骤5:对步骤4所提取的数纹特征信息,转为样本特征向量,与数纹特征库中的样本特征向量匹配;实时报文中IP地址根据权限配置文件可以转化为客户端角色,与实时报文中的服务码SC,可以计算出一个样本向量,与数纹特征库中的样本向量进行匹配,如与数纹特征库中某样本匹配,则预测为合法报文;
步骤6,将合法报文发给上层应用处理。否则认为是非法操作报文,计入审计日志,并丢弃非法报文,无需传输给应用层处理。
本发明根据TCP层原始数据及数纹特征库,实现了对客户端无权限非法操作的安全防护,效率高。提高各变电站间隔层设备的信息安全性。
本发明的实施方式不限于此,在本发明上述基本技术思想前提下,按照本领域的普通技术知识和惯用手段对本发明内容所做出其它多种形式的修改、替换或变更,均落在本发明权利保护范围之内。

Claims (7)

1.一种基于数纹特征识别的信息安全方法,其特征在于,所述信息安全方法包括以下步骤:
步骤1:由用户根据变电站功能分配要求,为客户端分配操作权限,生成权限配置文件;所述权限配置文件中至少包含客户端IP地址、客户端角色标识、客户端权限、客户端实时报文类型及上述四者之间的关联关系;
步骤2:服务器启动时,搜索客户端的权限配置文件,当搜索到权限配置文件,则开启数纹特征识别功能并将安全过滤标志设置为TRUE,然后进入步骤3;否则将安全过滤标志设置为FALSE;
步骤3:根据搜索到的权限配置文件自动生成数纹特征库;
步骤4:服务器从客户端接收通信报文,当安全过滤标志为TRUE,则从每帧报文的APDU字段中提取包含客户端IP地址和APDU操作类型的数纹特征信息;否则直接将报文发送至上层应用进行处理;
步骤5:将步骤4所提取的数纹特征信息,转为样本特征向量,与数纹特征库中的样本特征向量进行匹配;如果匹配成功,则判定为合法报文,否则为非法报文;
步骤6:将合法报文传输给应用层,非法报文记入审计日志并将其丢弃。
2.根据权利要求1所述的基于数纹特征识别的信息安全方法,其特征在于:
在所述步骤1中,所述操作权限的分配包括对变电站操作权限的分配;所述操作权限限定范围包括遥控操作、定值操作与下载文件操作;
其中,所述遥控操作权限细分为操作遥控预选权限、遥控执行权限、遥控撤销权限;所述定值操作权限包括、切换运行区权限、切换编辑区权限、写定值权限、固化定值权限。
3.根据权利要求2所述的基于数纹特征识别的信息安全方法,其特征在于:在步骤1中,采用权限配置文件记录操作权限规则;权限配置文件中,客户端用IP地址标识和对应的角色标识;所述客户端角色分为本地监控后台、本地操作员站、远动、保信子站。
4.根据权利要求3所述的基于数纹特征识别的信息安全方法,其特征在于:
所述操作权限用一个16位整数表示,每位表示一个特定的操作权限是否开放,对应位置1表示开放,0表示关闭。
5.根据权利要求1所述的基于数纹特征识别的信息安全方法,其特征在于:
在步骤3中,所述数纹特征库由合法的样本向量组成;每个样本向量包含2个特征信息:客户端角色以及客户端所具备的操作权限;数纹特征库中的样本向量为权限配置文件中每对角色和权限的组合。
6.根据要求1中所述的信息安全方法,其特征在于:
在所述步骤4中,从TCP层报文中直接提取数纹特征信息,提取的数纹特征信息包括:客户端IP地址,根据权限配置文件转换为客户端角色;APDU的第2个字节服务码SC,用于识别每个APDU的操作类型。
7.根据权利要求6所述的信息安全方法,其特征在于:
在所述步骤5中,所述实时报文中的客户端IP地址根据权限配置文件转化为客户端角色,与实时报文中的服务码SC结合计算出一个样本向量,用于与数纹特征库中的样本向量进行匹配。
CN202011477353.2A 2020-12-15 2020-12-15 一种基于数纹特征识别的信息安全方法 Active CN112491929B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011477353.2A CN112491929B (zh) 2020-12-15 2020-12-15 一种基于数纹特征识别的信息安全方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011477353.2A CN112491929B (zh) 2020-12-15 2020-12-15 一种基于数纹特征识别的信息安全方法

Publications (2)

Publication Number Publication Date
CN112491929A CN112491929A (zh) 2021-03-12
CN112491929B true CN112491929B (zh) 2023-06-20

Family

ID=74917082

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011477353.2A Active CN112491929B (zh) 2020-12-15 2020-12-15 一种基于数纹特征识别的信息安全方法

Country Status (1)

Country Link
CN (1) CN112491929B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007036178A1 (de) * 2005-09-29 2007-04-05 Siemens Aktiengesellschaft Verfahren zum ausführen einer geschützten funktion eines elektrischen feldgerätes und elektrisches feldgerät
CN101232203A (zh) * 2006-12-28 2008-07-30 通用电气公司 用于智能电子装置中基于角色的访问的装置、方法和系统
CN101383994A (zh) * 2007-09-07 2009-03-11 凤凰微电子(中国)有限公司 一种apdu命令的数据处理方法
CN104702599A (zh) * 2015-02-16 2015-06-10 中国南方电网有限责任公司 一种mms规约应用层安全交互方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007036178A1 (de) * 2005-09-29 2007-04-05 Siemens Aktiengesellschaft Verfahren zum ausführen einer geschützten funktion eines elektrischen feldgerätes und elektrisches feldgerät
CN101232203A (zh) * 2006-12-28 2008-07-30 通用电气公司 用于智能电子装置中基于角色的访问的装置、方法和系统
CN101383994A (zh) * 2007-09-07 2009-03-11 凤凰微电子(中国)有限公司 一种apdu命令的数据处理方法
CN104702599A (zh) * 2015-02-16 2015-06-10 中国南方电网有限责任公司 一种mms规约应用层安全交互方法

Also Published As

Publication number Publication date
CN112491929A (zh) 2021-03-12

Similar Documents

Publication Publication Date Title
CN106789015B (zh) 一种智能配电网通信安全系统
CN116488939A (zh) 计算机信息安全监测方法、系统及存储介质
CN104506500A (zh) 一种基于变电站的goose报文认证方法
CN102118353B (zh) 一种工业互联网远程维护系统的指令安全审计方法
CN111988328A (zh) 一种新能源厂站发电单元采集终端数据安全保障方法及系统
CN111404886A (zh) 一种电力计量终端和电力计量平台
CN114710353A (zh) 一种基于AIoT智能边缘网关的风险管控系统
CN114389896A (zh) 一种建立安全数据通讯的方法及装置
CN105812338B (zh) 一种数据访问管控方法及网络管理设备
CN112491929B (zh) 一种基于数纹特征识别的信息安全方法
CN117714495A (zh) 一种用于智能电表的检定云管理系统
CN116827680A (zh) 一种电力物联网数据安全保护方法
CN116049875A (zh) 一种基于去中心化技术的区块链数据安全及隐私保护系统
CN115694931A (zh) 一种继电保护远程运维入侵预防与检测方法和系统
CN115361273A (zh) 基于区块链的电力运维安全监管与应急管控系统及方法
Zhang et al. Design and implementation of IEC61850 communication security protection scheme for smart substation based on bilinear function
CN107483870A (zh) 网络视频通讯系统
CN212433757U (zh) 设备运维作业安全防护系统
CN114531266A (zh) 一种基于中间数据库的配电网数据防护系统及其方法
CN111935120A (zh) 一种电力系统规约通用加解密装置及其加密、解密方法
CN109788249B (zh) 基于工业互联网操作系统的视频监控控制方法
CN112104637A (zh) 一种安全网关隔离方法及外网数据发送至内网的方法
CN215897739U (zh) 一种远程子站调取录波文件的终端
CN112615740A (zh) 输电网通信安全系统
CN115051840B (zh) 一种数据传输用安全监控系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant