WO2021068453A1

WO2021068453A1 - 一种基于报文置换的电网调度远方操作安全许可方法

Info

Publication number: WO2021068453A1
Application number: PCT/CN2020/078907
Authority: WO
Inventors: 汤震宇; 刘明慧; 代小翔; 曹翔; 胡绍谦
Original assignee: 南京南瑞继保电气有限公司; 南京南瑞继保工程技术有限公司
Priority date: 2019-10-09
Filing date: 2020-03-12
Publication date: 2021-04-15
Also published as: CN110768965A; CN110768965B

Abstract

本发明公开一种基于报文置换的电网调度远方操作安全许可方法，该方法在调度端前置机通信出口的网络通道上增加设置操作许可安全网关，该网关中内置的基于Ukey安全许可模块在校验身份合法后输入是否允许本次操作的许可指令，该网关中操作安全控制模块收到不许可的指令后对原始报文进行识别，对非操作报文不做任何修改直接转发，对操作报文的应用层数据段置零值后转发而对该报文其他网络协议层保持原样不变转发，从而在保持通信过程不变的情况下将过路的操作报文改为无效，阻断操作命令的执行。本发明可以实现在不改变调度通信路由参数环境的前提下对操作命令进行是否许可执行的安全管控，具有适应性强、部署简单、安全有效、无感介入的特点。

Description

一种基于报文置换的电网调度远方操作安全许可方法

技术领域

本发明属于电力自动化远程监控技术领域，特别涉及一种基于报文置换的电网调度远方操作安全许可方法。

背景技术

随着电力系统二次系统的网络化、数字化和智能化，电力系统二次监控系统的网络安全变得日益迫切，电力监控系统尤其是存量运行的监控系统，其调度端远方操作存在许可路径单一、许可安全管控部署扰动性大等问题，主要有：

1)调度端远方操作目前仅仅由操作员工作站进行操作，在操作的时候虽然有操作员和监护员双重认证，但是实际在网络上这种操作许可的路径是单一的，都是从操作员工作站到前置机到纵向加密认证装置，如果调度机房中计算机网络系统受到病毒感染等网络入侵攻击，机房中的操作员工作站和前置机都将变得不可靠，那这种单一路径的操作许可的安全性将大打折扣。

2)在存量电力监控系统中部署第二条路径的操作许可安全管控措施，一般会带来对运行系统的较大干扰，比如会导致前置机、纵向加密认证装置、厂站端通信网关机的通信对象的变化，导致网络路由器、纵向加密认证装置等网络交换设备的参数修改，这些通信环境参数的变化将导致系统稳定性大大下降或者调试工作量的大幅度增加。

发明内容

本发明的目的在于提出一种基于报文置换的电网调度远方操作安全许可方法，通过在调度端远方操作的前置机通信出口的网络通道上增加设置操作许可安全网关，在该网关中内置的基于Ukey的安全许可模块在校验身份合法后输入是否允许本次操作的许可指令，该网关中操作报文安全控制模块收到不许可的指令后对操作报文进行识别，对非操作报文不做任何修改原样转发，对操作报文的应用层数据段置零值而对该报文其他网络协议层保持原样不变转发，从而在保持通信过程不变的情况下将过路的操作报文改为无效，以此阻断操作命令的执行。

为了达成上述目的，本发明采用的技术方案如下：

本发明实施例提供一种基于报文置换的电网调度远方操作安全许可方法，包括：

在调度端的前置机和纵向加密认证装置之间部署操作许可安全网关；

操作许可安全网关对接入的Ukey进行身份合法性校验；

根据Ukey身份合法性校验结果，输入调度端前置机发送的远方操作是否被许可的指令；

根据所述远方操作是否被许可的指令，对调度端前置机发送的远方操作进行识别和转发。

进一步的，所述操作许可安全网关配置：

一个对上通信网口，用于和调度端的前置机连接；

一个对下通信网口，用于和调度端的纵向加密认证装置连接；

一个USB口，用于Ukey接入；

以及一个VGA口，用于显示器人机界面接入。

进一步的，所述操作许可安全网关内置：

基于Ukey的安全许可模块，用于进行Ukey的身份验证，以及处理远方操作是否许可的指令输入；

和操作安全控制模块，用于根据所述远方操作是否许可的指令，对对上通信网口和对下通信网口之间的原始报文进行识别和转发。

进一步的，所述操作许可安全网关对接入的Ukey进行身份合法性校验，包括：

基于Ukey的安全许可模块通过公钥体系的验签机制对操作许可员接入USB口的Ukey进行身份合法性校验。

进一步的，所述根据Ukey身份合法性校验结果，输入调度端前置机发送的远方操作是否被许可的指令，包括：

对接入USB口的Ukey确认身份合法后，通过在显示器人机界面上输入对调度端前置机发送的远方操作许可或者不许可的指令。

进一步的，所述操作安全控制模块对对上通信网口和对下通信网口之间的原始报文进行识别和转发，包括：

如果收到对远方操作的许可指令，则在对上通信网口和对下通信网口之间双向直接转发原始报文，不做任何修改；

如果收到对远方操作的不许可指令，则对对上通信网口向对下通信网口发送的原始报文进行应用层分析，识别是否为操作报文；

如果是非操作报文，则不做任何修改直接转发原始报文；

如果是操作报文，则将应用层数据段内容全部修正置换为零字符，并保持操作报文的字节数长度不变，重新计算TCP校验值，将修正置零后的操作报文继续向对下通信网口转发。

进一步的，所述对对上通信网口向对下通信网口发送的原始报文进行应用层分析，识别是否为操作报文，包括：根据具体的通信报文规约定义对报文应用层数据段中内容是否为操作指令进行鉴别，如果是操作指令则识别为操作报文，如果不是操作指令则识别为非操作报文。

进一步的，对不许可的操作报文在其他网络协议层保持原始报文不变转发。

进一步的，对于对下通信网口向对上通信网口转发的报文始终保持直接转发原始报文，不做任何修改。

本发明的有益效果是：能在不改变调度通信路由参数环境的前提下增加第二条路径对操作命令进行是否许可执行的安全管控，具有适应性强、部署简单、安全有效的特点。

附图说明

图1为本发明中的操作许可安全网关部署示意图；

图2为本发明中的基于Ukey的安全许可模块逻辑实现示意图；

图3为本发明中的操作安全控制模块逻辑实现示意图。

具体实施方式

下面对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

本发明提供一种基于报文置换的电网调度远方操作安全许可方法，通过基于Ukey的安全许可模块和操作报文安全控制模块实现。

参见图1，在调度端的前置机和纵向加密认证装置之间部署操作许可安全网关，使得调度端操作员工作站的操作命令在经过前置机后都经由操作许可安全网关再到纵向加密认证装置出口。

本发明实施例中，操作许可安全网关，在硬件接口上具备一个对上通信网口用于和调度端前置机连接、一个对下通信网口用于和调度端纵向加密认证装置连接、一个USB口用于Ukey接入、以及一个VGA口用于连接显示器人机界面。

本发明实施例的操作许可安全网关内置基于Ukey的安全许可模块用于处理远方操作是否许可的指令输入，以及操作安全控制模块用于在是否许可的指令下对操作报文进行识别和转发。所有的前置机对下通信均经由操作许可安全网关到达调度端的纵向加密认证装置。操作许可安全网关的配置数量和纵向加密认证装置一一对应。

本发明实施例的操作许可安全网关本身不具备IP地址，其对前置机和纵向加密认证装置之间的通信是无感透明的。

参见图2，基于Ukey的安全许可模块通过公钥体系的验签机制对操作许可员接入USB口的Ukey进行身份合法性校验，在确认操作许可员身份合法后通过在VGA口连接的显示器人机界面上输入对调度端前置机过来的远方操作许可或者不许可的指令，并将该指令传递到操作安全控制模块。

参见图3，操作安全控制模块在操作许可安全网关的对上通信网口和对下通信网口之间建立原始报文识别和转发的机制，如果收到对远方操作的许可指令，则在对上通信网口和对下通信网口之间双向直接转发原始报文，不做任何修改；如果收到对远方操作的不许可指令，则对对上通信网口向对下通信网口发送的原始报文进行应用层分析，根据具体的通信报文规约定义对报文应用层数据段中内容是否为操作指令进行鉴别，如果是操作指令则识别为操作报文，如果不是操作指令则识别为非操作报文。

对非操作报文不做任何修改直接转发原始报文，对操作报文将应用层数据段内容全部修正置换为零字符，并保持操作报文的字节数长度不变，然后重新计算TCP校验值，然后将修正置零后的操作报文继续向对下通信网口转发。需要注意的是，对该不许可的操作报文在其他网络协议层保持原样不变转发，从而实现了在保持通信过程不变的情况下，将过路的操作报文修正为无效报文，以此阻断操作命令的执行。

同时不管收到基于Ukey的安全许可模块下发的指令是许可还是不许可，对下通信网口向对上通信网口转发的报文始终保持直接转发原始报文，不做任何修改。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。

Claims

一种基于报文置换的电网调度远方操作安全许可方法，其特征在于，包括：

在调度端的前置机和纵向加密认证装置之间部署操作许可安全网关；

操作许可安全网关对接入的Ukey进行身份合法性校验；

根据Ukey身份合法性校验结果，输入调度端前置机发送的远方操作是否被许可的指令；

根据所述远方操作是否被许可的指令，对调度端前置机发送的远方操作进行识别和转发。
根据权利要求1所述的一种基于报文置换的电网调度远方操作安全许可方法，其特征在于，所述操作许可安全网关配置：

一个对上通信网口，用于和调度端的前置机连接；

一个对下通信网口，用于和调度端的纵向加密认证装置连接；

一个USB口，用于Ukey接入；

以及一个VGA口，用于显示器人机界面接入。
根据权利要求2所述的一种基于报文置换的电网调度远方操作安全许可方法，其特征在于，所述操作许可安全网关内置：

基于Ukey的安全许可模块，用于进行Ukey的身份验证，以及处理远方操作是否许可的指令输入；

和操作安全控制模块，用于根据所述远方操作是否许可的指令，对对上通信网口和对下通信网口之间的原始报文进行识别和转发。
根据权利要求3所述的一种基于报文置换的电网调度远方操作安全许可方法，其特征在于，所述操作许可安全网关对接入的Ukey进行身份合法性校验，包括：

基于Ukey的安全许可模块通过公钥体系的验签机制对操作许可员接入USB口的Ukey进行身份合法性校验。
根据权利要求3所述的一种基于报文置换的电网调度远方操作安全许可方法，其特征在于，所述根据Ukey身份合法性校验结果，输入调度端前置机发送的远方操作是否被许可的指令，包括：

对接入USB口的Ukey确认身份合法后，通过在显示器人机界面上输入对调度端前置机发送的远方操作许可或者不许可的指令。
根据权利要求3所述的一种基于报文置换的电网调度远方操作安全许可方法，其特征在于，所述操作安全控制模块对对上通信网口和对下通信网口之间的原始报文进行识别和转发，包括：

如果收到对远方操作的许可指令，则在对上通信网口和对下通信网口之间双向直接转发原始报文，不做任何修改；

如果收到对远方操作的不许可指令，则对对上通信网口向对下通信网口发送的原始报文进行应用层分析，识别是否为操作报文；

如果是非操作报文，则不做任何修改直接转发原始报文；

如果是操作报文，则将应用层数据段内容全部修正置换为零字符，并保持操作报文的字节数长度不变，重新计算TCP校验值，将修正置零后的操作报文继续向对下通信网口转发。
根据权利要求6所述的一种基于报文置换的电网调度远方操作安全许可方法，其特征在于，所述对对上通信网口向对下通信网口发送的原始报文进行应用层分析，识别是否为操作报文，包括：根据具体的通信报文规约定义对报文应用层数据段中内容是否为操作指令进行鉴别，如果是操作指令则识别为操作报文，如果不是操作指令则识别为非操作报文。
根据权利要求6所述的一种基于报文置换的电网调度远方操作安全许可方法，其特征在于，对不许可的操作报文在其他网络协议层保持原始报文不变转发。
根据权利要求6所述的一种基于报文置换的电网调度远方操作安全许可方法，其特征在于，对于对下通信网口向对上通信网口转发的报文始终保持直接转发原始报文，不做任何修改。