技术领域:
本发明属于电力系统自动化领域,具体涉及到一种基于数纹特征识别的信息安全方法。
背景技术:
:
变电站通信系统的数据流中,从间隔层视角出发,可分为上行数据和下行数据。间隔层服务端设备上送到站控层客户端设备的主要是遥测、遥信、保护动作、告警、定值、录波文件等上行数据,这类数据不会危害一次设备正常运行。下行数据包括客户端设备对服务端设备下发的遥控操作、修改定值操作、下装文件操作等命令。遥控操作类命令可直接造成一次开关设备的分合,修改定值操作可造成保护误动拒动,下装文件可造成间隔层ied运行异常无法恢复等严重问题。
对于服务端设备,一方面需要通过登录密码验证及用户权限设置,防止从液晶发出非法操作。另一方面需要对通信报文发出的操作命令加强安全防护。通信安全机制,目前主要的变电站通信安全标准是iec62351,其采用的技术手段是通信过程中增加数字证书和数据加密,实现通信安全。由于电网中变电站客户端设备总体数量巨大,数字证书和加密秘钥的管理会大大增加变电站运维的复杂性。因此在变电站内站控层通信网络并未采用iec62351安全机制,仅在1-2个试点站进行过试点。
权限管控通常都是在变电站设备的操作界面实现,比如监控系统的人机界面,嵌入式间隔层设备和远动设备的的液晶操作界面进行限制。目前变电站间隔层设备在通信时不具备识别客户端是否有操作权限的能力。虽然可以通过ip白名单识别出客户端是否为合法身份,但如果以合法身份发出无权限操作,则无防护机制。在iec62351不具备大面积推广的情况下,变电站间隔层设备的信息安全可以从防止无权限的恶意操作这种后果较严重的情景出发,制定防护措施。
技术实现要素:
:
为加强服务端设备通信信息安全性,有效防护客户端设备发出非法操作,利用《dlt860通信报文》规范apdu帧格式特点,本发明提出了一种基于数纹特征识别的信息安全技术,可提高服务端设备的信息安全性。
本发明具体采用以下技术方案:
一种基于数纹特征识别的信息安全方法,其特征在于,所述信息安全方法包括以下步骤:
步骤1:为客户端分配操作权限,生成权限配置文件;
步骤2:服务器启动时,搜索客户端的权限配置文件,当搜索到权限配置文件,则开启数纹特征识别功能并将安全过滤标志设置为true,然后进入步骤3;否则将安全过滤标志设置为false;
步骤3:根据搜索到的权限配置文件自动生成数纹特征库;
步骤4:服务器从客户端接收通信报文,当安全过滤标志为true,则从每帧报文中提取数纹特征信息;否则直接将报文发送至上层应用进行处理;
步骤5:将步骤4所提取的数纹特征信息,转为样本特征向量,与数纹特征库中的样本特征向量进行匹配;如果匹配成功,则判定为合法报文,否则为非法报文;
步骤6:将合法报文传输给应用层,非法报文记入审计日志并将其丢弃。
本发明进一步包括以下优选实施例:
在所述步骤1中,所述操作权限的分配包括对变电站操作权限的分配;所述操作权限限定范围包括遥控操作、定值操作与下载文件操作;
其中,所述遥控操作权限细分为操作遥控预选权限、遥控执行权限、遥控撤销权限;所述定值操作权限包括、切换运行区权限、切换编辑区权限、写定值权限、固化定值权限。
在步骤1中,采用权限配置文件记录操作权限规则;权限配置文件中,客户端用ip地址标识和对应的角色标识;所述客户端角色分为本地监控后台、本地操作员站、远动、保信子站。
所述操作权限用一个16位整数表示,每位表示一个特定的操作权限是否开放,对应位置1表示开放,0表示关闭。
在步骤3中,所述数纹特征库由合法的样本向量组成;每个样本向量包含2个特征信息:客户端角色以及客户端所具备的操作权限;数纹特征库中的样本向量为权限配置文件中每对角色和权限的组合;
在所述步骤4中,从tcp层报文中直接提取数纹特征信息,提取的数纹特征信息包括:客户端ip地址,根据权限配置文件转换为客户端角色;apdu的第2个字节服务码sc,用于识别每个apdu的操作类型。
在所述步骤5中,所述实时报文中的客户端ip地址根据权限配置文件转化为客户端角色,与实时报文中的服务码sc结合计算出一个样本向量,用于与数纹特征库中的样本向量进行匹配。相对于现有技术,本发明具有以下有益的技术效果:
本发明为变电站服务端设备提供了防止客户端以合法身份连接服务端设备并发出无操作权限的非法操作的能力,提高了服务端设备的通信信息安全性。
附图说明:
图1是本发明的基于数纹特征识别的信息安全方法流程示意图;
具体实施方式:
下面结合说明书附图对本发明的技术方案作进一步详细介绍。
步骤1,为客户端分配操作权限;在采用《dlt860通信报文》作为通信协议的变电站中,在进行系统集成联调之前,由用户根据变电站功能分配要求,为每个站控层设备精准分配操作权限。变电站操作权限范围仅包括遥控操作、定值操作操作、下装文件操作这些对安全隐患重大的操作。对于站控层设备读取定值、读取录波文件列表、读取录波文件等操作,不进行权限限制。
采用权限配置文件authority.txt记录操作权限规则。权限配置文件中,客户端用ip地址标识和对应的角色标识。客户端角色分为本地监控后台、本地操作员站、远动、保信子站。因每个变电站客户端的ip地址不固定,但角色固定,因此权限按照角色分配具有可复制性。操作权限细分为遥控预选权限、遥控执行权限、遥控撤销权限、切换运行区权限、切换编辑区权限、写定值权限、固化定值权限、下装文件权限。操作权限用一个16位整数表示,每位表示一个特定的操作权限是否开放,对应位置1表示开放,置0表示关闭。
步骤2,服务端启动时,间隔层ied初始化时自动搜索authority.txt,搜索不到则不开启安全防护功能。此方式可灵活切换是否开启信息安全防护。当搜索到权限配置文件,则开启数纹特征识别功能并将安全过滤标志设置为true,然后进入步骤3;否则将安全过滤标志设置为false;
步骤3:根据权限配置文件自动生成数纹特征库;权限配置文件中每对角色和权限的组合关系,可以生成一个样本向量。数纹特征库由各种合法的样本向量组成。
步骤4:服务器从客户端接收通信报文,如果安全过滤标志为true,则从每帧报文中提取数纹特征信息;否则直接将报文发送至上层应用进行处理;根据《dlt860通信报文》apdu帧格式特点,提炼出apdu的数纹特征,包括2个实时报文中的特征信息:①客户端ip地址;②apdu的第2个字节服务码sc,用于识别每个apdu的操作类型。此2个特征信息,可以从每帧apdu的tcp层原始报文中很方便地提取出来。
步骤5:对步骤4所提取的数纹特征信息,转为样本特征向量,与数纹特征库中的样本特征向量匹配;实时报文中ip地址根据权限配置文件可以转化为客户端角色,与实时报文中的服务码sc,可以计算出一个样本向量,与数纹特征库中的样本向量进行匹配,如与数纹特征库中某样本匹配,则预测为合法报文;
步骤6,将合法报文发给上层应用处理。否则认为是非法操作报文,计入审计日志,并丢弃非法报文,无需传输给应用层处理。
本发明根据tcp层原始数据及数纹特征库,实现了对客户端无权限非法操作的安全防护,效率高。提高各变电站间隔层设备的信息安全性。
本发明的实施方式不限于此,在本发明上述基本技术思想前提下,按照本领域的普通技术知识和惯用手段对本发明内容所做出其它多种形式的修改、替换或变更,均落在本发明权利保护范围之内。
1.一种基于数纹特征识别的信息安全方法,其特征在于,所述信息安全方法包括以下步骤:
步骤1:为客户端分配操作权限,生成权限配置文件;
步骤2:服务器启动时,搜索客户端的权限配置文件,当搜索到权限配置文件,则开启数纹特征识别功能并将安全过滤标志设置为true,然后进入步骤3;否则将安全过滤标志设置为false;
步骤3:根据搜索到的权限配置文件自动生成数纹特征库;
步骤4:服务器从客户端接收通信报文,当安全过滤标志为true,则从每帧报文中提取数纹特征信息;否则直接将报文发送至上层应用进行处理;
步骤5:将步骤4所提取的数纹特征信息,转为样本特征向量,与数纹特征库中的样本特征向量进行匹配;如果匹配成功,则判定为合法报文,否则为非法报文;
步骤6:将合法报文传输给应用层,非法报文记入审计日志并将其丢弃。
2.根据权利要求1所述的基于数纹特征识别的信息安全方法,其特征在于:
在所述步骤1中,所述操作权限的分配包括对变电站操作权限的分配;所述操作权限限定范围包括遥控操作、定值操作与下载文件操作;
其中,所述遥控操作权限细分为操作遥控预选权限、遥控执行权限、遥控撤销权限;所述定值操作权限包括、切换运行区权限、切换编辑区权限、写定值权限、固化定值权限。
3.根据权利要求2所述的基于数纹特征识别的信息安全方法,其特征在于:在步骤1中,采用权限配置文件记录操作权限规则;权限配置文件中,客户端用ip地址标识和对应的角色标识;所述客户端角色分为本地监控后台、本地操作员站、远动、保信子站。
4.根据权利要求3所述的基于数纹特征识别的信息安全方法,其特征在于:
所述操作权限用一个16位整数表示,每位表示一个特定的操作权限是否开放,对应位置1表示开放,0表示关闭。
5.根据权利要求1所述的基于数纹特征识别的信息安全方法,其特征在于:
在步骤3中,所述数纹特征库由合法的样本向量组成;每个样本向量包含2个特征信息:客户端角色以及客户端所具备的操作权限;数纹特征库中的样本向量为权限配置文件中每对角色和权限的组合。
6.根据要求1中所述的信息安全方法,其特征在于:
在所述步骤4中,从tcp层报文中直接提取数纹特征信息,提取的数纹特征信息包括:客户端ip地址,根据权限配置文件转换为客户端角色;apdu的第2个字节服务码sc,用于识别每个apdu的操作类型。
7.根据权利要求6所述的信息安全方法,其特征在于:
在所述步骤5中,所述实时报文中的客户端ip地址根据权限配置文件转化为客户端角色,与实时报文中的服务码sc结合计算出一个样本向量,用于与数纹特征库中的样本向量进行匹配。
技术总结