[发明专利]一种基于数纹特征识别的信息安全方法

说明书

本发明提出了一种基于数纹特征识别的信息安全方法，可提高服务端设备的通信安全性。为每个客户端设备，由用户根据变电站功能分配要求，精准分配操作权限。操作权限限定范围为遥控操作、定值操作、下装文件操作。服务端设备收到客户端设备的通信报文后，从TCP层实时报文中提取数纹特征，对报文进行信息安全处理。拦截非法报文，非法报文计入审计日志，实现服务端设备的信息安全管控。本发明为变电站服务端设备提供了防止客户端以合法身份连接服务端设备并发出无操作权限的非法操作的能力，提高了服务端设备的通信信息安全性。

技术领域：

本发明属于电力系统自动化领域，具体涉及到一种基于数纹特征识别的信息安全方法。

背景技术：

变电站通信系统的数据流中，从间隔层视角出发，可分为上行数据和下行数据。间隔层服务端设备上送到站控层客户端设备的主要是遥测、遥信、保护动作、告警、定值、录波文件等上行数据，这类数据不会危害一次设备正常运行。下行数据包括客户端设备对服务端设备下发的遥控操作、修改定值操作、下装文件操作等命令。遥控操作类命令可直接造成一次开关设备的分合，修改定值操作可造成保护误动拒动，下装文件可造成间隔层IED运行异常无法恢复等严重问题。

对于服务端设备，一方面需要通过登录密码验证及用户权限设置，防止从液晶发出非法操作。另一方面需要对通信报文发出的操作命令加强安全防护。通信安全机制，目前主要的变电站通信安全标准是IEC62351，其采用的技术手段是通信过程中增加数字证书和数据加密，实现通信安全。由于电网中变电站客户端设备总体数量巨大，数字证书和加密秘钥的管理会大大增加变电站运维的复杂性。因此在变电站内站控层通信网络并未采用IEC62351安全机制，仅在1-2个试点站进行过试点。

权限管控通常都是在变电站设备的操作界面实现，比如监控系统的人机界面，嵌入式间隔层设备和远动设备的的液晶操作界面进行限制。目前变电站间隔层设备在通信时不具备识别客户端是否有操作权限的能力。虽然可以通过IP白名单识别出客户端是否为合法身份，但如果以合法身份发出无权限操作，则无防护机制。在IEC62351不具备大面积推广的情况下，变电站间隔层设备的信息安全可以从防止无权限的恶意操作这种后果较严重的情景出发，制定防护措施。

发明内容：

为加强服务端设备通信信息安全性，有效防护客户端设备发出非法操作，利用《DLT 860通信报文》规范APDU帧格式特点，本发明提出了一种基于数纹特征识别的信息安全技术，可提高服务端设备的信息安全性。

本发明具体采用以下技术方案：

一种基于数纹特征识别的信息安全方法，其特征在于，所述信息安全方法包括以下步骤：

步骤1:为客户端分配操作权限，生成权限配置文件；

步骤2：服务器启动时，搜索客户端的权限配置文件，当搜索到权限配置文件，则开启数纹特征识别功能并将安全过滤标志设置为TRUE，然后进入步骤3；否则将安全过滤标志设置为FALSE；

步骤3：根据搜索到的权限配置文件自动生成数纹特征库；

步骤4:服务器从客户端接收通信报文，当安全过滤标志为TRUE，则从每帧报文中提取数纹特征信息；否则直接将报文发送至上层应用进行处理；

步骤5:将步骤4所提取的数纹特征信息，转为样本特征向量，与数纹特征库中的样本特征向量进行匹配；如果匹配成功，则判定为合法报文，否则为非法报文；

步骤6:将合法报文传输给应用层，非法报文记入审计日志并将其丢弃。

本发明进一步包括以下优选实施例：

在所述步骤1中，所述操作权限的分配包括对变电站操作权限的分配；所述操作权限限定范围包括遥控操作、定值操作与下载文件操作；