(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210753821.7 (22)申请日 2022.06.29 (71)申请人 国网河南省电力公司电力科 学研究 院 地址 450000 河南省郑州市二七区嵩 山南 路85号 申请人 河南能睿 科技有限公司 (72)发明人 韩伟　蔡得雨　杜兴伟　郭培　 马伟东　刘磊　王阳　段文岩　 陈宇　孔圣立　吴春红　党一奇　 刘超　乔利红　张峰　赵治博　 王书州　蒋科寻　石琳　蒋雨烟　 (74)专利代理 机构 北京智绘未来专利代理事务 所(普通合伙) 11689 专利代理师 张红莲　王萍(51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 12/46(2006.01) (54)发明名称 变电站二次设备调试文件权限检测方法及 安全管控 装置 (57)摘要 一种变电站二次设备调试文件权限检测方 法， 包括调试工具、 安全 管控装置和二次设备， 安 全管控装置串接在调试工具和二次设备之间， 包 括以下步骤： 步骤S1， 安全管控装置对调试工具 进行身份权 限检测， 若身份权限检测通过， 则在 调试工具和安全管控装置之间建立数据加密传 输通道， 并执行步骤S2； 步骤S2， 安全管控装置对 调试工具传输的调试文件进行报文特征提取， 并 将提取出的特征信息与授权信息进行匹配， 如果 匹配一致， 则调试文件已授予传输权 限， 并执行 步骤S3， 若匹配不一致， 则进行报文拦截并记录 日志； 步骤S3， 对调试工具进行MAC地址信息匹 配， 检测其 地址权限。 权利要求书2页 说明书6页 附图1页 CN 115118509 A 2022.09.27 CN 115118509 A 1.一种变电站二 次设备调试文件权限检测方法， 其特征在于， 包括调试工具、 安全管控 装置和二次设备， 安全管控 装置串接在调试工具和二次设备之间， 所述方法包括以下步骤： 步骤S1， 安全管控装置对调试工具进行身份权限检测， 若身份权限检测通过， 则在调试 工具和安全管控 装置之间建立数据加密 传输通道， 并执 行步骤S2； 步骤S2， 安全管控装置对调试工具传输的调试文件进行报文特征提取， 并将提取出的 特征信息与授权信息进行匹配， 如果匹配一致， 则调试文件已授予传输权限， 并执行步骤 S3， 若匹配不 一致， 则进行报文拦截并记录日志； 步骤S3， 对调试工具进行MAC地址信息匹配， 检测其地址权限， 地址权限通过后将步骤 S2所述调试文件转发至二次设备。 2.根据权利要求1所述的一种变电站二次设备调试文件权限检测方法， 其特 征在于， 所述身份权限检测为安全管控装置对调试工具的 “证书+PIN码+用户名/密码 ”三因子 身份认证； 其中， 认证过程包括： 将存有证书的Ukey插入调试工具； 在调试工具上依次输入 PIN码和用户名/密码； 安全管控装置检测PIN码和用户名/密码是否正确， 并检测证书是否 过期以及证书编码是否正确； 根据证书+PI N码+用户名/密码信息得到认证结果； 所述身份认证结果如下： 若PIN码或用户名/密码连续错误输入超过3次， 则身份权限检测失败， 进行持续设定时 长的禁止 输入措施， 且发出通道建立失败警示； 若UKey中存储的证书过期或者编码错误， 则身份权限检测 失败， 拒绝调试工具接入二 次设备； 若证书、 PI N码、 用户名/密码身份认证通过， 则身份权限检测通过。 3.根据权利要求1所述的一种变电站二次设备调试文件权限检测方法， 其特 征在于， 数据加密通道为S SLVPN数据加密通道， 采用分组加密算法加密。 4.根据权利要求3所述的一种变电站二次设备调试文件权限检测方法， 其特 征在于， SSLVPN数据加密传输通道通过构建虚拟网卡接管调试工具所有应用流量， SSLVPN数据 加密传输通道建立后调试工具禁用无线网卡， 安全管控装置对调试工具的报文数据进 行全 局代理转发。 5.根据权利要求1所述的一种变电站二次设备调试文件权限检测方法， 其特 征在于， 授权信息包括调试文件名、 调试文件大小、 调试文件MD5值、 工作人员姓名、 工作人员联 系电话、 二次设备厂商、 调试时间、 传输协议、 二次设备名称、 二次设备型号、 二次设备服务 端口、 安全管控 装置编号、 调试工具品牌、 调试工具 型号、 调试工具用户名、 调试工具mac 。 6.根据权利要求5所述的一种变电站二次设备调试文件权限检测方法， 其特 征在于， 报文特征提取包括： 获取待调试二次设备厂家通信协议报文的16进制特征字符串； 对 特征字符串进行分析、 裁剪获取厂家协议报文的关键字； 根据关键字对报文进行筛选、 提 取、 拆分、 拼接、 转码得到特 征信息。 7.根据权利要求6所述的一种变电站二次设备调试文件权限检测方法， 其特 征在于， 所述特征信息包括调试文件名、 调试文件大小、 调试文件MD5值和特征码流量信息， 其 中， 特征码流量信息为 步骤1所述授权信息经 过标准hash算法计算得到的特 征码流量信息。 8.根据权利要求1所述的一种变电站二次设备调试文件权限检测方法， 其特 征在于， 所述步骤S3包括：权　利　要　求　书 1/2 页 2 CN 115118509 A 2S301， 采集调试工具的MAC地址； S302， 将MAC地址与已存储的授权信息进行匹配， 若匹配不通过， 则 进行报文拦截、 会话 阻断， 并予以界面弹出框警示， 若匹配通过， 则执 行S303； S303， 将调试文件代理转发到二次设备。 9.根据权利要求8所述的一种变电站二次设备调试文件权限检测方法， 其特 征在于， 所述MAC地址为以太网卡MAC地址 。 10.基于权利要求1至9中任一项所述的变电站二 次设备调试文件权限检测方法的变电 站二次设备调试文件权限检测安全管控 装置， 其特 征在于， 安全管控装置包括身份权限检测模块、 传输权限检测模块、 存储模块、 文件权限检测模 块和地址 权限检测模块； 所述身份权限检测模块用于对调试工具进行身份权限检测； 传输权限检测模块用于对调试文件进行报文特征提取， 并判断特征信 息与授权信 息是 否匹配， 如果 一致， 则通过传输 权限； 存储模块用于存 储授权信息； 文件权限检测模块用于对流经安全管控装置的报文进行读取分析， 获取所需文件信 息， 并根据获取的文件信息与安全管控 装置本地的授权信息进行信息匹配； 地址权限检测模块用于判断调试工具的MAC地址是否与授权信息匹配。权　利　要　求　书 2/2 页 3 CN 115118509 A 3