基于语义抽象表示的继电保护装置数据采集权限管理方法
【技术领域】
[0001] 本发明涉及一种基于语义抽象表示的继电保护装置数据采集权限管理方法,属于 电力通信安全技术领域。
【背景技术】
[0002] 电力系统站控层与间隔层设备的安全通讯方法,目前主要集中在电力系统防火墙 方面,主要防御的是TCP/IP的常见攻击行为,对于通讯的语义解析较死板,对于安全规则 的编写需要用户掌握大量的底层协议,难于实际推广。
[0003] 传统的安全审计主要是以防止网络攻击以及非法接入设备为主导的,主要是对网 络两端的设备的MAC地址、访问的PORT号、报文长度、TCP异常报文(如半连接攻击)。由 于直接对报文语义进行解析不能够完整了解语义,例如传统IEC60870-103协议为例,其以 组号、条目号表示一个具体的操作对象,而组号、条目号对应得对象是否能否操作,能进行 何种操作很难仅仅凭报文判定。在语义解析方面,南瑞集团公司的"USAP3000-SDS安全数 据交换系统"较为先进,其能够理解常见电力系统的语言格式,采用格式模板形式对"合法 数据格式的识别,针对特定的电力协议规约需制定不同的格式模板","建立模式库规则进 行识别"。但存在以下缺点:1)由于传统电力协议为了保证通讯效率及协议的广泛适应性, 其对传统电力协议报文的解析不能够做到精细的区分每个豹纹的权限,例如跳开母联刀闸 的命令和跳开隔离刀的命令在103报文中区别仅仅在于点号不同;2)由于采用模板匹配的 方式、学习难度大、终端电力系统运维人员很难理解,很难参与安全规则的制定,而安全规 则又很容易变化,造成实际运行时仅仅能针对某几种安全规则做过滤。
【发明内容】
[0004] 发明目的:为了克服现有技术中存在的不足,本发明提供一种基于语义抽象表示 的继电保护装置数据采集权限管理方法。
[0005] 技术方案:为解决上述技术问题,本发明采用的技术方案为:
[0006] 一种基于语义抽象表示的继电保护装置数据采集权限管理方法,其特征在于,包 括以下步骤:
[0007] 1)利用中间代理完成电力系统站控层装置与间隔层自动化设备的通讯,站控层装 置与间隔层设备不直接通讯、无物理连接;实现物理隔离,避免站控层装置被直接访问到;
[0008] 2)中间代理与站控层装置之间采用类自然语言的方式通讯,有利于终端运维人 员、审计人员记录和理解实际通讯的内容是否符合安全规范;
[0009] 3)中间代理判断站控层装置的请求是否满足安全规则,通过规则检查的站控层请 求方可到代理执行;
[0010] 4)中间代理与站控层装置采用标准电力通讯规约通讯,完成代理工作,实现与间 隔层设备的互联,并将结果以数值、文字形式返回站控层装置,并记录通讯报文内容,通讯 报文的语义,以便检索和审计。
[0011] 作为优选方案,所述的基于语义抽象表示的继电保护装置数据采集权限管理方 法,其特征在于:中间代理的安全规则的制定采用基于语义网络的抽象表达的交互方式。
[0012] 作为优选方案,所述的基于语义抽象表示的继电保护装置数据采集权限管理方 法,其特征在于:中间代理与站控层装置采用标准电力通讯规约IEC60870-103通讯。
[0013] 有益效果:本发明提供的基于语义抽象表示的继电保护装置数据采集权限管理方 法,利用中间代理设备将电力系统站控层装置与间隔层自动化设备隔离开来,由中间代理 做安全审计后,把相应的操作请求转发至站控层装置,充分考虑到实际操作及权限表达的 复杂性,利用物理世界的实物可穷举的特点,设计了基于语义网络的电力系统站控层装置 与间隔层自动化设备的通讯方法。实际应用中,根据不同的场合穷举出物理设备、属性值即 可很容易的同电力系统的安全权限要求相结合,有利于运维人员对权限的控制和操作;同 时解决了传统电力协议采用报文交互的模式,而采用文本交互,利于校验审计,并可方便的 按语义做检索和查询。
【附图说明】
[0014] 图1为本发明的系统框架图;
[0015] 图2为本发明中实施例图。
【具体实施方式】
[0016] 下面结合实施例和附图对本发明作更进一步的说明。
[0017] -、如图1所示,为一种基于语义抽象表示的继电保护装置数据采集权限管理方 法,其特征在于,包括以下步骤:
[0018] 1)利用中间代理完成电力系统站控层装置与间隔层自动化设备的通讯,站控层装 置与间隔层设备不直接通讯、无物理连接;实现物理隔离,避免站控层装置被直接访问到;
[0019] 2)中间代理与站控层装置之间采用类自然语言的方式通讯,站控层装置如监控后 台系统等,无需直接了解间隔层设备的规约即可采用类自然语言方式与中间代理通讯,实 现所需的功能;有利于终端运维人员、审计人员记录和理解实际通讯的内容是否符合安全 规范;
[0020] 3)中间代理判断站控层装置的请求是否满足安全规则,通过规则检查的站控层请 求方可到代理执行,其中安全规则的制定采用基于语义网络的抽象表达的交互方式,利于 用户参与和制定;可以有效的穷举出物理实物、关系类型、约束表达式运算关系;
[0021] 4)中间代理与站控层装置采用标准电力通讯规约通讯,并记录通讯报文内容,通 讯报文的语义,以便检索和审计。
[0022] 二、基于物理实物模型的语义抽象表示方法
[0023] 语义抽象表示方法目的在于满足权限管理的灵活需求的基础上、尽可能减少语义 实物和关系的数量,以方便建模以及计算机自动化处理。
[0024] A)实物:可以用名称表示某一行为的主体或行为的对象物。分为物理实物和抽象 事物。物理实物如"变压器"、"保护"、"录波器",抽象实物如"电压"、"遥测量"、"录波文件" 等;
[0025] B)原子属性:预先设定的物理量,如电流、电压、质量、距离、时间、个数;
[0026] C)导出属性:由原子属性组合而成的物理量和概念属性,及不需要解析语义的键 值对。
[0027] D)关系:合成关系、隶属关系、引用关系,数学约束关系。
[0028] E)动作:一组实现预定好的可以采取的操作,为动词,如打开、关闭、读取、写入、 初始化、握手等。
[0029] 三、物理实物模型的语义抽象表示方法的编码方式
[0030] 本编码方式为实现上文基于物理实物模型的语义抽象表示方法而制定的一组通 讯编码,用于实际电力系统站控层装置与中间代理的通讯。
[0031] A)实物,编码为英文或英文缩写如变压器编码为TRANSFORM;
[0032] B)原子属性,编码为英文或英文缩写如变压器编码为电流为CURRENT;
[0033] C)导出属性,本质上为原子属性的组合,组合关系表达为各个原子属性为参量的 函数关系fx (原子属性1,原子属性2*"),函数关系fx的通讯编码为functionAttribute_ Resistance(CURRENT,VOLTAGE) (Attribute_Resistance=CURRENT/VOLTAGE);
[0034] 每一个函数关系有一个对应的中文描述。
[0035] 键值对的编码为属性名:值。
[0036] D)关系:合成关系编码为COMBINE(实物A、实物B)
[0037] 隶属关系编码为BEL0NGST0 (实物A、实物B)
[0038] 引用关系(实物A、实物B)编码为REFERNECE(A,B)
[0039] 数学约束关系:由实物、实物的原子属性、实物的导出属性白哦大的各种数学表达 式。编码为CONSTRANT(实物A[属性A1,属性A2..],实物B[属性B1,属性B2..]…)。
[0040] E)动作:一组实现预定好的可以采取的操作,为动词,如打开、关闭、读取、写入、 初始化、握手等。各个预先定义好的操作的编码如下表:
[0041]
【主权项】
1. 一种基于语义抽象表示的继电保护装置数据采集权限管理方法,其特征在于,包括 W下步骤: 1) 利用中间代理完成电力系统站控层装置与间隔层自动化设备的通讯,站控层装置与 间隔层设备不直接通讯、无物理连接;实现物理隔离,避免站控层装置被直接访问到; 2) 中间代理与站控层装置之间采用类自然语言的方式通讯,有利于终端运维人员、审 计人员记录和理解实际通讯的内容是否符合安全规范; 3) 中间代理判断站控层装置的请求是否满足安全规则,通过规则检查的站控层请求方 可到代理执行; 4) 中间代理与站控层装置采用标准电力通讯规约通讯,完成代理工作,实现与间隔层 设备的互联,并将结果W数值、文字形式返回站控层装置,并记录通讯报文内容,通讯报文 的语义,W便检索和审计。
2. 根据权利要求1所述的基于语义抽象表示的继电保护装置数据采集权限管理方法, 其特征在于:中间代理的安全规则的制定采用基于语义网络的抽象表达的交互方式。
3. 根据权利要求1所述的基于语义抽象表示的继电保护装置数据采集权限管理方法, 其特征在于;中间代理与站控层装置采用标准电力通讯规约IEC60870-103通讯。
【专利摘要】本发明公开了一种基于语义抽象表示的继电保护装置数据采集权限管理方法,利用中间代理设备将电力系统站控层装置与间隔层自动化设备隔离开来,由中间代理做安全审计后,把相应的操作请求转发至站控层装置,根据不同的场合穷举出物理设备、属性值即可很容易的同电力系统的安全权限要求相结合,有利于运维人员对权限的控制和操作;同时解决了传统电力协议采用报文交互的模式,而采用文本交互,利于校验审计,并可方便的按语义做检索和查询。
【IPC分类】H04L29-06, H02J13-00
【公开号】CN104539048
【申请号】CN201410812252
【发明人】张帆, 刘孝刚, 蔡振辉, 周建平, 杨小凡, 高志勇, 王宝珂
【申请人】国家电网公司, 江苏省电力公司, 江苏省电力公司检修分公司, 南京国电南自软件工程有限公司
【公开日】2015年4月22日
【申请日】2014年12月23日