專(zhuān)利名稱(chēng)：檢查用于ied的配置修改的制作方法
技術(shù)領(lǐng)域：
一般來(lái)說(shuō)，本發(fā)明涉及過(guò)程控制和子站自動(dòng)化系統(tǒng)的領(lǐng)域，具體來(lái)說(shuō)，涉及在這些系統(tǒng)內(nèi)各個(gè)裝置的配置和參數(shù)化期間要觀察的安全方面。
背景技術(shù)：
一般來(lái)說(shuō)過(guò)程控制(PC)系統(tǒng)，并且具體來(lái)說(shuō)電網(wǎng)保護(hù)或子站自動(dòng)化(SA)系統(tǒng)完成關(guān)鍵使命(mission-critical)任務(wù)。如果那些系統(tǒng)的組成部分中的 一個(gè)出現(xiàn)故障，就可能危害具體工業(yè)過(guò)程或電能子站的正確和安全的操作。SA系統(tǒng)的示例性的關(guān)鍵使命系統(tǒng)組成部分包括所謂的智能電子裝置(IED)，諸如保護(hù)繼電器，其基于來(lái)自傳感器的數(shù)據(jù)執(zhí)行保護(hù)功能并且作為對(duì)此的響應(yīng)而發(fā)出諸如電路斷路器脫扣(circuit breaker trips)的控制命令。能夠本地或者遠(yuǎn)程地訪問(wèn)這些IED，因?yàn)楫?dāng)今他們都經(jīng)由各種通信鏈路與電網(wǎng)保護(hù)系統(tǒng)中的其他裝置相連接，從而除本地訪問(wèn)外還能夠?qū)崿F(xiàn)遠(yuǎn)程地對(duì)這些IED的監(jiān)視、配置以及參數(shù)化。同時(shí)，通過(guò)使用基于TCP/IP以及其他廣域通信裝置，IED變得更加暴露于錯(cuò)誤的配置和參數(shù)化并且更加易受錯(cuò)誤的配置和參數(shù)化的攻擊，而無(wú)論錯(cuò)誤的配置和參數(shù)化是否是有意的。具體地，已經(jīng)攻破現(xiàn)有IT安全層的網(wǎng)絡(luò)攻擊可能能夠激活如下設(shè)定或配置，這些設(shè)定或配置對(duì)電力系統(tǒng)而言是危險(xiǎn)的并且可能由于隨后實(shí)際故障情況而導(dǎo)致某些線路的瞬間脫扣或者電網(wǎng)的延遲中斷。為了保護(hù)關(guān)鍵使命的IED免遭本地或遠(yuǎn)程攻擊，已經(jīng)研發(fā)了多種技術(shù)。用于保護(hù)IED的配置和設(shè)定參數(shù)安全的普遍使用方法依賴(lài)于訪問(wèn)權(quán)限，具體地為基于角色的訪問(wèn)(RBAC)，其中對(duì)特定角色進(jìn)行授權(quán)以進(jìn)行對(duì)關(guān)鍵使命裝置的配置的特定改變/修改。具有分配的訪問(wèn)權(quán)限的角色是預(yù)先限定的并且鏈接至某些特殊用戶(hù)。這些特殊用戶(hù)在被允許根據(jù)該角色進(jìn)行動(dòng)作之前，必須借助于密碼或一些其他安全證書(shū)在該關(guān)鍵使命裝置上鑒定他們自己。另一方法是將修改設(shè)定和配置的權(quán)限直接鏈接至用戶(hù)，用戶(hù)又不得不借助于密碼或證書(shū)(以下概括地稱(chēng)之為密鑰)來(lái)鑒定他自己。因此，通過(guò)將修改的權(quán)限限制至小數(shù)量的指定的人，在一定程度上實(shí)現(xiàn)了對(duì)PC系統(tǒng)的保護(hù)。EP 1940075描述了用于子站IED的示例性基于角色的訪問(wèn)(RBAC)協(xié)議，其中用戶(hù)角色根據(jù)包括例如用于某方面的基本許可“配置”的基本許可建立并且被分配給相同IED的多個(gè)用戶(hù)。生成用于用戶(hù)的唯一安全密鑰和用于各個(gè)IED的唯一安全文件。在進(jìn)行對(duì)接收到的用戶(hù)密鑰相對(duì)安全文件進(jìn)行正面檢查(positive check)之后執(zhí)行所請(qǐng)求的動(dòng)作，該安全文件基于用戶(hù)的角色的基本許可確認(rèn)對(duì)所請(qǐng)求的動(dòng)作的許可。關(guān)于上述方法的問(wèn)題在于以下事實(shí)它忽略了由于知道適當(dāng)密鑰的不滿(mǎn)的員工或者由于被偷竊或盜用的密鑰引起的風(fēng)險(xiǎn)。在原始安全周界內(nèi)并具有必要密鑰的人可以容易地篡改配置數(shù)據(jù)。對(duì)此問(wèn)題的當(dāng)前解決方案為在該系統(tǒng)中盡可能快地禁用例如被偷竊的密鑰或用戶(hù)標(biāo)識(shí)以及被解雇的員工的密鑰。但是，這在分布式系統(tǒng)內(nèi)不容易實(shí)現(xiàn)并且可能持續(xù)一段時(shí)間。
已經(jīng)使用了一些其他方法以避免上述情況。例如在各個(gè)IED上可以配置“第二意見(jiàn)”或“四只眼(four eyes)”檢查。在該情況下，只有由又基于兩個(gè)不同的密鑰被驗(yàn)證的兩個(gè)不同用戶(hù)確認(rèn)后才接受預(yù)期的配置修改或參數(shù)改變。兩個(gè)密鑰都被偷或丟失或?qū)儆诓粷M(mǎn)的員工的可能性非常低。因此，較慢的和不太復(fù)雜的密鑰管理進(jìn)程可能是足夠的。US 6189032公開(kāi)了一種客戶(hù)端-服務(wù)器系統(tǒng)，其中該服務(wù)器依據(jù)第一用戶(hù)的標(biāo)識(shí)和來(lái)自該第一用戶(hù)的服務(wù)供應(yīng)請(qǐng)求的接收來(lái)確定提供該服務(wù)是否需要另一用戶(hù)的批準(zhǔn)，并且通過(guò)發(fā)送批準(zhǔn)請(qǐng)求至在第二客戶(hù)終端處的另一用戶(hù)來(lái)獲取這種批準(zhǔn)。在該系統(tǒng)中，第一用戶(hù)所提出的配置修改必須等待第二用戶(hù)的批準(zhǔn)。有時(shí)候，通過(guò)等待第二用戶(hù)的批準(zhǔn)所導(dǎo)致的延遲可能是數(shù)小時(shí)甚至數(shù)天。這對(duì)于應(yīng)當(dāng)緊急部署的配置來(lái)說(shuō)是明顯的缺點(diǎn)。

發(fā)明內(nèi)容
本發(fā)明的目的在于以可靠、安全以及不延遲的方式檢查或檢驗(yàn)對(duì)過(guò)程控制PC或 子站自動(dòng)化SA系統(tǒng)的各個(gè)IED的配置或參數(shù)設(shè)定的預(yù)期改變。根據(jù)本發(fā)明的一個(gè)方面，提供了一種在PC或SA系統(tǒng)的常規(guī)操作期間檢查該系統(tǒng)的關(guān)鍵使命IED的預(yù)期配置修改的方法。該IED從請(qǐng)求方接收針對(duì)IED配置、參數(shù)或設(shè)定數(shù)據(jù)的修改請(qǐng)求。由IED自身基于第一密鑰并以標(biāo)準(zhǔn)的方式驗(yàn)證該請(qǐng)求方的身份或角色。該IED隨后檢查所請(qǐng)求的配置修改，如果獨(dú)立于該請(qǐng)求方的批準(zhǔn)方?jīng)]有作出批準(zhǔn)或確認(rèn)就拒絕該請(qǐng)求的配置修改，否則就接受并實(shí)現(xiàn)該請(qǐng)求的配置修改。所述IED在接收所述請(qǐng)求之前驗(yàn)證所述批準(zhǔn)方，并且將所述批準(zhǔn)方提供的配置修改似真性檢查存儲(chǔ)在本地存儲(chǔ)器中。批準(zhǔn)方可以或者經(jīng)由適當(dāng)?shù)妮斎胙b置在IED處精心制作該檢查，或者將預(yù)精心制作的檢查整體地加載到該IED上。隨后在該請(qǐng)求的特定環(huán)境或?qū)傩陨线M(jìn)行存儲(chǔ)的似真性檢查或者將存儲(chǔ)的似真性檢查應(yīng)用于該請(qǐng)求的特定環(huán)境或?qū)傩?，并且根?jù)該檢查的結(jié)果或成果拒絕或批準(zhǔn)預(yù)期修改。該預(yù)期修改的具體環(huán)境包括所提出的新的配置設(shè)定或參數(shù)值中的一個(gè)或多個(gè)；時(shí)間、位置、請(qǐng)求方身份或該請(qǐng)求的歷史；或關(guān)于包括所述IED的控制PC或子站自動(dòng)化SA系統(tǒng)的受控過(guò)程和/或控制過(guò)程的狀態(tài)信息。提出的似真性檢查延伸超過(guò)僅對(duì)該請(qǐng)求方和其角色進(jìn)行驗(yàn)證，并且還基于似真性檢查限制任一基于角色的許可，該似真性檢查涉及現(xiàn)場(chǎng)(in suit)請(qǐng)求的具體環(huán)境。提前數(shù)天或數(shù)小時(shí)驗(yàn)證該批準(zhǔn)方消除了當(dāng)?shù)却诰€或?qū)崟r(shí)批準(zhǔn)時(shí)會(huì)發(fā)生的任何延遲。此外，引起以可執(zhí)行形式存儲(chǔ)在IED本身處的似真性檢查的批準(zhǔn)方驗(yàn)證消除了重復(fù)地確保至遠(yuǎn)程批準(zhǔn)方的通信鏈路的需要。根據(jù)本發(fā)明的優(yōu)選的變型，用于判斷修改的配置設(shè)定是否可接受的似真性檢查實(shí)施為維護(hù)計(jì)劃表，該維護(hù)計(jì)劃表能夠確認(rèn)當(dāng)前為該IED預(yù)見(jiàn)配置或設(shè)定的變化，或者實(shí)施為作為程序步驟序列執(zhí)行的規(guī)則的編碼集，或者實(shí)施為專(zhuān)家系統(tǒng)，專(zhuān)家系統(tǒng)檢查預(yù)期修改相關(guān)于其他IED和/或電網(wǎng)的過(guò)去和/或當(dāng)前設(shè)定的一致性，并且由專(zhuān)家系統(tǒng)自動(dòng)地獲取和存儲(chǔ)過(guò)去和/或當(dāng)前設(shè)定。根據(jù)本發(fā)明的另一優(yōu)選變型，該似真性檢查包括關(guān)于PC或SA系統(tǒng)或關(guān)于作為一個(gè)整體的受控過(guò)程或子站的主要信息或知識(shí)。該似真性檢查并不如聯(lián)鎖中那樣僅僅依賴(lài)于子站的單獨(dú)件主要設(shè)備的實(shí)際狀態(tài)，并且因此延伸超過(guò)僅僅對(duì)技術(shù)一致性進(jìn)行檢查。
根據(jù)本發(fā)明的優(yōu)選實(shí)施例，似真性檢查檢驗(yàn)該請(qǐng)求符合以下輔助標(biāo)準(zhǔn)之一或以下輔助標(biāo)準(zhǔn)的組合何時(shí)接收修改的配置設(shè)定、從哪里發(fā)送修改的配置設(shè)定、涉及到哪種IED、誰(shuí)是請(qǐng)求方、請(qǐng)求哪種修改以及修改的配置設(shè)定是否與先前配置一致。


在以下描述中并參照附圖I和2公開(kāi)了本發(fā)明的另外的實(shí)施例、優(yōu)點(diǎn)以及應(yīng)用，其中圖I示出了配置修改檢查方法的流程圖；以及圖2示出了適合于進(jìn)行配置修改檢查的IED。
具體實(shí)施方式

所提出的配置檢查方法涉及批準(zhǔn)方或第二源，其在隨后要被再配置的關(guān)鍵使命裝置(IED)上預(yù)驗(yàn)證其自身。在接受請(qǐng)求方或第一源對(duì)該IED進(jìn)行的配置修改請(qǐng)求之前該IED獲取該第二源的批準(zhǔn)。該第二源通過(guò)與該第一源的密鑰不同的第二密鑰或電子簽名向該IED鑒定其自身。圖I示出了詳細(xì)例證似真性檢查的步驟的流程圖。以時(shí)間順序排列這些步驟。在步驟S11，批準(zhǔn)方通過(guò)提供第二密鑰或電子簽名向該IED驗(yàn)證其自身。該IED檢驗(yàn)該第二密鑰，并且當(dāng)密鑰成功地通過(guò)檢驗(yàn)時(shí)使該批準(zhǔn)方具有資格。該批準(zhǔn)方可以是過(guò)程 控制系統(tǒng)或子站自動(dòng)化系統(tǒng)的管理方或者操作方，或者可以是如下的處理單元，該處理單元具有關(guān)于如例如由上述管理方或操作方所指令的那些系統(tǒng)的正確操作的知識(shí)。在步驟S12，經(jīng)驗(yàn)證的批準(zhǔn)方將似真性檢查上傳至該IED。該IED將該似真性檢查存儲(chǔ)在IED的存儲(chǔ)器中用于隨后的使用。該批準(zhǔn)方通過(guò)該IED上的人機(jī)界面(HMI)能夠輸入該似真性檢查。備選地，能夠通過(guò)使用可用的通信鏈路從遠(yuǎn)程位置傳送該似真性檢查。在步驟S13，該請(qǐng)求方登陸到該IED上并且通過(guò)第一密鑰鑒定其自身。該第一密鑰的成功檢驗(yàn)驗(yàn)證該請(qǐng)求方或者使該請(qǐng)求方具有資格。該第一密鑰和第二密鑰彼此不同并且可以甚至屬于不同的密鑰類(lèi)別。在步驟S14，經(jīng)驗(yàn)證的請(qǐng)求方將修改的配置或參數(shù)集上傳至該IED，在此臨時(shí)地存儲(chǔ)修改的配置或參數(shù)集用于即時(shí)的似真性檢查。在步驟S15，該IED運(yùn)行該批準(zhǔn)方提供的似真性檢查用于決定是否能夠激活或者部署該修改的配置或參數(shù)集，或者是否必須拒絕該修改的配置或參數(shù)集。在后面的情況下，取而代之地可以激活適合的報(bào)警方案。當(dāng)精心制作該似真性檢查時(shí)，該批準(zhǔn)方對(duì)于過(guò)程控制系統(tǒng)的操作以及作為其中部分的該IED的角色是有豐富知識(shí)的。換句話(huà)說(shuō)，似真性檢查不僅集中于該IED自身的正確操作，而且檢驗(yàn)修改的配置符合作為一個(gè)整體的過(guò)程控制或子站自動(dòng)化系統(tǒng)。如果預(yù)期配置修改對(duì)整個(gè)系統(tǒng)或任意相鄰的關(guān)鍵裝置具有任何不利的影響，諸如電力線的動(dòng)機(jī)不明的脫扣，似真性檢查將拒絕該配置并且禁止該配置被部署在目標(biāo)IED上?？梢詫⑺普嫘詸z查實(shí)現(xiàn)為似真性檢查進(jìn)程，其指示配置修改基于批準(zhǔn)方精心制作的固定計(jì)劃表或規(guī)則集是否是可接受的。備選地，修改檢查專(zhuān)家系統(tǒng)進(jìn)行似真性檢查，該修改檢查專(zhuān)家系統(tǒng)能夠基于自動(dòng)學(xué)習(xí)產(chǎn)生新的檢查標(biāo)準(zhǔn)或規(guī)則。專(zhuān)家系統(tǒng)能夠以自動(dòng)化的方式從系統(tǒng)的所有或選擇的IED收集和存儲(chǔ)動(dòng)態(tài)配置信息。該似真性檢查進(jìn)程隨后可以將修改的配置或參數(shù)集與目標(biāo)IED的先前配置、或者與該系統(tǒng)的任何其他IED的先前和當(dāng)前配置相比較。此外，該檢查進(jìn)程基于某些輔助標(biāo)準(zhǔn)檢查該配置。一些示例性的標(biāo)準(zhǔn)可能是自從最后成功的配置修改后經(jīng)過(guò)的時(shí)間；批準(zhǔn)方的物理位置和角色；調(diào)度的修改時(shí)間(例如正常的工作小時(shí)？)；要修改的參數(shù)的類(lèi)型或類(lèi)；以及修改的參數(shù)的值或范圍。如果修改的配置不滿(mǎn)足上述標(biāo)準(zhǔn)，則檢查進(jìn)程拒絕該修改的配置。為了實(shí)現(xiàn)本發(fā)明的目標(biāo)，可以任意地組合上文列出的似真性檢查進(jìn)程的特征。批準(zhǔn)方無(wú)需頻繁地登陸至該IED上，但是可以具有用于維護(hù)該關(guān)鍵使命IED的常規(guī)計(jì)劃表，并且一旦舊版本過(guò)時(shí)可以上傳似真性檢查的新版本。似真性檢查的更新版本可 以包括新的操作標(biāo)準(zhǔn)、用于應(yīng)對(duì)問(wèn)題的新解決方案、或者基礎(chǔ)的PC或SA系統(tǒng)中的變化。由于修改似真性檢查被存儲(chǔ)在IED中，所以當(dāng)批準(zhǔn)方離線時(shí)是可能批準(zhǔn)或者拒絕修改請(qǐng)求的。僅當(dāng)更新似真性檢查時(shí)才需要建立安全通信鏈路。再者，由于在接收任何修改請(qǐng)求之前已經(jīng)將檢查進(jìn)程存儲(chǔ)在IED中，所以沒(méi)有必要等待批準(zhǔn)方登陸并做決定。因此將通過(guò)檢查進(jìn)程引入的時(shí)間延遲最小化。圖2示出了智能電子裝置(10)，其具有用于存儲(chǔ)配置修改似真性檢查的存儲(chǔ)裝置(11)以及用于基于存儲(chǔ)的似真性檢查批準(zhǔn)或拒絕配置修改的配置修改似真性檢查單元
(12)。該IED適合于從經(jīng)驗(yàn)證的批準(zhǔn)方(21)接收計(jì)劃表、規(guī)則或?qū)＜蚁到y(tǒng)作為要存儲(chǔ)在存儲(chǔ)器中的配置修改似真性檢查。隨后，從請(qǐng)求方(20)接收請(qǐng)求，并且如果被接受，則將請(qǐng)求保留在IED的修改的配置表(13)中。附圖標(biāo)記列表10 IED11存儲(chǔ)裝置12似真性檢查單元13 IED 配置20請(qǐng)求方21批準(zhǔn)方
權(quán)利要求
1.一種檢查過(guò)程控制PC或子站自動(dòng)化SA系統(tǒng)中的智能電子裝置IED(IO)的配置修改的方法，所述方法包括 -由所述IED從經(jīng)驗(yàn)證的請(qǐng)求方(20)接收配置修改請(qǐng)求，以及-由所述IED基于來(lái)自獨(dú)立于所述請(qǐng)求方的批準(zhǔn)方(21)的批準(zhǔn)來(lái)批準(zhǔn)或拒絕所述配置修改請(qǐng)求， 其特征在于所述方法包括 -由所述IED并在接收所述請(qǐng)求之前驗(yàn)證所述批準(zhǔn)方，并且將由所述批準(zhǔn)方精心制作的配置修改似真性檢查存儲(chǔ)在所述IED的存儲(chǔ)器(11)中，以及 -當(dāng)應(yīng)用于所述配置修改請(qǐng)求的特定環(huán)境時(shí)基于存儲(chǔ)的似真性檢查的結(jié)果批準(zhǔn)或拒絕所述配置修改請(qǐng)求。
2.根據(jù)權(quán)利要求I所述的方法，其特征在于，所述似真性檢查包括用于所述IED的維護(hù)計(jì)劃表或者規(guī)則集或者專(zhuān)家系統(tǒng)，用于判斷所述配置修改是否是可接受的。
3.根據(jù)權(quán)利要求I或2所述的方法，其特征在于，所述請(qǐng)求的所述環(huán)境涉及關(guān)于所述PC或SA系統(tǒng)的主要信息，或者關(guān)于由所述系統(tǒng)控制或自動(dòng)化的過(guò)程或子站的主要信息。
4.根據(jù)權(quán)利要求I或2所述的方法，其特征在于，所述請(qǐng)求的所述環(huán)境涉及以下中的一個(gè)或者多個(gè) -所述修改的配置的接收時(shí)間或者變?yōu)橛行У臅r(shí)間， -所述請(qǐng)求方的位置或角色， -作為目標(biāo)的IED的類(lèi)型或者所請(qǐng)求修改的類(lèi)型， -與所述IED的先前配置的一致性， -預(yù)期配置設(shè)定或參數(shù)值。
5.過(guò)程控制PC或子站自動(dòng)化SA系統(tǒng)中的智能電子裝置IED(IO)，所述IED具有在所述系統(tǒng)的操作期間可配置并且適合于執(zhí)行如下操作的裝置功能性 -驗(yàn)證請(qǐng)求方(20)，并且從所述經(jīng)驗(yàn)證的請(qǐng)求方接收配置修改請(qǐng)求， -驗(yàn)證獨(dú)立于所述請(qǐng)求方(20)的批準(zhǔn)方(21)，并且基于來(lái)自所述批準(zhǔn)方的批準(zhǔn)來(lái)批準(zhǔn)或拒絕所述配置修改請(qǐng)求， 其特征在于，所述IED包括 -用于在接收所述請(qǐng)求之前存儲(chǔ)由所述經(jīng)驗(yàn)證的批準(zhǔn)方提供的配置修改似真性檢查的存儲(chǔ)裝置(11)，以及 -用于基于所述存儲(chǔ)的似真性檢查和所述配置修改請(qǐng)求的特定環(huán)境批準(zhǔn)或拒絕所述配置修改請(qǐng)求的批準(zhǔn)單元(12)。
6.根據(jù)權(quán)利要求5所述的IED，其特征在于，所述似真性檢查涉及關(guān)于所述IED為其一部分的PC或SA系統(tǒng)的主要信息、或者關(guān)于由所述系統(tǒng)控制或者自動(dòng)化的過(guò)程或子站的主要信息。
全文摘要
本發(fā)明提出一種用于在過(guò)程控制PC或子站自動(dòng)化SA系統(tǒng)的常規(guī)運(yùn)行期間以可靠、安全以及不延遲的方式檢查用于該系統(tǒng)的關(guān)鍵使命IED(10)的預(yù)定配置修改的方法。IED從經(jīng)驗(yàn)證的請(qǐng)求方(20)接收針對(duì)IED配置、參數(shù)或設(shè)定數(shù)據(jù)的修改請(qǐng)求。該IED隨后檢查所請(qǐng)求的配置修改，如果獨(dú)立于該請(qǐng)求方(21)的批準(zhǔn)方?jīng)]有作出批準(zhǔn)或確認(rèn)就拒絕所請(qǐng)求的配置修改，否則就接受并實(shí)現(xiàn)所請(qǐng)求的配置修改。該IED在接收該請(qǐng)求之前驗(yàn)證該批準(zhǔn)方，并且將由該批準(zhǔn)方提供的配置修改似真性檢查存儲(chǔ)在本地存儲(chǔ)器(11)中。隨后由似真性檢查單元(12)在預(yù)期修改上進(jìn)行存儲(chǔ)的似真性檢查，并且當(dāng)應(yīng)用于該配置修改請(qǐng)求的特定環(huán)境時(shí)基于所存儲(chǔ)似真性檢查的結(jié)果拒絕或批準(zhǔn)預(yù)期修改。提前數(shù)天或數(shù)小時(shí)驗(yàn)證該批準(zhǔn)方消除了當(dāng)?shù)却诰€或?qū)崟r(shí)批準(zhǔn)時(shí)會(huì)發(fā)生的任何延遲。
文檔編號(hào)H04L29/08GK102742243SQ201080039531
公開(kāi)日2012年10月17日 申請(qǐng)日期2010年8月10日 優(yōu)先權(quán)日2009年8月31日
發(fā)明者W·維默爾 申請(qǐng)人:Abb技術(shù)有限公司