(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115086088A(43)申请公布日2022.09.20(21)申请号202211003933.7(22)申请日2022.08.22(71)申请人南京华盾电力信息安全测评有限公司地址211100江苏省南京市江宁区水阁路39号申请人成都卫士通信息产业股份有限公司(72)发明人杨乘胜仲恺周俊张五一宗琪周强吴波陈蕾江楠汤敏杰田叶(74)专利代理机构南京纵横知识产权代理有限公司32224专利代理师朱远枫(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书8页附图4页(54)发明名称安全运维接入装置及风机PLC安全运维方法(57)摘要本发明公开了安全运维接入装置及风机PLC安全运维方法，装置部署在风机风塔内，包括外网口、内网口、运维口、配置口、配置模块、转发策略管理模块和防火墙转发策略执行模块，其中各口被配置在同一个网桥中；对该装置配置；根据配置参数设置、修改或删除防火墙转发策略；基于获取的数据报文，利用设置的防火墙转发策略进行验证，验证通过则向报文中目标地址转发数据报文。本发明避免了运维终端受攻击后对风电场造成的破坏，保护风电场的生命和财产安全。CN115086088ACN115086088A权利要求书1/2页1.安全运维接入装置，其特征在于，所述装置部署在风机风塔内，包括外网口、内网口、运维口、配置口、配置模块、转发策略管理模块和防火墙转发策略执行模块，其中各口被配置在同一个网桥中；所述外网口，用于通过连接光纤环网交换机，接入光纤环网网络，实现与升压站之间的数据报文通信；所述内网口，用于连接风机PLC，实现与风机PLC之间的数据报文通信；所述运维口，用于接入运维终端和/或读取认证KEY；所述配置口，用于接收配置参数；所述配置模块，用于根据配置参数进行配置；所述转发策略管理模块，用于根据配置参数设置、修改或删除防火墙转发策略；所述防火墙转发策略执行模块，用于基于获取的数据报文，利用设置的防火墙转发策略进行验证，验证通过则向数据报文中目标地址转发数据报文。2.根据权利要求1所述的安全运维接入装置，其特征在于，所述装置还包括运维控制模块，所述运维控制模块，用于对运维人员进行认证和/或对接入的运维终端进行认证，认证合格才允许对风机PLC进行运维。3.根据权利要求1所述的安全运维接入装置，其特征在于，所述安全运维接入装置还包括运维日志记录模块，所述运维日志记录模块，用于记录运维人员的认证结果、运维终端的初次访问事件、认证KEY插入事件、认证KEY拔掉事件以及运维终端访问风机PLC的原始数据包。4.风机PLC安全运维方法，其特征在于，应用于如权利要求1~3任一所述的安全运维接入装置；所述方法包括：利用完成配置和设置了防火墙转发策略的所述装置，获取待转发的数据报文；其中配置参数至少包括：安全运维接入装置的网桥信息、IP地址以及路由信息、风机PLC的IP地址、MAC地址以及服务端口、升压站站控系统服务器的IP地址和端口，以及指定轻量目录访问协议服务器的IP地址和端口；基于获取的数据报文，利用防火墙转发策略进行验证，若符合防火墙转发策略，则向数据报文中目标地址转发数据报文；所述防火墙转发策略包括：若源地址为升压站站控系统服务器的IP地址、目的地址为风机PLC的IP地址、目的端口为风机PLC的服务端口并且协议为TCP，则验证通过可以转发。5.根据权利要求4所述的风机PLC安全运维方法，其特征在于，所述防火墙转发策略还包括：若源地址为风机PLC的IP地址、目的地址为升压站站控系统服务器的IP地址、目的端口为升压站站控系统服务器的端口并且协议为TCP，则验证通过可以转发。6.根据权利要求4所述的风机PLC安全运维方法，其特征在于，还包括根据设置的FORWARD链缺省策略丢弃数据报文。7.根据权利要求4所述的风机PLC安全运维方法，其特征在于，配置参数还包括运维人员信息表；读取运维口接入的运维终端并从认证KEY中读取运维证书，若无法获取运维证书，则认为认证KEY不合法，认证失败；读取运维证书中的运维人员信息，将运维人员信息与运维人员信息表进行比对，在运2CN115086088A权利要求书2/2页维人员信息表中则认证合格，否则则认证失败；若读取到运维证书，将证书发送到指定的轻量目录访问协议服务器上进行证书状态查询，若证书在证书列表内且证书有效，则认证合格，否则则认证失败。8.根据权利要求4所述的风机PLC安全运维方法，其特征在于，所述方法还包括：安全运维接入装置读取运维口接入的运维终端传输的签名数据，所述签名数据为运维终端使用认证KEY的私钥对本次访问信息进行签名获得；安全运维接入装置使用本次运维终端接入的认证KEY对签名数据进行验签，若验签成功，则认证合格；否则认证失败