智能变电站过程层交换机mms安全通信的装置及方法
【专利说明】
[0001]
技术领域
[0002] 本发明涉及信息安全以及通信技术领域,尤其是涉及到一种对智能变电站过程层 交换机MMS安全通信的具体实现。
【背景技术】
[0003] 由于计算机和网络技术在电力系统中更为广泛的应用,信息技术的负面影响也开 始波及到电力系统,国内外电力系统通信网络中也发现了黑客活动的踪迹。与此同时,电力 工业市场化改革使得具备潜在攻击能力和知识的内部用户大大增加,内部攻击威胁不容忽 视。如何有效保障电力系统及其网络的信息安全已成为一项非常紧迫的任务。因此,国际电 工委员会制定了相关的数据与通信安全标准。IEC TC57第15工作组制定的IEC 62351标 准就涉及到了电力系统数据通信的各个方面:IEC 62351-3为包含TCP / IP协议的安全, IEC 62351-4为包含MMS协议的安全,IEC 62351-5为对IEC 60870-5及派生标准的安全, IEC 62351-6为对IEC 61850中对等通信协议(实时通信)的安全。这些不同的安全标准 所服务的协议不同,有着不同的安全措施和安全技术,其安全措施包括身份认证、机密性和 完整性。
[0004] 虽然标准已经有了,但是具体的实现方案各厂家是保密的,即使提供了一些方案, 但是按照这些方案也难以实现,即使按照这些方案实现也有诸多弊端。本文针对智能变电 站过程层交换机MMS安全通信,结合IEC61850标准对电力系统的安全访问需求,依据IEC 62351安全标准,设计出一个相对独立、通用、易于实现的安全模型,并对其应用流程做了详 细的论述。
【发明内容】
[0005] 本发明的目的是克服现有技术的缺陷,提供一种智能变电站过程层交换机MMS安 全通信的装置及方法,从而实现对智能变电站过程层交换机的安全管理。
[0006] 为解决上述技术问题,本发明提供一种智能变电站过程层交换机MMS安全通信的 装置,其特征是, 包括以下模块: SSL安全建立模块:通过位于TCP/IP协议与各种应用层协议之间的SSL协议,为数据 通讯提供安全支持; SSL通信转换模块:加载在MMS客户端与MMS服务端之间,实现SSL与TCP之间的通信 转换和通信代理;包括客户端通信转换模块和服务端通信转换模块; 设置模块:在SSL通信转换模块运行时,配置目标设备的地址和端口。
[0007] 所述的SSL协议分为两层: SSL记录协议:建立在可靠的传输协议之上,为高层协议提供数据封装、压缩、加密基 本功能的支持; SSL握手协议:建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进 行身份认证、协商加密算法和/或交换加密密钥。
[0008] SSL握手协议使用openssl库实现。
[0009] SSL通信转换模块包括: 服务端通信转换模块:与MMS服务端运行于过程层中同一台交换机设备上; 客户端通信转换模块:与MMS客户端运行于站控层中的同一台PC上; 其中,服务端通信转换模块与客户端通信转换模块之间是在TCP连接上建立的安全通 信;服务端通信转换模块与MMS服务端之间是普通的TCP连接,客户端通信转换模块与MMS 客户端之间也是普通的TCP连接。
[0010] 客户端通信转换模块: 将MMS客户端发起的TCP连接转换成SSL连接送至服务端通信转换模块; 将MMS客户端发送的数据通过SSL连接发送至服务端通信转换模块; 将通过SSL连接收到的数据转换成TCP连接发送至MMS客户端; 服务端通信转换模块: 将SSL连接请求转换成TCP连接请求发送至MMS服务端; 将通过SSL连接收到的数据转换成TCP连接发送至MMS服务端; 将通过TCP连接收到的数据转换成SSL连接发送至客户端通信转换模块。
[0011] 一种智能变电站过程层交换机MMS安全通信的方法,其特征在于, 当丽S客户端发起TCP连接时,该连接请求并非直接发送至丽S服务端,而是发送至 SSL代理,再由SSL代理发送至MMS服务端,当连接会话建立后,MMS客户端与MMS服务端的 数据通信通过该会话传送,实现MMS的安全通信。
[0012] 所述SSL代理包括: SSL服务端代理(服务端通信转换模块):与MMS服务端运行于过程层中同一台交换机 设备上; SSL客户端代理(客户端通信转换模块):与丽S客户端运行于站控层中的同一台PC 上; 其中,SSL服务端代理与SSL客户端代理之间是在TCP连接上建立的安全通信;SSL服 务端代理与MMS服务端之间是普通的TCP连接,SSL客户端代理与MMS客户端之间也是普 通的TCP连接。
[0013] 所述在TCP连接上建立的安全通信,是使用openssl库提供的API在TCP连接的 基础上实现,其中涉及双方身份认证、协商加密算法、交换加密密钥等,因此之后的数据通 信安全得以保证。
[0014] 所述SSL客户端代理: (1)将MMS客户端发起的TCP连接转换成SSL连接送至SSL服务端代理(服务端通信转 换丰吴块); (2 )将MMS客户端发送的数据通过SSL连接发送至SSL服务端代理(服务端通信转换模 块); (3)将通过SSL连接收到的数据转换成TCP连接发送至MMS客户端。
[0015] 所述SSL服务端代理: (1) 将SSL连接请求转换成TCP连接请求发送至MMS服务端; (2) 将通过SSL连接收到的数据转换成TCP连接发送至MMS服务端; (3) 将通过TCP连接收到的数据转换成SSL连接发送至SSL客户端代理(客户端通信转 换模块)。
[0016] 本发明所达到的有益效果: 本发明针对智能变电站过程层交换机MMS安全通信,结合IEC61850标准对电力系统的 安全访问需求,依据IEC 62351安全标准,设计出一个相对独立、通用、易于实现的的安全 模型,该模型将成熟的openssl库与TCP代理通信技术融入MMS通信过程,即使MMS有任何 更新对该模型也没有任何影响。该模型是一个相对独立并且通用的安全方案,实现了对智 能变电站过程层交换机的安全管理。
【附图说明】
[0017] 图I SSL安全建立流程图; 图2丽S与SSL结构层次图; 图3 MMS安全通信流程图。
【具体实施方式】
[0018] 为使本发明的目的、技术方案和优点表达得更加清晰明白,下面结合附图及具体 实例对本发明作进一步的详细说明。
[0019] 本发明的实例中提供了一种在交换机与MMS客户端之间实现安全通信的装置,该 装置包括:SSL安全建立模块、客户端通信转换模块、服务端通信转换模块和设置模块。
[0020] 所述SSL安全建立模块,SSL协议位于TCP/IP协议与各种应用层协议之间,为数 据通讯提供安全支持。SSL协议可分为两层:SSL记录协议(SSL Record Protocol):它建 立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支 持。SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际 的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。该模块使用 openssl库实现,SSL协商过程如图1。
[0021] SSL通信转换模块包括客户端通信转换模块、服务端通信转换模块,当前主要电力 自动化厂商都在使用MMS-EASE Lite实现IEC61850向MMS的映射工作。MMS-EASE Lite是 从SISCO公司的MMS-EASE软件继承发展而来,专门针对嵌入式应用对代码进行了优化和裁 减,并增加了对IEC61850特性的支持。MMS作为事实上的标准,本身结构复杂,在MMS上将 TCP改为SSL通信,难度大,弊端多。所以将SSL安全通信独立于MMS实现,在丽S客户端与 MMS服务端之间加载SSL通信转换模块,作为通信代理的功能实现,MMS与SSL代理之间的 关系如图2,图2中的带箭头的线表示安全通信的路径。
[0022] 客户端通信转换模块: 作用1 :将MMS客户端发起的TCP连接转换成SSL连接送至服务端通信转换模块。
[0023] 作用2:将MMS客户端发送的数据通过SSL连接发送至服务端通信转换模块。
[0024] 作用3:将通过SSL连接收到的数据转换成TCP连接发送至MMS客户端。
[0025] 服务端通信转换模块: 作用1:将SSL连接请求转换成TCP连接请求发送至MMS服务端。
[0026] 作用2:将通过SSL连接收到的数据转换成TCP连接发送至MMS服务端。
[0027] 作用3:将通过TCP连接收到的数据转换成SSL连接发送至客户端通信转换模块。
[0028] 服务端/客户端通信转换模块,是核心模块,包括SSL协商、SSL与TCP之间的转 换等功能,相对MMS独立,适用于其他有TCP安全通信需求的应用。
[0029] 所述设置模块,在SSL通信转换模块运行时需要知道目标设备的地址