和端口,该 模块负责配置目标设备的地址和端口。
[0030] 智能变电站过程层交换机MMS安全通信的实现方法,该方法的步骤包括: 当MMS客户端(IEDScout. exe)发起TCP连接时,该TCP连接会被本地安全模块转化成 SSL TCP连接,连接的目标是交换机中运行的安全模块,当交换机中的安全模块探测到SSL TCP连接时会将该SSL连接转化成普通的TCP连接,连接的目标是交换机中的MMS服务端。 当整个连接完成后,MMS客户端与MMS服务端之间的请求与回应都是通过加密传送的。
[0031] 在本实例中,使用IEDScout与过程层交换机中MMS服务端进行安全通信机制为: IEDScout与MMS服务端不直接通信而是通过中间的SSL代理进行通信,SSL代理分为SSL 服务端代理和SSL客户端代理。SSL代理之间的通信是建立在SSL安全通信之上,SSL代理 与IEDSout以及MMS服务端之间的通信是常规的TCP通信。MMS服务端与MMS客户端做出 任何改变也不会对安全通信过程有任何影响。
[0032] 下面将以IEDScout发起连接请求和数据请求为例,对本实例的实施进行介绍。
[0033] 图3为本实例流程图,首先设置过程层交换机的IP址为192. 168. 1. 200, PC的IP 地址为192. 168. I. KKLMMS服务端(简称MMS server)与SSL服务端代理(简称SSL Server) 运行与交换机上,MMS客户端(简称MMS Client) (IEDScout)与SSL客户端代理(简称SSL Client)运行与PC上。初始设置如下: 1?将IEDScout连接的目标地址设置为127. 0?0? 1 (端口默认为102),SSL Client监 听端口设置为102,目标地址设置为192. 168. 1. 200:102。
[0034] 2. MMS Server监听端口设置为1002, SSL Server监听端口设置为102,目标地 址设置为 127. 0. 0. 1:1002。
[0035] 丽S Client与丽S Server建立安全连接过程如下(对应图3中的 ①-: (J) \MS Client (IEDScout)向 SSL Client 发起 TCP 连接。
[0036] ②SSL Client探测到TCP连接后立即向SSL Server发起SSL连接。
[0037] (g)SSL Server探测到SSL连接后立即向MMS Server发起TCP连接。
[0038] 至此MMS服务端与MMS客户端之间建立起了安全连接。
[0039] 丽S Client与丽S Server之间的安全通信过程如下(对应图3中的@ : Client (IEDScout)通过建立起的TCP连接向SSL Client发送数据请求信息 A0
[0040] ⑤SSL Client收到数据请求信息A后,通过建立起的SSL连接向SSL Server发 送该数据请求信息A。
[0041] ⑥SSLServer收到数据请求信息A后,通过建立起的TCP连接向MMSServer发 送该数据请求信息A。
[0042] ⑦MMS Server收到数据请求信息A后,对该信息进行解析,将回应信息B通过建 立起的TCP连接发送至SSL Server。
[0043] ⑧SSL Server收到回应信息B后,通过建立起的SSL连接向SSL Client发送该 回应信息B。
[0044] ⑨SSL Client收到回应信息B后,通过建立起的TCP连接向丽S Client发送该 回应信息B。
[0045] 至此MMS服务端与MMS客户端完成了一次安全数据交换。
[0046] 以上所述,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均 应包含在本发明的保护范围之类。
【主权项】
1. 一种智能变电站过程层交换机MMS安全通信的装置,其特征是, 包括以下模块: SSL安全建立模块:通过位于TCP/IP协议与各种应用层协议之间的SSL协议,为数据 通讯提供安全支持; SSL通信转换模块:加载在MMS客户端与MMS服务端之间,实现SSL与TCP之间的通信 转换和通信代理;包括客户端通信转换模块和服务端通信转换模块; 设置模块:在SSL通信转换模块运行时,配置目标设备的地址和端口。2. 根据权利要求1所述的智能变电站过程层交换机MMS安全通信的装置,其特征是, 所述的SSL协议分为两层: SSL记录协议:建立在可靠的传输协议之上,为高层协议提供数据封装、压缩、加密基 本功能的支持; SSL握手协议:建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进 行身份认证、协商加密算法和/或交换加密密钥。3. 根据权利要求2所述的智能变电站过程层交换机MMS安全通信的装置,其特征是, SSL握手协议使用openssl库实现。4. 根据权利要求1所述的智能变电站过程层交换机MMS安全通信的装置,其特征是, SSL通信转换模块包括: 服务端通信转换模块:与MMS服务端运行于过程层中同一台交换机设备上; 客户端通信转换模块:与MMS客户端运行于站控层中的同一台PC上; 其中,服务端通信转换模块与客户端通信转换模块之间是在TCP连接上建立的安全通 信;服务端通信转换模块与MMS服务端之间是普通的TCP连接,客户端通信转换模块与MMS 客户端之间也是普通的TCP连接。5. 根据权利要求1或4所述的智能变电站过程层交换机MMS安全通信的装置,其特征 是, 客户端通信转换模块: 将MMS客户端发起的TCP连接转换成SSL连接送至服务端通信转换模块; 将MMS客户端发送的数据通过SSL连接发送至服务端通信转换模块; 将通过SSL连接收到的数据转换成TCP连接发送至MMS客户端; 服务端通信转换模块: 将SSL连接请求转换成TCP连接请求发送至MMS服务端; 将通过SSL连接收到的数据转换成TCP连接发送至MMS服务端; 将通过TCP连接收到的数据转换成SSL连接发送至客户端通信转换模块。6. -种智能变电站过程层交换机MMS安全通信的方法,其特征在于, 当MMS客户端发起TCP连接时,该连接请求发送至SSL代理,再由SSL代理发送至MMS 服务端,当连接会话建立后,MMS客户端与MMS服务端的数据通信通过该会话传送,实现MMS 的安全通信。7. 根据权利要求6所述的智能变电站过程层交换机MMS安全通信的方法,其特征在于, 所述SSL代理包括: SSL服务端代理:与MMS服务端运行于过程层中同一台交换机设备上; SSL客户端代理:与MMS客户端运行于站控层中的同一台PC上; 其中,SSL服务端代理与SSL客户端代理之间是在TCP连接上建立的安全通信;SSL服 务端代理与MMS服务端之间是普通的TCP连接,SSL客户端代理与MMS客户端之间也是普 通的TCP连接。8. 根据权利要求7所述的智能变电站过程层交换机MMS安全通信的方法,其特征在于, 所述在TCP连接上建立的安全通信,是使用openssl库提供的API在TCP连接的基础上实 现,其中涉及双方身份认证、协商加密算法、交换加密密钥等,因此之后的数据通信安全得 以保证。9. 根据权利要求7所述的智能变电站过程层交换机MMS安全通信的方法,其特征在于, 所述SSL客户端代理: (1) 将MMS客户端发起的TCP连接转换成SSL连接送至SSL服务端代理; (2) 将MMS客户端发送的数据通过SSL连接发送至SSL服务端代理; (3) 将通过SSL连接收到的数据转换成TCP连接发送至MMS客户端。10. 根据权利要求7所述的智能变电站过程层交换机MMS安全通信的方法,其特征在 于,所述SSL服务端代理: (1) 将SSL连接请求转换成TCP连接请求发送至MMS服务端; (2) 将通过SSL连接收到的数据转换成TCP连接发送至MMS服务端; (3) 将通过TCP连接收到的数据转换成SSL连接发送至SSL客户端代理。
【专利摘要】本发明公开了一种智能变电站过程层交换机MMS安全通信的装置及方法,当MMS客户端发起TCP连接时,该连接请求并非直接发送至MMS服务端,而是发送至SSL代理,再由SSL代理发送至MMS服务端,当连接会话建立后,MMS客户端与MMS服务端的数据通信通过该会话传送,实现MMS的安全通信。本发明通过将成熟的openssl库与TCP代理通信技术融入MMS通信过程,最终将模型转化成应用,即使MMS有任何更新对该模型也没有任何影响。该模型是一个相对独立并且通用的安全方案。
【IPC分类】H04L29/06, H04L29/08
【公开号】CN104994061
【申请号】CN201510253606
【发明人】丁晓兵, 刘之尧, 张弛, 彭业, 晏平仲, 张宪军, 徐鹏
【申请人】中国南方电网有限责任公司, 南京国电南自电网自动化有限公司
【公开日】2015年10月21日
【申请日】2015年5月19日