一种用于电力串口服务器通信协议安全防护系统的制作方法
【技术领域】
[0001]本发明涉及智能电网通信协议安全技术领域,具体涉及电力自动化系统中广泛使用的电力串口服务器数据通信协议安全性的检测和安全防护系统。
【背景技术】
[0002]随着Internet互联网技术的发展,TCP/IP协议已经成为事实上的网络标准,而基于TCP/IP协议是网络互连不可缺少的网络协议。近年来将以太网技术引入到工业现场控制领域而产生的工业以太网技术,使得电力终端设备,工业生产中的各类采集和控制设备走向网络化成为可能。而串口服务器的出现使得这些设备网络化的可能变成了现实。
[0003]目前常见的电力自动化系统中(见图1),大量使用了电力串口服务器,将用RS-422、RS-232、RS-485等串行链路遵守一定电力通信协议(ModBus、DNP3、IEC-101/102/103等)的多个设备组成电力自动化控制网络网络化,实现了串行链路通信设备与TCP/IP网络的互联,使得电网变电站监系统与远程控制中心数据交互成为可能。
[0004]电力串口服务器连接的各类使用串口通信电力控制设备,这些设备使用的工控通信协议在设计之初都没有考虑协议的安全性和私密性,这些工控协议的特性是面向命令、面向功能、轮询应答式,攻击者只需要掌握协议构造方式,并接入到了工控网络中,便可以通过协议对目标设备的任意数据进行篡改。在以往封闭的工控网络环境中这些安全问题显得并不突出,而在两化融合(信息化和工业化)的浪潮中,这些电力控制设备的安全问题就非常突出起来。
[0005]而电力串口服务器本身并不具备对接入的工控设备的工控通信协议安全防护的功能,一旦攻击者绕过防火墙直接连访问串口服务器,就可以通过非法命令控制串口服务器相连的各类电力控制设备。同时,目前的防火墙都不具备电力业务安全性防护性功能,攻击者也可将相关的设备攻击指令隐藏在应用层协议数据包中,避开防护墙攻击相关的电网设备。
【发明内容】
[0006]本发明要解决的技术问题是提供一种用于电力串口服务器通信协议安全防护系统,本发明有效解决了现有电力串口服务器对接入的各类电力工控设备不具备通信协议层的安全防护功能的弊端,在串口服务器软件控制系统中的协议转换层上(网口协议转串口,串口协议转网口)提供一层对电力通信业务协议的保护层,用来防止攻击者利用非法指令和数据对接入电力串口服务器中各类电力控制设备的非法操作和攻击。
[0007]本发明通过以下技术方案实现:
一种用于电力串口服务器通信协议安全防护系统,在网口协议转串口协议和串口协议转网口协议中提供了一个协议数据的安全防护系统,任何发送给网口和串口的协议数据和访问请求都会经过这个安全防护系统的安全认证和检测,其特征在于:所述安全防护系统由以下三个部分组成:通信协议数据的解析还原及格式化处理模块、协议数据分析检测系统、通信协议数据业务模型安全策略定义系统;
所述通信协议数据的解析还原及格式化处理模块,包括协议数据解析还原和协议数据格式化,进入协议数据安全防护系统的数据均为TCP/IP网络数据,处理模块首先完成网络数据包物理接口层、网络层和传输层数据的还原;在此基础上,根据PORT 口的通信协议类型定义,在业务应用层面做数据的细颗粒化的分解;还原出的协议数据包数据按照网络协议的层级关系格式化出四个部分组成的协议格式化数据包,分为:网络物理接口数据、网络层数据、传输层数据和应用层数据;
所述协议数据分析检测系统包括分析检测规则的建立以及协议数据的分析,首先据通信协议数据业务模型的安全策略模型建立协议数据的安全检测规则库,根据检测的网络协议的层级不同,将检测规则库划分为四大类,既网络物理接口规则库、网络层规则库、传输层规则库和业务应用层规则库;协议数据分析由四个部分组成,包括数据工作区、执行规则队列区、静态规则队列区以及规则执行引擎;
所述通信协议数据业务模型安全策略定义系统,对流经该电力串口服务器各类通信协议数据的安全检测模型的定义,系统根据电力工控设备通信协议的网络特性,按工控通信协议类型由底往上构建四层级网络协议的安全性策略规则,网络物理接口规则、网络层规则库、传输层规则和业务应用层规则,每一层规则又由一系列的规则库实例组成,通过四层规则检验的协议数据为安全的数据包,该系统定义的协议安全性检测规则库驱动协议安全性分析检测系统完成相关的安全性检测工作。
[0008]本发明进一步技术改进方案是:
所述业务层数据的细颗粒化分解包含六个方面的数据分解:1)协议数据包访问主机信息的分解;2)协议数据包的服务和端口数据的分解;3)协议数据包通信速率数据的分解;4)协议数据包数据格式的分解;5)协议数据包协议模型的分解;6)业务数据的分解。
[0009]本发明进一步技术改进方案是:
所述数据工作区用来存放格式化好的协议数据包数据;所述执行规则队列区,用来存放已经激活,正在执行的分析规则;所述静态规则队列区,存放未激活,等待加载的分析规则;所述规则执行引擎,根据规则队列中的优先顺序执行规则实例;所述的协议数据分析采用演绎推理的分析模式,从网络物理接口规则作为初始点,按次序引入网络层规则,传输层规则和业务应用层规则,这个过程是对流入数据工作区的协议包数据分析不断引入分析规则,不断得出结论,逐层递进,过滤非法数据和设备命令。
[0010]本发明与现有技术相比,具有以下明显优点:
本发明在目前工业以太网络中广泛使用串口服务器中增加了工控协议的安全性检测功能,可确保与串口服务器相连的各类工业控制设备安全性,通过串口服务器中的协议安全性检测功能,可最大限度地防止外部对电力和工控网络的恶意攻击,确保电力系统和各类工控系统的安全稳定运行,具体来说,本发明具有如下具体效果:
一、本发明为电力自动化网中广泛使用的电力串口服务器提供了内置的工控通协议安全性检测方法;
二、本发明所采用的方法是在电力串口服务器网络协议转换层后增加一层协议保护层,用来过滤检测网口与串口间流经的各类协议数据;
三、本发明的协议安全性的检测方法,根据电力和工控协议业务特点网络协议数据包的组成,设定了四层过滤机制,彻底杜绝对自动设备的网络攻击。
四、本发明的协议安全性检测方法,可基于具体的电力工控协议,设置相关的业务安全检测规则,避免基于协议应用层的数据攻击。
【附图说明】
[0011]图1、电力串口服务器在电力自动化系统中的应用;
图2、串口服务器结构图;
图3、本方法在串口服务器中的应用;。
【具体实施方式】
[0012]图1为目前电力串口服务器的工作组成架构图,串口服务器的网络端接收到以太网络数据后,进入协议转换层,完成协议的解包转换,解包过程包含提取串口数据和目标串口序号等信息,重新组装成串口协议数据发送给相关的串口设备;同理,当收到串口数据后则将串口数据和源串口序号打包成网络数据格式发送给对应的主机系统;电力串口服务器在这个双向通信过程中,对通信协议数据没有做任何的安全验证,任何非法的设备操作命令和虚假的设备状态数据都会危害到相关电力控制设备或系统。
[0013]图2为本发明提供的具有通信协议数据安全防护功能的电力串口服务器,该解决方案在网口协议转串口协议和串口协议转网口协议中提供了一个协议数据的保护层,任何发送给网口和串口的协议数据和访问请求都会经过这个保护层的安全认证和检测,这个协议数据保护层有三个系统模块组成,1)通信协议数据的解析还原及格式化处理模块;2)协议数据分析检测系统;3)通信协议数据业务模型安全策略定义系统。
[0014]通信协议数据的解析还原及格式化处理模块实现以下功能:
协议类型的定义:可具体定义串口服务器的每个PORT 口所采用的电力通信协议,如Modbus,DNP3等协议类型,
协议数据还原:进入协议数据保护层的数据均为TCP/IP网络数据,本模块首先完成网络数据包物理接口层、