一种面向电力iec104规约的tcp透明代理实现方法
【技术领域】
[0001 ] 本发明涉及一种TCP透明代理实现方法,尤其涉及一种面向电力IEC104规约的TCP透明代理实现方法,属于电力系统通信安全技术领域。
【背景技术】
[0002]随着计算机网络技术在电力自动化中的普遍应用,其利用以太网介质的网络通信规约进行数据交换在电力自动化系统中得到广泛的应用,目前在调度自动化系统与各变电站自动化系统之间,及变电站自动化系统内测控系统的通信传输多采用IEC60870-5-104通信协议(简称IEC104协议)ο IEC104协议作为一种国际标准协议,具有实时性好、可靠性高、数据流量大、便于信息量扩充、支持网络传输等优点,其内容和功能涵盖了保护方面的定义。104规约不仅可以用在调度和厂站之间,而且完全可以应用于变电站自动化系统内部,现有的IEC104协议已经被国内外电力自动化主流供应商如国电南瑞、北京四方、SIEMENS等应用到电力自动化系统当中。
[0003]IEC104协议是一种国际标准的协议,规定了协议传输过程中报文的格式要求和传输时序要求,它是一个明文传输标准,信息安全防护较差;且该协议比较开放和标准化,其受到攻击的威胁大,安全性也差。IEC104协议以TCP作为传输层协议,而TCP/IP协议本身就存在安全性问题,如伪造IP地址、源路由选择欺骗等,并且TCP/IP协议采用明文传输,将会导致应用程序的数据在网络上是公开的,很容易被窃听、伪造和篡改。可见,远动信息的安全传输已成为不可回避的实际问题,作为电力自动化系统数据源和实施控制行为的远动信息,如果由于传输的安全原因引起误动、拒动、上传数据的紊乱等,将给电力系统的安全稳定运行带来严重威胁,有时甚至引发灾难性事故。因此,保证远动信息传输的安全性将十分重要。
[0004]为了解决上述问题,在申请号为201110361177.0的中国发明专利申请中,公开了一种实现IEC104报文传输的方法和系统,其中,方法包括如下步骤:S1,根据预传输IEC104报文所携带的标志位判断其是否为I帧、U帧还是S帧,若为I帧,则S2,若为U帧或者S帧,则转至S4; S2,发送方对I帧的应用服务数据单元通过ECC算法进行加密;S3.接收方对加密后的应用服务数据单元进行解密,以还原出明文的应用服务数据单元;S4,对预传输IEC104报文的发送方通过数字签名进行身份验证。根据IEC104报文的帧格式,分别采用ECC加密算法和通过数字签名进行身份验证相结合的方式对报文进行处理,一定程度上解决了 IEC104报文明文传输的安全性问题,提高了报文传输的可靠性。
【发明内容】
[0005]针对现有技术的不足,本发明所要解决的技术问题在于提供一种面向电力IEC104规约的TCP透明代理实现方法。
[0006]为实现上述发明目的,本发明采用下述的技术方案:
[0007]一种面向电力IECl 04规约的TCP透明代理实现方法,包括如下步骤:
[0008]SI,客户端网关加密设备获取IEC104客户端发送的带序列号的报文信息,将所述报文信息发送给服务器网关加密设备,由服务器网关加密设备发送给IEC104服务器;
[0009]S2,客户端网关加密设备根据所述序列号生成网关序列号,通过向服务器网关加密设备发送带网关序列号的报文信息在客户端网关加密设备和服务器网关加密设备之间建立隧道,客户端网关加密设备不定时自主向服务器网关加密设备传送带网关序列号的通信报文;
[0010]S3,IEC104客户端发送带序列号的报文信息给客户端网关加密设备,客户端网关加密设备结合本地发送的报文信息,将获取所述序列号进行处理生成网关序列号,并对获取的报文信息进行加密,组合生成处理信息,将所述处理信息传送给服务器网关加密设备;
[0011]S4,服务器网关加密设备对获取的处理信息中的网关序列号进行反处理,并对报文信息进行解密,将解密后的报文信息传送给IEC104服务器。
[0012]其中较优地,所述IEC104客户端根据本地发送的报文信息,生成自动递加的序列号。
[0013]其中较优地,在步骤SI中,所述客户端网关加密设备在获取所述IEC104客户端发送的带序列号的报文信息之前,所述IEC104客户端通过所述客户端网关加密设备和所述服务器网关加密设备与所述IEC104服务器建立TCP连接。
[0014]其中较优地,在步骤S2中,所述客户端网关加密设备根据所述序列号生成网关序列号,包括如下步骤:
[0015]获取IEC104客户端发送的报文信息的序列号;
[0016]获取由客户端网关加密设备本地发送的报文信息的数量;
[0017]通过公式:C=A+B;得到网关序列号;其中,A为IEC104客户端发送的报文信息的序列号;B为客户端网关加密设备本地发送的报文信息的数量。
[0018]其中较优地,在步骤S2中,通过向服务器网关加密设备发送带网关序列号的报文信息在客户端网关加密设备和服务器网关加密设备之间建立隧道,包括如下步骤:
[0019]客户端网关加密设备获取网关序列号,将网关序列号和隧道建立请求报文一起发送给服务器网关加密设备;
[0020]服务器网关加密设备根据接收到的隧道建立请求报文做出回应,并发送回应报文;
[0021]客户端网关加密设备获取回应报文和网关序列号,将网关序列号和隧道成功建立确认报文一起发送给服务器网关加密设备,客户端网关加密设备和服务器网关加密设备之间建立隧道。
[0022]其中较优地,在步骤S2中,所述通信报文包括管控报文和隧道保活心跳报文;
[0023]其中,所述管控报文用于对所述服务器网关加密设备进行远程管理和设备状态监控;
[0024]所述隧道保活心跳报文用以保证所述IEC104客户端和所述IEC104服务器之间信息传送时隧道的可用性。
[0025]其中较优地,在步骤S3中,对获取的报文信息进行加密之前,所述客户端网关加密设备对获取的报文信息进行解析,并对所述报文信息的完整性进行识别,当识别出的报文信息不是完整信息时,继续等待所述IEC104客户端的报文信息发送,直至报文信息完整时,对报文信息进行加密处理。
[0026]其中较优地,在步骤S4中,服务器网关加密设备对获取的处理信息中的网关序列号进行反处理,包括如下步骤:
[0027]服务器网关加密设备获取处理信息中的网关序列号;
[0028]获取由客户端网关加密设备本地发送的报文信息的数量;
[0029]通过公式:A = C-B;得到IEC104客户端发送的报文信息的序列号;其中,C为处理信息中的网关序列号;B为客户端网关加密设备本地发送的报文信息的数量。
[0030]本发明所提供的面向电力IEC104规约的TCP透明代理实现方法,当IEC104客户端首次向IEC104服务器发送带序列号的报文信息之后,客户端网关加密设备根据IEC104客户端报文信息的序列号生成网关序列号,通过向服务器网关加密设备发送带网关序列号的报文信息建立隧道。之后,IEC104客户端根据本地发送的报文信息,生成自动递加的序列号,发送带序列号的报文信息给客户端网关加密设备,客户端网关加密设备为了使序列号不冲突,结合本地发送的报文信息,将获取的IEC104客户端的报文信息的序列号进行处理,并对获取的报文信息进行加密,组合生成处理信息,并将其传送给服务器网关加密设备。服务器网关加密设备对获取的处理信息中的序列号进行反处理,并对报文信息进行解密,将解密后的报文信息传送给IEC104服务器。该方法有效地解决了 IEC104报文信息明文传输的安全性问题,提高了报文传输的可靠性。
【附图说明】
[0031]图1为本发明所提供的面向电力IEC104规约的TCP透明代理实现方法的流程图;
[0032]图2为本发明所提供的一个实施例中,IEC104客户端和IEC104服务器之间进行通信的流程图。
【具体实施方式】
[0033]下面结合附图和具体实施例对本发明的技术内容进行详细具体的说明。
[0034]TCP透明代理为部署在TCP服务器与客户端中间链路上的设备或者模块,可以监听至IjTCP连接的所有数据包,并具有对数据进行处理转发的功能。当前的TCP透明代理只能实现TCP传输层面的代理,欠缺对IEC104协议解析及处理的能力,并且无法对上层数据部分进行数据修改,添加数据内容等操作。在本发明所提供的面向电力IEC104规约的TCP透明代理实现方法中,作为TCP连接中的中间网关设备(客户端网关加密设备和服务器网关加密设