专利名称:一种iec104协议报文传输的方法和系统的制作方法
技术领域:
本发明涉及信息安全领域,尤其涉及一种IEC104协议报文传输的方法和系统。
背景技术:
根据国家电网调〔2011〕168号文件《关于加强配电网自动化系统安全防护工作的通知》(以下简称“安防通知”)和《中低压配电网自动化系统安全防护补充规定(试行)》 (以下简称“安防补充规定”),国家电网要求主站和各个终端厂家对下行控制命令与参数设置指令报文,利用“安防补充规定”中的提到的方法,补充时间戳和签名摘要,其中,主站公钥所采用的调度证书格式遵循X. 509标准,配电终端设备通过预设主站发布的公钥,从而对签名摘要进行解密,并验证时间戳,以确定标准协议报文的有效性,本发明中以IEC104 协议报文为例,其格式如表1所示,该格式包括IEC104协议报文、时间戳以及签名摘要,其中,签名摘要采用ECC (Elliptic Curves Cryptography,椭圆曲线密码编码学)算法或者 RSA算法,一般情况下,ECC算法主要针对160位的签名摘要,而RSA算法主要针对1024bit 的签名摘要。表 1
1IEC104协议报文丨时间戳I签名根据官方测试统计结果可知,若要完成一次IEC104协议报文的加密和解密过程,需要大量消耗配电主站或者配电终端的CPU处理时间,特别是进行批量遥控或者批量参数设置时,光完成对IEC104协议报文的加密和解密过程,消耗的CPU处理时间将更不可想象;另外,为了使配电主站或配电终端能够满足正常的监控需要,企业将不得不采购更高性能的服务器,特别是对于终端来说,其为了使用更高性能的处理芯片,有可能修改其硬件结构设计,这样的话,将大大提高配电主站或者配电终端的制造成本,从而提高配电自动化系统的建设费用。进一步地,针对电网中对安全性的特殊要求,在配电系统中通过采用高安全度的非对称加密算法完成签名摘要,例如,ECC (Elliptic Curves Cryptography,椭圆曲线密码编码学)算法,但是,非对称加密算法的时间复杂度都非常高,所以,迫切需要提供一种满足 IEC104协议报文安全传输的同时又能够降低配电自动化系统的建设费用的方法。
发明内容
本发明要解决的技术问题在于,针对现有技术的配电自动化系统建设费用高以及加解密时间复杂度高的缺陷,提供一种保证IEC104协议报文安全传输的同时大大降低配电自动化系统建设费用的IEC104协议报文传输的方法和系统。本发明解决其技术问题所采用的技术方案是构造一种IEC104协议报文传输的方法,所述方法包括以下步骤
Si.接收配电主站和/或配电终端下发的控制报文,其中,所述控制报文为携带控制命令的I帧报文;52.通过加密算法对所述控制报文的控制域进行加密,并根据IEC104协议顺序组合携带安全标签的预传输报文;
53.通过解密算法对所述预传输报文的签名摘要进行解密,并根据解密后的签名摘要校验所述预传输报文的安全性。在本发明所述的IEC104协议报文传输的方法中,所述步骤Sl之前还包括以下步骤
so.获取携带加密公钥的加密算法和携带解密私钥的解密算法。在本发明所述的IEC104协议报文传输的方法中,所述预传输报文包括报文启动字符、控制报文长度Li、控制报文、报文结束字符、签名报文长度L2、控制位C、预留位S、时间戳、安全标签以及签名摘要。在本发明所述的IEC104协议报文传输的方法中,所述步骤S2的具体包括以下步骤
Al.计算所述控制报文的字节长度,并将其保存至控制报文长度Ll ; Bi.通过加密算法对所述控制报文的控制域进行加密; Cl.将加密后的控制域保存至签名摘要;
Dl.计算所述签名摘要的字节长度,并将其保存至签名报文长度L2 ;
El.分别对控制位C和预留位S赋值;
Fl.获取系统的当前时间,并将其赋值给时间戳;
Gl.对安全标签赋值;
Hl.根据IEC104协议将报文启动字符、控制报文长度Li、控制报文、报文结束字符、签名报文标识、签名报文长度L2、控制位C、预留位S、时间戳、安全标签以及签名摘要顺序组合成携带安全标签的预传输报文。在本发明所述的IEC104协议报文传输的方法中,所述步骤S3的具体包括以下步骤
A2.截取所述预传输报文的第二个字节和第三个字节的内容,并将其保存至控制报文长度Li,其中,所述预传输报文的字节长度为L,L=Ll+L2+28 ;
B2.截取所述预传输报文的第L1+8个字节至第L1+11个字节之间的内容,并将其保存至时间戳;
C2.获取系统的当前时间,并判断该当前时间与时间戳的差值是否小于预设间隔,若是,则执行步骤D2,若否,则所述预传输报文传输超时,步骤结束;
D2.截取所述预传输报文的第6个字节至第9个字节的内容,以获取控制域;
E2.截取第L1+6个字节的内容,并将其保存至签名报文长度L2 ;
F2.截取第Ll+四个字节至第Ll+L2+^个字节之间的内容,并将其保存至签名摘要;
G2.通过解密算法对所述签名摘要进行解密;
H2.判断解密后的签名摘要与所获取的控制域是否相等,若是,则所述预传输报文属于安全传输,执行步骤12,若否,则所述预传输报文传输错误,步骤结束;
12.截取所述预传输报文的第4个字节至第L1+3个字节之间的内容,则所截取的内容为控制报文本身。在本发明所述的IEC104协议报文传输的方法中,通过ECC算法进行加密和解密。
本发明还构造了一种IEC104协议报文传输的系统,所述系统包括依次连接的接收单元、组合单元以及校验单元,其中,
接收单元,用于接收配电主站和/或配电终端下发的控制报文,其中,所述控制报文为携带控制命令的I帧报文;
组合单元,用于通过加密算法对所述控制报文的控制域进行加密,并根据IEC104协议顺序组合携带安全标签的预传输报文;
校验单元,用于通过解密算法对所述预传输报文的签名摘要进行解密,并根据解密后的签名摘要校验所述预传输报文的安全性。在本发明所述的IEC104协议报文传输的系统中,所述系统还包括与所述接收单元连接且用于获取携带加密公钥的加密算法和携带解密私钥的解密算法的获取单元。在本发明所述的IEC104协议报文传输的系统中,所述预传输报文包括报文启动字符、控制报文长度Li、控制报文、报文结束字符、签名报文标识、签名报文长度L2、控制位 C、预留位S、时间戳、安全标签以及签名摘要。在本发明所述的IEC104协议报文传输的系统中, 通过ECC算法进行加密和解密。实施本发明的技术方案,具有以下有益效果根据IEC104协议通过对控制报文的控制域进行加密,以组合携带安全标签的预传输报文,并对加密后的控制域进行解密,以校验预传输报文的安全性,从而在保证IEC104协议报文安全传输的前提下,大大降低了配电自动化系统的建设成本,并且提高了自动化系统的总体生命周期。
下面将结合附图及实施例对本发明作进一步说明,附图中 图1是本发明IEC104协议报文传输的方法实施例一的流程图2是本发明IEC104协议报文传输的方法中控制报文的结构示意图; 图3是本发明IEC104协议报文传输的方法中控制报文的控制域结构示意图; 图4是本发明IEC104协议报文传输的方法中步骤S2实施例二的流程图; 图5是本发明IEC104协议报文传输的方法中步骤S3实施例三的流程图; 图6是本发明IEC104协议报文传输的系统的结构示意图。
具体实施例方式为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。应当说明的是,在本发明的各种实施例中,IEC104协议报文包括报文启动字符、控制报文长度Li、控制报文、报文结束字符、签名报文标识、签名报文长度L2、控制位C、预留位S、时间戳、安全标签以及签名摘要,其中,报文启动字符占用1个字节,控制报文长度Ll 占用2个字节,控制报文占用Ll个字节,报文结束字符占用1个字节,签名报文标识占用1个字节,签名报文长度L2占用1个字节,控制位C占用1个字节,预留位S占用一个字节, 时间戳占用4个字节,安全标签占用16个字节以及签名摘要占用L2个字节,在本发明中, 报文启动字符的值为68H,报文结束字符的值为16H,签名报文标识的值为16H,该IEC104 协议报文的格式的具体内容如表2所示,本领域的技术人员应当了解,这里不再赘述。表权利要求
1.一种IEC104协议报文传输的方法,其特征在于,所述方法包括以下步骤51.接收配电主站和/或配电终端下发的控制报文,其中,所述控制报文为携带控制命令的I帧报文;52.通过加密算法对所述控制报文的控制域进行加密,并根据IEC104协议顺序组合携带安全标签的预传输报文;53.通过解密算法对所述预传输报文的签名摘要进行解密,并根据解密后的签名摘要校验所述预传输报文的安全性。
2.根据权利要求1所述的IEC104协议报文传输的方法,其特征在于,所述步骤Sl之前还包括以下步骤SO.获取携带加密公钥的加密算法和携带解密私钥的解密算法。
3.根据权利要求2所述的IEC104协议报文传输的方法,其特征在于,所述预传输报文包括报文启动字符、控制报文长度Li、控制报文、报文结束字符、签名报文长度L2、控制位 C、预留位S、时间戳、安全标签以及签名摘要。
4.根据权利要求3所述的IEC104协议报文传输的方法,其特征在于,所述步骤S2的具体包括以下步骤Al.计算所述控制报文的字节长度,并将其保存至控制报文长度Ll ; Bi.通过加密算法对所述控制报文的控制域进行加密; Cl.将加密后的控制域保存至签名摘要;Dl.计算所述签名摘要的字节长度,并将其保存至签名报文长度L2 ;El.分别对控制位C和预留位S赋值;Fl.获取系统的当前时间,并将其赋值给时间戳;Gl.对安全标签赋值;Hl.根据IEC104协议将报文启动字符、控制报文长度Li、控制报文、报文结束字符、签名报文标识、签名报文长度L2、控制位C、预留位S、时间戳、安全标签以及签名摘要顺序组合成携带安全标签的预传输报文。
5.根据权利要求4所述的IEC104协议报文传输的方法,其特征在于,所述步骤S3的具体包括以下步骤A2.截取所述预传输报文的第二个字节和第三个字节的内容,并将其保存至控制报文长度Li,其中,所述预传输报文的字节长度为L,L=Ll+L2+28 ;B2.截取所述预传输报文的第L1+8个字节至第L1+11个字节之间的内容,并将其保存至时间戳;C2.获取系统的当前时间,并判断该当前时间与时间戳的差值是否小于预设间隔,若是,则执行步骤D2,若否,则所述预传输报文传输超时,步骤结束;D2.截取所述预传输报文的第6个字节至第9个字节的内容,以获取控制域;E2.截取第L1+6个字节的内容,并将其保存至签名报文长度L2 ;F2.截取第Ll+四个字节至第Ll+L2+^个字节之间的内容,并将其保存至签名摘要;G2.通过解密算法对所述签名摘要进行解密;H2.判断解密后的签名摘要与所获取的控制域是否相等,若是,则所述预传输报文属于安全传输,执行步骤12,若否,则所述预传输报文传输错误,步骤结束;I2.截取所述预传输报文的第4个字节至第L1+3个字节之间的内容,则所截取的内容 为控制报文本身。
6.根据权利要求1-5任意一项所述的IEC104协议报文传输的方法,其特征在于,通过 ECC算法进行加密和解密。
7.—种IEC104协议报文传输的系统,其特征在于,所述系统包括依次连接的接收单 元、组合单元以及校验单元,其中,接收单元,用于接收配电主站和/或配电终端下发的控制报文,其中,所述控制报文为 携带控制命令的I帧报文;组合单元,用于通过加密算法对所述控制报文的控制域进行加密,并根据IEC104协议 顺序组合携带安全标签的预传输报文;校验单元,用于通过解密算法对所述预传输报文的签名摘要进行解密,并根据解密后 的签名摘要校验所述预传输报文的安全性。
8.根据权利要求7所述的IEC104协议报文传输的系统,其特征在于,所述系统还包括 与所述接收单元连接且用于获取携带加密公钥的加密算法和携带解密私钥的解密算法的 获取单元。
9.根据权利要求8所述的IEC104协议报文传输的系统,其特征在于,所述报文的格式 包括报文启动字符、控制报文长度Li、控制报文、报文结束字符、签名报文标识、签名报文长 度L2、控制位C、预留位S、时间戳、安全标签以及签名摘要。
10.根据权利要求7-9所述的IEC104协议报文传输的系统,其特征在于,通过ECC算法进行加密和解密。
全文摘要
本发明公开一种IEC104协议报文传输的方法和系统,该方法包括S1.接收配电主站和/或配电终端下发的控制报文;S2.通过加密算法对所述控制报文的控制域进行加密,并根据IEC104协议顺序组合携带安全标签的预传输报文;S3.通过解密算法对所述预传输报文的签名摘要进行解密,并根据解密后的签名摘要校验所述预传输报文的安全性。根据IEC104协议通过对控制报文的控制域进行加密,以组合携带安全标签的预传输报文,并对加密后的控制域进行解密,以校验预传输报文的安全性,从而在保证IEC104协议报文安全传输的前提下,大大降低了配电自动化系统的建设成本,并且提高了自动化系统的总体生命周期。
文档编号H04L9/32GK102316107SQ20111026513
公开日2012年1月11日 申请日期2011年9月8日 优先权日2011年9月8日
发明者喻洪平 申请人:航天科工深圳(集团)有限公司