专利名称:一种实现iec104报文传输的方法和系统的制作方法
技术领域:
本发明涉及信息传输领域,尤其涉及一种实现IEC104报文传输的方法和系统。
背景技术:
随着计算机网络技术及电力自动化技术的快速发展,许多地区调度自动化系统的功能已经很强大,其信息传输控制一般支持多种协议,尤其支持IEC60870-5-104协议 (简称IEC104协议)。IEC104协议作为一种国际标准协议,具有实时性好、可靠性高、数据流量大、便于信息量扩充、支持网络传输等优点,其内容和功能涵盖了保护方面的定义。 104规约不仅可以用在调度和厂站之间,而且完全可以应用于变电站自动化系统内部,现有 104规约已被多个国际知名保护自动化公司如SIEMENS、GEELIN等公司应用到变电站自动化系统当中,并且已经获得了成功。随着电力系统光纤通信网络的发展,在建的国家电力数据网络(SPDnet )已经发展到一个可初步搭建电力系统信息高速公路的新阶段,而104规约正是目前阶段将变电站实时信息发送至这个高速公路的有效载体,提供以太网接口并支持104规约的站内远动终端,该远动终端可以直接接入SPDnet边缘交换机,从而将实时信息发送至所有需要该站信息的连接到SPDnet的用户。众所周知,IEC104作为国际标准协议,它是一个明文传输标准,信息安全防护较差;且该协议比较开放和标准化,其受到攻击的威胁也越大,安全性也越差;它以TCP作为传输层协议,而TCP/IP协议本身就存在安全性问题,如伪造IP地址、源路由选择欺骗,并且 TCP/IP协议采用明文传输,将会导致应用程序的数据包括口令、密码等在网络上是公开的, 很容易被窃听、伪造和篡改。可见,远动信息的安全传输已成为不可回避的实际问题,作为电力自动化系统数据源和实施控制行为的远动信息,如果由于传输的安全原因引起误动、 拒动、上传数据的紊乱等,将给电力系统的安全稳定运行带来严重威胁,有时甚至引发灾难性事故。因此,保证远动信息传输的安全性将十分重要。
发明内容
本发明要解决的技术问题在于,针对现有技术远动信息传输安全存在隐患的缺陷,提供一种实现IEC104报文传输的方法和系统,该技术方案解决了 IEC104报文明文传输的安全性问题,从而提高了报文传输的可靠性,保障电力系统安全稳定的运行。本发明解决其技术问题所采用的技术方案是构造一种实现IEC104报文传输的方法,所述方法包括以下步骤
51.根据预传输IEC104报文所携带的标志位判断其是否为I帧报文、U帧报文还是S 帧报文,若为I帧报文,则执行步骤S2,若为U帧报文或者S帧报文,则直接转至执行步骤 S4;
52.发送方对I帧报文中的应用服务数据单元通过ECC算法进行加密;
53.接收方对加密后的应用服务数据单元进行解密,以还原出明文的应用服务数据单
元;S4.对预传输IEC104报文的发送方通过数字签名进行身份验证。在本发明所述的方法中,所述步骤Sl之前还包括以下步骤 SO.接收用户发送预传输IEC104报文的命令。在本发明所述的方法中,所述步骤S2具体包括以下步骤
521.根据ECC算法接收发送方和接收方共同选择的椭圆曲线
尾( 势的命令,其中,椭圆曲线尾(xj是由方程= + b确定,α, 为正整数;
522.发送方将I帧报文中的应用服务数据单元作为明文信息乓={尽^尽,3..1.,巧《} ,并将该明文信息通过ECC算法进行加密,以生成密文信息&={^0,^+^^},其中, GeEJflM , ^为接收方的公开密钥,且怂 为正整数,走为正整数,m为正整数。在本发明所述的方法中,所述步骤S3具体包括以下步骤
531.接收方接收所述密文信息C;= λα及+My ;
532.通过公式忍=&.2-€^对所述密文信息Cs=进行解密,以生成明
文信息 A =、Um.’X…’D,其中,l^mJ - + ,。在本发明所述的方法中,所述步骤S4具体包括以下步骤
541.发送方通过Hash算法将所述预传输IEC104报文生成第一信息摘要,并根据其私钥对所述第一信息摘要进行数字签名;
542.发送方将所述预传输IEC104报文和已签名的第一信息摘要发送至接收方;
543.接收方通过Hash算法将所接收的所述预传输IEC104报文生成第二信息摘要,并根据已签名的第一信息摘要对所述第二信息摘要进行验证,以确认发送方的身份信息。本发明还构造一种实现IEC104报文传输的系统,所述系统包括依次连接的判断模块,加密模块、解密模块以及分别与所述判断模块和所述解密模块连接的验证模块,其中,
判断模块,用于根据预传输IEC104报文所携带的标志位判断其是否为I帧报文、U帧报文还是S帧报文;
加密模块,用于发送方对I帧报文中的应用服务数据单元通过ECC算法进行加密; 解密模块,用于接收方对加密后的I帧报文的应用服务数据单元进行解密,以还原出明文的应用服务数据单元;
验证模块,用于对预传输IEC104报文的发送方通过数字签名进行身份验证。
在本发明所述的系统中,所述系统包括与所述判断模块连接的接收模块,其中,
接收模块,用于接收用户发送预传输IEC104报文的命令。
在本发明所述的系统中,所述加密模块具体包括依次连接的选择单元和第一生成单元,其中,
选择单元,用于根据ECC算法接收发送方和接收方共同选择的椭圆曲线4叙力的命令, 其中,椭圆曲线尾(幼是由方程/ = x3+ax + b确定,《》为正整数;
第一生成单元,用于发送方将I帧报文中的应用服务数据单元作为明文信息忍=(H.,m、,并将该明文信息通过ECC算法进行加密,以生成密文信息 Cx = {kG,及+ ,其中,σ e ^(Α ), 4为接收方的公开密钥,且巧= σ, 为正整数,i为正整数,m为正整数。在本发明所述的系统中,所述解密模块具体包括依次连接的接收单元和第二生成单元,其中,
接收单元,用于接收方接收所述密文信息Ca = Ota足+^y ; 第二生成单元,用于通过公式乓=^2-Qa对所述密文信息Q = ^ ^+ }进行解密,以生成明文信息乓=( A丄…,其中,C^2 = Px+kPs , Cai=K 。在本发明所述的系统中,所述验证模块具体包括依次连接的签名单元、发送单元以及确认单元,其中,
签名单元,用于发送方通过Hash算法将所述预传输IEC104报文生成第一信息摘要,并根据其私钥对所述第一信息摘要进行数字签名;
发送单元,用于发送方将所述预传输IEC104报文和已签名的第一信息摘要发送至接收方;
确认单元,用于接收方通过Hash算法将所接收的所述预传输IEC104报文生成第二信息摘要,并根据已签名的第一信息摘要对所述第二信息摘要进行验证,以确认发送方的身份fe息。实施本发明的技术方案,具有以下有益效果根据IEC104报文的帧格式,分别采用ECC加密算法和通过数字签名进行身份验证相结合的方式对报文进行处理,解决了 IEC104报文明文传输的安全性问题,从而提高了报文传输的可靠性,保障电力系统安全稳定的运行。
下面将结合附图及实施例对本发明作进一步说明,附图中 图1是本发明实现IEC104报文传输的方法的流程图2是本发明I帧报文的结构示意图3是本发明实现IEC104报文传输的方法中步骤S2的流程图; 图4是本发明实现IEC104报文传输的方法中步骤S3的流程图; 图5是本发明实现IEC104报文传输的方法中步骤S4的流程图; 图6是本发明加密后的I帧报文的结构示意图; 图7是本发明实现IEC104报文传输的系统的结构示意图。
具体实施例方式为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。应当说明的是,根据IEC104报文的格式可知,IEC104报文包括I帧、U帧和S帧三种格式的报文,其中,I帧报文的格式中包含了 ASDU(Application Service Date Unit,应用服务数据单元),而这部分包含了重要的远动信息,也最容易受到外界的攻击,因此,I帧报文需要进行加密和对报文发送方的身份进行验证,由于S帧报文和U帧报文的格式中不包含ASDU,所以在报文发送时不涉及必要的加密信息,只需对报文发送方的身份进行验证, 在本实施例中,发送方通过数字签名进行身份验证,本领域的技术人员应当了解,在其他的实施例中,也可通过其他的方式进行身份验证,在此不再赘述。请参阅图1,图1是本发明实现IEC104报文传输的方法的流程图,如图1所示,所述方法包括以下步骤
在步骤SO中,接收用户发送预传输IEC104报文的命令。在步骤Sl中,根据预传输IEC104报文所携带的标志位判断其是否为I帧报文、U 帧报文还是S帧报文,若为I帧报文,则执行步骤S2,若为U帧报文或者S帧报文,则直接转至执行步骤S4。应当说明的是,针对IEClOl协议来说,I帧报文的结构如图2所示,在本实施例中, 该I帧报文的结构包括启动字符、ASDU长度、控制域8位位组1、控制域8位位组2、控制域 8位位组3、控制域8位位组4以及ASDU明文,值得一提的是,该ASDU长度是可变的,其最大值为253,这里不再赘述。在步骤S2中,发送方对I帧报文中的应用服务数据单元通过ECC算法进行加密。在步骤S3中,接收方对加密后的应用服务数据单元进行解密,以还原出明文的应用服务数据单元。在步骤S4中,对预传输IEC104报文的发送方通过数字签名进行身份验证。请参阅图3,图3是本发明实现IEC104报文传输的方法中步骤S2的流程图,如图 3所示,所述步骤S2具体包括以下步骤
在步骤S21中,根据ECC算法接收发送方和接收方共同选择的椭圆曲线戽(d的命令, 其中,椭圆曲线是由方程J2 = X3+ax + b确定,为正整数。在步骤S22中,发送方将I帧报文中的应用服务数据单元作为明文信息 4 = f、H’Pm、,并将该明文信息通过ECC算法进行加密,以生成密文信息 (^=1^1,4+4 ,其中,Ge,尽为接收方的公开密钥,且4 = 为正整数,λ为正整数,m为正整数。值得一提的是,在本实施例中,选择椭圆曲线上任意一点G作为发送方和接收方的公共点,本领域的技术人员应当了解,这里不再赘述。请参阅图4,图4是本发明实现IEC104报文传输的方法中步骤S3的流程图,如图 4所示,所述步骤S3具体包括以下步骤
在步骤S31中,接收方接收所述密文信息Cs5 = (.4G,Pa+Afy。在步骤S32中,通过公式^=Qu-Ckdf所述密文信息Ca = 怂+.t/y进行解密,以生成明文信息Pn = ( ■’h .>,其中,= Pm+ kPB , Csu = Ml。请参阅图5,图5是本发明实现IEC104报文传输的方法中步骤S4的流程图,如图5所示,所述步骤S4具体包括以下步骤
在步骤S41中,发送方通过Hash算法将所述预传输IEC104报文生成第一信息摘要,并根据其私钥对所述第一信息摘要进行数字签名,也就是说,实施该步骤可完成数字签名的过程。应当说明的是,针对IEClOl协议来说,加密后的I帧报文的结构如图6所示,在本实施例中,加密后的I帧报文的结构包括启动字符、ASDU长度、控制域8位位组1、控制域8 位位组2、控制域8位位组3、控制域8位位组4、ASDU密文以及数字签名,这里不再赘述。在步骤S42中,发送方将所述预传输IEC104报文和已签名的第一信息摘要发送至接收方。在步骤S43中,接收方通过Hash算法将所接收的所述预传输IEC104报文生成第二信息摘要,并根据已签名的第一信息摘要对所述第二信息摘要进行验证,以确认发送方的身份信息。应当说明的是,在本步骤中,对第二信息摘要进行验证的方式采用的是发送方的公钥,实施该步骤是为了确认发送方的身份信息是否被修改过,如果被修改过,则预传输 IEC104报文已受到外界攻击,这时用户需要采取相应的措施进行挽救。请参阅图7,图7是本发明实现IEC104报文传输的系统的结构示意图,如图7所示,所述系统包括依次连接的接收模块0、判断模块1,加密模块2、解密模块3以及分别与所述判断模块1和所述解密模块3连接的验证模块4,其中,所述加密模块2具体包括依次连接的选择单元21和第一生成单元22,所述解密模块3具体包括依次连接的接收单元31和第二生成单元32,所述验证模块4具体包括依次连接的签名单元41、发送单元42以及确认单元43,下面具体介绍各个部分的作用
接收模块0,用于接收用户发送预传输IEC104报文的命令。判断模块1,用于根据预传输IEC104报文所携带的标志位判断其是否为I帧报文、 U帧报文还是S帧报文。加密模块2,用于发送方对I帧报文中的应用服务数据单元通过ECC算法进行加
Γ t [ O选择单元21,用于根据ECC算法接收发送方和接收方共同选择的椭圆曲线^(xj
的命令,其中,椭圆曲线^Ky)是由方程/ = + b确定4》为正整数。第一生成单元22,用于发送方将I帧报文中的应用服务数据单元作为明文信息乓=^a义,并将其通过ECC算法进行加密,以生成密文信息C; = +.
,其中,Ge&(aJ) , 为接收方的公开密钥,且尽= fJ, 为正整数,^为正整数,m为正整数。解密模块3,用于接收方对加密后的应用服务数据单元进行解密,以还原出明文的应用服务数据单元。接收单元31,用于接收方接收所述密文信息^^ = {40,4+4^}。 第二生成单元32,用于通过公式4 =Csa - Csa对所述密文信息Cx = {kO,Pm +kP2) 进行解密,以生成明文信息忍= α,&2,..,^ ),其中,CM:i = PM+kPs , C84 = AO。
验证模块4,用于对预传输IEC104报文的发送方通过数字签名进行身份验证。签名单元41,用于发送方通过Hash算法将所述预传输IEC104报文生成第一信息摘要,并根据其私钥对所述第一信息摘要进行数字签名。发送单元42,用于发送方将所述预传输IEC104报文和已签名的第一信息摘要发送至接收方。确认单元43,用于接收方通过Hash算法将所接收的所述预传输IEC104报文生成第二信息摘要,并根据已签名的第一信息摘要对所述第二信息摘要进行验证,以确认发送方的身份信息。相较于现有技术,根据IEC104报文的帧格式,分别采用ECC加密算法和通过数字签名进行身份验证相结合的方式对报文进行处理,解决了 IEC104报文明文传输的安全性问题,从而提高了报文传输的可靠性,保障电力系统的安全稳定运行。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。
权利要求
1.一种实现IEC104报文传输的方法,其特征在于,所述方法包括以下步骤51.根据预传输IEC104报文所携带的标志位判断其是否为I帧报文、U帧报文还是S 帧报文,若为I帧报文,则执行步骤S2,若为U帧报文或者S帧报文,则直接转至执行步骤 S4;52.发送方对I帧报文中的应用服务数据单元通过ECC算法进行加密;53.接收方对加密后的应用服务数据单元进行解密,以还原出明文的应用服务数据单元;54.对预传输IEC104报文的发送方通过数字签名进行身份验证。
2.根据权利要求1所述的方法,其特征在于,所述步骤Sl之前还包括以下步骤 SO.接收用户发送预传输IEC104报文的命令。
3.根据权利要求2所述的方法,其特征在于,所述步骤S2具体包括以下步骤521.根据ECC算法接收发送方和接收方共同选择的椭圆曲线4(幼> 的命令,其中,椭圆曲线是由方程/ = P+ax+b确定,Λ,·&为正整数;522.发送方将I帧报文中的应用服务数据单元作为明文信息忍={i|a,怂A...,P ) ,并将该明文信息通过ECC算法进行加密,以生成密文信息(^ = (^0,5^+. },其中, GeEJa,b),巧为接收方的公开密钥,且& , 为正整数,λ为正整数,m为正整数。
4.根据权利要求3所述的方法,其特征在于,所述步骤S3具体包括以下步骤531.接收方接收所述密文信息Cw= (AaPs+Afy ;532.通过公式^=Cfsu— Cmj对所述密文信息Cm = {ΑΟ,Ρ, + }进行解密,以生成明文信息忍= …,其中,Q2 = Ph+^ , Csj=AG。
5.根据权利要求4所述的方法,其特征在于,所述步骤S4具体包括以下步骤541.发送方通过Hash算法将所述预传输IEC104报文生成第一信息摘要,并根据其私钥对所述第一信息摘要进行数字签名;542.发送方将所述预传输IEC104报文和已签名的第一信息摘要发送至接收方;543.接收方通过Hash算法将所接收的所述预传输IEC104报文生成第二信息摘要,并根据已签名的第一信息摘要对所述第二信息摘要进行验证,以确认发送方的身份信息。
6.一种实现IEC104报文传输的系统,其特征在于,所述系统包括依次连接的判断模块,加密模块、解密模块以及分别与所述判断模块和所述解密模块连接的验证模块,其中,判断模块,用于根据预传输IEC104报文所携带的标志位判断其是否为I帧报文、U帧报文还是S帧报文;加密模块,用于发送方对I帧报文中的应用服务数据单元通过ECC算法进行加密; 解密模块,用于接收方对加密后的I帧报文的应用服务数据单元进行解密,以还原出明文的应用服务数据单元;验证模块,用于对预传输IEC104报文的发送方通过数字签名进行身份验证。
7.根据权利要求6所述的系统,其特征在于,所述系统包括与所述判断模块连接的接收模块,其中,接收模块,用于接收用户发送预传输IEC104报文的命令。
8.根据权利要求7所述的系统,其特征在于,所述加密模块具体包括依次连接的选择单元和第一生成单元,其中,选择单元,用于根据ECC算法接收发送方和接收方共同选择的椭圆曲线尾叙力的命令, 其中,椭圆曲线是由方程/ = + b确定, , 为正整数;第一生成单元,用于发送方将I帧报文中的应用服务数据单元作为明文信息 4 = IHJm),并将该明文信息通过ECC算法进行加密,以生成密文信息 Csi = (AGjFm +kPB),其中,GeEJa,h) , &为接收方的公开密钥,且Ps = ·, 为正整数,.fc为正整数,m为正整数。
9.根据权利要求8所述的系统,其特征在于,所述解密模块具体包括依次连接的接收单元和第二生成单元,其中,接收单元,用于接收方接收所述密文信息Css = {AO,PM+1 };第二生成单元,用于通过公式尽=c;,2 -Csu对所述密文信息Ck = m式+kPB)进行解密,以生成明文信息4=( Aa..., ,其中,C…PM+kWkG。
10.根据权利要求9所述的系统,其特征在于,所述验证模块具体包括依次连接的签名单元、发送单元以及确认单元,其中,签名单元,用于发送方通过Hash算法将所述预传输IEC104报文生成第一信息摘要,并根据其私钥对所述第一信息摘要进行数字签名;发送单元,用于发送方将所述预传输IEC104报文和已签名的第一信息摘要发送至接收方;确认单元,用于接收方通过Hash算法将所接收的所述预传输IEC104报文生成第二信息摘要,并根据已签名的第一信息摘要对所述第二信息摘要进行验证,以确认发送方的身份fe息。
全文摘要
本发明公开一种实现IEC104报文传输的方法和系统,该方法包括S1.根据预传输IEC104报文所携带的标志位判断其是否为I帧、U帧还是S帧,若为I帧,则S2,若为U帧或者S帧,则转至S4;S2.发送方对I帧的应用服务数据单元通过ECC算法进行加密;S3.接收方对加密后的应用服务数据单元进行解密,以还原出明文的应用服务数据单元;S4.对预传输IEC104报文的发送方通过数字签名进行身份验证。根据IEC104报文的帧格式,分别采用ECC加密算法和通过数字签名进行身份验证相结合的方式对报文进行处理,解决了IEC104报文明文传输的安全性问题,从而提高了报文传输的可靠性,保障电力系统安全稳定的运行。
文档编号H04L9/32GK102377571SQ20111036117
公开日2012年3月14日 申请日期2011年11月15日 优先权日2011年11月15日
发明者马建春 申请人:航天科工深圳(集团)有限公司