本发明涉及配电安全技术领域,特别是涉及一种配电网终端iec101协议报文认证判别方法。
背景技术:
原有的配电网终端未对接收到的iec101协议报文进行身份认证,导致其容易被不法攻击者利用,模拟主站向终端下发iec101协议报文,并进行恶意控制,破坏配电网系统的正常运行。随着国家对工业控制系统网络安全的重视,特别是在电力自动化系统领域,配电网终端逐渐采用了iec协议报文认证技术,但目前还没有一种方法能够帮助电网信息安全监管部门有效地对iec101协议报文认证进行有效性验证,而识别采用iec协议报文认证的配电网终端,是评估配电自动化信息安全的一项关键要素。
技术实现要素:
为解决上述问题,本发明提供了一种配电网终端iec101协议报文认证判别方法,包括如下步骤:
步骤一:预先建立一个模拟主站;所述模拟主站包括报文发送模块及控制器,所述报文发送模块用于在控制器的作用下向运行iec101协议的配电网终端发送相关报文;所述报文至少包括请求链路状态测试报文、复位链路请求测试报文、iec101协议总召请求测试报文、召唤一级数据报文。
步骤二:模拟主站向运行iec101协议的配电网终端发送请求链路状态测试报文。
步骤三:判断配电网终端是否对请求链路状态测试报文进行了相应,如果进行了响应,则继续向终端发送复位链路请求测试报文,否则结束流程。
步骤四:模拟主站判断配电网终端是否对复位链路请求测试报文进行了响应,如果进行了确认响应,则继续向终端发送复位链路请求测试报文,如果进行了否定响应,则结束流程。步骤五:模拟主站向配电网终端发送总召请求测试报文。
步骤六:模拟主站判断是否接收到了返回报文,如果接收到则向配电网终端发送召唤一级数据报文,否则结束流程。
步骤七:模拟主站判断是否接收到了配电网终端返回的一级用户数据,如果接受到了则判定配电网终端未对iec101协议报文进行认证,否则则是进行了认证。
进一步的,在步骤一中,所述模拟装置建立在主站交换机上或者前置数据采集交换机上。
进一步的,在步骤二中,请求链路状态测试报文包括启动字符、链路控制域、链路地址域、校验和、结束字符。
进一步的,在步骤三中,复位链路请求测试报文包括启动字符、链路控制域、链路地址域、校验和、结束字符。
进一步的,在步骤五中,总召请求测试报文包括启动字符、长度域、链路控制域、应用层数据域、校验和、结束字符。
进一步的,在步骤六中,召唤一级数据报文包括启动字符、链路控制域、链路地址域、校验和、结束字符。
本发明的有益效果为:
本发明能够快速地判断配电网终端是否对iec101协议报文进行了认证,避免了对iec101协议报文进行繁琐的人工测试核对,提高了配电网自动化系统信息安全检查效率,保障了电力自动化系统的安全运行。
附图说明
图1为本发明所适用系统的结构示意图。
具体实施方式
下面先结合图1对本发明所适用的系统进行说明。
所适用系统包括scada服务器、若干高级应用服务器、若干历史数据存储服务器、若干维护服务器、若干调度服务器,上述各个服务器除了调度服务器均连接到主站交换机,进而实现与若干fes服务器的连接,各个fes服务器再连接分别连接一个纵向加密装置。所述纵向加密装置连接到一个前端数据采集交换机,该前端数据采集交换机与各个智能配电终端之间分别通过一个纵向加密装置进行连接。各个调度服务器连接到设置有防火墙的正反向隔离装置。所述正反向隔离装置连接到信息交互区。
上述智能配电终端即为下述的配电网终端。图1中的配电监控系统信息安全专项检测工具即为下述的模拟主站,终端即为配电网终端。
下面结合图2对本发明所述方法进行详细说明。
本发明包括如下步骤:
步骤一:预先在配电监控系统中建立一个能够发送报文的模拟主站;所述模拟主站包括报文发送模块及控制器,所述报文发送模块用于在控制器的作用下向运行iec101协议的配电网终端发送相关报文。
所述模拟主站可以建立在主站交换机上,对各个主站服务器进行漏洞检查,同时检测是否有非授权设备接入网络,检测交换机端口配置等;还可部署在前置数据采集交换机上,对配电终端及采集服务器进行检测,还可检测101、104协议的加密认证情况,检测是否有非授权设备接入网络,检测是否有非法终端接入主站,检测交换机端口配置等。
所述模拟主站可以发送的报文至少应该包括请求链路状态测试报文、复位链路请求测试报文、iec101协议总召请求测试报文、一级数据报文。
所述请求链路状态测试报文用于请求配电网终端报告两者之前的链路状态。
所述请求链路状态测试报文用于请求初始化两者之前的链路。
所述iec101协议总召请求测试报文用于对配电网终端发出总召请求。
召唤一级数据报文用于请求配电网终端返回一级数据用户。
上述模拟主站的功能可以通过在电脑上运行相关软件程序进行实现。
步骤二:模拟主站向运行iec101协议的配电网终端发送请求链路状态测试报文,报文格式及终端相应报文格式示例如表1。
表1
步骤三:判断配电网终端是否对请求链路状态测试报文进行了响应,如果进行了响应,则继续向终端发送复位链路请求测试报文,否则结束流程;
步骤四:模拟主站判断配电网终端是否对复位链路请求测试报文进行了相应,如果进行了确认响应,则继续向终端发送复位链路请求测试报文,如果进行了否定响应,则结束流程。
复位请求链路状态测试报文的报文格式及终端确认报文、终端否定报文的格式如表2所示。
表2
步骤五:模拟主站向配电网终端发送总召请求测试报文,报文格式如表3所示。
表3
步骤六:模拟主站判断是否接收到了返回报文,如果接收到则向配电网终端发送召唤一级数据报文,否则结束流程。召唤一级数据报文格式如表4。
表4
步骤七:模拟主站判断是否接收到了配电网终端返回的一级用户数据,如果接受到了则判定配电网终端未对iec101协议报文进行认证,否则则是进行了认证。
上述各个步骤中,配电网终端都是以报文的形式进行响应。