一种基于iec62351的mms报文离线分析方法

一种基于iec62351的mms报文离线分析方法
【技术领域】
[0001]本发明设计电力信息技术领域，特别是涉及一种基于IEC62351智能变电站的丽S报文离线分析方法。
【背景技术】
[0002]为提高变电站二次系统安全防护能力，降低智能变电站设备被恶意控制或误操作的风险，防止关键业务数据被篡改或窃取，确保不发生因信息安全引发的电网事故和大面积停电事故。以IEC62351规范为基础依据，对智能变电站内部站控层通信规约(即MMS报文)进行改造加强。改造后的站控层网络通讯具备了:
[0003]机密性(Confidentiality):防止对信息的未经授权访问；
[0004]完整性(Integrity):防止未经授权修改或窃取信息；
[0005]可用性(Availability):防止拒绝服务和保证对信息的授权访问；
[0006]不可抵赖性或可追溯性(Non-repudiat1n or Accountability):防止否认
[0007]改造后的变电站站控层网络通讯由明文转为密文。使得变电站内部了站控层通讯安全性得到提高，但对变电站内部报文记录，分析的工作带来新的难题。
[0008]在数字化变电站内，为了完整记录变电站事件，有必要将变电站内各二次设备的通讯报文都记录下来。在变电站出现故障时，可以通过提取记录的报文。并分析报文来还原事故的前后过程。目前此项工作是由“网络分析仪”这类装置完成的。事实上，在数字化变电站中，“网络分析仪”是必不可少的设备之一。但当前的“网络分析仪”只能对未加密的MMS报文解码。而对于基于IEC62351改造后的MMS报文解码则无能为力。因此，急需一种基于IEC62351的MMS报文离线分析方法。

【发明内容】

[0009]本发明的目的在于提供一种基于IEC62351的MMS报文离线分析方法，旨在对现有的“网络分析仪”设备作功能增强，以使现有的“网络分析仪”设备有能力对基于IEC62351的MMS报文作离线分析。
[0010]本发明的目的可通过以下的技术措施来实现:
[0011]一种基于IEC 62351的MMS报文离线分析方法，包括如下内容:
[0012]首先，对基于IEC61850规约MMS报文进行改造形成基于IEC62351的MMS报文，改造过程包括如下步骤:
[0013]1.1基于IEC61850规约丽S报文在传输层的改造:在传输层添加安全传输协议SSL/TLS，对应用层数据进行加密通信；
[0014]1.2基于IEC61850规约丽S报文在应用层的改造:对IEC 61850规约丽S用户在进入丽S环境之前，在丽S关联建立时对丽S用户进行认证，即使用关联认证结构来进行丽S协议的认证；
[0015]ACSE关联认证结构内容由以下三部分组成:
[0016]I)、SignatureCertificate:签名证书；
[0017]2)、SignedValue:签名信息，它的值由以下方法计算得到:
[0018]a)使用HASH算法对字段time计算摘要值；
[0019]b)使用签名证书对应的私钥计算摘要值的签名值；
[0020]3)、Time:用GENERALIZEDTIME格式表示的格林威治时间(GMT)值；
[0021]接着，对基于IEC62351的MMS报文进行离线分析，具体过程如下:
[0022]2.1、对传输层加密报文的解码；
[0023]在进行传输层进行连接的同时，丽S通讯的双方，即服务端及客户端，实时发送一份自身的密钥信息给“网络分析仪”设备，网络分析仪设备将根据接收到的密钥信息对相对应的MMS报文进行离线分析，过程如下:
[0024]“网络分析仪”设备收到服务器及客户端发送的包含自身密钥信息的UDP报文后，存入“密钥数据库”中，提取UDP报文中以下三类信息:
[0025]a)源IP地址:用于判定具体哪个设备的密钥信息；
[0026]b)密钥信息:用于解密对应的加密报文；
[0027]c)报文接收时间:用于计算密钥生存时间；
[0028]所述密钥生存时间计算方法是:同一源IP发送的UDP报文中，将当前接收到的UDP报文时间减去上一次接收到UDP报文的时间。
[0029]再将MMS报文接收时间和源IP地址作为关键字，匹配“密钥数据库”中源IP地址以及报文生成时间，进而获取每帧MMS报文对应密钥信息；找到对应的密钥信息后，运用此密钥信息将每帧离线报文进行传输层的加密信息进行解码；
[0030]2.2对应用层报文ACSE部分的解码，具体过程如下:
[0031]在传输层报文加密信息解密后，按照ASN.1解码规则解码ACSE部分内容以进行关联认证，步骤如下:
[0032]2.2.1:按照 ASN.1 解码规则读取 ACSE 中的 SignatureCertificate、SignValue 和Time字段；
[0033]2.2.2:读取 SignatureCertificate 中的数字证书公钥；
[0034]2.2.3:使用数字证书公钥解密SignedValue字段，获取哈希值HASHl ；
[0035]2.2.4:将Time字段作为输入，通过哈希算法，计算哈希值HASH2 ；
[0036]2.2.5和HASH2，如相同，校验通过，否则校验不通过。
[0037]本发明的基于IEC62351丽S报文是在基于IEC61850丽S报文基础上作了安全强化，即改造IEC61850规约MMS报文形成基于IEC62351的MMS报文。针对基于IEC61850MMS协议安全强化涉及OSI 7层模型中的传输层和应用层。传输层的安全强化通过TLS协议完成，应用层安全强化通过扩展MMS关联请求报文和响应报文完成。
【附图说明】
[0038]图1是TLS/SSL协议在整个网络协议栈中的位置示意图；
[0039]图2是本发明在MMS关联建立时对MMS用户进彳丁认证的不意图；
[0040]图3是本发明改造后的MMS协议通讯报文的结构示意图；
[0041]图4是“网络分析仪”装置记录基于IEC62351的MMS报文流程图；
[0042]图5是本发明基于IEC62351的MMS报文离线分析流程图。
【具体实施方式】
[0043]首先，对基于IEC61850规约MMS报文进行改造形成基于IEC62351的MMS报文，改造过程包括如下步骤:
[0044]基于IEC61850规约MMS报文简介
[0045]丽S是智能变电站内部站控层通信规约。丽S报文用于变电站监控后台与保护、测控设备之间的数据读写、目录列表上送、事件列表上送等服务取代传统变电站使用的101、103规约。MMS通讯的双方称为服务端及客户端。
[0046]1.1基于IEC61850规约丽S报文在传输层的改造
[0047]在传输层添加了安全传输协议SSL/TLS，对应用层数据进行加密通信。通过在传输层上建立具有特定配置的TLS/SSL连接，在传输层进行两个通信实体间的消息认证和消息加密，应对未经授权访问信息、未经授权修改(即篡改)或窃取信息。
[0048]1.1.1 TLS/SSL协议应用架构
[0049]如图1所示，TLS/SSL协议应用于应用层协议(如HTTP)和传输层协议(TCP/UDP)之间。TLS协议为上层的应用层协议提供TCP协议的数据流传输协议，同时通过TCP协议来传输加密后的应用层数据。对于上层的应用程序来说，TLS/SSL协议取代了 TCP协议，同时增加了加密认证等功能；对于下层的TCP协议来说，TLS/SSL协议就相当于应用层协议。TLS/SSL为其承载的应用层数据提供传输层加密和校验机制。
[0050]1.2基于IEC61850规约丽S报文在应用层的改造，即关联功能的使用，如图2所示，改造后对ACSE的数据结构AARQ(请求数据单元)和AARE(响应数据单元)产生影响，AARQ和AARE中分别添加了关联认证结构。
[0051]对IEC 61850 MMS用户在进入MMS环境之前，在MMS关联建立时对MMS用户进行认证。如下图所示的丽S层及丽S层下一部分的丽S关联认证部分，
[0052]MMS协议为应用层协议，它主要包括MMS协议和支持MMS协议的ACSE (Associat1nControl Service Element，关联控制服务元素)协议，MMS协议为数据交互的模型与接口，ACSE协议为MMS协议提供应用控制信息，在MMS协议通信建立之前，由ACSE协议提供MMS协议的协商信息。IEC61850标准中丽S关联功能由ACSE完成，关联过程为协商丽S服务能够提供服务，并且声明了关联认证结构，但未做具体描述。IEC62351标准提出使用关联认证结构来进行MMS协议的认证。
[0053]ACSE关联认证结构内容由以下三部分组成:
[0054]I) > SignatureCertificate:签名证书