一种基于IEC62351的MMS报文离线分析方法技术

本发明专利技术提供了一种基于IEC62351的MMS报文离线分析方法，包括对基于IEC61850规约MMS报文进行改造形成基于IEC62351的MMS报文，以及对基于IEC62351的MMS报文进行离线分析。本发明专利技术基于IEC62351MMS报文是在基于IEC61850MMS报文基础上作了安全强化，即改造IEC61850规约MMS报文形成基于IEC62351的MMS报文。针对基于IEC61850MMS协议安全强化涉及OSI 7层模型中的传输层和应用层。传输层的安全强化通过TLS协议完成，应用层安全强化通过扩展MMS关联请求报文和响应报文完成。

【技术实现步骤摘要】

本专利技术设计电力信息
，特别是涉及一种基于IEC62351智能变电站的丽S报文离线分析方法。
技术介绍
为提高变电站二次系统安全防护能力，降低智能变电站设备被恶意控制或误操作的风险，防止关键业务数据被篡改或窃取，确保不发生因信息安全引发的电网事故和大面积停电事故。以IEC62351规范为基础依据，对智能变电站内部站控层通信规约(即MMS报文)进行改造加强。改造后的站控层网络通讯具备了:机密性(Confidentiality):防止对信息的未经授权访问；完整性(Integrity):防止未经授权修改或窃取信息；可用性(Availability):防止拒绝服务和保证对信息的授权访问；不可抵赖性或可追溯性(Non-repudiat1n or Accountability):防止否认改造后的变电站站控层网络通讯由明文转为密文。使得变电站内部了站控层通讯安全性得到提高，但对变电站内部报文记录，分析的工作带来新的难题。在数字化变电站内，为了完整记录变电站事件，有必要将变电站内各二次设备的通讯报文都记录下来。在变电站出现故障时，可以通过提取记录的报文。并分析报文来还原事故的前后过程。目前此项工作是由“网络分析仪”这类装置完成的。事实上，在数字化变电站中，“网络分析仪”是必不可少的设备之一。但当前的“网络分析仪”只能对未加密的MMS报文解码。而对于基于IEC62351改造后的MMS报文解码则无能为力。因此，急需一种基于IEC62351的MMS报文离线分析方法。
技术实现思路
本专利技术的目的在于提供一种基于IEC62351的MMS报文离线分析方法，旨在对现有的“网络分析仪”设备作功能增强，以使现有的“网络分析仪”设备有能力对基于IEC62351的MMS报文作离线分析。本专利技术的目的可通过以下的技术措施来实现:一种基于IEC 62351的MMS报文离线分析方法，包括如下内容:首先，对基于IEC61850规约MMS报文进行改造形成基于IEC62351的MMS报文，改造过程包括如下步骤:1.1基于IEC61850规约丽S报文在传输层的改造:在传输层添加安全传输协议SSL/TLS，对应用层数据进行加密通信；1.2基于IEC61850规约丽S报文在应用层的改造:对IEC 61850规约丽S用户在进入丽S环境之前，在丽S关联建立时对丽S用户进行认证，即使用关联认证结构来进行丽S协议的认证；ACSE关联认证结构内容由以下三部分组成:I)、SignatureCertificate:签名证书；2)、SignedValue:签名信息，它的值由以下方法计算得到:a)使用HASH算法对字段time计算摘要值；b)使用签名证书对应的私钥计算摘要值的签名值；3)、Time:用GENERALIZEDTIME格式表示的格林威治时间(GMT)值；接着，对基于IEC62351的MMS报文进行离线分析，具体过程如下:2.1、对传输层加密报文的解码；在进行传输层进行连接的同时，丽S通讯的双方，即服务端及客户端，实时发送一份自身的密钥信息给“网络分析仪”设备，网络分析仪设备将根据接收到的密钥信息对相对应的MMS报文进行离线分析，过程如下:“网络分析仪”设备收到服务器及客户端发送的包含自身密钥信息的UDP报文后，存入“密钥数据库”中，提取UDP报文中以下三类信息:a)源IP地址:用于判定具体哪个设备的密钥信息；b)密钥信息:用于解密对应的加密报文；c)报文接收时间:用于计算密钥生存时间；所述密钥生存时间计算方法是:同一源IP发送的UDP报文中，将当前接收到的UDP报文时间减去上一次接收到UDP报文的时间。再将MMS报文接收时间和源IP地址作为关键字，匹配“密钥数据库”中源IP地址以及报文生成时间，进而获取每帧MMS报文对应密钥信息；找到对应的密钥信息后，运用此密钥信息将每帧离线报文进行传输层的加密信息进行解码；2.2对应用层报文ACSE部分的解码，具体过程如下:在传输层报文加密信息解密后，按照ASN.1解码规则解码ACSE部分内容以进行关联认证，步骤如下:2.2.1:按照 ASN.1 解码规则读取 ACSE 中的 SignatureCertificate、SignValue 和Time字段；2.2.2:读取 SignatureCertificate 中的数字证书公钥；2.2.3:使用数字证书公钥解密SignedValue字段，获取哈希值HASHl ；2.2.4:将Time字段作为输入，通过哈希算法，计算哈希值HASH2 ；2.2.5和HASH2，如相同，校验通过，否则校验不通过。本专利技术的基于IEC62351丽S报文是在基于IEC61850丽S报文基础上作了安全强化，即改造IEC61850规约MMS报文形成基于IEC62351的MMS报文。针对基于IEC61850MMS协议安全强化涉及OSI 7层模型中的传输层和应用层。传输层的安全强化通过TLS协议完成，应用层安全强化通过扩展MMS关联请求报文和响应报文完成。【附图说明】图1是TLS/SSL协议在整个网络协议栈中的位置示意图；图2是本专利技术在MMS关联建立时对MMS用户进彳丁认证的不意图；图3是本专利技术改造后的MMS协议通讯报文的结构示意图；图4是“网络分析仪”装置记录基于IEC62351的MMS报文流程图；图5是本专利技术基于IEC62351的MMS报文离线分析流程图。【具体实施方式】首先，对基于IEC61850规约MMS报文进行改造形成基于IEC62351的MMS报文，改造过程包括如下步骤:基于IEC61850规约MMS报文简介丽S是智能变电站内部站控层通信规约。丽S报文用于变电站监控后台与保护、测控设备之间的数据读写、目录列表上送、事件列表上送等服务取代传统变电站使用的101、103规约。MMS通讯的双方称为服务端及客户端。1.1基于IEC61850规约丽S报文在传输层的改造在传输层添加了安全传输协议SSL/TLS，对应用层数据进行加密通信。通过在传输层上建立具有特定配置的TLS/SSL连接，在传输层进行两个通信实体间的消息认证和消息加密，应对未经授权访问信息、未经授权修改(即篡改)或窃取信息。1.1.1 TLS/SSL协议应用架构如图1所示，TLS/SSL协议应用于应用层协议(如HTTP)和传输层协议(TCP/UDP)之间。TLS协议为上层的应用层协议提供TCP协议的数据流传输协议，同时通过TCP协议来传输加密后的应用层数据。对于上层的应用程序来说，TLS/SSL协议取代了 TCP协议，同时增加了加密认证等功能；对于下层的TCP协议来说，TLS/SSL协议就相当于应用层协议。TLS/SSL为其承载的应用层数据提供传输层加密和校验机制。1.2基于IEC61850规约丽S报文在应用层的改造，即关联功能的使用，如图2所示，改造后对ACSE的数据结构AARQ(请求数据单元)和AARE(响应数据单元)产生影响，AARQ和AARE中分别添加了关联认证结构。对IEC 61850 MMS用户在进入MMS环境之前，在MMS关联建立时对MMS用户进行认证。如下图所示的丽S层及丽S层下一部分的丽S关联认证部分，MMS协议为应用层协议，它主要包括MMS协议和支持MMS协议的ACSE (Associat1nCont本文档来自技高网...

【技术保护点】
一种基于IEC62351的MMS报文离线分析方法，其特征在于包括以下步骤：首先，对基于IEC61850规约MMS报文进行改造形成基于IEC62351的MMS报文，改造过程包括如下步骤：1.1基于IEC61850规约MMS报文在传输层的改造：在传输层添加安全传输协议SSL/TLS，对应用层数据进行加密通信；1.2基于IEC61850规约MMS报文在应用层的改造：对IEC 61850规约MMS用户在进入MMS环境之前，在MMS关联建立时对MMS用户进行认证，即使用ACSE关联认证结构来进行MMS协议的认证；接着，对基于IEC62351的MMS报文进行离线分析，具体过程如下：2.1、对传输层加密报文的解码；在进行传输层进行连接的同时，MMS通讯的双方，即服务端及客户端，实时发送一份自身的密钥信息给“网络分析仪”设备，网络分析仪设备将根据接收到的密钥信息对相对应的MMS报文进行离线分析，其中离线分析过程如下：“网络分析仪”设备收到服务器及客户端发送的包含自身密钥信息的UDP报文后，存入“密钥数据库”中，提取UDP报文中以下三类信息：a)源IP地址：用于判定具体哪个设备的密钥信息；b)密钥信息：用于解密对应的加密报文；c)报文接收时间：用于计算密钥生存时间；所述密钥生存时间计算方法是：同一源IP发送的UDP报文中，将当前接收到的UDP报文时间减去上一次接收到UDP报文的时间；再将MMS报文接收时间和源IP地址作为关键字，匹配“密钥数据库”中源IP地址以及报文生成时间，进而获取每帧MMS报文对应密钥信息；找到对应的密钥信息后，运用此密钥信息将每帧离线报文进行传输层的加密信息进行解码；2.2对应用层报文ACSE部分的解码，具体过程如下：在传输层报文加密信息解密后，按照ASN.1解码规则解码ACSE部分内容以进行关联认证，步骤如下：2.2.1：按照ASN.1解码规则读取ACSE中的SignatureCertificate、SignValue和Time字段；2.2.2：读取SignatureCertificate中的数字证书公钥；2.2.3：使用数字证书公钥解密SignedValue字段，获取哈希值HASH1；2.2.4：将Time字段作为输入，通过哈希算法，计算哈希值HASH2；2.2.5：比较HASH1和HASH2，如相同，校验通过，否则校验不通过。...

【技术特征摘要】

【专利技术属性】
技术研发人员：李金，陶文伟，张喜铭，胡荣，赵旋宇，
申请(专利权)人：中国南方电网有限责任公司，
类型：发明
国别省市：广东;44