一种智能变电站过程总线防火墙系统技术方案

本发明专利技术提供一种智能变电站过程总线防火墙系统，包括防火墙系统，防火墙系统能捕获和拦截GOOSE报文，防火墙系统，防火墙系统能捕获和拦截SV报文，防火墙系统提取捕获到的GOOSE报文信息和SV报文信息；防火墙系统包括拦截白名单，拦截白名单记载有第一报文信息库和第二报文信息库；拦截白名单允许与第一报文信息库匹配的GOOSE报文进入过程总线防火墙；拦截白名单允许与第二报文信息库匹配的SV报文进入过程总线防火墙；本发明专利技术运算量小，算法快；匹配方式快捷高效，安全性高。

A process bus firewall system for intelligent substation

【技术实现步骤摘要】
一种智能变电站过程总线防火墙系统
本专利技术涉及智能变电站网络安全领域，尤其涉及一种智能变电站过程总线防火墙系统。
技术介绍
为满足智能变电站通讯要求，智能变电站过程层采用GOOSE(面向通用对象的变电站事件：GenericObjectOrientedSubstationEvent)报文实现与保护、测控等装置的通讯。过程层GOOSE报文以组播方式传播，目前多通过交换机划分VLAN方案，使过程层GOOSE以A、B套双网完全独立运行，此种方式简单易操作，网络报文和装置之间通讯链路清晰，有效提高控制数据的快速性和冗余性。但双网之间数据无任何方式交互共享，将导致不同网络内的保护设备无法接收到所有需要的跳合闸状态等信息，如间隔层的母线保护设备需要所有过程层设备发送的组播数据报文，划分VLAN以后，将使解决此类问题多从过程层交换机的软件入手，需在交换机进行复杂的配置，降低了系统运行的安全性和可靠性，也不利于系统的灵活性和互操作。在中国申请号为201910071877.2，公布日为2019.04.12的专利文献中公开了一种智能变电站过程层网络报文过滤转发装置，该装置安装在过程层中心交换机GOOSE网络的A、B网之间，只连接A、B网的GOOSE通信，对接收的GOOSE报文进行参数合法性检查并与预设的白名单中GOOSE报文的关键信息比对，过滤其它类型的报文、丢弃单播报文和广播报文，只有在白名单中出现的组播报文才被转发。针对智能变电站双重化保护对应的两组相互独立的过程层网络，可依据面向对象的变电站事件报文的组播传输方式、目的MAC地址、EthernetType、APPID进行报文过滤转发，并可对端口转发报文进行流量控制，实现两组过程层网络之间数据有限的共享。但是在转发GOOSE报文前进行的信息对比需要先检查GOOSE报文的MAC地址、EthernetType、APPID范围、VLAN范围和PORT范围的参数合法性，检查全部合格后，再将GOOSE报文与白名单中的MAC地址、EthernetType和APPID三部分关键信息对比，对比信息全部一致后，再判断GOOSE报文是否为风暴报文，当GOOSE报文不是风暴报文时，该装置才转发接收到的GOOSE报文。这种信息对比方式需要对比的内容过多，对比时间长，匹配效率较低。
技术实现思路
本专利技术提供一种匹配高效的智能变电站过程总线防火墙系统。为达到上述目的，本专利技术提供一种智能变电站过程总线防火墙系统，包括防火墙系统，防火墙系统能捕获和拦截GOOSE报文和SV报文，防火墙系统提取捕获到的GOOSE报文信息和SV报文信息；防火墙系统包括拦截白名单，拦截白名单记载有第一报文信息库和第二报文信息库；拦截白名单允许与第一报文信息库匹配的GOOSE报文进入过程总线防火墙；拦截白名单允许与第二报文信息库匹配的SV报文进入过程总线防火墙；第一报文信息库包括第一MAC目标地址、第一MAC源地址、，第一TPID和第一Ethertype；第一MAC目标地址包括第一字节组和第二字节组；第一字节组为第一MAC目的地址六个字节中的四个字节；第二字节组为第一报文MAC目的地址六个字节中的两个字节；第一字节组、第一TPID和第一Ethertype按顺序组成第一白名单固定内容；第二字节组和第一报文MAC源地址按顺序组成第一白名单可变内容；第二报文信息库包括第二MAC目标地址、第二MAC源地址、第二TPID和第二Ethertype；第二MAC目标地址包括第三字节组和第四字节组；第三字节组为第二MAC目的地址六个字节中的四个字节；第四字节组为第二报文MAC目的地址六个字节中的两个字节；第三字节组、第二TPID和第二Ethertype按顺序组成第二白名单固定内容；第四字节组和第二MAC源地址按顺序组成第二白名单可变内容。以上设置，防火墙系统针对GOOSE报文建立第一报文信息库，第一报文信息库的第一字节组、第一TPID和第一Ethertype组成第一白名单固定内容，第一报文信息库的第二字节组和第一报文MAC源地址组成第一白名单可变内容，这样GOOSE报文与第一报文信息库匹配时，将第一报文信息库中内容依据MAC目标地址分成第一字节组和第二字节组，然后第一字节组分别与第一TPID以及第一Ethertype组成第一白名单固定内容，将第二字节组和第一MAC源地址组成第一白名单可变内容，然后对第一名单固定内容以及第一白名单可变内容与GOOSE报文进行匹配，若匹配成功，则防火墙放行GOOSE报文，GOOSE报文与第一报文信息库不匹配时，防火墙拦截GOOSE报文；防火墙针对SV报文建立第二报文信息库，第二报文信息库的第三字节组、第二TPID和第二Ethertype组成第二白名单固定内容，第二报文信息库的第四字节组和第二MAC源地址组成第二白名单可变内容，这样SV报文与第二报文信息库匹配时，将第二报文信息库中内容依据MAC目标地址分成第三字节组和第四字节组，然后第三字节组分别与第二TPID以及第二Ethertype组成第二白名单固定内容，将第四字节组和第二MAC源地址组成第二白名单可变内容，然后对第二名单固定内容以及第二白名单可变内容与SV报文进行匹配，若匹配成功，则防火墙放行SV报文，SV报文与第二报文信息库不匹配时，防火墙拦截SV报文；将MAC目标地址分成两个部分进行匹配，且将固定内容和可变内容分开进行匹配，这样若第一报文信息库中内容与GOOSE报文不匹配，则对GOOSE报文进行拦截，若第二报文信息库中内容与SV报文不匹配，则对SV报文进行拦截，若在获取报文中有四位已不匹配则进行拦截，匹配效率高，同时由于需要对MAC目标地址、MAC源地址、TPID和、Ethertype进行匹配，安全性高。进一步的，第一字节组为第一MAC目的地址六个字节中按前后顺序排列的前四个字节；第二字节组为第一MAC目的地址六个字节中按前后顺序排列的后两个字节。按序组合减少匹配的复杂性，提高匹配效率。进一步的，第三字节组为第二MAC目的地址六个字节中按前后顺序排列的前四个字节；第四字节组为第二报文MAC目的地址六个字节中按前后顺序排列的后两个字节。按序组合减少匹配的复杂性，提高匹配效率。进一步的，GOOSE报文信息包括GOOSE报文MAC目标地址、GOOSE报文MAC源地址、GOOSE报文TPID和GOOSE报文Ethertype；GOOSE报文目标地址包括GOOSE报文第一字节组和GOOSE报文第二字节组；GOOSE报文第一字节组为GOOSE报文MAC目的地址六个字节中的四个字节；GOOSE报文第二字节组为GOOSE报文MAC目的地址六个字节中的两个字节；GOOSE报文第一字节组、GOOSE报文TPID和GOOSE报文Ethertype组成GOOSE报文固定内容；GOOSE报文第二字节组和GOOSE报文MAC源地址组成第一白名单可变内容。以上设置，将GOOSE报文第一字节组、GOOSE报文TPID和GOOSE报文Ethertype组成的GOOSE报文固定内容，这样GOOSE报文固定内容能本文档来自技高网...

【技术保护点】
1.一种智能变电站过程总线防火墙系统，包括防火墙系统，防火墙系统能捕获和拦截GOOSE报文和SV报文，其特征在于：防火墙系统提取捕获到的GOOSE报文信息和SV报文信息；/n防火墙系统包括拦截白名单，拦截白名单记载有第一报文信息库和第二报文信息库；拦截白名单允许与第一报文信息库匹配的GOOSE报文进入过程总线防火墙；拦截白名单允许与第二报文信息库匹配的SV报文进入过程总线防火墙；第一报文信息库包括第一MAC目标地址、第一MAC源地址、第一TPID和第一Ethertype；第一MAC目标地址包括第一字节组和第二字节组；第一字节组为第一MAC目的地址六个字节中的四个字节；第二字节组为第一报文MAC目的地址六个字节中的两个字节；第一字节组、第一TPID和第一Ethertype按顺序组成第一白名单固定内容；第二字节组和第一MAC源地址按顺序组成第一白名单可变内容；/n第二报文信息库包括第二MAC目标地址、第二MAC源地址、第二TPID和第二Ethertype；第二MAC目标地址包括第三字节组和第四字节组；第三字节组为第二MAC目的地址六个字节中的四个字节；第四字节组为第二报文MAC目的地址六个字节中的两个字节；/n第三字节组、第二TPID和第二Ethertype按顺序组成第二白名单固定内容；第四字节组和第二MAC源地址按顺序组成第二白名单可变内容。/n...

【技术特征摘要】
1.一种智能变电站过程总线防火墙系统，包括防火墙系统，防火墙系统能捕获和拦截GOOSE报文和SV报文，其特征在于：防火墙系统提取捕获到的GOOSE报文信息和SV报文信息；
防火墙系统包括拦截白名单，拦截白名单记载有第一报文信息库和第二报文信息库；拦截白名单允许与第一报文信息库匹配的GOOSE报文进入过程总线防火墙；拦截白名单允许与第二报文信息库匹配的SV报文进入过程总线防火墙；第一报文信息库包括第一MAC目标地址、第一MAC源地址、第一TPID和第一Ethertype；第一MAC目标地址包括第一字节组和第二字节组；第一字节组为第一MAC目的地址六个字节中的四个字节；第二字节组为第一报文MAC目的地址六个字节中的两个字节；第一字节组、第一TPID和第一Ethertype按顺序组成第一白名单固定内容；第二字节组和第一MAC源地址按顺序组成第一白名单可变内容；
第二报文信息库包括第二MAC目标地址、第二MAC源地址、第二TPID和第二Ethertype；第二MAC目标地址包括第三字节组和第四字节组；第三字节组为第二MAC目的地址六个字节中的四个字节；第四字节组为第二报文MAC目的地址六个字节中的两个字节；
第三字节组、第二TPID和第二Ethertype按顺序组成第二白名单固定内容；第四字节组和第二MAC源地址按顺序组成第二白名单可变内容。


2.根据权利要求1所述的一种智能变电站过程总线防火墙系统；其特征在于：第一字节组为第一MAC目的地址六个字节中按前后顺序排列的前四个字节；第二字节组为第一MAC目的地址六个字节中按前后顺序排列的后两个字节。


3.根据权利要求1所述的一种智能变电站过程总线防火墙系统；其特征在于：第三字节组为第二MAC目的地址六个字节中按前后顺序排列的前四个字节；第四字节组为第二报文MAC目的地址六个字节中按前后顺序排列的后两个字节。


4.根据权利要求1...

【专利技术属性】
技术研发人员：王玕，王智东，张紫凡，李志锋，郭琳，刘希，冯瑞珏，
申请(专利权)人：华南理工大学广州学院，
类型：发明
国别省市：广东;44