本发明专利技术提供一种匹配GOOSE报文的防火墙系统的匹配方法,包括防火墙系统,防火墙系统预设有第一白名单固定内容和第一白名单可变内容,防火墙系统能捕获和拦截GOOSE报文,防火墙系统提取捕获到的GOOSE报文信息;防火墙系统允许与第一报文信息库匹配的GOOSE报文进入过程总线防火墙;本发明专利技术方法进行两轮匹配,GOOSE报文固定内容与第一白名单固定内容进行第一轮匹配,第一轮匹配通过时,再将GOOSE报文可变内容与第一白名单可变内容进行第二轮匹配;这样当GOOSE报文在第一轮匹配不通过时,防火墙拦截GOOSE报文,避免GOOSE报文进行第二轮匹配运算量小,算法快;匹配方式快捷高效,安全性高。
A matching method of firewall system matching goose message
【技术实现步骤摘要】
一种匹配GOOSE报文的防火墙系统的匹配方法
本专利技术涉及智能变电站网络安全领域,尤其涉及一种匹配GOOSE报文的防火墙系统的匹配方法。
技术介绍
为满足智能变电站通讯要求,智能变电站过程层采用GOOSE(面向通用对象的变电站事件:GenericObjectOrientedSubstationEvent)报文实现与保护、测控等装置的通讯。过程层GOOSE报文以组播方式传播,目前多通过交换机划分VLAN方案,使过程层GOOSE以A、B套双网完全独立运行,此种方式简单易操作,网络报文和装置之间通讯链路清晰,有效提高控制数据的快速性和冗余性。但双网之间数据无任何方式交互共享,将导致不同网络内的保护设备无法接收到所有需要的跳合闸状态等信息,如间隔层的母线保护设备需要所有过程层设备发送的组播数据报文,划分VLAN以后,将使解决此类问题多从过程层交换机的软件入手,需在交换机进行复杂的配置,降低了系统运行的安全性和可靠性,也不利于系统的灵活性和互操作。在中国申请号为201910071877.2,公布日为2019.04.12的专利文献中公开了一种智能变电站过程层网络报文过滤转发装置,该装置安装在过程层中心交换机GOOSE网络的A、B网之间,只连接A、B网的GOOSE通信,对接收的GOOSE报文进行参数合法性检查并与预设的白名单中GOOSE报文的关键信息比对,过滤其它类型的报文、丢弃单播报文和广播报文,只有在白名单中出现的组播报文才被转发。针对智能变电站双重化保护对应的两组相互独立的过程层网络,可依据面向对象的变电站事件报文的组播传输方式、目的MAC地址、EthernetType、APPID进行报文过滤转发,并可对端口转发报文进行流量控制,实现两组过程层网络之间数据有限的共享。但是在转发GOOSE报文前进行的信息对比需要先检查GOOSE报文的MAC地址、EthernetType、APPID范围、VLAN范围和PORT范围的参数合法性,检查全部合格后,再将GOOSE报文与白名单中的MAC地址、EthernetType和APPID三部分关键信息对比,对比信息全部一致后,再判断GOOSE报文是否为风暴报文,当GOOSE报文不是风暴报文时,该装置才转发接收到的GOOSE报文。这种信息对比方式需要对比的内容过多,对比时间长,匹配效率较低。
技术实现思路
本专利技术提供一种高效的匹配GOOSE报文的防火墙系统的匹配方法。为达到上述目的,本专利技术一方面提供一种匹配GOOSE报文的防火墙系统的匹配方法,包括以下步骤:a1).预设第一白名单固定内容和第一白名单可变内容;a2).捕获进入防火墙的GOOSE报文,依次提取GOOSE报文MAC目的地址,GOOSE报文MAC源地址,GOOSE报文TPID和GOOSE报文Ethertype;将GOOSE报文MAC目的地址六个字节中的四个字节组成GOOSE报文第一字节组,将GOOSE报文MAC目的地址六个字节中的两个字节组成GOOSE报文第二字节组;a3).将GOOSE报文第一字节组、GOOSE报文TPID和GOOSE报文Ethertype按顺序组成GOOSE报文固定内容;将GOOSE报文第二字节组和GOOSE报文MAC源地址按顺序组成GOOSE报文可变内容;a4).采用异或计算,将GOOSE报文固定内容与预设第一白名单固定内容进行第一轮匹配,若异或计算结果为非0,GOOSE报文固定内容与第一白名单固定内容匹配不通过,进行步骤a5);若异或计算结果为0,GOOSE报文固定内容与预设第一白名单固定内容匹配通过,进行步骤a6);a5).防火墙拦截GOOSE报文;a6).将GOOSE报文可变内容与预设第一白名单可变内容进行第二轮匹配,匹配不通过进行步骤a7);匹配通过进行步骤a8);a7).防火墙拦截GOOSE报文;a8).防火墙放行GOOSE报文。上述GOOSE报文拦截方法,进行两轮匹配,GOOSE报文固定内容与第一白名单固定内容进行第一轮匹配,第一轮匹配通过时,再将GOOSE报文可变内容与第一白名单可变内容进行第二轮匹配;这样当GOOSE报文在第一轮匹配不通过时,防火墙拦截GOOSE报文,避免GOOSE报文进行第二轮匹配,运算量小,算法快;当第二轮匹配通过时,防火墙放行GOOSE报文;当第二轮匹配不通过时,防火墙拦截GOOSE报文,这样进行两轮运算的分层算法,匹配准确率高。进一步的,第一白名单固定内容由第一MAC目标地址六个字节中四个字节组成的第一字节组、第一TPID和第一Ethertype按顺序组成;第一白名单可变内容由第一MAC目标地址六个字节中两个字节组成的第二字节组和第一MAC源地址按顺序组成。将MAC目标地址分成第一字节组和第二字节组,然后第一字节组分别与TPID和Ethertype组成第一白名单固定内容,将第二字节组和第一MAC源地址组成第一白名单可变内容,然后对第一名单固定内容以及第一白名单可变内容与GOOSE报文进行匹配,匹配效率高,同时由于需要对整个MAC目标地址、MAC源地址、TPID和、Ethertype进行匹配,安全性高。进一步的,第一字节组为第一MAC目的地址六个字节中按前后顺序排列的前四个字节。按序组合减少匹配的复杂性,提高匹配效率。进一步的,第二字节组为第一MAC目的地址六个字节中按前后顺序排列的后两个字节。按序组合减少匹配的复杂性,提高匹配效率。进一步的,GOOSE报文第一字节组为GOOSE报文MAC目的地址六个字节中按前后顺序排列的前四个字节。这样组合,GOOSE报文第一字节组能与第一字节组匹配,按序组合减少匹配的复杂性。进一步的,GOOSE报文第二字节组为GOOSE报文MAC目的地址六个字节中按前后顺序排列的后两个字节。这样组合,GOOSE报文第二字节组能与第二字节组匹配;按序组合减少匹配的复杂性。进一步的,第二轮匹配采用Knuth-Morris-Pratt算法。Knuth-Morris-Pratt算法的字符少,运算量小,进一步的提高运算速度。附图说明图1为本专利技术中第一白名单固定内容的排列顺序;图2为本专利技术中第一白名单可变内容的排列顺序;图3为本专利技术中GOOSE报文固定内容的排列顺序;图4为本专利技术中GOOSE报文可变内容的排列顺序;图5为本专利技术中GOOSE报文匹配方法的流程图。具体实施方式下面结合附图和具体实施方式对本专利技术做进一步详细说明。一种匹配GOOSE报文的防火墙系统的匹配方法,包括以下步骤,如图5所示,a1).预设第一白名单固定内容和第一白名单可变内容;a2).捕获进入防火墙的GOOSE报文,依次提取GOOSE报文MAC目的地址,GOOSE报文MAC源地址,GOOSE报文TPID和GOOSE报文Ethertype;将GOOSE报文MAC目的地址六个字节中的四个字节组成GOOSE报文第一字节组,将GOOSE报文MAC目的地址六个字节中的两个字节本文档来自技高网...
【技术保护点】
1.一种匹配GOOSE报文的防火墙系统的匹配方法,其特征在于:包括以下步骤:/na1).预设第一白名单固定内容和第一白名单可变内容;/na2).捕获进入防火墙的GOOSE报文,依次提取GOOSE报文MAC目的地址,GOOSE报文MAC源地址,GOOSE报文TPID和GOOSE报文Ethertype;将GOOSE报文MAC目的地址六个字节中的四个字节组成GOOSE报文第一字节组,将GOOSE报文MAC目的地址六个字节中的两个字节组成GOOSE报文第二字节组;/na3).将GOOSE报文第一字节组、GOOSE报文TPID和GOOSE报文Ethertype按顺序组成GOOSE报文固定内容;将GOOSE报文第二字节组和GOOSE报文MAC源地址按顺序组成GOOSE报文可变内容;/na4).采用异或计算,将GOOSE报文固定内容与预设第一白名单固定内容进行第一轮匹配,若异或计算结果为非0,GOOSE报文固定内容与第一白名单固定内容匹配不通过,进行步骤a5);若异或计算结果为0,GOOSE报文固定内容与预设第一白名单固定内容匹配通过,进行步骤a6);/na5).防火墙拦截GOOSE报文;/na6).将GOOSE报文可变内容与预设第一白名单可变内容进行第二轮匹配,匹配不通过进行步骤a7);匹配通过进行步骤a8);/na7).防火墙拦截GOOSE报文;/na8).防火墙放行GOOSE报文。/n...
【技术特征摘要】
1.一种匹配GOOSE报文的防火墙系统的匹配方法,其特征在于:包括以下步骤:
a1).预设第一白名单固定内容和第一白名单可变内容;
a2).捕获进入防火墙的GOOSE报文,依次提取GOOSE报文MAC目的地址,GOOSE报文MAC源地址,GOOSE报文TPID和GOOSE报文Ethertype;将GOOSE报文MAC目的地址六个字节中的四个字节组成GOOSE报文第一字节组,将GOOSE报文MAC目的地址六个字节中的两个字节组成GOOSE报文第二字节组;
a3).将GOOSE报文第一字节组、GOOSE报文TPID和GOOSE报文Ethertype按顺序组成GOOSE报文固定内容;将GOOSE报文第二字节组和GOOSE报文MAC源地址按顺序组成GOOSE报文可变内容;
a4).采用异或计算,将GOOSE报文固定内容与预设第一白名单固定内容进行第一轮匹配,若异或计算结果为非0,GOOSE报文固定内容与第一白名单固定内容匹配不通过,进行步骤a5);若异或计算结果为0,GOOSE报文固定内容与预设第一白名单固定内容匹配通过,进行步骤a6);
a5).防火墙拦截GOOSE报文;
a6).将GOOSE报文可变内容与预设第一白名单可变内容进行第二轮匹配,匹配不通过进行步骤a7);匹配通过进行步骤a8);
a7).防火墙拦截GOOSE报文;
a8).防火墙放行GOOSE报文。
【专利技术属性】
技术研发人员:张紫凡,王智东,王玕,李志锋,刘希,
申请(专利权)人:华南理工大学广州学院,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。