一種面向電力iec104規(guī)約的tcp透明代理實(shí)現(xiàn)方法
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及一種TCP透明代理實(shí)現(xiàn)方法����,尤其涉及一種面向電力IEC104規(guī)約的TCP透明代理實(shí)現(xiàn)方法,屬于電力系統(tǒng)通信安全技術(shù)領(lǐng)域����。
【背景技術(shù)】
[0002]隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在電力自動化中的普遍應(yīng)用���,其利用以太網(wǎng)介質(zhì)的網(wǎng)絡(luò)通信規(guī)約進(jìn)行數(shù)據(jù)交換在電力自動化系統(tǒng)中得到廣泛的應(yīng)用,目前在調(diào)度自動化系統(tǒng)與各變電站自動化系統(tǒng)之間��,及變電站自動化系統(tǒng)內(nèi)測控系統(tǒng)的通信傳輸多采用IEC60870-5-104通信協(xié)議(簡稱IEC104協(xié)議)ο IEC104協(xié)議作為一種國際標(biāo)準(zhǔn)協(xié)議���,具有實(shí)時性好、可靠性高�����、數(shù)據(jù)流量大���、便于信息量擴(kuò)充、支持網(wǎng)絡(luò)傳輸?shù)葍?yōu)點(diǎn)���,其內(nèi)容和功能涵蓋了保護(hù)方面的定義。104規(guī)約不僅可以用在調(diào)度和廠站之間�,而且完全可以應(yīng)用于變電站自動化系統(tǒng)內(nèi)部�,現(xiàn)有的IEC104協(xié)議已經(jīng)被國內(nèi)外電力自動化主流供應(yīng)商如國電南瑞���、北京四方、SIEMENS等應(yīng)用到電力自動化系統(tǒng)當(dāng)中����。
[0003]IEC104協(xié)議是一種國際標(biāo)準(zhǔn)的協(xié)議�����,規(guī)定了協(xié)議傳輸過程中報(bào)文的格式要求和傳輸時序要求��,它是一個明文傳輸標(biāo)準(zhǔn),信息安全防護(hù)較差;且該協(xié)議比較開放和標(biāo)準(zhǔn)化��,其受到攻擊的威脅大,安全性也差�。IEC104協(xié)議以TCP作為傳輸層協(xié)議�,而TCP/IP協(xié)議本身就存在安全性問題,如偽造IP地址�����、源路由選擇欺騙等,并且TCP/IP協(xié)議采用明文傳輸��,將會導(dǎo)致應(yīng)用程序的數(shù)據(jù)在網(wǎng)絡(luò)上是公開的��,很容易被竊聽�����、偽造和篡改?���?梢?,遠(yuǎn)動信息的安全傳輸已成為不可回避的實(shí)際問題�����,作為電力自動化系統(tǒng)數(shù)據(jù)源和實(shí)施控制行為的遠(yuǎn)動信息�,如果由于傳輸?shù)陌踩蛞鹫`動�����、拒動�、上傳數(shù)據(jù)的紊亂等�,將給電力系統(tǒng)的安全穩(wěn)定運(yùn)行帶來嚴(yán)重威脅��,有時甚至引發(fā)災(zāi)難性事故���。因此���,保證遠(yuǎn)動信息傳輸?shù)陌踩詫⑹种匾?br>[0004]為了解決上述問題,在申請?zhí)枮?01110361177.0的中國發(fā)明專利申請中�,公開了一種實(shí)現(xiàn)IEC104報(bào)文傳輸?shù)姆椒ê拖到y(tǒng),其中����,方法包括如下步驟:S1,根據(jù)預(yù)傳輸IEC104報(bào)文所攜帶的標(biāo)志位判斷其是否為I幀�����、U幀還是S幀����,若為I幀,則S2�����,若為U幀或者S幀���,則轉(zhuǎn)至S4; S2,發(fā)送方對I幀的應(yīng)用服務(wù)數(shù)據(jù)單元通過ECC算法進(jìn)行加密�;S3.接收方對加密后的應(yīng)用服務(wù)數(shù)據(jù)單元進(jìn)行解密,以還原出明文的應(yīng)用服務(wù)數(shù)據(jù)單元;S4��,對預(yù)傳輸IEC104報(bào)文的發(fā)送方通過數(shù)字簽名進(jìn)行身份驗(yàn)證。根據(jù)IEC104報(bào)文的幀格式�,分別采用ECC加密算法和通過數(shù)字簽名進(jìn)行身份驗(yàn)證相結(jié)合的方式對報(bào)文進(jìn)行處理�����,一定程度上解決了 IEC104報(bào)文明文傳輸?shù)陌踩詥栴}�����,提高了報(bào)文傳輸?shù)目煽啃浴?br>
【發(fā)明內(nèi)容】
[0005]針對現(xiàn)有技術(shù)的不足,本發(fā)明所要解決的技術(shù)問題在于提供一種面向電力IEC104規(guī)約的TCP透明代理實(shí)現(xiàn)方法���。
[0006]為實(shí)現(xiàn)上述發(fā)明目的��,本發(fā)明采用下述的技術(shù)方案:
[0007]一種面向電力IECl 04規(guī)約的TCP透明代理實(shí)現(xiàn)方法�,包括如下步驟:
[0008]SI,客戶端網(wǎng)關(guān)加密設(shè)備獲取IEC104客戶端發(fā)送的帶序列號的報(bào)文信息,將所述報(bào)文信息發(fā)送給服務(wù)器網(wǎng)關(guān)加密設(shè)備,由服務(wù)器網(wǎng)關(guān)加密設(shè)備發(fā)送給IEC104服務(wù)器�;
[0009]S2,客戶端網(wǎng)關(guān)加密設(shè)備根據(jù)所述序列號生成網(wǎng)關(guān)序列號�,通過向服務(wù)器網(wǎng)關(guān)加密設(shè)備發(fā)送帶網(wǎng)關(guān)序列號的報(bào)文信息在客戶端網(wǎng)關(guān)加密設(shè)備和服務(wù)器網(wǎng)關(guān)加密設(shè)備之間建立隧道���,客戶端網(wǎng)關(guān)加密設(shè)備不定時自主向服務(wù)器網(wǎng)關(guān)加密設(shè)備傳送帶網(wǎng)關(guān)序列號的通信報(bào)文�;
[0010]S3���,IEC104客戶端發(fā)送帶序列號的報(bào)文信息給客戶端網(wǎng)關(guān)加密設(shè)備��,客戶端網(wǎng)關(guān)加密設(shè)備結(jié)合本地發(fā)送的報(bào)文信息,將獲取所述序列號進(jìn)行處理生成網(wǎng)關(guān)序列號����,并對獲取的報(bào)文信息進(jìn)行加密�,組合生成處理信息���,將所述處理信息傳送給服務(wù)器網(wǎng)關(guān)加密設(shè)備���;
[0011]S4����,服務(wù)器網(wǎng)關(guān)加密設(shè)備對獲取的處理信息中的網(wǎng)關(guān)序列號進(jìn)行反處理�����,并對報(bào)文信息進(jìn)行解密,將解密后的報(bào)文信息傳送給IEC104服務(wù)器�。
[0012]其中較優(yōu)地�����,所述IEC104客戶端根據(jù)本地發(fā)送的報(bào)文信息���,生成自動遞加的序列號�。
[0013]其中較優(yōu)地��,在步驟SI中���,所述客戶端網(wǎng)關(guān)加密設(shè)備在獲取所述IEC104客戶端發(fā)送的帶序列號的報(bào)文信息之前���,所述IEC104客戶端通過所述客戶端網(wǎng)關(guān)加密設(shè)備和所述服務(wù)器網(wǎng)關(guān)加密設(shè)備與所述IEC104服務(wù)器建立TCP連接。
[0014]其中較優(yōu)地����,在步驟S2中�����,所述客戶端網(wǎng)關(guān)加密設(shè)備根據(jù)所述序列號生成網(wǎng)關(guān)序列號,包括如下步驟:
[0015]獲取IEC104客戶端發(fā)送的報(bào)文信息的序列號�����;
[0016]獲取由客戶端網(wǎng)關(guān)加密設(shè)備本地發(fā)送的報(bào)文信息的數(shù)量�;
[0017]通過公式:C=A+B;得到網(wǎng)關(guān)序列號;其中����,A為IEC104客戶端發(fā)送的報(bào)文信息的序列號;B為客戶端網(wǎng)關(guān)加密設(shè)備本地發(fā)送的報(bào)文信息的數(shù)量���。
[0018]其中較優(yōu)地�����,在步驟S2中,通過向服務(wù)器網(wǎng)關(guān)加密設(shè)備發(fā)送帶網(wǎng)關(guān)序列號的報(bào)文信息在客戶端網(wǎng)關(guān)加密設(shè)備和服務(wù)器網(wǎng)關(guān)加密設(shè)備之間建立隧道���,包括如下步驟:
[0019]客戶端網(wǎng)關(guān)加密設(shè)備獲取網(wǎng)關(guān)序列號����,將網(wǎng)關(guān)序列號和隧道建立請求報(bào)文一起發(fā)送給服務(wù)器網(wǎng)關(guān)加密設(shè)備;
[0020]服務(wù)器網(wǎng)關(guān)加密設(shè)備根據(jù)接收到的隧道建立請求報(bào)文做出回應(yīng)��,并發(fā)送回應(yīng)報(bào)文�;
[0021]客戶端網(wǎng)關(guān)加密設(shè)備獲取回應(yīng)報(bào)文和網(wǎng)關(guān)序列號,將網(wǎng)關(guān)序列號和隧道成功建立確認(rèn)報(bào)文一起發(fā)送給服務(wù)器網(wǎng)關(guān)加密設(shè)備�����,客戶端網(wǎng)關(guān)加密設(shè)備和服務(wù)器網(wǎng)關(guān)加密設(shè)備之間建立隧道�。
[0022]其中較優(yōu)地,在步驟S2中�����,所述通信報(bào)文包括管控報(bào)文和隧道保活心跳報(bào)文����;
[0023]其中����,所述管控報(bào)文用于對所述服務(wù)器網(wǎng)關(guān)加密設(shè)備進(jìn)行遠(yuǎn)程管理和設(shè)備狀態(tài)監(jiān)控;
[0024]所述隧道?����;钚奶鴪?bào)文用以保證所述IEC104客戶端和所述IEC104服務(wù)器之間信息傳送時隧道的可用性����。
[0025]其中較優(yōu)地�����,在步驟S3中����,對獲取的報(bào)文信息進(jìn)行加密之前��,所述客戶端網(wǎng)關(guān)加密設(shè)備對獲取的報(bào)文信息進(jìn)行解析�,并對所述報(bào)文信息的完整性進(jìn)行識別,當(dāng)識別出的報(bào)文信息不是完整信息時�,繼續(xù)等待所述IEC104客戶端的報(bào)文信息發(fā)送,直至報(bào)文信息完整時,對報(bào)文信息進(jìn)行加密處理����。
[0026]其中較優(yōu)地����,在步驟S4中����,服務(wù)器網(wǎng)關(guān)加密設(shè)備對獲取的處理信息中的網(wǎng)關(guān)序列號進(jìn)行反處理,包括如下步驟:
[0027]服務(wù)器網(wǎng)關(guān)加密設(shè)備獲取處理信息中的網(wǎng)關(guān)序列號���;
[0028]獲取由客戶端網(wǎng)關(guān)加密設(shè)備本地發(fā)送的報(bào)文信息的數(shù)量�;
[0029]通過公式:A = C-B;得到IEC104客戶端發(fā)送的報(bào)文信息的序列號;其中�,C為處理信息中的網(wǎng)關(guān)序列號;B為客戶端網(wǎng)關(guān)加密設(shè)備本地發(fā)送的報(bào)文信息的數(shù)量�。
[0030]本發(fā)明所提供的面向電力IEC104規(guī)約的TCP透明代理實(shí)現(xiàn)方法��,當(dāng)IEC104客戶端首次向IEC104服務(wù)器發(fā)送帶序列號的報(bào)文信息之后��,客戶端網(wǎng)關(guān)加密設(shè)備根據(jù)IEC104客戶端報(bào)文信息的序列號生成網(wǎng)關(guān)序列號�,通過向服務(wù)器網(wǎng)關(guān)加密設(shè)備發(fā)送帶網(wǎng)關(guān)序列號的報(bào)文信息建立隧道。之后�����,IEC104客戶端根據(jù)本地發(fā)送的報(bào)文信息�����,生成自動遞加的序列號�,發(fā)送帶序列號的報(bào)文信息給客戶端網(wǎng)關(guān)加密設(shè)備�,客戶端網(wǎng)關(guān)加密設(shè)備為了使序列號不沖突,結(jié)合本地發(fā)送的報(bào)文信息���,將獲取的IEC104客戶端的報(bào)文信息的序列號進(jìn)行處理,并對獲取的報(bào)文信息進(jìn)行加密�����,組合生成處理信息��,并將其傳送給服務(wù)器網(wǎng)關(guān)加密設(shè)備���。服務(wù)器網(wǎng)關(guān)加密設(shè)備對獲取的處理信息中的序列號進(jìn)行反處理�����,并對報(bào)文信息進(jìn)行解密�����,將解密后的報(bào)文信息傳送給IEC104服務(wù)器����。該方法有效地解決了 IEC104報(bào)文信息明文傳輸?shù)陌踩詥栴}��,提高了報(bào)文傳輸?shù)目煽啃浴?br>【附圖說明】
[0031]圖1為本發(fā)明所提供的面向電力IEC104規(guī)約的TCP透明代理實(shí)現(xiàn)方法的流程圖�����;
[0032]圖2為本發(fā)明所提供的一個實(shí)施例中���,IEC104客戶端和IEC104服務(wù)器之間進(jìn)行通信的流程圖�。
【具體實(shí)施方式】
[0033]下面結(jié)合附圖和具體實(shí)施例對本發(fā)明的技術(shù)內(nèi)容進(jìn)行詳細(xì)具體的說明�。
[0034]TCP透明代理為部署在TCP服務(wù)器與客戶端中間鏈路上的設(shè)備或者模塊,可以監(jiān)聽至IjTCP連接的所有數(shù)據(jù)包�����,并具有對數(shù)據(jù)進(jìn)行處理轉(zhuǎn)發(fā)的功能����。當(dāng)前的TCP透明代理只能實(shí)現(xiàn)TCP傳輸層面的代理,欠缺對IEC104協(xié)議解析及處理的能力�,并且無法對上層數(shù)據(jù)部分進(jìn)行數(shù)據(jù)修改,添加數(shù)據(jù)內(nèi)容等操作�����。在本發(fā)明所提供的面向電力IEC104規(guī)約的TCP透明代理實(shí)現(xiàn)方法中�,作為TCP連接中的中間網(wǎng)關(guān)設(shè)備(客戶端網(wǎng)關(guān)加密設(shè)備和服務(wù)器網(wǎng)關(guān)加密設(shè)