一種goose電力實時報文加解密方法
【專利摘要】本發(fā)明公開了一種GOOSE電力實時報文加解密方法���,包括:提取GOOSE報文中的關(guān)鍵信息�����;計算關(guān)鍵信息的長度,根據(jù)長度對關(guān)鍵信息進(jìn)行ECB分組�����,得到預(yù)處理報文����;發(fā)送端和接收端約定好密鑰種子,以密鑰種子為初始參數(shù)通過Rijndael算法的密鑰擴(kuò)展函數(shù)KeyExpansion()產(chǎn)生其余的子密鑰��,得到密鑰�;對預(yù)處理報文進(jìn)行Rijndael加密,得到關(guān)鍵信息的密文��;將密文回置原GOOSE報文���,對于經(jīng)過加密而多出來的數(shù)據(jù)域����,放置到填充域,得到加密的GOOSE報文�;對加密的GOOSE報文中的密文和填充域進(jìn)行Rijndael解密,并將解密的內(nèi)容依次回置到GOOSE報文中��,得到解密后的GOOSE報文��;對解密后的GOOSE報文進(jìn)行CRC校驗����、T域、StNum��、SqNum域檢驗��,如果正確����,接收該GOOSE報文����,完成加解密�����。本發(fā)明實現(xiàn)了GOOSE報文傳輸中的實時性����、完整性和保密性���。
【專利說明】—種GOOSE電力實時報文加解密方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及電力系統(tǒng)信息安全【技術(shù)領(lǐng)域】�,具體涉及一種GOOSE電力實時報文加解密方法。
【背景技術(shù)】
[0002]在電力系統(tǒng)通信網(wǎng)絡(luò)中��,面向通用對象的變電站事件(GOOSE, Generic ObjectOriented Substation Event)報文主要用于表征斷路器的跳��、合閘等操作命令和斷路器位置信息等重要場合�����,其安全性��、準(zhǔn)確性��、實時性很大程度上影響著電力系統(tǒng)運行的可靠性。
[0003]而且��,在以數(shù)字化變電站為代表的智能電網(wǎng)中得到越來越廣泛的應(yīng)用的背景下�,G00SE電力報文有可能跨區(qū)域��、跨電網(wǎng)傳輸,使得其更可能遭受竊聽�、攻擊、篡改等入侵事件����,其在電力信息安全方面的重要性愈發(fā)突出。
[0004]然而���,現(xiàn)有技術(shù)中缺乏對實時性要求很高的G00SE報文信息進(jìn)行加密的有效方法。因此�,亟需采用加解密技術(shù)加強(qiáng)G00SE電力報文的保密性;但報文加解密一般需要較大耗時�����,而G00SE報文具有嚴(yán)格的實時性要求�����。根據(jù)IEC61850標(biāo)準(zhǔn)的規(guī)定,G00SE信號的通信延遲應(yīng)小于4ms����。如何在滿足G00SE報文實時性的基礎(chǔ)上�,實現(xiàn)G00SE報文的完整性和保密性成為了問題的關(guān)鍵�����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的在于克服上述缺陷,提供一種保密程度高��、加解密耗時少和硬件適應(yīng)性強(qiáng)的G00SE電力實時報文加解密方法��。
[0006]為了達(dá)到上述目的�����,本發(fā)明采用的技術(shù)方案是��,一種G00SE電力實時報文加解密方法�����,包括以下步驟:
[0007]S1���、加密
[0008]SI 1����、提取G00SE報文中的關(guān)鍵信息����;
[0009]S12�、計算所述關(guān)鍵信息的長度���,根據(jù)所述長度對所述關(guān)鍵信息進(jìn)行ECB分組�,得到預(yù)處理報文����;
[0010]S13、發(fā)送端和接收端首先約定好長度為128����、192或256比特的密鑰種子,以密鑰種子為初始參數(shù)通過Ri jndael算法的密鑰擴(kuò)展函數(shù)KeyExpansion O產(chǎn)生其余的子密鑰���,得到密鑰�����;
[0011]S14、利用S13的密鑰對所述預(yù)處理報文進(jìn)行Rijndael算法加密����,得到所述關(guān)鍵信息的密文;
[0012]S15�����、將所述密文回置原G00SE報文,對于經(jīng)過加密而多出來的數(shù)據(jù)域�����,放置到填充域�,得到加密的G00SE報文;
[0013]S2�����、解密
[0014]S21��、對加密的G00SE報文中的密文和填充域進(jìn)行Ri jndae I算法解密�����,并將解密的內(nèi)容依次回置到G00SE報文中�,得到解密后的G00SE報文;[0015]S22��、對解密后的GOOSE報文進(jìn)行CRC校驗��,如果CRC校驗通過,轉(zhuǎn)入S23 ;否則�����,丟棄所述GOOSE報文��;
[0016]S23���、檢驗解密后的GOOSE報文的T域是否正確��,如果正確���,轉(zhuǎn)入S24 ;否則,丟棄所述GOOSE報文��;
[0017]S24����、檢驗解密后的GOOSE報文的StNum、SqNum域是否正確�����,如果正確���,接收該GOOSE報文����,完成加解密�����;否則����,丟棄所述GOOSE報文。
[0018]更具體的���,所述GOOSE報文中的關(guān)鍵信息是GOOSE報文的StNum�����、SqNum�、T���、Al IData域中的數(shù)據(jù)����。
[0019]在加密算法和密鑰長度一定時,降低加解密GOOSE報文耗時的核心在于減少所需加密的報文長度�。通過分析GOOSE報文各個域的信息,提取報文的關(guān)鍵信息��,在其實時性和保密性中取得平衡����。根據(jù)IEC61850標(biāo)準(zhǔn),GOOSE報文在數(shù)據(jù)鏈路層采用IS0/IEC802.3協(xié)議���,由MAC地址域�����、TPID (標(biāo)志協(xié)議標(biāo)識)域�、TCI (標(biāo)識控制信息)域���、EtherType (以太網(wǎng)報文類型)域���、APPID (應(yīng)用標(biāo)識)域、Length (長度)域����、Reservedl (保留I)域�����、Reserved2(保留2)域和APDU (應(yīng)用協(xié)議數(shù)據(jù)單元,即報文內(nèi)容)域組成�����。GOOSE的幀結(jié)構(gòu)����,如表1所不。MAC 地址域�、TPID 域、TCI 域�����、EtherType 域�、APPID 域、Length 域���、Reservedl����、Reserved2域的內(nèi)容主要表征GOOSE報文的通信信息和報文長度等通信相關(guān)的基礎(chǔ)內(nèi)容,并不包含GOOSE報文反映的斷路器位置狀態(tài)和解�����、閉鎖�����,跳��、合閘操作命令等實質(zhì)內(nèi)容����,因此保持這些內(nèi)容域的內(nèi)容不變,不進(jìn)行加密處理��。
[0020]表1G00SE報文的幀結(jié)構(gòu)
【權(quán)利要求】
1.一種GOOSE電力實時報文加解密方法�,其特征在于,包括以下步驟: 51��、加密 SI 1�、提取GOOSE報文中的關(guān)鍵信息; 512�����、計算所述關(guān)鍵信息的長度,根據(jù)所述長度對所述關(guān)鍵信息進(jìn)行ECB分組���,得到預(yù)處理報文���; 513�����、發(fā)送端和接收端首先約定好長度為128�、192或256比特的密鑰種子,以密鑰種子為初始參數(shù)通過Ri jndael算法的密鑰擴(kuò)展函數(shù)KeyExpansion O產(chǎn)生其余的子密鑰,得到密鑰��; 514��、利用S13的密鑰對所述預(yù)處理報文進(jìn)行Rijndael算法加密���,得到所述關(guān)鍵信息的密文���; 515、將所述密文回置原GOOSE報文�,對于經(jīng)過加密而多出來的數(shù)據(jù)域,放置到填充域��,得到加密的GOOSE報文; 52����、解密 521、對加密的GOOSE報文中的密文和填充域進(jìn)行RijndaeI算法解密���,并將解密的內(nèi)容依次回置到GOOSE報文中�����,得到解密后的GOOSE報文��; 522�����、對解密后的G OOSE報文進(jìn)行CRC校驗����,如果CRC校驗通過�,轉(zhuǎn)入S23;否則,丟棄所述GOOSE報文�; 523、檢驗解密后的GOOSE報文的T域是否正確,如果正確����,轉(zhuǎn)入S24;否則,丟棄所述GOOSE報文����; 524、檢驗解密后的GOOSE報文的StNunuSqNum域是否正確���,如果正確,接收該GOOSE報文�����,完成加解密�����;否則���,丟棄所述GOOSE報文�。
2.根據(jù)權(quán)利要求1所述的一種GOOSE電力實時報文加解密方法��,其特征在于:所述GOOSE報文中的關(guān)鍵信息是GOOSE報文的StNum、SqNum, T�����、AllData域中的數(shù)據(jù)�����。
3.根據(jù)權(quán)利要求1所述的一種GOOSE電力實時報文加解密方法�,其特征在于:所述ECB分組是指電碼本分組,具體步驟:計算GOOSE報文關(guān)鍵信息的長度�,并分別跟長度為128、192與256比特的基準(zhǔn)長度相比較���,若明文長度大于256比特時����,以256比特為基準(zhǔn)長度不斷分組直至長度小于256比特����;再找到最接近但小于或等于上述基準(zhǔn)長度的分組長度,并填充明文內(nèi)容直至長度為該基準(zhǔn)長度����;若明文長度小于256比特,則找到小于或等于128或192比特的分組長度,并填充明文內(nèi)容直至長度為該基準(zhǔn)長度����。
4.根據(jù)權(quán)利要求1所述的一種GOOSE電力實時報文加解密方法,其特征在于:采用GOOSE報文的CRC校驗域來保證GOOSE報文的完整性�。
5.根據(jù)權(quán)利要求1所述的一種GOOSE電力實時報文加解密方法,其特征在于�,S23包括以下步驟: 檢查GOOSE報文的T域是否比上一個GOOSE報文的T域大且在報文允許時間范圍內(nèi),如果是�����,轉(zhuǎn)入S24 ;否則����,認(rèn)為GOOSE報文受到攻擊����,丟棄所述GOOSE報文。
6.根據(jù)權(quán)利要求1所述的一種GOOSE電力實時報文加解密方法,其特征在于,S24包括以下步驟: S -241��、重發(fā)GOOSE報文的合法性檢驗:如果這個GOOSE報文的StNum域和上一個GOOSE報文的StNum域相等,就檢查SqNum域是否比上一個GOOSE報文的SqNum域大I,如果是,就認(rèn)為這個GOOSE報文沒受到攻擊����,接收該GOOSE報文;否則,就認(rèn)為報文受到攻擊����,不接收該GOOSE報文;如果這個GOOSE報文的StNum域與上一個GOOSE報文的StNum域不相等��,轉(zhuǎn)入步驟S - 242 ����; S - 242、非重發(fā)GOOSE報文的合法性檢驗:如果這個GOOSE報文的StNum域比上一個GOOSE報文的StNum域大1��,繼續(xù)判斷SqNum域是否為0��,如果是�,就認(rèn)為GOOSE報文沒受到攻擊,接收該GOOSE報文����;否則,就認(rèn)為GOOSE報文受到攻擊�,丟棄該GOOSE報文;如果這個GOOSE報文的StNum域比上一個`GOOSE報文的小����,就認(rèn)為報文受到攻擊��,丟棄該GOOSE報文���。
【文檔編號】H04L29/06GK103746962SQ201310681672
【公開日】2014年4月23日 申請日期:2013年12月12日 優(yōu)先權(quán)日:2013年12月12日
【發(fā)明者】王智東, 王鋼, 陳俊威, 林躍歡, 馬新華, 黎永昌 申請人:華南理工大學(xué)