本發(fā)明涉及一種DNP協(xié)議的實(shí)現(xiàn)方法，具體為一種基于SCADA系統(tǒng)的安全DNP協(xié)議的實(shí)現(xiàn)方法，屬于工業(yè)控制系統(tǒng)信息安全應(yīng)用
技術(shù)領(lǐng)域：
：。
背景技術(shù)：
：：隨著我國電力系統(tǒng)信息網(wǎng)絡(luò)的迅速發(fā)展，用于電力系統(tǒng)通信的DNP(DistributedNetworkProtocol)類協(xié)議的安全重要性也與日俱增，本發(fā)明提出了一種基于SCADA系統(tǒng)的安全DNP3協(xié)議的實(shí)現(xiàn)方法。一般地，DNP3協(xié)議有一定的可靠性。這種可靠性可以用來對抗惡劣環(huán)境中產(chǎn)生的電磁干擾、元件老化等信號失真現(xiàn)象。此外DNP3協(xié)議提供了對數(shù)據(jù)的分片、重組、數(shù)據(jù)校驗(yàn)、鏈路控制、優(yōu)先級等一些列的服務(wù)，在協(xié)議中大量使用了CRC校驗(yàn)來保證數(shù)據(jù)的準(zhǔn)確性。具體地，DNP3數(shù)據(jù)幀包括10字節(jié)頭部信息，其中有2字節(jié)的CRC校驗(yàn)位，250字節(jié)的數(shù)據(jù)域和32字節(jié)的CRC校驗(yàn)位。《DNPSec:DistributedNetworkProtocolVersion3(DNP3)SecurityFramework》提出了一種安全的DNP協(xié)議框架DNPSec，在不增加DNP3消息長度和沒有改變頭部信息的情況下增加DNP3的安全性。DNPSec主要包括數(shù)據(jù)幀結(jié)構(gòu)和密鑰交換兩部分。DNPSec的數(shù)據(jù)幀組成如下：4字節(jié)的NewHeader；4字節(jié)的KeySequenceNumber域；8字節(jié)的OriginalLHHeader；256字節(jié)的Payloaddata域和20字節(jié)的AuthenticationData域。DNPSec通過移除DNP3原有的34字節(jié)CRC校驗(yàn)位，并且在尾部增加認(rèn)證區(qū)域?qū)崿F(xiàn)安全的。DNPSec密鑰管理操作發(fā)生在MasterHost與Slaves的配置期間，用來為它們建立初始連接；KSN進(jìn)行重新初始化時(shí)，為其生成并分發(fā)新的密鑰；SessionKey過期后，為其生成并分發(fā)新的密鑰。DNPSec通過加密有效荷載，提供了以下安全保障：保證收發(fā)幀的一致性；保證幀頭部的不變性；抵御重放攻擊；防止竊聽。DNP3并不具有安全防護(hù)能力，易遭受安全攻擊，包括：消息欺騙、消息竊聽、消息更改、重放攻擊、拒絕服務(wù)攻擊和中間人攻擊等，DNPSec安全框架雖然為DNP3協(xié)議增加了安全機(jī)制，但是需要對設(shè)備進(jìn)行配置使用。然而，目前存在著數(shù)以萬計(jì)使用舊有SCADA協(xié)議的網(wǎng)絡(luò)，這些網(wǎng)絡(luò)并不能夠在一夜之間進(jìn)行更換，所以需要在盡量減小對現(xiàn)存設(shè)備影響的情況下，對現(xiàn)有協(xié)議進(jìn)行修改。因此，針對上述問題提出一種基于SCADA系統(tǒng)的安全DNP協(xié)議的實(shí)現(xiàn)方法。技術(shù)實(shí)現(xiàn)要素：本發(fā)明的目的就在于為了解決上述問題而提供一種基于SCADA系統(tǒng)的安全DNP協(xié)議的實(shí)現(xiàn)方法。本發(fā)明通過以下技術(shù)方案來實(shí)現(xiàn)上述目的，一種基于SCADA系統(tǒng)的安全DNP協(xié)議的實(shí)現(xiàn)方法，包括MTU、MTU-BiTW、RTU、RTU-BiTW和HUB，主站通過人機(jī)接口控制主終端單元MTU發(fā)送請求到從站的遠(yuǎn)程終端設(shè)備RTU，MTU與RTU發(fā)出、接收的均為未加密的DNP3數(shù)據(jù)包，通過外部BiTW模塊，對DNP3數(shù)據(jù)包進(jìn)行轉(zhuǎn)換，在網(wǎng)絡(luò)傳輸中，透明地將DNPSec協(xié)議應(yīng)用于傳輸；其方法具體步驟如下：步驟A、設(shè)置iptables表，具體如下：1)、在MTU所在的主機(jī)上，設(shè)置iptables表，將與RTU相應(yīng)的IP地址設(shè)置進(jìn)iptables表中，使得與相應(yīng)RTU通信的有關(guān)數(shù)據(jù)包都被插入QUEUE中；2)、在RTU所在的主機(jī)上，設(shè)置iptables表，將與MTU相應(yīng)的IP地址設(shè)置進(jìn)iptables表中，使得與MTU相應(yīng)的通信數(shù)據(jù)包都被插入QUEUE中；步驟B、密鑰協(xié)商，具體如下：1)、初始化BiTW時(shí)，對每一個(gè)RTU-BiTW端都使用CA簽發(fā)證書；2)、RTU與MTU發(fā)生N次數(shù)據(jù)包交換后，通過密鑰協(xié)商為RTU-BiTW與MTU-BiTW之間交換一個(gè)對稱密鑰；3)、N是可配置的、使用AES加密算法對包含密鑰的消息進(jìn)行加解密；步驟C、封包與解包，具體如下：1)、iptables表在步驟A中已經(jīng)被配置好，用來抓去相應(yīng)的數(shù)據(jù)包，并放入QUEUE中；2)、BiTW使用nfqueue將QUEUE中的數(shù)據(jù)包獲取到用戶態(tài)程序中；3)、BiTW使用Scrapy庫，對nfqueue獲取到的數(shù)據(jù)包進(jìn)行解包、修改、重封包；4)、MTU-BiTW根據(jù)步驟2)、3)，抓取從MTU發(fā)出的DNP3數(shù)據(jù)包，利用密鑰協(xié)商步驟獲取的對稱密鑰，對內(nèi)容進(jìn)行加密，增加認(rèn)證信息，并將其轉(zhuǎn)換為DNPSec數(shù)據(jù)包；5)、認(rèn)證信息是通過SHA1算法，對DNP3協(xié)議中的KSN，DNP原始頭和內(nèi)容進(jìn)行計(jì)算得到。優(yōu)選的，步驟B中2)中交換對稱密鑰具體過程如下：(1)、MTU-BiTW生成一個(gè)隨機(jī)數(shù)Random_M，發(fā)送至RTU-BiTW；(2)、RTU-BiTW生成一個(gè)隨機(jī)數(shù)Random_R，連同證書發(fā)送給MTU-BiTW；(3)、MTU-BiTW生成一個(gè)隨機(jī)數(shù)Pre-Master，使用RTU公鑰加密后，連同握手結(jié)束通知發(fā)送給RTU-BiTW；(4)、最后，MTU-BiTW與RTU-BiTW完成了密鑰交換，交換的密鑰為：SecKey＝Func(Random_M,Random_R,Pre-Master)。優(yōu)選的，步驟B中2)中交換對稱密鑰具體過程中，發(fā)送給MTU-BiTW的證書包含公鑰與驗(yàn)證身份的信息。本發(fā)明的有益效果是：本發(fā)明提供了一種基于SCADA系統(tǒng)的安全DNP協(xié)議的實(shí)現(xiàn)方法，在DNPSec的基礎(chǔ)上，采用BITW模塊，用來進(jìn)行密鑰交換和實(shí)現(xiàn)數(shù)據(jù)的加密和解密，BITW作為一個(gè)外部模塊，不需要對現(xiàn)有對RTU和MTU進(jìn)行任何修改，同時(shí)，在盡量減少對通信性能的影響下，增強(qiáng)SCADA系統(tǒng)通信的完整性、保密性，并且對通信設(shè)備進(jìn)行認(rèn)證；能夠抵御重放攻擊、防止消息竊聽等攻擊。附圖說明圖1為本發(fā)明的拓?fù)浣Y(jié)構(gòu)示意圖。具體實(shí)施方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。實(shí)施例一：一種基于SCADA系統(tǒng)的安全DNP協(xié)議的實(shí)現(xiàn)方法，包括MTU、MTU-BiTW、RTU、RTU-BiTW和HUB，主站通過人機(jī)接口控制主終端單元MTU發(fā)送請求到從站的遠(yuǎn)程終端設(shè)備RTU，MTU與RTU發(fā)出、接收的均為未加密的DNP3數(shù)據(jù)包，通過外部BiTW模塊，對DNP3數(shù)據(jù)包進(jìn)行轉(zhuǎn)換，在網(wǎng)絡(luò)傳輸中，透明地將DNPSec協(xié)議應(yīng)用于傳輸；其方法具體步驟如下：步驟A、設(shè)置iptables表，具體如下：1)、在MTU所在的主機(jī)上，設(shè)置iptables表，將與RTU相應(yīng)的IP地址設(shè)置進(jìn)iptables表中，使得與相應(yīng)RTU通信的有關(guān)數(shù)據(jù)包都被插入QUEUE中；2)、在RTU所在的主機(jī)上，設(shè)置iptables表，將與MTU相應(yīng)的IP地址設(shè)置進(jìn)iptables表中，使得與MTU相應(yīng)的通信數(shù)據(jù)包都被插入QUEUE中；步驟B、密鑰協(xié)商，具體如下：1)、初始化BiTW時(shí)，對每一個(gè)RTU-BiTW端都使用CA簽發(fā)證書；2)、RTU與MTU發(fā)生N次數(shù)據(jù)包交換后，通過密鑰協(xié)商為RTU-BiTW與MTU-BiTW之間交換一個(gè)對稱密鑰；其中，交換對稱密鑰具體過程如下：(1)、MTU-BiTW生成一個(gè)隨機(jī)數(shù)Random_M，發(fā)送至RTU-BiTW；(2)、RTU-BiTW生成一個(gè)隨機(jī)數(shù)Random_R，連同證書發(fā)送給MTU-BiTW；其中，交換對稱密鑰具體過程中，發(fā)送給MTU-BiTW的證書包含公鑰與驗(yàn)證身份的信息；(3)、MTU-BiTW生成一個(gè)隨機(jī)數(shù)Pre-Master，使用RTU公鑰加密后，連同握手結(jié)束通知發(fā)送給RTU-BiTW；(4)、最后，MTU-BiTW與RTU-BiTW完成了密鑰交換，交換的密鑰為：SecKey＝Func(Random_M,Random_R,Pre-Master)。3)、N是可配置的、使用AES加密算法對包含密鑰的消息進(jìn)行加解密；步驟C、封包與解包，具體如下：1)、iptables表在步驟A中已經(jīng)被配置好，用來抓去相應(yīng)的數(shù)據(jù)包，并放入QUEUE中；2)、BiTW使用nfqueue將QUEUE中的數(shù)據(jù)包獲取到用戶態(tài)程序中；3)、BiTW使用Scrapy庫，對nfqueue獲取到的數(shù)據(jù)包進(jìn)行解包、修改、重封包；4)、MTU-BiTW根據(jù)步驟2)、3)，抓取從MTU發(fā)出的DNP3數(shù)據(jù)包，利用密鑰協(xié)商步驟獲取的對稱密鑰，對內(nèi)容進(jìn)行加密，增加認(rèn)證信息，并將其轉(zhuǎn)換為DNPSec數(shù)據(jù)包；5)、認(rèn)證信息是通過SHA1算法，對DNP3協(xié)議中的KSN，DNP原始頭和內(nèi)容進(jìn)行計(jì)算得到。本發(fā)明在DNPSec的基礎(chǔ)上，采用BITW模塊，用來進(jìn)行密鑰交換和實(shí)現(xiàn)數(shù)據(jù)的加密和解密，BITW作為一個(gè)外部模塊，不需要對現(xiàn)有對RTU和MTU進(jìn)行任何修改，同時(shí)，在盡量減少對通信性能的影響下，增強(qiáng)SCADA系統(tǒng)通信的完整性、保密性，并且對通信設(shè)備進(jìn)行認(rèn)證；能夠抵御重放攻擊、防止消息竊聽等攻擊。對于本領(lǐng)域技術(shù)人員而言，顯然本發(fā)明不限于上述示范性實(shí)施例的細(xì)節(jié)，而且在不背離本發(fā)明的精神或基本特征的情況下，能夠以其他的具體形式實(shí)現(xiàn)本發(fā)明。因此，無論從哪一點(diǎn)來看，均應(yīng)將實(shí)施例看作是示范性的，而且是非限制性的，本發(fā)明的范圍由所附權(quán)利要求而不是上述說明限定，因此旨在將落在權(quán)利要求的等同要件的含義和范圍內(nèi)的所有變化囊括在本發(fā)明內(nèi)。不應(yīng)將權(quán)利要求中的任何附圖標(biāo)記視為限制所涉及的權(quán)利要求。此外，應(yīng)當(dāng)理解，雖然本說明書按照實(shí)施方式加以描述，但并非每個(gè)實(shí)施方式僅包含一個(gè)獨(dú)立的技術(shù)方案，說明書的這種敘述方式僅僅是為清楚起見，本領(lǐng)域技術(shù)人員應(yīng)當(dāng)將說明書作為一個(gè)整體，各實(shí)施例中的技術(shù)方案也可以經(jīng)適當(dāng)組合，形成本領(lǐng)域技術(shù)人員可以理解的其他實(shí)施方式。當(dāng)前第1頁1 2 3 當(dāng)前第1頁1 2 3