一種基于加密通信的共享密鑰管理的變電站報(bào)文分析方法
【技術(shù)領(lǐng)域】
[0001]本專利屬于電力信息安全領(lǐng)域,具體涉及一種本發(fā)明涉及基于加密通信的共享密鑰管理的變電站報(bào)文分析方法���。
【背景技術(shù)】
[0002]IEC 61850提出了變電站的一組公共通信標(biāo)準(zhǔn)�,通過對設(shè)備的一系列規(guī)范化���,使得IED(智能電子設(shè)備)能夠在統(tǒng)一規(guī)范下進(jìn)行無縫連接���,為了推進(jìn)國內(nèi)變電站的發(fā)展需要,國內(nèi)提出了基于IEC 61850的DL/T 860標(biāo)準(zhǔn)���。
[0003]IEC 61850標(biāo)準(zhǔn)將變電站通信體系分為變電站層�����、間隔層�����、過程層���。IEC61850的網(wǎng)絡(luò)通信上層統(tǒng)一采用抽象通信服務(wù)接口���,對具體的網(wǎng)絡(luò),通過將底層實(shí)現(xiàn)接口映射到抽象通信接口來對接��。在變電站層與間隔層之間將抽象通信服務(wù)接口映射到制造報(bào)文規(guī)范(MMS)�����、傳輸控制協(xié)議/網(wǎng)際協(xié)議(TCP/IP)以太網(wǎng)或光纖網(wǎng)�。國家電網(wǎng)公司在“十一五”規(guī)劃中明確提出研宄和推廣以IEC 61850和電子式PT/CT為基礎(chǔ)的數(shù)字化變電站。由此可見網(wǎng)絡(luò)在變電站中已成為最重要的通信方式�。
[0004]但是,由于IEC 61850標(biāo)準(zhǔn)提出時(shí)�,只注重IED之間的共享通信,而對通信過程中的安全并未重視�,導(dǎo)致變電站一旦被入侵,而變電站內(nèi)部又沒有任何防護(hù)措施�,后果將很難想象�����。2005年4月����,國際標(biāo)準(zhǔn)化組織IEC制定了 IEC62351數(shù)據(jù)和通信安全標(biāo)準(zhǔn)(草案)����,以解決電力通訊領(lǐng)域的數(shù)據(jù)和通訊安全問題���。在IEC62351中����,認(rèn)證和加密是核心內(nèi)容���。
[0005]IEC62351標(biāo)準(zhǔn)中��,對變電站MMS協(xié)議的安全加固包括在應(yīng)用層進(jìn)行身份認(rèn)證及訪問控制�����,在傳輸層使用安全的TLS (Transport Layer Security,傳輸層安全)協(xié)議����。在調(diào)研國內(nèi)廠商對安全加固后的MMS協(xié)議的使用建議時(shí),對于MMS使用安全協(xié)議���,大家非常關(guān)心的事情為報(bào)文分析儀對抓取的報(bào)文沒有任何分析能力�,從而對變電站的上線調(diào)用�,運(yùn)行監(jiān)控及維護(hù)帶來非常嚴(yán)重的運(yùn)行成本,甚至將難以推行安全加固產(chǎn)品���。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的在于提供一種基于加密通信的共享密鑰管理的變電站報(bào)文分析方法����,能夠?qū)崟r(shí)的或準(zhǔn)實(shí)時(shí)的對安全協(xié)議報(bào)文進(jìn)行分析����,以解決變電站在使用安全協(xié)議通信情況下監(jiān)控通信設(shè)備,以及方便調(diào)試設(shè)備��。
[0007]本發(fā)明的目的可通過以下的技術(shù)措施來實(shí)現(xiàn):
[0008]一種基于加密通信的共享密鑰管理的變電站報(bào)文分析方法�,步驟如下:
[0009]I) TLS握手或重協(xié)商完成后,將雙方的協(xié)商信息:通信鏈路�、協(xié)商算法及密鑰、協(xié)商時(shí)間通過安全通道提交到臨時(shí)密鑰管理中心��;
[0010]2)臨時(shí)密鑰管理中心統(tǒng)一處理協(xié)商信息,并依據(jù)配置主動(dòng)下發(fā)到報(bào)文分析設(shè)備��,若無配置�����,將信息緩存待報(bào)文分析設(shè)備主動(dòng)來提?���。?br>[0011]3)報(bào)文分析設(shè)備依據(jù)獲取的報(bào)文���,依據(jù)通信鏈路和時(shí)間首先在本地查得協(xié)商算法和密鑰,若本地沒有����,則主動(dòng)到臨時(shí)密鑰管理中心去提取,獲得協(xié)商算法及密鑰后���,解密報(bào)文����。所述報(bào)文分析設(shè)備即變電站網(wǎng)絡(luò)報(bào)文分析儀��,用來記憶并分析網(wǎng)絡(luò)報(bào)文的設(shè)備。
[0012]通過使用本發(fā)明中提出的方法使得變電站報(bào)文分析設(shè)備能夠在臨時(shí)密鑰管理中心的協(xié)助下����,通過安全通道將基于TLS安全協(xié)議的通信報(bào)文正確解析,從而能夠在TLS安全通道上監(jiān)控變電站的運(yùn)行情況�,以及有助于變電站上線時(shí)的調(diào)試及故障時(shí)的運(yùn)維。
[0013]本發(fā)明對比現(xiàn)有技術(shù)����,有如下優(yōu)點(diǎn):
[0014]一、通過采用臨時(shí)密鑰管理中心的方式�,解決變電站報(bào)文分析設(shè)備正確解析TLS通信報(bào)文的問題。
[0015]二��、使用臨時(shí)密鑰管理中心�,可以對多報(bào)文設(shè)備,多通信鏈路進(jìn)行密鑰管理和分發(fā)�。
【附圖說明】
[0016]圖1是本發(fā)明TLS協(xié)議的變電站報(bào)文分析整體框架圖;
[0017]圖2是本發(fā)明TLS交互過程響應(yīng)端發(fā)送協(xié)商信息至臨時(shí)密鑰管理中心����;
[0018]圖3是本發(fā)明臨時(shí)密鑰管理管理協(xié)商信息步驟;
[0019]圖4是本發(fā)明報(bào)文分析設(shè)備使用協(xié)商算法及密鑰解密報(bào)文步驟�����;
【具體實(shí)施方式】
[0020]一種基于加密通信的共享密鑰管理的變電站報(bào)文分析方法,通過使用臨時(shí)密鑰管理中心�,在臨時(shí)密鑰管理中心與MMS服務(wù)端、報(bào)文分析設(shè)備之間使用安全通道����,在MMS基于TLS協(xié)議通信握手協(xié)商完成后,將鏈路�、協(xié)商算法及密鑰、協(xié)商時(shí)間通過臨時(shí)密鑰管理中心轉(zhuǎn)接給報(bào)文分析設(shè)備����。報(bào)文分析設(shè)備通過鏈路、時(shí)間信息選擇通信算法及密鑰解密報(bào)文�。該方法步驟如下:
[0021]步驟1:如圖1所示,TLS握手或重協(xié)商過程�����,TLS握手或重協(xié)商完成后��,將雙方的協(xié)商信息通過安全通道提交到臨時(shí)密鑰管理中心����,所述協(xié)商信息為通信鏈路���、協(xié)商算法及密鑰和協(xié)商時(shí)間���;
[0022]在TLS通信雙方協(xié)商完成后���,由通信的被動(dòng)方(服務(wù)方)將協(xié)商后的算法,通信密鑰以及協(xié)商時(shí)間傳遞給臨時(shí)密鑰管理中心�。如圖2所示,TLS交互過程響應(yīng)端發(fā)送協(xié)商信息至臨時(shí)密鑰管理中心的具體過程如下:
[0023]步驟1.1:交換hello消息來協(xié)商密碼套件���,交換隨機(jī)數(shù)���,決定會(huì)話是否重用。
[0024]步驟1.2:交換必要的參數(shù)���,協(xié)商預(yù)主密鑰�;
[0025]步驟1.3:交換證書信息��,用于驗(yàn)證對方����;
[0026]步驟1.4:使用預(yù)主密鑰和交換的隨機(jī)數(shù)生成主密鑰;
[0027]步驟1.5:向記錄層提供安全參數(shù);
[0028]步驟1.6:驗(yàn)證雙方計(jì)算的安全參數(shù)的一致性��、握手過程的真實(shí)性和完整性�����。
[0029]步驟1.7:構(gòu)建協(xié)商信息數(shù)據(jù)結(jié)構(gòu)<L����,A, K, T>,其中L為鏈路信息��,A和K為協(xié)商算法及密鑰��,T為協(xié)商時(shí)間�����,然后將通信雙方的鏈路信息�,協(xié)商算法及密鑰,協(xié)商完成時(shí)間賦予協(xié)商信息結(jié)構(gòu)����;
[0030]步驟1.8:配置數(shù)字證書��,使用公鑰加密技術(shù)RSA(Rivest, Shamir, Mdleman (pubIic key encrypt1n technology))加密算法加密<L, A, K, T>,并發(fā)送到臨時(shí)密鑰管理中心����。此處加密算法以RSA為例,主要思想為使用密鑰交換協(xié)議��,通過安全通道來交換協(xié)商信息即可�,當(dāng)然也可以采用其他加密算法。
[0031]步驟2:如圖3所示����,臨時(shí)密鑰管理中心統(tǒng)一處理協(xié)商信息,并依據(jù)配置主動(dòng)下發(fā)到報(bào)文分析設(shè)備���,若無配置�,將信息緩存待報(bào)文分析設(shè)備主動(dòng)來提?。痪唧w過程如下:
[0032]臨時(shí)密鑰管理中心首先構(gòu)建兩種數(shù)據(jù)結(jié)構(gòu)����,一種是以鏈路信息為主鍵,以協(xié)商時(shí)間����,協(xié)商算法及密鑰為值�,構(gòu)建協(xié)商信息列表���,構(gòu)建過程中���,以時(shí)間大小為序有序構(gòu)建?’另一種以設(shè)備地址為主鍵,以鏈路信息為值����,構(gòu)建設(shè)備鏈路列表。協(xié)商信息列表用于統(tǒng)一管理協(xié)商信息�����,設(shè)備鏈路列表用于主動(dòng)推送協(xié)商信息�。步驟如下:
[0033]步驟2.1:構(gòu)建協(xié)商信息列表<L,<T, A, K?和設(shè)備鏈路列表〈PA���,L>�����,其中���,PA為報(bào)文分析設(shè)備,L為鏈路信息�����,A和K為協(xié)商算法及密鑰��,T為協(xié)商時(shí)間�����。協(xié)商信息列表可以在運(yùn)行過程中動(dòng)態(tài)構(gòu)建��。設(shè)備鏈路列表需要系統(tǒng)運(yùn)行之前靜態(tài)配