技術領域

本發明涉及信息安全以及通信技術領域，尤其是涉及到一種對智能變電站過程層交換機MMS安全通信的具體實現。

背景技術

由于計算機和網絡技術在電力系統中更為廣泛的應用，信息技術的負面影響也開始波及到電力系統，國內外電力系統通信網絡中也發現了黑客活動的蹤跡。與此同時，電力工業市場化改革使得具備潛在攻擊能力和知識的內部用戶大大增加，內部攻擊威脅不容忽視。如何有效保障電力系統及其網絡的信息安全已成為一項非常緊迫的任務。因此，國際電工委員會制定了相關的數據與通信安全標準。IEC?TC57第15工作組制定的IEC?62351標準就涉及到了電力系統數據通信的各個方面：IEC?6235l-3為包含TCP／IP協議的安全，IEC?62351-4為包含MMS協議的安全，IEC?62351-5為對IEC?60870-5及派生標準的安全，IEC?62351-6為對IEC?61850中對等通信協議(實時通信)的安全。這些不同的安全標準所服務的協議不同，有著不同的安全措施和安全技術，其安全措施包括身份認證、機密性和完整性。

雖然標準已經有了，但是具體的實現方案各廠家是保密的，即使提供了一些方案，但是按照這些方案也難以實現，即使按照這些方案實現也有諸多弊端。本文針對智能變電站過程層交換機MMS安全通信，結合IEC61850標準對電力系統的安全訪問需求，依據IEC?62351安全標準，設計出一個相對獨立、通用、易于實現的安全模型，并對其應用流程做了詳細的論述。

發明內容

本發明的目的是克服現有技術的缺陷，提供一種智能變電站過程層交換機MMS安全通信的裝置及方法，從而實現對智能變電站過程層交換機的安全管理。

為解決上述技術問題，本發明提供一種智能變電站過程層交換機MMS安全通信的裝置，其特征是，

包括以下模塊：

SSL安全建立模塊：通過位于TCP/IP協議與各種應用層協議之間的SSL協議，為數據通訊提供安全支持；

SSL通信轉換模塊：加載在MMS客戶端與MMS服務端之間，實現SSL與TCP之間的通信轉換和通信代理；包括客戶端通信轉換模塊和服務端通信轉換模塊；

設置模塊：在SSL通信轉換模塊運行時，配置目標設備的地址和端口。

所述的SSL協議分為兩層：

SSL記錄協議：建立在可靠的傳輸協議之上，為高層協議提供數據封裝、壓縮、加密基本功能的支持；

?SSL握手協議：建立在SSL記錄協議之上，用于在實際的數據傳輸開始前，通訊雙方進行身份認證、協商加密算法和/或交換加密密鑰。

SSL握手協議使用openssl庫實現。

SSL通信轉換模塊包括：

服務端通信轉換模塊：與MMS?服務端運行于過程層中同一臺交換機設備上；

客戶端通信轉換模塊：與MMS?客戶端運行于站控層中的同一臺PC上；

其中，服務端通信轉換模塊與客戶端通信轉換模塊之間是在TCP連接上建立的安全通信；服務端通信轉換模塊與MMS服務端之間是普通的TCP連接，客戶端通信轉換模塊與MMS客戶端之間也是普通的TCP連接。

客戶端通信轉換模塊：

將MMS客戶端發起的TCP連接轉換成SSL連接送至服務端通信轉換模塊；

將MMS客戶端發送的數據通過SSL連接發送至服務端通信轉換模塊；

將通過SSL連接收到的數據轉換成TCP連接發送至MMS客戶端；

服務端通信轉換模塊：

將SSL連接請求轉換成TCP連接請求發送至MMS服務端；

將通過SSL連接收到的數據轉換成TCP連接發送至MMS服務端；

將通過TCP連接收到的數據轉換成SSL連接發送至客戶端通信轉換模塊。

一種智能變電站過程層交換機MMS安全通信的方法，其特征在于，

當MMS客戶端發起TCP連接時，該連接請求并非直接發送至MMS服務端，而是發送至SSL代理，再由SSL代理發送至MMS服務端，當連接會話建立后，MMS客戶端與MMS服務端的數據通信通過該會話傳送，實現MMS的安全通信。

所述SSL代理包括：

SSL服務端代理（服務端通信轉換模塊）：與MMS?服務端運行于過程層中同一臺交換機設備上；

SSL客戶端代理（客戶端通信轉換模塊）：與MMS?客戶端運行于站控層中的同一臺PC上；