技術領域

本發明涉及電力信息技術領域，特別是涉及一種基于IEC62351智能變電站的MMS報文離線分析方法。

背景技術

為提高變電站二次系統安全防護能力，降低智能變電站設備被惡意控制或誤操作的風險，防止關鍵業務數據被篡改或竊取，確保不發生因信息安全引發的電網事故和大面積停電事故。以IEC62351規范為基礎依據，對智能變電站內部站控層通信規約(即MMS報文)進行改造加強。改造后的站控層網絡通訊具備了：

機密性(Confidentiality)：防止對信息的未經授權訪問；

完整性(Integrity)：防止未經授權修改或竊取信息；

可用性(Availability)：防止拒絕服務和保證對信息的授權訪問；

不可抵賴性或可追溯性(Non-repudiation or Accountability)：防止否認

改造后的變電站站控層網絡通訊由明文轉為密文。使得變電站內部了站控層通訊安全性得到提高，但對變電站內部報文記錄，分析的工作帶來新的難題。

在數字化變電站內，為了完整記錄變電站事件，有必要將變電站內各二次設備的通訊報文都記錄下來。在變電站出現故障時，可以通過提取記錄的報文。并分析報文來還原事故的前后過程。目前此項工作是由“網絡分析儀”這類裝置完成的。事實上，在數字化變電站中，“網絡分析儀”是必不可少的設備之一。但當前的“網絡分析儀”只能對未加密的MMS報文解碼。而對于基于IEC62351改造后的MMS報文解碼則無能為力。因此，急需一種基于IEC62351的MMS報文離線分析方法。

發明內容

本發明的目的在于提供一種基于IEC62351的MMS報文離線分析方法，旨在對現有的“網絡分析儀”設備作功能增強，以使現有的“網絡分析儀”設備有能力對基于IEC62351的MMS報文作離線分析。

本發明的目的可通過以下的技術措施來實現：

一種基于IEC 62351的MMS報文離線分析方法，包括如下內容：

首先，對基于IEC61850規約MMS報文進行改造形成基于IEC62351的MMS報文，改造過程包括如下步驟：

1.1基于IEC61850規約MMS報文在傳輸層的改造：在傳輸層添加安全傳輸協議SSL/TLS，對應用層數據進行加密通信；

1.2基于IEC61850規約MMS報文在應用層的改造：對IEC 61850規約MMS用戶在進入MMS環境之前，在MMS關聯建立時對MMS用戶進行認證，即使用關聯認證結構來進行MMS協議的認證；

ACSE關聯認證結構內容由以下三部分組成：

1)、SignatureCertificate：簽名證書；

2)、SignedValue：簽名信息，它的值由以下方法計算得到：

a)使用HASH算法對字段time計算摘要值；

b)使用簽名證書對應的私鑰計算摘要值的簽名值；

3)、Time：用GENERALIZEDTIME格式表示的格林威治時間(GMT)值；

接著，對基于IEC62351的MMS報文進行離線分析，具體過程如下：

2.1、對傳輸層加密報文的解碼；

在進行傳輸層進行連接的同時，MMS通訊的雙方，即服務端及客戶端，實時發送一份自身的密鑰信息給“網絡分析儀”設備，網絡分析儀設備將根據接收到的密鑰信息對相對應的MMS報文進行離線分析，過程如下：

“網絡分析儀”設備收到服務器及客戶端發送的包含自身密鑰信息的UDP報文后，存入“密鑰數據庫”中，提取UDP報文中以下三類信息：

a)源IP地址：用于判定具體哪個設備的密鑰信息；

b)密鑰信息：用于解密對應的加密報文；

c)報文接收時間：用于計算密鑰生存時間；

所述密鑰生存時間計算方法是：同一源IP發送的UDP報文中，將當前接收到的UDP報文時間減去上一次接收到UDP報文的時間。

再將MMS報文接收時間和源IP地址作為關鍵字，匹配“密鑰數據庫”中源IP地址以及報文接收時間，進而獲取每幀MMS報文對應密鑰信息；找到對應的密鑰信息后，運用此密鑰信息將每幀離線報文進行傳輸層的加密信息進行解碼；

2.2對應用層報文ACSE部分的解碼，具體過程如下：

在傳輸層報文加密信息解密后，按照ASN.1解碼規則解碼ACSE部分內容以進行關聯認證，步驟如下：