技術(shù)領(lǐng)域

本發(fā)明涉及一種MMS報文的在線分析方法，具體涉及一種 支持IEC62351加密的MMS報文在線分析方法。

背景技術(shù)

在線報文分析一直是通信領(lǐng)域用于調(diào)試通信故障和進行通信狀 態(tài)在線監(jiān)控的重要手段，一般是通過軟件或硬件抓取通信各方發(fā)出的 報文，然后實時分析并顯示報文內(nèi)容或者發(fā)出故障告警。然而，隨著 電力自動化通信技術(shù)的發(fā)展，信息安全的重要性慢慢凸顯，為了加強 已有電力通信標準的安全性，國際電工委員會發(fā)布了用于對電力通信 標準進行安全增強的IEC62351標準，對通信報文進行了加密及擴展 認證信息等處理，給在線報文分析帶來了困難。

MMS(ManufacturingMessageSpecification：制造報文規(guī)范) 是在ISO/IEC9506中規(guī)定的用于工業(yè)控制的通信標準，在 IEC61850-8-1中被用來傳輸中低速報文和文件。在IEC62351標準第 4部分中，對MMS通信報文在傳輸層和應用層都進行了安全增強。

IEC62351對IEC61850的安全增強主要包括以下三個方面：

1.在傳輸層使用SSL/TLS協(xié)議加密；

2.在應用層，在建立MMS關(guān)聯(lián)時進行雙向身份認證；

3.在GOOSE和SV報文中增加簽名字段保證完整性。

IEC62351在傳輸層使用SSL/TLS協(xié)議，通過建立安全連接，對 MMS原有的傳輸層報文進行了加密處理。

IEC62351要求雙方在other-mechanism-value字段中傳輸雙方的證 書及對本地時間的簽名，以便通信雙方彼此進行身份認證。由于沒有 對原有的報文結(jié)構(gòu)進行改變，只是對原有字段的細化，因此不會對報 文分析產(chǎn)生影響。

可見，對IEC62351標準加密的MMS報文進行在線分析，需要解 決的最主要的問題就是對SSL/TLS加密的通信數(shù)據(jù)包進行解密。

發(fā)明內(nèi)容

針對上述問題，本發(fā)明提供一種可實現(xiàn)加密報文解析且能 夠保證通信安全性的支持IEC62351加密的MMS報文的在線分析 方法。

為解決上述問題，本發(fā)明采取的技術(shù)方案為：一種支持 IEC62351加密MMS報文在線分析方法，包括如下步驟：

步驟一、客戶端和服務器建立SSL/TLS連接，使用SSL/TLS握手 協(xié)議進行身份認證，并產(chǎn)生對MMS報文加密的主密鑰；

步驟二、客戶端和服務器分別與報文分析工具建立SSL/TLS連接， 在確認報文分析工具身份可靠后，均將步驟一中產(chǎn)生的主密鑰通 過SSL/TLS連接加密發(fā)送給報文分析工具，報文分析工具將主密 鑰存儲于密鑰庫中；

步驟三、客戶端和服務器使用SSL/TLS協(xié)議收發(fā)MMS報文，同時 報文分析工具抓取到雙方發(fā)送的MMS報文，并使用存儲的主密鑰 對MMS報文進行解密；

步驟四、當客戶端和服務器的安全連接滿足密鑰重協(xié)商條件時， 客戶端和服務器協(xié)商產(chǎn)生新的主密鑰并與報文分析工具建立 SSL/TLS連接，通過SSL/TLS連接加密發(fā)送給報文分析工具，報 文分析工具更新密鑰庫中存儲的主密鑰用于后續(xù)的MMS報文解 密。

在線分析最大的優(yōu)點是實時性，通過對業(yè)務數(shù)據(jù)的分析可以對通 信狀態(tài)進行實時監(jiān)控，對故障進行預警，或者對于可能引發(fā)故障 的因素進行切除。而離線分析的作用主要是對故障進行事后分 析，二者應用的場合不同。

為了實現(xiàn)報文分析工具對加密報文的實時解密，通信雙方中的某 一方在握手協(xié)議完成后需要主動把生成的主密鑰透漏給報文分析工 具，一旦主密鑰被惡意截獲，就可以對相應的所有數(shù)據(jù)包進行解密， 從而帶來安全性問題。因此在把主密鑰透漏給報文分析工具的過程 中，同樣把主密鑰的傳輸過程納入整個安全框架的范圍內(nèi)，采取的安 全措施包括：

①傳輸主密鑰的連接必須采用SSL/TLS連接，通過對報文分析工 具進行身份認證避免受到惡意攻擊。

②報文分析工具的數(shù)字證書使用專門硬件儲存，避免私鑰被復制 的風險。

具體的方法是：

①由信任的證書頒發(fā)機構(gòu)給可信的報文分析工具頒發(fā)數(shù)字證書 (硬件形式)。

②在使用IEC62351協(xié)議通信雙方進行配置，將報文分析工具的 IP地址、數(shù)字證書和CA加入信任列表。