本發明提供一種軌道交通變電所跨所域GOOSE報文的安全傳輸方法，結合跨域GOOSE報文的特點，將GOOSE傳輸的狀態信息用bit對應，并轉換為組合值，通過遍歷狀態信息的全部組合，預先生成明文/密文映射表，裝置啟動時將明文/密文映射表數據寫入到DDR中，并用組合值作為表檢索索引，數據的加、解密直接采用查表的方式，省略了加、解密過程，減少了數據處理時延，保證GOOSE實時性不受影響。

技術領域

本發明涉及網絡數據傳輸技術領域，具體來說涉及軌道交通變電所跨所域GOOSE報文的安全傳輸方法。

背景技術

軌道交通供電系統采用IEC61850通信規約實現了供電設備間的信息共享，其中變電所間的跨域信號如聯閉鎖信號、雙邊聯跳信號等，也通過光纖介質、GOOSE協議的方式進行傳輸，IEC61850標準只專注于IED裝置之間信息交互，并未對通信過程中的安全性進行考慮。而跨所域信號GOOSE傳輸區間距離大，傳輸節點多，相對容易被侵入，存在一定的被侵入的潛在危險。GOOSE網絡一旦被侵入，將影響到地鐵供電系統的正常運行，后果將不堪設想，因此用GOOSE信息傳輸跨所域信息的安全問題亟待解決。

IEC62351標準是國際電工委員會針對電力領域相關通信協議而開發的數據和通信安全標準，在IEC62351中加密和認證是核心內容，IEC62351-6提供了GOOSE通信的安全機制，該機制兼容原有GOOSE報文，保證了數據處理的一致性，由于GOOSE報文的時間要求極高，對GOOSE報文加密可能時間上不能滿足，機制中對報文沒有定義加密，因此該機制解決了身份認證及防重放攻擊，沒有解決數據竊聽。

發明內容

本發明針對軌道交通變電所跨所域信息GOOSE傳輸的安全問題，提供一種基于IEC62351及FPGA加密的軌道交通變電所GOOSE報文的安全跨域傳輸方法，能夠保證數據處理的實時性，對傳輸數據進行加密，提高數據的安全性，保證傳輸數據不被竊聽。

為了達到上述發明目的，本發明的技術方案以如下方式實現：

一種軌道交通變電所跨所域GOOSE報文的安全傳輸方法，包括如下內容：

(1)建立明文/密文映射表，跨所傳輸的GOOSE報文只含狀態量，若狀態量取值n小于等于16，則GOOSE報文allData域的值為n個0x83 0x01 0x01/0x00抽象語法標記ASN.1TLV數據塊組合，其中0x83為數據的類型Tag，0x01為數據的長度Length，0x01/0x00為取值為0或1的狀態值Value，將n個狀態值用bit表示，則n個狀態將共有2ⁿ種組合方式，使用AES128加密算法對所有組合對應的報文進行加密，形成明文/密文映射表，組合值為作為明文/密文映射表的檢索索引；

若報文中的狀態量n大于16，則按16分組，即多個16分組塊，每個分組塊同樣利用明文/密文映射表進行檢索索引；

(2)安全傳輸裝置啟動后，CPU板將預生成的明文/密文映射表內容通過PCIE總線經現場可編程門陣列FPGA寫入雙倍率隨機存儲器DDR中，數據寫入完成后，FPGA記錄映射表在DDR中的首地址，便于FPGA數據尋址；

(3)為保證解密的快速處理，將步驟(1)計算的狀態組合值填入GOOSE APDU擴展域的Private域，接收方解包時通過解析Private值便可快速定位到映射表數據對應的位置，以保證了解密的實時處理。

本發明的有益效果是：