本发明公开了一种智能电网信息传输安全防护装置及安全防护方法,涉及智能电网信息传输安全技术领域;装置包括:证书服务器,加解密模块,合规性检查模块和异常处理模块。加密解密模块整体串联在站控层和间隔层之间,对原本透明传输的数据进行加密签名和验签解密功能,合规性检查模块在离线或在线模式下抓取明文数据包提交给检测模块进行合法性检测,对合规报文,将解析结果以日志的格式存储于日志数据库中;对异常信息单独通过异常处理模块存储于异常数据库中,并通知管理人员;本发明在智能电网允许的延时的情况,加密解密模块共同保护智能电网内部信息,抵御内部数据在传输时被篡改和破坏的行为,进一步提高了电网的安全性。
1.一种智能电网信息传输安全防护装置,其特征在于,包括证书服务器,加密模块,解密模块,合规性检查模块和异常处理模块;
加密模块和解密模块依次串联在变电站内部的站控层设备和间隔层设备之间;加密模块通过网络接口分别连接站控层设备和证书服务器;解密模块通过网络接口分别连接间隔层设备和证书服务器;合规性检查模块通过网络接口分别连接解密模块和站控层设备;异常处理模块直接部署在合规性检查模块内部,或者通过接口与合规性检查模块相连,用于获取报文的异常规则;
证书服务器向解密模块发送站控层设备的证书,解密模块从证书中解析出对应的站控层设备公钥;解密设备按照与对应加密模块相同的过滤规则,利用Netfilter框架从第一网络接口过滤并截取密文数据包;解密模块利用内置的IEC 61850/MMS高效协议解析器,将密文数据包的报文头与密文MMS载荷分离;解密模块使用站控层设备公钥和证书服务器提供的签名算法,对附于MMS载荷之后的签名信息进行验签;对验签失败的签名信息,将该签名信息相连的密文MMS载荷对应的数据包丢弃;对验签成功的签名信息,移除该签名信息,保留相连的密文MMS载荷对应的数据包;解密模块利用事先与加密模块协商所得的对称密钥,对验签成功的密文MMS载荷进行解密,从而得到明文MMS载荷;根据明文MMS载荷重新计算报文头的长度、校验和等信息,将重新计算后的报文头和明文MMS载荷进行组装得到明文数据包;解密模块利用Netfilter框架将明文数据包回送至解密模块的TCP/IP协议栈中,通过第二网络接口将明文数据包转发至对应的间隔层设备;
合规性检查模块从间隔层设备接收明文数据包并保存,同时提交给检测模块;具体如下:
在智能变电站内部的间隔层之前部署通信数据的合规性检查模块,对控制指令的合规性、支持关键操作进行合法性检测功能,保障系统的安全运行;利用libpcap等抓包工具从网卡抓取来自解密模块的第四网络接口传出的镜像明文数据包,在两种模式下提交给检测模块:在离线模式中,明文数据包以pcap格式先保存在报文数据库中,等待数据包数量达到阈值或到达固定时间点后,由检测模块从报文数据库中批量读取并解析;在在线模式下,抓包工具将来自网卡的每个数据包直接提交给检测模块,同时复制一份存储于报文数据库中作为备份;
检测模块按规则进行合法性检测,并生成自定义的JSON格式解析结果;检测模块利用自主研发的多种工业控制协议解析器及常规协议解析器对所有数据包进行检测,并生成自定义的JSON格式解析结果;解析结果中包括数据包元信息和分层协议解析信息;元信息包括:时间、网卡和序号;
检测模块按照来自规则数据库的检测规则,对每个数据包对应的JSON格式解析结果进行逐字段匹配;检测模块按照配置选项和来自规则数据库的异常规则,对数据包进行深度包解析和合规性检查,检测规则分为黑白两种:对智能变电站控制指令中的关键操作数据包采用白名单匹配,对其他数据包采用黑名单匹配;
根据匹配结果对合规报文和不合规报文分别进行持久化存储;对合规报文,将解析结果以日志的格式存储于日志数据库中,向日志数据库中存储十六进制报文信息及其解析结果;同时将原始数据以pcap文件存储到合规性检查设备中;对不合规报文,产生报警日志并将异常信息单独通过异常处理模块存储于异常数据库中,并通知相应的管理人员;报警日志包括:时间、告警级别、异常类型、异常字段内容、完整解析结果、会话上下文和参与设备;
显示模块以可视化形式展示解析结果和报警日志;同时根据配置对报警日志进行统计分析;显示模块负责用户配置输入、日志和异常信息显示,对规则数据库进行规则的增删查改;以图表形式展示历史报警走势信息和异常类型分布信息,从而使用户获得对智能变电站全站统一网络通信安全态势的感知。
2.如权利要求1所述的一种智能电网信息传输安全防护装置,其特征在于,所述的加密模块具体连接如下:加密模块包括三个网络接口,通过第一网络接口与站控层中的控制设备连接,用于接收明文报文;第二网络接口与站控层中的工业交换机连接,用于转发明文报文加密签名后所得的密文报文;第三网络接口与证书服务器连接,用于接收证书配置、设备权限、加密签名算法等信息。
3.如权利要求2所述的一种智能电网信息传输安全防护装置,其特征在于,所述的加密模块分为加密子模块和签名子模块,加密子模块接受配置信息中的对称密钥、加密算法;签名子模块接受配置信息中的签名算法,同时,签名子模块读取存储于加密设备中的私钥信息;利用以上信息,加密子模块加密来自第一网络接口的站控层设备明文报文,再由签名子模块对加密过的报文进行签名,最终得到对应的密文报文,并通过第二网络接口转发至工控网络中。
4.如权利要求1所述的一种智能电网信息传输安全防护装置,其特征在于,所述的解密模块具体连接如下:解密模块包括四个网络接口,通过第一网络接口与间隔层中的工业交换机直接连接,用于接收密文报文;第二网络接口与间隔层设备直接连接,用于转发密文报文验签解密后所得的明文报文;第三网络接口与证书服务器连接,用于接收证书配置、设备权限、加密签名算法等信息;第四网络接口为第二网络接口的镜像端口,用于导出解密后的明文数据。
5.如权利要求4所述的一种智能电网信息传输安全防护装置,其特征在于,所述的解密模块同样分流控制指令并对其进行验签和解密,对其他报文直接转发;
解密模块分为验签子模块和解密子模块;验签子模块接受配置信息中的公钥信息和签名算法;解密子模块接受配置信息中的对称密钥、加密算法;利用以上信息,验签子模块验签来自第一网络接口的密文报文,再由解密子模块对验签后的报文进行解密,最终得到对应的明文报文,并通过第二网络转发给对应的间隔层设备。
6.如权利要求1所述的一种智能电网信息传输安全防护装置,其特征在于,所述的合规性检查模块具体连接如下:合规性检查模块包括两个网络接口,通过第一网络接口与解密模块的第四网络接口连接,用于获取明文报文;第二网络接口与站控层的工业交换机连接,用于向远动设备发送报警信息。
7.应用权利要求1所述的一种智能电网信息传输安全防护装置的安全防护方法,其特征在于,具体步骤如下:步骤一、站控层设备将IEC 61850/MMS协议发送到加密模块进行加密签名处理,得到密文数据包并转发至变电站的工业控制网络中;
步骤101、站控层设备接收来自远动设备的IEC 60870-5-104协议数据包,转换成明文数据包发送到加密模块;
明文数据包是指明文IEC 61850/MMS协议数据包;
步骤102、加密模块按照内置过滤规则,利用Netfilter框架从第一网络接口截取站控层设备发送的明文数据包,通过自定义过滤规则实现报文的过滤;
步骤103、加密模块利用自主研发的IEC 61850/MMS高效协议解析器,将过滤后的明文数据包的报文头与MMS载荷分离;
步骤104、加密模块与对应的解密模块协商,得到对称密钥,并利用对称密钥对明文数据包的MMS载荷进行加密;
步骤105、使用站控层设备的私钥和证书服务器提供的签名算法,对加密过的MMS载荷进行签名,签名信息附于加密过的MMS载荷之后,从而得到密文MMS载荷;
步骤106、根据密文MMS载荷重新计算报文头的长度、校验和等信息,将重新计算后的报文头和密文MMS载荷进行组装得到密文数据包;
步骤107、加密模块利用Netfilter框架将密文数据包回送至加密模块的TCP/IP协议栈中,通过第二网络接口将密文数据包转发至智能变电站工业控制网络中;
步骤二、解密模块从工业控制网络中接收密文数据包,进行验签解密后得到明文数据包并转发至间隔层设备;
步骤201、证书服务器向解密模块发送站控层设备的证书,解密模块从证书中解析出对应的站控层设备公钥;
步骤202、解密模块按照与对应加密模块相同的过滤规则,利用Netfilter框架从第一网络接口过滤并截取密文数据包;
步骤203、解密模块利用IEC 61850/MMS高效协议解析器,将密文数据包的报文头与密文MMS载荷分离;
步骤204、解密模块使用站控层设备公钥和证书服务器提供的签名算法,对附于MMS载荷之后的签名信息进行验签;
对验签失败的签名信息,将该签名信息相连的密文MMS载荷对应的数据包丢弃;对验签成功的签名信息,移除该签名信息,保留相连的密文MMS载荷对应的数据包;
步骤205、解密模块利用事先与加密模块协商所得的对称密钥,对验签成功的密文MMS载荷进行解密,从而得到明文MMS载荷;
步骤206、根据明文MMS载荷重新计算报文头的长度、校验和等信息,将重新计算后的报文头和明文MMS载荷进行组装得到明文数据包;
步骤207、解密模块利用Netfilter框架将明文数据包回送至解密模块的TCP/IP协议栈中,通过第二网络接口将明文数据包转发至对应的间隔层设备;
步骤三、合规性检查模块从间隔层设备接收明文数据包并保存,同时提交给检测模块;
步骤四、检测模块按规则进行合法性检测,并生成自定义的JSON格式解析结果;
检测模块利用自主研发的多种工业控制协议解析器及常规协议解析器对所有数据包进行检测,并生成自定义的JSON格式解析结果;
步骤五、检测模块按照来自规则数据库的检测规则,对每个数据包对应的JSON格式解析结果进行逐字段匹配;
检测规则分为黑白两种:对智能变电站控制指令中的关键操作数据包采用白名单匹配,对其他数据包采用黑名单匹配;
步骤六、根据匹配结果对合规报文和不合规报文分别进行持久化存储;
对合规报文,仅向日志数据库中以日志的形式存储十六进制报文信息及其解析结果;
报警日志包括:时间、告警级别、异常类型、异常字段内容、完整解析结果、会话上下文和参与设备;
步骤七、显示模块以可视化形式展示解析结果和报警日志;同时根据配置对报警日志进行统计分析;
以图表形式展示历史报警走势信息和异常类型分布信息,从而使用户获得对智能变电站全站统一网络通信安全态势的感知。
8.如权利要求7所述的一种智能电网信息传输安全防护方法,其特征在于,所述的步骤三中,合规性检查模块利用libpcap库接收来自解密模块的第四网络接口传出的镜像明文数据包,在两种模式下提交给检测模块,具体为:在离线模式下,将全部明文数据包存入报文数据库中,等待数据包数量达到阈值或到达固定时间点后,再将报文数据库中当前存储的所有数据包批量提交给检测模块;同时复制一份存储于报文数据库中作为备份;
在在线模式下将每个数据包直接提交给检测模块,同时复制一份存储于报文数据库中作为备份。
9.如权利要求7所述的一种智能电网信息传输安全防护方法,其特征在于,所述的步骤四中,解析结果包括数据包元信息和分层协议解析信息;元信息包括:时间、网卡和序号。
一种智能电网信息传输安全防护装置及安全防护方法
技术领域
[0001] 本发明涉及智能电网信息传输安全技术领域,具体是一种智能电网信息传输安全防护装置及安全防护方法。
背景技术
[0002] 随着智能变电站的迅速发展和广泛应用,智能变电站的安全问题越来越受到关注,但智能变电站的安全防护体系尚不完善。在2011年之前,公开披露的工业控制系统相关漏洞数量相当少,但在2011年出现快速增长。
[0003] 2010年的Stuxnet蠕虫事件之后,人们对工业控制系统的安全问题持续关注,以及工业控制系统厂商分析解决历史遗留安全问题。随着各方面对工业控制系统的安全日益重视,工业控制系统的相关公开漏洞数量仍保持一个快速增长的总体趋势。智能变电站系统是工业控制系统中的重要的成员之一,其安全性不容忽视。
[0004] 现有的安全防护措施大多是基于防火墙技术、安全规则库和特征库对通信数据进行检测,而该检测只在变电站系统入口处,并没有部署在变电站内部,无法保障变电站内部数据传输的安全性。
发明内容
[0005] 针对上述问题,本发明提供一种智能电网信息传输安全防护装置及安全防护方法,不仅可以对变电站内部传输的数据进行安全性加密处理,还可以在间隔层之前对通信数据进行规范性检测并报告异常问题。
[0006] 所述的智能电网信息传输安全防护装置包括:证书服务器,加密模块,解密模块,合规性检查模块和异常处理模块。
[0007] 其中加密模块和解密模块依次串联在变电站内部的站控层设备和间隔层设备之间;加密模块通过网络接口分别连接站控层设备和证书服务器;解密模块通过网络接口分别连接间隔层设备和证书服务器;合规性检查模块通过网络接口分别连接解密模块和站控层设备;异常处理模块直接部署在合规性检查模块内部,或者通过接口与合规性检查模块相连,用于获取报文的异常规则。
[0008] 具体连接如下:
[0009] 加密模块包括三个网络接口,通过第一网络接口与站控层中的控制设备连接,用于接收明文报文;第二网络接口与站控层中的工业交换机连接,用于转发明文报文加密签名后所得的密文报文;第三网络接口与证书服务器连接,用于接收证书配置、设备权限、加密签名算法等信息。
[0010] 解密模块包括四个网络接口,通过第一网络接口与间隔层中的工业交换机直接连接,用于接收密文报文;第二网络接口与间隔层设备直接连接,用于转发密文报文验签解密后所得的明文报文;第三网络接口与证书服务器连接,用于接收证书配置、设备权限、加密签名算法等信息;第四网络接口为第二网络接口的镜像端口,用于导出解密后的明文数据。
[0011] 合规性检查模块包括两个网络接口,通过第一网络接口与解密模块的第四网络接口连接,用于获取明文报文;第二网络接口与站控层的工业交换机连接,用于向远动设备发送报警信息。
[0012] 所述的智能电网信息传输安全防护方法步骤如下:
[0013] 步骤一、站控层设备将IEC 61850/MMS协议发送到加密模块进行加密签名处理,得到密文数据包并转发至变电站的工业控制网络中;
[0014] 具体如下:
[0015] 步骤101、站控层设备接收来自远动设备的IEC 60870-5-104协议数据包,转换成明文数据包发送到加密模块。
[0016] 明文数据包是指明文IEC 61850/MMS协议数据包。
[0017] 步骤102、加密模块按照内置过滤规则,利用Netfilter框架从第一网络接口截取站控层设备发送的明文数据包,通过自定义过滤规则实现报文的过滤;
[0018] 步骤103、加密模块利用自主研发的IEC 61850/MMS高效协议解析器,将过滤后的明文数据包的报文头与MMS载荷分离;
[0019] 步骤104、加密模块与对应的解密模块协商,得到对称密钥,并利用对称密钥对明文数据包的MMS载荷进行加密。
[0020] 步骤105、使用站控层设备的私钥和证书服务器提供的签名算法,对加密过的MMS载荷进行签名,签名信息附于加密过的MMS载荷之后,从而得到密文MMS载荷。
[0021] 步骤106、根据密文MMS载荷重新计算报文头的长度、校验和等信息,将重新计算后的报文头和密文MMS载荷进行组装得到密文数据包。
[0022] 步骤107、加密模块利用Netfilter框架将密文数据包回送至加密模块的TCP/IP协议栈中,通过第二网络接口将密文数据包转发至智能变电站工业控制网络中。
[0023] 步骤二、解密模块从工业控制网络中接收密文数据包,进行验签解密后得到明文数据包并转发至间隔层设备;
[0024] 具体如下:
[0025] 步骤201、证书服务器向解密模块发送站控层设备的证书,解密模块从证书中解析出对应的站控层设备公钥。
[0026] 步骤202、解密模块按照与对应加密模块相同的过滤规则,利用Netfilter框架从第一网络接口过滤并截取密文数据包。
[0027] 步骤203、解密模块利用IEC 61850/MMS高效协议解析器,将密文数据包的报文头与密文MMS载荷分离;
[0028] 步骤204、解密模块使用站控层设备公钥和证书服务器提供的签名算法,对附于MMS载荷之后的签名信息进行验签;
[0029] 对验签失败的签名信息,将该签名信息相连的密文MMS载荷对应的数据包丢弃;对验签成功的签名信息,移除该签名信息,保留相连的密文MMS载荷对应的数据包。
[0030] 步骤205、解密模块利用事先与加密模块协商所得的对称密钥,对验签成功的密文MMS载荷进行解密,从而得到明文MMS载荷。
[0031] 步骤206、根据明文MMS载荷重新计算报文头的长度、校验和等信息,将重新计算后的报文头和明文MMS载荷进行组装得到明文数据包。
[0032] 步骤207、解密模块利用Netfilter框架将明文数据包回送至解密模块的TCP/IP协议栈中,通过第二网络接口将明文数据包转发至对应的间隔层设备。
[0033] 步骤三、合规性检查模块从间隔层设备接收明文数据包并保存,同时提交给检测模块;
[0034] 具体如下:
[0035] 合规性检查模块利用libpcap库接收来自解密模块的第四网络接口传出的镜像明文数据包,在两种模式下提交给检测模块,具体为:
[0036] 在离线模式下,将全部明文数据包存入报文数据库中,等待数据包数量达到阈值或到达固定时间点后,再将报文数据库中当前存储的所有数据包批量提交给检测模块;同时复制一份存储于报文数据库中作为备份。
[0037] 在在线模式下将每个数据包直接提交给检测模块,同时复制一份存储于报文数据库中作为备份。
[0038] 步骤四、检测模块按规则进行合法性检测,并生成自定义的JSON格式解析结果;
[0039] 检测模块利用自主研发的多种工业控制协议解析器及常规协议解析器对所有数据包进行检测,并生成自定义的JSON格式解析结果。
[0040] 解析结果中包括数据包元信息和分层协议解析信息;元信息包括:时间、网卡和序号等;
[0041] 步骤五、检测模块按照来自规则数据库的检测规则,对每个数据包对应的JSON格式解析结果进行逐字段匹配。
[0042] 规则数据库的异常规则如下表所示;
[0043]
[0044]
[0045] 检测规则分为黑白两种:对智能变电站控制指令中的关键操作数据包采用白名单匹配,对其他数据包采用黑名单匹配。
[0046] 步骤六、根据匹配结果对合规报文和不合规报文分别进行持久化存储;
[0047] 对合规报文,仅向日志数据库中以日志的形式存储十六进制报文信息及其解析结果;对不合规报文,产生报警日志存储于异常数据库中。
[0048] 报警日志包括:时间、告警级别、异常类型、异常字段内容、完整解析结果、会话上下文和参与设备等;
[0049] 步骤七、显示模块以可视化形式展示解析结果和报警日志;同时根据配置对报警日志进行统计分析;
[0050] 以图表形式展示历史报警走势信息和异常类型分布信息,从而使用户获得对智能变电站全站统一网络通信安全态势的感知。
[0051] 本发明具有以下优点:
[0052] 1.一种智能电网信息传输安全防护装置,独立于智能变电站内的现有设备,无须重新配置智能变电站内现有网络,部署便利,维护成本低。
[0053] 2、一种智能电网信息传输安全防护装置,通过加密模块,结合对称加密和非对称加密技术,通过综合使用加密和签名两种方式,实现对控制指令的安全加固,保障关键操作的完整性、机密性、合法性及安全性,阻止攻击者对站控层到间隔层之间的数据进行窃听、偷听、篡改和伪造。
[0054] 3、一种智能电网信息传输安全防护装置,通过报文合规性检查模块,利用深度包解析和高效规则匹配技术,实现工控网络数据传输监控,监视网络异常数据,保障网络运行安全。
[0055] 4、一种智能电网信息传输安全防护方法,通过优化加密签名和报文合规性检查的处理流程,给智能变电站引入的时延为毫秒级别,满足智能变电站的性能需求,不影响智能变电站内的现有业务逻辑。
[0056] 5、一种智能电网信息传输安全防护方法,通过部署在证书服务器上的综合管理平台,支持统一的证书管理、权限分配和加密签名算法选择,不仅支持通用加密算法AES、SHA、MD5等,还支持国密标准SM2、SM3和SM4。
[0057] 6、一种智能电网信息传输安全防护方法,通过加密签名和报文合规检查的有机统一,实现站内安全事件的统一分析及追溯,提升智能变电站的综合防御能力和应急处理水平。
附图说明
[0058] 图1是本发明的智能电网信息传输安全防护装置的组成结构图;
[0059] 图2是本发明的智能电网信息传输安全防护方法的数据流图;
[0060] 图3是本发明的智能电网信息传输安全防护方法的合规性检查模块流程图;
[0061] 图4是本发明的智能电网信息传输安全防护方法的流程图;
[0062] 图5是本发明的加密模块进行加密签名处理得到密文数据包的流程图;
[0063] 图6是本发明的解密模块验签解密得到明文数据包的流程图。
[0064] 图中:101-证书服务器;102-加密模块;103-解密模块;104-合规性检查模块;105-异常处理模块。
具体实施方式
[0065] 下面结合附图和具体实施例对本发明作进一步说明。
[0066] 本发明提供一种智能电网信息传输安全防护装置及安全防护方法,[0067] 所述的智能电网信息传输安全防护装置如图1所示,包括:证书服务器101,加密模块102,解密模块103,合规性检查模块104和异常处理模块105。
[0068] 其中加密模块102和解密模块103依次串联在变电站内部的站控层设备和间隔层设备之间;加密设备串联在站控层设备之后,解密设备串联在间隔层设备之前;加密模块102通过网络接口分别连接站控层设备和证书服务器101;解密模块103通过网络接口分别连接间隔层设备和证书服务器101;合规性检查模块104通过网络接口分别连接解密模块
103和站控层设备;异常处理模块105直接部署在合规性检查模块104内部,或者通过接口与合规性检查模块104相连,用于获取报文的异常规则。
[0069] 具体连接如下:
[0070] 加密模块102署于加密设备中,包括三个网络接口,通过第一网络接口与站控层中的控制设备连接,用于接收明文报文;第二网络接口与站控层中的工业交换机连接,用于转发明文报文加密签名后所得的密文报文;第三网络接口与证书服务器连接,用于接收证书配置、设备权限、加密签名算法等信息。
[0071] 加密模块102支持控制指令的发起验证、报文签名、验证签名、选择性加密等功能。签名、验签速率不少于15次/秒,保证数据传输的有效性和实时性。
[0072] 解密模块103部署于解密设备中,包括四个网络接口,通过第一网络接口与间隔层中的工业交换机直接连接,用于接收密文报文;第二网络接口与间隔层设备直接连接,用于转发密文报文验签解密后所得的明文报文;第三网络接口与证书服务器101连接,用于接收证书配置、设备权限、加密签名算法等信息;第四网络接口为第二网络接口的镜像端口,用于导出解密后的明文数据。
[0073] 合规性检查模块104部署于合规性检查设备中,包括两个网络接口,通过第一网络接口与解密模块103的第四网络接口(即镜像端口)直接连接,用于获取明文报文;第二网络接口与站控层的工业交换机直接连接,用于向远动设备发送报警信息。有时合规性检查模块104设置第三网络接口与异常处理模块的异常规则库直接连接,用于获取报文的异常规则。
[0074] 证书服务器101支持动态更新证书,同时支持第三方的设备申请使用保存的证书,证书服务器通过加密签名统一管理界面进行加密签名算法选择和证书、权限信息的管理。
[0075] 所述的智能电网信息传输安全防护方法具体原理如下:
[0076] 首先,加密解密模块使用电网证书提供加密签名服务,在站控层和间隔层设备之间建立加密信道,实现对站控层和间隔层设备间通信数据的保护;
[0077] 如图2所示,具体为:
[0078] 搭建证书服务器用于离线存储电网证书以及证书对应的设备ID和持有人等信息,该服务器管理智能变电站的所有证书权限信息和加密签名算法。利用证书解析器生成权限和公钥信息,利用对称密钥生成器生成对称密钥,再加上所选加密签名算法,合成配置信息,通过加密模块和解密模块的第三网络接口分别下发;加密设备持有与之直连的站控层设备的ID以及对应的私钥;解密设备同样持有站控层设备的ID以及对应的证书。
[0079] 加密解密模块整体串联在站控层和间隔层之间,对原本透明传输的数据进行源认证和完整性保护。加密模块将站控层发往间隔层的报文根据是否携带控制指令进行分流,对控制指令报文进行加密和签名,对其他报文直接转发。
[0080] 加密模块分为加密子模块和签名子模块,加密子模块接受配置信息中的对称密钥、加密算法;签名子模块接受配置信息中的签名算法,同时,签名子模块读取存储于加密设备中的私钥信息。利用以上信息,加密子模块加密来自第一网络接口的站控层设备明文报文,再由签名子模块对加密过的报文进行签名,最终得到对应的密文报文,并通过第二网络接口转发至工控网络中。
[0081] 解密模块同样分流控制指令并对其进行验签和解密,对其他报文直接转发。
[0082] 解密模块分为验签子模块和解密子模块;验签子模块接受配置信息中的公钥信息和签名算法;解密子模块接受配置信息中的对称密钥、加密算法。利用以上信息,验签子模块验签来自第一网络接口的密文报文,再由解密子模块对验签后的报文进行解密,最终得到对应的明文报文,并通过第二网络转发给对应的间隔层设备。
[0083] 其中加密算法包括SM4和AES等,签名算法包括SM2-SM3,RSA-SHA/MD5等。
[0084] 分流处理的方式可根据通信数据的安全等级做针对性处理,提高数据传输效率,降低加密解密模块对整体通信速率的影响。
[0085] 加密解密模块可根据配置对通信数据进行选择性地签名处理,用户可根据实际应用场景通过位于证书服务器上的加密签名综合管理平台统一配置加密解密模块。加密解密模块协商建立加密信道,确保传输层之上MMS报文的安全传输。
[0086] 用户可通过证书服务器的管理界面配置电网证书、设备权限、加密签名算法等,从而实现对变电站加密签名的统一管理。
[0087] 然后,在解密设备中开启镜像端口,将经过解密模块验签解密后的所有明文报文复制并导入合规性检查模块,从而实现实时合规检查。
[0088] 如图3所示,合规性检查模块利用抓包工具抓取镜像明文数据包,在两种模式下提交给检测模块,在离线模式中,先将报文以pcap文件格式存储于报文数据库中,达到阈值后之后再将所有数据包从报文数据库中批量导入检测模块;在在线模式中,直接将来自网卡的每个数据包导入检测模块,同时复制一份数据包存储于报文数据库中作为备份;检测模块按规则数据库进行合法性检测,负责IEC 61850/MMS协议报文进行深度包解析和规范性检查(如对报文中源IP,目的IP,源端口,目的端口,功能码,部分数据等字段按照设定的规则进行合规性检查),同时,合规性检查模块分析连接状态和通信流程,并通过机器学习和导入规则相结合的方法对报文进行详细分类,对关键指令报文采用白名单模式,对其他数据包采用白名单模式;对合规报文,将解析结果以日志的格式存储于日志数据库中;对异常信息(如不合规控制指令、非法关键操作、畸形数据包、异常数据等),单独通过异常处理模块存储于异常数据库中,并通过显示模块通知相应的管理人员;显示模块负责用户配置输入、日志和异常信息显示,对规则数据库进行规则的增删查改;同时根据网络数据实时地分析网络环境、流量信息,并对异常流量/情况生成报警信息上报给远动设备。
[0089] 如图4所示,具体步骤如下:
[0090] 步骤一、站控层设备将IEC 61850/MMS协议发送到加密模块进行加密签名处理,得到密文数据包并转发至变电站的工业控制网络中;
[0091] 如图5所示,具体如下:
[0092] 步骤101、站控层设备接收来自远动设备的IEC 60870-5-104协议数据包,转换成明文数据包发送到加密模块。
[0093] 明文数据包是指明文IEC 61850/MMS协议数据包。
[0094] 步骤102、加密模块按照内置过滤规则,利用Linux内核提供的Netfilter框架从第一网络接口截取站控层设备发送的明文数据包,通过自定义过滤规则实现报文的过滤;
[0095] 步骤103、加密模块利用内置的IEC 61850/MMS高效协议解析器,将过滤后的明文数据包的报文头与MMS载荷分离;
[0096] 步骤104、加密模块与对应的解密模块协商,得到对称密钥,并利用对称密钥对明文数据包的MMS载荷进行加密。
[0097] 步骤105、使用内置的站控层设备的私钥和证书服务器提供的签名算法,对经过对称加密过的MMS载荷进行签名,签名信息附于加密过的MMS载荷之后,从而得到密文MMS载荷。
[0098] 步骤106、根据密文MMS载荷重新计算报文头的长度、校验和等信息,将重新计算后的报文头和密文MMS载荷进行组装得到密文数据包。
[0099] 步骤107、加密模块利用Netfilter框架将密文数据包回送至加密模块的TCP/IP协议栈中,通过第二网络接口将密文数据包转发至智能变电站工业控制网络中。
[0100] 步骤二、解密模块从工业控制网络中接收密文数据包,进行验签解密后得到明文数据包并转发至间隔层设备;
[0101] 如图6所示,具体如下:
[0102] 步骤201、证书服务器向解密模块发送站控层设备的证书,解密模块从证书中解析出对应的站控层设备公钥。
[0103] 步骤202、解密设备按照与对应加密模块相同的过滤规则,利用Netfilter框架从第一网络接口过滤并截取密文数据包。
[0104] 步骤203、解密模块利用内置的IEC 61850/MMS高效协议解析器,将密文数据包的报文头与密文MMS载荷分离;
[0105] 步骤204、解密模块使用站控层设备公钥和证书服务器提供的签名算法,对附于MMS载荷之后的签名信息进行验签;
[0106] 对验签失败的签名信息,将该签名信息相连的密文MMS载荷对应的数据包丢弃;对验签成功的签名信息,移除该签名信息,保留相连的密文MMS载荷对应的数据包。
[0107] 步骤205、解密模块利用事先与加密模块协商所得的对称密钥,对验签成功的密文MMS载荷进行解密,从而得到明文MMS载荷。
[0108] 步骤206、根据明文MMS载荷重新计算报文头的长度、校验和等信息,将重新计算后的报文头和明文MMS载荷进行组装得到明文数据包。
[0109] 步骤207、解密模块利用Netfilter框架将明文数据包回送至解密模块的TCP/IP协议栈中,通过第二网络接口将明文数据包转发至对应的间隔层设备。
[0110] 步骤三、合规性检查模块从间隔层设备接收明文数据包并保存,同时提交给检测模块;
[0111] 具体如下:
[0112] 在智能变电站内部的间隔层之前部署通信数据的合规性检查模块,对控制指令的合规性、支持关键操作进行合法性检测功能,保障系统的安全运行。利用libpcap等抓包工具从网卡抓取来自解密模块的第四网络接口传出的镜像明文数据包,在两种模式下提交给检测模块:在离线模式中,明文数据包以pcap格式先保存在报文数据库中,等待数据包数量达到阈值或到达固定时间点后(如报文数量达到10万或时间为23:00),由检测模块从报文数据库中批量读取并解析;在在线模式下,抓包工具将来自网卡的每个数据包直接提交给检测模块,同时复制一份存储于报文数据库中作为备份。
[0113] 步骤四、检测模块按规则进行合法性检测,并生成自定义的JSON格式解析结果;
[0114] 检测模块利用自主研发的多种工业控制协议解析器及常规协议解析器对所有数据包进行检测,并生成自定义的JSON格式解析结果。
[0115] 解析结果中包括数据包元信息和分层协议解析信息;元信息包括:时间、网卡和序号等;
[0116] 步骤五、检测模块按照来自规则数据库的检测规则,对每个数据包对应的JSON格式解析结果进行逐字段匹配。
[0117] 检测模块按照配置选项和来自规则数据库的异常规则,对数据包进行深度包解析和合规性检查,检测规则分为黑白两种:对智能变电站控制指令中的关键操作数据包采用白名单匹配,对其他数据包采用黑名单匹配。表1为异常数据类型组成的异常规则库;
[0118] 表1
[0119]
[0120]
[0121] 步骤六、根据匹配结果对合规报文和不合规报文分别进行持久化存储;
[0122] 对合规报文,将解析结果以日志的格式存储于日志数据库中,向日志数据库中存储十六进制报文信息及其解析结果;同时将原始数据(包括正常与异常数据)以pcap文件存储到合规性检查设备中;对不合规报文,产生报警日志并将异常信息单独通过异常处理模块存储于异常数据库中,并通知相应的管理人员。
[0123] 报警日志包括:时间、告警级别、异常类型、异常字段内容、完整解析结果、会话上下文和参与设备等;
[0124] 步骤七、显示模块以可视化形式展示解析结果和报警日志;同时根据配置对报警日志进行统计分析;
[0125] 显示模块负责用户配置输入、日志和异常信息显示,对规则数据库进行规则的增删查改;以图表形式展示历史报警走势信息和异常类型分布信息,从而使用户获得对智能变电站全站统一网络通信安全态势的感知。
[0126] 本发明在智能变电站内部的站控层和间隔层之间部署加密模块,实现对通信数据的加密签名、验签解密功能;保护通信数据的完整性和安全性。使用数字信封技术,用电网证书实现对称密钥交换,提供对IEC61850协议数据加密服务。使用数字签名技术,用电网证书系统为每个站控层设备提供的密钥,在站控层对报文进行签名,在间隔层对报文进行验签。
[0127] 在智能变电站内部的间隔层之前部署通信数据的合规性检查模块,不仅提供缓存数据报文的功能,还可提供在线和离线报文检查功能,在异常报文到达工业设备前即捕获异常,并给出异常报警;同时对控制指令的合规性、支持关键操作合法性检测功能,保障系统的安全运行。控制指令的检测覆盖率达到100%,操作合法性检测准确率不低于90%。
[0128] 提供合规性检查模块镜像模式的部署方式;在镜像模式中,在位于站控层和间隔层之间的交换机上开启镜像端口,将所有报文复制并存入数据库。可离线或实时地将报文从数据库导入报文合规检查模块。
[0129] 以上所述实施例仅表达了本发明的集中实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制,应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干的变形和改造,这些都属于本发明的保护范围。因此,本范明的保护范围应以所附权利要求为准。
