CN107070893A - 一种配电网终端iec101协议报文认证判别方法 - Google Patents
一种配电网终端iec101协议报文认证判别方法 Download PDFInfo
- Publication number
- CN107070893A CN107070893A CN201710155188.0A CN201710155188A CN107070893A CN 107070893 A CN107070893 A CN 107070893A CN 201710155188 A CN201710155188 A CN 201710155188A CN 107070893 A CN107070893 A CN 107070893A
- Authority
- CN
- China
- Prior art keywords
- power distribution
- distribution network
- network terminal
- message
- iec101
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 16
- 238000012360 testing method Methods 0.000 claims abstract description 27
- 238000004088 simulation Methods 0.000 claims abstract description 24
- 238000012795 verification Methods 0.000 claims abstract description 24
- 238000012790 confirmation Methods 0.000 claims 1
- 238000001514 detection method Methods 0.000 description 4
- 238000013480 data collection Methods 0.000 description 2
- 235000013399 edible fruits Nutrition 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H02J13/0079—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种配电网终端IEC101协议报文认证判别方法,该方法通过建立一个可以发送报文的模拟主站,向配电网终端发送相关测试报文,通过配电网终端的相应方式对其信息安全进行判定。本发明能够快速地判断配电网终端是否对IEC101协议报文进行了认证,避免了对IEC101协议报文进行繁琐的人工测试核对,提高了配电网自动化系统信息安全检查效率,保障了电力自动化系统的安全运行。
Description
技术领域
本发明涉及配电安全技术领域,特别是涉及一种配电网终端IEC101协议报文认证判别方法。
背景技术
原有的配电网终端未对接收到的IEC101协议报文进行身份认证,导致其容易被不法攻击者利用,模拟主站向终端下发IEC101协议报文,并进行恶意控制,破坏配电网系统的正常运行。随着国家对工业控制系统网络安全的重视,特别是在电力自动化系统领域,配电网终端逐渐采用了IEC协议报文认证技术,但目前还没有一种方法能够帮助电网信息安全监管部门有效地对IEC101协议报文认证进行有效性验证,而识别采用IEC协议报文认证的配电网终端,是评估配电自动化信息安全的一项关键要素。
发明内容
为解决上述问题,本发明提供了一种配电网终端IEC101协议报文认证判别方法,包括如下步骤:
步骤一:预先建立一个模拟主站;所述模拟主站包括报文发送模块及控制器,所述报文发送模块用于在控制器的作用下向运行IEC101协议的配电网终端发送相关报文;所述报文至少包括请求链路状态测试报文、复位链路请求测试报文、IEC101协议总召请求测试报文、召唤一级数据报文。
步骤二:模拟主站向运行IEC101协议的配电网终端发送请求链路状态测试报文。
步骤三:判断配电网终端是否对请求链路状态测试报文进行了相应,如果进行了响应,则继续向终端发送复位链路请求测试报文,否则结束流程。
步骤四:模拟主站判断配电网终端是否对复位链路请求测试报文进行了响应,如果进行了确认响应,则继续向终端发送复位链路请求测试报文,如果进行了否定响应,则结束流程。步骤五:模拟主站向配电网终端发送总召请求测试报文。
步骤六:模拟主站判断是否接收到了返回报文,如果接收到则向配电网终端发送召唤一级数据报文,否则结束流程。
步骤七:模拟主站判断是否接收到了配电网终端返回的一级用户数据,如果接受到了则判定配电网终端未对IEC101协议报文进行认证,否则则是进行了认证。
进一步的,在步骤一中,所述模拟装置建立在主站交换机上或者前置数据采集交换机上。
进一步的,在步骤二中,请求链路状态测试报文包括启动字符、链路控制域、链路地址域、校验和、结束字符。
进一步的,在步骤三中,复位链路请求测试报文包括启动字符、链路控制域、链路地址域、校验和、结束字符。
进一步的,在步骤五中,总召请求测试报文包括启动字符、长度域、链路控制域、应用层数据域、校验和、结束字符。
进一步的,在步骤六中,召唤一级数据报文包括启动字符、链路控制域、链路地址域、校验和、结束字符。
本发明的有益效果为:
本发明能够快速地判断配电网终端是否对IEC101协议报文进行了认证,避免了对IEC101协议报文进行繁琐的人工测试核对,提高了配电网自动化系统信息安全检查效率,保障了电力自动化系统的安全运行。
附图说明
图1为本发明所适用系统的结构示意图。
具体实施方式
下面先结合图1对本发明所适用的系统进行说明。
所适用系统包括SCADA服务器、若干高级应用服务器、若干历史数据存储服务器、若干维护服务器、若干调度服务器,上述各个服务器除了调度服务器均连接到主站交换机,进而实现与若干FES服务器的连接,各个FES服务器再连接分别连接一个纵向加密装置。所述纵向加密装置连接到一个前端数据采集交换机,该前端数据采集交换机与各个智能配电终端之间分别通过一个纵向加密装置进行连接。各个调度服务器连接到设置有防火墙的正反向隔离装置。所述正反向隔离装置连接到信息交互区。
上述智能配电终端即为下述的配电网终端。图1中的配电监控系统信息安全专项检测工具即为下述的模拟主站,终端即为配电网终端。
下面结合图2对本发明所述方法进行详细说明。
本发明包括如下步骤:
步骤一:预先在配电监控系统中建立一个能够发送报文的模拟主站;所述模拟主站包括报文发送模块及控制器,所述报文发送模块用于在控制器的作用下向运行IEC101协议的配电网终端发送相关报文。
所述模拟主站可以建立在主站交换机上,对各个主站服务器进行漏洞检查,同时检测是否有非授权设备接入网络,检测交换机端口配置等;还可部署在前置数据采集交换机上,对配电终端及采集服务器进行检测,还可检测101、104协议的加密认证情况,检测是否有非授权设备接入网络,检测是否有非法终端接入主站,检测交换机端口配置等。
所述模拟主站可以发送的报文至少应该包括请求链路状态测试报文、复位链路请求测试报文、IEC101协议总召请求测试报文、一级数据报文。
所述请求链路状态测试报文用于请求配电网终端报告两者之前的链路状态。
所述请求链路状态测试报文用于请求初始化两者之前的链路。
所述IEC101协议总召请求测试报文用于对配电网终端发出总召请求。
召唤一级数据报文用于请求配电网终端返回一级数据用户。
上述模拟主站的功能可以通过在电脑上运行相关软件程序进行实现。
步骤二:模拟主站向运行IEC101协议的配电网终端发送请求链路状态测试报文,报文格式及终端相应报文格式示例如表1。
表1
步骤三:判断配电网终端是否对请求链路状态测试报文进行了响应,如果进行了响应,则继续向终端发送复位链路请求测试报文,否则结束流程;
步骤四:模拟主站判断配电网终端是否对复位链路请求测试报文进行了相应,如果进行了确认响应,则继续向终端发送复位链路请求测试报文,如果进行了否定响应,则结束流程。
复位请求链路状态测试报文的报文格式及终端确认报文、终端否定报文的格式如表2所示。
表2
步骤五:模拟主站向配电网终端发送总召请求测试报文,报文格式如表3所示。
表3
步骤六:模拟主站判断是否接收到了返回报文,如果接收到则向配电网终端发送召唤一级数据报文,否则结束流程。召唤一级数据报文格式如表4。
表4
步骤七:模拟主站判断是否接收到了配电网终端返回的一级用户数据,如果接受到了则判定配电网终端未对IEC101协议报文进行认证,否则则是进行了认证。
上述各个步骤中,配电网终端都是以报文的形式进行响应。
Claims (6)
1.一种配电网终端IEC101协议报文认证判别方法,其特征在于,包括如下步骤:
步骤一:预先建立一个模拟主站;所述模拟主站包括报文发送模块及控制器,所述报文发送模块用于在控制器的作用下向运行IEC101协议的配电网终端发送相关报文;所述报文至少包括请求链路状态测试报文、复位链路请求测试报文、IEC101协议总召请求测试报文、召唤一级数据报文;
步骤二:模拟主站向运行IEC101协议的配电网终端发送请求链路状态测试报文;
步骤三:判断配电网终端是否对请求链路状态测试报文进行了相应,如果进行了响应,则继续向终端发送复位链路请求测试报文,否则结束流程,
步骤四:模拟主站判断配电网终端是否对复位链路请求测试报文进行了响应,如果进行了确认响应,则继续向终端发送复位链路请求测试报文,如果进行了否定响应,则结束流程;
步骤五:模拟主站向配电网终端发送总召请求测试报文;
步骤六:模拟主站判断是否接收到了返回报文,如果接收到则向配电网终端发送召唤一级数据报文,否则结束流程;
步骤七:模拟主站判断是否接收到了配电网终端返回的一级用户数据,如果接受到了则判定配电网终端未对IEC101协议报文进行认证,否则则是进行了认证。
2.如权利要求1所述的配电网终端IEC101协议报文认证判别方法,其特征在于,在步骤一中,所述模拟装置建立在主站交换机上或者前置数据采集交换机上。
3.如权利要求1所述的配电网终端IEC101协议报文认证判别方法,其特征在于,在步骤二中,请求链路状态测试报文包括启动字符、链路控制域、链路地址域、校验和、结束字符。
4.如权利要求1所述的配电网终端IEC101协议报文认证判别方法,其特征在于,在步骤三中,复位链路请求测试报文包括启动字符、链路控制域、链路地址域、校验和、结束字符。
5.如权利要求1所述的配电网终端IEC101协议报文认证判别方法,其特征在于,在步骤五中,总召请求测试报文包括启动字符、长度域、链路控制域、应用层数据域、校验和、结束字符。
6.如权利要求1所述的配电网终端IEC101协议报文认证判别方法,其特征在于,在步骤六中,召唤一级数据报文包括启动字符、链路控制域、链路地址域、校验和、结束字符。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611127732 | 2016-12-09 | ||
| CN2016111277322 | 2016-12-09 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107070893A true CN107070893A (zh) | 2017-08-18 |
Family
ID=59620639
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710155188.0A Pending CN107070893A (zh) | 2016-12-09 | 2017-03-15 | 一种配电网终端iec101协议报文认证判别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107070893A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107682155A (zh) * | 2017-11-15 | 2018-02-09 | 浙江神州量子通信技术有限公司 | 电力配电终端通信接入网中量子密钥的应用系统 |
| CN111385249A (zh) * | 2018-12-28 | 2020-07-07 | 中国电力科学研究院有限公司 | 一种脆弱性检测方法 |
| CN114285163A (zh) * | 2021-12-22 | 2022-04-05 | 江苏米格电气集团股份有限公司 | 一种基于配电终端投运验收的现场便捷验收方法 |
| CN115225314A (zh) * | 2022-06-01 | 2022-10-21 | 国网浙江省电力有限公司宁波供电公司 | 一种配电终端加密模式检测方法及检测系统 |
| CN115314481A (zh) * | 2022-06-29 | 2022-11-08 | 国网信息通信产业集团有限公司 | 基于iec101/iec104的模拟主站通讯方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003309887A (ja) * | 2002-04-17 | 2003-10-31 | Mitsubishi Electric Corp | 遠隔監視制御のための二重化通信装置および二重化通信方法 |
| US20120300777A1 (en) * | 2011-05-25 | 2012-11-29 | Ravikumar Chandrasekaran | Supporting multiple iec-101/iec-104 masters on an iec-101/iec-104 translation gateway |
| CN105785144A (zh) * | 2016-05-23 | 2016-07-20 | 国网江苏省电力公司电力科学研究院 | 一种无线分布式变电站电气量整站检测系统及方法 |
| CN106130950A (zh) * | 2016-05-20 | 2016-11-16 | 南京理工大学 | 针对iec61850协议sv报文的异常检测方法 |
-
2017
- 2017-03-15 CN CN201710155188.0A patent/CN107070893A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003309887A (ja) * | 2002-04-17 | 2003-10-31 | Mitsubishi Electric Corp | 遠隔監視制御のための二重化通信装置および二重化通信方法 |
| US20120300777A1 (en) * | 2011-05-25 | 2012-11-29 | Ravikumar Chandrasekaran | Supporting multiple iec-101/iec-104 masters on an iec-101/iec-104 translation gateway |
| CN106130950A (zh) * | 2016-05-20 | 2016-11-16 | 南京理工大学 | 针对iec61850协议sv报文的异常检测方法 |
| CN105785144A (zh) * | 2016-05-23 | 2016-07-20 | 国网江苏省电力公司电力科学研究院 | 一种无线分布式变电站电气量整站检测系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| PRETTY 熙: ""远动传输规约之IEC60870-5-101 篇"", 《道客巴巴》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107682155A (zh) * | 2017-11-15 | 2018-02-09 | 浙江神州量子通信技术有限公司 | 电力配电终端通信接入网中量子密钥的应用系统 |
| CN111385249A (zh) * | 2018-12-28 | 2020-07-07 | 中国电力科学研究院有限公司 | 一种脆弱性检测方法 |
| CN114285163A (zh) * | 2021-12-22 | 2022-04-05 | 江苏米格电气集团股份有限公司 | 一种基于配电终端投运验收的现场便捷验收方法 |
| CN115225314A (zh) * | 2022-06-01 | 2022-10-21 | 国网浙江省电力有限公司宁波供电公司 | 一种配电终端加密模式检测方法及检测系统 |
| CN115225314B (zh) * | 2022-06-01 | 2024-01-26 | 国网浙江省电力有限公司宁波供电公司 | 一种配电终端加密模式检测方法及检测系统 |
| CN115314481A (zh) * | 2022-06-29 | 2022-11-08 | 国网信息通信产业集团有限公司 | 基于iec101/iec104的模拟主站通讯方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107070893A (zh) | 一种配电网终端iec101协议报文认证判别方法 | |
| CN104811433B (zh) | 一种c/s架构的分布式物联网系统及实现方法 | |
| CN106789015B (zh) | 一种智能配电网通信安全系统 | |
| CN108156240B (zh) | 一种工业适配器接入服务器的方法及系统 | |
| CN108173813B (zh) | 漏洞检测方法及装置 | |
| CN104811462A (zh) | 一种接入网关重定向方法及接入网关 | |
| CN105119901A (zh) | 一种钓鱼热点的检测方法及系统 | |
| CN103796278A (zh) | 移动终端无线网络接入控制方法 | |
| CN105897652A (zh) | 一种基于标准协议的异构终端动态接入方法 | |
| CN104333562A (zh) | 数据包传输方法及装置 | |
| CN104410622A (zh) | 登陆Web系统的安全认证方法、客户端及系统 | |
| CN102438028A (zh) | 一种防止dhcp服务器欺骗的方法、装置及系统 | |
| CN107864162A (zh) | 融合网关双系统及其通信安全保护方法 | |
| CN104980449B (zh) | 网络请求的安全认证方法及系统 | |
| CN104796436A (zh) | 用户登录方法、系统、第一平台服务器及相关平台服务器 | |
| CN106330828A (zh) | 网络安全接入的方法、终端设备及认证服务器 | |
| CN105577757A (zh) | 基于负载均衡的智能电力终端的多级管理系统及认证方法 | |
| CN107124715B (zh) | 一种适用于电力无线专网终端的安全防护性能测评方法 | |
| CN104540135A (zh) | 一种无线网络安全接入方法、装置及终端 | |
| CN105827405A (zh) | 一种远程控制的安全锁装置及其远程控制方法 | |
| CN108011873A (zh) | 一种基于集合覆盖的非法连接判断方法 | |
| CN108322366A (zh) | 接入网络的方法、装置和系统 | |
| CN108134713A (zh) | 一种通信方法及装置 | |
| CN106302539A (zh) | 一种嵌入式web安全认证方法 | |
| CN104601578A (zh) | 一种攻击报文识别方法、装置及核心设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170818 |
|
| RJ01 | Rejection of invention patent application after publication |