一種配電網終端IEC101協議報文認證判別方法與流程
2023-07-22 05:25:21
本發明涉及配電安全技術領域,特別是涉及一種配電網終端iec101協議報文認證判別方法。
背景技術:
原有的配電網終端未對接收到的iec101協議報文進行身份認證,導致其容易被不法攻擊者利用,模擬主站向終端下發iec101協議報文,並進行惡意控制,破壞配電網系統的正常運行。隨著國家對工業控制系統網絡安全的重視,特別是在電力自動化系統領域,配電網終端逐漸採用了iec協議報文認證技術,但目前還沒有一種方法能夠幫助電網信息安全監管部門有效地對iec101協議報文認證進行有效性驗證,而識別採用iec協議報文認證的配電網終端,是評估配電自動化信息安全的一項關鍵要素。
技術實現要素:
為解決上述問題,本發明提供了一種配電網終端iec101協議報文認證判別方法,包括如下步驟:
步驟一:預先建立一個模擬主站;所述模擬主站包括報文發送模塊及控制器,所述報文發送模塊用於在控制器的作用下向運行iec101協議的配電網終端發送相關報文;所述報文至少包括請求鏈路狀態測試報文、復位鏈路請求測試報文、iec101協議總召請求測試報文、召喚一級數據報文。
步驟二:模擬主站向運行iec101協議的配電網終端發送請求鏈路狀態測試報文。
步驟三:判斷配電網終端是否對請求鏈路狀態測試報文進行了相應,如果進行了響應,則繼續向終端發送復位鏈路請求測試報文,否則結束流程。
步驟四:模擬主站判斷配電網終端是否對復位鏈路請求測試報文進行了響應,如果進行了確認響應,則繼續向終端發送復位鏈路請求測試報文,如果進行了否定響應,則結束流程。步驟五:模擬主站向配電網終端發送總召請求測試報文。
步驟六:模擬主站判斷是否接收到了返回報文,如果接收到則向配電網終端發送召喚一級數據報文,否則結束流程。
步驟七:模擬主站判斷是否接收到了配電網終端返回的一級用戶數據,如果接受到了則判定配電網終端未對iec101協議報文進行認證,否則則是進行了認證。
進一步的,在步驟一中,所述模擬裝置建立在主站交換機上或者前置數據採集交換機上。
進一步的,在步驟二中,請求鏈路狀態測試報文包括啟動字符、鏈路控制域、鏈路地址域、校驗和、結束字符。
進一步的,在步驟三中,復位鏈路請求測試報文包括啟動字符、鏈路控制域、鏈路地址域、校驗和、結束字符。
進一步的,在步驟五中,總召請求測試報文包括啟動字符、長度域、鏈路控制域、應用層數據域、校驗和、結束字符。
進一步的,在步驟六中,召喚一級數據報文包括啟動字符、鏈路控制域、鏈路地址域、校驗和、結束字符。
本發明的有益效果為:
本發明能夠快速地判斷配電網終端是否對iec101協議報文進行了認證,避免了對iec101協議報文進行繁瑣的人工測試核對,提高了配電網自動化系統信息安全檢查效率,保障了電力自動化系統的安全運行。
附圖說明
圖1為本發明所適用系統的結構示意圖。
具體實施方式
下面先結合圖1對本發明所適用的系統進行說明。
所適用系統包括scada伺服器、若干高級應用伺服器、若干歷史數據存儲伺服器、若干維護伺服器、若干調度伺服器,上述各個伺服器除了調度伺服器均連接到主站交換機,進而實現與若干fes伺服器的連接,各個fes伺服器再連接分別連接一個縱向加密裝置。所述縱向加密裝置連接到一個前端數據採集交換機,該前端數據採集交換機與各個智能配電終端之間分別通過一個縱向加密裝置進行連接。各個調度伺服器連接到設置有防火牆的正反向隔離裝置。所述正反向隔離裝置連接到信息交互區。
上述智能配電終端即為下述的配電網終端。圖1中的配電監控系統信息安全專項檢測工具即為下述的模擬主站,終端即為配電網終端。
下面結合圖2對本發明所述方法進行詳細說明。
本發明包括如下步驟:
步驟一:預先在配電監控系統中建立一個能夠發送報文的模擬主站;所述模擬主站包括報文發送模塊及控制器,所述報文發送模塊用於在控制器的作用下向運行iec101協議的配電網終端發送相關報文。
所述模擬主站可以建立在主站交換機上,對各個主站伺服器進行漏洞檢查,同時檢測是否有非授權設備接入網絡,檢測交換機埠配置等;還可部署在前置數據採集交換機上,對配電終端及採集伺服器進行檢測,還可檢測101、104協議的加密認證情況,檢測是否有非授權設備接入網絡,檢測是否有非法終端接入主站,檢測交換機埠配置等。
所述模擬主站可以發送的報文至少應該包括請求鏈路狀態測試報文、復位鏈路請求測試報文、iec101協議總召請求測試報文、一級數據報文。
所述請求鏈路狀態測試報文用於請求配電網終端報告兩者之前的鏈路狀態。
所述請求鏈路狀態測試報文用於請求初始化兩者之前的鏈路。
所述iec101協議總召請求測試報文用於對配電網終端發出總召請求。
召喚一級數據報文用於請求配電網終端返回一級數據用戶。
上述模擬主站的功能可以通過在電腦上運行相關軟體程序進行實現。
步驟二:模擬主站向運行iec101協議的配電網終端發送請求鏈路狀態測試報文,報文格式及終端相應報文格式示例如表1。
表1
步驟三:判斷配電網終端是否對請求鏈路狀態測試報文進行了響應,如果進行了響應,則繼續向終端發送復位鏈路請求測試報文,否則結束流程;
步驟四:模擬主站判斷配電網終端是否對復位鏈路請求測試報文進行了相應,如果進行了確認響應,則繼續向終端發送復位鏈路請求測試報文,如果進行了否定響應,則結束流程。
復位請求鏈路狀態測試報文的報文格式及終端確認報文、終端否定報文的格式如表2所示。
表2
步驟五:模擬主站向配電網終端發送總召請求測試報文,報文格式如表3所示。
表3
步驟六:模擬主站判斷是否接收到了返回報文,如果接收到則向配電網終端發送召喚一級數據報文,否則結束流程。召喚一級數據報文格式如表4。
表4
步驟七:模擬主站判斷是否接收到了配電網終端返回的一級用戶數據,如果接受到了則判定配電網終端未對iec101協議報文進行認證,否則則是進行了認證。
上述各個步驟中,配電網終端都是以報文的形式進行響應。