说明书一种基于加密通信的共享密钥管理的变电站报文分析方法
技术领域
本专利属于电力信息安全领域,具体涉及一种本发明涉及基于加密通信的共享密钥管理的变电站报文分析方法。
背景技术
IEC 61850提出了变电站的一组公共通信标准,通过对设备的一系列规范化,使得IED(智能电子设备)能够在统一规范下进行无缝连接,为了推进国内变电站的发展需要,国内提出了基于IEC 61850的DL/T 860标准。
IEC 61850标准将变电站通信体系分为变电站层、间隔层、过程层。IEC61850的网络通信上层统一采用抽象通信服务接口,对具体的网络,通过将底层实现接口映射到抽象通信接口来对接。在变电站层与间隔层之间将抽象通信服务接口映射到制造报文规范(MMS)、传输控制协议/网际协议(TCP/IP)以太网或光纤网。国家电网公司在“十一五”规划中明确提出研究和推广以IEC 61850和电子式PT/CT为基础的数字化变电站。由此可见网络在变电站中已成为最重要的通信方式。
但是,由于IEC 61850标准提出时,只注重IED之间的共享通信,而对通信过程中的安全并未重视,导致变电站一旦被入侵,而变电站内部又没有任何防护措施,后果将很难想象。2005年4月,国际标准化组织IEC制定了IEC62351数据和通信安全标准(草案),以解决电力通讯领域的数据和通讯安全问题。在IEC62351中,认证和加密是核心内容。
IEC62351标准中,对变电站MMS协议的安全加固包括在应用层进行身份认证及访问控制,在传输层使用安全的TLS(Transport Layer Security,传输层安全)协议。在调研国内厂商对安全加固后的MMS协议的使用建议时,对于MMS使用安全协议,大家非常关心的事情为报文分析仪对抓取的报文没有任何分析能力,从而对变电站的上线调用,运行监控及维护带来非常严重的运行成本,甚至将难以推行安全加固产品。
发明内容
本发明的目的在于提供一种基于加密通信的共享密钥管理的变电站报文分析方法,能够实时的或准实时的对安全协议报文进行分析,以解决变电站在使用安全协议通信情况下监控通信设备,以及方便调试设备。
本发明的目的可通过以下的技术措施来实现:
一种基于加密通信的共享密钥管理的变电站报文分析方法,步骤如下:
1)TLS握手或重协商完成后,将双方的协商信息:通信链路、协商算法及密钥、协商时间通过安全通道提交到临时密钥管理中心;
2)临时密钥管理中心统一处理协商信息,并依据配置主动下发到报文分析设备,若无配置,将信息缓存待报文分析设备主动来提取;
3)报文分析设备依据获取的报文,依据通信链路和时间首先在本地查得协商算法和密钥,若本地没有,则主动到临时密钥管理中心去提取,获得协商算法及密钥后,解密报文。所述报文分析设备即变电站网络报文分析仪,用来记忆并分析网络报文的设备。
通过使用本发明中提出的方法使得变电站报文分析设备能够在临时密钥管理中心的协助下,通过安全通道将基于TLS安全协议的通信报文正确解析,从而能够在TLS安全通道上监控变电站的运行情况,以及有助于变电站上线时的调试及故障时的运维。
本发明对比现有技术,有如下优点:
一、通过采用临时密钥管理中心的方式,解决变电站报文分析设备正确解析TLS通信报文的问题。
二、使用临时密钥管理中心,可以对多报文设备,多通信链路进行密钥管理和分发。
附图说明
图1是本发明TLS协议的变电站报文分析整体框架图;
图2是本发明TLS交互过程响应端发送协商信息至临时密钥管理中心;
图3是本发明临时密钥管理管理协商信息步骤;
图4是本发明报文分析设备使用协商算法及密钥解密报文步骤;
具体实施方式
一种基于加密通信的共享密钥管理的变电站报文分析方法,通过使用临时密钥管理中心,在临时密钥管理中心与MMS服务端、报文分析设备之间使用安全通道,在MMS基于TLS协议通信握手协商完成后,将链路、协商算法及密钥、协商时间通过临时密钥管理中心转接给报文分析设备。报文分析设备通过链路、时间信息选择通信算法及密钥解密报文。该方法步骤如下:
步骤1:如图1所示,TLS握手或重协商过程,TLS握手或重协商完成后,将双方的协商信息通过安全通道提交到临时密钥管理中心,所述协商信息为通信链路、协商算法及密钥和协商时间;
在TLS通信双方协商完成后,由通信的被动方(服务方)将协商后的算法,通信密钥以及协商时间传递给临时密钥管理中心。如图2所示,TLS交互过程响应端发送协商信息至临时密钥管理中心的具体过程如下:
步骤1.1:交换hello消息来协商密码套件,交换随机数,决定会话是否重用。
步骤1.2:交换必要的参数,协商预主密钥;
步骤1.3:交换证书信息,用于验证对方;
步骤1.4:使用预主密钥和交换的随机数生成主密钥;
步骤1.5:向记录层提供安全参数;
步骤1.6:验证双方计算的安全参数的一致性、握手过程的真实性和完整性。
步骤1.7:构建协商信息数据结构<L,A,K,T>,其中L为链路信息,A和K为协商算法及密钥,T为协商时间,然后将通信双方的链路信息,协商算法及密钥,协商完成时间赋予协商信息结构;
步骤1.8:配置数字证书,使用公钥加密技术RSA(Rivest,Shamir,&Adleman (public key encryption technology))加密算法加密<L,A,K,T>,并发送到临时密钥管理中心。此处加密算法以RSA为例,主要思想为使用密钥交换协议,通过安全通道来交换协商信息即可,当然也可以采用其他加密算法。
步骤2:如图3所示,临时密钥管理中心统一处理协商信息,并依据配置主动下发到报文分析设备,若无配置,将信息缓存待报文分析设备主动来提取;具体过程如下:
临时密钥管理中心首先构建两种数据结构,一种是以链路信息为主键,以协商时间,协商算法及密钥为值,构建协商信息列表,构建过程中,以时间大小为序有序构建;另一种以设备地址为主键,以链路信息为值,构建设备链路列表。协商信息列表用于统一管理协商信息,设备链路列表用于主动推送协商信息。步骤如下:
步骤2.1:构建协商信息列表<L,<T,A,K>>和设备链路列表<PA,L>,其中,PA为报文分析设备,L为链路信息,A和K为协商算法及密钥,T为协商时间。协商信息列表可以在运行过程中动态构建。设备链路列表需要系统运行之前静态配置。
步骤2.2:配置数字证书,使用RSA加密算法解密接收到的协商信息,得到<L,A,K,T>。
步骤2.3:提取L,从<L,<T,A,K>>中查找是否存L,若存在,以时间大小为序将<L,A,K,T>按照协商信息列表格式添加。若不存在,则在协商信息列表中新建一项。
步骤2.4:使用L遍历设备链路列表,若找到使用L的PA,使用RSA算法加密协商信息<L,A,K,T>,然后主动将加密后数据发送给设备PA。
步骤2.5:若未找到使用L的PA,将协商信息以协商信息列表方式缓存起来,等待设备来提取。
步骤2.6:当收到设备的请求,首先使用RSA算法解密,获得<PA,L,T>,然后使用L和T从缓存的协商信息列表<L,<T,A,K>>中查找。若查找到,则将<A,K>信息使用RSA加密后返回给设备PA。
步骤3:如图4所示,报文分析设备依据获取的报文,依据通信链路和时间首先在本地查的协商算法和密钥,若本地没有,则主动到临时密钥管理中心去提取,获得协商算法及密钥后,解密报文。具体过程如下:
步骤3.1:报文分析设备监测链路报文;
步骤3.2:设备提取报文链路L和时间T,依据L和T从本地协商信息缓存中提取协商信息<A,K>,本地协商信息缓存为临时密钥管理中心主动推送的内容。若存在,进入步骤3.4;
步骤3.3:报文分析设备以L和T,将RSA算法加密<PA,L,T>,然后向临时密钥管理中心发起请求,等待返回。
步骤3.4:提取<A,K>,使用协商算法A和密钥K对报文进行解密。
步骤3.5:报文解密后的,通过明文对通信设备进行监控和运维。
本专利通过提出基于TLS协议的共享密钥管理的变电站报文分析方法,使得在授权情况下,使用TLS协议通信双方,在TLS握手过程中,将协商的加密算法及密钥通过保密手段提供给报文分析仪,报文分析仪使用链路和时间参数来选择合适的算法及密钥来进行报文分析。
本发明的实施方式不限于此,在本发明上述基本技术思想前提下,按照本领域的普通技术知识和惯用手段对本发明内容所做出其它多种形式的修改、替换或变更,均落在本发明权利保护范围之内。