[发明专利]一种基于变电站的GOOSE报文认证方法

权利要求书

1.一种基于变电站通信的GOOSE报文认证方法，其特征在于包括如下内容：

在传输GOOSE报文时进行身份认证，即在原始GOOSE报文中加入身份认证信息发送给接收方；

在GOOSE报文中加入消息认证，即增加对数据进行封装操作，并且以信息摘要的形式随GOOSE报文发送给接收方；

在GOOSE报文中引入密钥管理，定时更新密钥；

在GOOSE报文中，将身份认证信息与消息认证信息分别采用特定的算法进行封装操作并生成对应的字符串，将生成的两个字符串合并成GOOSE报文中的扩展字段与原始GOOSE报文一起发送；而GOOSE报文中的保留字段则被用于描述扩展字段的相关信息；

接收端收到GOOSE报文后再对扩展字段内容进行相应的拆封操作，进行身份认证与消息认证信息的验证；

同时，不论是发送端还是接收端，都各自维护自己的密钥池，当密钥管理服务器发送更新的密钥时，发送端与接收端需同时对自己维护的密钥池进行实时更新。

2.根据权利要求1所述的方法，其特征在于：所述身份认证的具体步骤如下：

(1.1)发送端将配置的用户名，密码及密钥作为明文信息使用DES算法进行置换操作，转换后生成密文字符串加入到GOOSE报文的扩展字段1中，与原始GOOSE报文组成身份认证GOOSE报文发送给接收端，其中，DES算法使用64bit的密钥,不会产生密文扩充；

(1.2)接收端收到GOOSE报文后，同样使用DES算法将身份认证的密文信息进行还原操作，将还原后的内容与本地认证信息进行比对，如果与需要接收的用户名，密码及密钥信息一致则通过此GOOSE报文的身份认证，以完成身份认证。

3.所述消息认证的具体步骤如下：

(2.1)发送端发送GOOSE报文时，将GOOSE报文中的数据信息通过MD5算法进行数据压缩操作，生成定长的信息摘要字符串，随后将信息摘要字符串填充到GOOSE报文的扩展字段2中，与原始GOOSE报文组成认证GOOSE报文发送给接收端；

(2.2)接收端收到GOOSE报文后将接收到的数据信息同样通过MD5算法进行压缩操作，将生成的信息摘要字符串与接收到的字符串进行比对，如果一致，则确定接收到的GOOSE报文在传输的过程中没有被第三方截取并篡改，以通过消息认证。

4.根据权利要求1所述的方法，其特征在于：所述GOOSE报文中的保留字段则被用于描述扩展字段的相关信息的具体内容如下：

(3.1)原始的GOOSE报文中有两个保留字段即保留字段1(2Byte)，保留字段2(2Byte)，发送的GOOSE报文进行认证时需要用到这两个保留字段，判断保留字段1的值为0XFFFF则为认证报文，如果不是则为原始GOOSE报文。

(3.2)保留字段2的内容为扩展字段的长度。

5.根据权利要求1所述的方法，其特征在于：所述密钥管理的具体步骤如下：

(4.1)密钥管理采用密钥预分配方案,密钥的产生由国家密码管理局规定的主机加密服务器来完成；服务器预先生成一个220的密钥池,并对密钥池中的密钥进行编号；

(4.2)提取密钥，通过组播方式将生成的密钥池发送给需要接收的设备。

6.根据权利要求1所述的方法，其特征在于：所述维护密钥池的具体步骤如下：

(5.1)密钥管理服务器定期随机生成密钥池，并将更新的内容发送给GOOSE报文的发送端与接收端，发送端与接收端收到密钥管理服务器发送的信息时，创建并维护更新自己的密钥池；

(5.2)所述密钥管理服务器由单独的装置独立运行，定期更新密钥信息发送给需要接收的发送端和接收端，以预防第三方获取密钥进行重放攻击。