[发明专利]一种基于IEC62351的过程层安全测试系统及方法

说明书

技术领域

本发明涉及电力工程，调试领域，特别是涉及面向电力业务过程层安全领域，具体来说涉及一种基于IEC62351的过程层安全测试方法及系统。

背景技术

随着智能化变电站的不断普及推广，电力系统信息化及自动化程度不断提高。但是协议安全性的缺失使得攻击者一旦绕过外围的物理防护措施，直接进入调度中心或变电站内部，就可直接通过通信协议实现对现场设备的控制。安全性、安全防护和可靠性始终是电力行业中系统设计和运行的重要问题。基于IEC 62351协议安全改造对防范以上风险取到了非常重要的作用。

目前，基于IEC61850协议安全改造工作己处于实验验证阶段，但仍然缺乏有效的针对性测试手段。

发明内容

本发明的目的在于提供一种有效验证过程层网络设备是否具备防篡改、防重放的安全功能的基于IEC62351的过程层安全测试系统。

本发明的目的通过以下技术方案实现：

一种基于IEC62351的过程层安全测试系统，由以下几个模块组成：人机界面UI，报文编辑模块，存储模块，SCD(即全站系统配置文件)解析模块，通讯模块；

所述人机界面UI：用于同测试人员交互，完成编辑报文，导入SCD文件，调用/保存测试用例，控制发包；

所述报文编辑模块：所述配置基于IEC62351规约的GOOSE/SV报文的过程为：用户提供一组私钥，所述报文编辑模块根据该私钥完成对报文的签名，并生成对应的公钥以便提供给待测设备使用，接着，所述报文编辑模块结合用户输入的私钥信息将GOOSE/SV报文转换成符合IEC62351规约的报文；

所述存储模块:用于存储通过人机界面UI导入的SCD文件、用户在报文编辑模块中所编辑的报文及报文对应的私钥及公钥信息、测试用例；

所述SCD解析模块:接收从所述人机界面UI中导入的SCD文件后，所述SCD解析模块完成对SCD文件的分析，所述对SCD文件的分析过程如下：提取SCD文件中所有过程层设备信息，以及每个过程层设备接收、发送的GOOSE/SV报文结构信息，再将结果传递给所述报文编辑模块，以便报文编辑模块在编辑报文时调用；所述SCD解析模块的结果将传递给所述报文编辑模块，以便所述报文编辑模块在编辑报文时调用；

所述通讯模块：用于发送或接收GOOSE/SV报文。

所述将GOOSE/SV报文转换成符合IEC62351规约的报文的具体过程是：对基于IEC61850规约报文尾部进行扩展以及对基于IEC61850规约报文中的保留字段进行扩展：

所述对基于IEC61850规约的GOOSE/SV报文尾部进行扩展，包含三个部分：

Reserved字段：保留用于未来的扩展；

Private字段：用于厂商内部的私有信息传递；

AuthenticationValue字段：为数字签名；

所述对基于IEC61850规约的GOOSE/SV报文中的保留字段进行扩展包括：

使用“保留1”字段保存GOOSE/SV报文尾部扩展部分字段长度：在完成上述的“基于IEC61850规约的GOOSE/SV报文尾部扩展”后，计算尾部扩展内容的长度，并将长度值填入所述“保留1”字段中；

使用“保留2”字段存放根据TPID、TCI、EtherType和APPID四项字段共8个字节所产生的CRC校验值：获取用户在人机界面UI中填写的TPID、TCI、EtherType和APPID四项字段内容，并将这四项字段内容作为输入采用CRC16算法计算，将计算结果填充到“保留2”字段中。

所述AuthenticationValue字段的数字签名算法如下：

对IEC61850规约的GOOSE/SV报文的指定字段使用SHA-256哈希算法计算，获得一个消息鉴别码，并使用RSA签名算法对所述消息鉴别码进行数字签名。

所述指定字段是指GOOSE/SV报文中的：EtherType、APPID、length、保留1、保留2、APDU、报文尾部扩展字段中的Reserved字段，Private字段。

本发明的另一发明目的在于提供一种基于IEC62351的过程层安全测试系统的测试方法步骤如下：

1)通过所述人机界面UI导入SCD文件后，所述SCD解析模块完成对SCD文件分析；提取SCD文件中所有过程层设备信息以及每个过程层设备接收、发送的GOOSE/SV报文结构信息；从而得知待测设备接收的所有GOOSE/SV报文信息；