[发明专利]智能变电站过程层交换机MMS安全通信的装置及方法

说明书

技术领域

本发明涉及信息安全以及通信技术领域，尤其是涉及到一种对智能变电站过程层交换机MMS安全通信的具体实现。

背景技术

由于计算机和网络技术在电力系统中更为广泛的应用，信息技术的负面影响也开始波及到电力系统，国内外电力系统通信网络中也发现了黑客活动的踪迹。与此同时，电力工业市场化改革使得具备潜在攻击能力和知识的内部用户大大增加，内部攻击威胁不容忽视。如何有效保障电力系统及其网络的信息安全已成为一项非常紧迫的任务。因此，国际电工委员会制定了相关的数据与通信安全标准。IEC TC57第15工作组制定的IEC 62351标准就涉及到了电力系统数据通信的各个方面：IEC 6235l-3为包含TCP／IP协议的安全，IEC 62351-4为包含MMS协议的安全，IEC 62351-5为对IEC 60870-5及派生标准的安全，IEC 62351-6为对IEC 61850中对等通信协议(实时通信)的安全。这些不同的安全标准所服务的协议不同，有着不同的安全措施和安全技术，其安全措施包括身份认证、机密性和完整性。

虽然标准已经有了，但是具体的实现方案各厂家是保密的，即使提供了一些方案，但是按照这些方案也难以实现，即使按照这些方案实现也有诸多弊端。本文针对智能变电站过程层交换机MMS安全通信，结合IEC61850标准对电力系统的安全访问需求，依据IEC 62351安全标准，设计出一个相对独立、通用、易于实现的安全模型，并对其应用流程做了详细的论述。

发明内容

本发明的目的是克服现有技术的缺陷，提供一种智能变电站过程层交换机MMS安全通信的装置及方法，从而实现对智能变电站过程层交换机的安全管理。

为解决上述技术问题，本发明提供一种智能变电站过程层交换机MMS安全通信的装置，其特征是，

包括以下模块：

SSL安全建立模块：通过位于TCP/IP协议与各种应用层协议之间的SSL协议，为数据通讯提供安全支持；

SSL通信转换模块：加载在MMS客户端与MMS服务端之间，实现SSL与TCP之间的通信转换和通信代理；包括客户端通信转换模块和服务端通信转换模块；

设置模块：在SSL通信转换模块运行时，配置目标设备的地址和端口。

所述的SSL协议分为两层：

SSL记录协议：建立在可靠的传输协议之上，为高层协议提供数据封装、压缩、加密基本功能的支持；

 SSL握手协议：建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法和/或交换加密密钥。

SSL握手协议使用openssl库实现。

SSL通信转换模块包括：

服务端通信转换模块：与MMS 服务端运行于过程层中同一台交换机设备上；

客户端通信转换模块：与MMS 客户端运行于站控层中的同一台PC上；

其中，服务端通信转换模块与客户端通信转换模块之间是在TCP连接上建立的安全通信；服务端通信转换模块与MMS服务端之间是普通的TCP连接，客户端通信转换模块与MMS客户端之间也是普通的TCP连接。

客户端通信转换模块：

将MMS客户端发起的TCP连接转换成SSL连接送至服务端通信转换模块；

将MMS客户端发送的数据通过SSL连接发送至服务端通信转换模块；

将通过SSL连接收到的数据转换成TCP连接发送至MMS客户端；

服务端通信转换模块：

将SSL连接请求转换成TCP连接请求发送至MMS服务端；

将通过SSL连接收到的数据转换成TCP连接发送至MMS服务端；

将通过TCP连接收到的数据转换成SSL连接发送至客户端通信转换模块。

一种智能变电站过程层交换机MMS安全通信的方法，其特征在于，

当MMS客户端发起TCP连接时，该连接请求并非直接发送至MMS服务端，而是发送至SSL代理，再由SSL代理发送至MMS服务端，当连接会话建立后，MMS客户端与MMS服务端的数据通信通过该会话传送，实现MMS的安全通信。

所述SSL代理包括：

SSL服务端代理（服务端通信转换模块）：与MMS 服务端运行于过程层中同一台交换机设备上；

SSL客户端代理（客户端通信转换模块）：与MMS 客户端运行于站控层中的同一台PC上；