[发明专利]一种电气设备安全性的检测方法有效
| 申请号: | 201510813076.0 | 申请日: | 2015-11-20 |
| 公开(公告)号: | CN105306489B | 公开(公告)日: | 2020-01-21 |
| 发明(设计)人: | 汪晨;邵志鹏;张涛;马媛媛;黄秀丽;周诚;李伟伟;时坚;费稼轩;戴造建;管小娟 | 申请(专利权)人: | 国网智能电网研究院;国网天津市电力公司;国家电网公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L9/32 |
| 代理公司: | 11271 北京安博达知识产权代理有限公司 | 代理人: | 徐国文 |
| 地址: | 102211 北京市昌平区*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 电气设备 安全性 检测 方法 | ||
1.一种电气设备安全性的检测方法,其特征在于,所述检测方法依据IEC62351安全标准规范检测准备进入智能变电站的电气设备的被测端的安全性,所述电气设备均为基于MMS进行安全增强的电气设备;所述被测端为MMS客户端或MMS服务端;所述方法包括如下步骤:
步骤1.检测所述电气设备是否具有指定安全通信端口功能;
若是,则进入步骤2;
若否,则判定所述电气设备的安全性存在漏洞,检测结束;
步骤2.检测设备是否具备TLS传输层安全功能;
若是,则进入步骤3;
若否,则判定所述电气设备的安全性存在漏洞,检测结束;
步骤3.检测设备是否具备MMS应用层的关联认证及防重放攻击功能;
若是,则判定所述电气设备的安全性良好,检测结束;
若否,则判定所述电气设备的安全性存在漏洞,检测结束;
若所述被测端为MMS服务端,则所述步骤1包括:
1B-1.配置所述电气设备相应的IP地址和指定端口,连接所述电气设备;
1B-2.提取当前所述MMS服务端的时间T1,并构造签名报文;
1B-3.将所述签名报文发送至所述MMS服务端,并判断所述电气设备的返回结果;
若所述电气设备返回报文并获得端口服务,则端口测评通过并进入1B-4;
若所述电气设备未返回报文或返回报文无法到达目的,则返回IP地址错误并结束检测;
若所述电气设备返回报文,但未获得端口服务,则返回端口错误并结束检测;
1B-4.检测工具与待测端配置同一CA证书;其中,所述检测工具包括关联认证检测工具、关联认证防重放检测工具及加密通信检测工具;
若所述被测端为MMS客户端,则所述步骤1包括:
1A-1.配置所述电气设备相应的IP地址和指定端口,连接所述电气设备;
1A-2.判断所述电气设备的返回结果;
若所述电气设备返回报文并获得端口服务,则端口测评通过并进入1A-3;
若所述电气设备未返回报文或返回报文无法到达目的,则返回IP地址错误并结束检测;
若所述电气设备返回报文,但未获得端口服务,则返回端口错误并结束检测;
1A-3.检测工具与待测端配置同一CA证书;其中,所述检测工具包括关联认证检测工具、关联认证防重放检测工具及加密通信检测工具;
所述步骤2包括:
2-1.接收所述被测端发送的数据,并提取其中的传输层数据;
2-2.用TLS加密套件与所述电气设备通信,判定所述传输层数据是否使用TLS协议;
若是,则进入2-3;
若否,则返回TLS协议未使用错误并判断所述电气设备的安全性存在漏洞,检测结束;
2-3.解密所述传输层数据,并判定所述传输层数据是否能够解析;
若是,则TLS加密检测通过,进入步骤3;
若否,则返回加密套件不符合要求错误并判断所述电气设备的安全性存在漏洞,检测结束。
2.如权利要求1所述的方法,其特征在于,若所述被测端为MMS客户端,则所述步骤3包括:
3A-1.提取所述MMS客户端发送的数据中的应用层数据;
3A-2.判定所述应用层数据是否启用认证功能单元;
若是,则进入3A-3;
若否,则返回未启用认证功能单元错误并判断所述电气设备的安全性存在漏洞,检测结束;
3A-3.提取所述MMS服务端证书的数据,所述MMS服务端证书的数据包括证书、时间及签名值;
3A-4.加载CA证书,并根据所述CA证书验证所述MMS服务端证书是否有效;
若是,则进入3A-5;
若否,则返回证书有效性错误并判断所述电气设备的安全性存在漏洞,检测结束;
3A-5.提取所述MMS客户端的签名值及所述MMS服务端时间,并解密签名值;判断所述签名值与所述MMS服务端时间是否相等;
若是,则确定所述MMS客户端关联认证检测通过,检测完成;
若否,则返回签名值解签错误并判断所述电气设备的安全性存在漏洞,检测结束。
3.如权利要求2所述的方法,其特征在于,若所述被测端为MMS服务端,则所述步骤3包括:
3B-1.提取所述MMS服务端发送的数据中的应用层数据;
3B-2.判定所述应用层数据是否启用认证功能单元;
若是,则进入3B-3;
若否,则返回未启用认证功能单元错误并判断所述电气设备的安全性存在漏洞,检测结束;
3B-3.提取所述MMS客户端证书的数据,所述MMS客户端证书的数据包括证书、时间及签名值;
3B-4.加载CA证书,并根据所述CA证书验证所述MMS客户端证书是否有效;
若是,则进入3B-5;
若否,则返回证书有效性错误并判断所述电气设备的安全性存在漏洞,检测结束;
3B-5.提取所述MMS服务端的签名值及所述MMS客户端时间,并解密签名值;判断所述签名值与所述MMS客户端时间是否相等;
若是,则进入3B-6;
若否,则返回签名值解签错误并判断所述电气设备的安全性存在漏洞,检测结束;
3B-6.提取当前所述MMS服务端的时间T2,判定T2-T1的值是否超过防重放攻击的阀值;
若是,则返回1B-2;
若否,则进入3B-7;
3B-7.断开连接,并使用T2时间重新构造带签名的关联报文,发送至MMS服务端,等待回复;
3B-8.收到回复信息后,判定是否接收关联认证的返回结果;
若是,则返回重放攻击未通过错误并判断所述电气设备的安全性存在漏洞,检测结束;
若否,则确定所述MMS服务端关联认证及防重放攻击检测通过,检测完成。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国网智能电网研究院;国网天津市电力公司;国家电网公司,未经国网智能电网研究院;国网天津市电力公司;国家电网公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201510813076.0/1.html,转载请声明来源钻瓜专利网。
