[发明专利]基于安全加密的电力二次系统站控层拓扑扫描方法及装置

说明书

本发明公开了一种基于安全加密的电力二次系统站控层拓扑扫描方法及装置，包括以下步骤：与交换机建立连接；向交换机请求端口与MAC地址的映射关系，交换机响应返回交换机的端口与MAC地址的映射关系；并且此请求与响应交互过程中采用对称密钥进行加密；从各终端设备处获取各终端设备的IP与MAC的映射关系；根据各交换机的端口与终端设备MAC地址的映射关系以及各终端设备的IP与MAC的映射关系，获取交换机与终端设备IP的映射关系。本发明与交换机交互时都会验证对方证书是否是证书管理中心签发的证书，并生成对称密钥，保证了数据传输的安全性、防篡改、防窃听、防中间人攻击和重放攻击。

技术领域

本发明属于电力系统技术领域，具体涉及一种基于安全加密的电力二次系统站控层拓扑扫描方法及装置。

背景技术

在电力二次系统中，站控层网络是非常重要的组成部分，主要由交换机和终端设备构成，终端设备一般包括：各类监控系统、保护测控装置、远动装置、规约转换装置等，实时的了解站控层网络中终端设备和交换机的连接关系尤为重要。当网络拓扑发生变化时，第一时间将新的拓扑关系和拓扑关系的变化输出，能很好的帮助运维人员掌握全站设备的连接关系，更快的排查网络问题以及定位非法的设备接入。

现有的拓扑扫描技术中，大部分的实现得到的拓扑关系都是路由器和终端设备的连接关系，在电力二次系统站控层网络中，一般只有出口至主站的位置有路由器，主要是使用交换机进行连接，得到路由器和终端设备的连接关系没有实际价值。

现有的基于交换机的拓扑扫描技术中，主要是通过SNMP（简单网络管理协议）协议获取交换机相关信息来建立拓扑关系，如果是使用SNMPv1或SNMPv2c，采用团体名进行简单的认证，但报文完全是明文，直接通过抓包就可以获取团体名，很不安全；如果是使用SNMPv3，采用用户口令进行认证，即采用用户口令生成的对称密钥进行数据的加解密，这种方式虽然比SNMPv1或SNMPv2c更为安全，但是安全性强依赖于用户口令，snmp请求发送方需要预先配置交换机的用户口令，在实际生产环境中，用户口令形同虚设，非常容易泄漏，交换机的口令往往是默认值且同一个厂家设备的口令是一样的。SNMPv3的认证是单向的，只是认证了snmp请求发送方，对于交换机的合法性没有做认证，对于重放攻击、中间人攻击等攻击手段的防御能力很弱。

综上所述，电力二次系统站控层网络的安全十分重要，拓扑扫描设备与交换机的交互需要一种更为安全的手段。

发明内容

本发明的目的在于克服现有技术的不足，提供了一种基于安全加密的电力二次系统站控层拓扑扫描方法及装置，解决了现有拓扑扫描技术中获取交换机信息不安全的问题。

为解决上述技术问题，本发明提供了一种基于安全加密的电力二次系统站控层拓扑扫描方法，其特征是，包括以下步骤：

与交换机建立连接；向交换机请求端口与MAC地址的映射关系，交换机响应返回交换机的端口与MAC地址的映射关系；并且此请求与响应交互过程中采用对称密钥进行加密；

与所有交换机均执行上述过程，获得各交换机的端口与终端设备MAC地址的映射关系；

从各终端设备处获取各终端设备的IP与MAC的映射关系；

根据各交换机的端口与终端设备MAC地址的映射关系以及各终端设备的IP与MAC的映射关系，获取交换机与终端设备IP的映射关系。

进一步的，所述与交换机建立连接的过程为：

交换机获得根证书和交换机证书；

当向交换机请求连接时，将拓扑扫描装置证书发送给交换机，交换机用根证书验证拓扑扫描装置证书的有效性，如果有效，则返回交换机证书，

使用根证书验证交换机证书的有效性，如果有效，则与交换机建立连接。

进一步的，所述交换机获得根证书和交换机证书的过程为：