[发明专利]基于IEC61850控制模型的控制信息安全鉴别方法

说明书

本发明公开了一种基于IEC61850控制模型的控制信息安全鉴别方法，该方法实现了对控制端身份ID与控制信息消息认证码的传输功能；并结合认证值算法使用控制端的身份鉴别密钥Key对包含控制端身份ID在内的其他控制信息进行了信息认证，实现了控制信息的身份鉴别与安全认证功能，并具备防篡改功能；同时结合控制模型的T域信息，使控制接收方具备了防重放攻击功能。该方法提升了电力系统进行远程控制的信息安全性。

技术领域

本发明属于电力系统的通信安全领域。

背景技术

随着计算机与通信技术在电力系统中的大量应用，不仅实现了电力系统设备的运行状态远程监视功能，还可以通过远程改变电力设备的运行状态，不仅提升了电力系统的自动化运行水平，也对电网供电的可靠性起着重要作用。

在电力自动化系统中，基于IEC 61850标准的通信技术得到了广泛的应用，其中遥控服务就是IEC 61850的一项标准服务。IEC 61850的遥控服务支持直接控制、带选择控制、增强型直接控制、增强型带选择控制四种控制模式，并为通信过程中的控制信息提供了校验功能，提升了控制的安全性。但是，在IEC 61850的控制服务中虽然提供了控制源信息，但却未提供对控制信息的认证功能。由于IEC 61850通信技术缺乏对身份认证能力，恶意攻击者可通过中间人攻击等方式，非法伪装成合法控制源来改变电力系统设备的进行状态，从而可能会对电网的运行安全造成重大影响，并可能导致重大经济损失。

发明内容

发明目的：为了解决上述现有技术存在的问题本发明提供了一种基于IEC61850控制模型的控制信息安全鉴别方法。

技术方案：本发明提供了基于IEC61850控制模型的控制信息安全鉴别方法，所述IEC61850控制模型包括SBOw模型，Oper模型和Cancle模型三个模型；该法具体包括如下步骤：

步骤1：根据需求在上述三个模型中选择一个模型；将控制发起方的身份ID信息编码至被选择模型的orIdent.id字段中，将控制发起方的本地UTC时间信息编码至被选择模型的T字段中，并根据IEC61850标准将预设的控制指令编码至被选择模型中；

步骤2：根据被选择模型中的信息和预设的字段排列顺序，建立认证字符串CtlString；采用认证值算法计算CtlString对应于Key的消息认证码MAC_CtrString，将MAC_CtrString编码至被选择模型的orIdent.mac字段中，Key为控制发起方的身份鉴别密钥；

步骤3：将被选择模型中的信息发送至控制接收方；

步骤4：控制接收方解析收到的信息后得到字符串CtlString'，CtlString'包括含有控制发起方本地UTC时间信息的字段T'，含有控制发起方身份ID信息的字段orIdent.id'和含有MAC_CtrString的字段orIdent.mac'；

步骤5：验证字段T'中控制发起方本地UTC时间的有效性，若验证通过，则转步骤6，否则拒绝执行预设的控制指令；

步骤6：若控制接收方本地存储的第n个身份ID信息ID_n与orIdent.id'中身份ID信息相同，则转步骤7；否则拒绝执行预设的控制指令；

步骤7：根据控制接收方本地存储的与ID_n对应的身份鉴别密钥Key_n验证orIdent.mac'字段中消息认证码的有效性，若验证通过，则执行预设的控制指令，否则拒绝执行预设的控制指令。

进一步的，所述步骤2中采用密钥长度为128bit的AES-GMAC消息认证码算法AES-GMAC₁₂₈。