[发明专利]一种基于IEC62351的过程层安全测试系统及方法有效
| 申请号: | 201510077042.X | 申请日: | 2015-02-12 |
| 公开(公告)号: | CN104702466B | 公开(公告)日: | 2018-02-23 |
| 发明(设计)人: | 李金;陶文伟;张喜铭;梁寿愚;胡荣;吴金宇 | 申请(专利权)人: | 中国南方电网有限责任公司 |
| 主分类号: | H04L12/26 | 分类号: | H04L12/26;H04L29/06 |
| 代理公司: | 广州知友专利商标代理有限公司44104 | 代理人: | 周克佑 |
| 地址: | 510623 广东*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明的目的在于提供一种有效验证过程层网络设备是否具备防篡改、防重放的安全功能的基于IEC62351的过程层安全测试系统。由以下几个模块组成人机界面UI,报文编辑模块,存储模块,SCD(即全站系统配置文件)解析模块,通讯模块。以及一种基于IEC62351的过程层安全测试系统的测试方法。使用本发明的系统和方法可以编辑基于IEC62351规约过程层报文。编辑基于IEC62351规约的过程层报文原理在对基于IEC61850规约的过程层报文的编码的基础上。增加了对报文校验及签名算法。使报文符合IEC62351规约。并可对己编辑的基于IEC62351规约的报文任意字段进行修改。以便模拟对待测设备的“报文篡改”攻击及“报文重放”攻击,验证待测设备是否具备防御能力。 | ||
| 搜索关键词: | 一种 基于 iec62351 过程 安全 测试 系统 方法 | ||
【主权项】:
一种基于IEC62351的过程层安全测试系统,其特征在于由以下几个模块组成:人机界面UI,报文编辑模块,存储模块,SCD(即全站系统配置文件)解析模块,通讯模块;所述人机界面UI:用于同测试人员交互,完成编辑报文,导入SCD文件,调用/保存测试用例,控制发包;所述报文编辑模块:配置基于IEC62351规约的GOOSE/SV报文的过程为:用户提供一组私钥,所述报文编辑模块根据该私钥完成对报文的签名,并生成对应的公钥以便提供给待测设备使用,接着,所述报文编辑模块结合用户输入的私钥信息将GOOSE/SV报文转换成符合IEC62351规约的报文;所述存储模块:用于存储通过人机界面UI导入的SCD文件、用户在报文编辑模块中所编辑的报文及报文对应的私钥及公钥信息、测试用例;SCD解析模块:接收从所述人机界面UI中导入的SCD文件后,所述SCD解析模块完成对SCD文件的分析,所述对SCD文件的分析过程如下:提取SCD文件中所有过程层设备信息,以及每个过程层设备接收、发送的GOOSE/SV报文结构信息,再将结果传递给所述报文编辑模块,以便报文编辑模块在编辑报文时调用;所述通讯模块:用于发送或接收GOOSE/SV报文;所述将GOOSE/SV报文转换成符合IEC62351规约的报文的具体过程是:对基于IEC61850规约报文尾部进行扩展以及对基于IEC61850规约报文中的保留字段进行扩展:所述对基于IEC61850规约的GOOSE/SV报文尾部进行扩展,包含三个部分:Reserved字段:保留用于未来的扩展;Private字段:用于厂商内部的私有信息传递;AuthenticationValue字段:为数字签名;所述对基于IEC61850规约的GOOSE/SV报文中的保留字段进行扩展包括:使用“保留1”字段保存GOOSE/SV报文尾部扩展部分字段长度:在完成上述的“对基于IEC61850规约的GOOSE/SV报文尾部扩展”后,计算尾部扩展内容的长度,并将长度值填入所述“保留1”字段中;使用“保留2”字段存放根据TPID、TCI、EtherType和APPID四项字段共8个字节所产生的CRC校验值:获取用户在人机界面UI中填写的TPID、TCI、EtherType和APPID四项字段内容,并将这四项字段内容作为输入采用CRC16算法计算,将计算结果填充到“保留2”字段中;所述AuthenticationValue字段的数字签名算法如下:对IEC61850规约的GOOSE/SV报文的指定字段使用SHA‑256哈希算法计算,获得一个消息鉴别码,并使用RSA签名算法对所述消息鉴别码进行数字签名;所述指定字段是指GOOSE/SV报文中的:EtherType、APPID、length、保留1、保留2、APDU、报文尾部扩展字段中的Reserved字段,Private字段;通过所述报文编辑模块构建两种类型GOOSE/SV攻击报文:篡改攻击报文和重放攻击报文:所述篡改攻击报文的构建包括如下两种方式:1.1)通过所述报文编辑模块构建符合IEC62351规约GOOSE/SV报文:报文构建完成后,在人机界面UI中通过再次调用报文编辑模块对GOOSE/SV报文中的TPID,TCI,EtherType,APPID任意一字段作出修改,使报文存在“校验错误”;1.2)通过所述报文编辑模块构建符合IEC62351规约的GOOSE/SV报文,报文构建完成后,在人机界面UI中通过报文编辑模块对GOOSE/SV报文中的length、保留1、保留2、APDU、报文尾部扩展字段中的Reserved字段,Private字段修改,使报文存在“签名错误”;所述重放攻击报文的构建方式如下:通过所述报文编辑模块构建符合IEC62351规约GOOSE/SV报文,报文构建完成后,在人机界面UI中通过报文编辑模块对报文中的“事件时间”段作出修改,使报文中的“事件时间”跟当前实际时间相差2分钟以上,当待测设备收到此类报文时,应该判定为重复的报文而将报文丢弃,3)通过所述通讯模块分别将以上两种类型GOOSE/SV攻击报文发送到待测设备,以验证待测设备是否做出正确处理。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国南方电网有限责任公司,未经中国南方电网有限责任公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510077042.X/,转载请声明来源钻瓜专利网。
- 上一篇:一种网页数据结构化解析方法和装置
- 下一篇:一种图片弹幕的显示方法
