CN105721432B - 一种面向电力iec104规约的tcp透明代理实现方法 - Google Patents

一种面向电力iec104规约的tcp透明代理实现方法 Download PDF

Info

Publication number
CN105721432B
CN105721432B CN201610029331.7A CN201610029331A CN105721432B CN 105721432 B CN105721432 B CN 105721432B CN 201610029331 A CN201610029331 A CN 201610029331A CN 105721432 B CN105721432 B CN 105721432B
Authority
CN
China
Prior art keywords
iec104
equipment
gateway
client
sequence number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610029331.7A
Other languages
English (en)
Other versions
CN105721432A (zh
Inventor
冉利楠
刘勇
房牧
陈宁
王传勇
韩蓬
张健
王坤
代二刚
杨凤文
康文文
孙宝峰
王绪浩
张凯
多志林
马力
梁野
高明慧
谷丰强
邵立嵩
王丹
马鸣
计士禹
刘立坤
高航
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Shandong Electric Power Co Ltd
Beijing Kedong Electric Power Control System Co Ltd
Nanjing NARI Group Corp
Zaozhuang Power Supply Co of State Grid Shandong Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Shandong Electric Power Co Ltd
Beijing Kedong Electric Power Control System Co Ltd
Nanjing NARI Group Corp
Zaozhuang Power Supply Co of State Grid Shandong Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Shandong Electric Power Co Ltd, Beijing Kedong Electric Power Control System Co Ltd, Nanjing NARI Group Corp, Zaozhuang Power Supply Co of State Grid Shandong Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201610029331.7A priority Critical patent/CN105721432B/zh
Publication of CN105721432A publication Critical patent/CN105721432A/zh
Application granted granted Critical
Publication of CN105721432B publication Critical patent/CN105721432B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1045Proxies, e.g. for session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种面向电力IEC104规约的TCP透明代理实现方法,包括如下步骤:S1,客户端网关加密设备获取IEC104客户端发送的带序列号的报文信息,发送给服务器网关加密设备,进而发送给IEC104服务器;S2,客户端网关加密设备生成网关序列号,和服务器网关加密设备建立隧道,并不定时自主向服务器网关加密设备传送带网关序列号的通信报文;S3,IEC104客户端发送带序列号的报文信息,客户端网关加密设备根据序列号生成网关序列号,并对报文信息进行加密,组合生成处理信息,传送给服务器网关加密设备;S4,服务器网关加密设备对网关序列号进行反处理,并对报文信息进行解密,将解密后的报文信息传送给IEC104服务器。该方法有效地解决了IEC104报文信息明文传输的安全性问题。

Description

一种面向电力IEC104规约的TCP透明代理实现方法
技术领域
本发明涉及一种TCP透明代理实现方法,尤其涉及一种面向电力IEC104规约的TCP透明代理实现方法,属于电力***通信安全技术领域。
背景技术
随着计算机网络技术在电力自动化中的普遍应用,其利用以太网介质的网络通信规约进行数据交换在电力自动化***中得到广泛的应用,目前在调度自动化***与各变电站自动化***之间,及变电站自动化***内测控***的通信传输多采用IEC60870-5-104通信协议(简称IEC104协议)。IEC104协议作为一种国际标准协议,具有实时性好、可靠性高、数据流量大、便于信息量扩充、支持网络传输等优点,其内容和功能涵盖了保护方面的定义。104规约不仅可以用在调度和厂站之间,而且完全可以应用于变电站自动化***内部,现有的IEC104协议已经被国内外电力自动化主流供应商如国电南瑞、北京四方、SIEMENS等应用到电力自动化***当中。
IEC104协议是一种国际标准的协议,规定了协议传输过程中报文的格式要求和传输时序要求,它是一个明文传输标准,信息安全防护较差;且该协议比较开放和标准化,其受到攻击的威胁大,安全性也差。IEC104协议以TCP作为传输层协议,而TCP/IP协议本身就存在安全性问题,如伪造IP地址、源路由选择欺骗等,并且TCP/IP协议采用明文传输,将会导致应用程序的数据在网络上是公开的,很容易被窃听、伪造和篡改。可见,远动信息的安全传输已成为不可回避的实际问题,作为电力自动化***数据源和实施控制行为的远动信息,如果由于传输的安全原因引起误动、拒动、上传数据的紊乱等,将给电力***的安全稳定运行带来严重威胁,有时甚至引发灾难性事故。因此,保证远动信息传输的安全性将十分重要。
为了解决上述问题,在申请号为201110361177.0的中国发明专利申请中,公开了一种实现IEC104报文传输的方法和***,其中,方法包括如下步骤:S1,根据预传输IEC104报文所携带的标志位判断其是否为I帧、U帧还是S帧,若为I帧,则S2,若为U帧或者S帧,则转至S4;S2,发送方对I帧的应用服务数据单元通过ECC算法进行加密;S3.接收方对加密后的应用服务数据单元进行解密,以还原出明文的应用服务数据单元;S4,对预传输IEC104报文的发送方通过数字签名进行身份验证。根据IEC104报文的帧格式,分别采用ECC加密算法和通过数字签名进行身份验证相结合的方式对报文进行处理,一定程度上解决了IEC104报文明文传输的安全性问题,提高了报文传输的可靠性。
发明内容
针对现有技术的不足,本发明所要解决的技术问题在于提供一种面向电力IEC104规约的TCP透明代理实现方法。
为实现上述发明目的,本发明采用下述的技术方案:
一种面向电力IEC104规约的TCP透明代理实现方法,包括如下步骤:
S1,客户端网关加密设备获取IEC104客户端发送的带序列号的报文信息,将所述报文信息发送给服务器网关加密设备,由服务器网关加密设备发送给IEC104服务器;
S2,客户端网关加密设备根据所述序列号生成网关序列号,通过向服务器网关加密设备发送带网关序列号的报文信息在客户端网关加密设备和服务器网关加密设备之间建立隧道,客户端网关加密设备不定时自主向服务器网关加密设备传送带网关序列号的通信报文;
S3,IEC104客户端发送带序列号的报文信息给客户端网关加密设备,客户端网关加密设备结合本地发送的报文信息,将获取所述序列号进行处理生成网关序列号,并对获取的报文信息进行加密,组合生成处理信息,将所述处理信息传送给服务器网关加密设备;
S4,服务器网关加密设备对获取的处理信息中的网关序列号进行反处理,并对报文信息进行解密,将解密后的报文信息传送给IEC104服务器。
其中较优地,所述IEC104客户端根据本地发送的报文信息,生成自动递加的序列号。
其中较优地,在步骤S1中,所述客户端网关加密设备在获取所述IEC104客户端发送的带序列号的报文信息之前,所述IEC104客户端通过所述客户端网关加密设备和所述服务器网关加密设备与所述IEC104服务器建立TCP连接。
其中较优地,在步骤S2中,所述客户端网关加密设备根据所述序列号生成网关序列号,包括如下步骤:
获取IEC104客户端发送的报文信息的序列号;
获取由客户端网关加密设备本地发送的报文信息的数量;
通过公式:C=A+B;得到网关序列号;其中,A为IEC104客户端发送的报文信息的序列号;B为客户端网关加密设备本地发送的报文信息的数量。
其中较优地,在步骤S2中,通过向服务器网关加密设备发送带网关序列号的报文信息在客户端网关加密设备和服务器网关加密设备之间建立隧道,包括如下步骤:
客户端网关加密设备获取网关序列号,将网关序列号和隧道建立请求报文一起发送给服务器网关加密设备;
服务器网关加密设备根据接收到的隧道建立请求报文做出回应,并发送回应报文;
客户端网关加密设备获取回应报文和网关序列号,将网关序列号和隧道成功建立确认报文一起发送给服务器网关加密设备,客户端网关加密设备和服务器网关加密设备之间建立隧道。
其中较优地,在步骤S2中,所述通信报文包括管控报文和隧道保活心跳报文;
其中,所述管控报文用于对所述服务器网关加密设备进行远程管理和设备状态监控;
所述隧道保活心跳报文用以保证所述IEC104客户端和所述IEC104服务器之间信息传送时隧道的可用性。
其中较优地,在步骤S3中,对获取的报文信息进行加密之前,所述客户端网关加密设备对获取的报文信息进行解析,并对所述报文信息的完整性进行识别,当识别出的报文信息不是完整信息时,继续等待所述IEC104客户端的报文信息发送,直至报文信息完整时,对报文信息进行加密处理。
其中较优地,在步骤S4中,服务器网关加密设备对获取的处理信息中的网关序列号进行反处理,包括如下步骤:
服务器网关加密设备获取处理信息中的网关序列号;
获取由客户端网关加密设备本地发送的报文信息的数量;
通过公式:A=C-B;得到IEC104客户端发送的报文信息的序列号;其中,C为处理信息中的网关序列号;B为客户端网关加密设备本地发送的报文信息的数量。
本发明所提供的面向电力IEC104规约的TCP透明代理实现方法,当IEC104客户端首次向IEC104服务器发送带序列号的报文信息之后,客户端网关加密设备根据IEC104客户端报文信息的序列号生成网关序列号,通过向服务器网关加密设备发送带网关序列号的报文信息建立隧道。之后,IEC104客户端根据本地发送的报文信息,生成自动递加的序列号,发送带序列号的报文信息给客户端网关加密设备,客户端网关加密设备为了使序列号不冲突,结合本地发送的报文信息,将获取的IEC104客户端的报文信息的序列号进行处理,并对获取的报文信息进行加密,组合生成处理信息,并将其传送给服务器网关加密设备。服务器网关加密设备对获取的处理信息中的序列号进行反处理,并对报文信息进行解密,将解密后的报文信息传送给IEC104服务器。该方法有效地解决了IEC104报文信息明文传输的安全性问题,提高了报文传输的可靠性。
附图说明
图1为本发明所提供的面向电力IEC104规约的TCP透明代理实现方法的流程图;
图2为本发明所提供的一个实施例中,IEC104客户端和IEC104服务器之间进行通信的流程图。
具体实施方式
下面结合附图和具体实施例对本发明的技术内容进行详细具体的说明。
TCP透明代理为部署在TCP服务器与客户端中间链路上的设备或者模块,可以监听到TCP连接的所有数据包,并具有对数据进行处理转发的功能。当前的TCP透明代理只能实现TCP传输层面的代理,欠缺对IEC104协议解析及处理的能力,并且无法对上层数据部分进行数据修改,添加数据内容等操作。在本发明所提供的面向电力IEC104规约的TCP透明代理实现方法中,作为TCP连接中的中间网关设备(客户端网关加密设备和服务器网关加密设备),实现类似透明代理的功能,在网关上监听两端建立的IEC104连接,借用已经建立的连接进行中间网关设备自有数据的发送及传输,并维护TCP连接完整性以及正确性。如图1所示,本发明所提供的面向电力IEC104规约的TCP透明代理实现方法,包括如下步骤:首先,客户端网关加密设备获取IEC104客户端发送的带序列号的报文信息(ICE104规约),将其发送给服务器网关加密设备,由服务器网关加密设备发送给IEC104服务器。其次,客户端网关加密设备根据IEC104客户端报文信息的序列号生成网关序列号,通过向服务器网关加密设备发送带网关序列号的报文信息建立隧道,并不定时自主向服务器网关加密设备传送带网关序列号的通信报文。然后,IEC104客户端根据本地发送的报文信息,生成自动递加的序列号,继续发送带序列号的报文信息给客户端网关加密设备,客户端网关加密设备为了使序列号不冲突,结合本地发送的报文信息的数量,将获取的IEC104客户端的报文信息的序列号进行处理生成网关序列号,并对获取的报文信息进行加密,组合生成处理信息,并将其传送给服务器网关加密设备。服务器网关加密设备对获取的处理信息中的网关序列号进行反处理,并对报文信息进行解密,将解密后的报文信息传送给IEC104服务器,不仅实现了ICE104规约的安全传输,而且保证了传输过程中ICE104规约序列号的一致性。下面对这一过程做详细具体的说明。
S1,客户端网关加密设备获取IEC104客户端发送的带序列号的报文信息,将其发送给服务器网关加密设备,由服务器网关加密设备发送给IEC104服务器。
客户端网关加密设备在获取IEC104客户端发送的带序列号的报文信息之前,IEC104客户端通过客户端网关加密设备和服务器网关加密设备与IEC104服务器建立TCP连接。如图2所示,在本发明所提供的实施例中,IEC104客户端通过三次握手与IEC104服务器建立连接,IEC104客户端通过客户端网关加密设备将SYN发送给服务器网关加密设备,由服务器网关加密设备发送给IEC104服务器。其中,SYN(synchronous)是TCP/IP建立连接时使用的握手信号。IEC104服务器使用SYN+ACK应答表示接收到了这个消息,通过服务器网关加密设备发送给客户端网关加密设备,由客户端网关加密设备发送给IEC104客户端。最后IEC104客户端再以ACK消息响应,通过客户端网关加密设备将ACK消息发送给服务器网关加密设备,由服务器网关加密设备发送给IEC104服务器。这样在IEC104客户端和IEC104服务器之间建立起可靠的TCP连接。之后,IEC104客户端向IEC服务器发送带序列号的报文信息。客户端网关加密设备获取IEC104客户端发送的带序列号的报文信息,将其发送给服务器网关加密设备,由服务器网关加密设备发送给IEC104服务器。
S2,客户端网关加密设备根据IEC104客户端报文信息的序列号生成网关序列号,通过向服务器网关加密设备发送带网关序列号的报文信息在客户端网关加密设备和服务器网关加密设备之间建立隧道,并不定时自主向服务器网关加密设备传送带网关序列号的通信报文。
IEC104客户端通过客户端网关加密设备和服务器网关加密设备向IEC104服务器发送报文信息之后,客户端网关加密设备根据IEC104客户端报文信息的序列号生成网关序列号,通过向服务器网关加密设备发送带网关序列号的报文信息在客户端网关加密设备和服务器网关加密设备之间建立隧道(通信隧道)。客户端网关加密设备和服务器网关加密设备可以通过隧道传输报文信息。其中,客户端网关加密设备根据IEC104客户端报文信息的序列号生成网关序列号,具体包括如下步骤:
首先,获取IEC104客户端发送的报文信息的序列号A;然后,获取由客户端网关加密设备本地发送的报文信息的数量B;最后,通过公式:C=A+B;得到网关序列号。此时生成的网关序列号继承之前IEC104客户端自动生成的序列号,保证信息发送过程中序列号顺序排列,而不至于引起混淆冲突。
获得网关序列号之后,通过向服务器网关加密设备发送带网关序列号的报文信息在客户端网关加密设备和服务器网关加密设备之间建立隧道,具体包括如下步骤:
首先,客户端网关加密设备获取网关序列号,将网关序列号和隧道建立请求报文一起发送给服务器网关加密设备;然后,服务器网关加密设备根据接收到的隧道建立请求报文做出回应,并发送回应报文;最后,客户端网关加密设备获取回应报文和网关序列号,将网关序列号和隧道成功建立确认报文一起发送给服务器网关加密设备,客户端网关加密设备和服务器网关加密设备之间建立隧道。之后,IEC104客户端和IEC104服务器之间传送的报文信息需要经客户端网关加密设备和服务器网关加密设备进行加密解密处理,才能进行传送和接收,提高了IEC104客户端和IEC104服务器之间信息传送的安全性。
客户端网关加密设备和服务器网关加密设备之间建立隧道之后,客户端网关加密设备模拟TCP重传和确认机制,不定时自主向服务器网关加密设备传送带网关序列号的通信报文。其中,通信报文包括管控报文和隧道保活心跳报文。管控报文用于对服务器网关加密设备进行远程管理和设备状态监控;客户端网关加密设备不定时自主向服务器网关加密设备传送管控报文,服务器网关加密设备根据自身状态发送回应报文,以实现客户端网关加密设备对服务器网关加密设备的监控和管理。当没有收到回应报文时,说明服务器网关加密设备工作异常,便于客户端网关加密设备及时对其进行处理。隧道保活心跳报文用以保证IEC104客户端和IEC104服务器之间信息传送时,隧道的可用性。客户端网关加密设备不定时自主向服务器网关加密设备传送隧道保活心跳报文,服务器网关加密设备根据自身状态发送回应报文,当没有收到回应报文时,说明客户端网关加密设备和服务器网关加密设备之间的隧道异常,及时进行隧道的重新建立,保证IEC104客户端和IEC104服务器之间信息传送时隧道的可用性。
S3,IEC104客户端根据本地发送的报文信息,生成自动递加的序列号,继续发送带序列号的报文信息给客户端网关加密设备,客户端网关加密设备为了使序列号不冲突,结合本地发送的报文信息的数量,将获取的IEC104客户端的报文信息的序列号进行处理生成网关序列号,并对获取的报文信息进行加密,组合生成处理信息,并将其传送给服务器网关加密设备。
如图2所示,在本发明所提供的一个实施例中,IEC104客户端通过客户端网关加密设备和服务器网关加密设备向IEC104服务器发送的序列号为1的报文信息。然后,客户端网关加密设备根据IEC104客户端报文信息的序列号1生成网关序列号2,通过向服务器网关加密设备发送带网关序列号的报文信息在客户端网关加密设备和服务器网关加密设备之间建立隧道。在本发明所提供的实施例中,客户端网关加密设备和服务器网关加密设备之间通过发送网关序列号为2和3的报文信息建立隧道。隧道建立成功之后,IEC104客户端继续向IEC104服务器发送报文信息,IEC104客户端根据本地发送的报文信息,生成自动递加的序列号,此时,序列号为2;继续发送序列号为2的报文信息给客户端网关加密设备。由于客户端网关加密设备在与服务器网关加密设备建立隧道的过程中已经发送了网关序列号为2的报文信息,为了使序列号不冲突,客户端网关加密设备结合本地发送的报文信息的数量,将获取的IEC104客户端的报文信息的序列号进行处理生成网关序列号4,并对获取的报文信息进行加密,组合生成处理信息,并将其传送给服务器网关加密设备。在本发明所提供的实施例中,对获取的报文信息进行加密之前,客户端网关加密设备对获取的报文信息进行解析,并对报文信息(IEC104规约)的完整性进行识别,当识别出的报文信息不是完整信息时,继续等待IEC104客户端的报文信息发送,直至报文信息完整时,对报文信息进行加密处理,保证了在IEC104客户端和IEC104服务器之间通信的完整性。
客户端网关加密设备和服务器网关加密设备作为中间透明代理,维护IEC104客户端及IEC104服务器之间报文信息的TCP序列号(序列号)。作为中间设备的透明代理,需要维护大量IEC104客户端及IEC104服务器的连接信息,所以对于TCP协议栈负载要求较大,为减轻处理负担,在本发明所提供的实施例中,客户端网关加密设备和服务器网关加密设备之间的TCP连接只实现部分TCP协议栈功能,而把大部分工作交还给IEC104客户端及IEC104服务器自身。客户端网关加密设备和服务器网关加密设备本身对于IEC104客户端及IEC104服务器之间传送的报文信息中不修改直接透传的数据部分并不维护接收发送的滑动窗口,不缓存该部分数据,并且对于该部分的重传等请求也直接透传给IEC104客户端及IEC104服务器,不过由于存在***和修改过的报文信息,所以对于透传的数据包也需要进行网关序列号的生成。
S4,服务器网关加密设备对获取的处理信息中的网关序列号进行反处理,并对报文信息进行解密,将解密后的报文信息传送给IEC104服务器。
服务器网关加密设备对获取的处理信息中的网关序列号进行反处理,并对报文信息进行解密,将解密后的报文信息传送给IEC104服务器。其中,服务器网关加密设备对获取的处理信息中的网关序列号进行反处理,具体包括如下步骤:
首先,服务器网关加密设备获取处理信息中的网关序列号C;然后,获取由客户端网关加密设备本地发送的报文信息的数量B;最后,通过公式:A=C-B;得到IEC104客户端发送的报文信息的序列号。如图2所示,在本发明所提供的一个实施例中,服务器网关加密设备获取客户端网关加密设备传送来的处理信息,对获取的处理信息中的网关序列号进行反处理,将IEC104客户端发送的报文信息的序列号还原成2,并对报文信息进行解密,将解密后的报文信息传送给IEC104服务器。
在IEC104客户端与IEC服务器之间进行通信的过程中,客户端网关加密设备模拟TCP重传和确认机制,不定时自主向服务器网关加密设备传送带网关序列号的通信报文。一方面对服务器网关加密设备进行远程管理和设备状态监控;另一方面保证IEC104客户端和IEC104服务器之间信息传送时,隧道的可用性。
综上所述,本发明所提供的面向电力IEC104规约的TCP透明代理实现方法,当IEC104客户端首次向IEC104服务器发送带序列号的报文信息之后,客户端网关加密设备根据IEC104客户端报文信息的序列号生成网关序列号,通过向服务器网关加密设备发送带网关序列号的报文信息建立隧道。之后,IEC104客户端根据本地发送的报文信息,生成自动递加的序列号,继续发送带序列号的报文信息给客户端网关加密设备,客户端网关加密设备为了使序列号不冲突,结合本地发送的报文信息的数量,将获取的IEC104客户端的报文信息的序列号进行处理生成网关序列号,并对获取的报文信息进行加密,加密的报文信息和网关序列号组合生成处理信息,并将其传送给服务器网关加密设备。服务器网关加密设备对获取的处理信息中的网关序列号进行反处理,并对报文信息进行解密,将解密后的报文信息传送给IEC104服务器。该方法有效地解决了IEC104报文信息明文传输的安全性问题,提高了报文传输的可靠性。除此之外,客户端网关加密设备模拟TCP重传和确认机制,不定时自主向服务器网关加密设备传送带网关序列号的通信报文,不仅能对服务器网关加密设备进行远程管理和设备状态监控;还可以保证IEC104客户端和IEC104服务器之间信息传送时,隧道的可用性。
上面对本发明所提供的面向电力IEC104规约的TCP透明代理实现方法进行了详细的说明。对本领域的一般技术人员而言,在不背离本发明实质精神的前提下对它所做的任何显而易见的改动,都将构成对本发明专利权的侵犯,将承担相应的法律责任。

Claims (7)

1.一种面向电力IEC104规约的TCP透明代理实现方法,其特征在于包括如下步骤:
S1,客户端网关加密设备获取IEC104客户端发送的带序列号的报文信息,将所述报文信息发送给服务器网关加密设备,由服务器网关加密设备发送给IEC104服务器;
S2,客户端网关加密设备根据所述序列号生成网关序列号,通过向服务器网关加密设备发送带网关序列号的报文信息在客户端网关加密设备和服务器网关加密设备之间建立隧道,客户端网关加密设备不定时自主向服务器网关加密设备传送带网关序列号的通信报文;
S3,IEC104客户端发送带序列号的报文信息给客户端网关加密设备,客户端网关加密设备结合本地发送的报文信息,将获取所述序列号进行处理生成网关序列号,并对获取的报文信息进行加密,组合生成处理信息,将所述处理信息传送给服务器网关加密设备;其中,客户端网关加密设备根据所述序列号生成网关序列号,包括如下步骤:获取IEC104客户端发送的报文信息的序列号;获取由客户端网关加密设备本地发送的报文信息的数量;通过公式:C=A+B;得到网关序列号;其中,A为IEC104客户端发送的报文信息的序列号;B为客户端网关加密设备本地发送的报文信息的数量;S4,服务器网关加密设备对获取的处理信息中的网关序列号进行反处理,并对报文信息进行解密,将解密后的报文信息传送给IEC104服务器。
2.如权利要求1所述的面向电力IEC104规约的TCP透明代理实现方法,其特征在于:
所述IEC104客户端根据本地发送的报文信息,生成自动递加的序列号。
3.如权利要求1所述的面向电力IEC104规约的TCP透明代理实现方法,其特征在于:
在步骤S1中,所述客户端网关加密设备在获取所述IEC104客户端发送的带序列号的报文信息之前,所述IEC104客户端通过所述客户端网关加密设备和所述服务器网关加密设备与所述IEC104服务器建立TCP连接。
4.如权利要求1所述的面向电力IEC104规约的TCP透明代理实现方法,其特征在于在步骤S2中,通过向服务器网关加密设备发送带网关序列号的报文信息在客户端网关加密设备和服务器网关加密设备之间建立隧道,包括如下步骤:
客户端网关加密设备获取网关序列号,将网关序列号和隧道建立请求报文一起发送给服务器网关加密设备;
服务器网关加密设备根据接收到的隧道建立请求报文做出回应,并发送回应报文;
客户端网关加密设备获取回应报文和网关序列号,将网关序列号和隧道成功建立确认报文一起发送给服务器网关加密设备,客户端网关加密设备和服务器网关加密设备之间建立隧道。
5.如权利要求1所述的面向电力IEC104规约的TCP透明代理实现方法,其特征在于:
在步骤S2中,所述通信报文包括管控报文和隧道保活心跳报文;
其中,所述管控报文用于对所述服务器网关加密设备进行远程管理和设备状态监控;
所述隧道保活心跳报文用以保证所述IEC104客户端和所述IEC104服务器之间信息传送时隧道的可用性。
6.如权利要求1所述的面向电力IEC104规约的TCP透明代理实现方法,其特征在于:
在步骤S3中,对获取的报文信息进行加密之前,所述客户端网关加密设备对获取的报文信息进行解析,并对所述报文信息的完整性进行识别,当识别出的报文信息不是完整信息时,继续等待所述IEC104客户端的报文信息发送,直至报文信息完整时,对报文信息进行加密处理。
7.如权利要求1所述的面向电力IEC104规约的TCP透明代理实现方法,其特征在于在步骤S4中,服务器网关加密设备对获取的处理信息中的网关序列号进行反处理,包括如下步骤:
服务器网关加密设备获取处理信息中的网关序列号;
获取由客户端网关加密设备本地发送的报文信息的数量;
通过公式:A=C-B;得到IEC104客户端发送的报文信息的序列号;
其中,C为处理信息中的网关序列号;B为客户端网关加密设备本地发送的报文信息的数量。
CN201610029331.7A 2016-01-15 2016-01-15 一种面向电力iec104规约的tcp透明代理实现方法 Active CN105721432B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610029331.7A CN105721432B (zh) 2016-01-15 2016-01-15 一种面向电力iec104规约的tcp透明代理实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610029331.7A CN105721432B (zh) 2016-01-15 2016-01-15 一种面向电力iec104规约的tcp透明代理实现方法

Publications (2)

Publication Number Publication Date
CN105721432A CN105721432A (zh) 2016-06-29
CN105721432B true CN105721432B (zh) 2019-08-30

Family

ID=56147702

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610029331.7A Active CN105721432B (zh) 2016-01-15 2016-01-15 一种面向电力iec104规约的tcp透明代理实现方法

Country Status (1)

Country Link
CN (1) CN105721432B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101645894A (zh) * 2009-09-01 2010-02-10 成都市华为赛门铁克科技有限公司 网络代理实现方法及装置
CN101764701A (zh) * 2008-12-23 2010-06-30 康佳集团股份有限公司 一种网络管理***
CN102130910A (zh) * 2011-02-28 2011-07-20 华为技术有限公司 Tcp代理***和卸载方法及业务网关设备
CN102137005A (zh) * 2010-12-31 2011-07-27 华为技术有限公司 一种通信***中的数据转发方法、装置和***
CN103491065A (zh) * 2012-06-14 2014-01-01 中兴通讯股份有限公司 一种透明代理及其实现方法
CN104363233A (zh) * 2014-11-20 2015-02-18 成都卫士通信息安全技术有限公司 一种vpn网关中应用服务器之间的安全跨域通讯方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101764701A (zh) * 2008-12-23 2010-06-30 康佳集团股份有限公司 一种网络管理***
CN101645894A (zh) * 2009-09-01 2010-02-10 成都市华为赛门铁克科技有限公司 网络代理实现方法及装置
CN102137005A (zh) * 2010-12-31 2011-07-27 华为技术有限公司 一种通信***中的数据转发方法、装置和***
CN102130910A (zh) * 2011-02-28 2011-07-20 华为技术有限公司 Tcp代理***和卸载方法及业务网关设备
CN103491065A (zh) * 2012-06-14 2014-01-01 中兴通讯股份有限公司 一种透明代理及其实现方法
CN104363233A (zh) * 2014-11-20 2015-02-18 成都卫士通信息安全技术有限公司 一种vpn网关中应用服务器之间的安全跨域通讯方法

Also Published As

Publication number Publication date
CN105721432A (zh) 2016-06-29

Similar Documents

Publication Publication Date Title
US8756411B2 (en) Application layer security proxy for automation and control system networks
CN202206418U (zh) 流量管理设备、***和处理器
CN106941491B (zh) 用电信息采集***的安全应用数据链路层设备及通信方法
CN205389215U (zh) 一种基于双网口的plc数据采集及加解密***
CN108966174A (zh) 一种无人机与地面站的通讯加密方法
CN110753327A (zh) 一种基于无线自组网和LoRa的终端物联接入***
CN112104604A (zh) 基于电力物联管理平台的安全接入服务实现***及方法
CN106992908A (zh) 一种智能家居管理***及其管理方法
CN102377571A (zh) 一种实现iec104报文传输的方法和***
CN112422560A (zh) 基于安全套接层的轻量级变电站安全通信方法及***
CN105162794B (zh) 一种使用约定方式的ipsec密钥更新方法及设备
CN105610577B (zh) 一种防止IPSec VPN设备多隧道IKE协商失败的***及方法
CN105721432B (zh) 一种面向电力iec104规约的tcp透明代理实现方法
CN114338116B (zh) 加密传输方法、装置及sd-wan网络***
WO2011023010A1 (zh) 一种用于伪线网络的数据安全发送接收方法、装置及***
CN106685896A (zh) 一种ssh协议多层通道内的明文数据采集方法及***
CN101217532B (zh) 一种防止网络攻击的数据传输方法及***
CN104320634A (zh) 一种输电线路远程智能巡线数据的快速传输方法
CN207869118U (zh) 基于量子加密交换机装置的数据传输***
CN210839642U (zh) 一种物联网终端数据安全接收、发送的装置
CN103401682A (zh) 加密套件的处理方法及设备
CN106506461A (zh) 一种基于scada***的安全dnp协议的实现方法
CN113965462A (zh) 业务传输方法、装置、网络设备和存储介质
CN105407081A (zh) 一种安全高效卫星数据传输***及其数据同步和传输方法
CN102148704A (zh) 一种加密型交换机通用网管接口的软件实现方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C41 Transfer of patent application or patent right or utility model
CB03 Change of inventor or designer information

Inventor after: Ran Linan

Inventor after: Yang Fengwen

Inventor after: Kang Wenwen

Inventor after: Sun Baofeng

Inventor after: Wang Xuhao

Inventor after: Zhang Kai

Inventor after: Duo Zhilin

Inventor after: Ma Li

Inventor after: Liang Ye

Inventor after: Gao Minghui

Inventor after: Gu Fengqiang

Inventor after: Liu Yong

Inventor after: Shao Lisong

Inventor after: Wang Dan

Inventor after: Ma Ming

Inventor after: Ji Shiyu

Inventor after: Liu Likun

Inventor after: Gao Hang

Inventor after: Fang Mu

Inventor after: Chen Ning

Inventor after: Wang Chuanyong

Inventor after: Han Peng

Inventor after: Zhang Jian

Inventor after: Wang Kun

Inventor after: Dai Ergang

Inventor before: Ran Linan

Inventor before: Sun Baofeng

Inventor before: Wang Xuhao

Inventor before: Zhang Kai

Inventor before: Duo Zhilin

Inventor before: Ma Li

Inventor before: Liang Ye

Inventor before: Gao Minghui

Inventor before: Gu Fengqiang

Inventor before: Wang Dan

Inventor before: Ma Ming

Inventor before: Chen Ning

Inventor before: Ji Shiyu

Inventor before: Liu Likun

Inventor before: Gao Hang

Inventor before: Wang Chuanyong

Inventor before: Han Peng

Inventor before: Zhang Jian

Inventor before: Wang Kun

Inventor before: Dai Ergang

Inventor before: Yang Fengwen

Inventor before: Kang Wenwen

COR Change of bibliographic data
TA01 Transfer of patent application right

Effective date of registration: 20170303

Address after: 100033 West Chang'an Avenue, Beijing, No. 86, No.

Applicant after: State Grid Corporation of China

Applicant after: State Grid Shandong Electric Power Company

Applicant after: Zaozhuang Power Supply Company of State Grid Shandong Electric Power Company

Applicant after: Nanjing Nari Co., Ltd.

Applicant after: Beijing Kedong Power Control System Co., Ltd.

Address before: 100033 West Chang'an Avenue, Beijing, No. 86, No.

Applicant before: State Grid Corporation of China

Applicant before: Zaozhuang Power Supply Company of State Grid Shandong Electric Power Company

Applicant before: Nanjing Nari Co., Ltd.

Applicant before: Beijing Kedong Power Control System Co., Ltd.

SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant