CN108366055A - 一种goose报文签名及认证的方法 - Google Patents
一种goose报文签名及认证的方法 Download PDFInfo
- Publication number
- CN108366055A CN108366055A CN201810109227.8A CN201810109227A CN108366055A CN 108366055 A CN108366055 A CN 108366055A CN 201810109227 A CN201810109227 A CN 201810109227A CN 108366055 A CN108366055 A CN 108366055A
- Authority
- CN
- China
- Prior art keywords
- message
- goose
- signature
- goose message
- certification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/004—Arrangements for detecting or preventing errors in the information received by using forward error control
- H04L1/0056—Systems characterized by the type of code used
- H04L1/0061—Error detection codes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
Abstract
本发明公开了一种GOOSE报文签名及认证的方法,包括:发送方对GOOSE报文进行组包;发送方对GOOSE报文内容进行分级签名;GOOSE报文的订阅方进行验证。本发明通过对GOOSE报文的快速组包以及对报文内容的分级签名,来提高智能变电站内GOOSE报文信息安全认证的效率,以满足对过程层设备的实时性要求。
Description
技术领域
本发明涉及一种GOOSE报文签名及认证的方法,属于电力***自动化领域。
背景技术
对于电力***的安全设计,目前设计的防护措施基本上是边界安全措施,并未过多涉及变电站内部网络通信安全防护的具体实施方案,若在变电站内受到攻击时***将会变得非常脆弱。近年来信息安全事件的曝光,使全球震惊之余,也让我们认识到:国家重要行业的信息安全正面临着严峻的考验,电力***内全面的信息安全迫在眉睫。且电力***通信协议的标准化,使得信息通信更容易受到“黑客”攻击,国际标准化组织IEC制定的最新IEC61850国际标准中提出“广域GOOSE”的概念,面向通用对象的变电站事件(GOOSE) 报文应用也不再局限于单个变电站内,而将涉及跨站、跨区域等更加开放及复杂的网络环境中应用。届时GOOSE报文将更易面临恶意窃听、篡改等安全风险,数据的安全性问题日趋突出。尤其是GOOSE 这类直接用于跳闸的通信报文,一旦被篡改后,会带来断路器误动作的严重后果,这对电力***的安全性、可靠性提出了不小的挑战。
为了解决电力通信领域的数据和通信安全问题,2005年4月,IEC制定了IEC62351数据和通信安全国际标准(草案)。为了防止报文在传输过程中数据被第三方截获后,经删除、***、修改、改变次序、等操作后再发给接收方,认证和加密是核心内容。但不同于其他报文,GOOSE 报文有苛刻的实时性要求,针对GOOSE报文进行加密,在时间上不能满足要求。
发明内容
为了解决上述技术问题,本发明提供了一种GOOSE报文签名及认证的方法。
为了达到上述目的,本发明所采用的技术方案是:
一种GOOSE报文签名及认证的方法,包括,
发送方对GOOSE报文进行组包:
初始化时,组织GOOSE报文中的固定数据域,并记录变化数据域在GOOSE报文中的偏移;在实时组包时,若变化数据域内容有变化,先根据偏移更新内容,再组织变化数据域;
发送方对GOOSE报文内容进行分级签名:
将GOOSE报文APDU中的SqNum剔除,剩余的数据进行SHA1信息签名,将SqNum进行单独CRC运算,签名摘要和SqNum的CRC运算结果作为GOOSE报文中的扩展字段与原始报文一起发送;
心跳报文在签名时,将该帧报文的SqNum进行CRC运算,SHA1信息签名沿用上一帧报文;
GOOSE报文的订阅方进行验证:
判断接收报文的签名摘要是否与上一帧报文的一致;如果一致,则解析SqNum并校验其CRC是否正确,若校验成功且SqNum为上一帧报文SqNum顺序加1,则判断这一帧报文为心跳报文,链路正常;如果不一致,则对APDU重新验签且校验SqNum的CRC值,验签及校验成功则采纳该报文。
发送的GOOSE报文采用固定长度方式编码。
发送的GOOSE报文采用TLV格式编码。
在分级签名时,将GOOSE报文保留字段1的内容变为是否为GOOSE认证扩展报文的标识,将GOOSE报文保留字段2的内容变为扩展字段的长度。
订阅方在进行验证时,先根据保留字段1判断接收报文是否为GOOSE认证扩展报文,如果是则进行签名摘要判断,如果不是则进行正常解包流程。
扩展字段还包括GOOSE报文TPID、TCI、EtherType及APPID的CRC计算结果。
本发明所达到的有益效果:本发明通过对GOOSE报文的快速组包以及对报文内容的分级签名,来提高智能变电站内GOOSE报文信息安全认证的效率,以满足对过程层设备的实时性要求。
附图说明
图1为本发明的流程图;
图2为原有GOOSE报文格式;
图3为GOOSE认证报文格式;
图4为订阅方接收并验证的流程图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
如图1所示,一种GOOSE报文签名及认证的方法,具体如下:
1)发送方对GOOSE报文进行组包。
对于发送方为了实现快速组包,发送的GOOSE报文采用固定长度方式编码,具体按TLV(类型—长度—值)格式编码,T(类型)、L(长度)及V(值)所占用的空间固定,例如StNum和SqNum的数据长度L都固定占用4字节,StNum和SqNum的数据域V固定为4字节。
在初始化时,组织GOOSE报文中的固定数据域,固定数据域如图2中的APPID、Length、保留字段1、保留字段2、gocbRef、dataSet、goID、confRev、nsdCom及numDatasetEntries,记录变化数据域在GOOSE报文中的偏移,变化数据域如图2中的Tal、t、stNum、sqNum、test及allData。在实时组包时,若变化数据域内容有变化,先根据偏移更新内容,再组织变化数据域,如此不需要从头开始组包,达到了快速组包的目的。
2)发送方对GOOSE报文内容进行分级签名。
如图2所示,原有GOOSE报文格式中的保留字段1和保留字段2,为了对签名进行补充说明。将GOOSE报文保留字段1的内容变为是否为GOOSE认证扩展报文的标识,可规定:如果值为0x0001则为GOOSE认证报文,如果不是则为原始GOOSE报文;将GOOSE报文保留字段2的内容变为扩展字段的长度。
将GOOSE报文APDU中的SqNum剔除,剩余的数据进行SHA1信息签名,将SqNum进行单独CRC运算,将GOOSE报文TPID、TCI、EtherType及APPID的进行CRC计算。
签名摘要和所有CRC运算结果作为GOOSE报文中的扩展字段与原始报文一起发送,具体如题3所示,扩展字段包括三部分,第一部分为TPID、TCI、EtherType及APPID的CRC计算结果(CRC1);第二部分为签名摘要(AuthenticationValue),是对GOOSE报文中的数据信息进行压缩操作,采用的是SHA1算法,数据被压缩后生成定长的签名摘要字符串;第二部分为SqNum的CRC计算结果(CRC2)。
CRC1在完成计算后保持不变,心跳报文在签名时,心跳报文中只有SqNum在变化,其他内容固定,此时SqNum仅仅表达心跳报文序号,因此只需将该帧报文的SqNum进行CRC运算,SHA1信息签名沿用上一帧报文,即保持不变,大大提高了签名的效率,当内容发生变化时,重新计算并更新AuthenticationValue,CRC2每帧报文都需要重新计算并更新。
3)GOOSE报文的订阅方进行验证。
订阅方接收并验证的流程如图4所示,先根据保留字段1判断接收报文是否为GOOSE认证扩展报文;如果不是,则进行正常解包流程;如果是,则判断接收报文的签名摘要是否与上一帧报文的一致;如果一致,则解析SqNum并校验其CRC是否正确,若校验成功且SqNum为上一帧报文SqNum顺序加1,则判断这一帧报文为心跳报文,链路正常,若是其他情况则丢弃该报文;如果不一致,则对APDU重新验签且校验SqNum的CRC值,验签及校验成功则采纳该报文,否则丢弃该报文。该过程中对心跳报文无需重新验签,仅需要比对签名摘要和对SqNum进行CRC校验,大大提高了对GOOSE安全认证报文的解析效率。
上述方法通过对GOOSE报文的快速组包以及对报文内容的分级签名,来提高智能变电站内GOOSE报文信息安全认证的效率,以满足对过程层设备的实时性要求。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (6)
1.一种GOOSE报文签名及认证的方法,其特征在于:包括,
发送方对GOOSE报文进行组包:
初始化时,组织GOOSE报文中的固定数据域,并记录变化数据域在GOOSE报文中的偏移;在实时组包时,若变化数据域内容有变化,先根据偏移更新内容,再组织变化数据域;
发送方对GOOSE报文内容进行分级签名:
将GOOSE报文APDU中的SqNum剔除,剩余的数据进行SHA1信息签名,将SqNum进行单独CRC运算,签名摘要和SqNum的CRC运算结果作为GOOSE报文中的扩展字段与原始报文一起发送;
心跳报文在签名时,将该帧报文的SqNum进行CRC运算,SHA1信息签名沿用上一帧报文;
GOOSE报文的订阅方进行验证:
判断接收报文的签名摘要是否与上一帧报文的一致;如果一致,则解析SqNum并校验其CRC是否正确,若校验成功且SqNum为上一帧报文SqNum顺序加1,则判断这一帧报文为心跳报文,链路正常;如果不一致,则对APDU重新验签且校验SqNum的CRC值,验签及校验成功则采纳该报文。
2.根据权利要求1所述的一种GOOSE报文签名及认证的方法,其特征在于:发送的GOOSE报文采用固定长度方式编码。
3.根据权利要求2所述的一种GOOSE报文签名及认证的方法,其特征在于:发送的GOOSE报文采用TLV格式编码。
4.根据权利要求1所述的一种GOOSE报文签名及认证的方法,其特征在于:在分级签名时,将GOOSE报文保留字段1的内容变为是否为GOOSE认证扩展报文的标识,将GOOSE报文保留字段2的内容变为扩展字段的长度。
5.根据权利要求4所述的一种GOOSE报文签名及认证的方法,其特征在于:订阅方在进行验证时,先根据保留字段1判断接收报文是否为GOOSE认证扩展报文,如果是则进行签名摘要判断,如果不是则进行正常解包流程。
6.根据权利要求1所述的一种GOOSE报文签名及认证的方法,其特征在于:扩展字段还包括GOOSE报文TPID、TCI、EtherType及APPID的CRC计算结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810109227.8A CN108366055A (zh) | 2018-02-05 | 2018-02-05 | 一种goose报文签名及认证的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810109227.8A CN108366055A (zh) | 2018-02-05 | 2018-02-05 | 一种goose报文签名及认证的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108366055A true CN108366055A (zh) | 2018-08-03 |
Family
ID=63004765
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810109227.8A Pending CN108366055A (zh) | 2018-02-05 | 2018-02-05 | 一种goose报文签名及认证的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108366055A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110995729A (zh) * | 2019-12-12 | 2020-04-10 | 广东电网有限责任公司电力调度控制中心 | 基于非对称加密的控制***通信方法、装置和计算机设备 |
CN113746631A (zh) * | 2021-07-12 | 2021-12-03 | 浙江众合科技股份有限公司 | 基于安全编码的安全通信方法 |
CN114339765A (zh) * | 2021-11-25 | 2022-04-12 | 国网河南省电力公司电力科学研究院 | 一种基于5g通信的差动保护数据交互链式校验方法和*** |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100039954A1 (en) * | 2008-08-18 | 2010-02-18 | Abb Technology Ag | Analyzing communication configuration in a process control system |
CN103873461A (zh) * | 2014-02-14 | 2014-06-18 | 中国南方电网有限责任公司 | 基于iec62351的goose报文的安全交互方法 |
CN104506500A (zh) * | 2014-12-11 | 2015-04-08 | 广东电网有限责任公司电力科学研究院 | 一种基于变电站的goose报文认证方法 |
CN104639328A (zh) * | 2015-01-29 | 2015-05-20 | 华南理工大学 | 一种goose报文认证方法及*** |
CN106451376A (zh) * | 2016-09-30 | 2017-02-22 | 西电通用电气自动化有限公司 | 一种goose报文发布的方法及装置 |
-
2018
- 2018-02-05 CN CN201810109227.8A patent/CN108366055A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100039954A1 (en) * | 2008-08-18 | 2010-02-18 | Abb Technology Ag | Analyzing communication configuration in a process control system |
CN103873461A (zh) * | 2014-02-14 | 2014-06-18 | 中国南方电网有限责任公司 | 基于iec62351的goose报文的安全交互方法 |
CN104506500A (zh) * | 2014-12-11 | 2015-04-08 | 广东电网有限责任公司电力科学研究院 | 一种基于变电站的goose报文认证方法 |
CN104639328A (zh) * | 2015-01-29 | 2015-05-20 | 华南理工大学 | 一种goose报文认证方法及*** |
CN106451376A (zh) * | 2016-09-30 | 2017-02-22 | 西电通用电气自动化有限公司 | 一种goose报文发布的方法及装置 |
Non-Patent Citations (2)
Title |
---|
王智东等: "结合域含义的GOOSE报文加解密方法 ", 《华南理工大学学报(自然科学版)》 * |
王智东等: "结合域含义的GOOSE报文加解密方法", 《华南理工大学学报(自然科学版)》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110995729A (zh) * | 2019-12-12 | 2020-04-10 | 广东电网有限责任公司电力调度控制中心 | 基于非对称加密的控制***通信方法、装置和计算机设备 |
CN110995729B (zh) * | 2019-12-12 | 2022-09-16 | 广东电网有限责任公司电力调度控制中心 | 基于非对称加密的控制***通信方法、装置和计算机设备 |
CN113746631A (zh) * | 2021-07-12 | 2021-12-03 | 浙江众合科技股份有限公司 | 基于安全编码的安全通信方法 |
CN114339765A (zh) * | 2021-11-25 | 2022-04-12 | 国网河南省电力公司电力科学研究院 | 一种基于5g通信的差动保护数据交互链式校验方法和*** |
CN114339765B (zh) * | 2021-11-25 | 2024-01-19 | 国网河南省电力公司电力科学研究院 | 一种基于5g通信的差动保护数据交互链式校验方法和*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108366055A (zh) | 一种goose报文签名及认证的方法 | |
CN104702466B (zh) | 一种基于iec62351的过程层安全测试***及方法 | |
JP5374752B2 (ja) | 保護制御計測システムと装置、およびデータ伝送方法 | |
CN104811427B (zh) | 一种安全的工业控制***通信方法 | |
CN103581683B (zh) | Jpeg图像加密传输方法 | |
CN106559419B (zh) | 短信验证码的应用识别方法及识别终端 | |
CN110380842A (zh) | 适用于智慧网联汽车的can总线报文签名方法、装置和*** | |
CN105187209A (zh) | 一种以太网通信安全保护的方法 | |
CN106507352B (zh) | 短信验证码的网站识别方法及识别终端 | |
CN103714017B (zh) | 一种认证方法、认证装置及认证设备 | |
CN108449310B (zh) | 一种国产网络安全隔离与单向导入***及方法 | |
EP3713147A1 (en) | Railway signal security encryption method and system | |
CN104639328B (zh) | 一种goose报文认证方法及*** | |
CN104135469B (zh) | 一种提高rssp‑ii协议安全性的方法 | |
CN111541699B (zh) | 一种基于iec102通信规约安全传输数据的方法 | |
CN107786951A (zh) | 一种信息处理方法及终端设备 | |
CN115694931A (zh) | 一种继电保护远程运维入侵预防与检测方法和*** | |
CN106936834B (zh) | 一种对iec61850数字变电站smv报文的入侵检测的方法 | |
CN102316032B (zh) | 一种保护交换链路安全的方法及网络交换机 | |
CN112839037A (zh) | 一种配电网规约指令防篡改方法及*** | |
CN104284309B (zh) | 实现短信代收费的方法和*** | |
CN111356178B (zh) | 一种传输方法、发送端pdcp实体和接收端pdcp实体 | |
CN113378205A (zh) | 一种数据跨安全域反向传输的方法 | |
CN111030804A (zh) | 一种故障信息的传输方法、装置、***、设备和存储介质 | |
CN109462591A (zh) | 一种数据传输方法、接收方法、装置及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180803 |