一種電氣設備安全性的檢測方法技術

本發明專利技術提供一種電氣設備安全性的檢測方法，該方法檢測電氣設備是否具有指定安全通信端口功能；檢測設備是否具備TLS傳輸層安全功能；檢測設備是否具備MMS應用層的關聯認證及防重放攻擊功能。本發明專利技術提出的方法通過檢測待入站的安全性設備是否具備IEC62351標準要求的安全規范，來為設備入站提出建議，通過對MMS規約安全增強后的設備進行安全功能檢測，依據IEC62351標準來判定設備是否達到安全增強效果，為安全設備開發和入站作指導依據；能夠有效減少直接將設備入站投入使用的費用，也有利促進設備開發廠商開發出滿足IEC62351標準的安全設備產品。

【技術實現步驟摘要】

本專利技術涉及電力信息安全領域，具體涉及。
技術介紹
電網智能變電站系統是電網業務系統的核心，電網智能變電站系統安全測評及防護建設是建設智能電網的內在保障。電網智能變電站系統安全測評及建設是將先進的測評理念、測評手段、測評工具用于智能變電站系統安全測評，保障電網的安全穩定運行。2011年10月25日，國家工業和信息化部印發《關于加強工業控制系統信息安全管理的通知》(以下簡稱通知)，要求切實加強工業控制系統信息安全管理，保障工業生產運行安全、國家經濟安全和人民生命財產安全。通知明確要求:重點加強核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關領域的工業控制系統信息安全管理，落實安全管理要求。電網智能變電站系統提供繼電保護、控制、測量、信號、故障錄波、自動裝置及遠動裝置等功能，其自身的安全穩定運行與防護能力事關重大。北京奧運會期間，電網信息安全經歷非常嚴峻的信息安全實戰考驗，僅北京電網就遭到9000多次惡意網絡攻擊，外部攻擊者試圖攻擊電網控制系統、變電站及發電廠。鑒于外部信息攻擊威脅的嚴峻形勢，已有戰略專家指出電網就是未來信息戰的戰場。因此，迫切需要采用先進的信息安全測評技術與手段，確保電網智能變電站系統的安全，以保障電網安全穩定運行。DL/T 860(等同引用國際標準IEC 61850)為智能變電站通信規約國家標準，提出了變電站的一組公共通信標準，通過對設備的一系列規范化，使得IED(智能電子設備)能夠在統一規范下進行無縫連接。DL/T 860的特點是I)面向對象建模；2)抽象通信服務接口 ；3)面向實時的服務；4)配置語言；5)整個電力系統統一建模。DL/T 860標準將變電站通信體系分為變電站層、間隔層、過程層。DL/T 860的網絡通信上層統一采用抽象通信服務接口，對具體的網絡，通過將底層實現接口映射到抽象通信接口來對接。在變電站層與間隔層之間將抽象通信服務接口映射到制造報文規范(MMS)、傳輸控制協議/網際協議(TCP/IP)以太網或光纖網。在間隔層與過程層之間的網絡采用廣播式的以太網傳輸。國家電網公司在^一五”規劃中明確提出研究和推廣以DL/T 860和電子式PT/CT為基礎的數字化變電站。DL/T 860提出了變電站過程層、間隔層、站控層三層之間所有設備直接接入以太網。由此可見網絡在變電站中已成為最重要的通信方式。但是，由于DL/T 860標準提出時，只注重IED之間的共享通信，而對通信過程中的安全并未重視，導致變電站一旦被入侵，而變電站內部又沒有任何防護措施，后果將很難想象。DL/T 860引用的MMS規范針對安全性的防范措施，也僅僅體現在訪問控制的接口描述上。2005年4月，國際標準化組織IEC制定了 IEC62351數據和通信安全標準(草案)，以解決電力通訊領域的數據和通訊安全問題。在IEC62351中，認證和加密是核心內容。隨著智能變電站標準IEC62351的提出，針對IEC62351標準開發的智能變電站安全設備已經開始研制，為了能夠檢測變電站設備是否滿足IEC62351的安全要求，有必要提出檢測方法來判定增強后的變電站設備是否滿足IEC62351標準。
技術實現思路
有鑒于此，本專利技術提供的，該方法通過檢測待入站的安全性設備是否具備IEC62351標準要求的安全規范，來為設備入站提出建議，通過對MMS規約安全增強后的設備進行安全功能檢測，依據IEC62351標準來判定設備是否達到安全增強效果，為安全設備開發和入站作指導依據；能夠有效減少直接將設備入站投入使用的費用，也有利促進設備開發廠商開發出滿足IEC62351標準的安全設備產品。本專利技術的目的是通過以下技術方案實現的:，所述檢測方法依據IEC62351安全標準規范檢測準備進入智能變電站的電氣設備的被測端的安全性，所述電氣設備均為基于MMS進行安全增強的電氣設備；所述被測端為MMS客戶端或MMS服務端；所述方法包括如下步驟:步驟1.檢測所述電氣設備是否具有指定安全通信端口功能；若是，則進入步驟2 ;若否，則判定所述電氣設備的安全性存在漏洞，檢測結束；步驟2.檢測設備是否具備TLS傳輸層安全功能；若是，則進入步驟3 ;若否，則判定所述電氣設備的安全性存在漏洞，檢測結束；步驟3.檢測設備是否具備MMS應用層的關聯認證及防重放攻擊功能；若是，則判定所述電氣設備的安全性良好，檢測結束；若否，則判定所述電氣設備的安全性存在漏洞，檢測結束。優選的，若所述被測端為MMS客戶端，則所述步驟I包括:1A-1.配置所述電氣設備相應的IP地址和指定端口，連接所述電氣設備；1A-2.判斷所述電氣設備的返回結果；若所述電氣設備返回報文并獲得端口服務，則端口測評通過并進入1A-3 ;若所述電氣設備未返回報文或返回報文無法到達目的，則返回IP地址錯誤并結束檢測；若所述電氣設備返回報文，但未獲得端口服務，則返回端口錯誤并結束檢測；1A-3.檢測工具與待測端配置同一 CA證書；其中，所述檢測工具包括關聯認證檢測工具、關聯認證防重放檢測工具及加密通信檢測工具。優選的，若所述被測端為MMS服務端，則所述步驟I包括:1B-1.配置所述電氣設備相應的IP地址和指定端口，連接所述電氣設備；1B-2.提取當前所述麗S服務端的時間Tl，并構造簽名報文；1B-3.將所述簽名報文發送至所述麗S服務端，并判斷所述電氣設備的返回結果；若所述電氣設備返回報文并獲得端口服務，則端口測評通過并進入1B-4 ;若所述電氣設備未返回報文或返回報文無法到達目的，則返回IP地址錯誤并結束檢測；若所述電氣設備返回報文，但未獲得端口服務，則返回端口錯誤并結束檢測；1B-4.檢測工具與待測端配置同一 CA證書；其中，所述檢測工具包括關聯認證檢測工具、關聯認證防重放檢測工具及加密通信檢測工具。優選的，所述步驟2包括:2-1.接收所述被測端發送的數據，并提取其中的傳輸層數據；2-2.用TLS加密套件與所述電氣設備通信，判定所述傳輸層數據是否使用TLS協議；若是，則進入2-3;若否，則返回TLS協議未使用錯誤并判斷所述電氣設備的安全性存在漏洞，檢測結束；2-3.解密所述傳輸層數據，并判定所述傳輸層數據是否能夠解析；若是，則TLS加密檢測通過，進入步驟3 ;若否，則返回加密套件不符合要求錯誤并判斷所述電氣設備的安全性存在漏洞，檢測結束。優選的，若所述被測端為麗S客戶端，則所述步驟3包括:3A-1.提取所述麗S客戶端發送的數據中的應用層數據；3A-2.判定所述應用層數據是否啟用認證功能單元；若是，則進入3A-3 ；若否，則返回未啟用認證功能單元錯誤并判斷所述電氣設備的安全性存在漏洞，檢測結束；3A-3.提取所述麗S服務端證書的數據，所述麗S服務端證書的數據包括證書、時間及簽名值；3A-4.加載CA證書，并根據所述CA證書驗證所述MMS服務端證書是否有效；[0049當前第1頁1 2 3 4 本文檔來自技高網...

【技術保護點】
一種電氣設備安全性的檢測方法，其特征在于，所述檢測方法依據IEC62351安全標準規范檢測準備進入智能變電站的電氣設備的被測端的安全性，所述電氣設備均為基于MMS進行安全增強的電氣設備；所述被測端為MMS客戶端或MMS服務端；所述方法包括如下步驟：步驟1.檢測所述電氣設備是否具有指定安全通信端口功能；若是，則進入步驟2；若否，則判定所述電氣設備的安全性存在漏洞，檢測結束；步驟2.檢測設備是否具備TLS傳輸層安全功能；若是，則進入步驟3；若否，則判定所述電氣設備的安全性存在漏洞，檢測結束；步驟3.檢測設備是否具備MMS應用層的關聯認證及防重放攻擊功能；若是，則判定所述電氣設備的安全性良好，檢測結束；若否，則判定所述電氣設備的安全性存在漏洞，檢測結束。

【技術特征摘要】

【專利技術屬性】
技術研發人員：汪晨，邵志鵬，張濤，馬媛媛，黃秀麗，周誠，李偉偉，時堅，費稼軒，戴造建，管小娟，
申請(專利權)人：國網智能電網研究院，國網天津市電力公司，國家電網公司，
類型：發明
國別省市：北京;11