[发明专利]一种GOOSE报文认证方法及系统

说明书

技术领域

本发明属于电力系统信息安全领域，具体涉及IEC61850所定义的GOOSE报文的认证方法。

背景技术

电力通信网络从独立的封闭系统，逐步发展为广域互联的开放系统，其边界范围和地理分布不断扩大、接入方式更加灵活，报文数据的安全性问题也日趋突出。

在电力系统通信网络中，面向通用对象的变电站事件(GOOSE,Generic Object Oriented Substation Event)报文主要用于表征断路器的跳、合闸等操作命令和断路器位置信息等重要场合，其安全性、准确性、实时性很大程度上影响着电力系统运行的可靠性。而且，在以数字化变电站为代表的智能电网中得到越来越广泛的应用的背景下，GOOSE电力报文有可能跨区域、跨电网传输，使得其更可能遭受窃听、攻击、篡改等入侵事件，其在电力信息安全方面的重要性愈发突出。像GOOSE这类直接影响电力系统状态的重要报文，当其报文受到篡改时，可能带来灾难性的后果。

电力信息安全标准IEC62351建议对GOOSE报文采用HMAC认证或数字签名以保障GOOSE报文的完整性。但结合当前智能电子设备实际的运算和存储能力，基于非对称加密环节的数字签名方法难以满足GOOSE等电力报文的4ms延时要求。因此，目前的GOOSE安全算法研究主要选择采用密钥相关的哈希运算消息认证码(Hash-based Message Authentication Code，以下简称HMAC)进行认证以保障完整性。其中HMAC运算利用哈希算法，以一个密钥和一个消息为输入，生成一个消息摘要作为输出。

GOOSE报文发送采用心跳报文机制，即同一心跳报文经一定时间间隔重复发送。同一系列的GOOSE心跳报文，其发送内容基本相同，差别仅在于顺序计数SqNum信息域。其中顺序计数SqNum用于记录该心跳报文至今已发出报文数目。这种情况下，对每个发送出去的GOOSE报文整体直接进行HMAC运算其认证效率不高。

发明内容

本发明的目的在于克服现有技术的缺点与不足，针对GOOSE心跳报文的特点，提供一种GOOSE报文认证方法，本发明提出的方法依据避免心跳报文中相同内容的重复认证计算的思想提出一种高效的GOOSE报文认证方法，可提高认证计算效率和更好适应电力系统高实时性要求。

本发明的另一个目的在于，提供一种GOOSE报文认证系统。

本发明的第一个目的通过下述技术方案实现：

一种GOOSE报文认证方法，所述GOOSE报文认证方法将可变的数据放在待运算数据末端，包括下列步骤：

创建GOOSE认证报文，判断当前GOOSE报文与前一GOOSE报文中应用协议数据单元APDU的非关键信息是否一致，其中，所述非关键报文信息指的是GOOSE报文中应用协议数据单元APDU除了顺序计数sqNum域以外的所有信息，若一致则直接引用前一GOOSE报文中应用协议数据单元APDU的非关键信息的对应认证码配合当前GOOSE报文中应用协议数据单元APDU的关键信息通过HMAC运算生成整体认证码，其中，所述关键信息指的是GOOSE报文中应用协议数据单元APDU的顺序计数sqNum域，；若不一致则首先生成当前GOOSE报文中应用协议数据单元APDU的非关键信息对应认证码，随后利用该认证码配合当前GOOSE报文关键信息通过HMAC运算生成整体认证码；将所述整体认证码作循环冗余校验后生成校验码填充于当前GOOSE报文的帧校验码域后完成GOOSE认证报文创建；

验证GOOSE认证报文，首先生成当前GOOSE报文中应用协议数据单元APDU的非关键信息对应认证码，然后利用该认证码配合当前GOOSE报文关键信息通过HMAC运算生成整体认证码，将整体认证码做循环冗余检验生成校验码后与当前GOOSE报文帧校验码域内容进行对比，若二者一致则认证通过，否则认证失败。

进一步的，所述创建GOOSE认证报文的步骤具体为：

S11、提取当前GOOSE报文中应用协议数据单元APDU的关键信息，生成第一关键信息报文段P2；

S12、删除所述当前GOOSE报文中的所述关键信息，生成第一非关键信息报文段P1；

S13、判断所述第一非关键信息报文段P1是否与前一GOOSE报文中应用协议数据单元APDU的非关键信息一致，若一致则跳至S15，否则转入步骤S14；