[发明专利]一种面向电力IEC104规约的TCP透明代理实现方法

说明书

技术领域

本发明涉及一种TCP透明代理实现方法，尤其涉及一种面向电力 IEC104规约的TCP透明代理实现方法，属于电力系统通信安全技术领 域。

背景技术

随着计算机网络技术在电力自动化中的普遍应用，其利用以太网 介质的网络通信规约进行数据交换在电力自动化系统中得到广泛的应 用，目前在调度自动化系统与各变电站自动化系统之间，及变电站自 动化系统内测控系统的通信传输多采用IEC60870-5-104通信协议(简 称IEC104协议)。IEC104协议作为一种国际标准协议,具有实时性 好、可靠性高、数据流量大、便于信息量扩充、支持网络传输等优点, 其内容和功能涵盖了保护方面的定义。104规约不仅可以用在调度和 厂站之间，而且完全可以应用于变电站自动化系统内部，现有的IEC104 协议已经被国内外电力自动化主流供应商如国电南瑞、北京四方、 SIEMENS等应用到电力自动化系统当中。

IEC104协议是一种国际标准的协议，规定了协议传输过程中报文 的格式要求和传输时序要求，它是一个明文传输标准，信息安全防护 较差；且该协议比较开放和标准化，其受到攻击的威胁大，安全性也 差。IEC104协议以TCP作为传输层协议，而TCP/IP协议本身就存在 安全性问题，如伪造IP地址、源路由选择欺骗等，并且TCP/IP协议 采用明文传输，将会导致应用程序的数据在网络上是公开的，很容易 被窃听、伪造和篡改。可见，远动信息的安全传输已成为不可回避的 实际问题，作为电力自动化系统数据源和实施控制行为的远动信息， 如果由于传输的安全原因引起误动、拒动、上传数据的紊乱等，将给 电力系统的安全稳定运行带来严重威胁，有时甚至引发灾难性事故。 因此，保证远动信息传输的安全性将十分重要。

为了解决上述问题，在申请号为201110361177.0的中国发明专利 申请中，公开了一种实现IEC104报文传输的方法和系统，其中，方法 包括如下步骤：S1，根据预传输IEC104报文所携带的标志位判断其 是否为I帧、U帧还是S帧，若为I帧，则S2，若为U帧或者S帧， 则转至S4；S2，发送方对I帧的应用服务数据单元通过ECC算法进 行加密；S3.接收方对加密后的应用服务数据单元进行解密，以还原 出明文的应用服务数据单元；S4，对预传输IEC104报文的发送方通过 数字签名进行身份验证。根据IEC104报文的帧格式，分别采用ECC加 密算法和通过数字签名进行身份验证相结合的方式对报文进行处理， 一定程度上解决了IEC104报文明文传输的安全性问题，提高了报文传 输的可靠性。

发明内容

针对现有技术的不足，本发明所要解决的技术问题在于提供一种 面向电力IEC104规约的TCP透明代理实现方法。

为实现上述发明目的，本发明采用下述的技术方案：

一种面向电力IEC104规约的TCP透明代理实现方法，包括如下步 骤：

S1，客户端网关加密设备获取IEC104客户端发送的带序列号的报 文信息，将所述报文信息发送给服务器网关加密设备，由服务器网关 加密设备发送给IEC104服务器；

S2，客户端网关加密设备根据所述序列号生成网关序列号，通过 向服务器网关加密设备发送带网关序列号的报文信息在客户端网关加 密设备和服务器网关加密设备之间建立隧道，客户端网关加密设备不 定时自主向服务器网关加密设备传送带网关序列号的通信报文；

S3，IEC104客户端发送带序列号的报文信息给客户端网关加密设 备，客户端网关加密设备结合本地发送的报文信息，将获取所述序列 号进行处理生成网关序列号，并对获取的报文信息进行加密，组合生 成处理信息，将所述处理信息传送给服务器网关加密设备；

S4，服务器网关加密设备对获取的处理信息中的网关序列号进行 反处理，并对报文信息进行解密，将解密后的报文信息传送给IEC104 服务器。

其中较优地，所述IEC104客户端根据本地发送的报文信息，生成 自动递加的序列号。

其中较优地，在步骤S1中，所述客户端网关加密设备在获取所述 IEC104客户端发送的带序列号的报文信息之前，所述IEC104客户端 通过所述客户端网关加密设备和所述服务器网关加密设备与所述 IEC104服务器建立TCP连接。