智能电网DNP3协议安全机制研究与实现

摘要

智能电网系统融合了网络信息技术、自动控制技术以及物联网技术，是重要的国家关键基础设施。由于智能电网从封闭式的内部管理网络模式，逐步到对外开放的远程操作网络模式，并与互联网直接或间接关联，其安全问题也日益突出，特别是在数据传输及共享资源等方面，面临着病毒、木马、黑客入侵等安全威胁。分布式网络协议（Distributed Network Protocol，DNP3）是智能电网控制系统中广泛使用的实时通信协议，具有高效、可靠、灵活和标准化等特点。DNP3协议在设计之初没有安全方面的考虑，其数据格式、报文结构都是公开的、开放的标准，在传输的过程有被截取、监听、甚至被修改利用等方面的不足，严重威胁了智能电网通信安全。因此研究如何加强智能电网中DNP3协议的安全性，保证智能电网通信的安全，防止不法分子的入侵，对于智能电网的建设发展有着重要意义。本文结合智能电网结构和通信安全需求，对DNP3协议安全隐患展开研究工作，提出了安全加固框架，设计并实现入侵检测机制和安全传输机制，对 DNP3协议进行双重保护，增强DNP3协议的安全性。
　　在入侵检测机制研究方面，本文提出了一种基于DNP3协议分析的入侵检测方法，在Bro入侵检测框架的基础上，设计了DNP3协议分析器，其中包含了DNP3抽取器、DNP3事件生成器和DNP3验证策略三个功能模块。通过对入侵行为的提取，从DNP3协议字段、字段关联和通信模式的三个方面定义 DNP3验证策略，并结合入侵检测测试，验证了入侵检测方法的有效性。
　　在安全传输机制研究方面，本文提出运用椭圆密码体制ECC和高级加密算法AES对安全套接字层SSL协议进行扩展，为DNP3协议设计安全传输机制，确保数据安全，弥补了DNP3数据明文传输的缺陷。该机制包含SSL握手和数据加密两个模块，SSL握手模块运用ECDSA和ECDH两种算法实现签名验证和密钥交换，实现了安全、灵活、高效的密钥管理；数据加密模块运用AES算法对数据加密，实现了数据保密传输，同时采取MAC运算，实现数据完整性验证。最后，运用开源的OpenSSL密码算法库，对安全传输机制的多项性能进行测试，测试结果表明，采用AES和ECC扩展的SSL协议，能够实现安全传输的同时满足智能电网的实时性要求，增强了DNP3协议安全性，具有一定实用价值。

目录

声明

第一章 绪论

1.1 研究背景及意义

1.2 国内外研究现状

1.3 论文主要工作

1.4 论文章节安排

第二章 相关知识与技术

2.1 智能电网安全研究

2.2 DNP3协议脆弱性研究

2.3 DNP3报文结构研究

2.4 相关技术

2.5 本章小结

第三章 DNP3协议入侵检测机制设计与实现

3.1 引言

3.2 基于Bro框架的DNP3协议分析器设计

3.3 DNP3验证策略设计

3.4 DNP3协议分析器的实现

3.5 本章小结

第四章 DNP3协议安全传输机制设计与实现

4.1 引言

4.2 基于SSL协议的DNP3安全传输机制设计

4.3 基于ECC的SSL握手设计

4.4 基于AES的数据加密设计

4.5 DNP3安全传输机制的实现

4.6 本章小结

第五章 测试与分析

5.1 入侵检测机制的测试与分析

5.2 安全传输机制的测试与分析

5.3 本章小结

第六章 结束语

6.1 工作总结

6.2 工作展望

致谢

参考文献

作者在学期间取得的学术成果

附录A DNP3应用层功能码表

附录B DNP3数据链路层功能码表