(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111341888.1 (22)申请日 2021.11.12 (71)申请人 许昌许继软件技 术有限公司 地址 461000 河南省许昌市许继大道170 6 号 (72)发明人 侍文博　方正　李永亮　应站煌　 高建琨　周晓娟　刘博　陈强　 (74)专利代理 机构 北京中创云知识产权代理事 务所(普通 合伙) 11837 代理人 刘佳音 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/141(2022.01) H04L 67/143(2022.01) (54)发明名称 一种基于IEC60870-5-104的电力装置安全 接入系统及其控制方法 (57)摘要 本发明公开了一种基于IEC60870 ‑5‑104的 电力装置安全接入系统及其控制方法， 其中系统 包括： 104主站模块和104从站模块； 104主站模 块 位于主站装置内， 104从站模块位于从站模块内； 104主站预存有待连接的所有从站装置的安全信 息， 104从站模块预存有其安全信息； 104主站模 块与104从站模块通过预设加密模式进行加密安 全认证数据传输。 通过ASDU 安全认证验证主站装 置的104主站模块和从站装置的104从站模 块， 实 现了104主站模块和104从站模块在传输安全认 证数据时的信息加密， 有效避免了非认证或非法 装置的接入,杜绝了非法装置替换合法装置的可 能性， 避免了业务数据泄漏或篡改， 提高了电力 设备连接的安全性。 权利要求书1页 说明书5页 附图1页 CN 114095223 A 2022.02.25 CN 114095223 A 1.一种基于IEC60870 ‑5‑104的电力装置安全接入系统， 其特征在于， 包括： 104主站模 块和104从站模块； 所述104主站模块 位于主站装置内， 所述104从站模块 位于从站模块内； 所述104主站预存有待连接的所有所述从站装置的安全信息， 所述104从站模块预存有 其安全信息； 所述104主站模块与所述104从站模块 通过预设加密模式进行加密安全认证数据传输 。 2.根据权利要求1所述的基于IE C60870‑5‑104的电力装置安全接入系统， 其特 征在于， 所述预设加密模式为AS DU安全认证。 3.根据权利要求2所述的基于IE C60870‑5‑104的电力装置安全接入系统， 其特 征在于， 所述ASDU安全认证类型报文格式包括： 类型标识、 可变结构限定词、 传送原因、 应用服 务单元公共地址、 信息体地址、 信息体内容。 4.根据权利要求1所述的基于IE C60870‑5‑104的电力装置安全接入系统， 其特 征在于， 所述104从站模块还 包括： 待连接的所有所述主站装置的IP地址 。 5.根据权利要求1所述的基于IE C60870‑5‑104的电力装置安全接入系统， 其特 征在于， 所述安全信息包括： IP地址、 用户名和密码。 6.根据权利要求1所述的基于IE C60870‑5‑104的电力装置安全接入系统， 其特 征在于， 所述104主站模块与所述104从站模块经 过预设次数握 手建立TCP连接 。 7.一种基于IEC60870 ‑5‑104的电力装置安全接入系统控制 方法， 其特征在于， 用于控 制权利要求1 ‑6任一所述的基于IE C60870‑5‑104的电力装置安全接入系统， 包括如下步骤 基于所述104主站模块发送加密后的安全信息； 基于所述104从站模块 解密所述 安全信息， 并判断是否通过安全认证； 如是则进行信息传输， 如否则关闭TCP连接 。 8.根据权利要求7所述的基于IEC60870 ‑5‑104的电力装置安全接入系统控制方法， 其 特征在于， 所述基于所述104主站模块发送加密后的安全信息之前， 还 包括： 通过104主站模块向所述104从站模块发起TCP连接； 基于所述104从站模块判断所述104主站模块的IP地址是否位于预存安全列表； 如是则建立所述TCP连接， 如否则关闭所述TCP连接 。 9.根据权利要求7所述的基于IEC60870 ‑5‑104的电力装置安全接入系统控制方法， 其 特征在于， 所述安全信息包括： IP地址、 用户名和密码。权　利　要　求　书 1/1 页 2 CN 114095223 A 2一种基于IEC60870 ‑5‑104的电力装 置安全接入系统及其控制 方法 技术领域 [0001]本发明涉及电力设备信息传 输技术领域， 特别涉及一种基于IEC60870 ‑5‑104的电 力装置安全接入系统及其控制方法。 背景技术 [0002]IEC60870 ‑5‑104远动规约(以下简称IEC104规约)是一个广泛应用于电力、 城 市轨 道交通等行业的国际标准， 适用于调度主站和变电站或者调度主站和远动(Remote   Terminal  Unit， 简称RTU)之间用于以太网传输数据， 是IEC60870 ‑5系列标准的配套标准。 IEC104规约通过网络规约TCP/IP来传输IEC101的应用服务数据单元(ASDU )， 采用组合 IEC101规约的ASDU的方式后,可很好的保证规约的标准化和通信的可靠性。 IEC104规约为 了保证应用层ASDU的通信 可靠性， 封装APCI传输接口， 并规定了防止报文丢失和报文重复 传送的处理机制， 具有实时性好、 可靠性高、 数据流量大、 便于信息量扩充、 支持网络传输等 优点。 [0003]IEC104规约定义了三种报文格式： I格式， S格式， U格式。 I格式报文用于传递信息， 包含了应用服务数据单元ASDU； S格式报文用于当没有I格式报文回应的情况下， 回应确认 报文的接收,它不包含ASDU； U格式报文用于数据传输的过程控制， 主要实现子站进行数据 传输(STARTDT)、 停止 子站的数据传输(STOP DT)和TCP链路测试(TESTFR)， 它也 不包含ASDU。 [0004]IEC104规约进行通信时采用网络传输层的可靠传输协议TCP， 一般分为主站、 从 站。 主站(控制端)为TCP客户端， 从站(被控制端)为TCP服务器端， 即主站主动进行TCP连接， 而从站被动响应TCP连接， 主站与 从站建立TCP连接后， 开始正常 的104报文交互； 双方一般 使用默认的TCP端口号2404。 [0005]在实际的变电站工程项目中， IEC 104协议主要用于调度与变电站中的远动装置或 运动装置与 站内就地装置之间的通信。 调度与运动装置通信时， 调度作为IEC104主站， 变电 站中的远动装置作为IEC104 从站， 调度主动向运动装置发起TCP连接， 三次握手 建立连接后 进行正常的变电站业务数据交互。 运动装置与 站内就地装置通信时， 远动作为IEC104主站， 就地装置作为IEC104 从站， 远动装置主动向就地装置发起TCP连接， 建立连接后进 行业务交 互。 [0006]一般的， 如果两个电力装置之间需要通过IEC104协议进行通信， 则两个电力装置 需分为主站装置、 从站装置。 主站装置与从站装置均需支持IEC104通讯协议， 其中主站装置 作为TCP客户端， 主动向从站装置发起TCP连接请求； 而从站装置作为TCP服务端， 侦听并等 待主站装置的TCP连接； 主站装置与从站装置进行TCP协议的三次握手后 建立通信连接， 之 后双方开始交互业务报文。 但是IEC  104协议本身并没有相应的安全接入认证机制,随便一 个主站装置都可以对从站装置发起连接并接入进 行业务数据的交互， 从站装置对接入的主 站装置缺 乏有效的接入认证机制， 不能有效避免非认证或非法装置的接入,存在非法装置 替换的可能性， 容 易导致业务数据泄漏或篡改， 存在一定的安全风险。说　明　书 1/5 页 3 CN 114095223 A 3