IEC62351標(biāo)準(zhǔn)變電站原型系統(tǒng)關(guān)鍵技術(shù)

IEC62351標(biāo)準(zhǔn)變電站原型系統(tǒng)關(guān)鍵技術(shù)基于IEC61850標(biāo)準(zhǔn)協(xié)議建立起來(lái)的通信網(wǎng)絡(luò)體系結(jié)構(gòu)在上層協(xié)議上是一致的，而且也大大提高了變電站內(nèi)設(shè)備的互操作性和互換性，但是協(xié)議的開(kāi)放性和標(biāo)準(zhǔn)性卻帶來(lái)了協(xié)議的安全性問(wèn)題；同時(shí)，智能化電站內(nèi)由于各種智能電子設(shè)備的大量應(yīng)用，變電站內(nèi)運(yùn)行、狀態(tài)和控制等數(shù)字化信息都通過(guò)傳輸控制協(xié)議/網(wǎng)際協(xié)議（TCP/IP）網(wǎng)絡(luò)進(jìn)行傳送，也將面臨著傳統(tǒng)TCP/IP網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)與隱患。因此，智能化變電站的信息安全問(wèn)題已日益成為國(guó)內(nèi)外較為關(guān)注的焦點(diǎn)問(wèn)題。IEC62351標(biāo)準(zhǔn)是國(guó)際電工委員會(huì)第57技術(shù)委員會(huì)第15工作組（IECTC57WG15）為電力系統(tǒng)安全運(yùn)行，針對(duì)有關(guān)通信協(xié)議（IEC60870-5，IEC60870-6，IEC61850，IEC61970，IEC61968系列和DNP3）而開(kāi)發(fā)的數(shù)據(jù)和通信安全標(biāo)準(zhǔn)。今天給大家?guī)?lái)國(guó)電南瑞科技股份有限公司與南方電網(wǎng)電力調(diào)度控制中心合作，針對(duì)變電站信息通信安全的研究成果，通過(guò)IEC62351標(biāo)準(zhǔn)系統(tǒng)與非IEC62351標(biāo)準(zhǔn)系統(tǒng)的對(duì)比測(cè)試，來(lái)指導(dǎo)IEC62351標(biāo)準(zhǔn)的工程化實(shí)施。1.IEC62351標(biāo)準(zhǔn)介紹在IEC62351標(biāo)準(zhǔn)中，認(rèn)證和加密是核心內(nèi)容。認(rèn)證，確保信息通信的合法性和完整性；加密，作用在于保證通信過(guò)程中信息的私有性，防止黑客獲取保密信息。變電站二次系統(tǒng)內(nèi)部通信協(xié)議主要包括制造報(bào)文規(guī)范（MMS）、通用面向?qū)ο笞冸娬臼录℅OOSE）、采樣測(cè)量值（SMV）等。其中，MMS協(xié)議安全強(qiáng)化涉及開(kāi)發(fā)系統(tǒng)互聯(lián)（OSI）7層模型中的傳輸層和應(yīng)用層，傳輸層的安全強(qiáng)化通過(guò)傳輸層安全（TLS）協(xié)議完成，應(yīng)用層安全強(qiáng)化通過(guò)擴(kuò)展MMS關(guān)聯(lián)請(qǐng)求報(bào)文和響應(yīng)報(bào)文完成。GOOSE/SMV協(xié)議安全強(qiáng)化僅涉及OSI7層模型中的應(yīng)用層，通過(guò)使用原始報(bào)文的保留位以及增加尾部認(rèn)證字段實(shí)現(xiàn)。2.MMS協(xié)議關(guān)鍵技術(shù)研究IEC62351標(biāo)準(zhǔn)第4部分定義了MMS協(xié)議的安全機(jī)制，分別是傳輸層安全和應(yīng)用層安全。傳輸層安全通過(guò)基于TCP/IP的TLS協(xié)議對(duì)安全服務(wù)要求進(jìn)行設(shè)計(jì)。應(yīng)用層安全在應(yīng)用層定義了安全服務(wù)要求，引入了關(guān)聯(lián)控制服務(wù)單元（ACSE）的ACSE請(qǐng)求（AARQ）和ACSE響應(yīng)（AARE）來(lái)建立一個(gè)安全的MMS關(guān)聯(lián)，主要針對(duì)安全認(rèn)證、數(shù)字證書(shū)。MMS協(xié)議改造主要分為兩個(gè)部分，一是基于TCP/IP集上的安全改造，二是MMS在應(yīng)用層上，客戶(hù)端與服務(wù)器之間在關(guān)聯(lián)過(guò)程中的認(rèn)證。2.1TLS協(xié)議及其應(yīng)用TLS協(xié)議用于構(gòu)建客戶(hù)端和服務(wù)端之間的安全通道。TLS協(xié)議本身基于TCP傳輸層協(xié)議，通過(guò)實(shí)現(xiàn)證書(shū)認(rèn)證、密鑰協(xié)商、數(shù)據(jù)加解密等功能，對(duì)上層應(yīng)用程序提供類(lèi)似于TCP的流傳輸協(xié)議。TLS協(xié)議棧如圖1所示。在應(yīng)用程序使用TLS協(xié)議時(shí)，其使用方法并非完全類(lèi)似于TCP/IP所提供的套接字（socket）接口，主要區(qū)別在于網(wǎng)絡(luò)讀寫(xiě)句柄的初始化步驟上面。應(yīng)用程序仍然需要按照標(biāo)準(zhǔn)的socket接口來(lái)初始化與對(duì)端進(jìn)行網(wǎng)絡(luò)通信的socket句柄，再在該socket句柄的基礎(chǔ)上初始化TLS句柄，最后直接通過(guò)TLS句柄進(jìn)行網(wǎng)絡(luò)讀寫(xiě)操作。2.2MMS改造關(guān)鍵點(diǎn)MMS改造過(guò)程分兩部分：①啟用AARQ和AARE數(shù)據(jù)結(jié)構(gòu)的認(rèn)證字段，并填充認(rèn)證相關(guān)數(shù)據(jù)；②關(guān)聯(lián)雙方進(jìn)行互認(rèn)證檢查及必要的狀態(tài)切換。1）數(shù)據(jù)結(jié)構(gòu)改造改造IEC61850標(biāo)準(zhǔn)關(guān)聯(lián)信息結(jié)構(gòu)，定義STASE-MMS-Authentication-value模塊，并在模塊中定義認(rèn)證值數(shù)據(jù)結(jié)構(gòu)MMS-Authentication-value，用于完成認(rèn)證功能。2）認(rèn)證檢查過(guò)程關(guān)聯(lián)建立請(qǐng)求鑒別過(guò)程：①AARQ的發(fā)送者應(yīng)該對(duì)適當(dāng)?shù)腁CSE的AuthenticationMechanism和AuthenticationValue字段進(jìn)行編碼，并應(yīng)通過(guò)使用表示層-連接服務(wù)發(fā)送AARQ；②AARQ-指示原語(yǔ)的接收者應(yīng)使用AuthenticationMechanism和AuthenticationValue字段去校驗(yàn)簽名值；③如果該AARQ的接收者在最近10min之內(nèi)已經(jīng)接收到包含相同簽名值的AARQ，則應(yīng)導(dǎo)致接收者發(fā)出表示層-異常終止（P-ABORT）原語(yǔ)；④如果簽名值沒(méi)有導(dǎo)致P-ABORT，則簽名值及其它的安全參數(shù)就應(yīng)傳送給ACSE的用戶(hù)。關(guān)聯(lián)建立響應(yīng)鑒別過(guò)程：①AARE的發(fā)送者應(yīng)該對(duì)適當(dāng)?shù)腁CSE的AuthenticationMechanism和AuthenticationValue字段進(jìn)行編碼，并應(yīng)通過(guò)使用表示層-連接服務(wù)發(fā)送AARE；②AARE-indication原語(yǔ)的接收者用AuthenticationMechanism和AuthenticationValue字段去校驗(yàn)簽名值；③如果該AARE的接收者在最近10min之內(nèi)已經(jīng)接收到包含相同簽名值的AARE，則應(yīng)導(dǎo)致接收者發(fā)出P-ABORT原語(yǔ)；④如果簽名值沒(méi)有導(dǎo)致P-ABORT，則應(yīng)將簽名值及其它安全參數(shù)傳送給ACSE的用戶(hù)。2.3MMS實(shí)施注意點(diǎn)兼容性問(wèn)題。實(shí)現(xiàn)了MMS應(yīng)用層安全改造的設(shè)備和系統(tǒng)，應(yīng)支持與未實(shí)現(xiàn)安全改造的設(shè)備和系統(tǒng)的互操作，對(duì)于改造過(guò)的設(shè)備和系統(tǒng)，兼容性的判斷建議可通過(guò)區(qū)分特定的應(yīng)用層安全標(biāo)識(shí)實(shí)現(xiàn)，未改造的設(shè)備和系統(tǒng)可忽略新增的報(bào)文內(nèi)容。數(shù)字簽名算法。綜合考慮安全性要求和性能的要求，數(shù)字簽名算法選擇使用公鑰加密算法（RSA算法），散列（HASH）算法選擇使用安全哈希算法1（SHA1）。密鑰位數(shù)選擇1024位。3.GOOSE/SMV關(guān)鍵技術(shù)研究IEC62351標(biāo)準(zhǔn)第6部分定義了GOOSE/SMV防止非法入侵及防重放攻擊的方法。通過(guò)利用GOOSE/SMV報(bào)文協(xié)議格式中的保留字段和擴(kuò)展協(xié)議來(lái)實(shí)現(xiàn)GOOSE/SMV安全改造目標(biāo)，具備防止非法入侵操作攻擊及防止重放攻擊的能力。3.1GOOSE/SMV改造關(guān)鍵點(diǎn)對(duì)基于IEC61850標(biāo)準(zhǔn)的GOOSE/SMV報(bào)文保留字段進(jìn)行利用，并擴(kuò)展GOOSE/SMV報(bào)文結(jié)構(gòu)，通過(guò)對(duì)GOOSE/SMV報(bào)文頭部分進(jìn)行循環(huán)冗余校驗(yàn)（CRC）計(jì)算、對(duì)GOOSE/SMV報(bào)文體進(jìn)行哈希摘要計(jì)算，最終在擴(kuò)展部分對(duì)摘要進(jìn)行簽名，保護(hù)GOOSE/SMV報(bào)文的完整性，確定GOOSE/SMV報(bào)文的源，并且防重放攻擊。1）服務(wù)端在拼裝GOOSE/SMV報(bào)文時(shí)，首先對(duì)GOOSE/SMV報(bào)文頭部分字段進(jìn)行CRC計(jì)算，以保存在GOOSE/SMV報(bào)文的保留字段中，再對(duì)GOOSE/SMV報(bào)文進(jìn)行摘要計(jì)算，并對(duì)摘要進(jìn)行簽名，并將簽名值存放于擴(kuò)展字段中。2）客戶(hù)端在接收到GOOSE/SMV報(bào)文后，通過(guò)簽名驗(yàn)證，以確定GOOSE/SMV報(bào)文的源，通過(guò)摘要驗(yàn)證和CRC驗(yàn)證，以確定內(nèi)容是否被篡改。3）通過(guò)對(duì)時(shí)間的有效性進(jìn)行認(rèn)證，實(shí)現(xiàn)GOOSE/SMV防重放攻擊。對(duì)GOOSE來(lái)說(shuō)直接使用報(bào)文中的時(shí)間信息；對(duì)SMV來(lái)說(shuō)在原有數(shù)據(jù)結(jié)構(gòu)上基礎(chǔ)上，擴(kuò)展時(shí)間戳字段。在報(bào)文具備時(shí)間信息的基礎(chǔ)上，結(jié)合報(bào)文序號(hào)和處理邏輯，防止重放攻擊。3.2GOOSE/SMV實(shí)施注意點(diǎn)兼容性問(wèn)題。GOOSE/SMV協(xié)議的安全擴(kuò)展不影響原有報(bào)文數(shù)據(jù)結(jié)構(gòu)，非安全GOOSE/SMV客戶(hù)端可不理會(huì)安全擴(kuò)展的GOOSE/SMV報(bào)文。數(shù)字簽名算法。考慮到目前過(guò)程層設(shè)備的硬件處理能力和報(bào)文的處理效率要求，如采用影響傳輸速率的加密或其他安全措施是不能接受的，本文的在對(duì)GOOSE/SMV進(jìn)行改造時(shí)進(jìn)行了充分的測(cè)試和驗(yàn)證，HASH算法選擇使用SHA1，密鑰位數(shù)選擇100位，保證滿(mǎn)足標(biāo)準(zhǔn)及應(yīng)用的要求。4.原型系統(tǒng)搭建及測(cè)試4.1原型系統(tǒng)搭建原型系統(tǒng)由兩套測(cè)控裝置、兩套智能終端、兩套合并單元、一套交換機(jī)（用于過(guò)程層與間隔層）、一個(gè)普通路由器（用于間隔層與站控層）、一套網(wǎng)絡(luò)分析儀、站控層監(jiān)控后臺(tái)的計(jì)算機(jī)及相應(yīng)的測(cè)試計(jì)算機(jī)組成。所有設(shè)備均按照IEC62351標(biāo)準(zhǔn)的要求對(duì)相應(yīng)的通信協(xié)議進(jìn)行了改造。它們的地址見(jiàn)圖2，其中智能終端和合并單元中一個(gè)控制塊對(duì)應(yīng)一個(gè)MAC地址。4.2對(duì)比測(cè)試及工程實(shí)施分析針對(duì)MMS通信性能測(cè)試及分析，并記錄了測(cè)試數(shù)據(jù)，測(cè)試表明接收接口的耗時(shí)增加較大，單裝置運(yùn)行中主要用到發(fā)送報(bào)告服務(wù)，不會(huì)召喚動(dòng)態(tài)模型，且MMS通信在系統(tǒng)中是相對(duì)慢速任務(wù)，因此MMS的安全改造對(duì)裝置的運(yùn)行影響不大。針對(duì)GOOSE通信性能測(cè)試及分析，也進(jìn)行了測(cè)試數(shù)據(jù)記錄，簽名/解簽算法裝置上最終選擇的是SHA1算法，否則目前硬件性能無(wú)法滿(mǎn)足要求。保護(hù)測(cè)控裝置的GOOSE發(fā)送性能改造前后變化不影響現(xiàn)場(chǎng)工程使用要求。針對(duì)SMV報(bào)文接收和發(fā)送也進(jìn)行了性能測(cè)試，并記錄的測(cè)試數(shù)據(jù)，測(cè)試結(jié)果表明SMV報(bào)文接收、發(fā)送在改造前后主要是簽名和解簽的耗時(shí)，但目前的硬件性能可以滿(mǎn)足工程要求。5.結(jié)語(yǔ)IEC61850標(biāo)準(zhǔn)中不包括任何安全措施，蘊(yùn)含了一定的信息安全隱患，IEC62351標(biāo)準(zhǔn)的提出有效解決了協(xié)議的安全問(wèn)題。本文對(duì)IEC