IEC62351標(biāo)準(zhǔn)變電站原型系統(tǒng)關(guān)鍵技術(shù)

IEC62351標(biāo)準(zhǔn)變電站原型系統(tǒng)關(guān)鍵技術(shù)基于IEC61850標(biāo)準(zhǔn)協(xié)議建立起來的通信網(wǎng)絡(luò)體系結(jié)構(gòu)在上層協(xié)議上是一致的，而且也大大提高了變電站內(nèi)設(shè)備的互操作性和互換性，但是協(xié)議的開放性和標(biāo)準(zhǔn)性卻帶來了協(xié)議的安全性問題；同時，智能化電站內(nèi)由于各種智能電子設(shè)備的大量應(yīng)用，變電站內(nèi)運行、狀態(tài)和控制等數(shù)字化信息都通過傳輸控制協(xié)議/網(wǎng)際協(xié)議（TCP/IP）網(wǎng)絡(luò)進行傳送，也將面臨著傳統(tǒng)TCP/IP網(wǎng)絡(luò)的安全風(fēng)險與隱患。因此，智能化變電站的信息安全問題已日益成為國內(nèi)外較為關(guān)注的焦點問題。IEC62351標(biāo)準(zhǔn)是國際電工委員會第57技術(shù)委員會第15工作組（IECTC57WG15）為電力系統(tǒng)安全運行，針對有關(guān)通信協(xié)議（IEC60870-5，IEC60870-6，IEC61850，IEC61970，IEC61968系列和DNP3）而開發(fā)的數(shù)據(jù)和通信安全標(biāo)準(zhǔn)。今天給大家?guī)韲娔先鹂萍脊煞萦邢薰九c南方電網(wǎng)電力調(diào)度控制中心合作，針對變電站信息通信安全的研究成果，通過IEC62351標(biāo)準(zhǔn)系統(tǒng)與非IEC62351標(biāo)準(zhǔn)系統(tǒng)的對比測試，來指導(dǎo)IEC62351標(biāo)準(zhǔn)的工程化實施。1.IEC62351標(biāo)準(zhǔn)介紹在IEC62351標(biāo)準(zhǔn)中，認證和加密是核心內(nèi)容。認證，確保信息通信的合法性和完整性；加密，作用在于保證通信過程中信息的私有性，防止黑客獲取保密信息。變電站二次系統(tǒng)內(nèi)部通信協(xié)議主要包括制造報文規(guī)范（MMS）、通用面向?qū)ο笞冸娬臼录℅OOSE）、采樣測量值（SMV）等。其中，MMS協(xié)議安全強化涉及開發(fā)系統(tǒng)互聯(lián)（OSI）7層模型中的傳輸層和應(yīng)用層，傳輸層的安全強化通過傳輸層安全（TLS）協(xié)議完成，應(yīng)用層安全強化通過擴展MMS關(guān)聯(lián)請求報文和響應(yīng)報文完成。GOOSE/SMV協(xié)議安全強化僅涉及OSI7層模型中的應(yīng)用層，通過使用原始報文的保留位以及增加尾部認證字段實現(xiàn)。2.MMS協(xié)議關(guān)鍵技術(shù)研究IEC62351標(biāo)準(zhǔn)第4部分定義了MMS協(xié)議的安全機制，分別是傳輸層安全和應(yīng)用層安全。傳輸層安全通過基于TCP/IP的TLS協(xié)議對安全服務(wù)要求進行設(shè)計。應(yīng)用層安全在應(yīng)用層定義了安全服務(wù)要求，引入了關(guān)聯(lián)控制服務(wù)單元（ACSE）的ACSE請求（AARQ）和ACSE響應(yīng)（AARE）來建立一個安全的MMS關(guān)聯(lián)，主要針對安全認證、數(shù)字證書。MMS協(xié)議改造主要分為兩個部分，一是基于TCP/IP集上的安全改造，二是MMS在應(yīng)用層上，客戶端與服務(wù)器之間在關(guān)聯(lián)過程中的認證。2.1TLS協(xié)議及其應(yīng)用TLS協(xié)議用于構(gòu)建客戶端和服務(wù)端之間的安全通道。TLS協(xié)議本身基于TCP傳輸層協(xié)議，通過實現(xiàn)證書認證、密鑰協(xié)商、數(shù)據(jù)加解密等功能，對上層應(yīng)用程序提供類似于TCP的流傳輸協(xié)議。TLS協(xié)議棧如圖1所示。在應(yīng)用程序使用TLS協(xié)議時，其使用方法并非完全類似于TCP/IP所提供的套接字（socket）接口，主要區(qū)別在于網(wǎng)絡(luò)讀寫句柄的初始化步驟上面。應(yīng)用程序仍然需要按照標(biāo)準(zhǔn)的socket接口來初始化與對端進行網(wǎng)絡(luò)通信的socket句柄，再在該socket句柄的基礎(chǔ)上初始化TLS句柄，最后直接通過TLS句柄進行網(wǎng)絡(luò)讀寫操作。2.2MMS改造關(guān)鍵點MMS改造過程分兩部分：①啟用AARQ和AARE數(shù)據(jù)結(jié)構(gòu)的認證字段，并填充認證相關(guān)數(shù)據(jù)；②關(guān)聯(lián)雙方進行互認證檢查及必要的狀態(tài)切換。1）數(shù)據(jù)結(jié)構(gòu)改造改造IEC61850標(biāo)準(zhǔn)關(guān)聯(lián)信息結(jié)構(gòu)，定義STASE-MMS-Authentication-value模塊，并在模塊中定義認證值數(shù)據(jù)結(jié)構(gòu)MMS-Authentication-value，用于完成認證功能。2）認證檢查過程關(guān)聯(lián)建立請求鑒別過程：①AARQ的發(fā)送者應(yīng)該對適當(dāng)?shù)腁CSE的AuthenticationMechanism和AuthenticationValue字段進行編碼，并應(yīng)通過使用表示層-連接服務(wù)發(fā)送AARQ；②AARQ-指示原語的接收者應(yīng)使用AuthenticationMechanism和AuthenticationValue字段去校驗簽名值；③如果該AARQ的接收者在最近10min之內(nèi)已經(jīng)接收到包含相同簽名值的AARQ，則應(yīng)導(dǎo)致接收者發(fā)出表示層-異常終止（P-ABORT）原語；④如果簽名值沒有導(dǎo)致P-ABORT，則簽名值及其它的安全參數(shù)就應(yīng)傳送給ACSE的用戶。關(guān)聯(lián)建立響應(yīng)鑒別過程：①AARE的發(fā)送者應(yīng)該對適當(dāng)?shù)腁CSE的AuthenticationMechanism和AuthenticationValue字段進行編碼，并應(yīng)通過使用表示層-連接服務(wù)發(fā)送AARE；②AARE-indication原語的接收者用AuthenticationMechanism和AuthenticationValue字段去校驗簽名值；③如果該AARE的接收者在最近10min之內(nèi)已經(jīng)接收到包含相同簽名值的AARE，則應(yīng)導(dǎo)致接收者發(fā)出P-ABORT原語；④如果簽名值沒有導(dǎo)致P-ABORT，則應(yīng)將簽名值及其它安全參數(shù)傳送給ACSE的用戶。2.3MMS實施注意點兼容性問題。實現(xiàn)了MMS應(yīng)用層安全改造的設(shè)備和系統(tǒng)，應(yīng)支持與未實現(xiàn)安全改造的設(shè)備和系統(tǒng)的互操作，對于改造過的設(shè)備和系統(tǒng)，兼容性的判斷建議可通過區(qū)分特定的應(yīng)用層安全標(biāo)識實現(xiàn)，未改造的設(shè)備和系統(tǒng)可忽略新增的報文內(nèi)容。數(shù)字簽名算法。綜合考慮安全性要求和性能的要求，數(shù)字簽名算法選擇使用公鑰加密算法（RSA算法），散列（HASH）算法選擇使用安全哈希算法1（SHA1）。密鑰位數(shù)選擇1024位。3.GOOSE/SMV關(guān)鍵技術(shù)研究IEC62351標(biāo)準(zhǔn)第6部分定義了GOOSE/SMV防止非法入侵及防重放攻擊的方法。通過利用GOOSE/SMV報文協(xié)議格式中的保留字段和擴展協(xié)議來實現(xiàn)GOOSE/SMV安全改造目標(biāo)，具備防止非法入侵操作攻擊及防止重放攻擊的能力。3.1GOOSE/SMV改造關(guān)鍵點對基于IEC61850標(biāo)準(zhǔn)的GOOSE/SMV報文保留字段進行利用，并擴展GOOSE/SMV報文結(jié)構(gòu)，通過對GOOSE/SMV報文頭部分進行循環(huán)冗余校驗（CRC）計算、對GOOSE/SMV報文體進行哈希摘要計算，最終在擴展部分對摘要進行簽名，保護GOOSE/SMV報文的完整性，確定GOOSE/SMV報文的源，并且防重放攻擊。1）服務(wù)端在拼裝GOOSE/SMV報文時，首先對GOOSE/SMV報文頭部分字段進行CRC計算，以保存在GOOSE/SMV報文的保留字段中，再對GOOSE/SMV報文進行摘要計算，并對摘要進行簽名，并將簽名值存放于擴展字段中。2）客戶端在接收到GOOSE/SMV報文后，通過簽名驗證，以確定GOOSE/SMV報文的源，通過摘要驗證和CRC驗證，以確定內(nèi)容是否被篡改。3）通過對時間的有效性進行認證，實現(xiàn)GOOSE/SMV防重放攻擊。對GOOSE來說直接使用報文中的時間信息；對SMV來說在原有數(shù)據(jù)結(jié)構(gòu)上基礎(chǔ)上，擴展時間戳字段。在報文具備時間信息的基礎(chǔ)上，結(jié)合報文序號和處理邏輯，防止重放攻擊。3.2GOOSE/SMV實施注意點兼容性問題。GOOSE/SMV協(xié)議的安全擴展不影響原有報文數(shù)據(jù)結(jié)構(gòu)，非安全GOOSE/SMV客戶端可不理會安全擴展的GOOSE/SMV報文。數(shù)字簽名算法。考慮到目前過程層設(shè)備的硬件處理能力和報文的處理效率要求，如采用影響傳輸速率的加密或其他安全措施是不能接受的，本文的在對GOOSE/SMV進行改造時進行了充分的測試和驗證，HASH算法選擇使用SHA1，密鑰位數(shù)選擇100位，保證滿足標(biāo)準(zhǔn)及應(yīng)用的要求。4.原型系統(tǒng)搭建及測試4.1原型系統(tǒng)搭建原型系統(tǒng)由兩套測控裝置、兩套智能終端、兩套合并單元、一套交換機（用于過程層與間隔層）、一個普通路由器（用于間隔層與站控層）、一套網(wǎng)絡(luò)分析儀、站控層監(jiān)控后臺的計算機及相應(yīng)的測試計算機組成。所有設(shè)備均按照IEC62351標(biāo)準(zhǔn)的要求對相應(yīng)的通信協(xié)議進行了改造。它們的地址見圖2，其中智能終端和合并單元中一個控制塊對應(yīng)一個MAC地址。4.2對比測試及工程實施分析針對MMS通信性能測試及分析，并記錄了測試數(shù)據(jù)，測試表明接收接口的耗時增加較大，單裝置運行中主要用到發(fā)送報告服務(wù)，不會召喚動態(tài)模型，且MMS通信在系統(tǒng)中是相對慢速任務(wù)，因此MMS的安全改造對裝置的運行影響不大。針對GOOSE通信性能測試及分析，也進行了測試數(shù)據(jù)記錄，簽名/解簽算法裝置上最終選擇的是SHA1算法，否則目前硬件性能無法滿足要求。保護測控裝置的GOOSE發(fā)送性能改造前后變化不影響現(xiàn)場工程使用要求。針對SMV報文接收和發(fā)送也進行了性能測試，并記錄的測試數(shù)據(jù)，測試結(jié)果表明SMV報文接收、發(fā)送在改造前后主要是簽名和解簽的耗時，但目前的硬件性能可以滿足工程要求。5.結(jié)語IEC61850標(biāo)準(zhǔn)中不包括任何安全措施，蘊含了一定的信息安全隱患，IEC62351標(biāo)準(zhǔn)的提出有效解決了協(xié)議的安全問題。本文對IEC