GB∕ T 25320.6-2023 電力系統(tǒng)管理及其信息交換 數(shù)據(jù)和通信安全 第6部分：IEC 61850的安全（正式版）

電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第6部分：IEC61850的安全國家市場監(jiān)督管理總局國家標準化管理委員會I Ⅲ V 1 11.2命名空間名稱和版本 11.3代碼組件發(fā)布 1 23術語、定義和縮略語 3 33.2縮略語 34本文件應對的安全問題 44.1影響安全選項選擇的運行問題 4 4 4 4 4 55.3使用VLANID規(guī)范的IEC61850安全性 6 65.5用于客戶端/服務器服務的發(fā)布者ID 6 66.1概述 66.2防重放攻擊(Replay 77SNTP安全 8IEC61850-8-1GOOSE和IEC61850-9-2采樣值的2 8.1Ethertype概述(資料性) 8.2擴展PDU 9變電站配置語言擴展 9.1服務能力 9.2啟用安全性的發(fā)布 20Ⅱ 20 24 25 5 7圖3SV防重放攻擊狀態(tài)機 圖4擴展PDU的一般格式 圖5Reserved1定義 1 表3LGOS類的擴展 表4LSVS類的擴展 20表6IEC61850-8-1ISO9506(應用協(xié)議 21 21 22 22 23 表13SNTP協(xié)議集的PICS Ⅲ---第6部分：IEC61850的安全；本文件代替GB/Z25320.6—2011《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第6部分：a)更改了范圍(見第1章，2011年版的第1章);p)增加了LGOS和LSVS的擴展(見第10章);q)增加了支持IEC61850-8-2和支持可路由的GOOSr)增加了使用ACSE認證的TLS(見11.1表7);s)增加了IEC61850-8-1L2GOOSE安全一致性(見11.1表9);t)增加了IEC61850-8-1L2SV安全一致性(見11.1表10);v)增加了IEC61850-8-1L2SV可本文件等同采用IEC62351-6:2020《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第6部分：—--2011年首次發(fā)布為GB/Z25320.6—2011;V 第5部分：GB/T18657等及其衍生標準的安全。目的在于定義了應用程序配置文件——第12部分：分布式能源(DER)系統(tǒng)的快速恢復和安全建議。目的在于提高分布式能源——第100-1部分：IEC62351-5和IECTS60870-5-7的一致性測試用例。目的在于提供了VGB/T25320.6—2023/IEC62351-6:2——第100-6部分：IEC61850-8-1和IEC61850-9-2的網(wǎng)絡安全一致性測試。目的在于提供了變GB/T(Z)25320《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全》定義了電力系統(tǒng)相關通信協(xié)議1GB/T25320.6—2023/IEC電力自動化通信網(wǎng)絡和系統(tǒng)第8-1部分：特定通信服務映射(SCSM)-映射到MMS(ISO9506-1電力自動化通信網(wǎng)絡和系統(tǒng)第8-2部分：特定通信服務映射(SCSM)-映射到可擴展消息存在協(xié)議(XMPP)電力自動化通信網(wǎng)絡和系統(tǒng)第9-2部分：特定通信服務映射(SCSM)-基于ISO/IEC8802-3的采電力自動化通信網(wǎng)絡和系統(tǒng)第6部分：與智能電子設備有關的變電站內通信配置描述語言 發(fā)布日期網(wǎng)絡索引命名空間2GB/T25320.6—2023/IEC62351-6:22規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不ingmessagespecifiIEC61850-6電力企業(yè)自動化通信網(wǎng)絡和系統(tǒng)第6部分：與智能電子設備有關的變電站內通信配置描述語言(CommunicationnetworksandsrationdescriptionlanguageforcommunicationinelectricalsIEC61850-7-3電力自動化通信網(wǎng)絡和系統(tǒng)第7-3部分：基本通信結構公用數(shù)據(jù)類(Communi-cationnetworksandsystemsforpowerutilityautomation—Part7-3:BasiccIEC61850-8-1:2011電力自動化通信網(wǎng)絡和系統(tǒng)第8-1部分：特定通信服務映射(SCSM)映射到MMS(ISO9506-1和ISO9506-2)及ISOpowerutilityautomation—Part8-1:Specificcommunicationservicemapping(SCSM)—MappingsMMS(ISO9506-1andISO9506-2)andtIEC61850-8-2電力自動化通信網(wǎng)絡和系統(tǒng)第8-2部分：特定通信服務映射(SCSM)映射到可擴展消息存在協(xié)議(XMPP)[CommunicationnetworksandsystemsfoPart8-2:SpecificcommunicationenceProtocol(XMPP)]IEC61850-9-2電力自動化通信網(wǎng)絡和系統(tǒng)第9-2部分：特定通信服務映射(SCSM)基于ISO/IEC8802-3的采樣值[Communicationn9-2:Specificcommunicationservicemapping(SCSM)—SamIECTS62351-1電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第1部分：通信網(wǎng)絡和系統(tǒng)安全安全問題介紹(Powersystemsmanagementandassociatedinformationexchange—Dataandcom-IECTS62351-2電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第2部分：術語(Powersys-temsmanagementGlossaryofterms)IEC62351-3:2023電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第6部分：IEC61850的安全(Powersystemsmanagementandassociatedinform3IEC62351-4:2020電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第4部分：包含MMS及其衍生的協(xié)議集(Powersystemsmanagementandassocicationssecurity—Part4:ProfilesincludingMMSandderiIEC62351-7電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第7部分：網(wǎng)絡和系統(tǒng)管理(NSM)的數(shù)據(jù)對象模型[Powersystenicationssecurity—Part7:Networkandsystemmanagement(NSM)dataobjectIEC62351-9電力系統(tǒng)管理及相關信息交換數(shù)據(jù)和通信安全第9部分：電力系統(tǒng)設備網(wǎng)絡安全密鑰管理(Powersystemsmanagementandasstionssecurity—Part9:CybersecuritykeymanagementforpowersyISO/IEC13239信息技術系統(tǒng)間遠程通信和信息交換高級數(shù)據(jù)鏈路控制(HDLC)程序(In-formationtechnology—TelecommunicationsandinformationexchangebetRFC2104-HMAC用于密鑰集序列的消息認證(Keyed-HashingforMessageAuthentication)RFC5905網(wǎng)絡時間協(xié)議：協(xié)議和算法規(guī)范第4版(NetworkTimeProtocolVersion4:ProtocolRFC8052支持IEC62351安全服務的GDOI協(xié)議[GroupDomainofInterpretation(GDOI)Pro-APDU:應用協(xié)議數(shù)據(jù)單元(ApplicationProtocolDataUnit)ASDU:應用服務數(shù)據(jù)單元(ApplicationServiceDataUnit)ASN.1:抽象語法標記(AbstractSyntaxNESP:電子安全邊界(ElectronicSecurityPerimeter)4●信息披露被反擊。5GB/T25320.6—2023/IEC IEC61850-8-2客戶端/服務器通信的應用層協(xié)議集： 協(xié)議集的IEC61850實現(xiàn)，應按IEC62351-4:2020中第5TLS(有條件)非安全僅使用TLS組合安全端到端安全6NTS和STS。7IEC61850-8-1中的通用GOOSE訂閱者狀態(tài)機沒有詳細說明應如何轉換接收亂序狀態(tài)號(7)有效報文監(jiān)程序更新定時器(TAL.)超時幀丟失檢測(轉換狀態(tài))81)不存在狀態(tài)(Non-Existent)表示沒有GOOSE訂閱時的狀態(tài)。定密鑰已過期。訂閱者應處理密鑰ID是上一個密鑰的數(shù)據(jù)包。一旦傳送了未知的密鑰9GB/T25320.6—2023/IEC●如果LPHD.Sim已置為False,并且正在處理第一個非模擬的(non-sib)lastRcvSqNum應設置為GOOb)如果收到的stNum小于lastRcvStNum或sqNum小于lastRcvSqNum,則可能由以ASN.1BasicEncodingRules(BER)timestamp[0]IMPLICITOCTETSTRING,--timeofsend}GB/T25320.6—2023/IEC(轉換狀態(tài))檢測(轉換狀態(tài))(轉換狀態(tài))(轉換狀態(tài))(轉換狀態(tài))(轉換狀態(tài))(轉換狀態(tài))(轉換狀態(tài))(轉換狀態(tài))1)不存在狀態(tài)表示沒有SV訂閱。expNxtPk=((noASDU/smpRate)/(nominalfrequency)●用戶應監(jiān)控smpCnt的值的增加。本文件擴展了通用2層的IEC61850GOOSE和通用2層的IEC61850-9-2采樣值(SMV)的PDUs。2層IEC61850GOOSE8.2擴展PDU保留字2字段包含一個16位的循環(huán)冗余校驗碼(CRC),其計算符合ISO/IEC13239即ISO高級數(shù)據(jù)鏈路控制規(guī)程(ISOHDLC)。將對擴展的PDU中VLAN信息開始的第1到第8八位位組計算CRC。123123456789…8765432以太網(wǎng)以太網(wǎng)類型保留字1(原保留字2)01018765432SR[2]IMPLICITOCTE[3]IMPLICITOCTETSTRINGReservedOPTIONAL,--donotuse[4]IMPLICITAuthen,}MAC的值應是ASN.1八位字符串值。MAC算法可以是HMAC-SHA256和AES-GMAC。MAC長度應符合表9和表10,根據(jù)RFC2104,計算的MAC值可縮減。是NIST公司專門出版的800-38D(/nistpubs/MAC計算涵蓋的信息應符合圖6中MAC計算域(234562345678910876532以太網(wǎng)類型長度(m+8)(長度為m)TLV(版本號)TLV(當前密鑰時間)TLV(初始化向量)TLV(密鑰ID)123456型PDU89…長度(m+8)CRC位組(長度為m)TLV(版本號)TLV(當前密鑰時間)TLV(初始化向量)TLV(密鑰ID)2位組(完整)GOOSE/SV(加密的)安全的TLV(完整)(邏輯視圖)位組(完整)(附加的已 認證數(shù)據(jù))安全的TLV(完整)G0OSE/SV(加密的)在圖7中，AES-GCM列下元素的組織僅表示一個邏輯視圖，并不代表這些元素在2層version[0]IMPLICITItimeOfCurrentKey[1]IMPLICITINTEinitializationVector}GB/T25320.6—2023/IEC.6密鑰ID鑰ID;●接收客戶端應按照8.2的規(guī)定計算APDU的認證值；scl:tGSESettings擴展增加kdaParticipant屬性。如果kdaParticipant為true,則發(fā)布據(jù)IEC62351-9支持KDA。scl:tGSESettings擴展增加子元素scl:McSecurity,McSecurity元素包含簽名(signature)和加密點依據(jù)IEC62351-9支持KDA。scl:tGSESettings擴展增加了子元素scl:McSecurity,其中包含簽名(signature)和加密(xs:elementname="Security"type="tSecurity"minOccurs="0"maxOccurs=”1”)<xs:complexTypename="tSecurity">(xs:attributename="ACSEAuthentication"type="xs:boolean"default=”false”/>〈xs:attributename=E2ESGB/T25320.6—2023/IEC<xs:elementname="Security"type="tSecurity"minOccurs="0"maxOccurs=”1”>《xs:attributename="ACSEAuthentication"type="xs:boolean"default=”false”/>(xs:attributename=E2ESecurity"type="xs:boolean"dScl:tGSEControl的securityEnabled屬性[默認為無(“none”)]用于激活按照8.2中規(guī)定的安全違規(guī)狀態(tài)信息的LGOS類擴展公共數(shù)據(jù)類T說明狀態(tài)信息T已檢測到受監(jiān)督的GOOSEIEC61850-7-4規(guī)定的LSVS邏輯節(jié)點應按照表4的規(guī)定進行擴展，以表明已檢測到配置訂閱者的安全違規(guī)狀態(tài)信息的LSVS類擴展公共數(shù)據(jù)類T說明狀態(tài)信息T已檢測到受監(jiān)督的SMV聲明符合本文件的實現(xiàn)應提供擴展協(xié)議實現(xiàn)一致性聲明(PICS),如以下所述，對于某些概要文 聲明支持本文件的實現(xiàn)應提供表5中的信息。支持IEC61850-8-1/ISO9506安全客戶0至少一個(1)0至少一個(1)0至少一個(1)0至少一個(1)0至少一個(1)0至少一個(1)0至少一個(1)0至少一個(1)0至少一個(1)0至少一個(1)0000聲明支持IEC61850、ISO9506(應用協(xié)議集)安全的實現(xiàn)應提供表6中的信息。能力IEC62351-4ACSE認證m0IEC62351-4TLS支持含ACSE認證mo0IEC62351-4強制TLS密碼套件m注1:如果聲明含ACSE認證的IEC62351-4注2:如果聲明IEC62351-4TLS支持ACSE認證或TL00IEC62351-4強制TLS密碼套件通用mmim00注：如果服務器聲明控制服務支持，cl則為“m11.2.2使用ACSE認證的ISO9506客戶端/服務器協(xié)議集的IEC62351-4TLS一致性對于使用IEC62351-4和ACSE認證的聲明符合IEC61850-8-1的客戶端服務器的實現(xiàn)，應執(zhí)行IEC62351-3:2014中表2中的強制聲明和表7中的要求。表7使用ACSE認證的TLSIEC61850-8-1客戶端/服務器的PICSTLS一致性：00安全漏洞TLS一致性：mm功能mmIEC61850-8-1L2GOOSE安全IEC61850-8-1可路由GOOSE安全IEC61850-9-2可路由SMV安全IEC62351-9GDOI密鑰分發(fā)mm散列算法(RFC8052)mmmmmmmmmm保密算法(RFC8052)00mm00000000本文件