標準化
IEC62351標準變電站原型系統關鍵技術
所屬分類:國際化標準
來源:電力系統自動化
作者:管理員
更新日期:2015-09-21

基于IEC61850標準協議建立起來的通信網絡體系結構在上層協議上是一致的,而且也大大提高了變電站內設備的互操作性和互換性,但是協議的開放性和標準性卻帶來了協議的安全性問題;同時,智能化電站內由于各種智能電子設備的大量應用,變電站內運行、狀態和控制等數字化信息都通過傳輸控制協議/網際協議(TCP/IP)網絡進行傳送,也將面臨著傳統TCP/IP網絡的安全風險與隱患。因此,智能化變電站的信息安全問題已日益成為國內外較為關注的焦點問題。IEC62351標準是國際電工委員會第57技術委員會第15工作組(IECTC57WG15)為電力系統安全運行,針對有關通信協議(IEC60870-5,IEC60870-6,IEC61850,IEC61970,IEC61968系列和DNP3)而開發的數據和通信安全標準。

今天給大家帶來國電南瑞科技股份有限公司與南方電網電力調度控制中心合作,針對變電站信息通信安全的研究成果,通過IEC62351標準系統與非IEC62351標準系統的對比測試,來指導IEC62351標準的工程化實施。

1. IEC62351標準介紹

在IEC62351標準中,認證和加密是核心內容。認證,確保信息通信的合法性和完整性;加密,作用在于保證通信過程中信息的私有性,防止黑客獲取保密信息。變電站二次系統內部通信協議主要包括制造報文規范(MMS)、通用面向對象變電站事件(GOOSE)、采樣測量值(SMV)等。其中,MMS協議安全強化涉及開發系統互聯(OSI)7層模型中的傳輸層和應用層,傳輸層的安全強化通過傳輸層安全(TLS)協議完成,應用層安全強化通過擴展MMS關聯請求報文和響應報文完成。GOOSE/SMV協議安全強化僅涉及OSI7層模型中的應用層,通過使用原始報文的保留位以及增加尾部認證字段實現。

2. MMS協議關鍵技術研究

IEC62351標準第4部分定義了MMS協議的安全機制,分別是傳輸層安全和應用層安全。傳輸層安全通過基于TCP/IP的TLS協議對安全服務要求進行設計。應用層安全在應用層定義了安全服務要求,引入了關聯控制服務單元(ACSE)的ACSE請求(AARQ)和ACSE響應(AARE)來建立一個安全的MMS關聯,主要針對安全認證、數字證書。

MMS協議改造主要分為兩個部分,一是基于TCP/IP集上的安全改造,二是MMS在應用層上,客戶端與服務器之間在關聯過程中的認證。

2.1 TLS協議及其應用

TLS協議用于構建客戶端和服務端之間的安全通道。TLS協議本身基于TCP傳輸層協議,通過實現證書認證、密鑰協商、數據加解密等功能,對上層應用程序提供類似于TCP的流傳輸協議。TLS協議棧如圖1所示。


  在應用程序使用TLS協議時,其使用方法并非完全類似于TCP/IP所提供的套接字(socket)接口,主要區別在于網絡讀寫句柄的初始化步驟上面。應用程序仍然需要按照標準的socket接口來初始化與對端進行網絡通信的socket句柄,再在該socket句柄的基礎上初始化TLS句柄,最后直接通過TLS句柄進行網絡讀寫操作。2.2 MMS改造關鍵點

MMS改造過程分兩部分:

①啟用AARQ和AARE數據結構的認證字段,并填充認證相關數據;

②關聯雙方進行互認證檢查及必要的狀態切換。

1)數據結構改造

改造IEC61850標準關聯信息結構,定義STASE-MMS-Authentication-value模塊,并在模塊中定義認證值數據結構MMS-Authentication-value,用于完成認證功能。

2)認證檢查過程

關聯建立請求鑒別過程:

①AARQ的發送者應該對適當的ACSE的Authentication Mechanism和Authentication Value字段進行編碼,并應通過使用表示層-連接服務發送AARQ;

②AARQ-指示原語的接收者應使用Authentication Mechanism和Authentication Value字段去校驗簽名值;

③如果該AARQ的接收者在最近10min之內已經接收到包含相同簽名值的AARQ,則應導致接收者發出表示層-異常終止(P-ABORT)原語;

④如果簽名值沒有導致P-ABORT,則簽名值及其它的安全參數就應傳送給ACSE的用戶。

關聯建立響應鑒別過程:

①AARE的發送者應該對適當的ACSE的Authentication Mechanism和Authentication Value字段進行編碼,并應通過使用表示層-連接服務發送AARE;

②AARE-indication原語的接收者用Authentication Mechanism和Authentication Value字段去校驗簽名值;

③如果該AARE的接收者在最近10min之內已經接收到包含相同簽名值的AARE,則應導致接收者發出P-ABORT原語;

④如果簽名值沒有導致P-ABORT,則應將簽名值及其它安全參數傳送給ACSE的用戶。

 2.3 MMS實施注意點

兼容性問題。實現了MMS應用層安全改造的設備和系統,應支持與未實現安全改造的設備和系統的互操作,對于改造過的設備和系統,兼容性的判斷建議可通過區分特定的應用層安全標識實現,未改造的設備和系統可忽略新增的報文內容。

數字簽名算法。綜合考慮安全性要求和性能的要求,數字簽名算法選擇使用公鑰加密算法(RSA算法),散列(HASH)算法選擇使用安全哈希算法1(SHA1)。密鑰位數選擇1024位。

3. GOOSE/SMV關鍵技術研究

IEC62351標準第6部分定義了GOOSE/SMV防止非法入侵及防重放攻擊的方法。通過利用GOOSE/SMV報文協議格式中的保留字段和擴展協議來實現GOOSE/SMV安全改造目標,具備防止非法入侵操作攻擊及防止重放攻擊的能力。

3.1 GOOSE/SMV改造關鍵點

對基于IEC61850標準的GOOSE/SMV報文保留字段進行利用,并擴展GOOSE/SMV報文結構,通過對GOOSE/SMV報文頭部分進行循環冗余校驗(CRC)計算、對GOOSE/SMV報文體進行哈希摘要計算,最終在擴展部分對摘要進行簽名,保護GOOSE/SMV報文的完整性,確定GOOSE/SMV報文的源,并且防重放攻擊。

1)服務端在拼裝GOOSE/SMV報文時,首先對GOOSE/SMV報文頭部分字段進行CRC計算,以保存在GOOSE/SMV報文的保留字段中,再對GOOSE/SMV報文進行摘要計算,并對摘要進行簽名,并將簽名值存放于擴展字段中。

2)客戶端在接收到GOOSE/SMV報文后,通過簽名驗證,以確定GOOSE/SMV報文的源,通過摘要驗證和CRC驗證,以確定內容是否被篡改。

3)通過對時間的有效性進行認證,實現GOOSE/SMV防重放攻擊。對GOOSE來說直接使用報文中的時間信息;對SMV來說在原有數據結構上基礎上,擴展時間戳字段。在報文具備時間信息的基礎上,結合報文序號和處理邏輯,防止重放攻擊。

3.2 GOOSE/SMV實施注意點

兼容性問題。GOOSE/SMV協議的安全擴展不影響原有報文數據結構,非安全GOOSE/SMV客戶端可不理會安全擴展的GOOSE/SMV報文。

數字簽名算法??紤]到目前過程層設備的硬件處理能力和報文的處理效率要求,如采用影響傳輸速率的加密或其他安全措施是不能接受的,本文的在對GOOSE/SMV進行改造時進行了充分的測試和驗證,HASH算法選擇使用SHA1,密鑰位數選擇100位,保證滿足標準及應用的要求。 4. 原型系統搭建及測試

4.1 原型系統搭建

原型系統由兩套測控裝置、兩套智能終端、兩套合并單元、一套交換機(用于過程層與間隔層)、一個普通路由器(用于間隔層與站控層)、一套網絡分析儀、站控層監控后臺的計算機及相應的測試計算機組成。

所有設備均按照IEC62351標準的要求對相應的通信協議進行了改造。它們的地址見圖2,其中智能終端和合并單元中一個控制塊對應一個MAC地址。


  4.2 對比測試及工程實施分析

針對MMS通信性能測試及分析,并記錄了測試數據,測試表明接收接口的耗時增加較大,單裝置運行中主要用到發送報告服務,不會召喚動態模型,且MMS通信在系統中是相對慢速任務,因此MMS的安全改造對裝置的運行影響不大。

針對GOOSE通信性能測試及分析,也進行了測試數據記錄,簽名/解簽算法裝置上最終選擇的是SHA1算法,否則目前硬件性能無法滿足要求。保護測控裝置的GOOSE發送性能改造前后變化不影響現場工程使用要求。

針對SMV報文接收和發送也進行了性能測試,并記錄的測試數據,測試結果表明SMV報文接收、發送在改造前后主要是簽名和解簽的耗時,但目前的硬件性能可以滿足工程要求。

5. 結語

IEC61850標準中不包括任何安全措施,蘊含了一定的信息安全隱患,IEC62351標準的提出有效解決了協議的安全問題。本文對IEC62351標準的原型系統的關鍵技術進行了研究,搭建了一個原型系統并進行了對比測試,詳細分析了工程化實施的可能性。同時,回答了目前國內研究者提出的安全防護措施的實時性問題及與現有系統的互聯互通的問題,但是對于變電站工程實施的全站密鑰分發機制及密鑰管理基礎實施的建設還需要做進一步的工作,另外對于IEC62351標準與IEC61850-6標準的變電站配置語言配置的結合還需要進一步深入研究。

打印 收藏
微信
免費聲明:凡注明來源本網的所有作品,均為本網合法擁有版權或有權使用的作品,歡迎轉載,注明出處,非本網作品均來自互聯網, 轉載目的在于傳遞更多信息,并不代表本網贊同其觀點和對真實性負責。
黑丝美腿,欧美 偷窥 清纯 综合图区,欧美专区 制服丝袜 中文字幕,丝袜护士好紧好滑好湿