基于角色的訪問(wèn)控制在變電站網(wǎng)絡(luò)安全中的應(yīng)用

阮黎翔，沈奕菲，王自成，李廣華

（1.國(guó)網(wǎng)浙江省電力有限公司電力科學(xué)研究院，杭州 310014；2.南京南瑞繼保電氣有限公司，南京 211102）

0 引言

近年來(lái)，隨著IEC 62351 標(biāo)準(zhǔn)的不斷迭代更新，對(duì)變電站自動(dòng)化安全通信技術(shù)的研究和應(yīng)用也在不斷進(jìn)步和成熟。IEC 62351系列標(biāo)準(zhǔn)主要針對(duì)變電站內(nèi)IEC 61850 等通信規(guī)約的協(xié)議安全問(wèn)題［1-2］，大大提高了協(xié)議和通信的安全性。

文獻(xiàn)［3］對(duì)IEC 62351 安全通信認(rèn)證與加密兩方面的關(guān)鍵技術(shù)進(jìn)行了總結(jié)；文獻(xiàn)［4］驗(yàn)證了基于IEC 62351標(biāo)準(zhǔn)的安全通信技術(shù)能夠滿足站控層實(shí)時(shí)通信的性能要求；文獻(xiàn)［5］總結(jié)了參加IEC 62351 國(guó)際互操作大會(huì)取得站控層安全通信互操作的成功經(jīng)驗(yàn)，證明了IEC 62351 安全通信的可行性；文獻(xiàn)［6］設(shè)計(jì)了一種就地式PKI（公鑰基礎(chǔ)設(shè)施）證書(shū)管理系統(tǒng)并進(jìn)行了工程應(yīng)用，探索了智能變電站網(wǎng)絡(luò)安全系統(tǒng)的密鑰管理方案。總的來(lái)說(shuō)，當(dāng)前變電站站控層安全通信研究以IEC 62351—3［7］和IEC 62351—4［8］標(biāo)準(zhǔn)為主，通 過(guò)采用基于TLS（傳輸層安全協(xié)議）［9］的加密通信和基于數(shù)字證書(shū)與簽名［10］體系的身份認(rèn)證等手段增強(qiáng)變電站自動(dòng)化通信系統(tǒng)的安全性。

但這些通信模式下，依然面臨著一旦客戶端設(shè)備連接上服務(wù)端設(shè)備，將無(wú)差別獲得全部訪問(wèn)控制權(quán)限的問(wèn)題。在實(shí)際應(yīng)用中，出于管理和運(yùn)維安全的考量，存在對(duì)不同客戶端設(shè)備的訪問(wèn)控制權(quán)限進(jìn)行區(qū)分的需求，比如有些客戶端具備遠(yuǎn)方控制權(quán)限，有些客戶端則不應(yīng)具備遠(yuǎn)方控制權(quán)限。

針對(duì)上述安全通信所面臨的問(wèn)題，本文以IEC 62351—8［11］標(biāo)準(zhǔn)提出的RBAC（基于角色的訪問(wèn)控制）為理論依據(jù)開(kāi)展了面向IEC 61850 站控層通信鏈接的RBAC 技術(shù)的研究與應(yīng)用。變電站內(nèi)的IEC 61850 站控層通信設(shè)備依據(jù)IEC 62351—3和IEC 62351—4 標(biāo)準(zhǔn)進(jìn)行安全通信加固，其中IEC 62351—3 提出的加密通信和IEC 62351—4 提出的安全認(rèn)證都可實(shí)現(xiàn)雙方數(shù)字證書(shū)的相互驗(yàn)證機(jī)制，對(duì)其中任何一種機(jī)制的數(shù)字證書(shū)進(jìn)行合適擴(kuò)展，均可成為基于角色訪問(wèn)控制技術(shù)的實(shí)現(xiàn)載體。

客戶端設(shè)備（站控層后臺(tái)、遠(yuǎn)動(dòng)等）被分配合適的角色，并使用擴(kuò)展包含角色信息訪問(wèn)令牌的數(shù)字證書(shū)向服務(wù)端設(shè)備（間隔層二次設(shè)備等）發(fā)起建立安全通信鏈接的請(qǐng)求。服務(wù)端設(shè)備收到安全通信鏈接請(qǐng)求報(bào)文后，從其中包含的客戶端設(shè)備數(shù)字證書(shū)中識(shí)別客戶端的角色，并按照服務(wù)端設(shè)備內(nèi)預(yù)置的角色與權(quán)限映射關(guān)系，賦予客戶端相應(yīng)的訪問(wèn)權(quán)限。以此達(dá)到針對(duì)IEC 61850站控層通信鏈路的分層級(jí)、分權(quán)限的遠(yuǎn)方訪問(wèn)控制功能，提升了電力系統(tǒng)設(shè)備遠(yuǎn)方訪問(wèn)控制的安全性和可控性。該研究已成功應(yīng)用到浙江省湖州市110 kV上柏變電站的測(cè)控裝置、后臺(tái)系統(tǒng)和遠(yuǎn)動(dòng)系統(tǒng)中，該站現(xiàn)已投入運(yùn)行。

1 基于RBAC的IEC 61850通信流程

1.1 RBAC基本概念

RBAC 是一種有效的權(quán)限管理模型，其基本思想是：對(duì)系統(tǒng)操作的各種權(quán)限不是直接授予具體的用戶，而是在用戶與權(quán)限之間建立一個(gè)角色，每一種角色對(duì)應(yīng)一組相應(yīng)的權(quán)限。一旦用戶被分配了適當(dāng)?shù)慕巧?，該用戶就擁有此角色的所有操作?quán)限。這樣的優(yōu)勢(shì)在于：不必在每次創(chuàng)建用戶時(shí)都進(jìn)行分配權(quán)限的操作，只需分配用戶相應(yīng)的角色即可，而且角色的權(quán)限變更比用戶的權(quán)限變更要少得多，從而簡(jiǎn)化用戶的權(quán)限管理，減少系統(tǒng)的開(kāi)銷(xiāo)。

1.2 RBAC通信流程

IEC 61850 基于RBAC 的安全通信流程如圖1所示。

圖1 IEC 61850基于RBAC的通信流程

其應(yīng)用流程可分為以下幾個(gè)步驟：

1）角色分配：在某個(gè)用戶使用客戶端設(shè)備與服務(wù)端設(shè)備建立連接前，首先根據(jù)應(yīng)用需要為該用戶分配合適的角色。之后通過(guò)證書(shū)管理系統(tǒng)為該用戶頒發(fā)數(shù)字證書(shū)，其中包含用戶的角色信息。這部分操作在實(shí)際建立通信之前完成。

2）安全通信：用戶通過(guò)客戶端設(shè)備與服務(wù)端設(shè)備建立安全通信連接時(shí)，會(huì)使用步驟1）中所頒發(fā)的含有角色信息的數(shù)字證書(shū)。在IEC 62351安全通信體系下，無(wú)論是基于IEC 62351—3 的傳輸層安全加密，還是基于IEC 62351—4 的應(yīng)用層身份認(rèn)證，都會(huì)利用數(shù)字證書(shū)進(jìn)行身份驗(yàn)證，如果數(shù)字證書(shū)不合法，安全通信連接將無(wú)法成功建立。

3）權(quán)限分配：服務(wù)端設(shè)備通過(guò)安全通信中客戶端設(shè)備使用的數(shù)字證書(shū)獲取客戶端的角色信息，并依據(jù)服務(wù)端設(shè)備內(nèi)預(yù)定義的角色與權(quán)限映射關(guān)系賦予該客戶端設(shè)備相應(yīng)訪問(wèn)權(quán)限。傳輸層安全加密和應(yīng)用層身份認(rèn)證過(guò)程中使用的數(shù)字證書(shū)，均可用于攜帶客戶端的角色信息。

4）應(yīng)用操作：客戶端設(shè)備發(fā)起應(yīng)用服務(wù)請(qǐng)求時(shí)，服務(wù)端設(shè)備按照步驟3）中分配給客戶端設(shè)備的權(quán)限，判斷其是否能夠?qū)χ付ǖ臄?shù)據(jù)對(duì)象進(jìn)行訪問(wèn)操作，如果具備權(quán)限，則執(zhí)行應(yīng)用操作，否則拒絕執(zhí)行應(yīng)用操作。

通過(guò)對(duì)不同的客戶端設(shè)備頒發(fā)不同的角色證書(shū)，即可實(shí)現(xiàn)為特定用戶分配特定訪問(wèn)權(quán)限的目的，從而達(dá)到分層、分權(quán)限的訪問(wèn)控制能力。

1.3 IEC 61850的RBAC模型

圖2 展示了針對(duì)IEC 61850 站控層通信的RBAC模型。

圖2 IEC 61850的RBAC的模型

主體是想要發(fā)起訪問(wèn)的具體個(gè)體，包括用戶、自動(dòng)化系統(tǒng)或軟件應(yīng)用程序，在電力系統(tǒng)中，例如具體的操作人員、SCADA（數(shù)據(jù)采集與監(jiān)控系統(tǒng)）、調(diào)試客戶端軟件等。

角色與具體的工作職能相關(guān)聯(lián)，主體與角色有映射關(guān)系，通常在建立通信之前就已經(jīng)為主體分配好具體的角色；角色與具體的權(quán)限也有映射關(guān)系，這部分映射通常在服務(wù)端通信設(shè)備內(nèi)預(yù)先進(jìn)行實(shí)現(xiàn)。圖2展示了預(yù)定義的7種默認(rèn)角色。

權(quán)限是分配給特定對(duì)象的操作，如讀取數(shù)據(jù)、寫(xiě)入數(shù)據(jù)、對(duì)控制對(duì)象發(fā)出控制命令等，操作可以被允許或拒絕，取決于發(fā)起操作的角色與權(quán)限的映射關(guān)系。圖2展示了預(yù)定義的11種默認(rèn)權(quán)限。

1.4 角色與權(quán)限的映射

預(yù)定義的每個(gè)角色所具備的權(quán)限都是圖2 中11 種預(yù)定義權(quán)限的子集，圖3 展示了每個(gè)角色所對(duì)應(yīng)的權(quán)限。

圖3 角色及其對(duì)應(yīng)權(quán)限

一個(gè)角色是否能夠?qū)δ硞€(gè)對(duì)象執(zhí)行具體的操作，取決于這個(gè)角色與權(quán)限的映射關(guān)系，如果角色具備該權(quán)限，則可以執(zhí)行具體的操作，否則會(huì)被拒絕。

圖3 中，前4 個(gè)角色與實(shí)際應(yīng)用關(guān)系較為密切，訪問(wèn)的是應(yīng)用數(shù)據(jù)或文件；后3個(gè)角色則與安全功能相關(guān)，一般訪問(wèn)的是與安全相關(guān)的數(shù)據(jù)或文件。通常實(shí)際應(yīng)用以前4個(gè)角色為主。

1.5 IEC 61850的權(quán)限定義

權(quán)限是針對(duì)特定對(duì)象所進(jìn)行的特定操作。在站控層IEC 61850 通信中，特定對(duì)象一般對(duì)應(yīng)IEC 61850模型的數(shù)據(jù)對(duì)象或文件等，特定操作對(duì)應(yīng)IEC 61850的通信服務(wù)。

圖4列出了每一種權(quán)限所對(duì)應(yīng)的IEC 61850通信服務(wù)及其針對(duì)的數(shù)據(jù)對(duì)象。

圖4 權(quán)限對(duì)應(yīng)的服務(wù)與對(duì)象

2 數(shù)字證書(shū)的RBAC角色擴(kuò)展

從IEC 61850 基于RBAC 的通信流程可知，實(shí)現(xiàn)RBAC 的關(guān)鍵在于角色信息的傳遞，為此IEC 62351—8提出了訪問(wèn)令牌的概念。

2.1 RBAC訪問(wèn)令牌

訪問(wèn)令牌用來(lái)傳輸用戶的角色信息。其功能要求為：訪問(wèn)令牌由身份管理工具創(chuàng)建和管理；所有訪問(wèn)令牌都有生命周期，并且有可能過(guò)期；在驗(yàn)證訪問(wèn)令牌本身之前，傳輸訪問(wèn)令牌的用戶必須通過(guò)對(duì)象的身份驗(yàn)證。

如前文所述，目前大多數(shù)的安全通信研究和實(shí)踐主要通過(guò)加密通信和身份驗(yàn)證增強(qiáng)通信鏈接的安全性，這其中會(huì)用到數(shù)字證書(shū)，而基于數(shù)字證書(shū)的安全通信同樣具備如下特點(diǎn)：數(shù)字證書(shū)由PKI 證書(shū)管理系統(tǒng)統(tǒng)一頒發(fā)和管理；數(shù)字證書(shū)具備有效期的限定；基于數(shù)字證書(shū)的安全通信會(huì)進(jìn)行雙向身份認(rèn)證。上述這些特點(diǎn)與RBAC 訪問(wèn)令牌的要求是一致的，因此通過(guò)對(duì)數(shù)字證書(shū)進(jìn)行適當(dāng)?shù)膬?nèi)容擴(kuò)展，RBAC 的訪問(wèn)令牌就可以用數(shù)字證書(shū)作為載體，在建立安全通信鏈路時(shí)得到應(yīng)用。

2.2 訪問(wèn)令牌的擴(kuò)展方法

RBAC 的訪問(wèn)令牌基于數(shù)字證書(shū)的配置方法是通過(guò)擴(kuò)展數(shù)字證書(shū)來(lái)實(shí)現(xiàn)的，需要遵循X.509v3證書(shū)［12］的語(yǔ)法規(guī)則。X.509標(biāo)準(zhǔn)證書(shū)允許對(duì)證書(shū)的Extensions（擴(kuò)展）進(jìn)行擴(kuò)展用來(lái)攜帶獨(dú)有的信息。因此可利用這種特性，通過(guò)數(shù)字證書(shū)傳遞角色的訪問(wèn)令牌。X.509證書(shū)的擴(kuò)展語(yǔ)法規(guī)則如下：

通過(guò)上述語(yǔ)法可知，訪問(wèn)令牌的擴(kuò)展需要兩部分內(nèi)容：第一，明確對(duì)象ID（OID）。訪問(wèn)令牌的標(biāo)識(shí)是使用OID 實(shí)現(xiàn)的，IEC 62351 OID 樹(shù)的根是1.0.62351?；贗EC 62351—8 標(biāo)準(zhǔn)的訪問(wèn)令牌定義的OID即為：1.0.62351.8.1（為了向前兼容，還需要識(shí)別1.2.840.10070.8.1）。第二，擴(kuò)展具體的訪問(wèn)令牌內(nèi)容。擴(kuò)展的內(nèi)容中需要能夠完整地描述一個(gè)訪問(wèn)令牌。圖5展示了一個(gè)完整的訪問(wèn)令牌所必須包含的內(nèi)容。

按照是否需要對(duì)X.509證書(shū)進(jìn)行擴(kuò)展，訪問(wèn)令牌的屬性可分成兩類(lèi)：

1）無(wú)需對(duì)證書(shū)進(jìn)行擴(kuò)展的屬性：令牌持有者、令牌頒發(fā)者、有效期起始時(shí)間、有效期起始時(shí)間。這4 個(gè)屬性分別與X.509 證書(shū)的本體內(nèi)容中的主體、頒發(fā)者、有效期對(duì)應(yīng)，因此無(wú)需對(duì)這4個(gè)屬性進(jìn)行額外定義。

2）需要對(duì)證書(shū)進(jìn)行擴(kuò)展的屬性：角色I(xiàn)D、修訂版本號(hào)、角色定義、職責(zé)范圍。這4 個(gè)屬性在X.509證書(shū)中并不包含，因此需要在證書(shū)的Exten?sions 中進(jìn)行擴(kuò)展定義。圖5 對(duì)上述需要擴(kuò)展定義的內(nèi)容進(jìn)行了釋義，并就如何取值進(jìn)行了詳細(xì)地說(shuō)明。

圖5 訪問(wèn)令牌定義

2.3 訪問(wèn)令牌的擴(kuò)展格式

由上文可知，訪問(wèn)令牌的擴(kuò)展主要針對(duì)的是角色I(xiàn)D、修訂版本號(hào)、角色定義、職責(zé)范圍，因此在X.509證書(shū)的Extensions中擴(kuò)展訪問(wèn)令牌可按照以下格式進(jìn)行，具體的取值方法見(jiàn)圖5。

1）訪問(wèn)令牌OID的值格式

2.4 訪問(wèn)令牌的擴(kuò)展示例

訪問(wèn)令牌的具體擴(kuò)展遵循ASN.1［13］語(yǔ)法，這里以同時(shí)包含兩個(gè)角色，即觀察者（ID 為0）和操作員（ID 為1）的訪問(wèn)令牌為例，其取值以及對(duì)應(yīng)的ASN.1語(yǔ)法結(jié)構(gòu)如下：

3 RBAC在變電站安全通信的應(yīng)用

3.1 變電站RBAC安全通信體系架構(gòu)

RBAC 變電站安全通信技術(shù)已應(yīng)用于浙江省湖州市110 kV 上柏變電站，并已投入實(shí)際運(yùn)行。圖6 所示為該變電站RBAC 網(wǎng)絡(luò)安全通信體系架構(gòu)。

圖6 變電站RBAC安全通信體系架構(gòu)

3.2 通信設(shè)備的角色分配

站內(nèi)客戶端通信設(shè)備主要包括站控層的監(jiān)控后臺(tái)、遠(yuǎn)動(dòng)以及調(diào)試客戶端等，需要根據(jù)實(shí)際應(yīng)用需求為這些設(shè)備分配合適的角色。間隔層二次設(shè)備是服務(wù)端通信設(shè)備，在通信過(guò)程中對(duì)客戶端的角色進(jìn)行識(shí)別，并分配相應(yīng)的訪問(wèn)權(quán)限，其本身無(wú)需分配角色，頒發(fā)用于安全通信的不包含角色訪問(wèn)令牌的數(shù)字證書(shū)即可。

1）監(jiān)控后臺(tái)的角色分配

監(jiān)控后臺(tái)的使用者通常分為管理員、操作員和普通運(yùn)維人員，理論上應(yīng)為每個(gè)使用者單獨(dú)分配角色以及數(shù)字證書(shū)。為簡(jiǎn)化實(shí)際的管理和運(yùn)維工作程序，該站按照監(jiān)控后臺(tái)所有使用者功能所需的最大通信服務(wù)權(quán)限分配通信角色，即觀察者和操作員的組合角色，僅對(duì)監(jiān)控后臺(tái)頒發(fā)一份同時(shí)包含觀察者和操作員訪問(wèn)令牌的數(shù)字證書(shū)用于安全通信。同時(shí)，監(jiān)控后臺(tái)根據(jù)登入賬號(hào)的使用者類(lèi)型，賦予每個(gè)登入賬號(hào)不同的訪問(wèn)權(quán)限，防止越權(quán)訪問(wèn)。

2）遠(yuǎn)動(dòng)的角色分配

與監(jiān)控后臺(tái)類(lèi)似，遠(yuǎn)動(dòng)同樣只頒發(fā)一份包含觀察者和操作員角色訪問(wèn)令牌的證書(shū)。由遠(yuǎn)動(dòng)設(shè)備識(shí)別遠(yuǎn)方登入賬號(hào)的角色，并限定其訪問(wèn)能力，保障不越權(quán)訪問(wèn)。

3）調(diào)試客戶端角色分配

調(diào)試客戶端也需要使用數(shù)字證書(shū)與站內(nèi)的間隔層設(shè)備進(jìn)行安全通信。相對(duì)于監(jiān)控后臺(tái)和遠(yuǎn)動(dòng)，調(diào)試客戶端需要根據(jù)實(shí)際調(diào)試內(nèi)容為其頒發(fā)包含適當(dāng)角色的數(shù)字證書(shū)，其中可能包含的角色有觀察者、工程師、安裝者或者這些角色的組合。同時(shí)，還需要對(duì)數(shù)字證書(shū)設(shè)置合理的到期時(shí)間，即到期后將無(wú)法使用該數(shù)字證書(shū)與站內(nèi)二次設(shè)備進(jìn)行安全通信。

3.3 數(shù)字證書(shū)的頒布

該站部署了一套PKI證書(shū)管理系統(tǒng)（本文主要介紹RBAC 安全通信技術(shù)，對(duì)PKI 證書(shū)管理系統(tǒng)不做過(guò)多贅述），為站內(nèi)所有安全通信設(shè)備頒發(fā)證書(shū)：一方面為每個(gè)通信客戶端頒發(fā)包含其角色訪問(wèn)令牌的數(shù)字證書(shū)，另一方面為間隔層設(shè)備頒發(fā)普通的數(shù)字證書(shū)用來(lái)進(jìn)行安全通信。本站實(shí)際應(yīng)用過(guò)程中，對(duì)應(yīng)用層安全認(rèn)證過(guò)程中使用的數(shù)字證書(shū)進(jìn)行了擴(kuò)展，用以攜帶RBAC的角色信息。

3.4 站內(nèi)RBAC安全通信過(guò)程

監(jiān)控后臺(tái)、網(wǎng)關(guān)機(jī)以及調(diào)試電腦等客戶端設(shè)備與站內(nèi)間隔層服務(wù)端設(shè)備使用各自被頒發(fā)的數(shù)字證書(shū)建立雙向認(rèn)證的安全通信，安全通信符合IEC 62351—3 與IEC 62351—4 標(biāo)準(zhǔn)的安全通信流程。其中包括對(duì)數(shù)字證書(shū)和數(shù)字簽名進(jìn)行校驗(yàn)，服務(wù)端設(shè)備僅允許校驗(yàn)通過(guò)的客戶端繼續(xù)保持通信，對(duì)校驗(yàn)不通過(guò)的客戶端斷開(kāi)通信連接?？蛻舳嗽O(shè)備也會(huì)對(duì)服務(wù)端設(shè)備進(jìn)行相同的校驗(yàn)操作。

站內(nèi)的服務(wù)端設(shè)備根據(jù)客戶端設(shè)備使用的數(shù)字證書(shū)中攜帶的角色訪問(wèn)令牌，按照服務(wù)端設(shè)備內(nèi)置的角色與權(quán)限映射關(guān)系，賦予每個(gè)通信客戶端相應(yīng)的訪問(wèn)控制權(quán)限。在通信過(guò)程中，對(duì)于滿足訪問(wèn)控制權(quán)限要求的客戶端操作請(qǐng)求給予肯定響應(yīng)，對(duì)于不滿足訪問(wèn)控制權(quán)限要求的客戶端操作請(qǐng)求給予否定響應(yīng)。角色與訪問(wèn)控制權(quán)限之間的映射關(guān)系見(jiàn)圖6，符合本文1.4章節(jié)的論述。

3.5 站內(nèi)RBAC安全通信效果

通過(guò)使用上述安全通信技術(shù)，上柏變電站內(nèi)的所有測(cè)控裝置、后臺(tái)系統(tǒng)和遠(yuǎn)動(dòng)系統(tǒng)之間構(gòu)建了較為完善的安全通信體系。一方面，未經(jīng)授權(quán)的客戶端接入站內(nèi)網(wǎng)絡(luò)后，將被服務(wù)端設(shè)備拒絕進(jìn)行訪問(wèn)操作；另一方面，獲得授權(quán)的客戶端僅能在其分配的角色對(duì)應(yīng)的權(quán)限范圍內(nèi)，對(duì)服務(wù)端設(shè)備進(jìn)行有限的訪問(wèn)。該技術(shù)解決了變電站內(nèi)通信的權(quán)限管理問(wèn)題，提升了站內(nèi)安全通信的安全性和可控性。

傳統(tǒng)的訪問(wèn)控制系統(tǒng)通常是對(duì)就地操作的訪問(wèn)控制及相應(yīng)角色與權(quán)限的分配，但在通信層面不具備訪問(wèn)控制的能力。如，第三方客戶端接入站內(nèi)通信網(wǎng)絡(luò)后，可與后臺(tái)、遠(yuǎn)動(dòng)設(shè)備具有相同的訪問(wèn)權(quán)限，無(wú)法對(duì)其接入與控制站內(nèi)系統(tǒng)起到訪問(wèn)限制作用。本站采用的RBAC 安全通信技術(shù)使得間隔層設(shè)備在通信層面也具備了訪問(wèn)控制能力，所有外部接入的通信客戶端需要使用安全通信方式才能與間隔層設(shè)備進(jìn)行通信，而安全通信則需要PKI 證書(shū)管理系統(tǒng)為其頒布合法的證書(shū)并授予適當(dāng)?shù)慕巧?，以此達(dá)到控制所有通信客戶端的合法接入和訪問(wèn)權(quán)限控制的效果，從而使站內(nèi)的安全訪問(wèn)控制體系更加立體化。

4 RBAC對(duì)通信性能的影響

文獻(xiàn)［4］詳細(xì)分析了基于IEC 62351—3加密通信與IEC 62351—4 身份認(rèn)證的安全通信技術(shù)應(yīng)用于變電站內(nèi)站控層網(wǎng)絡(luò)的通信性能，證明安全通信技術(shù)能夠滿足站控層各類(lèi)應(yīng)用需求。而在此基礎(chǔ)上增加的RBAC 安全通信技術(shù)，按照其流程對(duì)通信性能的影響分析如下：

1）角色的分配

角色的分配流程實(shí)際是基于PKI 證書(shū)管理系統(tǒng)進(jìn)行證書(shū)頒布，獨(dú)立于具體的應(yīng)用通信過(guò)程，因此不影響實(shí)際通信性能。

2）權(quán)限的分配

在通信鏈接建立階段，服務(wù)端設(shè)備需要從數(shù)字證書(shū)中解析出客戶端的角色信息，并為客戶端分配相應(yīng)的訪問(wèn)權(quán)限。由于安全通信過(guò)程本身就要對(duì)證書(shū)進(jìn)行解析和校驗(yàn)，僅需增加對(duì)擴(kuò)展內(nèi)容中角色信息的額外解析，且角色與權(quán)限的映射關(guān)系已提前預(yù)置，只需根據(jù)角色進(jìn)行相應(yīng)的查表檢索，占用的性能開(kāi)銷(xiāo)不大。此外，在正常運(yùn)行工況下，站控層的通信鏈接一般不會(huì)頻繁建立，因此對(duì)于角色信息的解析及權(quán)限的分配流程不會(huì)對(duì)通信性能產(chǎn)生顯著影響。

3）權(quán)限的生效

在通信過(guò)程中，服務(wù)端設(shè)備在收到客戶端發(fā)起的應(yīng)用通信服務(wù)請(qǐng)求時(shí)，根據(jù)客戶端具備的權(quán)限，判斷是否允許繼續(xù)操作。由于權(quán)限的分配在鏈接建立階段已經(jīng)完成，權(quán)限的生效在實(shí)現(xiàn)過(guò)程中直接進(jìn)行判別即可，對(duì)通信性能的影響微乎其微。

此外，RBAC 技術(shù)本身僅影響通信流程，不會(huì)增加額外的通信報(bào)文，對(duì)通信網(wǎng)絡(luò)的流量不會(huì)產(chǎn)生影響。

綜合以上分析可知，在實(shí)現(xiàn)安全通信的基礎(chǔ)上，RBAC 技術(shù)對(duì)通信性能不會(huì)產(chǎn)生大的影響，能夠滿足站控層應(yīng)用需求。

5 結(jié)語(yǔ)

基于IEC 62351—3、IEC 62351—4 的安全通信技術(shù)極大提升了變電站內(nèi)通信的安全性，以此為基礎(chǔ)，本文針對(duì)基于角色的訪問(wèn)控制技術(shù)進(jìn)行了研究，以IEC 62351—8 標(biāo)準(zhǔn)為理論依據(jù)，為站內(nèi)每個(gè)通信客戶端設(shè)備分配適當(dāng)?shù)慕巧?，并?duì)安全通信中使用的數(shù)字證書(shū)進(jìn)行擴(kuò)展，定義了RBAC的訪問(wèn)令牌。在通信鏈接建立階段，服務(wù)端通信設(shè)備根據(jù)客戶端設(shè)備所使用數(shù)字證書(shū)中的RBAC訪問(wèn)令牌進(jìn)行角色識(shí)別，并依據(jù)服務(wù)端設(shè)備預(yù)置的角色與權(quán)限映射關(guān)系進(jìn)行權(quán)限分配，實(shí)現(xiàn)了針對(duì)IEC 61850站控層通信鏈路的分權(quán)限訪問(wèn)的安全通信，提升了電力系統(tǒng)設(shè)備遠(yuǎn)方訪問(wèn)的安全性和可控性，有利于安全通信技術(shù)在變電站內(nèi)的工程化實(shí)施，為安全通信技術(shù)的推廣應(yīng)用提供有價(jià)值的參考。