配電系統(tǒng)信息安全防護(hù)方案綜述

李 俊，丁浩川，李 莉

（南京南瑞繼保電氣有限公司，江蘇 南京 211102）

0 引言

隨著我國經(jīng)濟(jì)建設(shè)的飛速發(fā)展，用電負(fù)荷日益增加，低壓配電系統(tǒng)自動化程度也得到了較大提升［1-3］。用戶通過配電自動化系統(tǒng)來實(shí)現(xiàn)配電終端及系統(tǒng)的監(jiān)視、控制以及故障處理，提高了配網(wǎng)運(yùn)行的可靠性［4-5］。然而當(dāng)前配電系統(tǒng)安全防護(hù)措施相對薄弱，且配電終端分布廣泛，黑客攻擊者可通過偽造終端身份、重放攻擊等方式對配電系統(tǒng)進(jìn)行安全攻擊或者非法侵入，嚴(yán)重威脅配電系統(tǒng)的安全可靠運(yùn)行，因此配電終端的安全接入問題已成為配電信息安全中的關(guān)鍵問題［6-9］。本文先闡述了配電系統(tǒng)的整體安全防護(hù)方案，然后詳細(xì)分析了配電主站與配電終端之間信息安全接入各個環(huán)節(jié)的具體實(shí)施方案，最后對配電系統(tǒng)信息安全的發(fā)展做出展望。

1 配電系統(tǒng)整體安全防護(hù)方案

配電自動化系統(tǒng)從整體架構(gòu)上包括配電主站層、通信網(wǎng)絡(luò)層和配電終端層。配電主站層涉及到管理信息大區(qū)和生產(chǎn)控制大區(qū)，以實(shí)現(xiàn)配電系統(tǒng)運(yùn)行監(jiān)控的功能，通信網(wǎng)絡(luò)層作為配電主站與各種類型配電終端之間的通信媒介。配電主站生產(chǎn)控制大區(qū)采集應(yīng)用部分與配電終端的通信方式原則上以電力光纖通信為主，在少部分不具備電力光纖鋪設(shè)條件的末梢配電終端，采用無線專網(wǎng)通信方式。管理信息大區(qū)配電主站采集應(yīng)用部分和配電終端以無線公網(wǎng)方式為主。無論采用哪種通信方式，都應(yīng)采用雙向認(rèn)證與基于對稱密鑰的加密技術(shù)進(jìn)行安全防護(hù)。配電終端層主要包括10 kV 饋線終端（FTU）、10 kV 站所終端（DTU）、400 V配變終端（TTU）以及故障指示器等。

為保證配電系統(tǒng)整體信息安全，依據(jù)國家發(fā)改委頒布的《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》和《關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評估規(guī)范的通知》要求，遵循“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則［10-13］，接下來從以下幾個方面闡述配電系統(tǒng)總體安全防護(hù)方案：

1）生產(chǎn)控制大區(qū)應(yīng)部署配電加密機(jī)，確保配電主站對下控制、召喚報文采用國產(chǎn)商用非對稱算法（SM2、SM3）進(jìn)行簽名操作，實(shí)現(xiàn)配電終端對配電主站的身份鑒別與報文完整性保護(hù)。對配電終端與主站之間交互報文采用國產(chǎn)商用對稱加密算法SM1進(jìn)行加解密操作，保障業(yè)務(wù)數(shù)據(jù)的安全性。I區(qū)主站系統(tǒng)與電網(wǎng)調(diào)度自動化系統(tǒng)之間應(yīng)部署電力專用正反向安全隔離裝置，生產(chǎn)控制大區(qū)與安全接入?yún)^(qū)之間需要部署電力專用正反向安全隔離裝置。

2）安全接入?yún)^(qū)配置配電安全接入網(wǎng)關(guān)，采用國產(chǎn)商用SM2、SM3 非對稱密碼算法實(shí)現(xiàn)配電終端與安全接入網(wǎng)關(guān)之間的雙向身份認(rèn)證，如果配電終端采用無線專網(wǎng)通信方式接入安全接入?yún)^(qū)，則配電終端與安全接入?yún)^(qū)之間還應(yīng)配置硬件防火墻，實(shí)現(xiàn)無線網(wǎng)絡(luò)與安全接入?yún)^(qū)的隔離。

3）管理信息大區(qū)配電終端主要采用無線公網(wǎng)的方式接入，需要經(jīng)過防火墻、數(shù)據(jù)隔離組件才能接入到管理信息大區(qū)的前置服務(wù)器。數(shù)據(jù)隔離組件提供雙向訪問控制、網(wǎng)絡(luò)安全隔離、內(nèi)網(wǎng)資源保護(hù)、數(shù)據(jù)交換管理及數(shù)據(jù)內(nèi)容過濾等功能，實(shí)現(xiàn)邊界安全隔離，防止非法鏈接穿透內(nèi)網(wǎng)直接進(jìn)行訪問。防火墻通過策略配置對應(yīng)用層數(shù)據(jù)進(jìn)行有效的監(jiān)視和控制，確保數(shù)據(jù)的安全流動。另外管理信息大全和生產(chǎn)控制大區(qū)一樣也配置了配電加密機(jī)，通過國產(chǎn)商用非對稱算法SM2 和SM3 進(jìn)行簽名認(rèn)證操作，實(shí)現(xiàn)配電終端對配電主站的身份鑒別與報文完整性保護(hù)，同時通過國產(chǎn)商用對稱加密算法SM1實(shí)現(xiàn)配電主站和配電終端數(shù)據(jù)交互報文的加解密操作，以確保業(yè)務(wù)交互報文的安全性。

4）管理信息大區(qū)系統(tǒng)與其他系統(tǒng)之間的邊界，應(yīng)采用硬件防火墻設(shè)備實(shí)現(xiàn)橫向區(qū)域間的安全防護(hù)。

5）生產(chǎn)控制大區(qū)和管理信息大區(qū)之間采用正反向安全隔離裝置，確保兩大區(qū)之間數(shù)據(jù)交互的安全隔離。

配電自動化系統(tǒng)總體安全防護(hù)建設(shè)方案如圖1所示。

圖1 配電系統(tǒng)總體安全防護(hù)建設(shè)方案圖Fig.1 Overall security protection scheme of distribution system

2 國密算法概述

隨著網(wǎng)絡(luò)安全逐步上升到國家高度，國家密碼局先后公布擁有完全自主知識產(chǎn)權(quán)的SM 系列國產(chǎn)密碼算法，從SM1到SM4分別實(shí)現(xiàn)了對稱、非對稱、摘要等算法功能。為確保算法密鑰的安全性，需要將國密算法嵌入到硬件加密芯片中，因此國密算法非常適合應(yīng)用于嵌入式物聯(lián)網(wǎng)等相關(guān)領(lǐng)域，用來實(shí)現(xiàn)通信雙方身份認(rèn)證和數(shù)據(jù)加密等功能［14-19］。配電自動化系統(tǒng)信息安全的保障主要涉及到其中的SM1、SM2 以及SM3算法。

2.1 SM1算法

SM1 算法屬于對稱加密算法，密鑰長度和加密分組長度均為128 位，其加密強(qiáng)度與高級加密標(biāo)準(zhǔn)AES加密算法相當(dāng)，該算法不公開，調(diào)用該算法時，需要通過加密芯片的接口進(jìn)行調(diào)用。SM1算法在配電系統(tǒng)信息安全方案中主要用于配電主站與配電終端之間交互數(shù)據(jù)的加解密操作，配電主站通過配電專用加密機(jī)來實(shí)現(xiàn)加密芯片接口的調(diào)用，配電終端則通過調(diào)用自身內(nèi)嵌的加密芯片接口來實(shí)現(xiàn)數(shù)據(jù)的加解密操作。

2.2 SM2算法

SM2算法由國家密碼管理局于2010年12月17日發(fā)布，全稱為橢圓曲線算法。SM2 算法為非對稱加密算法，基于ECC（橢圓曲線加密算法），該算法已公開，其簽名速度和生成密鑰的速度均快于RSA算法，主要用于實(shí)現(xiàn)數(shù)字簽名、密鑰協(xié)商和數(shù)據(jù)加密等功能。SM2算法在配電系統(tǒng)信息安全方案中主要用于配電主站和配電終端進(jìn)行簽名操作以及雙向身份認(rèn)證。

2.3 SM3算法

SM3 算法是我國自主設(shè)計(jì)的密碼雜湊算法，適用于商用密碼應(yīng)用中的數(shù)字簽名和驗(yàn)證消息認(rèn)證碼的生成與驗(yàn)證以及隨機(jī)數(shù)的生成，可滿足多種密碼應(yīng)用的安全需求。為了保證雜湊算法的安全性，其產(chǎn)生的雜湊值的長度不應(yīng)太短，例如MD5輸出128比特雜湊值，輸出長度太短，影響其安全性。SM3 算法的輸出長度為256比特，因此SM3算法的安全性要高于MD5算法。SM3算法在配電系統(tǒng)信息安全方案中主要用于對加密數(shù)據(jù)進(jìn)行MAC（消息認(rèn)證碼）值計(jì)算，然后通過SM2算法對整個加密數(shù)據(jù)及其MAC值進(jìn)行統(tǒng)一簽名操作。

3 配電終端安全實(shí)施方案

在現(xiàn)有的配電自動化系統(tǒng)架構(gòu)下，配電終端的安全接入涉及到配電主站系統(tǒng)、安全接入網(wǎng)關(guān)兩個層級，具體而言配電終端首先需要與配電安全接入網(wǎng)關(guān)進(jìn)行雙向身份認(rèn)證，認(rèn)證通過后，配電終端再跟配電主站進(jìn)行雙向身份認(rèn)證，再次認(rèn)證通過后，配電終端與配電主站之間開始業(yè)務(wù)交互流程，總體雙向認(rèn)證架構(gòu)示意圖如圖2所示。

圖2 配電系統(tǒng)雙向認(rèn)證流程圖Fig.2 Flow chart of distribution system bidirectional authentication

3.1 終端與安全網(wǎng)關(guān)間的雙向身份認(rèn)證

終端與安全接入網(wǎng)關(guān)之間采用國密標(biāo)準(zhǔn)SM2數(shù)字證書來實(shí)現(xiàn)雙向身份認(rèn)證，雙向認(rèn)證具體安全交互流程如下：

1）建立終端與網(wǎng)關(guān)之間的TCP網(wǎng)絡(luò)連接；

2）安全接入網(wǎng)關(guān)產(chǎn)生隨機(jī)數(shù)R1，發(fā)送給終端；

3）終端取隨機(jī)數(shù)R2，并將R1+R2簽名后發(fā)送給主站，同時終端保存R1；

4）安全接入網(wǎng)關(guān)用終端證書來驗(yàn)證簽名的有效性，驗(yàn)證通過即表明網(wǎng)關(guān)對終端的身份認(rèn)證完成，然后網(wǎng)關(guān)再對終端隨機(jī)數(shù)R2進(jìn)行簽名，并將簽名結(jié)果發(fā)送給終端；

5）終端通過網(wǎng)關(guān)證書來驗(yàn)證網(wǎng)關(guān)簽名的正確性，驗(yàn)證通過即表明終端完成對網(wǎng)關(guān)的身份認(rèn)證。

3.2 終端與主站之間的雙向身份認(rèn)證

在終端和主站之間建立鏈路連接后，需要首先完成二者的雙向身份認(rèn)證，才能進(jìn)行雙向業(yè)務(wù)數(shù)據(jù)交互。身份認(rèn)證流程由主站發(fā)起，具體安全交互流程如下：

1）主站從加密機(jī)獲取隨機(jī)數(shù)R1，直接發(fā)送給終端；

2）終端取隨機(jī)數(shù)R2，并將R1+R2簽名后發(fā)送給主站，同時終端保存主站隨機(jī)數(shù)R1；

3）主站接收終端簽名數(shù)據(jù)后，進(jìn)行驗(yàn)簽，驗(yàn)證通過后即表明主站完成對終端的身份認(rèn)證，然后主站將終端隨機(jī)數(shù)R2進(jìn)行簽名，然后將簽名后的數(shù)據(jù)一并發(fā)送給終端；

4）終端接收主站的簽名數(shù)據(jù)后，進(jìn)行驗(yàn)簽，驗(yàn)證通過即表明終端完成對主站的身份認(rèn)證，然后終端向主站返回身份認(rèn)證的確認(rèn)信息。

3.3 終端與主站之間的遙控報文安全交互

在終端和主站建立連接并完成雙向身份認(rèn)證后，主站可以對終端進(jìn)行遙控操作，具體安全交互流程如下：

1）主站首先對準(zhǔn)備下發(fā)的遙控預(yù)置命令報文進(jìn)行簽名，然后對簽名數(shù)據(jù)和原始遙控預(yù)置報文數(shù)據(jù)進(jìn)行加密操作，最后將整體加密數(shù)據(jù)發(fā)送給終端；

2）終端接收到數(shù)據(jù)后，首先對整體加密數(shù)據(jù)進(jìn)行解密操作，獲得簽名數(shù)據(jù)和原始遙控預(yù)置報文，接著終端需要先判斷遙控報文的時效性以及驗(yàn)證主站簽名的正確性，任何一項(xiàng)驗(yàn)證不滿足，則終端返回給主站錯誤信息。如果所有驗(yàn)證都通過，則終端執(zhí)行遙控預(yù)置操作，并取終端隨機(jī)數(shù)和遙控預(yù)置成功確認(rèn)報文一起加密后發(fā)送給主站；

3）主站對終端返回的加密數(shù)據(jù)進(jìn)行解密操作，并驗(yàn)證MAC 簽名數(shù)據(jù)，如果驗(yàn)證通過，則主站將進(jìn)行遙控執(zhí)行或者遙控撤銷操作，主站對要下發(fā)的報文進(jìn)行簽名，并將簽名結(jié)果、操作時間信息和即將下發(fā)的遙控報文一起加密后發(fā)送給終端；

4）終端對主站發(fā)來的加密數(shù)據(jù)進(jìn)行解密，判斷遙控指令的時效性，同時驗(yàn)證主站簽名的正確性，如果正確，則按照命令執(zhí)行相關(guān)操作，否則返回主站錯誤信息。

3.4 終端與主站之間的定值讀取報文安全交互

在終端和主站建立連接并完成雙向身份認(rèn)證后，主站可以對終端進(jìn)行定值讀取操作，具體的安全交互流程如下：

1）主站將讀取終端當(dāng)前定值區(qū)號的命令進(jìn)行加密，然后將加密報文發(fā)送給終端；

2）終端接收主站加密報文后，首先進(jìn)行解密操作獲得主站讀取終端定值區(qū)號的命令，然后終端將定值區(qū)號讀取響應(yīng)報文進(jìn)行加密處理并返回給主站；

3）主站解密獲取當(dāng)前定值區(qū)號后，向終端發(fā)送經(jīng)過加密處理的參數(shù)讀取命令；

4）終端接收主站加密數(shù)據(jù)后，首先進(jìn)行解密獲取原始參數(shù)讀取命令，然后正確響應(yīng)參數(shù)讀取命令并給主站返回經(jīng)加密處理的參數(shù)讀取響應(yīng)報文。

3.5 終端與主站之間的定值修改報文安全交互

在終端和主站建立連接并完成雙向身份認(rèn)證后，主站可以對終端進(jìn)行定值修改操作，具體的安全交互流程如下：

1）主站將要下發(fā)的切換定值區(qū)號的命令進(jìn)行簽名，然后將切區(qū)報文和簽名結(jié)果共同加密后發(fā)送給終端；

2）終端接收主站加密報文后，首先進(jìn)行解密操作獲得主站切區(qū)的命令并驗(yàn)證主站簽名的有效性，然后執(zhí)行切換定制區(qū)的操作，并將定值切區(qū)確認(rèn)報文進(jìn)行加密操作后返回給主站；

3）主站對要下發(fā)的參數(shù)預(yù)置命令報文進(jìn)行簽名，然后將參數(shù)預(yù)置原始報文和簽名結(jié)果共同進(jìn)行加密操作后發(fā)送給終端；

4）終端接收到主站加密報文后，首先進(jìn)行解密操作獲得原始參數(shù)預(yù)置報文和簽名結(jié)果，驗(yàn)證主站簽名結(jié)果的正確性，如果正確，則執(zhí)行參數(shù)預(yù)置操作，并取終端隨機(jī)數(shù)，然后將終端隨機(jī)數(shù)和參數(shù)預(yù)置確認(rèn)命令進(jìn)行加密并計(jì)算MAC值后發(fā)送給主站。反之，則發(fā)送錯誤信息給主站。

5）主站接收到終端加密報文后，首先進(jìn)行解密操作并驗(yàn)證MAC 值是否正確，如果正確，則主站將要下發(fā)的參數(shù)固化報文進(jìn)行簽名，并將簽名結(jié)果和原始參數(shù)固化報文一起進(jìn)行加密操作后發(fā)送給終端；

6）終端接收到主站加密報文后，首先進(jìn)行解密操作并驗(yàn)證主站簽名的正確性，如果正確，則執(zhí)行參數(shù)固化命令，完成終端參數(shù)的修改，然后終端將參數(shù)固化確認(rèn)報文進(jìn)行加密并計(jì)算MAC值后返回給主站。

4 工程應(yīng)用

本文所闡述的信息安全防護(hù)方案在當(dāng)前配電自動化系統(tǒng)中廣泛應(yīng)用，從10 kV 站所終端DTU 和饋線終端FTU 到400 V 臺區(qū)智能終端TTU，不論是光纖方式和無線方式接入配電主站，均需要滿足信息安全防護(hù)要求。因此各類配電終端出廠前均需要配置國網(wǎng)配電加密芯片，且終端上負(fù)責(zé)與配電主站通信交互的IEC101 和IEC104 功能模塊均需要滿足國網(wǎng)配電終端安全實(shí)施方案規(guī)定的業(yè)務(wù)安全交互流程。配電主站需要配置加密機(jī)，同時配電主站端IEC101 和IEC104 功能模塊也需要遵循國網(wǎng)配電安全實(shí)施方案規(guī)定的業(yè)務(wù)安全交互流程。配電自動化系統(tǒng)通過整體實(shí)施安全防護(hù)方案，并對所有終端實(shí)行安全防護(hù)接入，極大地提升了配電自動化系統(tǒng)的安全防護(hù)等級，有效地保障了配電自動化系統(tǒng)的安全、穩(wěn)定和可靠運(yùn)行。

5 結(jié)語

隨著配網(wǎng)自動化程度不斷提升，配電系統(tǒng)接入的各類終端數(shù)量倍增，且分布廣泛，伴隨而來的是對整個配電系統(tǒng)網(wǎng)絡(luò)信息安全的極大挑戰(zhàn)，為保障配電系統(tǒng)的安全穩(wěn)定運(yùn)行，有必要不斷提升配電系統(tǒng)的安全防護(hù)等級，而當(dāng)前配電系統(tǒng)中加密方案和密鑰分發(fā)采用的是國密SM系列算法，密鑰分發(fā)過程仍然不是百分之百的可靠，存在被截獲的可能性。近年來量子加密技術(shù)發(fā)展迅猛，已經(jīng)成為信息安全領(lǐng)域最具革命性的技術(shù)成果［20-21］，其基于量子信道的密鑰分發(fā)技術(shù)可以確保密鑰傳輸?shù)慕^對安全，目前廣泛應(yīng)用于多個領(lǐng)域，鑒于當(dāng)前配電信息安全系統(tǒng)密鑰分發(fā)存在的不確定性，將來可以考慮將量子加密技術(shù)應(yīng)用于配電信息安全方案中。