(广东电网有限责任公司梅州蕉岭供电局 广东梅州 514100)
摘要:针对配电自动化终端与配电自动化主站系统的通信安全问题,本文设计实现了一种配网安全防护终端,基于国密算法进行隧道加密,实现配电自动化终端的加密通信和安全接入认证,从而实现配电自动化终端的加密通信和安全接入。该终端在实际应用中实测有效解决现有问题。
关键词:配电自动化终端,安全防护,加密通信
Abstract:Aiming at the communication security problem between distribution automation terminals and the distribution automation master station system,this paper designs and implements a security protection terminal for distribution network.Tunnel encryption based on SM1/SM2/SM3 cryptographic algorithms is implemented to realize the encryption communication and secure access authentication of distribution automation terminal.This terminal can effectively solve the existing problems in practical application.
Key Words:Distribution Automation Terminal,Security Protection,Encrypted communication
0 引言
配电自动化终端是配电网各类远方监测、控制单元的总称,是配电自动化现场监测与控制设备,完成数据采集、控制、通信等功能,其安全性和可靠性对配电自动化至关重要。目前配电自动化终端与配电自动化主站系统的通信主要是通过IEC 60870-5-101/104规约,采用明文通信且缺乏认证机制,存在安全隐患。
本文设计实现了一种配网安全防护终端,基于国密算法进行隧道加密,实现配电自动化终端的加密通信和安全接入认证,从而实现配电自动化终端的加密通信和安全接入,保障配电自动化终端通信和接入安全。
1 电网通信规约及其安全问题
IEC系列协议如IEC60870-5-101、IEC60870-5-104是电力行业的主要工控协议,在电厂、变电站等领域有广泛应用,。
1.1 101规约
101规约规定了电网数据采集和监视控制系统(SCADA)中主站和子站(远动终端)之间以问答方式进行数据传输的帧格式、链路层的传输规则、服务原语、应用数据结构、应用数据编码、应用功能和报文格式。我国依照此标准研制并颁布DL 634.5101-2002,该标准完全等同引用了IEC 60870-5-101:2002(2.0版)并作为我国电力行业的标准。
1.2 104规约
104规约把101规约的应用服务数据单元(ASDU)用网络规约TCP/IP进行传输的标准,该标准为远动信息的网络传输提供了通信规约依据。采用104规约组合101规约的ASDU的方式后,可很好地保证规约的标准化和通信的可靠性。
1.3 101/104规约的安全问题
101/104规约由于自身设计的安全缺陷而存在安全隐患:
1)缺少认证机制。101/104规约协议通信过程中,没有任何认证的相关定义,攻击者只要找到一个合法地址即可使用功能码建立协议通信会话,从而扰乱或破坏控制过程。
2)缺少授权机制。101/104规约未定义访问控制机制,也没有对用户进行分类,没有对用户的权限进行划分,这样任意用户可以执行任意操作,导致误操作和内部攻击事件的发生。
3)缺少加密机制。101/104规约采用明文传输,很容易被攻击者捕获和解析,然后篡改报文后发送出去,从而影响控制过程。
2智能安全防护终端设计
为解决以上问题,本文提出一种配网安全防护终端,该终端通过与配网安全防护主站设备密钥协商建立安全通讯,采用国密标准算法SM1、SM2、SM3、SM4等,参照国家密码管理局《IPSEC VPN技术规范》,进行密钥协商。建立完安全隧道之后,安全防护终端设备对流经的所有监测数据、控制信令进行加密,并且对安全防护主站设备传输过来的数据进行解密,还原出原始的监测数据和控制信令流,传输给监测终端。
2.1 加密算法
配网安全防护终端采用国家密码管理局批准的非对称密码算法、对称密码算法、密码杂凑算法。采用的算法如表一所示:
2.3报文加密
配网安全防护终端支持封装安全载荷(ESP)的安全报文协议检测,ESP提供了机密性、数据源鉴别、无连接的完整性、抗重放攻击服务和有限信息流量保护。
2.4透明工作模式
透明工作模式使得配电自动化终端与配电自动化主站系统通信时,不需要做任何设置,配电自动化终端完全意识不到配网安全防护终端的存在,而与配电自动化主站系统。它的引入可以对出入配网安全防护主站的网络层数据进行“透明”的强制过滤。这样不必改变配电自动化终端与配电自动化主站系统配置,就能在授权范围内通信,极大地方便了使用部署。
3 结语
由于配电自动化终端与配电自动化主站系统的通信规约存在安全问题,本文设计实现了一种配网安全防护终端,通过建立IPsec VPN隧道实现配电自动化终端与配电自动化主站系统的加密通信,目前该终端已在配网中使用,有效的解决了配电自动化终端的通信安全问题。
参考文献:
[1]向军.基于物联网特征的电力配网自动化系统网络安全防护的思考[J].网络安全技术与应用,2018,(9):105-106.
[2]康荣保,张晓,张旭博.一种配电SCADA通信安全防护系统的设计[J].通信技术,2018,(5):1193-1198.
论文作者:谢文敏
论文发表刊物:《电力设备》2019年第8期
论文发表时间:2019/9/9
标签:终端论文; 规约论文; 通信论文; 安全防护论文; 主站论文; 算法论文; 报文论文; 《电力设备》2019年第8期论文;