鄭 潔

（國電南瑞科技股份有限公司，南京 210061）

目前在智能變電站的各個層次上都采用以太網(wǎng)通訊，相對于傳統(tǒng)變電站有了很多優(yōu)點，比如節(jié)約電纜費用，減小設備連接復雜度等[1]，但是目前過程層GOOSE網(wǎng)絡、SV網(wǎng)絡和間隔層MMS網(wǎng)絡相對獨立，二次設備的網(wǎng)絡接口較多，網(wǎng)絡連接和點對點連接的現(xiàn)象并存，導致網(wǎng)絡結(jié)構(gòu)非常復雜，不利于調(diào)試和檢修，且過程層接口多為光纖接口，眾多的光纖接口，在長期運行后可靠性勢必會下降，同時也增加了裝置與系統(tǒng)在網(wǎng)絡通信方面的硬件成本。

為提高智能變電站內(nèi)網(wǎng)絡通信的可靠性，在現(xiàn)行的網(wǎng)絡結(jié)構(gòu)設計前提下，普遍做法是在應用層做冗余設計，這導致裝置整體性能較差且標準化程度低，若引入基于IEC 62439-PRP的冗余設計后，可大大提高站內(nèi)網(wǎng)絡通信的可靠性。

對于電力系統(tǒng)的安全設計，目前設計的防護措施基本上是邊界安全措施[2]，并未過多涉及變電站內(nèi)部網(wǎng)絡通信的安全防護的具體實施方案，若在變電站內(nèi)受到攻擊時系統(tǒng)將會變得非常脆弱。近年來信息安全事件的曝光，使全球震驚之余，也讓我們認識到：國家重要行業(yè)的信息安全正面臨著嚴峻的考驗，電力系統(tǒng)內(nèi)全面的信息安全迫在眉睫[3]。

1 網(wǎng)絡結(jié)構(gòu)的優(yōu)化方案

1.1 目前組網(wǎng)方案概述

智能變電站通信網(wǎng)絡采用IEC 61850國際標準，標準將變電站在結(jié)構(gòu)上劃分為變電站層、間隔層和過程層[1-4]，并通過分層、分布、開放式網(wǎng)絡系統(tǒng)實現(xiàn)連接。變電站層與間隔層之間的網(wǎng)絡稱為變電站層網(wǎng)絡，間隔層與過程層之間的網(wǎng)絡稱為過程層網(wǎng)絡。因為變電站層網(wǎng)絡和過程層網(wǎng)絡承載的業(yè)務功能截然不同，在以往的技術(shù)條件下，為了保證過程層網(wǎng)絡的實時性、安全性，變電站層網(wǎng)絡與過程層網(wǎng)絡物理分開，也就是“三層兩網(wǎng)”結(jié)構(gòu)。變電站層網(wǎng)絡功能和結(jié)構(gòu)與傳統(tǒng)變電站的計算機監(jiān)控系統(tǒng)網(wǎng)絡基本類似，全站信息的匯總功能（包括防誤閉鎖）可依靠MMS/GOOSE網(wǎng)絡實現(xiàn)。過程層當前涉及的組網(wǎng)方式主要有以下幾種[5-6,12]：①SV直連，GOOSE直連，此方式的實現(xiàn)與傳統(tǒng)變電站的電纜連接方式極為類似，此方式雖然能保證數(shù)據(jù)傳輸?shù)目煽啃裕菙?shù)據(jù)無法共享且連接IED的網(wǎng)絡口過多，增加設備成本且設備發(fā)熱量較大；②SV直連和GOOSE組網(wǎng)，此方式在一定程度上實現(xiàn)了數(shù)據(jù)傳輸?shù)木W(wǎng)絡化，具有較高的自動化程度。但是 SV采用點對點方式，仍然無法實現(xiàn)采樣的數(shù)據(jù)共享；③SV組網(wǎng)和 GOOSE直連，此方式出現(xiàn)在早期的數(shù)字化變電站建設階段，多關(guān)注SV數(shù)據(jù)共享；④SV組網(wǎng)和 GOOSE組網(wǎng)，此方式符合變電站自動化發(fā)展方向，也滿足智能變電站組網(wǎng)要求，但是此方式較為復雜，需要交換機數(shù)量較大；⑤混合組網(wǎng)，混合組網(wǎng)方式是結(jié)合上述幾種組網(wǎng)方式。

1.2 MMS、GOOSE、SV的共網(wǎng)技術(shù)

對于“三層兩網(wǎng)”的網(wǎng)絡結(jié)構(gòu)而言，網(wǎng)絡復雜，帶寬未充分利用，目前智能站內(nèi)以太網(wǎng)的帶寬高達100Mbps以上，即使應用于超大規(guī)模變電站也游刃有余，GOOSE網(wǎng)絡與MMS網(wǎng)絡流量明顯偏小，比如按照 GOOSE的發(fā)送機制，一個智能設備變位時的最大數(shù)據(jù)流量為0.03Mbit/s，一個間隔內(nèi)的SMV網(wǎng)與GOOSE網(wǎng)總流量為5Mbit/s左右，占網(wǎng)絡帶寬并不大[7-8]。為此本文設計多網(wǎng)合一的組網(wǎng)方式，在網(wǎng)絡架構(gòu)高度集成之后，考慮硬件網(wǎng)絡冗余方式，則可達到簡化網(wǎng)絡結(jié)構(gòu)，充分利用帶寬，減少建設和運維成本等目的的同時，提高系統(tǒng)的可靠性。

2 硬件通信冗余設計

IEC 62439標準[9]中提出利用并行冗余協(xié)議PRP（ParallelRedundancy Protocol，PRP）以提高系統(tǒng)的可靠性?；赑RP的冗余網(wǎng)絡要求裝置包含雙以太網(wǎng)控制器和雙網(wǎng)絡端口，分別接入兩個完全獨立的以太網(wǎng)，實現(xiàn)裝置通信網(wǎng)絡的冗余[10]。如圖 1所示。運行PRP協(xié)議的裝裝置通過兩個并行的以太網(wǎng)適配器（網(wǎng)口1及網(wǎng)口2）分別連接到A網(wǎng)及B網(wǎng)，網(wǎng)口1和網(wǎng)口2使用相同的MAC地址，這兩個以太網(wǎng)適配器通過鏈路冗余控制模塊（PRP模塊）連接到上層數(shù)據(jù)應用模塊，冗余模塊通過冗余算法只將A網(wǎng)或B網(wǎng)的數(shù)據(jù)傳遞給上層數(shù)據(jù)應用模塊。由于有了鏈路冗余控制模塊，從上層數(shù)據(jù)應用模塊向下看，實際具有冗余的網(wǎng)口呈現(xiàn)非冗余的特性。通過應用基于PRP設計的硬件通信冗余模塊，可提高網(wǎng)絡通信可靠性的同時不影響裝置的任何性能，最終可保證智能變電站多網(wǎng)合一的組網(wǎng)方式下通信的可靠性。

圖1 PRP冗余網(wǎng)絡拓撲示例

3 基于IEC 62351的站內(nèi)信息安全設計

IEC制定的 IEC 62351[11]數(shù)據(jù)和通信安全標準的目的就是為了解決電力通訊領(lǐng)域的數(shù)據(jù)和通訊的安全問題。在IEC 62351中，認證和加密是核心內(nèi)容。本文基于IEC 62351所設計的智能變電站信息安全強化方案也是通過認證來最小化中間人攻擊的威脅、最小化某些類型的旁路控制威脅以及最小化無意和惡意的人員行為威脅。通過數(shù)字簽名，可提供實體認證來確保對信息的唯一授權(quán)訪問，而通過加密，提供認證密鑰的機密性，可防止消息被篡改、監(jiān)視及防止消息重放和欺騙等。本文的安全設計涉及智能變電站內(nèi)MMS協(xié)議安全加固以及SMV協(xié)議和GOOSE協(xié)議的安全加固。

3.1 MMS協(xié)議安全設計

對于MMS協(xié)議安全設計主要分為兩個部分：，①基于TCP/IP協(xié)議集上的安全改造，如圖2中的認證加密層：②在 MMS的應用層上，客戶與服務器之間在關(guān)聯(lián)過程中的認證。

圖2 MMS協(xié)議加固

對于認證加密層采用可采用TLS/SSL協(xié)議，而通過對 MMS關(guān)聯(lián)過程中的請求和響應進行擴展，在 MMS的應用層進行兩個通信實體間進行基于數(shù)字證書的身份認證，認證信息可用來對訪問者的權(quán)限進行控制，并在一定程度上防止重放攻擊。

3.2 GOOSE/SV協(xié)議安全設計

1）安全設計方案

對GOOSE/SMV協(xié)議的安全設計，通過利用對報文協(xié)議格式中的保留字段加以利用以及對協(xié)議的擴展來實現(xiàn)安全改造的目標。如圖3所示，圖3（a）為IEC 61850中GOOSE原始報文結(jié)構(gòu)；圖3（b）所示為為改造后的報文結(jié)構(gòu)。其中對原報文中的保留字段進行定義（圖 3（a）中的原保留部分），把其擴展定義為尾部簽名字段長度及相關(guān)字段的CRC計算結(jié)果。且對尾部進行擴展（圖3（b）中的Extend）的內(nèi)容為對報文相關(guān)字段的加密簽名的具體內(nèi)容。

圖3 GOOSE協(xié)議加固

對于經(jīng)過安全設計的 GOOSE模塊，其發(fā)布方在發(fā)布消息時對其消息進行加密簽名，而訂閱方側(cè)在接收到報文后進行驗簽，驗簽失敗則丟棄該消息?？紤]到嵌入式系統(tǒng)的實時性要求，加密時建議采用對稱加密的方式。SMV協(xié)議的安全設計與GOOSE協(xié)議類似。

2）安全設計對實時性的影響

在對報文進行簽名與驗簽時，會消耗一定的CPU資源開銷，考慮到過程層設備的實時性要求，需要驗證在對GOOSE/SV報文經(jīng)過安全設計后對裝置整體性能的影響。經(jīng)過實驗，見表 1，密鑰長度為100的情況下，在已工程應用的裝置內(nèi)測試，在同一次中斷任務內(nèi)對 GOOSE報文先后進行一次簽名和解簽過程，采用SHA256算法時實際使用使用的時間為200μs左右，而采用SHA1算法時，時間較少為80μs左右，實際應用中中斷周期為833μs，故綜合考慮目前的硬件資源，在安全設計時考慮應用較為簡單的加密算法時，對裝置性能的影響是很少的。

表1 實驗數(shù)據(jù)

4 結(jié)論

根據(jù)新一代智能變電站的發(fā)展要求，迫切需要優(yōu)化站內(nèi)網(wǎng)絡結(jié)構(gòu)、提高系統(tǒng)的可靠性，且增加網(wǎng)絡信息安全設計。本文針對此發(fā)展要求，提出了網(wǎng)絡優(yōu)化方案，設計了網(wǎng)絡冗余的實現(xiàn)方案，并基于IEC 62351加固了智能變電站內(nèi) MMS、SMV及GOOSE網(wǎng)絡通信協(xié)議。可有效提高智能變電站的系統(tǒng)可靠性和信息的安全性。

[1] 李瑞生, 李燕斌, 周逢權(quán). 智能變電站功能架構(gòu)及設計原則[J]. 電力系統(tǒng)保護與控制, 2010, 38(21):24-27.

[2] 辛耀中. 網(wǎng)絡信息安全防護的四個問題[C]. 中國信息協(xié)會信息安全專業(yè)委員會年會文集, 2004:150-157.

[3] 胡炎, 董名垂, 韓英鐸. 電力工業(yè)信息安全的思考[J]. 電力系統(tǒng)自動化, 2002, 26(7): 1-4, 12.

[4] 竇曉波, 胡敏強, 吳在軍, 等. 數(shù)字化變電站通信網(wǎng)絡性能仿真分析[J]. 電網(wǎng)技術(shù), 2008, 32(17): 98-104.

[5] 杜振華, 王建勇, 羅奕飛, 等. 基于MMS與GOOSE網(wǎng)合一的數(shù)字化網(wǎng)絡保護設計[J]. 電力系統(tǒng)保護與控制, 2010, 38(24): 178-181, 221.

[6] 魏勇, 羅思需, 施迪, 等. 基于 IEC 61850-9-2及GOOSE共網(wǎng)傳輸?shù)臄?shù)字化變電站技術(shù)應用與分析[J]. 電力系統(tǒng)保護與控制, 2010, 38(24): 146-152.

[7] 徐成斌, 孫一民. 數(shù)字化變電站過程層GOOSE通信方案[J]. 電力系統(tǒng)自動化, 2007, 31(19): 91-94.

[8] 鄭新才, 周鑫, 王素華, 等. 數(shù)字化變電站的GOOSE網(wǎng)絡測試[J]. 電力系統(tǒng)保護與控制, 2009,37(24): 85-89, 93.

[9] International Electrotechnical Commission. IEC 62439 SC 65C High availability automation networks[S].Geneva, Switzerland: IEC, 2008.

[10] 王海峰, 丁杰, 徐偉. 數(shù)字化變電站中雙網(wǎng)控制策略[J]. 電力系統(tǒng)自動化, 2009, 33(8): 48-50, 67.

[11] International Electrotechnical Commission. IEC62351(Committee Draft). Data and Communication Security[S].2008. Systems, 2002, 26(27): 9-11(in Chinese).

[12] 樊陳, 倪益民, 竇仁輝, 等. 智能變電站過程層組網(wǎng)方案分析[J]. 電力系統(tǒng)自動化, 2011, 35(18): 67-71.