沈亮

摘 要：隨著計算機技術(shù)、網(wǎng)絡(luò)技術(shù)和通信技術(shù)的發(fā)展及其在電力系統(tǒng)中的廣泛應(yīng)用，變電站監(jiān)控系統(tǒng)的技術(shù)水平正在迅速提高。針對某變電站監(jiān)控系統(tǒng)接入調(diào)度數(shù)據(jù)網(wǎng)調(diào)試工作中出現(xiàn)接入不正常，報文出現(xiàn)中斷不加密現(xiàn)象進行原因分析及故障處理。該方案已在變電站得到廣泛應(yīng)用，解決了許多實際問題，降低了維護成本，提高了工作效率，增強了網(wǎng)絡(luò)的安全可靠性。

關(guān)鍵詞：調(diào)度數(shù)據(jù)網(wǎng)；二次安防；IP報頭校驗和；IP分片

中圖分類號：TM734 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-2064（2017）01-0166-01

變電站調(diào)度數(shù)據(jù)網(wǎng)建設(shè)目標(biāo)是建立電力二次系統(tǒng)安全防護基本結(jié)構(gòu)，二次安防系統(tǒng)包括加密機，防火墻，交換機等構(gòu)成。實現(xiàn)安全防護的基本功能；在控制區(qū)與調(diào)度數(shù)據(jù)網(wǎng)的實時VPN網(wǎng)絡(luò)邊界部署縱向加密認(rèn)證裝置，實現(xiàn)對重要信息傳輸?shù)臋C密性、完整性保護；在虛設(shè)的非控制區(qū)與調(diào)度數(shù)據(jù)網(wǎng)的非實時VPN網(wǎng)絡(luò)邊界設(shè)置防火墻，實現(xiàn)對虛設(shè)的非控制區(qū)業(yè)務(wù)系統(tǒng)的訪問控制；通過安全策略配置，控制接入系統(tǒng)之間的互聯(lián)互訪，實現(xiàn)業(yè)務(wù)系統(tǒng)到調(diào)度數(shù)據(jù)網(wǎng)的安全接入。

1 原因分析

該變電站監(jiān)控系統(tǒng)經(jīng)二次安防設(shè)備接入調(diào)度數(shù)據(jù)網(wǎng)時，通道數(shù)據(jù)經(jīng)常運行一會兒就出現(xiàn)中斷，無法與主站進行通訊。經(jīng)核查，該通道正常，但報文數(shù)據(jù)（使用IEC-104規(guī)約）異常，在沒接防火墻時一切正常，接入防火墻后導(dǎo)致訪問不正常。針對此現(xiàn)象只有從報文結(jié)構(gòu)和該加密機和防火墻進行原因分析。

IP報頭校驗和只跟IP報頭有關(guān)，跟IP封裝的數(shù)據(jù)無關(guān)，因此，如果原文中的描述的“收到報文是否進行校驗和檢查”是指IP報頭檢驗和的話，那么應(yīng)該不會存在校驗和錯誤而被防火墻丟棄的問題，如果是指TCP校驗和或UDP檢驗和的話，那么，每個來自于加密機的報文其TCP或UDP校驗和都是錯誤的（因為多了33字節(jié)），因此防火墻肯定會直接丟棄這個報文，根本不存在文檔中描述的在防火墻轉(zhuǎn)發(fā)接口抓到1460字節(jié)數(shù)據(jù)包的情況；防火墻不對收到的報文進行校驗和計算，那么這個報文才會進入防火墻的內(nèi)核處理流程，因為來自于加密機的報文是IP分片報文，因此防火墻會對此分片報文進行處理（選擇直接轉(zhuǎn)發(fā)分片報文還是重組后匹配策略再轉(zhuǎn)發(fā)），如果防火墻直接轉(zhuǎn)發(fā)，則沒什么問題，如果是重組轉(zhuǎn)發(fā)，這里就存在一個問題：防火墻能否完成這個報文的重組？因為IP分片的重組是根據(jù)IP報頭中的相關(guān)信息來完成的，其中非常重要的一個參數(shù)就是分片偏離量，這個值決定了分片報文在原始報文中的位置，而在這個故障環(huán)境下，每個報文都被加密機在尾部添加了只有加密機能夠識別的特征碼，防火墻并不能識別，那么防火墻在重組這些報文的時候，如何處理正常分片報文跟前一分片報文尾部添加的33字節(jié)部分的重疊呢？這是值得思考的。如是覆蓋33字節(jié)的尾部識別碼，則到達(dá)對端加密機后，加密機會丟棄這個報文。

在做加密處理時，TCP頭和IP頭都不做加密，只對數(shù)據(jù)區(qū)做加密，通過在加密機的抓包，發(fā)現(xiàn)加密機把所有MTU大于1300的數(shù)據(jù)包做了分片處理，并且在所有包的末尾加入自己的N字節(jié)加密識別碼，這樣從加密機發(fā)出的數(shù)據(jù)包MTU值最大1333，對于大于1333的報文（如1460）的數(shù)據(jù)包加密機都是分2個包進行傳送，在沒接防火墻時一切正常，接入防火墻后導(dǎo)致訪問不正常；變電站在訪問主站服務(wù)器時，服務(wù)器回應(yīng)的MTU值1460數(shù)據(jù)包被服務(wù)器端加密機拆成2個包（第一個包1300），并在每個包的末尾加入33位，而防火墻在接收時將兩個包合并轉(zhuǎn)發(fā)，具體表現(xiàn)為防火墻接收口（接服務(wù)器端加密機）收到的報文數(shù)據(jù)長度是1333，而轉(zhuǎn)發(fā)口（接客戶端加密機）轉(zhuǎn)發(fā)的報文數(shù)據(jù)長度是1460，這樣客戶端加密機就認(rèn)為加密數(shù)據(jù)被篡改，導(dǎo)致VPN加密通訊錯誤。

2 解決辦法

（1）由于加密機的特殊性，所以加密封包后的數(shù)據(jù)在通過防火墻時，會被認(rèn)為是錯誤報文，解決方法：將防火墻“選項設(shè)置”---“安全設(shè)備系統(tǒng)參數(shù)”---“系統(tǒng)參數(shù)開關(guān)”下的“收到報文進行是否效驗和檢查”選項取消，如圖1所示。

（2）加密機對大于1300的數(shù)據(jù)包做分片處理，到防火墻時，發(fā)現(xiàn)數(shù)據(jù)是分片包，防火墻又給重組后轉(zhuǎn)發(fā)，導(dǎo)致對端加密機認(rèn)為數(shù)據(jù)被篡改，不再對該數(shù)據(jù)包做解密處理。解決方法：啟用防火墻中的分片處理，將經(jīng)過防火墻的數(shù)據(jù)都不做分片重組處理。經(jīng)過以上處理，該現(xiàn)象徹底消失，變電站監(jiān)控系統(tǒng)接入調(diào)度數(shù)據(jù)網(wǎng)通道數(shù)據(jù)正常。