孫樹才 朱陳鵬

?

基于第三方驗證的變電站命令交互方法的研究

孫樹才1,2朱陳鵬1,2

（1. 南瑞集團(tuán)（國網(wǎng)電力科學(xué)研究院）有限公司，南京 211100；2. 國電南瑞科技股份有限公司，南京 211100）

本文闡述了一種通過引入第三方認(rèn)證并應(yīng)用加密技術(shù)、提高變電站內(nèi)控制信號傳遞安全性的方法。通過使用非對稱加密技術(shù)保護(hù)數(shù)據(jù)傳輸過程的安全，引入第三方認(rèn)證設(shè)備用于驗證命令雙方的權(quán)限和身份，防止命令信息被截取和篡改，使用第三方設(shè)備對命令信息進(jìn)行再封包，保證傳輸信息的安全性，使用動態(tài)密鑰和授權(quán)過期制度進(jìn)一步保護(hù)控制安全，最后對命令進(jìn)行特征碼校驗，有效地過濾了錯誤數(shù)據(jù)。通過本方法可以有效防止信號被截取或篡改，保證數(shù)據(jù)的安全性，限制操作人群，隔離非法用戶，保護(hù)信息安全，極大提高了變電站控制過程的信息安全性。

變電站；控制命令；數(shù)據(jù)交互；加密；第三方驗證；非可靠網(wǎng)絡(luò)環(huán)境；信息安全

1 背景技術(shù)

1）SSL加密技術(shù)

SSL協(xié)議能使用戶/服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽，并且始終對服務(wù)器進(jìn)行認(rèn)證，還可選擇對用戶進(jìn)行認(rèn)證。SSL協(xié)議在應(yīng)用層通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商及服務(wù)器認(rèn)證工作，應(yīng)用層所傳送的數(shù)據(jù)均被加密，保證通信的私密性[1]。

2）非對稱加密算法

非對稱加密算法又名“公開密鑰加密算法”，非對稱加密算法需要兩個密鑰：公開密鑰和私有密鑰。公開密鑰與私有密鑰是一對，用公開密鑰對數(shù)據(jù)進(jìn)行加密，只有用對應(yīng)的私有密鑰才能解密。用私有密鑰對數(shù)據(jù)進(jìn)行加密，只有用對應(yīng)的公開密鑰才能解密。加密和解密使用的是兩個不同的密鑰，這種算法叫非對稱加密算法。

該算法強(qiáng)度復(fù)雜、安全性依賴于算法與密鑰，加密解密速度沒有對稱算法快，但對稱算法中只有一個密鑰，解密需要先知道密鑰，需要保證密鑰的安全，而非對稱加密算法有兩種密鑰，其中一個是公開的，無需傳輸密鑰，保證了密鑰的安全性[2]。

3）散列算法

散列算法可以對不同長度的輸入消息，產(chǎn)生固定長度的輸出，散列算法是一種單向的加密算法，通過密文無法解密獲取明文，即使對明文微小的改動，同樣的散列運(yùn)算也會得到完全不同的結(jié)果。基于這種特性，散列算法通常被用來驗證信息的完整性[3]。

2 系統(tǒng)部署與對象釋義

本文闡述的方法是通過引入第三方認(rèn)證并應(yīng)用加密技術(shù)，從而提高變電站內(nèi)（及類似場景）控制信號傳遞的安全性，以防止信號被截取或篡改，使用此方法可以保證數(shù)據(jù)的安全性，限制操作人群，隔離非法用戶，保護(hù)信息安全[4]。

簡單的系統(tǒng)部署結(jié)構(gòu)示意圖如圖1所示。

圖1 簡單的系統(tǒng)部署結(jié)構(gòu)示意圖

2.1 授權(quán)認(rèn)證設(shè)備（s以下簡稱CA）

該設(shè)備是本方法中使用的可信的第三方驗證設(shè)備，作為數(shù)據(jù)安全的保證和控制命令的安全轉(zhuǎn)交方式，主要有以下功能：

1）通過智能卡或數(shù)字證書獲取認(rèn)證權(quán)限。

2）數(shù)據(jù)證書的頒發(fā)、管理與認(rèn)證功能。

3）SSL加密通信的功能。

4）信息完整性校驗功能。

5）授權(quán)信息記錄與審計。

2.2 本地監(jiān)控系統(tǒng)（以下簡稱LMS）

LMS是本地用于監(jiān)控和操作IED的管理系統(tǒng)（一般指SCADA系統(tǒng)，本文中只強(qiáng)調(diào)其本地控制作用），作為本方法中的控制命令發(fā)起方。相對于傳統(tǒng)的系統(tǒng)，需要進(jìn)行擴(kuò)展，提高其安全性，并具備處理加密信息的功能，具體如下：

1）升級身份認(rèn)證機(jī)制，使之與授權(quán)認(rèn)證設(shè)備綁定，使用數(shù)字安全證書提高賬戶的安全性。

2）升級數(shù)據(jù)通信程序，使之與授權(quán)認(rèn)證設(shè)備的信息交互采用SSL加密機(jī)制。

3）計算信息的散列碼，校驗信息完整性。

2.3 遠(yuǎn)端監(jiān)控系統(tǒng)（以下簡稱RMS）

該系統(tǒng)是遠(yuǎn)端使用的用于監(jiān)控和操作IED的管理系統(tǒng)（一般指調(diào)度主站系統(tǒng)），一般通過專線或?qū)Ｓ镁W(wǎng)絡(luò)與LMS進(jìn)行交互，在本方法中，RMS的控制命令與CA直接交互，是遠(yuǎn)端控制命令的發(fā)起方。

2.4 智能設(shè)備（以下簡稱IED）

該設(shè)備是本方法中最終處理執(zhí)行控制命令的智能單元，是控制命令的接收方，作為最終信息的接收和處理方，是整個控制過程非常重要的一環(huán)，具備如下功能：

1）接收、存儲和轉(zhuǎn)發(fā)LMS發(fā)送的散列特征碼。

2）接收、存儲和校核CA頒發(fā)的數(shù)字證書，從而保證控制信息的來源可靠。

3）接收和解密CA轉(zhuǎn)發(fā)的控制信息。

3 身份認(rèn)證機(jī)制

3.1 CA的身份認(rèn)證

CA作為本方法的默認(rèn)可信設(shè)備，為保證其安全不被入侵，基于嵌入式系統(tǒng)開發(fā)[4]，只運(yùn)行必要功能。硬件上固化數(shù)字證書，用于對外部的身份驗證，該證書具有惟一性。

對于本地控制，建立信任智能卡列表，作為獲取設(shè)備授權(quán)的驗證密鑰。本地操作需先提供智能卡，CA才會授予遙控操作權(quán)限，可以有效地控制本地操作終端和人員的范圍。

對于遠(yuǎn)端控制，建立可信設(shè)備列表，存儲對應(yīng)的數(shù)字證書來驗證身份，采用可靠的數(shù)據(jù)通道，先傳送身份驗證信息，CA驗證身份可靠后，開放遠(yuǎn)端遙控權(quán)限，有效地限制了遠(yuǎn)端控制終端的范圍。

3.2 LMS的身份認(rèn)證

LMS本身具備用戶驗證機(jī)制。其控制操作權(quán)限是CA授予的，LMS在發(fā)起一次操作指令前，主動提交身份認(rèn)證信息到CA，CA根據(jù)事先記錄的信息，校核數(shù)字簽名來驗證LMS的身份。身份信任是臨時的，超過一次操作周期后，CA將回收控制權(quán)限，并頒發(fā)新的數(shù)字證書。

3.3 RMS的身份認(rèn)證

RMS本身是安全的，具備用戶驗證機(jī)制。變電站范圍內(nèi)的控制權(quán)限是CA授予的，RMS在發(fā)起一次操作指令前，主動與CA交換數(shù)字證書，交叉驗證通過后，CA向RMS開放控制權(quán)限?？刂茩?quán)限是臨時的，超出約定時間后，CA將回收控制權(quán)限，并要求RMS更新數(shù)字證書。

3.4 IED的身份認(rèn)證

IED可以根據(jù)需求，更新自身的數(shù)字證書。IED的身份由CA統(tǒng)一管理，CA建立智能設(shè)備庫，記錄設(shè)備信息，并負(fù)責(zé)請求和驗證數(shù)字證書。

4 交互過程

本文以本地控制過程為例，具體如下。

圖2 本方法控制交互過程的流程圖

4.1 控制指令的發(fā)起

1）獲取CA權(quán)限

操作人首先需要持有智能卡，使用智能卡獲取CA的訪問權(quán)限。

2）登錄LMS

使用用戶名、密碼登錄LMS，所使用的賬戶需要具備控制權(quán)限。

3）申請控制操作權(quán)限

操作人在LMS上進(jìn)行操作，程序自動發(fā)送請求到CA，CA校驗監(jiān)控設(shè)備身份信息，校驗通過則返回一次性使用的公鑰，校驗失敗則中止控制過程。

4）加密控制命令

LMS控制程序使用收到的公鑰對控制命令進(jìn)行加密，同時針對控制命令生成散列特征碼用于完整性校驗。LMS分別將加密后的控制命令提交給CA，將散列特征碼發(fā)送給需要操作的IED。

4.2 控制指令的轉(zhuǎn)交

1）解密控制命令

CA收到加密后的控制命令后，使用自身的私鑰進(jìn)行解密。

2）校核設(shè)備控制權(quán)限

CA根據(jù)控制命令，檢查目標(biāo)IED是否處于控制范圍。

3）獲取目標(biāo)IED公鑰

CA根據(jù)解析后的控制命令，向目標(biāo)IED發(fā)送更新證書的命令，IED重新生成證書，并傳遞公鑰給CA。

4）重新加密控制命令

CA使用獲取的公鑰對控制命令進(jìn)行加密，并將加密后的數(shù)據(jù)發(fā)送給目標(biāo)IED。

4.3 控制命令的執(zhí)行

1）解密控制命令

IED使用私鑰解密CA轉(zhuǎn)交的控制命令。

2）校驗控制命令

IED計算控制命令的散列特征碼，并與LMS發(fā)送的散列特征碼進(jìn)行比對，校驗命令的完整性。

3）執(zhí)行控制命令

IED根據(jù)命令內(nèi)容執(zhí)行操作。

5 示例

下面以簡單的遙控合閘過程為例進(jìn)行說明：

1）控制人員使用用戶名和密碼登錄LMS系統(tǒng)，選擇需要控制的設(shè)備對象，下發(fā)遙控合閘命令。

2）LMS系統(tǒng)檢測到有遙控操作，開始操作權(quán)限檢測，通過CA校驗智能卡或數(shù)字證書驗證人員是否合法。CA讀取到證書數(shù)據(jù)，通過系統(tǒng)固化的解密密鑰獲取詳細(xì)信息后，進(jìn)行授權(quán)比對用戶名、密碼、智能卡編號等信息，信息一致則認(rèn)為操作人員身份合法，驗證通過。

3）LMS向CA請求通信證書，CA檢測到有LMS發(fā)起的請求后，隨機(jī)生成一組非對稱密鑰，比如使用以下密鑰信息，如圖3所示。

圖3 示意的密鑰信息

m1與e1構(gòu)成加密密鑰，d1與e1構(gòu)成解密密鑰，CA保留d1不公布，將m1和e1反饋給LMS。

4）LMS收到密鑰后，開始傳遞數(shù)據(jù)。LMS先根據(jù)操作生成命令明文，假設(shè)明文p1如下，見表1。

表1 示意的遙控命令

通過加密得到密文s1，如圖4所示。

圖4 示意的密文s1

通過散列特征算法（如MD5）得到散列特征碼l1，如圖5所示。

圖5 示意的散列特征碼

其中s1發(fā)送給CA，l1發(fā)送給目標(biāo)IED。

1）CA收到LMS發(fā)送的密文s1后，使用d1和e1對密文進(jìn)行解密，獲取到目標(biāo)IED地址后查詢本地記錄的有效IED表，如有效則認(rèn)為可控，若無效，則返回目標(biāo)檢查失敗信息。

2）CA確定可控后，向目標(biāo)IED請求加密密鑰，IED生成臨時證書，并反饋新的m2和e2給CA，CA對明文進(jìn)行重新加密，并將密文s2傳遞給IED。

3）IED使用保留的d2和e2對密文s2進(jìn)行解密，計算解密后明文p2的散列特征碼l2，并與之前收到的特征碼l1進(jìn)行比對，相同，則認(rèn)為命令信息無誤，可以執(zhí)行；如不同，則認(rèn)為命令損壞，要求重發(fā)。

圖6 本示例的數(shù)據(jù)交換的過程

6 結(jié)論

本文所闡述的方法可以有效地控制IED設(shè)備的控制權(quán)限及范圍，防止命令信息在交互過程中被截取和篡改，驗證命令信息的完整性，阻止非法用戶獲取操作權(quán)限，防止錯誤命令的執(zhí)行，可以極大地提高變電站控制過程的信息安全性，特別是在非可靠網(wǎng)絡(luò)環(huán)境下作用明顯。該方法不限制于變電站，其他類似涉及控制信息交互的場合同樣適用。

[1] 郭正榮, 周城. SSL協(xié)議工作過程及其應(yīng)用[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2004(10): 55-57.

[2] 陳鴻星, 周媛蘭. 基于不對稱加密的網(wǎng)絡(luò)信息安全對策研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2012(6): 20-22.

[3] 沈昌祥, 張煥國, 王懷民, 等. 可信計算的研究與發(fā)展[J]. 中國科學(xué): 信息科學(xué), 2010(2): 139-166.

[4] 孫勇. 陳偉, 楊義先. 嵌入式系統(tǒng)的可信計算[J]. 信息安全與通信保密, 2006(9): 50-52.

[5] 郝長端, 劉鈺, 陳樹果. 智能變電站網(wǎng)絡(luò)通信異常的分析[J]. 電氣技術(shù), 2016, 17(9): 135-138.

[6] 宋磊, 羅其亮, 羅毅涂, 等. 電力系統(tǒng)實時數(shù)據(jù)通信加密方案[J]. 電力系統(tǒng)自動化, 2004, 28(14): 76-81.

[7] 賈晶, 等. 信息系統(tǒng)的安全與保密[M]. 北京: 清華大學(xué)出版社, 1999.

[8] 李熙春, 姚偉剛, 何志明. 電力數(shù)據(jù)網(wǎng)絡(luò)的應(yīng)用與安全性[J]. 江蘇電機(jī)工程, 2008(3): 8-10.

[9] 劉世民, 袁野, 范秉旭, 等. 智能變電站在線監(jiān)測系統(tǒng)的研究與應(yīng)用[J]. 電氣技術(shù), 2015, 16(2): 132- 134.

[10] 徐偉鋒, 張虹, 李莉. 構(gòu)建電力企業(yè)的網(wǎng)絡(luò)信息安全[J]. 陜西電力, 2007, 35(10): 75-77.

[11] 張良, 劉曉勝, 戚佳金, 等. 一種低壓電力線通信改進(jìn)分級蟻群路由算法[J]. 電工技術(shù)學(xué)報, 2014, 29(2): 318-324.

[12] 谷志茹, 劉宏立, 詹杰, 等. 智能電網(wǎng)窄帶OFDM通信系統(tǒng)噪聲抑制[J]. 電工技術(shù)學(xué)報, 2014, 29(11): 269-276.

Research on the method of substation command interaction based on third party verification

Sun Shucai1,2Zhu Chenpeng1,2

(1. NARI Group Corporation/State Grid Electric Power Research Institute, Nanjing 211100;2. NARI Technology Development Co., Ltd, Nanjing 211100)

This article state a method to improve the security of control signal transmission in Substation. Which is through the introduction of third party authentication and application encryption technology. We can protect the security of the data transmission process. By using asymmetic encryption technology. And verify the authority and identity each other through drawing into the introduction of third party authentication devices to protect command information from being intercepted and tampered. And then re sealing command information with third party devices to ensure the security of transmission informations. And using dymamtic key and anthorization overdue system to further protect control security. Finally, checking the command with condition code to filter the error data effectively. This method can effectively prevent signals from being truncated or tampered. Ensure the security of data. Limiting the operation crowd, isolating illegal users, protecting information security, greatly improve the information security of substation control process.

substation; control commands; data interaction; encryption; third party verification; unreliable network environment; information security

2018-05-10

孫樹才（1987-），男，南瑞集團(tuán)有限公司電網(wǎng)事業(yè)部變電分公司高級軟件研發(fā)工程師，本科，主要從事電力系統(tǒng)自動化方向系統(tǒng)軟件研發(fā)工作。