鄭 潔

（國(guó)電南瑞科技股份有限公司，南京 210061）

目前在智能變電站的各個(gè)層次上都采用以太網(wǎng)通訊，相對(duì)于傳統(tǒng)變電站有了很多優(yōu)點(diǎn)，比如節(jié)約電纜費(fèi)用，減小設(shè)備連接復(fù)雜度等[1]，但是目前過(guò)程層GOOSE網(wǎng)絡(luò)、SV網(wǎng)絡(luò)和間隔層MMS網(wǎng)絡(luò)相對(duì)獨(dú)立，二次設(shè)備的網(wǎng)絡(luò)接口較多，網(wǎng)絡(luò)連接和點(diǎn)對(duì)點(diǎn)連接的現(xiàn)象并存，導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)非常復(fù)雜，不利于調(diào)試和檢修，且過(guò)程層接口多為光纖接口，眾多的光纖接口，在長(zhǎng)期運(yùn)行后可靠性勢(shì)必會(huì)下降，同時(shí)也增加了裝置與系統(tǒng)在網(wǎng)絡(luò)通信方面的硬件成本。

為提高智能變電站內(nèi)網(wǎng)絡(luò)通信的可靠性，在現(xiàn)行的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)前提下，普遍做法是在應(yīng)用層做冗余設(shè)計(jì)，這導(dǎo)致裝置整體性能較差且標(biāo)準(zhǔn)化程度低，若引入基于IEC 62439-PRP的冗余設(shè)計(jì)后，可大大提高站內(nèi)網(wǎng)絡(luò)通信的可靠性。

對(duì)于電力系統(tǒng)的安全設(shè)計(jì)，目前設(shè)計(jì)的防護(hù)措施基本上是邊界安全措施[2]，并未過(guò)多涉及變電站內(nèi)部網(wǎng)絡(luò)通信的安全防護(hù)的具體實(shí)施方案，若在變電站內(nèi)受到攻擊時(shí)系統(tǒng)將會(huì)變得非常脆弱。近年來(lái)信息安全事件的曝光，使全球震驚之余，也讓我們認(rèn)識(shí)到：國(guó)家重要行業(yè)的信息安全正面臨著嚴(yán)峻的考驗(yàn)，電力系統(tǒng)內(nèi)全面的信息安全迫在眉睫[3]。

1 網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化方案

1.1 目前組網(wǎng)方案概述

智能變電站通信網(wǎng)絡(luò)采用IEC 61850國(guó)際標(biāo)準(zhǔn)，標(biāo)準(zhǔn)將變電站在結(jié)構(gòu)上劃分為變電站層、間隔層和過(guò)程層[1-4]，并通過(guò)分層、分布、開(kāi)放式網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)連接。變電站層與間隔層之間的網(wǎng)絡(luò)稱為變電站層網(wǎng)絡(luò)，間隔層與過(guò)程層之間的網(wǎng)絡(luò)稱為過(guò)程層網(wǎng)絡(luò)。因?yàn)樽冸娬緦泳W(wǎng)絡(luò)和過(guò)程層網(wǎng)絡(luò)承載的業(yè)務(wù)功能截然不同，在以往的技術(shù)條件下，為了保證過(guò)程層網(wǎng)絡(luò)的實(shí)時(shí)性、安全性，變電站層網(wǎng)絡(luò)與過(guò)程層網(wǎng)絡(luò)物理分開(kāi)，也就是“三層兩網(wǎng)”結(jié)構(gòu)。變電站層網(wǎng)絡(luò)功能和結(jié)構(gòu)與傳統(tǒng)變電站的計(jì)算機(jī)監(jiān)控系統(tǒng)網(wǎng)絡(luò)基本類似，全站信息的匯總功能（包括防誤閉鎖）可依靠MMS/GOOSE網(wǎng)絡(luò)實(shí)現(xiàn)。過(guò)程層當(dāng)前涉及的組網(wǎng)方式主要有以下幾種[5-6,12]：①SV直連，GOOSE直連，此方式的實(shí)現(xiàn)與傳統(tǒng)變電站的電纜連接方式極為類似，此方式雖然能保證數(shù)據(jù)傳輸?shù)目煽啃?，但是?shù)據(jù)無(wú)法共享且連接IED的網(wǎng)絡(luò)口過(guò)多，增加設(shè)備成本且設(shè)備發(fā)熱量較大；②SV直連和GOOSE組網(wǎng)，此方式在一定程度上實(shí)現(xiàn)了數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)化，具有較高的自動(dòng)化程度。但是 SV采用點(diǎn)對(duì)點(diǎn)方式，仍然無(wú)法實(shí)現(xiàn)采樣的數(shù)據(jù)共享；③SV組網(wǎng)和 GOOSE直連，此方式出現(xiàn)在早期的數(shù)字化變電站建設(shè)階段，多關(guān)注SV數(shù)據(jù)共享；④SV組網(wǎng)和 GOOSE組網(wǎng)，此方式符合變電站自動(dòng)化發(fā)展方向，也滿足智能變電站組網(wǎng)要求，但是此方式較為復(fù)雜，需要交換機(jī)數(shù)量較大；⑤混合組網(wǎng)，混合組網(wǎng)方式是結(jié)合上述幾種組網(wǎng)方式。

1.2 MMS、GOOSE、SV的共網(wǎng)技術(shù)

對(duì)于“三層兩網(wǎng)”的網(wǎng)絡(luò)結(jié)構(gòu)而言，網(wǎng)絡(luò)復(fù)雜，帶寬未充分利用，目前智能站內(nèi)以太網(wǎng)的帶寬高達(dá)100Mbps以上，即使應(yīng)用于超大規(guī)模變電站也游刃有余，GOOSE網(wǎng)絡(luò)與MMS網(wǎng)絡(luò)流量明顯偏小，比如按照 GOOSE的發(fā)送機(jī)制，一個(gè)智能設(shè)備變位時(shí)的最大數(shù)據(jù)流量為0.03Mbit/s，一個(gè)間隔內(nèi)的SMV網(wǎng)與GOOSE網(wǎng)總流量為5Mbit/s左右，占網(wǎng)絡(luò)帶寬并不大[7-8]。為此本文設(shè)計(jì)多網(wǎng)合一的組網(wǎng)方式，在網(wǎng)絡(luò)架構(gòu)高度集成之后，考慮硬件網(wǎng)絡(luò)冗余方式，則可達(dá)到簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)，充分利用帶寬，減少建設(shè)和運(yùn)維成本等目的的同時(shí)，提高系統(tǒng)的可靠性。

2 硬件通信冗余設(shè)計(jì)

IEC 62439標(biāo)準(zhǔn)[9]中提出利用并行冗余協(xié)議PRP（ParallelRedundancy Protocol，PRP）以提高系統(tǒng)的可靠性?；赑RP的冗余網(wǎng)絡(luò)要求裝置包含雙以太網(wǎng)控制器和雙網(wǎng)絡(luò)端口，分別接入兩個(gè)完全獨(dú)立的以太網(wǎng)，實(shí)現(xiàn)裝置通信網(wǎng)絡(luò)的冗余[10]。如圖 1所示。運(yùn)行PRP協(xié)議的裝裝置通過(guò)兩個(gè)并行的以太網(wǎng)適配器（網(wǎng)口1及網(wǎng)口2）分別連接到A網(wǎng)及B網(wǎng)，網(wǎng)口1和網(wǎng)口2使用相同的MAC地址，這兩個(gè)以太網(wǎng)適配器通過(guò)鏈路冗余控制模塊（PRP模塊）連接到上層數(shù)據(jù)應(yīng)用模塊，冗余模塊通過(guò)冗余算法只將A網(wǎng)或B網(wǎng)的數(shù)據(jù)傳遞給上層數(shù)據(jù)應(yīng)用模塊。由于有了鏈路冗余控制模塊，從上層數(shù)據(jù)應(yīng)用模塊向下看，實(shí)際具有冗余的網(wǎng)口呈現(xiàn)非冗余的特性。通過(guò)應(yīng)用基于PRP設(shè)計(jì)的硬件通信冗余模塊，可提高網(wǎng)絡(luò)通信可靠性的同時(shí)不影響裝置的任何性能，最終可保證智能變電站多網(wǎng)合一的組網(wǎng)方式下通信的可靠性。

圖1 PRP冗余網(wǎng)絡(luò)拓?fù)涫纠?/p>

3 基于IEC 62351的站內(nèi)信息安全設(shè)計(jì)

IEC制定的 IEC 62351[11]數(shù)據(jù)和通信安全標(biāo)準(zhǔn)的目的就是為了解決電力通訊領(lǐng)域的數(shù)據(jù)和通訊的安全問(wèn)題。在IEC 62351中，認(rèn)證和加密是核心內(nèi)容。本文基于IEC 62351所設(shè)計(jì)的智能變電站信息安全強(qiáng)化方案也是通過(guò)認(rèn)證來(lái)最小化中間人攻擊的威脅、最小化某些類型的旁路控制威脅以及最小化無(wú)意和惡意的人員行為威脅。通過(guò)數(shù)字簽名，可提供實(shí)體認(rèn)證來(lái)確保對(duì)信息的唯一授權(quán)訪問(wèn)，而通過(guò)加密，提供認(rèn)證密鑰的機(jī)密性，可防止消息被篡改、監(jiān)視及防止消息重放和欺騙等。本文的安全設(shè)計(jì)涉及智能變電站內(nèi)MMS協(xié)議安全加固以及SMV協(xié)議和GOOSE協(xié)議的安全加固。

3.1 MMS協(xié)議安全設(shè)計(jì)

對(duì)于MMS協(xié)議安全設(shè)計(jì)主要分為兩個(gè)部分：，①基于TCP/IP協(xié)議集上的安全改造，如圖2中的認(rèn)證加密層：②在 MMS的應(yīng)用層上，客戶與服務(wù)器之間在關(guān)聯(lián)過(guò)程中的認(rèn)證。

圖2 MMS協(xié)議加固

對(duì)于認(rèn)證加密層采用可采用TLS/SSL協(xié)議，而通過(guò)對(duì) MMS關(guān)聯(lián)過(guò)程中的請(qǐng)求和響應(yīng)進(jìn)行擴(kuò)展，在 MMS的應(yīng)用層進(jìn)行兩個(gè)通信實(shí)體間進(jìn)行基于數(shù)字證書(shū)的身份認(rèn)證，認(rèn)證信息可用來(lái)對(duì)訪問(wèn)者的權(quán)限進(jìn)行控制，并在一定程度上防止重放攻擊。

3.2 GOOSE/SV協(xié)議安全設(shè)計(jì)

1）安全設(shè)計(jì)方案

對(duì)GOOSE/SMV協(xié)議的安全設(shè)計(jì)，通過(guò)利用對(duì)報(bào)文協(xié)議格式中的保留字段加以利用以及對(duì)協(xié)議的擴(kuò)展來(lái)實(shí)現(xiàn)安全改造的目標(biāo)。如圖3所示，圖3（a）為IEC 61850中GOOSE原始報(bào)文結(jié)構(gòu)；圖3（b）所示為為改造后的報(bào)文結(jié)構(gòu)。其中對(duì)原報(bào)文中的保留字段進(jìn)行定義（圖 3（a）中的原保留部分），把其擴(kuò)展定義為尾部簽名字段長(zhǎng)度及相關(guān)字段的CRC計(jì)算結(jié)果。且對(duì)尾部進(jìn)行擴(kuò)展（圖3（b）中的Extend）的內(nèi)容為對(duì)報(bào)文相關(guān)字段的加密簽名的具體內(nèi)容。

圖3 GOOSE協(xié)議加固

對(duì)于經(jīng)過(guò)安全設(shè)計(jì)的 GOOSE模塊，其發(fā)布方在發(fā)布消息時(shí)對(duì)其消息進(jìn)行加密簽名，而訂閱方側(cè)在接收到報(bào)文后進(jìn)行驗(yàn)簽，驗(yàn)簽失敗則丟棄該消息?？紤]到嵌入式系統(tǒng)的實(shí)時(shí)性要求，加密時(shí)建議采用對(duì)稱加密的方式。SMV協(xié)議的安全設(shè)計(jì)與GOOSE協(xié)議類似。

2）安全設(shè)計(jì)對(duì)實(shí)時(shí)性的影響

在對(duì)報(bào)文進(jìn)行簽名與驗(yàn)簽時(shí)，會(huì)消耗一定的CPU資源開(kāi)銷，考慮到過(guò)程層設(shè)備的實(shí)時(shí)性要求，需要驗(yàn)證在對(duì)GOOSE/SV報(bào)文經(jīng)過(guò)安全設(shè)計(jì)后對(duì)裝置整體性能的影響。經(jīng)過(guò)實(shí)驗(yàn)，見(jiàn)表 1，密鑰長(zhǎng)度為100的情況下，在已工程應(yīng)用的裝置內(nèi)測(cè)試，在同一次中斷任務(wù)內(nèi)對(duì) GOOSE報(bào)文先后進(jìn)行一次簽名和解簽過(guò)程，采用SHA256算法時(shí)實(shí)際使用使用的時(shí)間為200μs左右，而采用SHA1算法時(shí)，時(shí)間較少為80μs左右，實(shí)際應(yīng)用中中斷周期為833μs，故綜合考慮目前的硬件資源，在安全設(shè)計(jì)時(shí)考慮應(yīng)用較為簡(jiǎn)單的加密算法時(shí)，對(duì)裝置性能的影響是很少的。

表1 實(shí)驗(yàn)數(shù)據(jù)

4 結(jié)論

根據(jù)新一代智能變電站的發(fā)展要求，迫切需要優(yōu)化站內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)、提高系統(tǒng)的可靠性，且增加網(wǎng)絡(luò)信息安全設(shè)計(jì)。本文針對(duì)此發(fā)展要求，提出了網(wǎng)絡(luò)優(yōu)化方案，設(shè)計(jì)了網(wǎng)絡(luò)冗余的實(shí)現(xiàn)方案，并基于IEC 62351加固了智能變電站內(nèi) MMS、SMV及GOOSE網(wǎng)絡(luò)通信協(xié)議。可有效提高智能變電站的系統(tǒng)可靠性和信息的安全性。

[1] 李瑞生, 李燕斌, 周逢權(quán). 智能變電站功能架構(gòu)及設(shè)計(jì)原則[J]. 電力系統(tǒng)保護(hù)與控制, 2010, 38(21):24-27.

[2] 辛耀中. 網(wǎng)絡(luò)信息安全防護(hù)的四個(gè)問(wèn)題[C]. 中國(guó)信息協(xié)會(huì)信息安全專業(yè)委員會(huì)年會(huì)文集, 2004:150-157.

[3] 胡炎, 董名垂, 韓英鐸. 電力工業(yè)信息安全的思考[J]. 電力系統(tǒng)自動(dòng)化, 2002, 26(7): 1-4, 12.

[4] 竇曉波, 胡敏強(qiáng), 吳在軍, 等. 數(shù)字化變電站通信網(wǎng)絡(luò)性能仿真分析[J]. 電網(wǎng)技術(shù), 2008, 32(17): 98-104.

[5] 杜振華, 王建勇, 羅奕飛, 等. 基于MMS與GOOSE網(wǎng)合一的數(shù)字化網(wǎng)絡(luò)保護(hù)設(shè)計(jì)[J]. 電力系統(tǒng)保護(hù)與控制, 2010, 38(24): 178-181, 221.

[6] 魏勇, 羅思需, 施迪, 等. 基于 IEC 61850-9-2及GOOSE共網(wǎng)傳輸?shù)臄?shù)字化變電站技術(shù)應(yīng)用與分析[J]. 電力系統(tǒng)保護(hù)與控制, 2010, 38(24): 146-152.

[7] 徐成斌, 孫一民. 數(shù)字化變電站過(guò)程層GOOSE通信方案[J]. 電力系統(tǒng)自動(dòng)化, 2007, 31(19): 91-94.

[8] 鄭新才, 周鑫, 王素華, 等. 數(shù)字化變電站的GOOSE網(wǎng)絡(luò)測(cè)試[J]. 電力系統(tǒng)保護(hù)與控制, 2009,37(24): 85-89, 93.

[9] International Electrotechnical Commission. IEC 62439 SC 65C High availability automation networks[S].Geneva, Switzerland: IEC, 2008.

[10] 王海峰, 丁杰, 徐偉. 數(shù)字化變電站中雙網(wǎng)控制策略[J]. 電力系統(tǒng)自動(dòng)化, 2009, 33(8): 48-50, 67.

[11] International Electrotechnical Commission. IEC62351(Committee Draft). Data and Communication Security[S].2008. Systems, 2002, 26(27): 9-11(in Chinese).

[12] 樊陳, 倪益民, 竇仁輝, 等. 智能變電站過(guò)程層組網(wǎng)方案分析[J]. 電力系統(tǒng)自動(dòng)化, 2011, 35(18): 67-71.