基于5G配電網差動保護安全防護策略研究

張 泰，楊 雪，汪曉帆

(1.國網四川省電力公司電力科學研究院, 四川 成都 610041；2.國網四川省電力公司眉山供電公司，四川 眉山 620010)

0 引 言

配電網是國民經濟和社會發展的重要公共基礎設施，擔負著保障國家經濟發展和居民生活質量的重要使命。當前，隨著分布式電源、柔性負荷大量接入以及供需互動用電不斷深入，配電網的故障特性發生了顯著改變，給配電網的安全可靠運行帶來了新的挑戰。此外，配電網分布廣、拓撲結構復雜、中性點接地方式多樣，發生故障時，故障點查找、隔離與恢復極為困難，如不能及時排除，將威脅人身及設備安全，甚至引發大面積停電事故。

隨著配電網逐漸往主動配電網過渡[1-3]，新的構建模式使得配電網的運行面臨新的挑戰：1)分布式電源的引入將電網由單端輻射型網絡變成了多源異構復雜網絡，電網可能面臨傳統三段式電流保護失去選擇性和靈敏性降低的風險；2)分布式電源類型復雜，短路電流難以準確計算，傳統三段保護之間的級差配合困難；3)當變電站出線斷路器跳閘，將導致后級多條線路均被納入故障停電范圍；4)故障發生后，當前恢復送電策略使恢復供電時間較長。因此，傳統的過流保護作為配電網線路的主保護存在無法兼顧快速性和選擇性要求以及定值困難等問題，其誘發越級跳閘和大范圍停電事件的風險越來越高，難以滿足用戶對供電可靠性不斷提高的要求。配電網差動與區域保護具有可以實現故障區間的快速定位與隔離、定值易整定等優點，但光纖通信敷設的縱聯通道方案，存在成本高、難度大、通道利用率低等問題，無法適應分布式電源日益增多的接入電網需求。

隨著全球能源互聯網的建設推進，大量電廠、電網、用電側的設備接入國家電網公司網絡。在主網通信接入網建設方面，主要依賴光纖組網方式滿足保護、安控等控制類業務的通信傳輸需求。在配電網的通信建設方面，在A+、A類供電區域，為確保電力的可靠供應，與之配套的電力通信網往往采用光纖專網的方式進行，但建設成本居高不下，運行維護壓力巨大，無法滿足配電網對通信傳輸可靠性的要求。此外，A+、A類供區，城市建設快、市政施工頻繁導致配電網引起的光纖中斷后無法快速恢復，配電網自動化只能采用盲調方式，嚴重制約配電網自動化的運行效率。隨著配電自動化的建設推進，在B、C、D類供電區域，如果仍然采用光纖專網的方式將給公司帶來巨大的經營壓力，組網及維護成本過高等問題始終難于解決。

2019年6月6日，工業和信息化部正式向中國電信、中國移動、中國聯通、中國廣電四家運營商發放5G商用牌照，這標志著中國正式進入5G商用元年。5G技術的低時延、高可靠、海量連接特征，與國家電網公司電網狀態全息感知、數據全面連接、業務全程在線、服務全新體驗的“能源互聯網”建設目標高度吻合。5G主要在4G技術體系基礎上的終端接入速率、基站終端連接容量和業務基礎時延方面顯著提升，在電網中的主要應用場景[4-6]包括：1)增強型移動寬帶(enhanced mobile broadband，eMBB)，在人口密集區為用戶提供1 Gbps用戶體驗速率和10 Gbps峰值速率，較4G接入速率提升10倍，適用于高清視頻監控、無人機巡檢、維修培訓等對帶寬的需求非常高的業務。2)超高可靠與低延遲的通信(ultra reliable low latency communications，URLLC)，提供毫秒級的端到端時延和接近100%的業務可靠性保證，適用于配電自動化、精準控制等對時延的要求高的業務。3)大規模機器類通信(massive machine type of communication，mMTC)，提供具備超千億網絡連接支持能力，適用于電網信息的采集、狀態檢測等海量連接和數據采集應用場景。此外，5G通信技術具有高帶寬、低時延及安全可靠的特點，可以滿足配電網差動保護與區域保護縱聯通道數據傳輸時間的要求。利用5G通信技術承載配電網縱聯保護通道，可在較低成本投入下實現保護快速準確動作，并兼顧保護間的優化配合，可快速隔離故障區間，最大程度縮小故障停電范圍和停電時間。

1 基于5G配電網差動保護架構

目前，配電網保護可采用過流保護、差動保護和基于GOOSE的網絡拓撲保護，主流方式仍然是采用基于過流速斷的級差保護機制，均通過光纖連接實現。現階段，尚無10 kV線路站內開關過流I段設置級差的最佳方案，10 kV城網線路無法實現故障區域的快速和最小范圍隔離。隨著配電網絡不斷延伸擴容、拓撲結構日趨復雜，過流保護定值在復雜配電網配合困難、選擇性差、速動性差的問題日益凸顯。此外，配電通信網覆蓋范圍大，覆蓋終端數量多，大量設備安裝于戶外，運行情況復雜，光纖通信線路受市政施工破壞嚴重，使用缺陷量大，缺陷處理任務繁重。且由于10 kV配電網新投入運行時異動量較大，導致相應的通信接入網頻繁變動，對網絡結構影響大，光纖敷設難度大且成本高。基于5G承載配電網差動保護不僅具有良好的經濟效益，且是踐行國家數字新基建的具體舉措。

配電網差動保護試點工程架構如圖1所示，在保留原過流保護的基礎上，增設了10 kV相關5G差動保護設備，包括5G保護裝置(實現差動保護及相關配電網自動化功能)、客戶端前置設備(customer premise equipment，CPE，實現通道5G數據的收發傳輸)、對時裝置(接受北斗/GPS衛星對時，輔助兩側保護裝置實現采樣同步)，并采用5G網絡進行數據傳輸(本次試點工程采用移動運營商網絡)。

圖1 基于5G配電網差動保護架構

2 基于5G的配電網差動保護安全概述

2.1 5G技術的安全挑戰[7-8]

相比4G網絡，5G不僅要考慮語音和數據的安全性，更要考慮萬物互聯場景下垂直行業的應用安全。此外，面對各種異構網絡(如4G、WiFi等)和設備的接入，5G相較于過往的移動通信技術具有新的安全挑戰。

首先是新的業務場景下的安全，5G的三大場景對安全的要求不同。在eMBB場景下，AR/VR的安全和行業應用安全不同；在mMTC場景下，存在設備認證成本高、易產生信令風暴的問題，需要群組認證機制，此外，考慮到設備的能耗，應該設計輕量級的安全算法和簡單高效的安全協議；在uRLLC場景下，必須考慮時延和安全開銷的折中，并需要考慮計入身份認證的時延、數據安全保護引入的時延、網絡節點加解密引入的時延和安全上下文切換引入的時延等。

其次，作為5G核心網服務化架構(service based architecture，SBA)，必然引入了軟件定義網絡(software defined network,SDN)和網絡功能虛擬化(network functions virtualization,NFV)技術來實現其功能，這與傳統網絡中依賴設備隔離的安全防護方式截然不同，如NFV中虛擬化管理層的安全問題,因此存在SDN控制網元和轉發節點的安全隔離和管理問題等；再者，網絡切片被認為是5G保障安全的有力手段，但切片之間的安全隔離、虛擬網絡的安全部署和管理問題也需要重點考慮；網絡開放功能，需要核心網與第三方網元以及核心網元之間支持更高更靈活的安全能力，實現業務簽發、發布和每用戶每服務都有安全通道。

此外，各種接入技術有不同的安全要求，對隱私的保護程度也不同，用戶數據可能穿越不同接入網絡和廠商提供的功能網絡實體散布在網絡各處，通過數據挖掘可能分析出更多用戶隱私。4G已經暴露出泄露用戶身份標識(IMSI)的漏洞，因此5G網絡需要通過加強的安全機制對用戶身份進行隱私保護。

2.2 5G安全機制分析[9-11]

為應對上述安全挑戰，5G網絡使用多種技術，使網絡具備新的安全能力。

2.2.1 保護用戶設備(UE)與網絡之間的通信

1)獨立組網(standalone,SA)安全：通過PDCP(packet data convergence protocol),分組數據匯聚協議)保護UE和gNB(5G基站)之間的控制面和用戶面數據。

2)非獨立組網(non-standalone,NSA)安全：通過NSA-MM(移動性管理)保護用戶和AMF(接入和移動管理功能)之間的NSA信令。

2.2.2 保護公共陸地移動網(public land mobile network,PLMN)內部網元的通信

1)回傳保護。

2)核心網保護。

3)接入認證。

4)偽基站檢測和防護機制。

2.2.3 保護網絡之間的通信

1)運營商互聯安全。

2)多層次切片安全：包括UE和切片間、切片內外NF(網絡功能)間安全、切片內NF間安全。

2.2.4 向應用提供5G安全能力

1)統一認證框架(EAP)，適配多種安全憑證和認證方式，并且認證能力開放(AKMA)能為第三方提供認證服務和安全通道。

2)二次認證，即在用戶接入網絡時所做認證(被稱為“主認證”)之后為接入特定業務建立數據通道而進行的認證。例如，當5G網絡用于為高保障業務系統提供通信時，用戶通過接入認證后并不能直接與業務系統建立連接，而是利用業務相關的信任憑據與用戶終端進行認證，并在認證通過的情況下才允許5G網絡為用戶建立與業務系統之間的通信鏈路。二次認證的實質是為構建在5G網絡之上的第三方應用提供“5G接入認證+第三方應用認證”的雙重認證機制，從而提升應用的接入安全性。

3)應用認證與密鑰管理，通過用戶身份SUPI加密，提升隱私保護能力，其對稱算法密鑰長度延長至256 bit；

4)差異化安全保護，即用戶面按需保護。

5)安全能力開放，讓運營商網絡安全能力深入地滲透到第三方業務生態環境中。

2.3 配電網差動保護的風險點分析

利用5G來承載配電網差動保護業務，面臨著來源于5G網絡和5G關鍵技術的各種惡意攻擊等風險，同時也面臨著配電網本身數據泄露的風險。

基于5G的配電網差動保護業務可能面臨的風險如表1所示。

表1 基于5G配網差動保護的安全風險

3 基于5G配電網差動保護網絡安全防護策略

3.1 基于5G配電網差動保護安全隱患

圖2所示為基于5G配電網差動保護數據流向圖。

圖2 基于5G配電網差動保護數據流向

CPE插入USIM卡，接入5G網絡即完成了CPE與核心網的一系列網元秘鑰派生的過程，秘鑰長度允許256 bit，保證了CPE與基站之間在空口的數據安全。數據的完整性保護可選，需要向運營商確認。中心-分布單元(center unit-distributed unit，CU-DU)到用戶面功能(user-plane function，UPF)是通過IPSEC協議進行安全保護，因此，差動保護裝置到CPE再到基站，數據安全能得到保證。但是，根據安全邊界和數據流，配電網差動保護仍存在如下的安全風險。

1)風險1：應用層業務數據的安全性風險。由于應用域安全不在5G安全標準規定的網絡保障范圍內，因此，應用層面數據存在在進入5G信道之前被篡改的風險。

解決措施：業務數據加密。

2)風險2：CPE、DTU存在被攻破、植入惡意代碼的可能，影響業務的正常運行。

如某型號CPE存在漏洞(CVE-2017-8155、8156)，串口訪問無認證，攻擊者可控制該設備；協議漏洞，TR-604協議(LAN側DSL設備管理配置協議)漏洞導致攻擊者不需要任何認證，可直接對CPE設備狀態進行重新配置、惡意操作；病毒、木馬、蠕蟲、勒索軟件、間諜軟件、流氓軟件植入；拒絕服務攻擊(DDos)。

解決措施：CPE安全防護、IPS/IDS、安全加固、漏掃。

3)風險3：USIM卡和通訊終端存在被盜/異常風險。

解決措施：USIM卡位置綁定，機卡綁定。

除了上述解決措施外，還提出以下安全防護策略：

1)在CPE處開啟安全設置，開啟防護墻、防Dos攻擊設置(ICMP_FLOOD、UDP_FLOOD、TCP_SYN_FLOOD過濾)。

2)部署IPS/IDS，對CPE、DTU的異常行為或威脅進行檢測，對源地址進行檢查，發現被感染的惡意終端。

3)使用加密芯片對業務數據加密，防止數據被篡改。

4)與運營商確認是否開啟空口數據完整性保護。

5)要求運營商支持USIM卡位置綁定、支持機卡綁定認證。

6)定期進行漏洞掃描、滲透測試、安全加固、版本升級、等保評級。

7)部署認證與授權應用，提供對配電站終端的二次認證與授權機制，保證應用安全。

3.2 兩種組網模式下的防護方案

考慮到目前5G網絡建設的進程，設計在兩種組網模式下，即NSA和SA的安全防護方案。NSA非獨立組網模式兼顧4G和5G網絡，而SA獨立組網模式只有5G網絡，因此，兩種模式下安全防護方案也不盡相同。

1)NSA模式下的配電網差動保護業務整體安全防護方案如表2所示。

表2 NSA 5G配電網差動保護安全防護方案

2)SA組網模式下基于電力專用MEC的配電網差動保護業務整體安全防護方案如表3所示。

表3 SA 5G配電網差動保護安全防護方案

IDS系統方案的設計需考慮以下情況：

1)5G網絡邊緣環境通常資源有限，系統應具備較高的資源利用率；

2)5G網絡中的安全威脅類型多、變化快，系統應具備靈活、快速部署各種檢測功能的能力。

由于目前配電網差動保護尚未涉及邊緣計算(multi-access edge computing，MEC)和5G網絡切片，因此暫不考慮這兩方面的安全防護策略。

4 結 語

基于5G的配電網差動保護能實現保護范圍內的全線速動，無需與其他保護配合，具有優良的速動性、靈敏性和選擇性，且不受系統方式潮流的影響，是目前為止電網保護領域特性較好的保護機制之一。但作為國家能源的重要基礎設施，配電網的安全穩定運行尤為重要，因此，全面分析了基于5G的配電網差動保護安全隱患，提出以下安全防護策略和方案，切實保障配電網安全穩定運行：

1)給出了配電網差動保護的架構和實現原理；

2)對比分析了5G和4G網絡安全性能；

3)基于5G的自身安全挑戰分析了基于5G的配電網安全防護需求，繼而根據差動保護的數據流向和邊界條件給出了基于5G配電網差動保護的安全風險點和應對措施；

4)提出了兩種組網模式下基于5G配電網差動保護的安全防護實現目標。