繼電保護(hù)遠(yuǎn)程運(yùn)維可信安全方案設(shè)計

湯成俊 李洪池 劉文彪 紀(jì) 陵 檀庭方

繼電保護(hù)遠(yuǎn)程運(yùn)維可信安全方案設(shè)計

湯成俊 李洪池 劉文彪 紀(jì) 陵 檀庭方

（南京國電南自電網(wǎng)自動化有限公司，南京 211100）

隨著智能電網(wǎng)繼電保護(hù)技術(shù)的快速發(fā)展和精細(xì)化管理要求的不斷提升，設(shè)備數(shù)量日益增多且新技術(shù)被不斷引入。傳統(tǒng)的運(yùn)維模式人力成本高且效率低下，因而繼電保護(hù)設(shè)備遠(yuǎn)程運(yùn)維模式被廣泛應(yīng)用，但隨之而來的敏感信息明文傳輸、用戶身份無法驗(yàn)證等安全問題也亟待解決。本文針對繼電保護(hù)設(shè)備遠(yuǎn)程運(yùn)維過程中安全防范措施不足的問題，基于IEC 61850的文件服務(wù)，構(gòu)建遠(yuǎn)程運(yùn)維整體安全架構(gòu)，設(shè)計基于國密算法的遠(yuǎn)程安全通信、關(guān)鍵操作抗抵賴等技術(shù)，保障整個運(yùn)維過程的安全性。

繼電保護(hù)；遠(yuǎn)程運(yùn)維；通信安全；國密算法；抗抵賴

0 引言

國家大力支持智能電網(wǎng)的發(fā)展，信息網(wǎng)絡(luò)在電力系統(tǒng)中的應(yīng)用比重不斷增加。計算機(jī)和網(wǎng)絡(luò)給電力系統(tǒng)帶來諸多方便的同時，網(wǎng)絡(luò)安全威脅給國家電力安全帶來不少隱患，構(gòu)建網(wǎng)絡(luò)信息安全的變電站成為日益迫切的需求。當(dāng)前，設(shè)備本質(zhì)安全方面重功能、輕防護(hù)，操作系統(tǒng)和應(yīng)用漏洞多、安全策略缺失，通信協(xié)議健壯性不足、缺乏加密和認(rèn)證，存在危險服務(wù)和系統(tǒng)未最小化裁剪，操作系統(tǒng)未國產(chǎn)化等問題。在設(shè)備遠(yuǎn)程運(yùn)維安全方面，智能變電站新設(shè)備的廣泛應(yīng)用使站內(nèi)二次設(shè)備的運(yùn)維工作變得更加復(fù)雜。目前大多數(shù)運(yùn)維主站系統(tǒng)主要解決功能性問題，在安全方面的考慮相對不足，一旦邊界防護(hù)被突破會給整個電網(wǎng)的運(yùn)行帶來不可估量的 損失。

為解決遠(yuǎn)程運(yùn)維過程中的安全問題，本文基于IEC 61850標(biāo)準(zhǔn)的文件服務(wù)，設(shè)計遠(yuǎn)程運(yùn)維統(tǒng)一文件格式，并增加加密、防篡改及基于時間戳的防重放設(shè)計，從安全層面保障遠(yuǎn)程運(yùn)維操作的安全可靠，可有效解決遠(yuǎn)程運(yùn)維過程中的明文傳輸、身份校驗(yàn)等問題。

1 繼電保護(hù)遠(yuǎn)程運(yùn)維

繼電保護(hù)遠(yuǎn)程運(yùn)維系統(tǒng)[1-3]主要由繼電保護(hù)遠(yuǎn)程運(yùn)維主站、智能錄波器及繼電保護(hù)裝置組成。繼電保護(hù)遠(yuǎn)程運(yùn)維功能[4-5]主要包括智能巡視、智能定檢、軟件備份升級、裝置及進(jìn)程重啟、IP及路由信息配置、業(yè)務(wù)增量配置、控制操作等。然而，考慮到繼電保護(hù)裝置的重要性及遠(yuǎn)方操作的安全性，定值、壓板等遠(yuǎn)方操作功能的使用仍較為謹(jǐn)慎，遠(yuǎn)程運(yùn)維主要停留在監(jiān)視階段。網(wǎng)絡(luò)安全方面，安全策略缺失，通信協(xié)議健壯性不足、缺乏加密和認(rèn)證，運(yùn)維的安全性無法得到保障。

1.1 定檢周期遠(yuǎn)方運(yùn)維

定檢周期遠(yuǎn)方[6]運(yùn)維主要包括：

1）支持自動定檢和人工定檢。

2）分類配置，定檢項(xiàng)目按常規(guī)站和智能站、智能電子設(shè)備（intelligent electronic device, IED）類型定制差異化定檢項(xiàng)目表單；對各定檢項(xiàng)目確定部檢完成判據(jù)。

3）支持人工設(shè)置定檢周期，并在每個自動定檢項(xiàng)目對應(yīng)的定檢完成判據(jù)滿足時自動重置該項(xiàng)目的定檢周期，默認(rèn)重置周期為三年，定檢完成判據(jù)不滿足或定檢周期到達(dá)時給出需要人工定檢的結(jié)果，由人工定檢確認(rèn)后重置該項(xiàng)目的定檢周期。

4）增加定檢周期遠(yuǎn)方運(yùn)維功能，定檢周期分為部檢周期和全檢周期，可由主站下發(fā)。

1.2 智能巡視

智能巡視主要包括巡視項(xiàng)和巡視時間配置；巡視項(xiàng)、自動巡視啟動時間和自動巡視間隔時間可由主站遠(yuǎn)方運(yùn)維。智能巡視主要內(nèi)容如圖1所示。

圖1 智能巡視主要內(nèi)容

1.3 巡視模型遠(yuǎn)程運(yùn)維

巡視模型可以在主站側(cè)完成修改，通過IEC 61850文件服務(wù)將巡視模型下發(fā)到智能錄波器，智能錄波器通過安全校驗(yàn)后更新本地巡視模型并重啟巡視服務(wù)，主要包括巡視基準(zhǔn)值遠(yuǎn)方運(yùn)維、同源比對門檻值遠(yuǎn)方運(yùn)維、各個IED巡視點(diǎn)遠(yuǎn)方運(yùn)維。巡視模型遠(yuǎn)程運(yùn)維如圖2所示。

1.4 增量配置遠(yuǎn)方運(yùn)維

當(dāng)現(xiàn)場有改擴(kuò)建需求時，用戶提供新的系統(tǒng)配置描述（system configuration description, SCD）文件，服務(wù)人員根據(jù)新的SCD離線做好配置（包括庫和畫面），將增量配置導(dǎo)出為文件格式，通過IEC 61850文件服務(wù)下發(fā)智能錄波器，智能錄波器解析增量配置文件，將增量配置固化到數(shù)據(jù)庫中，最后重啟裝置。增量配置如圖3所示。

圖2 巡視模型遠(yuǎn)程運(yùn)維

圖3 增量配置

1.5 路由、IP信息遠(yuǎn)方運(yùn)維

主站通過IEC 61850文件服務(wù)下發(fā)IP和路由信息文件，智能錄波器通過安全校核后，根據(jù)文件修改IP和路由信息。

1.6 遠(yuǎn)方重啟

遠(yuǎn)方重啟裝置和遠(yuǎn)方重啟進(jìn)程。

1.7 軟件升級及備份

主站通過IEC 61850文件服務(wù)下發(fā)軟件升級命令，智能錄波器通過安全校核后，對目標(biāo)軟件進(jìn)行升級。主站通過IEC 61850文件服務(wù)下發(fā)軟件備份命令，智能錄波器通過安全校核后，對核心軟件進(jìn)行備份并上傳至主站。

1.8 遠(yuǎn)方操作

遠(yuǎn)方操作主要包括投退壓板、修改定值[7]、遙控、切換定值區(qū)等。

2 遠(yuǎn)程運(yùn)維安全設(shè)計方案

2.1 系統(tǒng)架構(gòu)設(shè)計

繼電保護(hù)可信安全遠(yuǎn)程運(yùn)維總體架構(gòu)[7]主要由繼電保護(hù)遠(yuǎn)程運(yùn)維主站、智能錄波器及繼電保護(hù)裝置組成，本文主要研究構(gòu)建繼電保護(hù)遠(yuǎn)程運(yùn)維主站對智能錄波器實(shí)現(xiàn)遠(yuǎn)程運(yùn)維。其中，繼電保護(hù)運(yùn)維主站采用基于可信技術(shù)的底層硬件及操作系統(tǒng)，搭建數(shù)據(jù)分析處理平臺實(shí)現(xiàn)用戶管理、命令控制、配置更新、遠(yuǎn)程升級及日志審計等功能；智能錄波器也采用基于可信技術(shù)的底層硬件及操作系統(tǒng)，實(shí)現(xiàn)主站下發(fā)的遠(yuǎn)程運(yùn)維業(yè)務(wù)功能并將命名轉(zhuǎn)發(fā)給保護(hù)裝置。主站和智能錄波器之間基于既有的IEC 61850通信模式，使用文件的方式進(jìn)行遠(yuǎn)程運(yùn)維命令交互，同時對運(yùn)維文件[8]進(jìn)行加密、防重放及數(shù)字簽名操作，以保證運(yùn)維過程的安全可靠。可信安全遠(yuǎn)程運(yùn)維系統(tǒng)架構(gòu)如圖4所示。

圖4 可信安全遠(yuǎn)程運(yùn)維系統(tǒng)架構(gòu)

該架構(gòu)通過可信技術(shù)保障設(shè)備的本質(zhì)安全，同時在進(jìn)行巡視模型和增量配置遠(yuǎn)程運(yùn)維時，運(yùn)用加密、防重放、數(shù)字簽名技術(shù)，有效地保障了遠(yuǎn)程運(yùn)維的安全性；在此基礎(chǔ)上，可以有效降低用戶及工程服務(wù)人員到變電站現(xiàn)場進(jìn)行更新升級的成本，顯著提高運(yùn)維效率。

2.2 業(yè)務(wù)流程設(shè)計

遠(yuǎn)程運(yùn)維業(yè)務(wù)的執(zhí)行主要是在遠(yuǎn)程運(yùn)維主站進(jìn)行用戶登錄并進(jìn)行雙因子及用戶權(quán)限校驗(yàn)，校驗(yàn)正確后對該業(yè)務(wù)操作增加時間戳、數(shù)字證書簽名及基于國密算法的加密[9]形成運(yùn)維文件，運(yùn)維文件由IEC 61850文件服務(wù)發(fā)送給智能錄波器，智能錄波器收到運(yùn)維文件后進(jìn)行解密、數(shù)字證書驗(yàn)簽及防重放驗(yàn)證，通過后解析該運(yùn)維文件的具體內(nèi)容并執(zhí)行相應(yīng)的命令，之后將結(jié)果返回，整個過程都需有審計日志記錄以保證操作過程可回溯。典型系統(tǒng)業(yè)務(wù)流程如圖5所示。

圖5 典型系統(tǒng)業(yè)務(wù)流程

2.3 主子站通信設(shè)計

智能錄波器遠(yuǎn)程運(yùn)維關(guān)鍵技術(shù)包括通信架構(gòu)設(shè)計[10]、通信鏈路設(shè)計、通信安全保障、遠(yuǎn)程運(yùn)維文件設(shè)計及自主可控通信協(xié)議等。遠(yuǎn)程運(yùn)維主站和智能錄波器基于可信的底層硬件和操作系統(tǒng)，通信采用基于IEC 61850的文件服務(wù)，其中運(yùn)維文件基于國密算法的數(shù)字簽名及加密進(jìn)行設(shè)計。智能錄波器和繼電保護(hù)裝置之間可探索采用自主可控制造報文規(guī)范（manufacturing massage specification, MMS）替代協(xié)議進(jìn)行試點(diǎn)應(yīng)用，整體通信架構(gòu)如圖6所示。

其中，智能錄波器和主站之間的鏈路設(shè)計沿用IEC 61850通信鏈路，遠(yuǎn)程運(yùn)維命令通過文件服務(wù)下發(fā)至智能錄波器；運(yùn)維文件包括需要執(zhí)行的操作命名類型、下發(fā)時間、數(shù)字簽名值、執(zhí)行結(jié)果等信息，運(yùn)維文件如圖7所示。

圖6 通信架構(gòu)

圖7 運(yùn)維文件

其中，數(shù)字簽名值用于通信雙方根據(jù)公鑰和私鑰證書進(jìn)行雙向防篡改及身份認(rèn)證；命令的下發(fā)時間，用于通過時間戳校驗(yàn)來防止重放攻擊；最后通過國密加密算法對整個運(yùn)維文件內(nèi)容進(jìn)行加密，防止重要操作被明文攻擊。

2.4 遠(yuǎn)程運(yùn)維操作抗抵賴設(shè)計

1）抗抵賴證書生成

需要在安裝了gmssl的機(jī)器上生成公私鑰證書，生成步驟如下。

（1）生成密鑰

gmssl genpkey -algorithm EC -pkeyopt ec_ paramgen_curve:sm2p256v1 -pkeyopt ec_param_enc: named_curve -out skey.pem

（2）生成CA證書

gmssl req -new -x509 -key skey.pem -out cacert. pem

（3）生成用戶證書請求

gmssl genpkey -algorithm EC -pkeyopt ec_ paramgen_curve:sm2p256v1 -pkeyopt ec_param_enc: named_curve -out user_skey.pem

gmssl req -new -sm3 -key user_skey.pem -out cert.req

（4）生成用戶證書

gmssl ca -in cert.req -out device.cer -keyfile skey.pem -cert cacert.pem -days 3650

（5）生成p12私鑰證書

gmssl pkcs12 -export -in device.cer -inkey skey.pem -out device.p12

2）抗抵賴校驗(yàn)原理

通過上述步驟生成相應(yīng)的證書，以用戶證書為1.cer，用戶私鑰證書為1.p12，服務(wù)端證書為server. cer，服務(wù)端私鑰證書為server.p12為例說明。

（1）用戶ID為1的用戶在進(jìn)行遙控操作。

（2）畫面工具根據(jù)用戶ID讀取用戶私鑰證書1.p12，先采用SM3算法計算原始報文的摘要，再使用1.p12私鑰證書用SM2算法對摘要加密生產(chǎn)簽名。

（3）將原始報文和簽名值發(fā)送給服務(wù)端，服務(wù)端根據(jù)用戶ID讀取用戶公鑰證書1.cer，先對原始報文使用SM3算法計算摘要，然后使用1.cer對客戶端發(fā)送的簽名值使用SM2解密生成摘要后和計算的摘要進(jìn)行比較。客戶端發(fā)送簽名報文如圖8所示。

圖8 客戶端發(fā)送簽名報文

（4）服務(wù)端讀取服務(wù)端的私鑰證書server.p12，采用SM3算法對校驗(yàn)結(jié)果進(jìn)行計算摘要，然后使用server.p12私鑰證書用SM2算法對摘要加密生成簽名值，并將原始校驗(yàn)結(jié)果和簽名值一起發(fā)送給客戶端。

（5）客戶端讀取服務(wù)端公鑰證書server.cer，先采用SM3算法計算校驗(yàn)結(jié)果的摘要，然后使用server.cer公鑰證書用SM2算法解密服務(wù)端發(fā)送的簽名值，從而得到客戶端計算的摘要，并和客戶端自身計算的摘要進(jìn)行比較。服務(wù)端發(fā)送簽名報文如圖9所示。

圖9 服務(wù)端發(fā)送簽名報文

3）報文示例

抗抵賴示例報文如圖10所示。

圖10 抗抵賴示例報文

（1）服務(wù)端校驗(yàn)結(jié)果的原文為68 04 01 00 00 50 31 36 34 36 39 31 33 38 34 30 37 36 38 00 00 00。

（2）服務(wù)端對校驗(yàn)結(jié)果原文使用SM3算法計算得到摘要值。

（3）服務(wù)端再用SM2私鑰（server.p12）對摘要值進(jìn)行加密，得到的校驗(yàn)結(jié)果簽名值為4e 5b e4 20 0b 85 6d ed 5c 62 f3 40 5a 6a 47 94 ce c6 65 cb ee 61 d4 78 e2 22 71 14 cb e3 55 35 5f 67 33 48 fc 13 5d be 26 fc 8c 5a 09 2d b8 ac 5c 3e 4e 46 f7 c7 b0 d1 43 28 2e d1 dc 43 e9 f9。

（4）客戶端使用SM2（server.cer）公鑰對步驟（3）中的簽名值進(jìn)行解密，得到步驟（2）中的摘要值。

（5）客戶端對接收到的步驟（1）中的原文計算SM3的摘要值，驗(yàn)證與的值，如果=則抗抵賴校驗(yàn)成功，否則抗抵賴校驗(yàn)失敗。

3 工程應(yīng)用

現(xiàn)場實(shí)施過程中智能錄波器沿用主子站IEC 61850的通信鏈路，保信子站沿用主子站103的通信鏈路，遠(yuǎn)程運(yùn)維命令通過文件服務(wù)下發(fā)至智能錄波器或保信子站，實(shí)施過程中不需要增加新的通信協(xié)議，不產(chǎn)生新的通信端口，可以和原通信協(xié)議高度復(fù)用，兼容性強(qiáng)。主站基于三權(quán)分立原則進(jìn)行設(shè)計，用戶的登錄采用雙因子認(rèn)證技術(shù)，所有的運(yùn)維操作都記錄審計日志，可進(jìn)行溯源追蹤。同時，對運(yùn)維文件進(jìn)行加密、簽名及防重放設(shè)計，保障運(yùn)維過程的安全。

以現(xiàn)場有改擴(kuò)建需求為例，用戶提供了新的SCD文件，服務(wù)人員根據(jù)新的SCD離線做好配置（包括配置庫和畫面），將增量配置導(dǎo)出為文件格式，并生成加密遠(yuǎn)程運(yùn)維格式文件。通過遠(yuǎn)程運(yùn)維主站可以直接下發(fā)至智能錄波器，接收到配置更新指令后智能錄波器可以自動解析并校驗(yàn)文件，實(shí)現(xiàn)SCD文件的導(dǎo)庫更新工作，可以大大提高工作效率，且不需要用戶或工程服務(wù)人員到現(xiàn)場實(shí)施，節(jié)省了人力和時間成本，也可以滿足現(xiàn)場的安全防護(hù)要求。

4 結(jié)論

本文根據(jù)繼電保護(hù)遠(yuǎn)程運(yùn)維對于網(wǎng)絡(luò)安全的要求，基于IEC 61850文件服務(wù)，設(shè)計了主子站通信方案、遠(yuǎn)程運(yùn)維操作文件，并從通信層面設(shè)計了加密、防重放攻擊及抗抵賴校驗(yàn)機(jī)制。可以沿用智能錄波器和主站之間的IEC 61850通信鏈路，不增加新的協(xié)議，不產(chǎn)生新的通信端口，可以和原通信協(xié)議高度復(fù)用，兼容性強(qiáng)。

基于本文所給出的遠(yuǎn)程運(yùn)維安全設(shè)計方案，設(shè)計并開發(fā)了繼電保護(hù)設(shè)備及運(yùn)維主站系統(tǒng)，可以有效提升設(shè)備運(yùn)維過程的安全性，滿足等級保護(hù)要求。

[1] 裘愉濤, 周震宇, 楊劍友, 等. 繼電保護(hù)遠(yuǎn)程運(yùn)維技術(shù)研究與應(yīng)用[J]. 電力系統(tǒng)保護(hù)與控制, 2018, 46(18): 17-24.

[2] 衛(wèi)偉, 范軍太, 焦嵐軼, 等. 繼電保護(hù)遠(yuǎn)程運(yùn)維管控技術(shù)研究與應(yīng)用[J]. 煤炭技術(shù), 2021, 40(6): 197-201.

[3] 李偉偉. 110kV智能變電站二次系統(tǒng)運(yùn)維技術(shù)分析[J]. 當(dāng)代化工研究, 2019(8): 156-157.

[4] 孫仲民, 呂航, 熊蕙, 等. 智能變電站繼電保護(hù)動作診斷系統(tǒng)[J]. 電氣技術(shù), 2022, 23(6): 77-82.

[5] 潘志騰. 關(guān)于智能變電站繼電保護(hù)二次回路在線監(jiān)測與故障診斷的研究[J]. 電氣技術(shù), 2020, 21(12): 78-82.

[6] 金能, 梁宇, 邢家維, 等. 提升配電網(wǎng)線路保護(hù)可靠性的遠(yuǎn)方保護(hù)及其與就地保護(hù)優(yōu)化配合方案研究[J].電工技術(shù)學(xué)報, 2019, 34(24): 5221-5233.

[7] 張巧霞, 王廣民, 李江林, 等. 變電站遠(yuǎn)程運(yùn)維平臺設(shè)計與實(shí)現(xiàn)[J]. 電力系統(tǒng)保護(hù)與控制, 2019, 47(10): 164-172.

[8] 侯先棟, 王邦惠, 劉偉, 等. 基于文件方式的繼電保護(hù)裝置定值遠(yuǎn)方操作方法[J]. 電力工程技術(shù), 2018, 37(1): 147-152.

[9] 劉文彪, 王位杰, 江南, 等. 二次設(shè)備配置工具安全加固設(shè)計及實(shí)現(xiàn)[J]. 電氣技術(shù), 2020, 21(6): 141- 145.

[10] 肖勇, 錢斌, 蔡梓文, 等. 電力物聯(lián)網(wǎng)終端非法無線通信鏈路檢測方法[J]. 電工技術(shù)學(xué)報, 2020, 35(11): 2319-2327.

Design of reliable security scheme for remote operation and maintenance of relay protection

TANG Chengjun LI Hongchi LIU Wenbiao JI Ling TAN Tingfang

(Nanjing SAC Power Grid Automation Co., Ltd, Nanjing 211100)

Traditional maintenance of new equipment and technologies has high labor cost and low efficiency. So remote maintenance has been widely used, but it also brings security problems. This paper designs remote security communication and key operation non-repudiation, based on IEC 61850 file service and national security algorithm. It solves the problem of sensitive information in plain text, and that the user’s identity cannot be verified. Then, it ensures the security of the entire maintenance.

relay protection; remote operation and maintenance; communication security; national secret algorithm; non-repudiation

2022-10-08

2022-10-24

湯成俊（1988—），男，安徽蕪湖人，碩士，高級工程師，主要從事電力系統(tǒng)網(wǎng)絡(luò)安全、變電站自動化及安全運(yùn)維等研發(fā)工作。