DNP3安全認(rèn)證功能的探索與實(shí)現(xiàn)

楊梅強(qiáng)，胡紹謙，尤小明，周曉飛，楊 越

（南京南瑞繼保電氣有限公司，江蘇 南京 211102）

0 引言

隨著通信環(huán)境的日益復(fù)雜，電力系統(tǒng)自動(dòng)化領(lǐng)域中數(shù)據(jù)交互日益頻繁，對(duì)控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全性、可靠性提出了嚴(yán)峻挑戰(zhàn)［1］。傳統(tǒng)的主子站通信協(xié)議如IEC101/IEC104、DNP3 也面臨著通信安全的風(fēng)險(xiǎn)［2-4］，IEC62351 標(biāo)準(zhǔn)的頒布為這些協(xié)議實(shí)現(xiàn)通信安全提供了規(guī)范上的支撐［5］。近年來(lái)，國(guó)內(nèi)外針對(duì)這些協(xié)議的通信安全也提出了多種解決方案［6-10］，但方案大多基于網(wǎng)絡(luò)通信加密或結(jié)合身份認(rèn)證來(lái)實(shí)現(xiàn)。實(shí)際上，這些協(xié)議多年前已經(jīng)頒布了基于通信協(xié)議本身的安全認(rèn)證協(xié)議擴(kuò)展［11-12］，但并未出現(xiàn)積極響應(yīng)通信協(xié)議安全實(shí)施和開展相關(guān)互操作性測(cè)試的狀況。

IEC62351 通信協(xié)議安全采用應(yīng)用層的“挑戰(zhàn)-應(yīng)答”機(jī)制［13］，因而實(shí)施通信協(xié)議安全需要基于主子站之間應(yīng)用層數(shù)據(jù)的交互。IEC101/IEC104 協(xié)議盡管存在較為完善的鏈路層確認(rèn)機(jī)制，但子站響應(yīng)的應(yīng)用層數(shù)據(jù)卻沒有相應(yīng)的應(yīng)用層確認(rèn)機(jī)制，其應(yīng)用層數(shù)據(jù)交互的關(guān)聯(lián)性較弱。DNP3協(xié)議的應(yīng)用層存在“查詢/應(yīng)答”、“響應(yīng)/確認(rèn)”機(jī)制，應(yīng)用層數(shù)據(jù)交互的關(guān)聯(lián)性強(qiáng)，因而DNP3協(xié)議在實(shí)施通信協(xié)議安全存在一定的便利性。

DNP3 作為一種通信協(xié)議在海外電力領(lǐng)域有著廣泛的應(yīng)用，其不僅應(yīng)用于主子站通信，也應(yīng)用于變電站內(nèi)部通信。近幾年，海外電力領(lǐng)域關(guān)于DNP3 主子站通信安全的呼聲逐漸加大，但實(shí)際的工程實(shí)施層案例很少［14］。

基于上述兩點(diǎn)，本文嘗試通過(guò)DNP3 協(xié)議來(lái)探索實(shí)現(xiàn)通信協(xié)議的安全功能。本文闡述了DNP3子站的安全認(rèn)證功能的實(shí)現(xiàn)方法，并基于國(guó)際權(quán)威認(rèn)證檢測(cè)機(jī)構(gòu)的認(rèn)證測(cè)試情況，總結(jié)了DNP3 安全認(rèn)證功能實(shí)現(xiàn)的一些細(xì)節(jié)。這些實(shí)現(xiàn)細(xì)節(jié)對(duì)以后實(shí)施IEC101/IEC104的通信協(xié)議安全也具備很好的參考價(jià)值。

1 DNP3安全認(rèn)證功能介紹

早在2012年，DNP3發(fā)布的規(guī)范就已經(jīng)推出了V5版安全認(rèn)證的擴(kuò)展規(guī)范，其按功能及實(shí)現(xiàn)可以分為兩個(gè)部分，傳輸層安全和應(yīng)用層安全。其中，傳輸層安全基于TCP/IP 通信，遵循了《IEC 62351-3：2023 Power systems management and associated information exchange-data and communications security-Part 3： Communication network and system security-profiles including TCP/IP》。應(yīng)用層安全基于對(duì)DNP3應(yīng)用層功能碼、數(shù)據(jù)對(duì)象和處理流程的擴(kuò) 展，遵 循 了《IEC 62351-5：2023 Power systems management and associated information exchange-data and communications security-Part 5： Security for IEC 60870-5 and derivatives》，適用于各種通信方式。DNP3安全認(rèn)證功能的架構(gòu)如圖1所示。

圖1 DNP3安全認(rèn)證功能架構(gòu)Fig.1 DNP3 secure authentication function architecture

1.1 DNP3傳輸層安全

DNP3 只有采用TCP/IP 通信時(shí)，才能實(shí)施傳輸層安全，關(guān)于傳輸層安全在電力系統(tǒng)中的應(yīng)用和改進(jìn)，已經(jīng)有很多文獻(xiàn)進(jìn)行過(guò)探討［15-16］。DNP3 實(shí)施傳輸層安全與其他協(xié)議并無(wú)太大的區(qū)別，可以采用開放的TLS接口，實(shí)施傳輸層安全不影響DNP3的數(shù)據(jù)鏈路層、傳輸層和應(yīng)用層的處理。

1.2 DNP3傳輸層安全

DNP3 應(yīng)用層遵循了IEC62351-5 的要求，并根據(jù)自身的特點(diǎn)，擴(kuò)展定義了相應(yīng)的功能碼和數(shù)據(jù)對(duì)象，適用于各種介質(zhì)進(jìn)行通信方式，例如串口、UDP、TCP等。

DNP3應(yīng)用層安全，按功能和作用主要可以分為以下幾個(gè)部分［17］。

1.2.1 數(shù)據(jù)安全驗(yàn)證

數(shù)據(jù)安全驗(yàn)證的實(shí)質(zhì)就是接收方對(duì)收到的ASDU的身份和數(shù)據(jù)完整性進(jìn)行驗(yàn)證的過(guò)程，是應(yīng)用層安全的核心。

IEC62351-5 采用“挑戰(zhàn)-應(yīng)答”（Challenge-Reply）機(jī)制對(duì)數(shù)據(jù)進(jìn)行安全驗(yàn)證，即接收方對(duì)收到的ASDU發(fā)起驗(yàn)證挑戰(zhàn)（Challenge）；發(fā)送方根據(jù)已發(fā)送的ASDU 和驗(yàn)證挑戰(zhàn)信息生成消息認(rèn)證碼（MAC：Message Authentication Code）并進(jìn)行驗(yàn)證應(yīng)答（Reply）；接收方校驗(yàn)消息認(rèn)證碼是否有效，有效則處理ASDU，否則丟棄ASDU。

為了提高通信效率，主子站對(duì)ASDU進(jìn)行了約定，區(qū)分為關(guān)鍵ASDU 和非關(guān)鍵ASDU。接收方只對(duì)關(guān)鍵ASDU 發(fā)起驗(yàn)證挑戰(zhàn)。為了簡(jiǎn)化流程，發(fā)送方可以采用主動(dòng)驗(yàn)證模式（Aggressive）的同時(shí)發(fā)送ASDU和消息認(rèn)證碼，接收方收到ASDU 和消息認(rèn)證碼即可校驗(yàn)ASDU的有效性。通信時(shí)，主子站都可以對(duì)關(guān)鍵ASDU發(fā)起驗(yàn)證挑戰(zhàn)。安全驗(yàn)證的流程如圖2和圖3所示。

圖2 挑戰(zhàn)應(yīng)答驗(yàn)證流程Fig.2 Flow of challenging response verification

圖3 主動(dòng)驗(yàn)證模式流程Fig.3 Flow of using aggressive mode

1.2.2 會(huì)話密鑰協(xié)商

在數(shù)據(jù)安全驗(yàn)證過(guò)程中，驗(yàn)證的雙方都需要利用會(huì)話密鑰（Session Key）來(lái)計(jì)算消息認(rèn)證碼，以達(dá)到驗(yàn)證和保密的目的。為了保證通信雙方會(huì)話密鑰一致，在通信的初始化階段主站會(huì)發(fā)起會(huì)話密鑰握手協(xié)商；另外為了防止密鑰泄露產(chǎn)生安全問(wèn)題，在通信過(guò)程中，主站會(huì)周期向子站發(fā)起會(huì)話密鑰協(xié)商。會(huì)話密鑰協(xié)商過(guò)程如圖4所示。

圖4 會(huì)話密鑰協(xié)商流程Fig.4 Session key initialization and periodic update

1.2.3 用戶管理及更新密鑰協(xié)商

數(shù)據(jù)安全驗(yàn)證和會(huì)話密鑰協(xié)商都是基于相應(yīng)的用戶。如果實(shí)施DNP3應(yīng)用層安全時(shí)不支持用戶管理及更新密鑰（Update Key）協(xié)商，可以采用默認(rèn)的用戶“Common”和預(yù)配置的更新密鑰；如果支持，則在通信初始化階段需要進(jìn)行用戶管理及更新密鑰協(xié)商流程處理，如圖5所示。

圖5 用戶管理及更新密鑰協(xié)商流程Fig.5 Flow of user status change and key change update

1.2.4 安全統(tǒng)計(jì)數(shù)據(jù)

主子站實(shí)施DNP3 應(yīng)用層安全時(shí)，需要對(duì)安全認(rèn)證過(guò)程中的事件進(jìn)行統(tǒng)計(jì)，以監(jiān)視當(dāng)前的運(yùn)行狀態(tài)；如果這些統(tǒng)計(jì)數(shù)據(jù)開始頻繁超過(guò)事件報(bào)告閾值，表明該站正在遭受某些類型的安全攻擊。子站可以將安全統(tǒng)計(jì)數(shù)據(jù)上送給主站，以便于主站監(jiān)視子站是否遭受到了安全攻擊。安全統(tǒng)計(jì)數(shù)據(jù)和前面3個(gè)部分一起構(gòu)成了DNP3應(yīng)用層安全。

2 DNP3安全認(rèn)證功能實(shí)現(xiàn)方法及細(xì)節(jié)

DNP3 安全認(rèn)證功能的實(shí)現(xiàn)，主要依賴于兩點(diǎn)：加密算法的支持和安全認(rèn)證流程的實(shí)現(xiàn)。關(guān)于第一點(diǎn)加密算法本文不做闡述，只從子站的角度探討安全認(rèn)證流程的實(shí)現(xiàn)方法及細(xì)節(jié)。

2.1 DNP3傳輸層安全的實(shí)現(xiàn)

如前面所述，DNP3傳輸層安全與DNP3協(xié)議的應(yīng)用數(shù)據(jù)處理是完全獨(dú)立，在實(shí)施時(shí)僅需要在TLS 握手協(xié)商、報(bào)文接收和報(bào)文發(fā)送3個(gè)方面做兼容處理，主要流程如下（流程如圖6和圖7所示）：

圖6 DNP3主子站TLS握手示意圖Fig.6 TLS handshake diagram of DNP3 master-sub station

圖7 DNP3主子站調(diào)用TLS收發(fā)數(shù)據(jù)Fig.7 DNP3 master-sub station invoking TLS request and response data

1） 主子站建立TCP 連接，調(diào)用TLS 接口進(jìn)行初始化握手協(xié)商；

2） 調(diào)用TLS 接口接收數(shù)據(jù)，得到DNP3 協(xié)議的原始鏈路數(shù)據(jù)；

3） 進(jìn)行DNP3的請(qǐng)求處理，依次進(jìn)入鏈路層、傳輸層、應(yīng)用層流程，處理應(yīng)用請(qǐng)求；

4） 進(jìn)行DNP3 的響應(yīng)處理，將應(yīng)用響應(yīng)進(jìn)行應(yīng)用層、傳輸層、鏈路層組幀和封裝，準(zhǔn)備發(fā)送；

5） 調(diào)用TLS接口進(jìn)行數(shù)據(jù)發(fā)送。

僅實(shí)施傳輸層安全時(shí)，不影響DNP3協(xié)議的鏈路層、傳輸層、應(yīng)用層處理流程，對(duì)DNP3整體的實(shí)現(xiàn)影響較小，實(shí)施時(shí)相對(duì)簡(jiǎn)單，但其僅僅適用于TCP/IP通信方式［18］。

2.2 DNP3應(yīng)用層安全的實(shí)現(xiàn)

DNP3 應(yīng)用層安全通過(guò)擴(kuò)充功能碼和數(shù)據(jù)對(duì)象來(lái)實(shí)現(xiàn)，需要對(duì)DNP3 原有的處理流程進(jìn)行調(diào)整，其中，會(huì)話密鑰協(xié)商、用戶管理及更新密鑰協(xié)商、安全統(tǒng)計(jì)數(shù)據(jù)對(duì)DNP3 原有的處理流程影響較小，而數(shù)據(jù)安全驗(yàn)證過(guò)程對(duì)原有的處理流程影響較大。本文在實(shí)現(xiàn)時(shí)將應(yīng)用層安全按如下方式進(jìn)行處理。

2.2.1 應(yīng)用層處理請(qǐng)求數(shù)據(jù)流程

實(shí)現(xiàn)常規(guī)DNP3 功能時(shí)，子站往往根據(jù)應(yīng)用層功能碼進(jìn)行讀、寫、遙控等請(qǐng)求的處理和響應(yīng)，而當(dāng)實(shí)施DNP3安全認(rèn)證功能后，子站會(huì)對(duì)讀、寫、遙控等請(qǐng)求進(jìn)行安全驗(yàn)證，驗(yàn)證通過(guò)后才進(jìn)行響應(yīng)；而安全認(rèn)證請(qǐng)求和常規(guī)的讀、寫、遙控都屬于應(yīng)用層請(qǐng)求，打亂了DNP3原本清晰的分層處理邏輯，導(dǎo)致應(yīng)用層請(qǐng)求的處理存在嵌套處理的困擾。

為了避免這種嵌套對(duì)原有處理流程的大幅調(diào)整，可以將常規(guī)應(yīng)用層請(qǐng)求之前的安全認(rèn)證處理過(guò)程作為介于DNP3傳輸層和應(yīng)用層之間虛擬的安全分層來(lái)考慮。

如圖8 所示，該虛擬安全分層可以對(duì)原始的應(yīng)用層請(qǐng)求進(jìn)行區(qū)分處理，能很好地解決應(yīng)用層請(qǐng)求的邏輯嵌套。同時(shí)，從協(xié)議分層處理的角度來(lái)看，構(gòu)造虛擬安全分層后，可以用該分層的邏輯接收緩存來(lái)承載數(shù)據(jù)安全驗(yàn)證過(guò)程中的關(guān)鍵ASDU 數(shù)據(jù)，可以有效降低對(duì)原來(lái)的傳輸層和應(yīng)用層處理流程的影響。

2.2.2 應(yīng)用層發(fā)送響應(yīng)數(shù)據(jù)流程

實(shí)施應(yīng)用層安全對(duì)應(yīng)用層響應(yīng)的處理流程也會(huì)產(chǎn)生較大影響，主要體現(xiàn)在以下幾個(gè)方面：

1） 應(yīng)用層響應(yīng)的安全驗(yàn)證處理。在實(shí)施安全認(rèn)證功能前，應(yīng)用層響應(yīng)會(huì)直接進(jìn)入到傳輸層響應(yīng)處理流程，而實(shí)施后，應(yīng)用層響應(yīng)需要先進(jìn)行安全驗(yàn)證處理（如增加主動(dòng)驗(yàn)證模式數(shù)據(jù)對(duì)象、增加驗(yàn)證挑戰(zhàn)信息對(duì)象等）后才能進(jìn)入到傳輸層處理流程；

2） 應(yīng)用層數(shù)據(jù)發(fā)送順序的調(diào)整。在實(shí)施安全認(rèn)證功能之前，DNP3子站發(fā)送應(yīng)用層響應(yīng)遵循先進(jìn)先出的原則，而實(shí)施后，DNP3 子站需要優(yōu)先對(duì)應(yīng)用層安全驗(yàn)證請(qǐng)求進(jìn)行處理和響應(yīng)；

3） 應(yīng)用層響應(yīng)緩存清除策略的調(diào)整。在實(shí)施安全認(rèn)證功能之前，DNP3子站應(yīng)用層響應(yīng)的緩存在發(fā)送后或收到應(yīng)用層確認(rèn)即可清除，而實(shí)施后，緩存的清除需要考慮主站是否進(jìn)行驗(yàn)證挑戰(zhàn)等因素。

為了應(yīng)對(duì)這些情況，可以將應(yīng)用層響應(yīng)和傳輸層響應(yīng)之間的安全驗(yàn)證處理納入到虛擬安全分層來(lái)考慮。其中，將流程1）封裝為“應(yīng)用層響應(yīng)安全驗(yàn)證處理”子邏輯（如圖9所示），構(gòu)成虛擬安全分層的響應(yīng)處理。

圖9 應(yīng)用層響應(yīng)安全驗(yàn)證處理流程Fig.9 Processing flow of application layer response to security verification

進(jìn)行虛擬安全分層后，“應(yīng)用層安全驗(yàn)證響應(yīng)”在層級(jí)上要低于應(yīng)用層響應(yīng)，理應(yīng)優(yōu)先進(jìn)行響應(yīng)處理，能合理地解決上述流程2）導(dǎo)致的問(wèn)題；而虛擬安全分層對(duì)應(yīng)的邏輯發(fā)送緩存也能很好地處理上述流程3）中應(yīng)用緩存的清除和配合問(wèn)題。

將應(yīng)用層接收處理和發(fā)送處理的虛擬安全分層邏輯整合，可以得到完整的虛擬安全分層，其邏輯如圖10所示。

圖10 虛擬安全分層邏輯示意圖Fig.10 Hierarchical logic diagram of virtual security

虛擬安全分層處理有效減少了對(duì)原有應(yīng)用層和傳輸層的請(qǐng)求/響應(yīng)處理流程的調(diào)整，保持了原有分層的獨(dú)立性，這一點(diǎn)在功能實(shí)現(xiàn)和一致性測(cè)試中得到了驗(yàn)證。

3 DNP3安全認(rèn)證功能測(cè)試及分析

3.1 一致性測(cè)試介紹

實(shí)現(xiàn)DNP3安全認(rèn)證功能后，為了便于工程實(shí)施，進(jìn)行了DNP3安全認(rèn)證功能的一致性測(cè)試。一致性測(cè)試的內(nèi)容包含以下幾個(gè)部分：

1） 驗(yàn)證請(qǐng)求測(cè)試。測(cè)試發(fā)起驗(yàn)證請(qǐng)求的一方處理流程是否滿足規(guī)范要求，包括根據(jù)會(huì)話密鑰正確對(duì)ASDU 發(fā)起驗(yàn)證請(qǐng)求并驗(yàn)證響應(yīng)、處理主動(dòng)驗(yàn)證模式的響應(yīng)等。

2） 驗(yàn)證響應(yīng)測(cè)試。測(cè)試響應(yīng)驗(yàn)證請(qǐng)求的一方處理流程是否滿足規(guī)范要求，包括根據(jù)會(huì)話密鑰正確處理驗(yàn)證請(qǐng)求并進(jìn)行響應(yīng)、正確地發(fā)送主動(dòng)驗(yàn)證模式的響應(yīng)等。

3） 子站功能測(cè)試。測(cè)試子站特定功能是否滿足規(guī)范要求，包括正確處理會(huì)話密鑰協(xié)商請(qǐng)求并進(jìn)行響應(yīng)、正確處理用戶管理及更新密鑰協(xié)商請(qǐng)求并進(jìn)行響應(yīng)，正確根據(jù)用戶角色處理應(yīng)用層請(qǐng)求等。

4） 特定功能測(cè)試。測(cè)試子站是否滿足傳輸層安全的要求等。

測(cè)試內(nèi)容涵蓋了應(yīng)用層安全［19］和傳輸層安全的各項(xiàng)要求。

3.2 性能測(cè)試及分析

DNP3子站實(shí)施安全認(rèn)證功能，對(duì)通信流量和計(jì)算耗時(shí)會(huì)產(chǎn)生影響。由于已經(jīng)有文章對(duì)傳輸層安全的這些影響做過(guò)分析［20-21］，本文的分析只針對(duì)DNP3 應(yīng)用層安全。在DNP3應(yīng)用層安全中，會(huì)話密鑰協(xié)商、用戶管理和更新密鑰協(xié)商流程出現(xiàn)的頻率較低，對(duì)整體通信的影響不大，本文的分析主要集中在數(shù)據(jù)安全驗(yàn)證環(huán)節(jié)。

在安全驗(yàn)證環(huán)節(jié)，MAC 算法一般采用HMAC［22-24］算法，MAC算法和安全驗(yàn)證模式的選擇會(huì)對(duì)通信流量產(chǎn)生直接影響。采用挑戰(zhàn)/應(yīng)答模式，安全驗(yàn)證流程會(huì)增加88～98字節(jié)的通信流量；采用主動(dòng)驗(yàn)證模式，會(huì)增加24～36 字 節(jié) 的 通 信 流 量［25-26］。具 體 情 況 如 表1所示。

表1 MAC算法和驗(yàn)證模式對(duì)流量增加的影響Table 1 Impact of MAC algorithm and authentication mode on traffic increment

DNP3 中子站響應(yīng)只有0x81（請(qǐng)求響應(yīng)）、0x82（非請(qǐng)求響應(yīng)）、0x83（安全認(rèn)證響應(yīng)）3 個(gè)功能碼，如果主站對(duì)子站響應(yīng)進(jìn)行安全驗(yàn)證，則功能碼為0x81、0x82的響應(yīng)都會(huì)進(jìn)行安全驗(yàn)證。考慮DNP3 實(shí)際應(yīng)用場(chǎng)景，主站是在進(jìn)行多次CLASS1/2/3事件查詢后才進(jìn)行一次CLASS0 總查詢或狀態(tài)數(shù)據(jù)查詢，當(dāng)事件出現(xiàn)的頻率較低時(shí)（無(wú)事件數(shù)據(jù)時(shí)，子站響應(yīng)空數(shù)據(jù)幀的長(zhǎng)度為17 個(gè)字節(jié)），安全驗(yàn)證流程導(dǎo)致流量增量的比例會(huì)比較明顯。

安全驗(yàn)證環(huán)節(jié)的計(jì)算耗時(shí)主要體現(xiàn)在驗(yàn)證挑戰(zhàn)時(shí)的Challenge 信息生成和MAC 計(jì)算。為了得到相對(duì)準(zhǔn)確的數(shù)據(jù)，在認(rèn)證測(cè)試過(guò)程中，針對(duì)性地修改程序，對(duì)Challenge 信息生成和MAC 計(jì)算的過(guò)程進(jìn)行連續(xù)性測(cè)試。運(yùn)行測(cè)試程序的CPU 為雙核800 MHz，內(nèi)存為2 G，程序按單線程運(yùn)行，得到數(shù)據(jù)如表2和表3所示。

表2 生成Challenge信息耗時(shí)Table 2 Time-consuming of generating challenge information

表3 MAC校驗(yàn)計(jì)算耗時(shí)Table 3 Time-consuming of MAC check calculation

從表2 可以看出，生成Challenge 消息的耗時(shí)平均一次約為320 μs，實(shí)際測(cè)試中，生成Challenge 消息的耗時(shí)主要耗費(fèi)在調(diào)用接口生成隨機(jī)數(shù)上。

表3 列出了兩種計(jì)算MAC 算法的耗時(shí)，平均下來(lái)采用HMAC-SHA-256 進(jìn)行一次MAC 計(jì)算耗時(shí)約為55 μs，而采用HMAC-SHA-1 進(jìn)行一次MAC 計(jì)算耗時(shí)約為26 μs。

從以上測(cè)試數(shù)據(jù)可以看出，實(shí)施應(yīng)用層安全后，通信流量增加產(chǎn)生的影響會(huì)比計(jì)算耗時(shí)增加的影響更加顯著。

4 DNP3安全認(rèn)證功能測(cè)試及分析

在測(cè)試過(guò)程中，發(fā)現(xiàn)安全認(rèn)證功能在工程應(yīng)用中可能存在以下問(wèn)題：

1） 安全認(rèn)證過(guò)程中CSQ、KSQ 等序號(hào)的校驗(yàn)及失步風(fēng)險(xiǎn)。以CSQ 序號(hào)為例，挑戰(zhàn)方和應(yīng)答方都會(huì)校驗(yàn)CSQ是否連續(xù)，如果出現(xiàn)CSQ不匹配，則會(huì)導(dǎo)致通信出現(xiàn)問(wèn)題。但DNP3的安全認(rèn)證規(guī)范并未明確CSQ序號(hào)失步后如何再同步。在實(shí)際工程實(shí)施過(guò)程中，主子站需要對(duì)序號(hào)失步問(wèn)題進(jìn)行防范。

2） 對(duì)通信問(wèn)題定位的影響。實(shí)際工程中通信問(wèn)題涉及到很多方面，如通道延時(shí)、誤碼、主子站配合等；定位通信問(wèn)題往往會(huì)借助報(bào)文和日志信息。實(shí)施安全認(rèn)證功能后，對(duì)通信問(wèn)題的分析、定位和處理會(huì)變得更加復(fù)雜。

5 結(jié)語(yǔ)

本文闡述了DNP3 實(shí)施安全認(rèn)證功能的實(shí)施細(xì)節(jié)，在變電站通信終端上實(shí)現(xiàn)了DNP3安全認(rèn)證功能。對(duì)測(cè)試流程和數(shù)據(jù)進(jìn)行了整理和歸納，分析了測(cè)試過(guò)程中遇到的問(wèn)題以及產(chǎn)生的原因，對(duì)DNP3 安全認(rèn)證功能的實(shí)施和應(yīng)用有重要意義。本文的實(shí)現(xiàn)方法和技術(shù)細(xì)節(jié)對(duì)實(shí)施IEC101/IEC104 安全認(rèn)證功能也具備很好的參考價(jià)值。