调度与变电站通信安全防护技术

目前,调度与变电站之间的通信主要由电力纵向加密认证装置来防护,调度与变电站两端的电力纵向加密认证装置可保护两端数据传输的机密性和完整性,然而调度与变电站之间的通信协议IEC 60870-5-104(简称IEC 104)并没有相应的安全机制,协议数据在调度的加密装置前与变电站的加密装置后容易被伪造、篡改、重放及窃取,存在一定的安全风险。因此,本文在IEC104协议的基础上扩展协议安全域,从协议层面解决调度到变电站的通信安全问题。标识密码算法SM9为该目标的实现提供了算法支撑,根据算法特征与协议特点,本文对协议进行少许的扩展即可实现协议的安全性。本文的亮点为:1)基于标识密码算法实现了调度与变电站的安全通信,与其他文献基于数字证书的安全通信有着本质的区别,没有证书管理等复杂事项;2)实现了调度主站到变电站通信的端到端安全认证;3)通过标识密码算法解决了协议的安全隐患,实现了调度与变电站的双向身份认证及通信数据的机密性、完整性、不可抵赖性。     

面向服务端的变电站自主可控站控层服务协议一致性测试技术

变电站二次系统通信报文规范(CMS)协议定义了将IEC 61850标准中抽象通信服务接口直接映射到传输控制协议/网际协议(TCP/IP)进行数据交换的方法,实现了对制造报文规范(MMS)的替代。为了实现变电站二次系统CMS协议的推广应用,需要开展一致性测试。在深入理解二次系统CMS协议编码规则的基础上,分析了其与MMS的区别,面向扩展服务设计了测试用例,提出了基于协议插件的二次系统CMS协议一致性测试方法。基于所提一致性测试方法,开发了一致性测试工具,并将其应用于自主可控变电站二次设备出厂验收,提升了一致性测试效率,保证了一致性测试的准确性与可靠性。     

国密体系在智能变电站的研究与应用

目前智能变电站系统安全防护主要依据IEC 62351标准实施,IEC 62351是国际标准,其涉及的安全技术主要采用国际算法RSA、AES及数字证书。针对智能变电站系统通信存在的安全缺陷,本文提出以下3方面解决方案,1)提出基于IEC 62351安全机制的智能变电站设备间通信采用国密算法与调度数字证书技术;2)发现调度主站到变电站通信协议IEC 104的安全隐患,提出安全改造方案及实现方法;3)提出站控层与过程层通信协议改造方案并采用国密算法与调度证书技术实现。通过采取以上安全措施,确保站内通信信息以及信息资源的实时性、可靠性、保密性、完整性和可用性,杜绝未授权用户的非法接入,保证通信双方身份的真实性及业务数据的可追溯性。     

基于IEC61850的MMS客户端软件的设计与实现

IEC61850标准是基于通用网络通信平台的变电站自动化系统唯一国际标准,它用面向对象的思想来描述变电站IED之间的通信协议.IEC61850-8-1将ACSI核心服务映射到MMS,MMS服务和协议的实现是IEC61850实现的基础.提出了一个MMS客户端软件的实现方案,给出了软件结构框图,并对具体的MMS服务和协议的实现进行了较为详细的说明.最后结合一个具体的IEC61850服务的例子对数据流进行了分析.     

变电站自动化广域运维系统安全防护技术的设计与实现

针对当前常用变电站自动化广域运维系统架构,基于运维主、子站二次系统安全防护的要求,研制了一种变电站自动化广域运维系统安全防护技术。应用审计日志、流量管控、权限认证、主站录屏等多种关键技术,在运维中心、服务管理中心和变电站分别设立广域运维系统的安全认证体系,同时在运维中心、服务管理中心和变电站之间配置双因子登录安全访问功能,实现了从调度到变电站的一体化全通信过程纵深安全防护,有效保障主站远方操作变电站设备的安全。     

对基于TCP/IP的IEC61850特定通信服务映射MMS的分析与实现

IEC61850是IECTC57制定的有关变电站自动化系统通信的国际标准,代表了变电站自动化的未来发展方向.制造报文规范MMS是IEC61850标准中特定通信服务映射SCSM的核心通信协议栈,本文将围绕基于TCP/IP的MMS协议集,介绍了MMS的对象模型及相关服务;为了实现IEC61850中应用的MMS特定协议集,开发的关键技术等.     

智能变电站与调度主站间模型/图形协调共享及无缝通信一体化建模方案

基于智能电网调度技术支持系统及智能变电站系统,从调度主站对变电站的功能需求出发,提出了智能变电站与调度主站一体化建模方案。该方案制定了切实可行的IEC61850模型到IEC 61970模型的转换规则;提出了基于统一数据模型的IEC 61850模型到IEC 61970模型的映射方法;通过模型拆分/合并技术、图形关键信息自转换技术等实现了调度主站与智能变电站的一体化建模;利用调度主站消息总线服务和制造报文规范(manufacturing message specification,MMS)协议栈,在调度主站端实现了基于IEC61850协议的通信机制。     

MMS协议及其在数字化变电站中的应用研究

随着IEC 61850标准的正式颁布,IEC 61850标准已成为变电站综合自动化领域的主流趋势,并逐步应用于变电站自动化系统中。制造报文规范MMS（manufacturing message specification）是IEC 61850标准中特定通信服务映射SCSM（specific communication service mapping）的核心通信协议栈。对MMS协议体系进行了全面而系统地介绍,内容涉及协议体系框架、关键概念,基于ASN.1的编/解码技术以及MMS协议在数字化变电站中的应用,旨在促进IEC61850标准及MMS协议的研究和工程应用实践,推动数字化变电站技术的发展。     

IEC61850与MMS的映射在数字化变电站中的应用研究

通过分析和理解IEC61850协议,介绍了MMS服务与IEC61850协议以及它们之间的映射对应关系,提出了一种基于IEC61850与MMS映射的模型系统结构,在保留原有软硬件资源情况下,可以将常规变电站设备接入带有IEC61850协议的环境,既保护了原始投资,节省了资源,还能解决不同厂商设备之间的互操作问题。     

面向电力系统实时通信的MMS协议

分析了目前IEC61850系统中核心通信协议栈--制造报文规范(MMS)的应用现状与不足,给出了在TCP/IP之上实现MMS协议的2种方法,并对MMS底层协议栈、ASN.1编译器、BER编/解码器、MMS协议机与MMS应用程序接口等关键问题进行了深入探讨.为了满足基于IEC61850的电力系统实时通信的实际需要,对不需要的MMS服务与协议进行了适当的裁减.提出一种MMS+ISODE+RFC1006+TCP/IP+以太网+Windows 的实现方法,采用ISODE作为开发环境,RFC1006作为适配层,在Windows、TCP/IP协议栈和以太网上为MMS提供OSI服务,可以扩展IEC61850与MMS的应用范围.基于所述方法设计了IEC61850实验通信系统,实现遥测、遥信与遥控信息的实时传输,并以对断路器的遥控操作为例,给出了工业现场测试过程.测试结果表明所研发的MMS系统可以满足IEC61850的性能要求.     

基于证书的多媒体信息客户端安全解决方案

目前,彩信系统存在的安全问题,如彩信病毒,冒充用户等给彩信业务的应用带来了极大的威胁.本文结合移动通信系统的特点,提出了基于安全证书的多媒体信息客户端安全解决方案.该方案实施与彩信应用层,利用彩信系统现有的传输通道加以改进完成彩信客户端之间的双向认证,加密,密钥协商和更新.通过一些关键技术的引用,如由入侵检测结果和用户可信度决定的动态密钥生存期,后台彩信查询对端公钥证书的方法,MSISDN号作为对方身份验证的加强等保证安全彩信的安全可靠性同时也提高其工作效率.     

共识机制的身份认证算法研究*

共识机制是区块链的核心,实现整个区块链网络中高度分散节点对数据快速地达成共识,确保全网数据的一致性。随着泛在电力物联网的建设,海量终端接入系统的同时,给泛在电力物联网信息安全带来挑战。因此,文章基于区块链共识机制应用于泛在电力物联网,首先分析区块链整体架构的特性,将其应用于泛在电力物联网身份认证环节,构建基于区块链的身份认证算法,解决了终端(SM)与数据聚合器(SP)之间的身份认证问题,提高了认证的效率及安全,将认证的安全性与可靠性和区块链的安全性与可靠性保持一致。采用哈希算法签名及验签,提高区块链在泛在电力物联网认证的效率及认证过程的可扩展性,认证过程应用RSA算法进行非对称加密。最后,进行了安全分析和效率方面分析论证,指出了未来泛在电力物联网身份管理系统建设的趋势,并阐述了如何构建泛在电力物联网完整身份认证系统,论文的研究成果可为区块链在泛在电力物联网身份认证领域的应用提供参考。     

电能计量用通信规约安全改造技术

网络攻击正向工业控制系统渗透。电能量采集关系到各方面经济利益,及时获取精准的电量数据尤为重要。基于IEC 62351标准对采用网络传输的102规约进行了网络安全性改造,在传输层增加传输层安全（transport layer security,TLS）协议,应用层采用哈希运算消息认证码（Hash-based message authentication code,HMAC）对报文应用服务数据单元（application service data unit,ASDU）进行安全性校验,实现电能量采集系统主子站间通信加密、认证和完整性校验功能。测试电能量采集系统102规约改造前后主子站间通信的认证时间、单帧数据增加时间等关键数据指标。测试结果表明：应用层改造环节消耗较多时间,在报文帧数量大的情况下会严重影响通信效率。综合比较,当TLS使用国密SM4加密套件时,整体性能较优。     

基于侧链技术的电力物联网跨域认证研究

能源互联网和5G通信技术发展使电力物联网规模不断增大,对于跨域数据交换的业务需求缺少有效的认证手段。分析了电力物联网终端跨域认证需求和面临的问题,介绍了区块链跨链技术中的侧链技术及实现机理,并将其引入到电力物联网跨域认证方案中,提出了一种基于侧链技术的电力物联网跨域认证方案。首先建立了基于侧链技术的跨链认证架构,设计了区块数据结构和双向锚定认证信息传递模型,通过公钥证书和数字签名生成认证凭据,通过时间戳确保认证信息的时效性,然后提出了基于侧链技术的电力物联网终端跨域认证流程,实现了认证凭证从申请域到认证域的可信传递。认证方案通过主链和侧链数据交互和共享,具有认证信息跨域有效、不可篡改以及分布式共识的特点。最后在配电自动化应用场景中进行仿真实验,验证了方案的可行性。     

基于IEC 61850的MMS报文通信的研究

IEC 61850是国际电工委员会TC57制定的关于变电站自动化通信网络和系统的最新国际标准,当前主要采用制造报文规范作为应用层的具体通信协议,从根本上实现了智能电子设备间的互操作。文章首先介绍了MMS客户/服务器模型及其对象和服务模型,然后主要对MMS在基于TCP/IP的以太网的核心通信协议栈上的映射模型进行了分析,最后结合MMS Read报文示例详细解析了MMS实现IEC 61850通信的具体模式。     

IEC 61850服务器端的开发应用和研究

IEC61850是关于电力企业自动化系统的通信网络和系统的国际通信标准,规定了基于制造报文规范的通信协议栈,使得协议很好地适应了通信技术的发展。MMS—EASELite是关于MMS及其底层通信的C语言源代码包,不仅实现了IEC61850的对象和服务与MMS对象和服务的映射．也实现了MMS与其底层的通信。对基于IEC61850的服务器端IED的配置文件的结构及其与MMS—EASELite相关的接口函数进行了详细地研究．并以实例分析了,CID和MMS—EASELite软件库对IEC61850服务器端IED设备配置的方法。     

IEC 60870-5-104远动协议的一种安全报文探讨

随着电力系统网络化的发展，很多调度主站和变电站远程终端设备(RTU)的通信已经逐步采用以太网，国际电工委员会(IEC)于1998年8月制定了 IEC60870-5-104协议，该协议的目的是将原有的 IEC60870-5-101远动协议用于 TCP/IP 网络。通过 TCP/IP 网络传输远动信息也带来了一系列安全问题，其不安全因素主要体现在对远动报文的窃听、篡改和伪造等3个方面，解决方法在于调度主站及厂站 RTU 的身份认证与远动报文信息的加密。为此，应用信息安全技术对IEC60870-5-104应用协议数据单元(APDU)及其传输模式进行了研究，在不改变原有报文传输模式的情况下提出了一种安全报文的设想，在一定程度上能有效地满足信息保密与安全认证的需要。     

制造报文规范在变电站自动化系统中的研究与应用

IEC61850是新一代变电站自动化系统无缝通信协议标准,以实现互操作性为主要目的。制造报文规范的引用规范了工业领域具有通信能力的智能传感器、智能电子设备和智能控制设备,使出自不同制造商的设备之间具有互操作性。阐述了MMS技术及其在变电站自动化系统中的应用,并分析了基于IEC61850标准的制造报文规范通信系统及其服务流程。