智能变电站采样值报文安全分析与实现

随着我国智能变电站推广和三网合一(站控层制造报文规范(manufacturing message specification,MMS)网络、过程层采样值(sampled measured value,SMV)、面向变电站事件的通用对象(generic object oriented substation event,GOOSE)网络)研究深入,采样值报文安全研究与应用也越来越重要与迫切。该文基于IEC 62351数据和通信安全标准,对采样值报文信息安全进行了研究与分析。通过在报文中添加时间域、循环冗余(cyclic redundancy check,CRC)校验及认证内容等方法对具体的采样值报文格式进行改造,给出了采样值安全风险对应处理机制,设计了服务器和客户端的交互实现流程,解决了SMV数据报文在传输过程中被非法篡改及重放攻击等问题。在现有智能变电站装置基础上研制了保护、测控和合并单元装置采样值模块,并应用于现场。     

数字化变电站过程层组网技术的探讨

介绍了数字化变电站的过程层总线方式、网络拓扑结构和组网方案及过程层网络传输采样测量值(sampled measured value,SMV)数据和面向通用对象的变电站事件(generic object oriented substation events,GOOSE)跳闸命令的传输机制,对常用的几种组网方案的优劣性进行...     

基于FARIMA模型的智能变电站通信流量异常分析

随着输变电设备自动化、变电站智能化建设的快速发展,电网信息安全隐患日益凸显。精确可靠的变电站通信网络流量模型建模和异常检测方法已成为预防网络安全问题和识别网络攻击的重要手段。文中在对变电站站控层网络流量行为特性进行分析的基础上,采用分形自回归积分滑动平均(FARIMA)模型对网络流量构建了阈值模型。针对变电站典型的网络攻击模式和流量异常特征,基于运行状态评估算法对某实际变电站站控层流量数据进行分析,并计算典型网络异常概率,从而实现了变电站在网络攻击情形下的安全态势评价。     

桌面主动入侵检测策略与管理策略

文章介绍了常用的网络攻击方法,提出了桌面主动入侵检测与管理的解决方案,给出了流程及数据说明。     

变电站过程层报文分网传输性能的仿真分析

基于IEC61850标准的变电站过程层网络是一次设备与二次设备间的信息交换桥梁,承载着各种智能电子设备IED(intelligent electric device)交换数据的实时传输任务。针对目前智能变电站采样值SMV(sampled measured value)与面向对象的变电站通用事件GOOSE(generic object oriented substation event)报文的分网传输结构,利用OPNET仿真平台建立过程层网络以及IED设备的仿真节点模型和网络模型,研究分网传输报文方式下的网络性能及其影响因素。仿真结果表明,采用100 Mbps带宽的以太网和虚拟局域网VLAN技术实现SMV和GOOSE报文分网传输时,实时性较好且时延抖动小,适于现阶段智能变电站的工程实际。     

基于差分序列方差与CPS融合的数字变电站数据异常检测方法

针对传统基于简单阈值的异常检测方法已无法适用于数字变电站过程层网络中可能出现的设备物理故障和恶意入侵导致的数据异常的问题,提出了一种基于差分序列方差(difference sequence variance,VDS)与信息物理系统(cyberphysical system,CPS)融合的数字变电站数据异常检测方法。首先,在分析CPS中面向通用对象的变电站事件(generic object oriented substation event,GOOSE)和制造报文规范(manufacturing message specification,MMS)数据的行为特征基础上,研究了IEC 61850协议规范的度量方法,提出了网络和系统管理方案;其次,基于VDS的异常检测方法和流程,结合数字变电站过程层报文特点,提出了变电站流量异常隶属函数以及基于CPS融合的参数确定方法;最后通过仿真验证了所提方法不仅能有效识别信息设备物理故障和恶意入侵导致的数据异常,对于拒绝服务攻击也能实现准确检测,相比于传统方法具有更高的准确性与可靠性。     

智能变电站过程层组网分析与应用

为了验证智能变电站过程层信息共同组网的可行性,分析并指出星型网是智能变电站过程层组网最佳方案。在分析过程层信息流量及传输延时、组网技术的基础上,指出过程层网络采用SMV采样信息、GOOSE变电站通用事件信息、IEEE1588（或SNTP）对时信息共同组网的技术方案,即引入VLAN标签技术减少网络中广播数据,提高网络带宽利用效率;引入IEEE 802.1P流量优先权控制技术,保证信息传输的及时性和有序性;引入快速生成树技术实现网络重构,避免网络风暴。通过仿真测试和验证,其性能指标完全满足变电站技术规范,能够保证变电站安全、可靠的运行要求,其技术方案可靠、可行。     

采用IEC 61850构造变电站广域保护代理的信息模型

基于代理(Agent)技术的广域后备保护有助于提高电网安全,因此得到人们的关注和研究。文中提出采用IEC 61850构造变电站广域后备保护代理的信息模型。阐述广域后备保护系统分布式对等协商的一般性体系结构,研究保护智能电子设备(IED)中包括广域后备保护代理在内的逻辑节点组成。将保护代理设计成扩展型逻辑节点,具有接口层、高级处理层、基本服务层嵌套对象结构。根据一种广域保护算法,阐述基于多任务的保护代理与其他逻辑节点的协作流程和设计。研究位于不同变电站的保护代理之间点对点远程通信原理,分两阶段提交。协商消息以面向通用对象的变电站事件(GOOSE)等报文为基本内容,采用用户数据报协议(UDP)或传输控制协议(TCP)区分传输。广域后备保护代理模型在EPOCHS平台得到仿真实现和验证。     

智能变电站过程层网络数据流的分析与研究

在分析智能变电站过程层网络主要数据SMV、GOOSE、PTP1588报文共网传输的可行性基础上,指出过程层组网最佳方案是星形拓扑;对比VLAN与GMRP 2种报文过滤技术,以IEC 61850标准中的D2-1典型变电站为例,提出了一套基于间隔的VLAN局域网逻辑结构划分方案,对其中存在的各种数据流流量、通信时延及时延抖动进行了详细说明和计算,最后利用OPNET仿真软件对共网传输时数据流时延进行仿真,论证了采用VLAN技术共网传输的可行性。     

智能变电站网络安全防护应用研究

近年来,随着乌克兰电网遭受网络攻击等一系列事件的发生,变电站网络安全面临着一系列新挑战。目前变电站智能设备种类繁多,面临越趋严峻的非法访问、操作越权及数据篡改等内部网络威胁。因此,提出变电站智能设备的多维度网络安全防护机制,引入多级身份认证、分布式权限验、逆向矩阵等网络加固机制,解决常见的网络攻击问题。在不影响传输效率及性能的基础上确保智能设备网络访问与控制的安全性、可靠性及健壮性。     

OPC现场总线安全代理研究

设计了一种OPC现场总线安全代理方式,采用基于USBkey密钥存储及数字签名载体的X.509身份认证体系及3向鉴别认证方式,会话数据加密采用AES算法及密码分组链接CBC工作方式,保证了身份认证及数据传输的安全.采用客户端数据包截获的方式保证了OPC代理对原有用户程序的透明.     

变电站软件版本安全管控与溯源

目前,变电站自动化设备软件与配置没有经过严格的检测与验证也没有集中统一管理,给变电站自动化系统的安全运维带来了极大风险。通过对网省/地三级自动化运维管理系统体系架构设计解决设备软件等软件版本的集中统一管理、管控;基于数字认证技术与国密算法对变电站内设备软件进行数字签名、验证,实现软件版本完整与可追溯。其核心内容及创新点包括：通过设计一套网省/地三级自动化运维管理系统来实现变电站设备软件、配置文件的集中统一管理、管控;采用基于数字认证技术与国密算法实现设备软件、配置文件的逐级数字签名与验证,解决软件版本在各流程环节的完整性与可追溯性问题。     

变电站自动化系统时间同步协同攻击的检测与防护方法

为了使攻击的后果最大化,受国家支持的攻击者可以使用时间同步的协同机制发起高度隐蔽的网络攻击,而无须进行通信。这可能会使多个变电站内的所有断路器同时跳闸,从而引发大停电。提出了一种基于时间加速的方法来检测时间同步的协同攻击。在变电站自动化系统年度检修期间,通过逐步加速系统时间来触发时间逻辑,以识别是否存在潜在的恶意软件。此外,还提出了一种基于变电站自动化系统的异步化时间同步管理方法。将根据结构脆弱性指数识别的几个关键变电站的时间保持异步。因此,这些关键变电站将不会与其他变电站一起遭受时间同步的协同攻击,并且可以大大降低相关后果。基于IEEE 39节点系统的数值模拟表明,通过使2个关键变电站保持时间异步,可以显著减少2到3个变电站的协同攻击的负荷损失,并且电网可以具备应对时间同步协同攻击的韧性。     

变电站通信报文安全认证及其实时性仿真

作为IEC 61850对等通信协议(实时通信)的安全规范,IEC 62351-6推荐采用认证保证变电站信息交换的安全性.文中基于IEC 61850数字化变电站报文和信息安全要求,提出了用扩展的安全报文实现身份认证的方法.该方法利用安全散列算法和数据加密标准(DES)加密获得扩展字段,能有效满足通信报文的保密性、完整性和...     

基于MMS替代协议的变电站安全通信技术研究及应用

目前,绝大多数变电站基于IEC61850标准建设,站内通信协议主要包括制造报文规范(MMS)、面向通用对象的变电站事件(GOOSE)、采样测量值(SMV)等,在工程应用实践中逐渐暴露出一些不足与安全隐患.为此,基于MMS替代协议,重点介绍了其实现的功能与安全防护技术.在功能方面,MMS替代协议增加了多个服务,并优化了现有MMS协议的不足;在安全防护技术方面,MMS替代协议的应用层实现了基于SM2算法与调度证书的双向身份认证,杜绝未授权设备的非法接入、攻击,从协议源头杜绝设备连接的不安全性;MMS替代协议的传输层实现了基于SM2算法与调度证书的全链路加密、认证,确保传输数据报文防伪造、防抵赖、防窃取,保护数据报文的机密性、完整性.测试结果表明MMS替代协议在工程应用中具有一定的参考意义.     

针对网络攻击的配电网信息物理系统风险量化评估

现代物理电力系统的可靠和安全运行依赖于相关的信息系统,针对信息系统的网络攻击会导致严重的物理后果。为此,提出一种配电网信息物理系统网络攻击跨信息物理空间传递的风险量化评估方法。针对配电子站,根据IEC 61850标准建立三层信息模型,以断路器和分段开关为攻击目标,分析可能的攻击路径构造攻击图,提出基于相对熵(Kullback-Leibler(KL)距离)并结合逼近理想解排序法(TOPSIS)建立的KL-TOPSIS体系对信息系统脆弱性因子进行量化,结合马尔可夫链和深度优先算法综合计算攻击目标的攻击概率,并建立物理设备遭受网络攻击造成的物理后果指标,分别计算攻击各个断路器和分段开关的物理后果。结合物理后果和攻击概率,得到不同配电终端和配电子站的风险值。最后,以改进的配电网算例验证了所提风险评估模型的有效性。     

基于OPNET的SMV与GOOSE报文共网传输的数字化变电站技术研究与分析

介绍了现有数字化变电站的2种组网模式。分析了IEC 61850-9-1的采样值点对点传输方案以及IEC61850-9-2的采样值网络传输方案;提出了一种应用VLAN技术的IEC 61850-9-2采样值网络和GOOSE网络共网传输的方案,从技术,经济角度分析了其可行性;并对过程层的采样值,GOOSE数据报文进行了流量分析。结合某数字化变电站试点工程,采用OPNET仿真软件对共网传输中IED设备的端到端延时进行了仿真分析,结果表明采用VLAN技术的共网传输方案可行。     

电力数字证书服务系统的设计及应用

针对电力系统的信息安全需求,设计和实现了基于公钥技术的电力数字证书服务系统(PCSS),讨论了其技术特点,分析了该系统自身的安全性,并介绍了其在电力业务服务器身份认证中的应用。PCSS是一个安全支撑平台,能为它上面的应用系统提供强身份认证、加解密、签名验签、时间戳等安全服务,有效地解决了电力应用系统网络上用户身份认证和安全传输的问题。PCSS的实施将加速数字电力系统的实现进程。     

变电站自动化信息交换安全认证体系

分析了基于IEC61850体系的变电站自动化信息交换体系结构,基于数字证书和代理多重签名体制,提出一种实用与发展并重的变电站自动化信息交换安全认证体系。在变电站智能电子设备(IED)或变电站通信控制器中集成密码计算模块,采用普通的或代理的数字签名模式,实现信息交换过程中控制中心与变电站IED身份和信息完整性的认证。该安全认证体系符合IEC61850标准体系,密码计算采用国家密码管理委员会办公室指定的密码技术。