变电站通信报文安全认证及其实时性仿真

作为IEC 61850对等通信协议(实时通信)的安全规范,IEC 62351-6推荐采用认证保证变电站信息交换的安全性.文中基于IEC 61850数字化变电站报文和信息安全要求,提出了用扩展的安全报文实现身份认证的方法.该方法利用安全散列算法和数据加密标准(DES)加密获得扩展字段,能有效满足通信报文的保密性、完整性和...     

基于MMS替代协议的变电站安全通信技术研究及应用

目前,绝大多数变电站基于IEC61850标准建设,站内通信协议主要包括制造报文规范(MMS)、面向通用对象的变电站事件(GOOSE)、采样测量值(SMV)等,在工程应用实践中逐渐暴露出一些不足与安全隐患.为此,基于MMS替代协议,重点介绍了其实现的功能与安全防护技术.在功能方面,MMS替代协议增加了多个服务,并优化了现有MMS协议的不足;在安全防护技术方面,MMS替代协议的应用层实现了基于SM2算法与调度证书的双向身份认证,杜绝未授权设备的非法接入、攻击,从协议源头杜绝设备连接的不安全性;MMS替代协议的传输层实现了基于SM2算法与调度证书的全链路加密、认证,确保传输数据报文防伪造、防抵赖、防窃取,保护数据报文的机密性、完整性.测试结果表明MMS替代协议在工程应用中具有一定的参考意义.     

变电站自动化信息交换安全认证体系

分析了基于IEC61850体系的变电站自动化信息交换体系结构,基于数字证书和代理多重签名体制,提出一种实用与发展并重的变电站自动化信息交换安全认证体系。在变电站智能电子设备(IED)或变电站通信控制器中集成密码计算模块,采用普通的或代理的数字签名模式,实现信息交换过程中控制中心与变电站IED身份和信息完整性的认证。该安全认证体系符合IEC61850标准体系,密码计算采用国家密码管理委员会办公室指定的密码技术。     

变电站自动化信息交换安全认证体系

分析了基于IEC 61850体系的变电站自动化信息交换体系结构，基于数字证书和代理多重签名体制，提出一种实用与发展并重的变电站自动化信息交换安全认证体系。在变电站智能电子设备（IED）或变电站通信控制器中集成密码计算模块，采用普通的或代理的数字签名模式，实现信息交换过程中控制中心与变电站IED身份和信息完整性的认证。该安全认证体系符合IEC 61850标准体系，密码计算采用国家密码管理委员会办公室指定的密码技术。     

国密体系在智能变电站的研究与应用

目前智能变电站系统安全防护主要依据IEC 62351标准实施,IEC 62351是国际标准,其涉及的安全技术主要采用国际算法RSA、AES及数字证书。针对智能变电站系统通信存在的安全缺陷,本文提出以下3方面解决方案,1)提出基于IEC 62351安全机制的智能变电站设备间通信采用国密算法与调度数字证书技术;2)发现调度主站到变电站通信协议IEC 104的安全隐患,提出安全改造方案及实现方法;3)提出站控层与过程层通信协议改造方案并采用国密算法与调度证书技术实现。通过采取以上安全措施,确保站内通信信息以及信息资源的实时性、可靠性、保密性、完整性和可用性,杜绝未授权用户的非法接入,保证通信双方身份的真实性及业务数据的可追溯性。     

IEC 60870-5-104远动协议的一种安全报文探讨

随着电力系统网络化的发展，很多调度主站和变电站远程终端设备(RTU)的通信已经逐步采用以太网，国际电工委员会(IEC)于1998年8月制定了 IEC60870-5-104协议，该协议的目的是将原有的 IEC60870-5-101远动协议用于 TCP/IP 网络。通过 TCP/IP 网络传输远动信息也带来了一系列安全问题，其不安全因素主要体现在对远动报文的窃听、篡改和伪造等3个方面，解决方法在于调度主站及厂站 RTU 的身份认证与远动报文信息的加密。为此，应用信息安全技术对IEC60870-5-104应用协议数据单元(APDU)及其传输模式进行了研究，在不改变原有报文传输模式的情况下提出了一种安全报文的设想，在一定程度上能有效地满足信息保密与安全认证的需要。     

一种基于调度编号认证的安全遥控技术

电网调度控制自动化水平的不断提高,要求对变电站遥控、遥调操作的安全性不断提高。为提高IEC 104遥控遥调过程的安全性,提出了基于调度编号认证的安全遥控技术。方案扩充定义了新的ASDU类型标识,使其附带调度编号和设备类型等信息,从而成为安全遥控ASDU。厂站端监控系统可对调度端下发的安全遥控命令中的调度编号、设备类型等信息进行认证,并拦截认证失败的遥控遥调命令。工程实践表明,该方法可有效解决因遥控信息对象地址错位而引发的IEC 104误遥控问题,提高电网调度控制的安全性。     

IEC 60870-5-104远动协议的一种安全报文探讨

随着电力系统网络化的发展，很多调度主站和变电站远程终端设备（RTU）的通信已经逐步采用以太网，国际电工委员会（IEC）于1998年8月制定了IEC 60870-5-104协议，该协议的目的是将原有的IEC 60870-5-101远动协议用于TCP/IP网络。通过TCP/IP网络传输远动信息也带来了一系列安全问题，其不安全因素主要体现在对远动报文的窃听、篡改和伪造等3个方面，解决方法在于调度主站及厂站RTU的身份认证与远动报文信息的加密。为此，应用信息安全技术对IEC 60870-5-104应用协议数据单元（APDU）及其传输模式进行了研究，在不改变原有报文传输模式的情况下提出了一种安全报文的设想，在一定程度上能有效地满足信息保密与安全认证的需要。     

电动汽车充电桩-后台服务管理中心信息安全防护方案设计与实现

为提高分布式电动汽车充电桩的信息安全防护能力,保障充电桩与后台服务管理中心之间传输数据的机密性、完整性与真实性,分析了充电桩信息安全威胁与信息安全需求,采用高级加密标准（advanced encryption standard,AES）和HMAC-SHA256算法,设计了基于认证加密的充电桩-后台服务管理中心信息安全防护方案;基于STM32F407ZGT6芯片和嵌入式操作系统μC/OS-III,搭建了充电桩通信模拟平台;制定了充电桩-后台服务管理中心通信应用层协议,设计了充电桩-后台服务管理中心信息安全防护方案;测试了不同类型数据在明文传输、加密传输、认证传输、认证加密传输4种安全情形下的报文传输时间,量化了充电桩-后台服务管理中心信息安全防护方案的实施对充电桩通信实时性的影响。测试结果表明,所设计信息安全防护方案可满足充电桩与后台服务管理中心之间通信的机密性、完整性、真实性和实时性要求。     

基于XML Security的变电站远程配置安全机制设计

在分析变电站智能电子设备远程配置的底层安全机制如IP层协议安全结构(IPSec)、安全套接层协议(SSL)等方法局限性的基础上,提出了一种基于可扩展标记语言安全(XML Security)的变电站远程配置安全机制.该机制定义了变电站配置描述语言(SCL)的安全扩展,通过XML数字签名实现配置文档的完整性和通信双方实体的身份认证;通过XML加密实现对配置文档的多粒度安全保护.为验证安全机制的有效性,设计了远程安全配置仿真系统.对变电站实例配置文件的安全处理结果显示,该方法能有效满足SCL配置过程中的安全需求.     

一种高效安全的智能变电站轻量级消息认证方案

基于IEC 61850标准的智能变电站能够实现变电站设备对于上层协议的兼容支持,并且有效提高站内设备的互操作性和互换性。但是,由于IEC 61850协议的开放性,消息在智能变电站网络系统传送的过程中,易于遭受如数据窃听、篡改、非法截获、数据恶意注入等攻击,从而给智能变电站系统带来潜在的安全风险。提出一种高效安全的智能变电站轻量级消息认证方法,针对基于IEC 61850智能变电站系统的架构,在保证数据通信效率的前提下,同时满足数据机密性、完整性、可用性以及不可抵赖性等基本安全需求,实现不同层级以及同层级智能设备通信的相互认证。分析表明,本方案可以保证智能变电站的安全性要求和通信效率需求。     

IEC 104规约中程序化控制的扩展应用

结合浙江省电力调度主站对变电站设备进行程序化控制的需求,对IEC 104规约进行扩展应用.分析了IEC 104规约控制功能的应用现状,以及目前已有的程序化控制在IEC 104规约应用中存在的问题,提出了IEC 104规约中对程序化控制过程状态的扩展定义和IEC 104规约中程序化控制的功能扩展与操作流程,最后介绍了IEC 104规约中程序化控制在浙江省电力调度主站的良好应用效果.     

轻量级安全的RFID电能计量封印的设计与实现

智能计量封印在电力智能计量设备自动化检定和管理中起着关键作用。同传统的铅封及二维码封印相比较,基于RFID的计量封印能提供的智能化和自动化程度更高,安全性更好。设计了RFID电能计量封印的数据格式,使用SM7算法芯片实现了一种轻量级RFID双向安全认证协议,认证过程中流加密的密钥随机产生,只使用对称加密运算,加密认证计算量小,认证过程速度快,适合于低成本的RFID。这种新型RFID电能计量封印方便实现远程电能数据采集,能够提供数据完整性和机密性保护功能,具备很好的防伪性能。     

调度数据网纵向安全防护系统的构建和应用

介绍了广西电力调度数据网纵向安全防护体系的设计和应用情况.通过在调度系统与网络关键环节实现高强度的认证、安全的数据加密传输以及可靠的行为审计,保证生产控制大区纵向业务及调度数据网络的安全.系统稳定可靠、功能完善,满足《电力二次系统安全防护总体方案》的安全要求.     

源端维护在唐山的研究与应用

唐山220 kV虹桥智能化变电站在接入调度主站系统过程中,采用源端维护技术实现IEC 61850到IEC 61970的无缝信息对接。智能变电站采用IEC 61850标准,通过共享建模技术将变电站SCD模型转换生成IEC 61970 CIM模型,同时生成SVG单线图,以及IEC 60870-5-104通信映射点表,直接应用与智能变电站和调度主站的无缝通信,全面解决了模型、图形、通信连接三个方面的工程应用问题,实现了变电站信息一体化平台标准通信协议与上级调度系统的一致性通信功能。     

220 kV继电保护故障信息处理系统的设计

介绍了浙江省220 kV继电保护故障信息处理系统的设计方案。在省、地区、县3级调度部门建立数据中心，采用数据网为主、拨号为辅的数据传输方式，对各电压等级的变电站继电保护装置和录波装置进行联网、信息集成与远传，同时接入变电站自动化系统；变电站采用IEC 61850，103，Comtrade协议进行信息集成；调度中心端的通信中间件服务器与厂站端实现IEC 61850 XML信息交互；调度端组成继电保护专业信息系统，以IEC 61970 XML构建通用信息总线，与其他系统进行信息交互。     

220 kV继电保护故障信息处理系统的设计

介绍了浙江省220kV继电保护故障信息处理系统的设计方案。在省、地区、县3级调度部门建立数据中心，采用数据网为主、拨号为辅的数据传输方式，对各电压等级的变电站继电保护装置和录波装置进行联网、信息集成与远传，同时接入变电站自动化系统；变电站采用IEC 61850，103，Comtrade协议进行信息集成；调度中心端的通信中间件服务器与厂站端实现IEC 61850 XML信息交互；调度端组成继电保护专业信息系统，以IEC 61970 XML构建通用信息总线，与其他系统进行信息交互。     

IEC 60870-5-104协议在远动通信中的应用

在电力自动化技术、计算机技术以及地区光纤通信应用发展的基础上，介绍了地区调度与自动化变电站基于IEC 60870—5—104协议，实现网络通信的必要性和实现要点，并以山西省阳泉供电局一个110 kV自动化变电站为例，提出了具体的实现方法，同时通过与原应用的部颁CDT协议方式进行比较，指出了地区调度与自动化变电站实现网络通信的优势和前景。     

智能变电站与调度主站间模型/图形协调共享及无缝通信一体化建模方案

基于智能电网调度技术支持系统及智能变电站系统,从调度主站对变电站的功能需求出发,提出了智能变电站与调度主站一体化建模方案。该方案制定了切实可行的IEC61850模型到IEC 61970模型的转换规则;提出了基于统一数据模型的IEC 61850模型到IEC 61970模型的映射方法;通过模型拆分/合并技术、图形关键信息自转换技术等实现了调度主站与智能变电站的一体化建模;利用调度主站消息总线服务和制造报文规范(manufacturing message specification,MMS)协议栈,在调度主站端实现了基于IEC61850协议的通信机制。     

改进传输层安全协议在提高风电场数据通信安全中的应用

首先分析风电场中数据通信的安全需求,然后依据IEC62351-3,利用改进的传输层安全(transport layer security,TLS)协议(即在原有TLS内部引入数字签名机制)防止各种威胁和攻击,实现数据通信过程中的认证、完整性、机密性和不可否认性。最后,基于OpenSSL0.9.8e开发包实现改进的TLS,并构建了利用代理模式集成改进TLS的模型,来加强风电场中数据的通信安全。