【精彩论文推荐】杭州电子科技大学 章坚民等:面向信息安全的广义继电保护远方操作闭环管控关键设计

提示点击"电力系统自动化"关注本刊微信


原文发表在《电力系统自动化》2016年第40卷第21期,欢迎品读。

温馨提醒: 进入《电力系统自动化》微信号首页, 点击右下角“微文微站”, 可分类搜索、阅读历史好文。

本文引文信息

金乃正, 张亮, 章坚民, 等. 面向信息安全的广义继电保护远方操作闭环管控关键设计 [J]. 电力系统自动化, 2016, 40(21): 117-122. DOI: 10.7500/ AEPS20160515001.

JIN Naizheng, ZHANG Liang, ZHANG Jianmin, et al. Key Design of Closed-loop Management and Control for Generalized Remote Operation of Protective Relay Oriented to Information Security [J]. Automation of Electric Power Systems, 2016, 40(21): 117-122. DOI: 10.7500/ AEPS20160515001.



面向信息安全的广义继电保护远方操作闭环管控关键设计

DOI: 10.7500/AEPS20160515001

章坚民,金乃正,张亮,李勇,朱玛,侯连全



1
广义继电保护远方操作闭环管控构思及存在的信息安全分析


继电保护是电网安全可靠运行的第一道屏障;以其定值为例,由于现代电网结构日益复杂,正常运行方式量多,临时运行方式经常出现,因此及时甚至在线定值更新十分必要;如果运行方式一改变,就要派人到现场进行停电修改,需要耗费大量人力和成本,停电造成的经济损失和安全危害更大,因此继电保护远方操作势在必行。


一般意义的继电保护远方操作包括:①定值设置;②定值运行区更改;③远方投退软压板;④远方复归信号。其广义扩展,则包括了定值定期自动校验、远方对配置文件系统的更改,也包括了现场监护下的保护装置厂家人员对继电保护装置的系统升级等,运维人员对运行继电保护装置的定期检验检修、测试和日常维护等现场操作。


将变电站内外发起的涉及继电保护装置运行变更及维护的所有操作,均定义到一种规范化的操作工作票,并实现继电保护操作的定义、核定、授权、监护、记录、,是本文提出的“广义继电保护远方操作闭环管控”的构思;信息化条件下,定值计算、远方操作、在线运行、现场维护等继电保护运行管理应实现全流程集成及管控;继电保护远方操作,是全流程集成及管控的一个重要环节。


显然,继电保护的远方操作已涉及到继电保护内部核心数据的信息开放问题,一旦被攻破并引发误动拒动,加之协同攻击,则电网很有可能陷入大面积停电乃至崩溃;因此,必须提出有效的信息安全防御措施。


1.1
信息安全防护现状分析

采用工业以太网技术以及开放的IEC61850技术的智能变电站,蕴含着一定的信息安全隐患,为此IEC组织提出了62351标准“电力系统管理及关联的信息交换—数据和通信安全性”,但符合该标准的变电站目前还处于理论研究阶段或工程实施起步阶段;继电保护自身的网络攻击防御能力也尚在理论研究阶段,两个核心场景分别为量测量以及定值被欺诈或被篡改;大量已投运的数字化保护装置自身尚无网络攻击防御能力。尽管电力部门生产控制区采取“安全分区、网络专用、横向隔离、纵向认证”、管理信息区采用“分区分域、安全接入、动态感知、全面防护”的安全防护策略,强化了管理信息区与生产控制区的信息安全防线,但并不能完全隔绝或防御所有的网络攻击。


1.2
网络攻击及安全威胁分析

从通信安全理论分析可知,网络环境下的主机主要遭遇被动攻击和主动攻击2类安全威胁;被动攻击有窃听和分析2种手段,主要威胁信息的保密性,但不对系统产生破坏;而主动攻击以冒充、抵赖、篡改等手段,威胁信息的完整性、可用性和真实性,或利用操作系统的缺陷攻击,甚至远程控制和操作设备以制造重大事故;另外还会占用大量网络宽带,制造大量无用业务流量,使得服务器瘫痪。


因此,本文认为对远方操作继电保护或智能装置(IED)的网络攻击可以划分为两类:第一类为面向性能的攻击,称为PTA(Performance Target Attack)类;另一类为直接面向数据的攻击,称为DTA(Data Target Attack);PTA与DTA合作,可形成协同攻击。


PTA包括合法或非法主机直接发起,或通过已寄生在主机的各类病毒发起,目的在于占用或消耗网络通信资源以阻断IED正常通信、降低或摧毁IED通信及响应能力以瘫痪IED;如蠕虫病毒发起的网络频繁拒绝服务(DoS)攻击或者网络风暴等。


PTA是对继电保护的间接攻击或协同攻击,可能造成严重后果:①阻断保护装置与过程层的正常通信,继电保护面对电网故障时不能作用,或不能对智能断路器进行跳闸操作,更可怕的是在网络瘫痪期间向继电保护发送呈现故障的采样测量值(SMV)欺诈数据,在网络恢复时诱使保护进行跳闸;②阻断保护装置与间隔层的正常通信,使保护装置之间不能进行相互的配合如闭锁等,也可能以网络瘫痪期间进行欺诈数据交互,以实现恶意目的;③阻断保护装置与站控层、调控中心的正常通信,使得站控层、调控中心对该保护装置失盲、失控,并在失盲失控期间实施欺诈数据交互,以实现恶意目的。


DTA对继电保护装置的网络攻击,包括①未授权的主机访问保护继电保护装置;②授权的主机,以未授权的命令对继电保护装置进行操作;③授权的主机,以授权的命令,持续、反复、频繁访问继电保护装置;④授权命令的内容被篡改等。①②③类属于欺诈行为,其中③类企图占用继电保护大量的半连接时间和内存,大量占用网络带宽,以影响继电保护的正常功能与性能;④属于篡改行为;③④两类,说明攻击者已掌握了授权体系的完全秘密,寄生在某一授权主机,并以其作为垫脚石,发起继电保护装置欺诈攻击。


1.3
基于信息安全标准IEC 62351的防御分析

IEC 62351是IEC第57技术委员会,针对有关通信协议(IEC 60870-5、IEC 60870-6、IEC 61850、IEC 61970、IEC 61968系列和DNP 3)而开发的数据和通信安全标准。


IEC 62351-3提供任何包括TCP / IP协议平台的安全性规范,包括IEC 60870、 IEC61850 系列。它规定了使用传输层安全(Transport Layer Security,TLS)协议,而不是另起炉灶。


认证和加密是IEC 62351标准的核心内容:认证,从简单的地址认证方式过渡到利用安全证书,确保信息通信的合法性和完整性;加密,从通过物理隔离保证数据保密性发展到利用TLS和虚拟局域网来进行保密传输,作用在于保证通信过程中信息的私有性,防止黑客获取保密信息。


IEC 62351-7用于涉及信息基础设施的网络和系统管理的安全防护;通过为电力系统运行环境制定抽象的网络和系统管理数据对象,类似简单网络管理协议(SNMP) 中的管理信息库(MIB),来提供网络管理功能,预防入侵检测、拒绝服务攻击等。显然,PTA的防御,主要基于IEC 62351-7的措施,而本文的研究重点在于DTA的防御,对于继电保护远方操作而言,主要是报文来源的合法性以及传输的安全性和实时性。


2
远方操作防御系统整体架构及关键设计


2.1
基本思路

1)建立包括“继电保护远方操作票”在内的调控中心统一操作票管理系统或管理模块,从调控中心安全III区拟票,一直到继电保护成功操作返回,实施严密且闭环的工程应用及信息安全防护措施。


2)提出一种变电站继电保护操作信安模块(Substation Secure Operation Module for Protective Relay,SOMR),作为广义远方操作继电保护的信息安全关口和实际操作实施者,使得远方操作不能直接操作继电保护。为最大限度利用或复用现有系统,建议SOMR模块嵌入在基于IEC61850的保信子站。


3)提出基于XML操作工作票,可以:①确保操作票的连贯性、连续和闭环追踪;②设计的XML内容,可直接编入子站操作继电保护的命令,使得子站操作继电保护十分简便;③XML的信息安全,已有国际较为成熟的XML Security标准。


4)设计的SOMR模块,可与PTA网络攻击检测系统协同,并由SOMR统一上送主站。


2.2
信息系统整体架构


图1  信息系统架构及信安模块位置


图1是调控中心远方操作继电保护的三种主流通信方式,均通过变电站的一个中间装置或统称子站,实现对继电保护的站内操作,子站或为RTU、或主站子站基于103/104的保信子站,或主站子站基于IEC61850的保信子站。


从图1可知,调控中心到继电保护的通信分为3段:


第1段,由调控中心管理区到调控中心运行区,确保拟票正确和严格复核,信息安全采用双向物理隔离进行通信。


第2段,从调控中心运行区到变电站子站,具有2种通信方式:①借助于SCADA及远动通道;改造工作量较大:一是改造RTU实现对继电保护的操作,二是扩展104兼容103。②基于保信系统、保信子站;较早的系统子站与主站采用103/104协议,目前国内不少系统已升级为子站与主站间采用IEC61850通信,并具备XML的文件传输能力。


第3段,子站操作继电保护,通信协议比较统一:对于数字式继电保护,子站将保护装置作为服务器,子站作为客户端,通过MMS通信协议实施对继电保护的操作;定值相关操作,通过定值组控制块SGCB来管理与控制:激活定值区SelePTActiveSG,编辑定值区SelectEditSG,读定值GetSGValues,SetSGValues写定值,ConfirmEditSGValues确认编辑区定值等基本控制服务。而对于常规继电保护,通过103/104实现操作。


2.3
操作工作票XML模型及及下放传输

1)远方操作工作票模型ROS(remote operation-order-sheet),其类图见图2。


图2  远方操作工作票模型


ROS操作工作票分为:


头部分为Header、DateTypeTemplates。


ROS操作实体,包括(1)继电保护对象类,包括变电站Substation、智能装置IED、装置通信端口信息Communication;(2)操作内容及执行结果,包括操作类别OperateType、校验信息CheckValue、操作命令信息OperateCommandType、操作命令执行结果及执行时间OperateCommandResult;其中,OperateType枚举值为①定值设置;②定值运行区更改;③远方投退软压板;④远方复归信号;⑤定值定期自动校验;⑥现场运维授权监督及痕迹记录等;CheckValue,按照OperateType输送保护操作前的校验信息,如定值修改前下发当前定值参数或特征值,定值运行区更改前的当前运行定制的区号,投退软压板前的当前软压板状态等;提供校验机制可避免多主站对同一继电保护装置的操作,即如果具体操作前如果发现现行值与下发的检验值不同,则不继续操作,而返回告警。OperateCommandType可以直接采用61850的相应命令定义,如激活定值区SelePTActiveSG, SetSGValues写定值等。


根据国际标准化组织W3C和IETF共同制定的XML Security标准,可以在XML文件中加入两个描述XML加密、签名信息的属性标签,对XML文件中的元素进行多粒度的保护;因此设计的ORPS信息安全类,包括:①加密部分包括了5个类: EncryptedData为加密后文档的根元素,其类型为EncryptedDataType,由其他4种类型复合而成: EncryptedMethod表示加密算法,KeyInfo表示密钥信息,CipherData表示加密后的密文信息,EncryptionProperties表示加密过程中的一些附加属性;②数字签名部分包括4个类:Signature是签名后文档的根元素,其类型为SignatureType,由其他3种类型复合而成:SignedInfo表示签名所用到的算法,包括签名算法、摘要算法等,SignatureValue表示签名值,KeyInfo表示签名的密钥及数字证书等信息。


2)XML操作票的数字签名及加密

数字签名采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密;每个用户拥有一把仅为本人所掌握的私钥,用其进行解密和签名,同时拥有一把公钥并可对外公开,用于加密和验证签名;签名一个文件或信息时,签名者通过签名函数计算出被签署信息唯一的信息摘要,然后使用签名者的私钥将信息摘要转化为数字签名,其得到的数字签名对于被签署的信息和用以创建数字签名的私钥而言都是独一无二的。


操作票的数字签名及加密的流程如下:


①发送人从数据库中将定值单文件导出并生成XML文档中的操作实体;

②发送人生成自己的公钥和私钥;

③发送人用不可逆加密算法,生成定值单文件的信息摘要,并使用私钥将定值单的信息摘要加密,生成数字签名。

④根据图2的模型,生成加密操作工作票文件。


3)XML操作票的MMS传输

如图1,将信安子站作为服务器,调度端工作站作为客户端,采用IEC 61850文件传输模型并以MMS报文实现。客户端和服务器的安全处理功能包括3个方面:①安全属性处理:目的是为了防止重放、中间人等攻击, 主要包括时间戳、有效期、发送者、接收者等安全属性。②加密处理:对XML实施的加解密技术。③签名处理:对XML实施的数字签名技术。


IEC61850-7-2抽象通信服务接口(ACSI)包括了下列文件服务,属于客户端发起,由服务器提供服务:① GetFile,将文件内容从服务器传输到客户端,映射到MMS FileOpen、FileRead 和FileClose 服务序列;② SetFile,将文件内容从客户端传输到服务器,映射到MMS ObtainFile 服务;③DeleteFile,在服务器的文件仓库中删除文件,映射到MMS FileDelete 服务;②GetFileAttributeValues,在服务器的文件仓库中获取指定文件的属性,映射到MMS FileDirectory 服务序列。


调控中心工作站先建立与变电站的安信模块的通信,然后以MMS ObtainFile将加密的XML操作票传输到安保子站,客户用此服务通知服务器向客户索取一个文件,当服务器收到ObtainFile 服务请求后,服务器顺序发出 FileOpen,FileRead,FileClose 到客户端。


若为防止这些命令被窃取,也可再次进行对形成的MMS报文实施数字签名和加密。


2.4
信安模块SOMR实施操作

1)对操作票签名验证和解密

安信模块对MMS ObtainFile方式接受到加密的XML文件后,将先读取发送人的公钥,使用公钥验证接收的数字签名;确认定值单文件来自发送人;然后使用不可逆算法,创建接收到的定值单的信息摘要,比较2个信息摘要,如果两者相同,则可以确信定值单在签发后并未做任何改变;定值单被签发后如果有任何字节发生改变,2个摘要就会有所不同,据此可以判别定值单是否被更改。


2)信安模块对继电保护的操作

信安模块作为客户端,对继电保护的定值设置、定值区更改、投退软压板、复归信号等操作,均遵循相应的61850MMS或103协议进行操作,不做赘述;对于定值定期校验,也可采用相应协议召唤或查询现行定值,实施定期校验,然后将结果以报告方式回复主站。


对于现场运维,所有维护电脑只能与SOMR进行连接,并通过SOMR对指定继电保护实施操作;对维护人身份进行验证;按照操作票的授权开放相应的间隔、保护设备以及操作命令;对违反授权的任何操作,进行记录并告警;记录维护全过程,包括在继电保护装置上的相应日志等数据;对维护时间进行限制;维护结束后,将所有记录上送主站。


2.5
其他信息安全防御策略

从图1可知,本方案还涉及到以下的信息安全问题:


1)61850 MMS通信

包括主站与子站,以及子站与继电保护之间的61850 MMS通信。前者涉及到原有主站子站间的通信是否已实施了相应的认证和加密措施,由于篇幅有限,在此不做展开;而后者取决于继电保护装置是否有或如何实现认证和加解密。


2)面向性能攻击PTA防御

对于PTA的防御,有赖于基于IEC 62351-7网络攻击检测与防御子系统。该子系统,将对变电站的出站交换机、MMS网交换机进行镜像连接,对变电站通信网络实现监听,对非法连接、异常报文进行拦截、记录和告警;对网络风暴、DoS攻击等进行告警;根据工业病毒特征库,对可能的病毒现象进行预警;对IED的自动重启进行记录,对其异常进行告警;与SOMR通信,汇合报文非法性、篡改等诊断信息,综合后统一通过SOMR向主站发送告警。


3
结束语

本文所提解决方案的特点在于:


1)所有广义继电保护远方操作,纳入统一的操作工作票闭环监控,对操作相关业务进行全面定义,及分段实施;操作票首先在SOMR进行认证;但由于目前继电保护装置没有信息安全措施,因此SOMR与继电保护装置的通信,仍难以有信息安全防御措施。


2)本文将原先在变电站侧对继电保护直接的现场维护操作纳入继电保护的“广义远方操作”范畴,必须经过站内SOMR模块进行操作审计和记录,割断了所有对继电保护直接操作可能性,大大降低了对继电保护直接操作的频度和操作风险。


3)提出的SOMR模块,建议嵌入已有的基于IEC61850保信子站,可充分复用IEC61850保信子站的功能,同时维持对变电站继电保护操作的统一操作界面,扩展性强。


本文所提方案重点在于通过工作票授权的广义继电保护远方操作的闭环管控;即便未来严格执行IEC62351标准,该方案仍然是必要的,且是有效的。


本文得到国网浙江省电力公司科技项目(ZBGW15-011-007-83)资助,特此表示感谢。


本文已申请发明专利“一种面向信息安全的广义继电保护远方操作闭环管控方法”“一种面向信息安全的广义继电保护远方操作闭环管控操作票设计”以及实用新型专利“一种面向信息安全的广义继电保护远方操作闭环管控装置(模块)”



轻点蓝字, 查看相关微文


《电力系统自动化》2016年第21期新鲜出炉啦!

“柔性直流电网控制保护及关键技术”特约主编寄语

【精彩论文推荐】天津大学 李斌等:多端柔性直流电网保护关键技术

【精彩论文推荐】东北电力大学 蔡国伟等:基于阻抗分析法的柔性直流馈入容量计算方法研究

【精彩论文推荐】华北电力大学 ,刘崇茹等:适用于柔性高压直流输电网的新型直流电压下垂控制策略


作者及团队介绍

章坚民,华中科技大学工学硕士,印度理工学院卢克里(IIT, Roorkee)分校工程硕士;杭州电子科技大学自动化学院教授,学位委员会委员,智能电网信息工程实验室主任;电气学科建设负责人(2011-2015);浙江省电力学会理事。研究方向包括智能电网建模与优化运行;智能变电站技术;智能电网态势感知与态势可视化;智能电网信息安全等;获省部级二等奖、三等奖4次;发表论文百余篇,其中SCI/EI收录40余篇。


杭州电子科技大学是浙江省重点建设五所大学之一。其电气工程学科,拥有教授13名,副教授12名,讲师10名,主要分布在电机与电器、电力电子与电力拖动、电力系统以及自动化三个领域;电气工程及其自动化本科专业为浙江省“十二五”优势专业和浙江省重点建设专业;拥有中日国际合作光伏发电微电网实验室、电力系统仿真实验室、智能电网信息工程实验室、电力电子与微电网并网技术实验室等;近五年,共承接国家级项目13项、省部级项目22项、横向项目61项,研究总经费达到2500万;发表SCI论文30余篇、EI收录论文100余篇。所在自动化学院的“控制科学与工程”学科为浙江省重中之重一级学科和博士点。在“控制科学与工程”一级学科下设立“新能源电力与控制”博士点和学术硕士点。



金乃正,浙江绍兴供电公司高级工程师,智能变电站创新团队负责人,长期从事电力系统继电保护和智能变电站技术研究,多项电力科技进步奖和发明、实用专利,发表多篇技术论文。


张亮,浙江绍兴供电公司副总经理、总工程师,高级工程师,长期从事电力系统技术研究,曾多次承担国家电网公司、浙江省电力公司的重点科技项目,并获得多项电力科技进步奖和发明、实用专利,在国内著名刊物中发表过多篇技术论文。 

李勇,硕士,浙江绍兴供电公司工程师,智能变电站创新团队核心成员,长期从事电力系统继电保护和智能变电站技术研究。

 

朱玛,硕士,浙江绍兴供电公司高级工程师,智能变电站创新团队核心成员,长期从事电力系统继电保护和智能变电站技术研究,多项电力科技进步奖和发明、实用专利。


国网浙江省电力公司绍兴供电公司智能变电站创新团队,在智能变电站创新方面取得了丰硕成果,近三年获省电力公司科技进步奖项10项,其中一等奖2项,二等奖4项,三等奖4项,获专利十多项。具有丰富的智能变电站建设与运行经验,在智能变电站建设方面进行了大量探索了创新:2008年建成全国首座基于GOOSE跳闸的宣家变;2010自主设计施工,建成了全国高智能化水平的大侣变;2011年建成全省首座采用直采直跳方式的道墟变。



郑重声明:根据国家版权局相关规定,纸媒、网站、微博、微信公众号转载、摘编本微信作品,需包含本微信名称、二维码等关键信息,并在文首注明《电力系统自动化》原创。个人请按本微信原文转发、分享。



关于《电力系统自动化》


点击左下方“阅读原文”获取原文摘要