秦凯,高志勇
(南京国电南自电网自动化有限公司,南京 210000)
配网自动化安全防护的发展与实现
秦凯,高志勇
(南京国电南自电网自动化有限公司,南京 210000)
随着配电网的发展,很多不具备光纤通信条件的配电网采用了公网通信的方式,如通用分组无线服务技术(GPRS)等,致使系统可能面临来自公网系统攻击的风险,从而影响供电的安全性。介绍了2011及2017年国网发布的安全防护方案,在国电南京自动化股份有限公司配电终端实现这2种安全防护方案,并通过了中国电科院的安全测试。
配网自动化;安全防护;配电终端;SM2算法
近年来,随着国家配网自动化建设改造行动的加大,同时伴随着信息化的快速发展,电力体制改革和电力市场的开放,加大了电力工控系统和电网安全统一管理的难度。另一方面,电网安全面临的外部环境进一步恶劣,针对电网关键信息基础设施的攻击层出不穷,安全形势日趋严峻。
2015年12月23日,黑客对乌克兰电力系统发起网络攻击,导致伊万诺-弗兰科夫斯克地区发生大面积停电,是首次公开报道的由黑客攻击行为而导致的停电事件。2017年5月12日,全球爆发大规模蠕虫勒索软件感染事件,仅仅几个小时内,该软件攻击了150个国家近万台电脑。
《中华人民共和国网络安全法》自2017年6月1日起施行,关键信息基础设施保护已成为当前国家电力企业的重点工作。特别是配网终端数量众多,分布广,很多终端使用通用分组无线服务技术(GPRS)通信方式接入公网,从而导致面临更多网络攻击的可能。
互联网的迅速普及和计算机技术的发展,也使得密码技术取得了巨大的进步[1-3],按照密码钥匙的对称性作为分类规范,分为非对称和对称2种算法类型[4]。本文介绍的2种防护方案都使用了2种加密算法。
2011年国家电网公司发布了《关于加强配电网自动化系统安全防护工作的通知》及《中低压配电网自动化系统安全防护技术方案》[5]。方案针对配电网系统子站数量大,控制命令间隔时间长等特点,规定采用基于非对称密钥技术的单向认证措施,如图1所示。同时规定:实现远方控制命令的有效鉴别及加密传输;子站仅上传遥信,遥测数据。防止入侵者通过上行数据注入病毒,穿越调度端前置机进入调度系统网络。
图1 2011版安全防护
1.1技术方案
方案使用基于非对称加密技术的单向身份认证和对称加密措施,实现对终端的控制命令下发和会话密钥协商。使用单向身份认证和非对称加密措施,实现对终端的公钥检查及更新,见表1。
表1 2011版安全报文的认证与加密方式
主站端安全模块采用硬件实现,一般我们使用加密机。子站终端模块我们一般采用软件实现。主站与终端间的通信使用国家密码局推荐的SM2[6]椭圆曲线公钥密码算法为签名和鉴签算法,主站侧
使用加密卡实现签名,子站侧使用软件方式实现鉴签,主站与终端协商产生会话密钥用于对称加密,主站下行报文先签名后对称加密,子站收到报文后先解密后鉴签,并比较时间戳有效性。
1.2方案实现
在方案的具体实现过程中,我们使用了电科院提供的加密库,主要函数如下。
(1)void encrypt_epri(unsigned char* in, unsigned int in_len, unsigned char* out, unsigned int* out_len, unsigned int key, int type)。
(2)int SM2_Verify(unsigned char *pucDataInput,unsigned int uiInputLength,unsigned char *pucID, unsigned int uiIDLength,ECCrefPublicKey *pucPublicKey,ECCSignature *pucSignature)。
(3)intSM2_Encrypt(unsignedchar*pucDataInput,unsignedintuiInputLength,ECCrefPublicKey *pucPublicKey, unsigned char *pucRandom,unsigned int uiRandomLength, ECCCipher *pucEncData)。
上面函数(1)完成对称解密;函数(2)完成SM2验证运算,用椭圆曲线密码编码学(ECC)公钥对明文和签名值在指定曲线上进行验证运算;函数(3)完成SM2加密运算,用ECC公钥对明文在指定曲线上进行加密运算。具体装置程序实现流程如图2所示。
图2 2011版安全防护验证流程
1.3方案运行
加密方案实现后运行在国电南京自动化股份有限公司(以下简称国电南自)DSL3250系列及DS-6700系列配电终端上,同时支持101,104规约,装置顺利通过中国电科院信通所的安全测试并取得相关资质报告。之后在济南,扬州,青岛等现场运行,能和南瑞,四方,许继等主要的主站厂家正常通讯。
随着信息化技术的发展,之前的安全方案已不满足当前的安全形势的需要,故根据《电力监控系统安全防护规定》,为提高配电自动化终端的防护水平和标准化设计,制定了新的安全防护方案。此方案满足以下几点防护原则。
(1)遵循《电力监控系统安全防护总体方案》及《配电监控系统安全防护 方案》的要求。
(2)利用基于数字证书的双向认证技术,实现终端和主站之间的双向身份鉴别[7]。
(3)利用基于对称密码算法的数据加密和消息认证技术确保配电业务数据的保密性和完整性。
(4)使用国产密码算法SM1、SM2、SM3,采用国产安全芯片实现对终端密钥的存储、管理以及密码运算。
2.1终端安全实施方案
终端使用了硬件加密的方式,使用了一片加密芯片,加密芯片使用SPI接口与配电终端CPU相连,同时CPU为加密芯片提供3.3 V电源,如图3所示。
图3 2017版安全防护终端硬件与芯片连接方案
按照安全防护原则,在进行正常的101,104业务之前,要取得网关与终端的双向身份认证以及主站与终端的双向身份认证,如图4所示。如进行未认证的操作,终端必须返回相对应的错误码。
图4 2017版安全防护业务流程
此安全防护方案是基于2016年国家电网发布的配电自动化系统应用DL/T 634.5101—2002[8],所以重点规定了以下几种报文的交互过程:(1)遥信遥测报文;(2)遥控报文;(3)远程参数更新报文;(4)远程升级报文。
2.2报文定义
在现有的101,104报文基础上增加了信息安全协议层报文,格式如图5所示。
图5 2017版安全协议层报文格式
对报文定义中的101,104规约中各业务对应的业务类型等不一一列举。
2.3安全方案实现
2017年安全方案比2011年的安全方案复杂很多,方案使用了芯片加密的方式,同时对规约中除了短帧之外的所有报文都进行了加密,并对针对各业务的重要性规定了各自不同的交互流程。程序在实现时我们在正常的规约之上建立1个安全处理层,这样可以容易地配置终端规约加密或者非加密的通讯方式。同时,在实现上我们封装了相关的接口函数,如下:
(1)uint_8 SPI_sec_autograph(uint_8 *R1, uint_8 *R2, uint_8 *sign1)//对网关(主站)R1进行签名,返回签名和随机数R2。
(2)uint_16 SPI_sec_check_autograph(uint_8 asKID, uint_8 *sign2)//网关(主站)收到R2后,进行签名生成sign2,发给终端,终端对之验签。
(3)uint_16 SPI_sec_check_iec_autograph(uint_8 asKID, uint_8 *data, int_16 len)//验证签名的正确性。
(4)uint_16 SPI_sec_tool_decrypt(uint_8 *buf, int_16 len, uint_8 *R1, uint_8 *toolID, uint_8 **out_buf)//解密维护工具报文,返回解密后的报文长度。
(5)uint_16 SPI_sec_decrypt(uint_8 *buf, int_16 len, uint_8 *R1, uint_8 **out_buf)//解密。
具体实现流程如图6所示。
图6 2017版安全防护业务流程
2.4方案实现结果
此方案实现在本公司DS6700系列的配网终端上,后于2017年6月通过电科院配网所的安全测试。电科院的测试不仅测试正常流程,重点测试异常流程与异常报文,这就需要终端返回异常所对应的错误码。由于电科院刚刚开展进行此方案的测试工作,截止到目前,全国还未有相关的现场运行。
由于配网自动化大量使用了新的通信技术与网络技术,使得自身的安全问题变得更加复杂与紧迫。本文介绍了国网公司2011年及2017年2次发布的安全防护方案,并在本公司配电终端上具体实现了这2个版本的安全防护方案。这几年来使用2011年安全防护方案的配电终端已经投运在多个现场。2017年方案通过了国网的测试,国网公司还未具体投运使用此种安全防护方案的配电终端,但由于此方案通讯报文基本都是密文,同时也给终端和主站的规约联调提出了新的挑战。
[1]YOUN T Y,PARK Y H,KIM C,et al.Weakness in a RSA-based password authenticated key exchangeprotocol[J].Information Processing Letters,2008,108(6):339-342.
[2]WONG K W.A combined chaotic cryptographic and Hashing scheme[J].Physics Letters A.2003,307(5-6):292-298.
[3]WANG Y, LIAO X, XIAO D,et al.One-way Hash function construction based on 2D coupled maplattices[J].Information Sciences.2008,178(5):1391-1406.
[4]WANG Y,LI X,ZHANG B,et al.Meso-damage cracking characteristics analysis for rock and soil aggregatewith CT test[J].Science China Technological Sciences,2014,57(7): 1361-1371.
[5]中国电力科学研究院.中低压配电网自动化系统安全防护技术方案[Z].2011.
[6]国家密码管理局.SM2椭圆曲线公钥密码算法[Z].2010.
[7]中国电力科学研究院.国网配电终端安全防护实施方案V1.2.0[Z].2017.
[8]配电自动化系统应用实施细则(试行):DL/T 634.5101—2002[S].
TM 76
A
1674-1951(2017)10-0017-03
2017-07-03;
2017-09-18
(本文责编:齐琳)
秦凯(1983—),男,江苏启东人,高级工程师,从事研究配电自动化方面的工作(E-mail:kai-qin@sac-china.com)。
高志勇(1979—),男,江苏涟水人,高级工程师,从事研究配电自动化方面的工作(E-mail:zhiyong-gao@sac-china.com)。