陶士全, 王自成, 李广华, 顾 浩
(南京南瑞继保电气有限公司, 江苏省南京市 211102)
随着电力系统的智能化、网络化水平不断提高,基于IEC 61850标准[1]的变电站自动化系统得到了广泛的应用,其高度的标准化和开放性有效地实现了变电站内设备之间的互联互通[2],然而IEC 61850标准协议中并不包含特定的安全措施[3],协议安全性的缺失使得攻击者一旦绕过外围的物理防护措施,进入变电站自动化系统内部,就可以直接通过通信协议实现对现场设备的控制,存在一定的安全隐患[4-5]。
IEC 62351[6]是国际电工委员会(IEC)为电力系统数据和通信安全制定的标准,该标准从理论上为变电站自动化系统提供了安全通信的解决方案[7],目前全球的电力公司与相关企业都先后开展了该领域的研究工作。
在公共设施通信协议体系(UCA)组织的2017国际互操作大会上,南京南瑞继保电气有限公司与美国SISCO公司实现了IEC 62351标准全球首次成功的互操作,全面验证了IEC 62351标准在IEC 61850站控层通信层面的可用性,然而互操作中并未对站控层的通信性能开展相关测试。因此,IEC 62351标准对IEC 61850站控层通信性能的影响需要进行进一步的研究。
本文基于已具备IEC 62351安全通信能力的服务端和客户端设备,构建通信测试系统,分别在安全通信和非安全通信两种模式下,对站控层通信中各类制造报文规范(MMS)服务的实时响应性能进行对比测试,分析安全通信对站控层通信性能的影响,为IEC 62351标准在变电站自动化领域中的实际应用提供有效的数据支撑和理论指导。
针对变电站自动化系统中的IEC 61850通信协议,依据IEC 62351-3和IEC 62351-4标准为基于TCP/IP、MMS协议集[8]的通信提供协议层面的安全防护,具体如图1所示。
图1 基于IEC 62351的安全MMS通信Fig.1 Secure MMS communication based on IEC 62351
1)IEC 62351-3[9]标准提出在TCP层与TPKT层之间增加安全传输层协议(TLS)[10]安全通信机制,提供基于端对端的加密和对中间人攻击的防护[11]。
2)IEC 62351-4[12]标准为MMS协议集提供应用层安全保护,在客户端与服务端建立MMS关联时提供消息认证功能,防止对消息的未经授权的访问。
用于搭建本文测试系统的MMS服务端和客户端设备都已经根据IEC 62351标准要求进行升级改造,具备MMS安全通信能力。
搭建一个简化的变电站站控层原型系统,该系统由一套线路保护装置(MMS服务端)、多套站控层监控后台(MMS客户端)、一台交换机以及一台网络分析仪组成,如图2所示。
图2 测试系统拓扑Fig.2 Topology of test system
其中,保护装置的MMS通信在非实时进程中实现,通信板卡采用Zynq 7000系列的CPU,主频667 MHz,内存256 MB。
保护装置和监控后台都已经具备IEC 62351安全通信能力,由于TLS协议本身允许使用多种秘钥套件[13](Cipher Suite)进行对话秘钥协商,本文测试选择使用一种安全强度非常高的秘钥套件:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384(秘钥交换算法为ECDHE、秘钥数字签名采用密钥长度为2 048 bit的不对称算法RSA、数据加密采用密钥长度为256 bit的对称加密算法AES、摘要算法为SHA384)。
TLS允许安全与非安全通信协议共存,MMS协议的安全通信和非安全通信对应不同的端口号,其中MMS非安全通信使用的端口为102,IEC 62351添加TLS后的安全通信端口为3782。保护装置与监控后台之间既可以实现安全连接通信,也可以实现非安全连接的通信,便于在同等测试环境下实现通信性能对比测试及分析。
结合变电站站控层通信系统的实际运行状况,本文首先对MMS通信包含的各类服务进行性能测试,然后模拟变电站实时运行工况进行系统测试,验证通信的正确性并对服务端设备的负载变化进行测试,测试内容基本覆盖常见的变电站运行工况,可以如实地反映安全通信带来的性能变化。通过网络分析仪记录测试时的通信报文,然后统计具体的耗时,以下每项测试记录了5组数据,表中数据为耗时的平均值。
基于相同的测试系统,分别在安全通信模式和非安全通信模式下,对各类MMS服务的实时响应性能进行对比测试。
1)应用层关联服务测试:单个监控后台关联装置,对比增加安全策略前后的耗时,具体数据如下:非安全模式下MMS关联耗时为35.51 ms,而安全模式下关联过程中需要完成秘钥协商、证书校验等操作,总耗时3 674.44 ms。
2)客户端对装置进行读取模型测试,读取包含80个定值的定值组,记录耗时,数据如下:非安全通信模式下耗时450.82 ms,安全通信模式下耗时618.57 ms。根据测试结果计算,增加安全通信策略后客户端读取一个定值模型的平均耗时从5.64 ms上升到7.73 ms。
3)触发装置连续产生330个变位事件,记录装置主动上送所有变位事件报告的耗时,并计算上送一条报告的平均耗时,数据如下:非安全通信模式下耗时6.98 ms,安全通信模式下耗时12.48 ms。保护装置运行过程中的主要任务是上送报告服务,根据测试结果,增加安全通信策略后装置上送一条报告的平均耗时从6.98 ms上升到12.48 ms,报告上送的耗时略有增加。
4)客户端分别进行切换定值区、修改定值操作,记录的具体耗时数据如表1所示。
表1 定值服务耗时对比Table 1 Time-consuming comparison of setting service
5)客户端对装置下发一组遥控命令,包含遥控选择及遥控执行两部分,耗时数据如表2所示。
表2 控制服务耗时对比Table 2 Time-consuming comparison of control service
6)保护装置已存储64组录波文件,客户端上召文件列表并读取一组录波文件的内容,具体服务耗时数据如表3所示。
表3 文件服务耗时对比Table 3 Time-consuming comparison of file service
模拟变电站实时运行工况,对通信系统进行整体测试。保护装置模型配置了16个报告控制块,采用12个客户端同时连接保护装置,将各个报告控制块的完整性周期上送时间设置为30 s,客户端定时地进行修改定值、远方遥控等操作,系统持续运行一周,通信功能无异常。系统运行期间记录下装置的平均负载,数据如下:非安全通信模式下负载为0.54,安全通信模式下负载为0.61。
安全通信模式和非安全通信模式下,MMS服务性能对比结果如图3所示。
图3 MMS通信性能对比Fig.3 Comparison of MMS communication performance
测试结果表明,加入安全策略后应用关联服务的耗时会明显增加,其他MMS服务的性能变化不大。
由于安全关联的认证过程仅在建立MMS关联时才会进行,而通信系统正常运行时并不会出现关联操作。另外,在系统运行过程中,MMS通信的主要任务是报告上送,一般情况下并不会出现客户端频繁读取装置的动态模型和文件信息的情况。站控层MMS通信在系统中属于相对慢速的任务,性能要求一般是在秒级,国家电网企业标准《继电保护和安全自动装置的DL/T 860通信测试方案》中关于MMS通信性能的具体要求如表4所示。因此,在MMS通信中引入安全机制对实时运行系统中的站控层通信性能影响并不显著,可以满足站控层实时通信性能的要求。
表4 MMS通信性能要求Table 4 MMS communication performance requirements
本文研究的重点是对变电站站控层安全通信的性能进行详尽的测试并分析,结果表明基于IEC 62351的安全通信可以满足站控层实时通信性能的要求,为IEC 62351标准在变电站自动化领域中的实际应用提供了有效的数据支撑和理论指导。
本文仅对变电站站控层安全通信的性能进行了测试,由于传统的非对称签名算法难以满足过程层通用面向对象变电站事件(GOOSE)、采样值(SV)工程实际的性能需求,后续仍需进行深入的分析和研究,如采用硬件实现签名、使用对称秘钥签名。