解决方案︱智能变电站网络可靠性和信息安全的研究
国电南瑞科技股份有限公司的研究人员郑洁,在2015年第11期《电气技术》杂志上撰文指出,鉴于目前智能变电站内网络结构复杂、通信可靠性不高及站内信息安全的缺失,提出了优化智能变电站网络结构,增加站内设备的硬件通信冗余设计以及增加基于IEC62351的站内设备的信息安全设计,以提高智能变电站的网络可靠性及信息安全。
1 引言
目前在智能变电站的各个层次上都采用以太网通讯,相对于传统变电站有了很多优点,比如节约电缆费用,减小设备连接复杂度等[1],但是目前过程层GOOSE网络、SV网络和间隔层MMS网络相对独立,二次设备的网络接口较多,网络连接和点对点连接的现象并存,导致网络结构非常复杂,不利于调试和检修,且过程层接口多为光纤接口,众多的光纤接口,在长期运行后可靠性势必会下降,同时也增加了装置与系统在网络通信方面的硬件成本。
为提高智能变电站内网络通信的可靠性,在现行的网络结构设计前提下,普遍做法是在应用层做冗余设计,这导致装置整体性能较差且标准化程度低,若引入基于IEC62439-PRP的冗余设计后,可大大提高站内网络通信的可靠性。
对于电力系统的安全设计,目前设计的防护措施基本上是边界安全措施[2],并未过多涉及变电站内部网络通信的安全防护的具体实施方案,若在变电站内受到攻击时系统将会变得非常脆弱。近年来信息安全事件的曝光,使全球震惊之余,也让我们认识到:国家重要行业的信息安全正面临着严峻的考验,电力系统内全面的信息安全迫在眉睫[3]。
2 网络结构的优化方案
2.1目前组网方案概述
智能变电站通信网络采用IEC 61850国际标准,标准将变电站在结构上划分为变电站层、间隔层和过程层[1,4],并通过分层、分布、开放式网络系统实现连接。变电站层与间隔层之间的网络称为变电站层网络,间隔层与过程层之间的网络称为过程层网络。
因为变电站层网络和过程层网络承载的业务功能截然不同,在以往的技术条件下,为了保证过程层网络的实时性、安全性,变电站层网络与过程层网络物理分开,也就是“三层两网”结构。
变电站层网络功能和结构与传统变电站的计算机监控系统网络基本类似,全站信息的汇总功能(包括防误闭锁)可依靠MMS/GOOSE网络实现。
过程层当前涉及的组网方式主要有以下几种[5-6,12]:(1)SV直连,GOOSE直连,此方式的实现与传统变电站的电缆连接方式极为类似,此方式虽然能保证数据传输的可靠性,但是数据无法共享且连接IED的网络口过多,增加设备成本且设备发热量较大。(2)SV直连和GOOSE组网,此方式在一定程度上实现了数据传输的网络化,具有较高的自动化程度。但是SV采用点对点方式,仍然无法实现采样的数据共享。(3)SV组网和GOOSE直连,此方式出现在早期的数字化变电站建设阶段,多关注SV数据共享。(4)SV组网和GOOSE组网,此方式符合变电站自动化发展方向,也满足智能变电站组网要求,但是此方式较为复杂,需要交换机数量较大。(5)混合组网,混合组网方式是结合上述几种组网方式。
2.2 MMS、GOOSE、SV的共网技术
对于“三层两网”的网络结构而言,网络复杂,带宽未充分利用,目前智能站内以太网的带宽高达100Mbps以上,即使应用于超大规模变电站也游刃有余,GOOSE网络与MMS网络流量明显偏小,比如按照GOOSE的发送机制,一个智能设备变位时的最大数据流量为0.03Mbit/s,一个间隔内的SMV网与GOOSE网总流量为5Mbit/s左右,占网络带宽并不大[7-8]。
为此本文设计多网合一的组网方式,在网络架构高度集成之后,考虑硬件网络冗余方式,则可达到简化网络结构,充分利用带宽,减少建设和运维成本等目的的同时,提高系统的可靠性。
3 硬件通信冗余设计
IEC62439标准[9]中提出利用并行冗余协议PRP(ParallelRedundancyProtocol,PRP)以提高系统的可靠性。基于PRP的冗余网络要求装置包含双以太网控制器和双网络端口,分别接入两个完全独立的以太网,实现装置通信网络的冗余[10]。如图1所示。
运行PRP协议的装装置通过两个并行的以太网适配器(网口1及网口2)分别连接到A网及B网,网口1和网口2使用相同的MAC地址,这两个以太网适配器通过链路冗余控制模块(PRP模块)连接到上层数据应用模块,冗余模块通过冗余算法只将A网或B网的数据传递给上层数据应用模块。
由于有了链路冗余控制模块,从上层数据应用模块向下看,实际具有冗余的网口呈现非冗余的特性。通过应用基于PRP设计的硬件通信冗余模块,可提高网络通信可靠性的同时不影响装置的任何性能,最终可保证智能变电站多网合一的组网方式下通信的可靠性。
图1 PRP冗余网络拓扑示例
4 基于IEC62351的站内信息安全设计
IEC制定的IEC62351[11]数据和通信安全标准的目的就是为了解决电力通讯领域的数据和通讯的安全问题。在IEC62351中,认证和加密是核心内容。
本文基于IEC62351所设计的智能变电站信息安全强化方案也是通过认证来最小化中间人攻击的威胁、最小化某些类型的旁路控制威胁以及最小化无意和恶意的人员行为威胁。
通过数字签名,可提供实体认证来确保对信息的唯一授权访问,而通过加密,提供认证密钥的机密性,可防止消息被篡改、监视及防止消息重放和欺骗等。本文的安全设计涉及智能变电站内MMS协议安全加固以及SMV协议和GOOSE协议的安全加固。
4.1 MMS协议安全设计
对于MMS协议安全设计主要分为两个部分,一是基于TCP/IP协议集上的安全改造,如图2中的认证加密层,二是在MMS的应用层上,客户与服务器之间在关联过程中的认证。
图2 MMS 协议加固
对于认证加密层采用可采用TLS/SSL协议,而通过对MMS关联过程中的请求和响应进行扩展,在MMS的应用层进行两个通信实体间进行基于数字证书的身份认证,认证信息可用来对访问者的权限进行控制,并在一定程度上防止重放攻击。
4.2GOOSE/SV协议安全设计
4.2.1 安全设计方案
对GOOSE/SMV协议的安全设计,通过利用对报文协议格式中的保留字段加以利用以及对协议的扩展来实现安全改造的目标。如图3所示,(1)为IEC 61850中GOOSE原始报文结构,(2)所示为改造后的报文结构。其中对原报文中的保留字段进行定义(图3(1)中的原保留部分),把其扩展定义为尾部签名字段长度及相关字段的CRC计算结果。且对尾部进行扩展(图3(2)中的Extend)的内容为对报文相关字段的加密签名的具体内容。
图3 GOOSE协议加固
对于经过安全设计的GOOSE模块,其发布方在发布消息时对其消息进行加密签名,而订阅方侧在接收到报文后进行验签,验签失败则丢弃该消息。考虑到嵌入式系统的实时性要求,加密时建议采用对称加密的方式。SMV协议的安全设计与GOOSE协议类似。
4.2.1 安全设计对实时性的影响
在对报文进行签名与验签时,会消耗一定的CPU资源开销,考虑到过程层设备的实时性要求,需要验证在对GOOSE/SV报文经过安全设计后对装置整体性能的影响。
经过实验,如表1所示,密钥长度为100的情况下,在已工程应用的装置内测试,在同一次中断任务内对GOOSE报文先后进行一次签名和解签过程,采用SHA256算法时实际使用使用的时间为200微秒左右,而采用SHA1算法时,时间较少为80微秒左右,实际应用中中断周期为833微妙,故综合考虑目前的硬件资源,在安全设计时考虑应用较为简单的加密算法时,对装置性能的影响是很少的。
表1实验数据
5 结语
根据新一代智能变电站的发展要求,迫切需要优化站内网络结构、提高系统的可靠性,且增加网络信息安全设计。
本文针对此发展要求,提出了网络优化方案,设计了网络冗余的实现方案,并基于IEC62351加固了智能变电站内MMS、SMV及GOOSE网络通信协议。可有效提高智能变电站的系统可靠性和信息的安全性。
关注电气工程技术、聚焦学科前沿发展