一種配電SCADA通信安全防護系統的設計

摘要：配電SCADA系統是電力SCADA系統的重要組成部分，也是配電自動化系統（DAS）的底層核心功能。針對配電SCADA通信規約、通信信道存在的安全風險，設計了一種配電SCADA通信安全防護系統，提出了配電SCADA通信安全機制、IEC60870-5-101通信規約安全報文、安全系統組成及功能、應用部署等方面的設計方案。該系統包括安全管理中心、主站安全防護設備、子站安全防護設備和終端安全防護設備，可用於解決配電SCADA通信面臨的機密性、完整性和可認證性問題。

正文內容：

0 引言

電力網是由電力系統中各種電壓的變電所及輸配電線路組成的統一體，可以分為輸電網和配電網。電力SCADA（Supervisory Control and Data Acquisition）系統即電力數據採集與監視控制系統，應用於電力生產與控制，是電力監視、調度自動化的基礎。電力SCADA系統主要由一系列的遠方終端單元和中心控制主站系統組成。遠方終端收集數據，並通過通信系統回送反饋數據給主站；主站分析處理收到的數據，並允許操作員執行遠程控制任務[1]。電力SCADA系統分為輸電網SCADA（TSCADA）系統和配電網SCADA系統（DSCADA）。配電SCADA系統是配電自動化系統（DAS）的底層核心。由於它的通信規約、通信信道存在安全缺陷，導致配電自動化系統存在惡意攻擊安全風險。

1　配電SCADA通信安全威脅分析

1.1　配電SCADA系統

配電網自動化系統是實現配電網的運行監視和控制的自動化系統，具備配電SCADA、饋線自動化、電網分析應用及與相關應用系統互連等功能，主要由配電主站、配電終端、配電子站（可選）和通信網路等部分組成，如圖1所示。

配電自動化系統主站設備位於供電局控制中心。配電子站設備屬於電力監控系統站級設備，一般位於變電站、開關站以及換流站內。配電終端設備多位於箱式變電站、配電室、電線杆以及電線柱等環境，與強電設備直接連接，包括FTU（饋線終端設備）、TTU（配變終端設備）和DTU（開閉所終端設備）等。

配電通信網路作為配電管理系統，是對處於配電網上的設備進行遠方實時監視、協調及控制的主要通道，包括專用通信網路和公用通信網路。專用通信網路可以採用多種通信方式，如光纖通信、一點多址微波、無線電通信、電力線載波和屏蔽層載波等；不具備專網條件的可採用公用通信網路，如GPRS、CDMA、TD-SCDMA、ADSL和無線區域網等[2]。配電通信網路主要傳輸配電網SCADA系統發送的數據，包括數據採集（遙測YC、遙信YX）、報警、狀態監視、遙控（YK）和遙調（YT）等數據。

通信規約是通信功能實現的基礎，是配電子站、終端和配電主站信息交換的介面。目前，我國配電SCADA系統主要採用電力行業標準DL/T634.5101-2002（等同採用IEC頒布的IEC60870-5-101）、DL/T634.5104-2002（等同採用IEC頒布的IEC60870-5-104）。

1.2　配電SCADA系統通信安全分析

配電SCADA系統通信在通信規約、通信信道等方面存在安全風險，如圖2所示。

配電網SCADA系統通信規約（IEC60870-5-101、104等）沒有對報文做機密性保護，只採用了簡單的校驗演算法進行數據報文的校驗，造成配電網SCADA通信規約報文傳輸過程中存在被監聽、篡改、偽造和重放等安全威脅。

配電通信方式（光纖環網、工業乙太網、公用無線通信網（3G、GPRS等）、數傳電台等）採用明文傳輸，且未進行認證處理，存在被通信劫持、監聽和篡改等安全風險。此外，配電子站、配電終端一般位於無人值守變電站或室外開閉所、環網櫃和電線柱等環境下，為惡意者物理接觸攻擊接入提供了條件。

2　配電SCADA通信安全防護系統設計

配電SCADA通信安全防護系統用於配電網自動化SCADA通信規約內容的安全性保護，主要採用消息報文加密、消息報文鑒別、完整性校驗和入侵檢測告警等安全機制，以解決配電網SCADA通信規約報文傳輸過程中存在被監聽、篡改、偽造和重放等安全威脅。

配電網SCADA通信安全防護系統主要功能包括以下幾點：

（1）保證配電網SCADA系統消息的機密性、完整性和可認證性；

（2）能夠快速檢測到配電網SCADA系統中的異常狀態；

（3）安全防護系統對原配電網SCADA系統通信的影響小；

（4）安全防護設備可管理、可認證、可監控。

2.1　安全設計

2.1.1　安全機制

配電SCADA通信安全處理針對SCADA端到端通信載入相應的安全設備[3]來進行協議安全處理，如圖3所示。

配電SCADA通信安全防護系統主要採用消息報文加密、消息報文鑒別、完整性校驗和線路異常監測告警等安全機制。

（1）報文加密。使用對稱密碼演算法（如SM1演算法）對SCADA協議報文進行加密，保證SCADA系統協議消息的機密性，防止攻擊者對消息的非授權獲取。

（2）報文鑒別與校驗。採用報文隨機數序列號與數字簽名機制，實現SCADA系統協議消息一次傳遞單向鑒別機制，保證SCADA系統協議消息的可鑒別性和完整性，防止針對SCADA協議消息的重放、篡改和偽造等安全威脅。

（3）異常報文過濾機制。安全防護設備通過消息報文認證和數據加密機制，能夠有效檢測和抵抗SCADA消息報文非授權獲取、偽造、篡改和重放攻擊。如果檢測出上述攻擊行為，將這類報文定為異常報文進行過濾丟棄，不繼續向配電網SCADA系統設備進行轉發。

（4）使用線路異常監測告警機制。配電網SCADA系統設備（FTU、RTU等）常常位於野外電線杆、鐵路沿線以及機場附近等無人值守環境，如果入侵者從安全防護設備與配電網SCADA系統專業設備單元之間接入進行破壞，電力安全防護設備將無法認證配電SCADA設備的真實性。採用線路異常監測告警機制，實時監測配電SCADA設備與安全防護設備之間的線路狀態，發現線路異常後，安全防護設備將產生線路異常告警信息。

2.1.2　安全報文

配電SCADA安全報文包括認證報文和加密認證報文兩種。

配電SCADA通信規約認證報文增加序列號（或時間戳、隨機數）和數字簽名欄位，以應對報文完整性檢驗、重放攻擊檢驗和報文源身份認證。報文格式如圖4所示。

配電SCADA通信規約認證加密報文主要包括安全報文頭部、安全報文內容區域和安全報文尾部等三個部分。報文格式如圖5所示。

以DL/T 634.5101-2002協議為例進行安全設計。根據業務報文的特點，可對業務報文進行分類處理。DL/T 634.5101-2002協議的報文分為固定幀和可變長幀，固定幀為1個或5個位元組，可變長幀中的幀長欄位長度為1個位元組，說明可變長幀的最大長度不會超過256位元組，如圖6所示[4]。

固定長幀主要是鏈路維持信息，可不做安全處理。可變長幀（包括總召喚、遙測、遙信、遙控和遙調等報文）可根據業務安全性要求進行分類處理，如總召喚報文、遙測和遙信報文可進行簽名認證處理；遙控和遙調類報文可進行加密認證處理。加密認證安全報文構成，如圖7所示。安全報文內容區域是對IEC60870-5-101協議報文使用SM1演算法加密後的密文。

2.2　系統組成及功能

配電網SCADA通信安全防護系統由安全管理系統、主站級配電SCADA通信安全防護設備、子站級配電SCADA通信安全防護設備和現場終端級配電SCADA通信安全防護設備等4部分組成，如圖8所示。

安全管理系統主要負責密鑰管理、安全設備管理和配電SCADA通信異常監控等。擔負配電網SCADA通信安全防護系統的密鑰管理，負責安全防護系統密鑰的產生、分發、存儲和銷毀等工作；對主站級配電網SCADA通信安全防護設備、子站級配電網SCADA通信安全防護設備和現場終端級安全防護設備進行管理，具有設備註冊、狀態查詢、認證和工作狀態顯示等功能；負責接收安全防護設備產生的線路異常告警消息和入侵告警消息，顯示配電網SCADA系統異常工作點。

主站級安全防護設備的主要功能包括：監測主站與其連接狀態，如有異常向安全管理系統報告；對主站/子站發送和接收的消息進行安全處理（認證和加密）；發現異常報文，向安全管理系統發送告警消息；接受安全管理系統的管理（在線狀態查詢、身份認證和安全策略指令（如密鑰更換指令）等）。

子站級安全防護設備的主要功能包括：監測子站與其連接狀態，如有異常向安全管理系統報告；對子站/現場終端發送和接收的消息進行安全處理（認證和加密）；發現異常報文，向安全管理系統發送告警消息；接受安全管理系統的管理（在線狀態查詢、身份認證和安全策略指令（如密鑰更換指令）等）。

現場終端級安全防護設備的主要功能包括：監測現場終端與其連接狀態，如有異常向安全管理系統報告；對現場終端/子站發送和接收的消息進行安全處理（認證和加密）；發現異常報文，向安全管理系統發送告警消息；接受安全管理系統的管理（在線狀態查詢、身份認證和安全策略指令（如密鑰更換指令）等）。

2.3　應用部署

2.3.1　部署位置

安全管理系統和主站級安全防護設備部署於配電自動化主站區域，子站級安全防護設備部署於配電子站區域，終端級安全防護設備部署於終端區域，如圖9所示。

配電SCADA通信安全防護系統部署具體位置如表1所示。

2.3.2　工作模式

安全防護設備的工作模式主要包括「安全模式」和「透傳模式」。安全模式是指安全設備對原配電網SCADA系統消息做加解密、消息鑒別驗證等處理後再進行消息報文轉發。透傳模式指安全設備對原配電網SCADA系統消息不做任何處理而直接進行消息報文轉發。

2.3.3　部署過程

安全防護設備部署開通，主要是指安全防護設備在不影響原有配電網SCADA系統工作的情況下，從開始接入配電網SCADA網路到進入「安全處理」工作模式的轉變流程。

配電網環境中，配電網自動化系統設備數量多，分布分散，在安全防護設備實際部署時可能遇到多種情況：

（1）確定好部署方案後，安全防護設備在一段時間內逐步部署，最終完成部署目標。

（2）在配電網環境中，可能只有一部分配電網SCADA系統設備部署安全防護設備，這種就是局部部署問題，如圖10所示。

（3）可能先進行局部部署，一段時間後，又增加部署安全防護設備。

鑒於以上部署情況，在實際部署過程中，將採用從上至下的順序逐級部署安全防護設備（即先部署主站安全防護設備，再部署子站安全防護設備，最後部署現場終端安全防護設備）到配電網SCADA系統的各位置。

3　結　語

本文針對配電SCADA通信存在的安全風險，設計了一種配電SCADA通信安全防護系統。具體地，在原有配電自動化設備上載入安全設備的方式，通過加密認證、異常監測等技術手段，解決配電SCADA通信面臨的通信監聽、篡改、重放和劫持等攻擊威脅。技術原理適用於以安全晶元或安全軟體模塊嵌入配電主站、子站和終端的實現方式，可用於配電SCADA通信安全增強設計參考。

參考文獻：

[1] 饒志宏.工業SCADA系統信息安全技術[M].北京:國防工業出版社,2014.

[2] 中華人民共和國國家發展和改革委員會.第14號令《電力監控系統安全防護規定》[EB/OL].(2014-09-01).[2018-01-06].http://www.ndrc.gov.cn/zcfb/zcfbl/201408/t20140814_622262.html.

[3] 蘭昆,饒志宏.基於SCADA系統的工業控制網路安全服務框架研究[J].信息安全與通信保密,2010(03):47-49.

[4] DL/T 634.5101-2002基本遠動任務配套標準[S].2002.

作者：康榮保，張　曉，張旭博

單位：中國電子科技集團公司第三十研究所，四川 成都 610041

作者簡介：康榮保，男，碩士，高級工程師，主要研究方向為網路安全；

張　曉，男，碩士，高級工程師，主要研究方向為網路安全；

張旭博，男，碩士，高級工程師，主要研究方向為網路安全。

本文刊登在《通信技術》2018年第5期（轉載請註明出處，否則禁止轉載）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！