隨著智能電網繼電保護技術的快速發展和精細化管理要求的不斷提升，設備數量日益增多且新技術被不斷引入。傳統的運維模式人力成本高且效率低下，因而繼電保護設備遠程運維模式被廣泛應用，但隨之而來的敏感信息明文傳輸、用戶身份無法驗證等安全問題也亟待解決。

南京國電南自電網自動化有限公司的湯成俊、李洪池、劉文彪、紀陵、檀庭方，在2023年第1期《電氣技術》上撰文，針對繼電保護設備遠程運維過程中安全防范措施不足的問題，基于IEC 61850的文件服務，構建遠程運維整體安全架構，設計基于國密算法的遠程安全通信、關鍵操作抗抵賴等技術，保障整個運維過程的安全性。

國家大力支持智能電網的發展，信息網絡在電力系統中的應用比重不斷增加。計算機和網絡給電力系統帶來諸多方便的同時，網絡安全威脅給國家電力安全帶來不少隱患，構建網絡信息安全的變電站成為日益迫切的需求。

當前，設備本質安全方面重功能、輕防護，操作系統和應用漏洞多、安全策略缺失，通信協議健壯性不足、缺乏加密和認證，存在危險服務和系統未最小化裁剪，操作系統未國產化等問題。在設備遠程運維安全方面，智能變電站新設備的廣泛應用使站內二次設備的運維工作變得更加復雜。目前大多數運維主站系統主要解決功能性問題，在安全方面的考慮相對不足，一旦邊界防護被突破會給整個電網的運行帶來不可估量的損失。

為解決遠程運維過程中的安全問題，本文基于IEC 61850標準的文件服務，設計遠程運維統一文件格式，并增加加密、防篡改及基于時間戳的防重放設計，從安全層面保障遠程運維操作的安全可靠，可有效解決遠程運維過程中的明文傳輸、身份校驗等問題。

1 繼電保護遠程運維

繼電保護遠程運維系統主要由繼電保護遠程運維主站、智能錄波器及繼電保護裝置組成。繼電保護遠程運維功能主要包括智能巡視、智能定檢、軟件備份升級、裝置及進程重啟、IP及路由信息配置、業務增量配置、控制操作等。

然而，考慮到繼電保護裝置的重要性及遠方操作的安全性，定值、壓板等遠方操作功能的使用仍較為謹慎，遠程運維主要停留在監視階段。網絡安全方面，安全策略缺失，通信協議健壯性不足、缺乏加密和認證，運維的安全性無法得到保障。

1.1 定檢周期遠方運維

定檢周期遠方運維主要包括：

1）支持自動定檢和人工定檢。

2）分類配置，定檢項目按常規站和智能站、智能電子設備（intelligent electronic device, IED）類型定制差異化定檢項目表單；對各定檢項目確定部檢完成判據。

3）支持人工設置定檢周期，并在每個自動定檢項目對應的定檢完成判據滿足時自動重置該項目的定檢周期，默認重置周期為三年，定檢完成判據不滿足或定檢周期到達時給出需要人工定檢的結果，由人工定檢確認后重置該項目的定檢周期。

4）增加定檢周期遠方運維功能，定檢周期分為部檢周期和全檢周期，可由主站下發。

1.2 智能巡視

智能巡視主要包括巡視項和巡視時間配置；巡視項、自動巡視啟動時間和自動巡視間隔時間可由主站遠方運維。智能巡視主要內容如圖1所示。

圖1 智能巡視主要內容

1.3 巡視模型遠程運維

巡視模型可以在主站側完成修改，通過IEC 61850文件服務將巡視模型下發到智能錄波器，智能錄波器通過安全校驗后更新本地巡視模型并重啟巡視服務，主要包括巡視基準值遠方運維、同源比對門檻值遠方運維、各個IED巡視點遠方運維。巡視模型遠程運維如圖2所示。

圖2 巡視模型遠程運維

1.4 增量配置遠方運維

當現場有改擴建需求時，用戶提供新的系統配置描述（system configuration description, SCD）文件，服務人員根據新的SCD離線做好配置（包括庫和畫面），將增量配置導出為文件格式，通過IEC 61850文件服務下發智能錄波器，智能錄波器解析增量配置文件，將增量配置固化到數據庫中，最后重啟裝置。增量配置如圖3所示。

圖3 增量配置

1.5 路由、IP信息遠方運維

主站通過IEC 61850文件服務下發IP和路由信息文件，智能錄波器通過安全校核后，根據文件修改IP和路由信息。

1.6 遠方重啟

遠方重啟裝置和遠方重啟進程。

1.7 軟件升級及備份

主站通過IEC 61850文件服務下發軟件升級命令，智能錄波器通過安全校核后，對目標軟件進行升級。主站通過IEC 61850文件服務下發軟件備份命令，智能錄波器通過安全校核后，對核心軟件進行備份并上傳至主站。

1.8 遠方操作

遠方操作主要包括投退壓板、修改定值、遙控、切換定值區等。

2 遠程運維安全設計方案

2.1 系統架構設計

繼電保護可信安全遠程運維總體架構主要由繼電保護遠程運維主站、智能錄波器及繼電保護裝置組成，本文主要研究構建繼電保護遠程運維主站對智能錄波器實現遠程運維。

其中，繼電保護運維主站采用基于可信技術的底層硬件及操作系統，搭建數據分析處理平臺實現用戶管理、命令控制、配置更新、遠程升級及日志審計等功能；智能錄波器也采用基于可信技術的底層硬件及操作系統，實現主站下發的遠程運維業務功能并將命名轉發給保護裝置。

主站和智能錄波器之間基于既有的IEC 61850通信模式，使用文件的方式進行遠程運維命令交互，同時對運維文件進行加密、防重放及數字簽名操作，以保證運維過程的安全可靠。可信安全遠程運維系統架構如圖4所示。

圖4 可信安全遠程運維系統架構

該架構通過可信技術保障設備的本質安全，同時在進行巡視模型和增量配置遠程運維時，運用加密、防重放、數字簽名技術，有效地保障了遠程運維的安全性；在此基礎上，可以有效降低用戶及工程服務人員到變電站現場進行更新升級的成本，顯著提高運維效率。

2.2 業務流程設計

遠程運維業務的執行主要是在遠程運維主站進行用戶登錄并進行雙因子及用戶權限校驗，校驗正確后對該業務操作增加時間戳、數字證書簽名及基于國密算法的加密形成運維文件，運維文件由IEC 61850文件服務發送給智能錄波器，智能錄波器收到運維文件后進行解密、數字證書驗簽及防重放驗證，通過后解析該運維文件的具體內容并執行相應的命令，之后將結果返回，整個過程都需有審計日志記錄以保證操作過程可回溯。典型系統業務流程如圖5所示。

圖5 典型系統業務流程

2.3 主子站通信設計

智能錄波器遠程運維關鍵技術包括通信架構設計[10]、通信鏈路設計、通信安全保障、遠程運維文件設計及自主可控通信協議等。遠程運維主站和智能錄波器基于可信的底層硬件和操作系統，通信采用基于IEC 61850的文件服務，其中運維文件基于國密算法的數字簽名及加密進行設計。

智能錄波器和繼電保護裝置之間可探索采用自主可控制造報文規范（manufacturing massage specification, MMS）替代協議進行試點應用，整體通信架構如圖6所示。

圖6 通信架構

其中，智能錄波器和主站之間的鏈路設計沿用IEC 61850通信鏈路，遠程運維命令通過文件服務下發至智能錄波器；運維文件包括需要執行的操作命名類型、下發時間、數字簽名值、執行結果等信息，運維文件如圖7所示。

圖7 運維文件

其中，數字簽名值用于通信雙方根據公鑰和私鑰證書進行雙向防篡改及身份認證；命令的下發時間，用于通過時間戳校驗來防止重放攻擊；最后通過國密加密算法對整個運維文件內容進行加密，防止重要操作被明文攻擊。

2.4 遠程運維操作抗抵賴設計

1）抗抵賴證書生成

需要在安裝了gmssl的機器上生成公私鑰證書，生成步驟如下。

（1）生成密鑰

gmssl genpkey -algorithm EC -pkeyopt ec_ paramgen_curve:sm2p256v1 -pkeyopt ec_param_enc: named_curve -out skey.pem

（2）生成CA證書

gmssl req -new -x509 -key skey.pem -out cacert. pem

（3）生成用戶證書請求

gmssl genpkey -algorithm EC -pkeyopt ec_ paramgen_curve:sm2p256v1 -pkeyopt ec_param_enc: named_curve -out user_skey.pem

gmssl req -new -sm3 -key user_skey.pem -out cert.req

（4）生成用戶證書

gmssl ca -in cert.req -out device.cer -keyfile skey.pem -cert cacert.pem -days 3650

（5）生成p12私鑰證書

gmssl pkcs12 -export -in device.cer -inkey skey.pem -out device.p12

2）抗抵賴校驗原理

通過上述步驟生成相應的證書，以用戶證書為1.cer，用戶私鑰證書為1.p12，服務端證書為server. cer，服務端私鑰證書為server.p12為例說明。

（1）用戶ID為1的用戶在進行遙控操作。

（2）畫面工具根據用戶ID讀取用戶私鑰證書1.p12，先采用SM3算法計算原始報文的摘要，再使用1.p12私鑰證書用SM2算法對摘要加密生產簽名。

（3）將原始報文和簽名值發送給服務端，服務端根據用戶ID讀取用戶公鑰證書1.cer，先對原始報文使用SM3算法計算摘要，然后使用1.cer對客戶端發送的簽名值使用SM2解密生成摘要后和計算的摘要進行比較。客戶端發送簽名報文如圖8所示。

圖8 客戶端發送簽名報文

（4）服務端讀取服務端的私鑰證書server.p12，采用SM3算法對校驗結果進行計算摘要，然后使用server.p12私鑰證書用SM2算法對摘要加密生成簽名值，并將原始校驗結果和簽名值一起發送給客戶端。

（5）客戶端讀取服務端公鑰證書server.cer，先采用SM3算法計算校驗結果的摘要，然后使用server.cer公鑰證書用SM2算法解密服務端發送的簽名值，從而得到客戶端計算的摘要，并和客戶端自身計算的摘要進行比較。服務端發送簽名報文如圖9所示。

圖9 服務端發送簽名報文

3）報文示例

抗抵賴示例報文如圖10所示。

（1）服務端校驗結果的原文為68 04 01 00 00 50 31 36 34 36 39 31 33 38 34 30 37 36 38 00 00 00。

（2）服務端對校驗結果原文使用SM3算法計算得到摘要值a。

（3）服務端再用SM2私鑰（server.p12）對摘要值a進行加密，得到的校驗結果簽名值為4e 5b e4 20 0b 85 6d ed 5c 62 f3 40 5a 6a 47 94 ce c6 65 cb ee 61 d4 78 e2 22 71 14 cb e3 55 35 5f 67 33 48 fc 13 5d be 26 fc 8c 5a 09 2d b8 ac 5c 3e 4e 46 f7 c7 b0 d1 43 28 2e d1 dc 43 e9 f9。

（4）客戶端使用SM2（server.cer）公鑰對步驟（3）中的簽名值進行解密，得到步驟（2）中的摘要值a。

（5）客戶端對接收到的步驟（1）中的原文計算SM3的摘要值b，驗證a與b的值，如果a=b則抗抵賴校驗成功，否則抗抵賴校驗失敗。

3 工程應用

現場實施過程中智能錄波器沿用主子站IEC 61850的通信鏈路，保信子站沿用主子站103的通信鏈路，遠程運維命令通過文件服務下發至智能錄波器或保信子站，實施過程中不需要增加新的通信協議，不產生新的通信端口，可以和原通信協議高度復用，兼容性強。主站基于三權分立原則進行設計，用戶的登錄采用雙因子認證技術，所有的運維操作都記錄審計日志，可進行溯源追蹤。同時，對運維文件進行加密、簽名及防重放設計，保障運維過程的安全。

以現場有改擴建需求為例，用戶提供了新的SCD文件，服務人員根據新的SCD離線做好配置（包括配置庫和畫面），將增量配置導出為文件格式，并生成加密遠程運維格式文件。通過遠程運維主站可以直接下發至智能錄波器，接收到配置更新指令后智能錄波器可以自動解析并校驗文件，實現SCD文件的導庫更新工作，可以大大提高工作效率，且不需要用戶或工程服務人員到現場實施，節省了人力和時間成本，也可以滿足現場的安全防護要求。

4 結論

本文根據繼電保護遠程運維對于網絡安全的要求，基于IEC 61850文件服務，設計了主子站通信方案、遠程運維操作文件，并從通信層面設計了加密、防重放攻擊及抗抵賴校驗機制。可以沿用智能錄波器和主站之間的IEC 61850通信鏈路，不增加新的協議，不產生新的通信端口，可以和原通信協議高度復用，兼容性強。

基于本文所給出的遠程運維安全設計方案，設計并開發了繼電保護設備及運維主站系統，可以有效提升設備運維過程的安全性，滿足等級保護要求。