隨著智能電網(wǎng)繼電保護(hù)技術(shù)的快速發(fā)展和精細(xì)化管理要求的不斷提升，設(shè)備數(shù)量日益增多且新技術(shù)被不斷引入。傳統(tǒng)的運(yùn)維模式人力成本高且效率低下，因而繼電保護(hù)設(shè)備遠(yuǎn)程運(yùn)維模式被廣泛應(yīng)用，但隨之而來(lái)的敏感信息明文傳輸、用戶身份無(wú)法驗(yàn)證等安全問(wèn)題也亟待解決。

南京國(guó)電南自電網(wǎng)自動(dòng)化有限公司的湯成俊、李洪池、劉文彪、紀(jì)陵、檀庭方，在2023年第1期《電氣技術(shù)》上撰文，針對(duì)繼電保護(hù)設(shè)備遠(yuǎn)程運(yùn)維過(guò)程中安全防范措施不足的問(wèn)題，基于IEC 61850的文件服務(wù)，構(gòu)建遠(yuǎn)程運(yùn)維整體安全架構(gòu)，設(shè)計(jì)基于國(guó)密算法的遠(yuǎn)程安全通信、關(guān)鍵操作抗抵賴(lài)等技術(shù)，保障整個(gè)運(yùn)維過(guò)程的安全性。

國(guó)家大力支持智能電網(wǎng)的發(fā)展，信息網(wǎng)絡(luò)在電力系統(tǒng)中的應(yīng)用比重不斷增加。計(jì)算機(jī)和網(wǎng)絡(luò)給電力系統(tǒng)帶來(lái)諸多方便的同時(shí)，網(wǎng)絡(luò)安全威脅給國(guó)家電力安全帶來(lái)不少隱患，構(gòu)建網(wǎng)絡(luò)信息安全的變電站成為日益迫切的需求。

當(dāng)前，設(shè)備本質(zhì)安全方面重功能、輕防護(hù)，操作系統(tǒng)和應(yīng)用漏洞多、安全策略缺失，通信協(xié)議健壯性不足、缺乏加密和認(rèn)證，存在危險(xiǎn)服務(wù)和系統(tǒng)未最小化裁剪，操作系統(tǒng)未國(guó)產(chǎn)化等問(wèn)題。在設(shè)備遠(yuǎn)程運(yùn)維安全方面，智能變電站新設(shè)備的廣泛應(yīng)用使站內(nèi)二次設(shè)備的運(yùn)維工作變得更加復(fù)雜。目前大多數(shù)運(yùn)維主站系統(tǒng)主要解決功能性問(wèn)題，在安全方面的考慮相對(duì)不足，一旦邊界防護(hù)被突破會(huì)給整個(gè)電網(wǎng)的運(yùn)行帶來(lái)不可估量的損失。

為解決遠(yuǎn)程運(yùn)維過(guò)程中的安全問(wèn)題，本文基于IEC 61850標(biāo)準(zhǔn)的文件服務(wù)，設(shè)計(jì)遠(yuǎn)程運(yùn)維統(tǒng)一文件格式，并增加加密、防篡改及基于時(shí)間戳的防重放設(shè)計(jì)，從安全層面保障遠(yuǎn)程運(yùn)維操作的安全可靠，可有效解決遠(yuǎn)程運(yùn)維過(guò)程中的明文傳輸、身份校驗(yàn)等問(wèn)題。

1 繼電保護(hù)遠(yuǎn)程運(yùn)維

繼電保護(hù)遠(yuǎn)程運(yùn)維系統(tǒng)主要由繼電保護(hù)遠(yuǎn)程運(yùn)維主站、智能錄波器及繼電保護(hù)裝置組成。繼電保護(hù)遠(yuǎn)程運(yùn)維功能主要包括智能巡視、智能定檢、軟件備份升級(jí)、裝置及進(jìn)程重啟、IP及路由信息配置、業(yè)務(wù)增量配置、控制操作等。

然而，考慮到繼電保護(hù)裝置的重要性及遠(yuǎn)方操作的安全性，定值、壓板等遠(yuǎn)方操作功能的使用仍較為謹(jǐn)慎，遠(yuǎn)程運(yùn)維主要停留在監(jiān)視階段。網(wǎng)絡(luò)安全方面，安全策略缺失，通信協(xié)議健壯性不足、缺乏加密和認(rèn)證，運(yùn)維的安全性無(wú)法得到保障。

1.1 定檢周期遠(yuǎn)方運(yùn)維

定檢周期遠(yuǎn)方運(yùn)維主要包括：

1）支持自動(dòng)定檢和人工定檢。

2）分類(lèi)配置，定檢項(xiàng)目按常規(guī)站和智能站、智能電子設(shè)備（intelligent electronic device, IED）類(lèi)型定制差異化定檢項(xiàng)目表單；對(duì)各定檢項(xiàng)目確定部檢完成判據(jù)。

3）支持人工設(shè)置定檢周期，并在每個(gè)自動(dòng)定檢項(xiàng)目對(duì)應(yīng)的定檢完成判據(jù)滿足時(shí)自動(dòng)重置該項(xiàng)目的定檢周期，默認(rèn)重置周期為三年，定檢完成判據(jù)不滿足或定檢周期到達(dá)時(shí)給出需要人工定檢的結(jié)果，由人工定檢確認(rèn)后重置該項(xiàng)目的定檢周期。

4）增加定檢周期遠(yuǎn)方運(yùn)維功能，定檢周期分為部檢周期和全檢周期，可由主站下發(fā)。

1.2 智能巡視

智能巡視主要包括巡視項(xiàng)和巡視時(shí)間配置；巡視項(xiàng)、自動(dòng)巡視啟動(dòng)時(shí)間和自動(dòng)巡視間隔時(shí)間可由主站遠(yuǎn)方運(yùn)維。

1.3 巡視模型遠(yuǎn)程運(yùn)維

巡視模型可以在主站側(cè)完成修改，通過(guò)IEC 61850文件服務(wù)將巡視模型下發(fā)到智能錄波器，智能錄波器通過(guò)安全校驗(yàn)后更新本地巡視模型并重啟巡視服務(wù)，主要包括巡視基準(zhǔn)值遠(yuǎn)方運(yùn)維、同源比對(duì)門(mén)檻值遠(yuǎn)方運(yùn)維、各個(gè)IED巡視點(diǎn)遠(yuǎn)方運(yùn)維。

1.4 增量配置遠(yuǎn)方運(yùn)維

當(dāng)現(xiàn)場(chǎng)有改擴(kuò)建需求時(shí)，用戶提供新的系統(tǒng)配置描述（system configuration description, SCD）文件，服務(wù)人員根據(jù)新的SCD離線做好配置（包括庫(kù)和畫(huà)面），將增量配置導(dǎo)出為文件格式，通過(guò)IEC 61850文件服務(wù)下發(fā)智能錄波器，智能錄波器解析增量配置文件，將增量配置固化到數(shù)據(jù)庫(kù)中，最后重啟裝置。

1.5 路由、IP信息遠(yuǎn)方運(yùn)維

主站通過(guò)IEC 61850文件服務(wù)下發(fā)IP和路由信息文件，智能錄波器通過(guò)安全校核后，根據(jù)文件修改IP和路由信息。

1.6 遠(yuǎn)方重啟

遠(yuǎn)方重啟裝置和遠(yuǎn)方重啟進(jìn)程。

1.7 軟件升級(jí)及備份

主站通過(guò)IEC 61850文件服務(wù)下發(fā)軟件升級(jí)命令，智能錄波器通過(guò)安全校核后，對(duì)目標(biāo)軟件進(jìn)行升級(jí)。主站通過(guò)IEC 61850文件服務(wù)下發(fā)軟件備份命令，智能錄波器通過(guò)安全校核后，對(duì)核心軟件進(jìn)行備份并上傳至主站。

1.8 遠(yuǎn)方操作

遠(yuǎn)方操作主要包括投退壓板、修改定值、遙控、切換定值區(qū)等。

2 遠(yuǎn)程運(yùn)維安全設(shè)計(jì)方案

2.1 系統(tǒng)架構(gòu)設(shè)計(jì)

繼電保護(hù)可信安全遠(yuǎn)程運(yùn)維總體架構(gòu)主要由繼電保護(hù)遠(yuǎn)程運(yùn)維主站、智能錄波器及繼電保護(hù)裝置組成，本文主要研究構(gòu)建繼電保護(hù)遠(yuǎn)程運(yùn)維主站對(duì)智能錄波器實(shí)現(xiàn)遠(yuǎn)程運(yùn)維。

其中，繼電保護(hù)運(yùn)維主站采用基于可信技術(shù)的底層硬件及操作系統(tǒng)，搭建數(shù)據(jù)分析處理平臺(tái)實(shí)現(xiàn)用戶管理、命令控制、配置更新、遠(yuǎn)程升級(jí)及日志審計(jì)等功能；智能錄波器也采用基于可信技術(shù)的底層硬件及操作系統(tǒng)，實(shí)現(xiàn)主站下發(fā)的遠(yuǎn)程運(yùn)維業(yè)務(wù)功能并將命名轉(zhuǎn)發(fā)給保護(hù)裝置。

主站和智能錄波器之間基于既有的IEC 61850通信模式，使用文件的方式進(jìn)行遠(yuǎn)程運(yùn)維命令交互，同時(shí)對(duì)運(yùn)維文件進(jìn)行加密、防重放及數(shù)字簽名操作，以保證運(yùn)維過(guò)程的安全可靠。

該架構(gòu)通過(guò)可信技術(shù)保障設(shè)備的本質(zhì)安全，同時(shí)在進(jìn)行巡視模型和增量配置遠(yuǎn)程運(yùn)維時(shí)，運(yùn)用加密、防重放、數(shù)字簽名技術(shù)，有效地保障了遠(yuǎn)程運(yùn)維的安全性；在此基礎(chǔ)上，可以有效降低用戶及工程服務(wù)人員到變電站現(xiàn)場(chǎng)進(jìn)行更新升級(jí)的成本，顯著提高運(yùn)維效率。

2.2 業(yè)務(wù)流程設(shè)計(jì)

遠(yuǎn)程運(yùn)維業(yè)務(wù)的執(zhí)行主要是在遠(yuǎn)程運(yùn)維主站進(jìn)行用戶登錄并進(jìn)行雙因子及用戶權(quán)限校驗(yàn)，校驗(yàn)正確后對(duì)該業(yè)務(wù)操作增加時(shí)間戳、數(shù)字證書(shū)簽名及基于國(guó)密算法的加密形成運(yùn)維文件，運(yùn)維文件由IEC 61850文件服務(wù)發(fā)送給智能錄波器，智能錄波器收到運(yùn)維文件后進(jìn)行解密、數(shù)字證書(shū)驗(yàn)簽及防重放驗(yàn)證，通過(guò)后解析該運(yùn)維文件的具體內(nèi)容并執(zhí)行相應(yīng)的命令，之后將結(jié)果返回，整個(gè)過(guò)程都需有審計(jì)日志記錄以保證操作過(guò)程可回溯。

2.3 主子站通信設(shè)計(jì)

智能錄波器遠(yuǎn)程運(yùn)維關(guān)鍵技術(shù)包括通信架構(gòu)設(shè)計(jì)[10]、通信鏈路設(shè)計(jì)、通信安全保障、遠(yuǎn)程運(yùn)維文件設(shè)計(jì)及自主可控通信協(xié)議等。遠(yuǎn)程運(yùn)維主站和智能錄波器基于可信的底層硬件和操作系統(tǒng)，通信采用基于IEC 61850的文件服務(wù)，其中運(yùn)維文件基于國(guó)密算法的數(shù)字簽名及加密進(jìn)行設(shè)計(jì)。

智能錄波器和繼電保護(hù)裝置之間可探索采用自主可控制造報(bào)文規(guī)范（manufacturing massage specification, MMS）替代協(xié)議進(jìn)行試點(diǎn)應(yīng)用。

其中，智能錄波器和主站之間的鏈路設(shè)計(jì)沿用IEC 61850通信鏈路，遠(yuǎn)程運(yùn)維命令通過(guò)文件服務(wù)下發(fā)至智能錄波器；運(yùn)維文件包括需要執(zhí)行的操作命名類(lèi)型、下發(fā)時(shí)間、數(shù)字簽名值、執(zhí)行結(jié)果等信息。

其中，數(shù)字簽名值用于通信雙方根據(jù)公鑰和私鑰證書(shū)進(jìn)行雙向防篡改及身份認(rèn)證；命令的下發(fā)時(shí)間，用于通過(guò)時(shí)間戳校驗(yàn)來(lái)防止重放攻擊；最后通過(guò)國(guó)密加密算法對(duì)整個(gè)運(yùn)維文件內(nèi)容進(jìn)行加密，防止重要操作被明文攻擊。

2.4 遠(yuǎn)程運(yùn)維操作抗抵賴(lài)設(shè)計(jì)

1）抗抵賴(lài)證書(shū)生成

需要在安裝了gmssl的機(jī)器上生成公私鑰證書(shū)，生成步驟如下。

（1）生成密鑰

gmssl genpkey -algorithm EC -pkeyopt ec_ paramgen_curve:sm2p256v1 -pkeyopt ec_param_enc: named_curve -out skey.pem

（2）生成CA證書(shū)

gmssl req -new -x509 -key skey.pem -out cacert. pem

（3）生成用戶證書(shū)請(qǐng)求

gmssl genpkey -algorithm EC -pkeyopt ec_ paramgen_curve:sm2p256v1 -pkeyopt ec_param_enc: named_curve -out user_skey.pem

gmssl req -new -sm3 -key user_skey.pem -out cert.req

（4）生成用戶證書(shū)

gmssl ca -in cert.req -out device.cer -keyfile skey.pem -cert cacert.pem -days 3650

（5）生成p12私鑰證書(shū)

gmssl pkcs12 -export -in device.cer -inkey skey.pem -out device.p12

2）抗抵賴(lài)校驗(yàn)原理

通過(guò)上述步驟生成相應(yīng)的證書(shū)，以用戶證書(shū)為1.cer，用戶私鑰證書(shū)為1.p12，服務(wù)端證書(shū)為server. cer，服務(wù)端私鑰證書(shū)為server.p12為例說(shuō)明。

（1）用戶ID為1的用戶在進(jìn)行遙控操作。

（2）畫(huà)面工具根據(jù)用戶ID讀取用戶私鑰證書(shū)1.p12，先采用SM3算法計(jì)算原始報(bào)文的摘要，再使用1.p12私鑰證書(shū)用SM2算法對(duì)摘要加密生產(chǎn)簽名。

（3）將原始報(bào)文和簽名值發(fā)送給服務(wù)端，服務(wù)端根據(jù)用戶ID讀取用戶公鑰證書(shū)1.cer，先對(duì)原始報(bào)文使用SM3算法計(jì)算摘要，然后使用1.cer對(duì)客戶端發(fā)送的簽名值使用SM2解密生成摘要后和計(jì)算的摘要進(jìn)行比較。

（4）服務(wù)端讀取服務(wù)端的私鑰證書(shū)server.p12，采用SM3算法對(duì)校驗(yàn)結(jié)果進(jìn)行計(jì)算摘要，然后使用server.p12私鑰證書(shū)用SM2算法對(duì)摘要加密生成簽名值，并將原始校驗(yàn)結(jié)果和簽名值一起發(fā)送給客戶端。

（5）客戶端讀取服務(wù)端公鑰證書(shū)server.cer，先采用SM3算法計(jì)算校驗(yàn)結(jié)果的摘要，然后使用server.cer公鑰證書(shū)用SM2算法解密服務(wù)端發(fā)送的簽名值，從而得到客戶端計(jì)算的摘要，并和客戶端自身計(jì)算的摘要進(jìn)行比較。

3）報(bào)文示例

（1）服務(wù)端校驗(yàn)結(jié)果的原文為68 04 01 00 00 50 31 36 34 36 39 31 33 38 34 30 37 36 38 00 00 00。

（2）服務(wù)端對(duì)校驗(yàn)結(jié)果原文使用SM3算法計(jì)算得到摘要值a。

（3）服務(wù)端再用SM2私鑰（server.p12）對(duì)摘要值a進(jìn)行加密，得到的校驗(yàn)結(jié)果簽名值為4e 5b e4 20 0b 85 6d ed 5c 62 f3 40 5a 6a 47 94 ce c6 65 cb ee 61 d4 78 e2 22 71 14 cb e3 55 35 5f 67 33 48 fc 13 5d be 26 fc 8c 5a 09 2d b8 ac 5c 3e 4e 46 f7 c7 b0 d1 43 28 2e d1 dc 43 e9 f9。

（4）客戶端使用SM2（server.cer）公鑰對(duì)步驟（3）中的簽名值進(jìn)行解密，得到步驟（2）中的摘要值a。

（5）客戶端對(duì)接收到的步驟（1）中的原文計(jì)算SM3的摘要值b，驗(yàn)證a與b的值，如果a=b則抗抵賴(lài)校驗(yàn)成功，否則抗抵賴(lài)校驗(yàn)失敗。

3 工程應(yīng)用

現(xiàn)場(chǎng)實(shí)施過(guò)程中智能錄波器沿用主子站IEC 61850的通信鏈路，保信子站沿用主子站103的通信鏈路，遠(yuǎn)程運(yùn)維命令通過(guò)文件服務(wù)下發(fā)至智能錄波器或保信子站，實(shí)施過(guò)程中不需要增加新的通信協(xié)議，不產(chǎn)生新的通信端口，可以和原通信協(xié)議高度復(fù)用，兼容性強(qiáng)。主站基于三權(quán)分立原則進(jìn)行設(shè)計(jì)，用戶的登錄采用雙因子認(rèn)證技術(shù)，所有的運(yùn)維操作都記錄審計(jì)日志，可進(jìn)行溯源追蹤。同時(shí)，對(duì)運(yùn)維文件進(jìn)行加密、簽名及防重放設(shè)計(jì)，保障運(yùn)維過(guò)程的安全。

以現(xiàn)場(chǎng)有改擴(kuò)建需求為例，用戶提供了新的SCD文件，服務(wù)人員根據(jù)新的SCD離線做好配置（包括配置庫(kù)和畫(huà)面），將增量配置導(dǎo)出為文件格式，并生成加密遠(yuǎn)程運(yùn)維格式文件。通過(guò)遠(yuǎn)程運(yùn)維主站可以直接下發(fā)至智能錄波器，接收到配置更新指令后智能錄波器可以自動(dòng)解析并校驗(yàn)文件，實(shí)現(xiàn)SCD文件的導(dǎo)庫(kù)更新工作，可以大大提高工作效率，且不需要用戶或工程服務(wù)人員到現(xiàn)場(chǎng)實(shí)施，節(jié)省了人力和時(shí)間成本，也可以滿足現(xiàn)場(chǎng)的安全防護(hù)要求。

4 結(jié)論

本文根據(jù)繼電保護(hù)遠(yuǎn)程運(yùn)維對(duì)于網(wǎng)絡(luò)安全的要求，基于IEC 61850文件服務(wù)，設(shè)計(jì)了主子站通信方案、遠(yuǎn)程運(yùn)維操作文件，并從通信層面設(shè)計(jì)了加密、防重放攻擊及抗抵賴(lài)校驗(yàn)機(jī)制?？梢匝赜弥悄茕洸ㄆ骱椭髡局g的IEC 61850通信鏈路，不增加新的協(xié)議，不產(chǎn)生新的通信端口，可以和原通信協(xié)議高度復(fù)用，兼容性強(qiáng)。

基于本文所給出的遠(yuǎn)程運(yùn)維安全設(shè)計(jì)方案，設(shè)計(jì)并開(kāi)發(fā)了繼電保護(hù)設(shè)備及運(yùn)維主站系統(tǒng)，可以有效提升設(shè)備運(yùn)維過(guò)程的安全性，滿足等級(jí)保護(hù)要求。