IEC 61850安全性分析及解決方案研究.pdf

1、IEC61850通信協(xié)議體系是國(guó)際電工委員會(huì)在電力行業(yè)制定的國(guó)際通信標(biāo)準(zhǔn)，它作為基于通用網(wǎng)絡(luò)通信平臺(tái)的變電站自動(dòng)化系統(tǒng)唯一國(guó)際標(biāo)準(zhǔn)，現(xiàn)在在各國(guó)電力行業(yè)獲得了廣泛的使用，我國(guó)也已經(jīng)把該標(biāo)準(zhǔn)采納為電力行業(yè)標(biāo)準(zhǔn)。但I(xiàn)EC61850在安全性方面沒(méi)有做出相應(yīng)的規(guī)范，使得該標(biāo)準(zhǔn)不能保證通信雙方的數(shù)據(jù)機(jī)密性、完整性，而且還不能進(jìn)行身份認(rèn)證。近年來(lái)，如何保證電力系統(tǒng)的網(wǎng)絡(luò)安全，已經(jīng)成為一個(gè)熱點(diǎn)課題。
　　本文為了解決IEC61850的安全問(wèn)題，考

2、慮在應(yīng)用層和傳輸層之間增加恢復(fù)連接握手協(xié)議和SSL記錄協(xié)議，并且為了適應(yīng)電力系統(tǒng)對(duì)于實(shí)時(shí)性的要求，對(duì)握手協(xié)議做了很大的改進(jìn)，使之能夠滿足實(shí)時(shí)性的要求，而且相對(duì)于傳統(tǒng)的握手協(xié)議具有更少的數(shù)據(jù)傳輸量。握手協(xié)議主要是為了協(xié)商在客戶端和服務(wù)器之間需要用到的會(huì)話參數(shù)，這些參數(shù)主要用于完成客戶端和服務(wù)器端的身份認(rèn)證，以及通信時(shí)所需的密碼方法和加密密鑰。傳統(tǒng)意義上的握手協(xié)議在客戶端和服務(wù)器之間協(xié)商會(huì)話參數(shù)的時(shí)候需要很長(zhǎng)的時(shí)間，而且增加了很多流量，這顯

3、然不能滿足電力系統(tǒng)高實(shí)時(shí)性的要求，于是本文采用了一種快速連接的方式，也就是恢復(fù)連接握手協(xié)議。恢復(fù)連接握手協(xié)議在雙方建立連接的時(shí)候并不是每次都會(huì)建立一個(gè)新的會(huì)話，而是在認(rèn)證后的一段時(shí)間內(nèi)，采用恢復(fù)會(huì)話方式取代建立一個(gè)新的會(huì)話。SSL記錄協(xié)議則是在通信雙方完成握手過(guò)程以后，利用協(xié)商出的會(huì)話參數(shù)來(lái)對(duì)數(shù)據(jù)進(jìn)行傳送，同時(shí)必須保證數(shù)據(jù)的機(jī)密性和完整性。
　　本文對(duì)IEC61850進(jìn)行了詳細(xì)的介紹，分析了該通信標(biāo)準(zhǔn)所面臨的安全問(wèn)題，并且分析了為

4、什么會(huì)產(chǎn)生這些安全問(wèn)題。然后描述了IEC61850對(duì)傳輸時(shí)間的定義，根據(jù)對(duì)傳輸時(shí)間的不同需求，該通信標(biāo)準(zhǔn)將變電站進(jìn)行通信的報(bào)文分為了七個(gè)類型，并且對(duì)每一種類型的報(bào)文都做了詳細(xì)的描述。IEC61850將這種七種報(bào)文又劃分成了不同的服務(wù)類型，本文介紹了三類常用的通信服務(wù)：SV服務(wù)、GOOSE服務(wù)和MMS服務(wù)，這三類服務(wù)對(duì)于傳輸時(shí)間和安全性都有不同的需求。
　　本文利用OpenSSL開(kāi)源軟件開(kāi)發(fā)包對(duì)于本文提出的解決方案進(jìn)行了詳細(xì)的設(shè)計(jì)和