隨著智能電網(wǎng)繼電保護技術(shù)的快速發(fā)展和精細化管理要求的不斷提升，設(shè)備數(shù)量日益增多且新技術(shù)被不斷引入。傳統(tǒng)的運維模式人力成本高且效率低下，因而繼電保護設(shè)備遠程運維模式被廣泛應(yīng)用，但隨之而來的敏感信息明文傳輸、用戶身份無法驗證等安全問題也亟待解決。

南京國電南自電網(wǎng)自動化有限公司的湯成俊、李洪池、劉文彪、紀陵、檀庭方，在2023年第1期《電氣技術(shù)》上撰文，針對繼電保護設(shè)備遠程運維過程中安全防范措施不足的問題，基于IEC 61850的文件服務(wù)，構(gòu)建遠程運維整體安全架構(gòu)，設(shè)計基于國密算法的遠程安全通信、關(guān)鍵操作抗抵賴等技術(shù)，保障整個運維過程的安全性。

國家大力支持智能電網(wǎng)的發(fā)展，信息網(wǎng)絡(luò)在電力系統(tǒng)中的應(yīng)用比重不斷增加。計算機和網(wǎng)絡(luò)給電力系統(tǒng)帶來諸多方便的同時，網(wǎng)絡(luò)安全威脅給國家電力安全帶來不少隱患，構(gòu)建網(wǎng)絡(luò)信息安全的變電站成為日益迫切的需求。

當(dāng)前，設(shè)備本質(zhì)安全方面重功能、輕防護，操作系統(tǒng)和應(yīng)用漏洞多、安全策略缺失，通信協(xié)議健壯性不足、缺乏加密和認證，存在危險服務(wù)和系統(tǒng)未最小化裁剪，操作系統(tǒng)未國產(chǎn)化等問題。在設(shè)備遠程運維安全方面，智能變電站新設(shè)備的廣泛應(yīng)用使站內(nèi)二次設(shè)備的運維工作變得更加復(fù)雜。目前大多數(shù)運維主站系統(tǒng)主要解決功能性問題，在安全方面的考慮相對不足，一旦邊界防護被突破會給整個電網(wǎng)的運行帶來不可估量的損失。

為解決遠程運維過程中的安全問題，本文基于IEC 61850標準的文件服務(wù)，設(shè)計遠程運維統(tǒng)一文件格式，并增加加密、防篡改及基于時間戳的防重放設(shè)計，從安全層面保障遠程運維操作的安全可靠，可有效解決遠程運維過程中的明文傳輸、身份校驗等問題。

1 繼電保護遠程運維

繼電保護遠程運維系統(tǒng)主要由繼電保護遠程運維主站、智能錄波器及繼電保護裝置組成。繼電保護遠程運維功能主要包括智能巡視、智能定檢、軟件備份升級、裝置及進程重啟、IP及路由信息配置、業(yè)務(wù)增量配置、控制操作等。

然而，考慮到繼電保護裝置的重要性及遠方操作的安全性，定值、壓板等遠方操作功能的使用仍較為謹慎，遠程運維主要停留在監(jiān)視階段。網(wǎng)絡(luò)安全方面，安全策略缺失，通信協(xié)議健壯性不足、缺乏加密和認證，運維的安全性無法得到保障。

1.1 定檢周期遠方運維

定檢周期遠方運維主要包括：

1）支持自動定檢和人工定檢。

2）分類配置，定檢項目按常規(guī)站和智能站、智能電子設(shè)備（intelligent electronic device, IED）類型定制差異化定檢項目表單；對各定檢項目確定部檢完成判據(jù)。

3）支持人工設(shè)置定檢周期，并在每個自動定檢項目對應(yīng)的定檢完成判據(jù)滿足時自動重置該項目的定檢周期，默認重置周期為三年，定檢完成判據(jù)不滿足或定檢周期到達時給出需要人工定檢的結(jié)果，由人工定檢確認后重置該項目的定檢周期。

4）增加定檢周期遠方運維功能，定檢周期分為部檢周期和全檢周期，可由主站下發(fā)。

1.2 智能巡視

智能巡視主要包括巡視項和巡視時間配置；巡視項、自動巡視啟動時間和自動巡視間隔時間可由主站遠方運維。

1.3 巡視模型遠程運維

巡視模型可以在主站側(cè)完成修改，通過IEC 61850文件服務(wù)將巡視模型下發(fā)到智能錄波器，智能錄波器通過安全校驗后更新本地巡視模型并重啟巡視服務(wù)，主要包括巡視基準值遠方運維、同源比對門檻值遠方運維、各個IED巡視點遠方運維。

1.4 增量配置遠方運維

當(dāng)現(xiàn)場有改擴建需求時，用戶提供新的系統(tǒng)配置描述（system configuration description, SCD）文件，服務(wù)人員根據(jù)新的SCD離線做好配置（包括庫和畫面），將增量配置導(dǎo)出為文件格式，通過IEC 61850文件服務(wù)下發(fā)智能錄波器，智能錄波器解析增量配置文件，將增量配置固化到數(shù)據(jù)庫中，最后重啟裝置。

1.5 路由、IP信息遠方運維

主站通過IEC 61850文件服務(wù)下發(fā)IP和路由信息文件，智能錄波器通過安全校核后，根據(jù)文件修改IP和路由信息。

1.6 遠方重啟

遠方重啟裝置和遠方重啟進程。

1.7 軟件升級及備份

主站通過IEC 61850文件服務(wù)下發(fā)軟件升級命令，智能錄波器通過安全校核后，對目標軟件進行升級。主站通過IEC 61850文件服務(wù)下發(fā)軟件備份命令，智能錄波器通過安全校核后，對核心軟件進行備份并上傳至主站。

1.8 遠方操作

遠方操作主要包括投退壓板、修改定值、遙控、切換定值區(qū)等。

2 遠程運維安全設(shè)計方案

2.1 系統(tǒng)架構(gòu)設(shè)計

繼電保護可信安全遠程運維總體架構(gòu)主要由繼電保護遠程運維主站、智能錄波器及繼電保護裝置組成，本文主要研究構(gòu)建繼電保護遠程運維主站對智能錄波器實現(xiàn)遠程運維。

其中，繼電保護運維主站采用基于可信技術(shù)的底層硬件及操作系統(tǒng)，搭建數(shù)據(jù)分析處理平臺實現(xiàn)用戶管理、命令控制、配置更新、遠程升級及日志審計等功能；智能錄波器也采用基于可信技術(shù)的底層硬件及操作系統(tǒng)，實現(xiàn)主站下發(fā)的遠程運維業(yè)務(wù)功能并將命名轉(zhuǎn)發(fā)給保護裝置。

主站和智能錄波器之間基于既有的IEC 61850通信模式，使用文件的方式進行遠程運維命令交互，同時對運維文件進行加密、防重放及數(shù)字簽名操作，以保證運維過程的安全可靠。

該架構(gòu)通過可信技術(shù)保障設(shè)備的本質(zhì)安全，同時在進行巡視模型和增量配置遠程運維時，運用加密、防重放、數(shù)字簽名技術(shù)，有效地保障了遠程運維的安全性；在此基礎(chǔ)上，可以有效降低用戶及工程服務(wù)人員到變電站現(xiàn)場進行更新升級的成本，顯著提高運維效率。

2.2 業(yè)務(wù)流程設(shè)計

遠程運維業(yè)務(wù)的執(zhí)行主要是在遠程運維主站進行用戶登錄并進行雙因子及用戶權(quán)限校驗，校驗正確后對該業(yè)務(wù)操作增加時間戳、數(shù)字證書簽名及基于國密算法的加密形成運維文件，運維文件由IEC 61850文件服務(wù)發(fā)送給智能錄波器，智能錄波器收到運維文件后進行解密、數(shù)字證書驗簽及防重放驗證，通過后解析該運維文件的具體內(nèi)容并執(zhí)行相應(yīng)的命令，之后將結(jié)果返回，整個過程都需有審計日志記錄以保證操作過程可回溯。

2.3 主子站通信設(shè)計

智能錄波器遠程運維關(guān)鍵技術(shù)包括通信架構(gòu)設(shè)計[10]、通信鏈路設(shè)計、通信安全保障、遠程運維文件設(shè)計及自主可控通信協(xié)議等。遠程運維主站和智能錄波器基于可信的底層硬件和操作系統(tǒng)，通信采用基于IEC 61850的文件服務(wù)，其中運維文件基于國密算法的數(shù)字簽名及加密進行設(shè)計。

智能錄波器和繼電保護裝置之間可探索采用自主可控制造報文規(guī)范（manufacturing massage specification, MMS）替代協(xié)議進行試點應(yīng)用。

其中，智能錄波器和主站之間的鏈路設(shè)計沿用IEC 61850通信鏈路，遠程運維命令通過文件服務(wù)下發(fā)至智能錄波器；運維文件包括需要執(zhí)行的操作命名類型、下發(fā)時間、數(shù)字簽名值、執(zhí)行結(jié)果等信息。

其中，數(shù)字簽名值用于通信雙方根據(jù)公鑰和私鑰證書進行雙向防篡改及身份認證；命令的下發(fā)時間，用于通過時間戳校驗來防止重放攻擊；最后通過國密加密算法對整個運維文件內(nèi)容進行加密，防止重要操作被明文攻擊。

2.4 遠程運維操作抗抵賴設(shè)計

1）抗抵賴證書生成

需要在安裝了gmssl的機器上生成公私鑰證書，生成步驟如下。

（1）生成密鑰

gmssl genpkey -algorithm EC -pkeyopt ec_ paramgen_curve:sm2p256v1 -pkeyopt ec_param_enc: named_curve -out skey.pem

（2）生成CA證書

gmssl req -new -x509 -key skey.pem -out cacert. pem

（3）生成用戶證書請求

gmssl genpkey -algorithm EC -pkeyopt ec_ paramgen_curve:sm2p256v1 -pkeyopt ec_param_enc: named_curve -out user_skey.pem

gmssl req -new -sm3 -key user_skey.pem -out cert.req

（4）生成用戶證書

gmssl ca -in cert.req -out device.cer -keyfile skey.pem -cert cacert.pem -days 3650

（5）生成p12私鑰證書

gmssl pkcs12 -export -in device.cer -inkey skey.pem -out device.p12

2）抗抵賴校驗原理

通過上述步驟生成相應(yīng)的證書，以用戶證書為1.cer，用戶私鑰證書為1.p12，服務(wù)端證書為server. cer，服務(wù)端私鑰證書為server.p12為例說明。

（1）用戶ID為1的用戶在進行遙控操作。

（2）畫面工具根據(jù)用戶ID讀取用戶私鑰證書1.p12，先采用SM3算法計算原始報文的摘要，再使用1.p12私鑰證書用SM2算法對摘要加密生產(chǎn)簽名。

（3）將原始報文和簽名值發(fā)送給服務(wù)端，服務(wù)端根據(jù)用戶ID讀取用戶公鑰證書1.cer，先對原始報文使用SM3算法計算摘要，然后使用1.cer對客戶端發(fā)送的簽名值使用SM2解密生成摘要后和計算的摘要進行比較。

（4）服務(wù)端讀取服務(wù)端的私鑰證書server.p12，采用SM3算法對校驗結(jié)果進行計算摘要，然后使用server.p12私鑰證書用SM2算法對摘要加密生成簽名值，并將原始校驗結(jié)果和簽名值一起發(fā)送給客戶端。

（5）客戶端讀取服務(wù)端公鑰證書server.cer，先采用SM3算法計算校驗結(jié)果的摘要，然后使用server.cer公鑰證書用SM2算法解密服務(wù)端發(fā)送的簽名值，從而得到客戶端計算的摘要，并和客戶端自身計算的摘要進行比較。

3）報文示例

（1）服務(wù)端校驗結(jié)果的原文為68 04 01 00 00 50 31 36 34 36 39 31 33 38 34 30 37 36 38 00 00 00。

（2）服務(wù)端對校驗結(jié)果原文使用SM3算法計算得到摘要值a。

（3）服務(wù)端再用SM2私鑰（server.p12）對摘要值a進行加密，得到的校驗結(jié)果簽名值為4e 5b e4 20 0b 85 6d ed 5c 62 f3 40 5a 6a 47 94 ce c6 65 cb ee 61 d4 78 e2 22 71 14 cb e3 55 35 5f 67 33 48 fc 13 5d be 26 fc 8c 5a 09 2d b8 ac 5c 3e 4e 46 f7 c7 b0 d1 43 28 2e d1 dc 43 e9 f9。

（4）客戶端使用SM2（server.cer）公鑰對步驟（3）中的簽名值進行解密，得到步驟（2）中的摘要值a。

（5）客戶端對接收到的步驟（1）中的原文計算SM3的摘要值b，驗證a與b的值，如果a=b則抗抵賴校驗成功，否則抗抵賴校驗失敗。

3 工程應(yīng)用

現(xiàn)場實施過程中智能錄波器沿用主子站IEC 61850的通信鏈路，保信子站沿用主子站103的通信鏈路，遠程運維命令通過文件服務(wù)下發(fā)至智能錄波器或保信子站，實施過程中不需要增加新的通信協(xié)議，不產(chǎn)生新的通信端口，可以和原通信協(xié)議高度復(fù)用，兼容性強。主站基于三權(quán)分立原則進行設(shè)計，用戶的登錄采用雙因子認證技術(shù)，所有的運維操作都記錄審計日志，可進行溯源追蹤。同時，對運維文件進行加密、簽名及防重放設(shè)計，保障運維過程的安全。

以現(xiàn)場有改擴建需求為例，用戶提供了新的SCD文件，服務(wù)人員根據(jù)新的SCD離線做好配置（包括配置庫和畫面），將增量配置導(dǎo)出為文件格式，并生成加密遠程運維格式文件。通過遠程運維主站可以直接下發(fā)至智能錄波器，接收到配置更新指令后智能錄波器可以自動解析并校驗文件，實現(xiàn)SCD文件的導(dǎo)庫更新工作，可以大大提高工作效率，且不需要用戶或工程服務(wù)人員到現(xiàn)場實施，節(jié)省了人力和時間成本，也可以滿足現(xiàn)場的安全防護要求。

4 結(jié)論

本文根據(jù)繼電保護遠程運維對于網(wǎng)絡(luò)安全的要求，基于IEC 61850文件服務(wù)，設(shè)計了主子站通信方案、遠程運維操作文件，并從通信層面設(shè)計了加密、防重放攻擊及抗抵賴校驗機制。可以沿用智能錄波器和主站之間的IEC 61850通信鏈路，不增加新的協(xié)議，不產(chǎn)生新的通信端口，可以和原通信協(xié)議高度復(fù)用，兼容性強。

基于本文所給出的遠程運維安全設(shè)計方案，設(shè)計并開發(fā)了繼電保護設(shè)備及運維主站系統(tǒng)，可以有效提升設(shè)備運維過程的安全性，滿足等級保護要求。