一種配電SCADA通信安全防護系統的設計*

康榮保，張 曉，張旭博

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

電力網是由電力系統中各種電壓的變電所及輸配電線路組成的統一體，可以分為輸電網和配電網。電力SCADA（Supervisory Control and Data Acquisition）系統即電力數據采集與監視控制系統，應用于電力生產與控制，是電力監視、調度自動化的基礎。電力SCADA系統主要由一系列的遠方終端單元和中心控制主站系統組成。遠方終端收集數據，并通過通信系統回送反饋數據給主站；主站分析處理收到的數據，并允許操作員執行遠程控制任務[1]。電力SCADA系統分為輸電網SCADA（TSCADA）系統和配電網SCADA系統（DSCADA）。配電SCADA系統是配電自動化系統（DAS）的底層核心。由于它的通信規約、通信信道存在安全缺陷，導致配電自動化系統存在惡意攻擊安全風險。

1 配電SCADA通信安全威脅分析

1.1 配電SCADA系統

配電網自動化系統是實現配電網的運行監視和控制的自動化系統，具備配電SCADA、饋線自動化、電網分析應用及與相關應用系統互連等功能，主要由配電主站、配電終端、配電子站（可選）和通信網絡等部分組成，如圖1所示。

圖1 配電自動化系統組成

配電自動化系統主站設備位于供電局控制中心。配電子站設備屬于電力監控系統站級設備，一般位于變電站、開關站以及換流站內。配電終端設備多位于箱式變電站、配電室、電線桿以及電線柱等環境，與強電設備直接連接，包括FTU（饋線終端設備）、TTU（配變終端設備）和DTU（開閉所終端設備）等。

配電通信網絡作為配電管理系統，是對處于配電網上的設備進行遠方實時監視、協調及控制的主要通道，包括專用通信網絡和公用通信網絡。專用通信網絡可以采用多種通信方式，如光纖通信、一點多址微波、無線電通信、電力線載波和屏蔽層載波等；不具備專網條件的可采用公用通信網絡，如 GPRS、CDMA、TD-SCDMA、ADSL和 無 線 局域網等[2]。配電通信網絡主要傳輸配電網SCADA系統發送的數據，包括數據采集（遙測YC、遙信YX）、報警、狀態監視、遙控（YK）和遙調（YT）等數據。

通信規約是通信功能實現的基礎，是配電子站、終端和配電主站信息交換的接口。目前，我國配電SCADA系統主要采用電力行業標準DL/T634.5101-2002（等同采用IEC頒布的IEC60870-5-101）、DL/T634.5104-2002（等同采用IEC頒布的IEC60870-5-104）。

1.2 配電SCADA系統通信安全分析

配電SCADA系統通信在通信規約、通信信道等方面存在安全風險，如圖2所示。

圖2 配電SCADA通信安全威脅

配電網SCADA系統通信規約（IEC60870-5-101、104等）沒有對報文做機密性保護，只采用了簡單的校驗算法進行數據報文的校驗，造成配電網SCADA通信規約報文傳輸過程中存在被監聽、篡改、偽造和重放等安全威脅。

配電通信方式（光纖環網、工業以太網、公用無線通信網（3G、GPRS等）、數傳電臺等）采用明文傳輸，且未進行認證處理，存在被通信劫持、監聽和篡改等安全風險。此外，配電子站、配電終端一般位于無人值守變電站或室外開閉所、環網柜和電線柱等環境下，為惡意者物理接觸攻擊接入提供了條件。

2 配電SCADA通信安全防護系統設計

配電SCADA通信安全防護系統用于配電網自動化SCADA通信規約內容的安全性保護，主要采用消息報文加密、消息報文鑒別、完整性校驗和入侵檢測告警等安全機制，以解決配電網SCADA通信規約報文傳輸過程中存在被監聽、篡改、偽造和重放等安全威脅。

配電網SCADA通信安全防護系統主要功能包括以下幾點：

（1）保證配電網SCADA系統消息的機密性、完整性和可認證性；

（2）能夠快速檢測到配電網SCADA系統中的異常狀態；

（3）安全防護系統對原配電網SCADA系統通信的影響小；

（4）安全防護設備可管理、可認證、可監控。

2.1 安全設計

2.1.1 安全機制

配電SCADA通信安全處理針對SCADA端到端通信加載相應的安全設備[3]來進行協議安全處理，如圖3所示。

圖3 配電SCADA安全通信過程

配電SCADA通信安全防護系統主要采用消息報文加密、消息報文鑒別、完整性校驗和線路異常監測告警等安全機制。

（1）報文加密。使用對稱密碼算法（如SM1算法）對SCADA協議報文進行加密，保證SCADA系統協議消息的機密性，防止攻擊者對消息的非授權獲取。

（2）報文鑒別與校驗。采用報文隨機數序列號與數字簽名機制，實現SCADA系統協議消息一次傳遞單向鑒別機制，保證SCADA系統協議消息的可鑒別性和完整性，防止針對SCADA協議消息的重放、篡改和偽造等安全威脅。

（3）異常報文過濾機制。安全防護設備通過消息報文認證和數據加密機制，能夠有效檢測和抵抗SCADA消息報文非授權獲取、偽造、篡改和重放攻擊。如果檢測出上述攻擊行為，將這類報文定為異常報文進行過濾丟棄，不繼續向配電網SCADA系統設備進行轉發。

（4）使用線路異常監測告警機制。配電網SCADA系統設備（FTU、RTU等）常常位于野外電線桿、鐵路沿線以及機場附近等無人值守環境，如果入侵者從安全防護設備與配電網SCADA系統專業設備單元之間接入進行破壞，電力安全防護設備將無法認證配電SCADA設備的真實性。采用線路異常監測告警機制，實時監測配電SCADA設備與安全防護設備之間的線路狀態，發現線路異常后，安全防護設備將產生線路異常告警信息。

2.1.2 安全報文

配電SCADA安全報文包括認證報文和加密認證報文兩種。

配電SCADA通信規約認證報文增加序列號（或時間戳、隨機數）和數字簽名字段，以應對報文完整性檢驗、重放攻擊檢驗和報文源身份認證。報文格式如圖4所示。

圖4 SCADA通信規約認證報文

配電SCADA通信規約認證加密報文主要包括安全報文頭部、安全報文內容區域和安全報文尾部等三個部分。報文格式如圖5所示。

圖5 SCADA通信規約加密認證報文

以DL/T 634.5101-2002協議為例進行安全設計。根據業務報文的特點，可對業務報文進行分類處理。DL/T 634.5101-2002協議的報文分為固定幀和可變長幀，固定幀為1個或5個字節，可變長幀中的幀長字段長度為1個字節，說明可變長幀的最大長度不會超過256字節，如圖6所示[4]。

圖6 DL/T 634.5101-2002報文格式

固定長幀主要是鏈路維持信息，可不做安全處理。可變長幀（包括總召喚、遙測、遙信、遙控和遙調等報文）可根據業務安全性要求進行分類處理，如總召喚報文、遙測和遙信報文可進行簽名認證處理；遙控和遙調類報文可進行加密認證處理。加密認證安全報文構成，如圖7所示。安全報文內容區域是對IEC60870-5-101協議報文使用SM1算法加密后的密文。

圖7 IEC60870-5-101加密認證安全報文

2.2 系統組成及功能

配電網SCADA通信安全防護系統由安全管理系統、主站級配電SCADA通信安全防護設備、子站級配電SCADA通信安全防護設備和現場終端級配電SCADA通信安全防護設備等4部分組成，如圖8所示。

圖8 配電網SCADA通信安全防護系統組成

安全管理系統主要負責密鑰管理、安全設備管理和配電SCADA通信異常監控等。擔負配電網SCADA通信安全防護系統的密鑰管理，負責安全防護系統密鑰的產生、分發、存儲和銷毀等工作；對主站級配電網SCADA通信安全防護設備、子站級配電網SCADA通信安全防護設備和現場終端級安全防護設備進行管理，具有設備注冊、狀態查詢、認證和工作狀態顯示等功能；負責接收安全防護設備產生的線路異常告警消息和入侵告警消息，顯示配電網SCADA系統異常工作點。

主站級安全防護設備的主要功能包括：監測主站與其連接狀態，如有異常向安全管理系統報告；對主站/子站發送和接收的消息進行安全處理（認證和加密）；發現異常報文，向安全管理系統發送告警消息；接受安全管理系統的管理（在線狀態查詢、身份認證和安全策略指令（如密鑰更換指令）等）。

子站級安全防護設備的主要功能包括：監測子站與其連接狀態，如有異常向安全管理系統報告；對子站/現場終端發送和接收的消息進行安全處理（認證和加密）；發現異常報文，向安全管理系統發送告警消息；接受安全管理系統的管理（在線狀態查詢、身份認證和安全策略指令（如密鑰更換指令）等）。

現場終端級安全防護設備的主要功能包括：監測現場終端與其連接狀態，如有異常向安全管理系統報告；對現場終端/子站發送和接收的消息進行安全處理（認證和加密）；發現異常報文，向安全管理系統發送告警消息；接受安全管理系統的管理（在線狀態查詢、身份認證和安全策略指令（如密鑰更換指令）等）。

2.3 應用部署

2.3.1 部署位置

安全管理系統和主站級安全防護設備部署于配電自動化主站區域，子站級安全防護設備部署于配電子站區域，終端級安全防護設備部署于終端區域，如圖9所示。

配電SCADA通信安全防護系統部署具體位置如表1所示。

2.3.2 工作模式

安全防護設備的工作模式主要包括“安全模式”和“透傳模式”。安全模式是指安全設備對原配電網SCADA系統消息做加解密、消息鑒別驗證等處理后再進行消息報文轉發。透傳模式指安全設備對原配電網SCADA系統消息不做任何處理而直接進行消息報文轉發。

圖9 安全防護系統部署位置

表1 配電SCADA通信安全防護系統部署位置

2.3.3 部署過程

安全防護設備部署開通，主要是指安全防護設備在不影響原有配電網SCADA系統工作的情況下，從開始接入配電網SCADA網絡到進入“安全處理”工作模式的轉變流程。

配電網環境中，配電網自動化系統設備數量多，分布分散，在安全防護設備實際部署時可能遇到多種情況：

（1）確定好部署方案后，安全防護設備在一段時間內逐步部署，最終完成部署目標。

（2）在配電網環境中，可能只有一部分配電網SCADA系統設備部署安全防護設備，這種就是局部部署問題，如圖10所示。

（3）可能先進行局部部署，一段時間后，又增加部署安全防護設備。

圖10 安全防護設備局部部署

鑒于以上部署情況，在實際部署過程中，將采用從上至下的順序逐級部署安全防護設備（即先部署主站安全防護設備，再部署子站安全防護設備，最后部署現場終端安全防護設備）到配電網SCADA系統的各位置。

3 結 語

本文針對配電SCADA通信存在的安全風險，設計了一種配電SCADA通信安全防護系統。具體地，在原有配電自動化設備上加載安全設備的方式，通過加密認證、異常監測等技術手段，解決配電SCADA通信面臨的通信監聽、篡改、重放和劫持等攻擊威脅。技術原理適用于以安全芯片或安全軟件模塊嵌入配電主站、子站和終端的實現方式，可用于配電SCADA通信安全增強設計參考。

參考文獻：

[1] 饒志宏.工業SCADA系統信息安全技術[M].北京：國防工業出版社,2014.RAO Zhi-hong.Information Security Technology of Industrial SCADA System[M].Beijing：National Defense Industry Press,2014.

[2] 中華人民共和國國家發展和改革委員會.第14號令‘電力監控系統安全防護規定“[EB/OL].(2014-09-01).[2018-01-06].http：//www.ndrc.gov.cn/zcfb/zcfbl/201408/t20140814_622262.html.National Development and Reform Commission of the PRC.Fourteenth order‘The Security Regulations of Power monitoring system“[EB/OL].(2014-09-01)[2018-01-06].http：//www.ndrc.gov.cn/zcfb/zcfbl/201408/t20140814_622262.html.

[3] 蘭昆,饒志宏.基于SCADA系統的工業控制網絡安全服務框架研究[J].信息安全與通信保密 ,2010(03)：47-49.LAN kun,RAO zhi-hong.The Study of Security Service Framework of Industrial Control SCADA System[J].Information Security and Communication Confidentiality,2010(03)：47-49.

[4] DL/T 634.5101-2002基本遠動任務配套標準[S].2002.DL/T 634.5101-2002 Basic Telecontrol Task Matching Standard[S].2002.