西电捷通TISec解决方案保障配电网通信安全

引言智能电网是“中国制造2025战略”的重点突破领域。智能电网是一种高度自动化的数字化电网，在开放系统和共享信息模式的基础上，可以无线/有线通信系统、自动控制系统以及分布式智能设备等，实现电网中各部分的协调和实时互动，以达到优化电网的管理和运营目的。作为智能电网的组成部分——配电网，在使用无线通信网络进行“三遥“（遥测、遥信、遥控）管理时，由于无线通信网络的开放性，往往会因此遭受非法用户获取、篡改数据，导致配电网络运行出现故障。通过在配电网引入IP安全可信TISec（Trust of IP Security，简称“TISec”）技术，可以实现安全可信和强有力的身份安全、信息数据安全，从而解决配电网通信及网络安全问题。TISec技术由西电捷通公司研发，它是以三元对等安全架构为基础设计的IP安全可信网络安全协议，兼容IPv4和IPv6网络协议，TISec能够构建安全可信的IP网络，保障基于IP的无线/有线通信安全。

1配电网数据传输安全问题亟待解决

在电力行业，网络安全已成为智能电网、电力信息化系统安全稳定运行的重要基础，建设统一、合理、安全的信息化设施是智能电网系统建设的重要保障。

配电网是智能电网的组成部分，配电网自动化是综合应用现代电子技术、通信技术、计算机技术、网络技术和图形技术与配电设备相结合，将配电系统在正常和事故情况下的“三遥”数据与供电企业的工作管理有机融合在一起的先进技术。

随着无线通信技术发展的日渐成熟，无线通信网络以其覆盖范围广、投资小、实施快、维护方便等优点，较好地满足了配电网远程自动化系统的通信需求，成为配电网自动化通信的基础网络载体。

图1 基于GRPS的配电通信网

如上图1所示，在配电站DTU（Data Transfer unit，简称“DTU”）、FTU（Feeder ，简称“FTU”）通信模块通过GPRS（General Packet Radio Service，简称“GPRS”）网络与配电网控制中心通信，配电网控制中心可对配电站DTU设备实施“三遥”操作。问题是当使用GPRS无线通信网络进行配电网通信时，由于无线通信网络的开放性，网络安全无法保证，虽然在实践中会将配电网GPRS无线通信部分通过APN（Access Point Name，简称“APN”）技术进行分组，与普通GPRS网络进行隔离，但不足以防范网络层的安全威胁。一旦非法用户通过攻击手段获取、篡改配电网数据，由此所造成的威胁将直接导致配电网络运行故障。因此，必须要考虑无线通信数据传输的安全性问题。

2 配电网的安全加固需求

配电网通信指令及数据主要包括开/关指令、诊断信息、维护信息、平台身份信息等，保护电网运作和相关数据流是配电网安全运行的关键。配电网安全问题主要有：终端（DTU、FTU）的安全接入，包括防止仿冒终端和防止仿冒网络；通信数据的安全，包括数据保密通信、防重放、抗抵赖等；针对配电网自动化系统特点及安全性要求，安全加固方案需解决这些问题。当然方案还需考虑可靠性和通信效率。

2.1 接入安全：当采用双向鉴别机制时，需要对所有接入的终端（DTU、FTU）进行身份鉴别，同时接入的终端也要对接入服务器身份进行鉴别，保证合法终端接入合法的配电网络，防止假冒终端接入网络，同时防止合法终端接入假冒服务器中，阻止被“钓鱼”的威胁。

2.2 数据安全：配电网通信及管理数据需通过加密方式传输，保证传输中的数据“看不懂，改不了”。

2.3 双向通信：配电网控制中心和远端需要实现双向通信，并实现安全的“三遥”操作。

2.4 高可靠性：系统不受较强的电磁干扰或噪音干扰影响，能满足长期在恶劣环境工作的考验，整体可靠性高。

2.5 传输效率高：要求安全加固对通信的开销小，具有较高的数据传输效率。

3 配电网引入TISec技术

通过在配电网引入TISec安全技术，在满足国家有关法规制度要求的前提下，实现自主可控、安全可信和强有力的身份安全、信息数据安全等网络及应用安全。TISec技术由西电捷通公司研发，它是以三元对等安全架构为基础设计的IP安全可信网络安全协议，兼容IPv4和IPv6网络协议。TISec可以提供对等身份鉴别、可信连接、IP协议数据机密性、完整性、抗重放及访问控制等安全能力，能够为用户构建安全可信的IP网络，保障网络通信节点之间的IP安全。

图2 TISec协议与网络安全模型

TISec技术是多种技术的组合应用，用以实现IP网络数据传输的安全需求，为网络通信节点之间IP数据通路提供安全保护。如上图所示，TISec作用于网络层（IP层），用以实现网络安全，和其它安全技术共同构建网络空间安全体系。TISec工作在网络层的特性能够满足更多的应用协议安全保护。虽然TISec技术用以提供多种安全服务，但各种安全功能可以独立工作，并可同其它协议叠加使用，TISec在保障通信端点之间的身份安全和IP数据安全的同时，使用数据转交技术为TISec节点构建更为灵活的IP安全可信网络。

4配电网TISec安全加固方案的特点

在配电网自动化系统主站部署符合TISec技术规范的安全接入系统服务器，对远程终端（DTU、FTU）通信模块升级嵌入TISec安全模块。

图3 配电网TISec安全加固方案原理

TISec安全加固方案，解决的终端身份鉴别、安全接入、数据加密传输、双向通信等问题，具有以下特点：

4.1 对网络改动小

TISec服务器的部署，可采用透明桥方式，也可以采用旁路方式。两种部署方式对现网络设备及配置改动较小。

4.2 复用原终端硬件

在不增加终端设备的情况下，可对现有终端（DTU、FTU）通信模块升级固件嵌入TISec安全模块，复用现有硬件，节省资源。

4.3 终端安全接入

提供远程终端（DTU、FTU）和安全接入系统之间的相互身份鉴别功能，移动终端和服务器之间采用三元对等鉴别技术进行身份鉴别管理。

4.4 数据加密传输

系统从远程终端（DTU、FTU）到服务器之间的数据进行加密传输，采用国家密码管理局规定的分组密码算法对应用数据包进行加密。

4.5 数据完整性保护

可检测和发现数据在公网传输过程中是否被修改，对传输的信息内容进行完整性保护。

4.6 抵抗网络攻击

每个数据包拥有一个唯一的序列号，以及完整性保护机制，两者一起可抵抗重放攻击；和包过滤防火墙配合可抵抗来自公网的IP层以上（包括应用层）的各种攻击。

4.7 双向安全通信

通过TISec安全技术实现的安全通道，可进行双向采集数据传输和网络通信。

4.8 系统稳定可靠

主站的系统服务器支持双系统热备，可防止各种意外导致的服务中断问题。从站终端采用低功耗嵌入式系统设计，数据加密传输，支持有线/无线等多种通信方式。

4.9 适用IP网络

系统方案不仅满足无线通信网络环境下的安全加固，对于采用有线网络如铜缆、光纤等方式的IP网络同样支持。

5配电网TISec安全加固方案通过国家安全检测

配电网TISec安全加固方案通过了国家权威部门的安全性检测，包括了账户管理、分发授权、串口通信、异常恢复、访问控制、安全传输、安全审计等安全测试项目，重点进行了协议安全性分析、抗重放攻击测试、脆弱性检测。具体如下：

5.1 协议安全性分析

通过安全分析工具和渗透测试代码，对注册包修改、鉴别包伪造、身份证书伪造、密文字段修改、仿冒客户端鉴别等项目进行了检测，测试结果达到预期。

5.2 抗重放攻击测试

通过修改数据报文、修改中间加密字段、修改校验字段、数据报文重放、伪造数据传输、剩余重放等项目进行了检测，测试结果达到预期。

5.3 脆弱性检测

通过模拟主站分别下发“遥控选择合”和“遥控执行合”指令、“遥控选择分”、“遥控执行分”指令给终端（DTU、FTU），抓取网络数据包分析和修改测试，检测了指令的保密性、指令的完整性、重放和超时攻击、协议数据Fuzz（模糊），测试结果确认TISec可以对指令数据的完整性进行有效保护，具有防止篡改的功能，可以检测并丢弃中间人篡改的指令，可以检测出重放和超时错误，可以识别丢弃畸形报文而不产生错误和异常，达到预期安全目标。

6总结

配电网TISec安全加固方案符合三元对等实体鉴别国家标准（GB/T 15843.3-2016），三元对等实体鉴别国际标准（ISO/IEC 9798-3）、三元对等访问控制国家标准（GB/T 28455-2012），并且通过了权威部门的安全检测。该方案系统部署对网络改动较小、原终端（DTU、FTU）通信模块硬件可复用，具有安全接入、加密传输、通信数据完整性保护及抗重放攻击等特点，整体安全性高，能够满足智能电网和配电网IP网络环境，无线/有线通信网络环境下远程移动安全接入及通信安全传输和安全加固需求。