赵清林，丁 伟

（1.内蒙古电力（集团）有限责任公司 鄂尔多斯电业局，内蒙古 鄂尔多斯 017200；2.华北电力大学 电气与电子工程学院，北京102206）

面向智能变电站的安全防护技术研究

赵清林1，丁 伟2

（1.内蒙古电力（集团）有限责任公司 鄂尔多斯电业局，内蒙古 鄂尔多斯 017200；2.华北电力大学 电气与电子工程学院，北京102206）

针对智能变电站系统的特点及其存在的安全风险，从系统的访问控制、通信数据加密以及数据容灾3个方面对智能变电站系统安全防护技术进行研究，分别采用结合信任管理的动态访问控制模型，一时一密数据加密传输方案和基于持续数据保护（Continuous Data Protection，CDP）技术的数据容灾系统，有效地防止权限提升威胁和避免网络欺诈，增强了数据传输的安全性，提高了智能变电站系统抵御灾难和防范系统故障的能力。

智能变电站系统；安全防护；访问控制；数据加密；数据容灾

智能变电站系统是智能电网的重要组成部分，承载了变电设备状态监测、电网运行数据及相关信息的实时采集以及变电设备的自动控制等任务。其作为各种控制行为的最终执行者，为电力自动化系统提供了可靠的数据来源。因此，智能变电站系统的安全必须得到切实保障。一旦有任何第三方侵入变电站系统，对变电站实时数据进行拦截、篡改或伪造，都有可能造成继电保护系统和各种开关装置的误动、拒动，进而严重威胁智能变电站系统的安全稳定运行，甚至导致发生多重故障或连锁性故障所引起的大面积停电事故[1-2]。

目前国内尚未针对智能变电站系统制定明确的信息安全标准。大多数智能变电站系统只是依据电力二次系统安全防护方案所提出的“安全分区、网络专用、横向隔离、纵向认证”原则进行相应部署[3-5]。

为保证智能变电站系统的稳定运行，确保信息安全，从系统的访问控制、数据加密以及数据容灾3个方面设计了智能变电站网络系统安全防护方案。该技术方案针对智能变电站系统面临的安全风险，采用了结合信任管理的动态访问控制、一时一密的数据加密传输和基于CDP技术的数据容灾方案，确保智能变电站的安全运行和业务数据的安全可靠，进而实现安全防护水平的整体提升，为智能变电站的管理提供了强有力的安全防护支撑。

1 智能变电站系统架构及安全风险分析

1.1 系统架构

智能变电站系统从逻辑上可以分为站控层、间隔层和过程层[6-7]。其中站控层主要由站内监控系统、保护信息子站系统、五防系统，远动系统和报文检测系统构成，其主要功能是通过间隔层对智能变电站的整体实时运行情况进行全方位的掌控和控制，进行信息收集存储、计算分析以及与其他调度中心联系；间隔层设备一般指继电保护装置、测控装置等二次设备，主要包括测控装置、故障录波、计量装置、录波装置、备用电源等，作为智能变电站系统承上启下的重要组成部分，其功能为一次设备的保护控制、实时信息汇总、操作闭锁和优先级控制；过程层包含由一次设备和智能组件构成的智能设备、合并单元和智能采集终端等，主要完成变电站实时电气量的测量及运行设备的状态参数检测，操作控制的执行与驱动等相关功能[8]。

智能变电站系统通信网络以快速的以太网多播报文为基础，主要包括站控层网络和过程层网络。网络中主要包括采样值（Sample Value，SV）服务和通用的面向对象的变电站事件 （Generic Object Oriented Substation Event，GOOSE）服务。SV服务主要用于将一次设备采集到的大量模拟量信息上传。GOOSE服务主要用于传输开关量信息，包括跳闸保护命令和设备联闭锁信息等，实现保护之间信息交换和监控间隔联闭锁功能。

1.2 安全风险分析

智能变电站通信系统及传输数据的安全防护，是保证智能变电站乃至智能电网安全可靠稳定运行的关键。随着工业以太网在智能变电站中的广泛应用，使得智能变电站正面临着TCP/IP协议带来的更大的安全威胁[9]。该协议的缺点包括：1）明文传输，导致远动的遥测、遥信、遥控信息以及电量信息很容易被截获或篡改；2）缺乏认证机制，使得非法访问变电站系统、中断系统、冒充重放虚假命令均成为可能。

智能变电站系统的安全威胁不仅来自变电站所连接的外部网络，而且与其内部的组网方式密切相关。其所面临的安全威胁主要包括:

1）截获。非法获取智能变电站系统内部下发的指令信息或与其他系统之间的交互信息。

2）中断。切断变电站与其他电力系统之间的通信或干扰变电站内部的指令执行，导致调度主站无法了解变电站的运行工况，各种控制命令也无法正确下达执行。

3）篡改。非法更改变电站内遥控、遥调和保护装置及其他自动装置的整定值信息或变电站与其他系统之间传输的信息，导致变电站系统内部崩溃或使调度主站获得错误的运行状况。

4）权限提升威胁。非法用户利用智能变电站普遍缺乏有效身份认证和授权机制的缺陷，在变电站系统上跨权限执行非法指令，以及绕过五防系统非法执行指令，导致站内系统瘫痪，甚至引起连锁事故。

2 智能变电站系统安全防护方案

智能变电站系统是涉及多种通信信道、多个网络区域、多个应用层面的业务管理与控制系统，对安全性具有极高的要求。尤其是数据采集、数据处理、数据分析、数据展示、设备管理、系统管理等功能，涉及到整个智能变电站系统乃至智能电网的运行安全。为了提升智能变电站网络系统的整体安全防护水平，针对智能变电站的信息安全风险，需要从系统的各个层面和角度进行综合的考虑。

传统的安全防护方案主要包括安全分区、部署防火墙、部署入侵检测系统等措施，然而随着智能变电站建设的推进，仅仅依靠这些防护措施已不能保证智能变电站系统的安全运行。为防止非法终端侵入站内网络，从而影响变电站系统的安全，甚至电力调度网络的正常工作，在传统安全防护措施的基础上，文中提出从系统的访问控制、通信数据加密以及数据容灾3个方面对智能变电站系统安全防护进行研究。

2.1 访问控制

访问控制用来避免变电站系统内部各种资源被不可识别的系统和未授权的用户使用[10]。几乎所有的变电站运行都需要某种策略来实现节点间的安全交互，从而保证智能变电站系统安全、有效、正确地运行。为此，文中采用一种结合信任管理的动态访问控制模型，将终端的安全状况考虑在内，同时结合信任管理技术，动态调整访问控制策略，有效地防止权限提升威胁和避免网络欺诈。

图1为动态访问控制的具体流程：

1）用户在登录端提交用户名、密码等帐户信息；

2）智能变电站通信系统将账户信息转发给账户审核模块，然后调用用户资料库进行审核，若账户信息合法，则返回资源列表，否则，返回错误信息；

3）审核通过后，智能变电站系统的访问控制模块采用基于挑战应答的数字证书验证机制对用户的USB KEY和系统密码机进行身份合法性验证；

4）身份验证通过后，向角色映射模块提交请求，角色映射模块调用角色库返回角色信息；

5）访问控制模块将角色信息以及用户提交的安全状况信息转发给角色激活模块，进而由信任评估模块计算出用户终端的信任度[11]，角色激活模块根据返回结果首先判断用户登陆系统的信任度是否满足智能变电站系统规定的阈值要求，若满足，则激活用户角色，并将结果返回给访问控制模块，否则返回权限不足；

6）访问控制模块根据激活信息向用户返回相应的应用资源，用户对智能变电站系统进行信息配置等操作。

图1 结合信任管理的动态访问控制模型

2.2 数据加密

智能变电站系统中很多通信数据有很高的敏感度，大部分数据都是采用明文的形式进行传输。这样的通信方式给智能变电站的安全带来了极大的威胁，为此文中采用一时一密的加密传输机制，能够极大的保护原始数据的机密性和完整性[12]。

在一时一密的加密传输机制中，所有终端和主站既不保存密钥，也没有固定的密钥。为了便于管理，采用集中式的密钥管理方式，即由密钥分配中心（Key Distribution Center，KDC）负责密钥的生成、分配和销毁。主站根据变电站系统的安全状况，每隔一段时间向KDC请求分发密钥。由密钥生成器生成一个随机密钥，然后通过安全信道送到终端，从而使双方能够进行加密通信。

智能变电站系统多采用UDP协议进行通信，为此只需要在主站端和终端分别加入加、解密模块，即可实现一时一密的加密传输机制。文中数据加密是在主站端和终端已经相互认证成功的基础上进行的，图2为数据加密传输的具体过程。

1）随机密钥的生成。密钥生成器接收到主站的请求后，将密钥队列的第一个随机密钥发到主站，然后根据主站端的定时参数再生成一个随机密钥加到队尾，以此降低密钥分发的时延。

2）随机密钥的分发。随机密钥使用私钥进行加密，同时加上摘要，降低随机密钥被截获或篡改的风险，保证密钥传输的安全性和完整性；

3）密钥的检查。终端收到主站通过安全通道发来的随机密钥和摘要后，要进行密钥完整性检查。如果出现差错，则丢弃密钥；若完整无误，则说明密钥有效，发送密钥启动标志字；

4）加密传输。通信双方确认该密钥的使用后，使用该密钥进行数据的加密传输。

图2 数据加密

在上述加密传输过程中，将对称加密算法应用于大量用户数据的加密，避免影响生产控制信息的实时性要求。将非对称加密算法用于通信双方的认证和加密传输对称密码密钥等数据量小且安全性要求高的数据加密，其公用体制可以有效地避免密钥在传输过程中的问题，提高其安全性。

2.3 数据容灾

数据的备份存储和容灾恢复是智能变电站系统不可缺少的一部分。传统的数据容灾系统中，为了避免系统故障和数据丢失，主要有两种方案：1）采用数据复制、备份、恢复等数据保护技术，定时地进行数据备份和复制，然而周期性备份数据仍然存在着恢复时间点少、恢复周期长、数据丢失量大和对智能变电站运行系统影响大等问题；2）利用高速的存储区域网络（Storage Area Network，SAN）建立异地容灾系统，由于SAN的结构允许任何服务器连接到任何存储阵列，不管数据存放在何处，服务器都可直接存取所需的数据。然而其高成本、复杂性的问题，限制了其发展和应用[13]。

CDP通过无缝恢复技术实现在故障瞬间完成对任何时间点数据的快速恢复，从而保证业务的连续性，从根本上解决传统备份方法恢复能力低和恢复时间点不准确的不足[14-15]。CDP可以为智能变电站系统提供足够密的恢复时间戳，能够有效地降低数据丢失量和数据恢复时间。系统管理者无须关注数据的备份过程（因为CDP系统会不断监测关键数据的变化，从而不断地自动实现数据的保护），而是仅仅当灾难发生后，简单地选择需要恢复到的时间点即可实现数据的快速恢复。

为了保证智能变电站系统的安全性，防止系统故障或灾难发生，利用CDP技术将数据保护放置在远程，建立起更为强大的异地容灾系统。只需在变电站系统主站和异地容灾站点分别部署一台CDP服务器，利用其块级精简复制功能，即可在异地容灾站点获得主站端所有时间点的数据。其基本架构如图3所示。

1）主站端把CDP服务器接入到以太网中，将生产数据镜像到CDP服务器中，并通过以太网进行管理。在系统主站端，CDP服务器通过旁路接入到变电站网络中，不会影响现有的网络拓扑结构，而且通过镜像备份方式将数据映射到CDP服务器，也不会干扰变电站系统的正常运行；

2）主站端CDP服务器利用精简带宽复制技术，将生产运行等数据传输到异地容灾站点端的CDP服务器。独特的基于扇区的检测和传输机制将传输的最小数据单元缩小到512字节，使得极低的带宽能承载大量的数据，大大节省了带宽，降低了异地容灾的成本；

3）异地容灾站点的CDP服务器接收来自主站端CDP镜像过来的数据后，可直接进行磁带出库，置放到符合保存条件的防磁，防潮，恒温环境中进行长时间保存。由于主站端和容灾站点的两个CDP服务器都配置255份历史快照，可轻松实现容灾站点多历史点的保护。

上述容灾机制采取了多时间点连续自动快照技术，即利用快照缓存，对于时间点变化之后的数据块，将其处在原始时间戳的数据进行保存，如果需要该数据则系统直接退回到该时间点即可，可快速轻松地实现历史数据的瞬间恢复，从而保证数据恢复、查询等工作的快速运行。

CDP技术的使用可以实现系统数据的实时快速恢复，使用户利用非常有限的投入，就能保证智能变电站系统获得完善可靠的灾备性能，全方位地将智能变电站系统置于严密的保护之下，降低系统故障或其他自然灾难带来的风险。

图3 基于CDP的异地容灾系统

3 结束语

通过对智能变电站系统所面临的安全问题进行详尽分析，得出其正面临着截获、中断、篡改和权限提升等威胁。为此，从智能变电站系统的访问控制、数据加密和数据容灾3个方面对智能变电站的安全防护进行研究，从而降低其安全风险，保证智能变电站的正常运行。该保护方案已在智能变电站系统中试用，具有一定的使用推广价值。本文的创新点主要包括:

1）采用一种结合信任管理的动态访问控制模型，将终端的安全状况考虑在内，同时结合信任管理技术，进行动态的角色分配，有效地防止权限提升威胁和避免网络欺诈。

2）采用一时一密的加密传输方案，使得密钥更新和维护更加方便，不用保存、备份密钥，解决了泄漏密钥吊销销毁难的问题。

3）提出基于CDP技术的异地容灾系统，实现了系统数据的实时快速恢复，增强了智能变电站抵御灾难和防范系统故障的能力。

[1]刘婷.智能变电站信息安全管理方法研究 [D].河北：华北电力大学，2013.

[2]邹春明，郑志千，刘智勇，等.电力二次安全防护技术在工业控制系统中的应用 [J].电网技术，2013，37（11）:236-241.

[3]侯伟宏.数字化变电站系统的可靠性与安全性研究[D].上海：上海交通大学，2010.

[4]莫 峻，谭建成.基于IEC61850的变电站网络安全分析[J].电力系统通信，2009，30（198）:12-16.

[5]王向群，黄治.智能变电站中的通信安全技术[J].电力系统通信，2012，33（238）:70-74.

[6]李涛，杨桂丹.智能变电站二次安全防护系统设计与应用研究[J].电气应用，2013，32（1）:26-29，68.

[7]许勇刚，冯扬，汪爽.智能变电站信息安全防护体系研究[J].电子测量技术，2014，37（6）:135-142.

[8]翟峰，岑炜，赵兵，等.智能变电站系统安全防护技术研究[J].自动化与仪表，2015，3:6-9.

[9]丁国忠.变电站安全风险评估与控制策略研究[D].北京：华北电力大学，2010.

[10]高鹏祥.基于信任和角色的动态访问控制模型的研究和设计[D].天津：天津大学，2014.与应用[J].交通与计算机，2006，24（4）：5-8.

[9]Zhang Y J，Okamura S.New density-independent moisture measurementusing microwave phase shifts at tw o frequencies[J].IEEE Transactions on Instrumenta tio n and Measurement，1999，48（6）: 1208-1211.

[10]李玉忠.微波水分测量技术发展历史及微波水分计制造业现状[J].分析仪器，2006（3）:49-53.

[11]Kim K B ，Kim J H.Measurement of g rain moisture content using microwave attenuation at 10.5 GHz and moisture density[J].IEEE Transactions on Instrumenta tion and Measurement，2002，52（1）:72-77.

[12]Jo hnm O.A history of microw ave heating applications[J].IEEE Transactio ns on Microwave and Techniques，1984，32（9）:1200-1224.

[13]陆静霞.基于电容式传感器的粮食水分测量仪的研究[J].农机化研究，2005（6）:122-123.

[14]翟宝峰，梁清华.检测粮食水分用的电容式传感器[J].传感器技术，2003，22（2）:29-31.

[15]蔡利民，孔力.圆筒形电容式粮食水分传感器的数学模型与影响因素分析 [J].分析仪器，2009（1）:49-52.

[11]吴慧，于炯，于斐然.云计算环境下基于信任模型的动态级访问控制[J].计算机工程与应用，2012，48（23）:102-106.

[12]宋磊，罗其亮，罗毅，等.电力系统实时数据通信加密方案[J].电力系统自动化，2004，28（14）:76-81.

[13]纪芳.CDP在电力容灾系统中的应用[J].东北电力大学学报，2010，30（6）:95-98.

[14]谢舟，金政哲.基于CDP的数据容灾系统设计与实现[J].广州大学学报：自然科学版，2012，11（5）: 78-81.

[15]厉剑，廉国斌，黄栋.数据容灾系统与CDP技术[J].计算机技术与发展，2009，19（1）:168-171.

Research on security protection technologies for intelligent substation

ZHAO Qing-lin1，DING Wei2
（1.Erduosi Power Supply Company of Inner Magnolia Power Group，Erduosi 017200，China；2.School of Electrical and Electronic Engineering，North China Electric Power University，Beijing 102206，China）

According to the characteristics and existing security risk of the smart substation system，researches of safety protection are addressed from the system access control，communication data encryption and data recovery.An access control model combined with dynamic trust management，a one-key-at-a-time data scheme of encryption transmission and a data disaster tolerance system based on CDP technology are adopted.These technologies effectively prevent the privilege escalation and network fraud，enhance the security of data transmission，and improve the ability to resist disaster and prevent system failure of the intelligent substation system.

intelligent substation system；security protection；access control；data encryption；data disaster tolerance

TN0

：A

：1674－6236（2017）01-0128-04

2015-12-28稿件编号：201512285

赵清林（1991—），男，辽宁锦州人，助理工程师。研究方向：电力系统自动化及继电保护。