国电南自电网技术团队提出一种保障继电保护远程运维安全的设计方案

随着智能电网继电保护技术的快速发展和精细化管理要求的不断提升，设备数量日益增多且新技术被不断引入。传统的运维模式人力成本高且效率低下，因而继电保护设备远程运维模式被广泛应用，但随之而来的敏感信息明文传输、用户身份无法验证等安全问题也亟待解决。

南京国电南自电网自动化有限公司的汤成俊、李洪池、刘文彪、纪陵、檀庭方，在2023年第1期《电气技术》上撰文，针对继电保护设备远程运维过程中安全防范措施不足的问题，基于IEC 61850的文件服务，构建远程运维整体安全架构，设计基于国密算法的远程安全通信、关键操作抗抵赖等技术，保障整个运维过程的安全性。

国家大力支持智能电网的发展，信息网络在电力系统中的应用比重不断增加。计算机和网络给电力系统带来诸多方便的同时，网络安全威胁给国家电力安全带来不少隐患，构建网络信息安全的变电站成为日益迫切的需求。

当前，设备本质安全方面重功能、轻防护，操作系统和应用漏洞多、安全策略缺失，通信协议健壮性不足、缺乏加密和认证，存在危险服务和系统未最小化裁剪，操作系统未国产化等问题。在设备远程运维安全方面，智能变电站新设备的广泛应用使站内二次设备的运维工作变得更加复杂。目前大多数运维主站系统主要解决功能性问题，在安全方面的考虑相对不足，一旦边界防护被突破会给整个电网的运行带来不可估量的损失。

为解决远程运维过程中的安全问题，本文基于IEC 61850标准的文件服务，设计远程运维统一文件格式，并增加加密、防篡改及基于时间戳的防重放设计，从安全层面保障远程运维操作的安全可靠，可有效解决远程运维过程中的明文传输、身份校验等问题。

1 继电保护远程运维

继电保护远程运维系统主要由继电保护远程运维主站、智能录波器及继电保护装置组成。继电保护远程运维功能主要包括智能巡视、智能定检、软件备份升级、装置及进程重启、IP及路由信息配置、业务增量配置、控制操作等。

然而，考虑到继电保护装置的重要性及远方操作的安全性，定值、压板等远方操作功能的使用仍较为谨慎，远程运维主要停留在监视阶段。网络安全方面，安全策略缺失，通信协议健壮性不足、缺乏加密和认证，运维的安全性无法得到保障。

1.1 定检周期远方运维

 国电南自电网技术团队提出一种保障继电保护远程运维安全的设计方案 

定检周期远方运维主要包括：

1）支持自动定检和人工定检。

2）分类配置，定检项目按常规站和智能站、智能电子设备（intelligent electronic device, IED）类型定制差异化定检项目表单；对各定检项目确定部检完成判据。

3）支持人工设置定检周期，并在每个自动定检项目对应的定检完成判据满足时自动重置该项目的定检周期，默认重置周期为三年，定检完成判据不满足或定检周期到达时给出需要人工定检的结果，由人工定检确认后重置该项目的定检周期。

4）增加定检周期远方运维功能，定检周期分为部检周期和全检周期，可由主站下发。

1.2 智能巡视

智能巡视主要包括巡视项和巡视时间配置；巡视项、自动巡视启动时间和自动巡视间隔时间可由主站远方运维。

1.3 巡视模型远程运维

巡视模型可以在主站侧完成修改，通过IEC 61850文件服务将巡视模型下发到智能录波器，智能录波器通过安全校验后更新本地巡视模型并重启巡视服务，主要包括巡视基准值远方运维、同源比对门槛值远方运维、各个IED巡视点远方运维。

1.4 增量配置远方运维

当现场有改扩建需求时，用户提供新的系统配置描述（system configuration description, SCD）文件，服务人员根据新的SCD离线做好配置（包括库和画面），将增量配置导出为文件格式，通过IEC 61850文件服务下发智能录波器，智能录波器解析增量配置文件，将增量配置固化到数据库中，最后重启装置。

1.5 路由、IP信息远方运维

主站通过IEC 61850文件服务下发IP和路由信息文件，智能录波器通过安全校核后，根据文件修改IP和路由信息。

1.6 远方重启

远方重启装置和远方重启进程。

1.7 软件升级及备份

主站通过IEC 61850文件服务下发软件升级命令，智能录波器通过安全校核后，对目标软件进行升级。主站通过IEC 61850文件服务下发软件备份命令，智能录波器通过安全校核后，对核心软件进行备份并上传至主站。

1.8 远方操作

远方操作主要包括投退压板、修改定值、遥控、切换定值区等。

2 远程运维安全设计方案

2.1 系统架构设计

继电保护可信安全远程运维总体架构主要由继电保护远程运维主站、智能录波器及继电保护装置组成，本文主要研究构建继电保护远程运维主站对智能录波器实现远程运维。

其中，继电保护运维主站采用基于可信技术的底层硬件及操作系统，搭建数据分析处理平台实现用户管理、命令控制、配置更新、远程升级及日志审计等功能；智能录波器也采用基于可信技术的底层硬件及操作系统，实现主站下发的远程运维业务功能并将命名转发给保护装置。

主站和智能录波器之间基于既有的IEC 61850通信模式，使用文件的方式进行远程运维命令交互，同时对运维文件进行加密、防重放及数字签名操作，以保证运维过程的安全可靠。

该架构通过可信技术保障设备的本质安全，同时在进行巡视模型和增量配置远程运维时，运用加密、防重放、数字签名技术，有效地保障了远程运维的安全性；在此基础上，可以有效降低用户及工程服务人员到变电站现场进行更新升级的成本，显著提高运维效率。

2.2 业务流程设计

远程运维业务的执行主要是在远程运维主站进行用户登录并进行双因子及用户权限校验，校验正确后对该业务操作增加时间戳、数字证书签名及基于国密算法的加密形成运维文件，运维文件由IEC 61850文件服务发送给智能录波器，智能录波器收到运维文件后进行解密、数字证书验签及防重放验证，通过后解析该运维文件的具体内容并执行相应的命令，之后将结果返回，整个过程都需有审计日志记录以保证操作过程可回溯。

2.3 主子站通信设计

智能录波器远程运维关键技术包括通信架构设计[10]、通信链路设计、通信安全保障、远程运维文件设计及自主可控通信协议等。远程运维主站和智能录波器基于可信的底层硬件和操作系统，通信采用基于IEC 61850的文件服务，其中运维文件基于国密算法的数字签名及加密进行设计。

智能录波器和继电保护装置之间可探索采用自主可控制造报文规范（manufacturing massage specification, MMS）替代协议进行试点应用。

其中，智能录波器和主站之间的链路设计沿用IEC 61850通信链路，远程运维命令通过文件服务下发至智能录波器；运维文件包括需要执行的操作命名类型、下发时间、数字签名值、执行结果等信息。

其中，数字签名值用于通信双方根据公钥和私钥证书进行双向防篡改及身份认证；命令的下发时间，用于通过时间戳校验来防止重放攻击；最后通过国密加密算法对整个运维文件内容进行加密，防止重要操作被明文攻击。

2.4 远程运维操作抗抵赖设计

1）抗抵赖证书生成

需要在安装了gmssl的机器上生成公私钥证书，生成步骤如下。

（1）生成密钥

gmssl genpkey -algorithm EC -pkeyopt ec_ paramgen_curve:sm2p256v1 -pkeyopt ec_param_enc: named_curve -out skey.pem

（2）生成CA证书

gmssl req -new -x509 -key skey.pem -out cacert. pem

（3）生成用户证书请求

gmssl genpkey -algorithm EC -pkeyopt ec_ paramgen_curve:sm2p256v1 -pkeyopt ec_param_enc: named_curve -out user_skey.pem

gmssl req -new -sm3 -key user_skey.pem -out cert.req

（4）生成用户证书

gmssl ca -in cert.req -out device.cer -keyfile skey.pem -cert cacert.pem -days 3650

（5）生成p12私钥证书

gmssl pkcs12 -export -in device.cer -inkey skey.pem -out device.p12

2）抗抵赖校验原理

通过上述步骤生成相应的证书，以用户证书为1.cer，用户私钥证书为1.p12，服务端证书为server. cer，服务端私钥证书为server.p12为例说明。

（1）用户ID为1的用户在进行遥控操作。

（2）画面工具根据用户ID读取用户私钥证书1.p12，先采用SM3算法计算原始报文的摘要，再使用1.p12私钥证书用SM2算法对摘要加密生产签名。

（3）将原始报文和签名值发送给服务端，服务端根据用户ID读取用户公钥证书1.cer，先对原始报文使用SM3算法计算摘要，然后使用1.cer对客户端发送的签名值使用SM2解密生成摘要后和计算的摘要进行比较。

（4）服务端读取服务端的私钥证书server.p12，采用SM3算法对校验结果进行计算摘要，然后使用server.p12私钥证书用SM2算法对摘要加密生成签名值，并将原始校验结果和签名值一起发送给客户端。

（5）客户端读取服务端公钥证书server.cer，先采用SM3算法计算校验结果的摘要，然后使用server.cer公钥证书用SM2算法解密服务端发送的签名值，从而得到客户端计算的摘要，并和客户端自身计算的摘要进行比较。

3）报文示例

（1）服务端校验结果的原文为68 04 01 00 00 50 31 36 34 36 39 31 33 38 34 30 37 36 38 00 00 00。

（2）服务端对校验结果原文使用SM3算法计算得到摘要值a。

（3）服务端再用SM2私钥（server.p12）对摘要值a进行加密，得到的校验结果签名值为4e 5b e4 20 0b 85 6d ed 5c 62 f3 40 5a 6a 47 94 ce c6 65 cb ee 61 d4 78 e2 22 71 14 cb e3 55 35 5f 67 33 48 fc 13 5d be 26 fc 8c 5a 09 2d b8 ac 5c 3e 4e 46 f7 c7 b0 d1 43 28 2e d1 dc 43 e9 f9。

（4）客户端使用SM2（server.cer）公钥对步骤（3）中的签名值进行解密，得到步骤（2）中的摘要值a。

（5）客户端对接收到的步骤（1）中的原文计算SM3的摘要值b，验证a与b的值，如果a=b则抗抵赖校验成功，否则抗抵赖校验失败。

3 工程应用

现场实施过程中智能录波器沿用主子站IEC 61850的通信链路，保信子站沿用主子站103的通信链路，远程运维命令通过文件服务下发至智能录波器或保信子站，实施过程中不需要增加新的通信协议，不产生新的通信端口，可以和原通信协议高度复用，兼容性强。主站基于三权分立原则进行设计，用户的登录采用双因子认证技术，所有的运维操作都记录审计日志，可进行溯源追踪。同时，对运维文件进行加密、签名及防重放设计，保障运维过程的安全。

以现场有改扩建需求为例，用户提供了新的SCD文件，服务人员根据新的SCD离线做好配置（包括配置库和画面），将增量配置导出为文件格式，并生成加密远程运维格式文件。通过远程运维主站可以直接下发至智能录波器，接收到配置更新指令后智能录波器可以自动解析并校验文件，实现SCD文件的导库更新工作，可以大大提高工作效率，且不需要用户或工程服务人员到现场实施，节省了人力和时间成本，也可以满足现场的安全防护要求。

4 结论

本文根据继电保护远程运维对于网络安全的要求，基于IEC 61850文件服务，设计了主子站通信方案、远程运维操作文件，并从通信层面设计了加密、防重放攻击及抗抵赖校验机制。可以沿用智能录波器和主站之间的IEC 61850通信链路，不增加新的协议，不产生新的通信端口，可以和原通信协议高度复用，兼容性强。

基于本文所给出的远程运维安全设计方案，设计并开发了继电保护设备及运维主站系统，可以有效提升设备运维过程的安全性，满足等级保护要求。