近几年网络安全事件频发。由于IEC 61850协议在设计之初更加注重功能和命令,对信息安全研究并不重视,因此报文很容易被非法截获、中断、篡改和伪造,对IEC61850协议通信过程造成严重的威胁。变电站系统庞大且复杂,在现场实验并不实际,许多通信网络模拟器(如OPNET和OMNET++建模器)可以用于仿真IEC61850网络通信。通过实验和模拟,可以进行大量关于IEC61850协议的建模转换、协议测试、通信过程加密保护[1]。
王明辉等人针对IEC61850通信过程中可能面临的风险,提出了基于AES-RSA算法的安全通信机制,不仅增强了数据传输的安全性,而且提高了完成一次通信认证的速度,满足IEC61850通信对数据传输的实时性要求[1]。王飒等通过对IEC60870-5-104和IEC 61850的信息模型进行深入研究,并与XML技术相结合,设计了两种协议的转换网关,通过以太网通信、IEC 61850信息建模、信息映射以及配合文档描述等方式对两种协议进行转换[2]。葛宏华等人利用对称加密算法高效且易于实现、非对称加密算法密钥分发和管理简单的特点,使用AES和ECC混合算法提高了报文传输的安全性和高效性[3]。叶小艳为了提高数据的保密性和完整性,最大限度地防止恶意用户攻击或用户的错误操作,提出一种基于AES算法和HASH认证相结合的文件加密机制,实现加密和消息认证的功能[3]。
上述方法针对IEC 61850协议安全性的研究,利用密码技术实现了建立远程安全加密信道、身份认证、访问控制等安全措施,虽然在一定程度上解决了协议的信息加密和身份认证问题,但是上述加密方式均是采用AES、RSA等国际加密算法,随着密码技术的发展和计算能力的提高,通用算法已不能满足当前电力系统信息的安全需求。为降低信息泄露和关键信息基础设施遭受攻击的风险,本文提出了基于SM2-SM3国密算法体系的IEC 61850报文加密算法,提高通信过程的安全性。
2 问题分析
2.1 GOOSE报文介绍
GOOSE协议即通用面向变电站对象事件,它属于一种快速通信报文。目前,国内外主流的IEC 61850设备均支持采用GOOSE协议,该协议反映了智能设备之间的信息传输,它可以通过原始数据来获取设备的特征量,并对其进行状态识别。GOOSE报文的帧结构包括源MAC地址、MAC目标地址、四字节优先标签、报文类型、标识(APPID)、报文长度、四字节保留