欢迎您访问工业控制系统信息安全产业联盟平台网站!
官方微信
用户名:
密码:
登录 注册
基于SM2-SM3的IEC 61850通信报文加密算法

点击数:2985 发布时间:2021-01-31 16:35

本文针对IEC 61850协议报文存在的安全问题,利用仿真软件模拟了IEC61850通信过程,对其网络环境进行了重放攻击,验证了该协议的安全缺陷,为了增强报文的安全性,利用WINPCAP开发工具捕获IEC 61850数据报文,提出了一种基于SM2-SM3国密体系算法,对其报文进行了数字签名并验证,实验结果表明报文安全性得到了改善。
1 研究背景
IEC 61850是电力系统的一项国际标准,该标准能够解决不同厂商设备之间的通信问题,却没有为变电站网络系统提供相关的安全规范。随着通信技术的进步,越来越多的电力设备接入IEC 61850网络,虽然这种互联性带来了更高的效率,但同时也使得传统封闭性的电源组件以及通信协议更易遭受网络攻击。例如,2013年美国加州的一个智能变电站遭受网络攻击,攻击者使一个变压器的油量减少,温度升高,最终导致其停止运行。2015年,乌克兰的数据采集与监控(Supervisory Control And Data Acquisition,SCADA)系统里的关键主机被控制,违规下达了断电的指令,导致智能变电站出现了故障,80000多用户出现断电。

近几年网络安全事件频发。由于IEC 61850协议在设计之初更加注重功能和命令,对信息安全研究并不重视,因此报文很容易被非法截获、中断、篡改和伪造,对IEC61850协议通信过程造成严重的威胁。变电站系统庞大且复杂,在现场实验并不实际,许多通信网络模拟器(如OPNET和OMNET++建模器)可以用于仿真IEC61850网络通信。通过实验和模拟,可以进行大量关于IEC61850协议的建模转换、协议测试、通信过程加密保护[1]。

王明辉等人针对IEC61850通信过程中可能面临的风险,提出了基于AES-RSA算法的安全通信机制,不仅增强了数据传输的安全性,而且提高了完成一次通信认证的速度,满足IEC61850通信对数据传输的实时性要求[1]。王飒等通过对IEC60870-5-104和IEC 61850的信息模型进行深入研究,并与XML技术相结合,设计了两种协议的转换网关,通过以太网通信、IEC 61850信息建模、信息映射以及配合文档描述等方式对两种协议进行转换[2]。葛宏华等人利用对称加密算法高效且易于实现、非对称加密算法密钥分发和管理简单的特点,使用AES和ECC混合算法提高了报文传输的安全性和高效性[3]。叶小艳为了提高数据的保密性和完整性,最大限度地防止恶意用户攻击或用户的错误操作,提出一种基于AES算法和HASH认证相结合的文件加密机制,实现加密和消息认证的功能[3]。

上述方法针对IEC 61850协议安全性的研究,利用密码技术实现了建立远程安全加密信道、身份认证、访问控制等安全措施,虽然在一定程度上解决了协议的信息加密和身份认证问题,但是上述加密方式均是采用AES、RSA等国际加密算法,随着密码技术的发展和计算能力的提高,通用算法已不能满足当前电力系统信息的安全需求。为降低信息泄露和关键信息基础设施遭受攻击的风险,本文提出了基于SM2-SM3国密算法体系的IEC 61850报文加密算法,提高通信过程的安全性。

2 问题分析

2.1 GOOSE报文介绍

GOOSE协议即通用面向变电站对象事件,它属于一种快速通信报文。目前,国内外主流的IEC 61850设备均支持采用GOOSE协议,该协议反映了智能设备之间的信息传输,它可以通过原始数据来获取设备的特征量,并对其进行状态识别。GOOSE报文的帧结构包括源MAC地址、MAC目标地址、四字节优先标签、报文类型、标识(APPID)、报文长度、四字节保留

成员展示