2023年11月30日发(作者:)

IEC 61850的应用层安全防护设计

汪洋;张云;葛雅川;李楠;吕佩吾

【摘 要】IEC 62351IEC 61850提供基于TLS的电力系统通信安全解决方案,

于防范窃听、欺骗、重放等情况,但没有提供针对应用层的安全措施,不能根据报文

的语义判断服务请求的合理性.在此基础上提出了针对IEC 61850服务的端到端入

侵检测和防御策略,在应用层分析客户端行为模式,构造和部署了适用于继电保护装

置的行为特征库和状态机,深度检测客户端报文,并由此采取安全措施,使装置实现应

用层端到端的安全运行.该解决方案作为IEC 62351的补充,IEC 62351结合使用,

可以从语义层面深层次加强继电保护装置的抗攻击能力.

【期刊名称】《电力与能源》

【年(),期】2018(039)002

【总页数】4(P177-180)

【关键词】网络安全;站控层;特征检测;通信安全;安全防护设计

【作 者】汪洋;张云;葛雅川;李楠;吕佩吾

【作者单位】南京国电南自电网自动化有限公司 ,南京 211153;南京国电南自电网

自动化有限公司 ,南京 211153;南京国电南自电网自动化有限公司 ,南京 211153;

南京国电南自电网自动化有限公司 ,南京 211153;南京国电南自电网自动化有限公

,南京 211153

【正文语种】

【中图分类】TM76

电力系统作为国家关键基础设施,能否安全平稳运行关系到国计民生。近年爆发的

乌克兰电网遭受攻击[1],伊朗核设施遭受攻击事件,显示出网络安全在电网运行

中的极端重要性。

IEC 61850[2]是变电站的主要通信规约之一,站控层使用明文通信,存在安全隐患。

IEC 62351[3]针对这种情况提出MMS的加密措施,极大地提高了安全性,但没

有针对报文应用层内容的安全性提出解决方案。本文提出IEC 61850应用层网络

安全的解决方案,可作为IEC 62351的补充,可以从语义层面漆层次加强继电保

护装置的抗攻击能力。

1 相关技术介绍

1.1 IEC 62351MMS安全方案

IEC 62351-4提出利用TLS技术[4]MMS报文的加密安全措施,TLS架设在

TCP之上可以提供以下安全防护:认证;机密性;数据完整性;不可抵赖性。

1.2 IEC 62351的局限

IEC 62351指出:“TCP/IPTLS为通信协议集的传输层提供安全防护。TLS

不提供应用层安全防护,所以应用层安全应由其他安全措施提供。”由于具体应用

场景不同,IEC 62351无法提出应用层防护建议,无法检查客户端/服务器交互过

程的逻辑性与服务请求的合理性,无法检测出隐藏在应用层的攻击。

1.3 防火墙技术

防火墙是网络之间的安全屏障,保护内网免受非法侵入。防火墙可分为包过滤防火

墙、应用层防火墙、代理服务防火墙。

防火墙既可部署在专门的硬件上,也可通过软件形式部署在主机本身。

1.4 深度报文检测(DPI)

传统的报文检测技术仅涉及TCP/IP协议栈各层的头部,如MAC地址、IP地址、

TCP端口号。深度报文检测是在传统检测的基础上,增加对应用层具体内容的检

测。

DPI技术主要有:基于特征字的识别技术、应用层网关识别技术、行为模式识别技

术。

本文提出“MMS行为特征检测(MMS behavior feature detection,简称MMS-

BFD)”方案,构造MMS行为特征库,深度解析客户端的服务请求报文,采取安

全措施进行防护。MMS-BFD既具备应用层防火墙的深度报文检测功能,又突破

了独立硬件防火墙不能解析密文的局限。

2 MMS-BFD防攻击架构

2.1 IEC 61850应用层攻击

IEC 61850应用层攻击主要分为三种。

(1) 畸形报文攻击。通过向目标系统发送应用层有缺陷的报文,使得目标系统在处

理这样的报文时会出现崩溃。

(2) DOS攻击。利用合理的服务请求来占用过多的服务资源,目标服务系统无法提

供正常的服务或资源访问,停止响应甚至崩溃,从而使合法用户无法得到服务的响

应。

(3)错误逻辑请求。利用通信规约和系统逻辑漏洞,制造符合语法要求,但业务逻

辑不合理的服务请求。

IEC 61850对装置的行为并没有做出硬性约束。一些ACSI/MMS服务超出一般需

求范围,属于DOS攻击和反逻辑请求。

(1) 频繁请求Read服务,如高频率注册报告控制块,高频率总召,超出正常需求。

(2) 频繁请求Write服务,如短时间内连续多次切换定值区、修改定值、投退压板

和断路器。

(3) 多客户端服务不合逻辑,如使用FileClose服务关闭其他客户端通过FileOpen

创建和FileRead使用的读写句柄(系统总是从一个整数开始按照规则顺序分配句柄,

试探攻击者并不需要试探整个句柄空间),一个客户端切换定值区后另一个客户端

紧接着切换到另一个定值区。

(4) 频繁通断TCP连接。

(5) 不完整流程,如投退压板时仅预选但不执行,读录波文件仅读取其中部分就结

束。

这些行为虽完全符合IEC 61850规范,但对一般变电站而言属于异常行为范畴,

是隐藏在合法报文中的非法操作。

2.2 MMS的三层安全防护

针对这些攻击,MMS-BFDTLS解密报文后,接下来先后分三个模块处理,见

1

(1) MMS解码模块。解析MMS报文,过滤畸形报文。

(2) 特征检测模块。根据具体场景,检测服务请求是否合理,是否允许执行。

(3) 服务模块。执行服务,或拒绝服务(如向客户端发送否定响应报文)。这是最后

一道防护,执行服务程序根据装置状态执行成功或失败。

1 三层安全防护结构

MMS解码模块、服务模块是实现IEC 61850通信必不可缺的基本模块。MMS

码模块对畸形报文检测的强度随系统不同而有所差异,本文不深入探讨。

特征检测模块是防DOS攻击和反逻辑请求的主要模块,是一般IEC 61850程序中

不具备的功能。

3 MMS服务请求的特征检测方案

特征检测模块针对解析MMS后得到的客户端服务请求,做深层次行为解析,判

断其是否合理,是否符合正常业务逻辑。

3.1 特征的分类

客户端的服务请求可抽象为两类行为特征。

(1) 独立行为特征。这类特征仅跟一个特定客户端的行为有关,不涉及其他客户端。

例如:单个客户端注册报告控制块频率、单个客户端获取VMD中的对象列表的次

数。

(2) 关联行为特征。这类行为特征跟多个客户端的行为相关。例如:某客户端在其

他客户端切换定值区后,又下达切区命令切回去。从单个客户端来看,切区是正常

操作;而从多客户端角度连贯起来看,属于可疑操作。

3.2 特征的表示

根据继电保护装置的部署环境,装置行为特征用计数器、计时器、行为链等形式表

示,但不局限于这些形式。

(1) 计数器。计数器用于统计客户端在一段时间内同一类行为发生次数。一旦次数

超过阈值,装置就启动防护。

(2) 计时器。计时器用于记录一个行为在多久之前发生。

(3) 行为链。行为链记录客户端一连串相关行为及行为的时间间隔。行为链的每个

节点表示一个行为的发生,用五元组表示:

Action = {Client,Time,Code,Object,Para}

其中,Client为客户端识别码;Time为距上一行为的时间;Code为操作码;

Object为操作对象;Para为操作参数。

例如,把“客户端A切换定值区至1,过了0.5 sB客户端切至2,再过0.3 s

A又切换至3”,切区为链如图2所示。

2 切区行为链

为了不占用过多内存,行为链在数据结构上采用队列的形式。节点数达到阈值时,

删除最早入队的行为节点。

一条行为链要求操作码Code必须具有关联性,操作码可在装置配置文件中约定。

4 入侵检测和防御策略

MMS-BFD通过入侵检测,来防御客户端攻击。入侵检测采用DPI方法,把客户

端报文的语义归结并反映成行为特征,再根据行为特征判断是否遭遇攻击,再通过

防御策略抵御攻击。

4.1 部署MMS-BFD

MMS-BFD部署的前提是能够解密报文,暴露应用层内容。根据IEC 62351

MMS报文加密后,只有通信两端能加解密报文。因此,把DPI部署到保护测控装

置上,作为IEC 61850程序的一部分。

MMS深度报文检测模块分为四层。

(1)分拣层。接收MMS解析模块的解析结果(参数集),把参数规格化后分拣,形成

若干参数子集,输入至特征层节点。

(2)特征层。本层节点是一系列计数器、计时器、行为链。设单客户特征有n个,

对应标号为FS1,FS2,…,FSn,n∈[0,+∞),多客户端特征有m个,对应标号为

FM1,FM2,…,FMm,m∈[0,+∞)。特征层节点接收分拣层格式化后的参数集,计

算相应结果。

(3)状态层。本层节点是一系列状态机,单客户特征有p个,对应标号为

SS1,SS2,…,SSp,p∈[0,+∞),多客户端特征有q个,对应标号为

FM1,FM2,…,FMq,q∈[0,+∞)。状态层节点接收特征层的特征计算结果,经过状

态变迁运算,得出新的状态。

(4)决策层。本层综合各个状态层节点的输出状态,计算出是否提供客户端请求的

服务。

MMS深度检测结构见图3

3 MMS深度检测结构

基于MMS深度检测结构,装置根据一系列配置的阈值来探测攻击的发生。

4.2 防御策略

决策层为装置是否响应客户端服务请求提供了依据,但决策结果不应仅仅影响本次

服务。

决策层应当具有反馈机制,影响前面流程的执行。在拒绝服务后,分拣层的MMS

解码模块甚至TCP/IP协议栈,都可对相应客户端采取处罚措施,丢弃相关请求或

闭锁相关功能。

4.3 MMS-BFD的配置

控制块的配置与具体应用部署相关。既可将配置以xml格式嵌入扩展的ICD模型

文件,也可在装置flash中新建专门的配置文件。

配置的主要目的是设置防御参数,建立检测和防御体系。

5 MMS-BFD在关闭录波文件句柄中的应用

5.1 安全需求

根据典型变电站特性,客户端关闭comtrade文件句柄行为的限制如下。

R1:该句柄必须为本客户端打开;

R2:不能频繁读取同一个录波文件。设1 h内只能读一次;

R3:一个客户端不得关闭其他客户端打开的句柄。

5.2 特征层和状态层的表示

根据这些需求,构造状态层节点。

SS1:该客户端的读文件状态,分为离线、在读、异常三个状态,见图4

4 文件操作状态层节点SS1

R1在特征层设置行为链FS1,行为链节点的Para字段为客户端Client操纵的

文件句柄FileID

R2在特征层设置计时器FS2,记录从上一次读取该comtrade文件开始所经历

的时间t,用min_t表示读同一录波文件的最短间隔时间。

R3复用FS1,若FileClose节点的FileID与前一行为节点一致,则FS1SS1

入“合法FileClose”信号,否则传入“违反R3FileClose”。

SS1在状态跃迁后,向决策层传达MMS指令及状态。向装置执行模块程序下达

提供或拒绝服务的指令,由执行模块执行相关操作并生产应答报文。

6 结语

本文提出的MMS行为特征检测,是对TLS安全防护的有效补充。即使客户端被

物理的、网络的方式攻破,装置也能在一定程度上,从语义层面抵御非法服务请求。

三层安全防护结构需消耗CPU资源,如何在有限的软硬件资源下实现最大化防护,

尽量减小对继电保护装置工作效率的影响,是下一步研究内容。

参考文献:

[1] 刘念,余星火,张建华. 网络协同攻击: 乌克兰停电事件的推演与启示[J].电力系

统自动化,2016,40(6)144-147.

LIU Nian,YU Xinghuo,ZHANG Jianhua. Coordinated Cyber-attack

Inference and Thinking of Incident on Ukrainian Power Grid[J].Electric

Power System Automation, 2016,40(6) 144-147.

[2]IEC 61850Communication Networks and Systems in Substations [S]

[3]IEC 62351Data and Communication Security [S]

[4]IETFRFC 5246The Transport Layer Security (TLS) Protocol [S]