一种电力SCADA系统信息安全防护系统

摘要

本发明公开了一种电力SCADA系统信息安全防护系统，包括安全设备管理系统、站级电力SCADA系统安全防护设备、现场终端级电力SCADA系统安全防护设备，其中，所述安全管理系统位于供电控制中心内成为电力SCADA系统主站系统的一个组成部分，对远程的站级电力SCADA系统安全防护设备和现场终端级电力SCADA系统安全防护设备进行管理。所述站级电力SCADA系统安全防护设备将放置于电力SCADA系统的子站级电力SCADA系统设备内。所述现场终端级电力SCADA系统安全防护设备将放置于电网现场的电力SCADA现场装置内。本发明主要功能是对电力SCADA系统提供精细粒度的、基于电力生产控制业务的应用层安全防护，用于保证电力SCADA系统的“四遥功能”—遥控功能、遥信功能、遥测功能、遥调功能安全以及电力SCADA系统的通信信道安全，并具有电力SCADA系统入侵检测和访问控制能力，具有较强的电力业务针对性。

说明书

技术领域

本发明涉及目前广泛使用于电力SCADA系统领域的IEC60870-5-101协议 和DNP3.0协议，尤其是涉及为使用IEC60870-5-101协议和DNP3.0协议的电 力SCADA系统提供信息安全防护能力的一种电力SCADA系统信息安全防护系 统。

背景技术

美国伊吉斯技术公司于2006年2月份在中国申请，发明申请号为 200480022852.5，其发明创造名称为《用于使监控和数据采集(SCADA)通信安 全-的方法、系统和装置》，该发明主要的保护目标是链路层安全，而非业务层 安全，没有结合我国电力控制网应用的具体网络结构与工程实际，没有更多地 涉及设备工程化方面的设计。同时，该发明没有提到入侵检测、安全认证协议 以及设备产品化方面的内容。

上述美国发明(申请号为200480022852.5)设计的使用独立于SCADA协议 的密码协议来透明地加密所述SCADA信息的方式，并未提供该方法的在实际环 境中的测试分析报告，因此，该方法有可能导致电力SCADA系统的运行效能明 显下降，因而不易被我国电力行业所接受。并且该美国发明设计的确保使SCADA 通信安全的方法、系统和装置，需要单独建立一个信道来传送密码信息。

在使用IEC60870-5-101协议和DNP3.0协议的电力SCADA系统的早期开发 过程中，信息安全的问题还没有凸现出来，信息安全通常都不是一个重要的设 计要求，因而为了提高性能要求和节约成本，通常都忽略了信息交全的考虑。 但是，电力SCADA系统是现代电力网的核心运行控制系统之一，对电力网的安 全稳定运转具有十分关键的意义。2007年以来，电力SCADA系统的信息安全问 题越来越突出，世界各国政府和各种网络信息安全机构已经注意到电力SCADA 系统的信息安全问题。

发明内容

本发明的目的是提供一种电力SCADA系统信息安全防护系统。

为了达到上述目的，本发明采用如下技术方案：一种电力SCADA系统信息 安全防护系统，其特征在于：包括安全设备管理系统、站级电力SCADA系统安 全防护设备、现场终端级电力SCADA系统安全防护设备，其中

所述安全设备管理系统位于供电控制中心内成为电力SCADA系统主站系 统的一个组成部分，对远程的站级电力SCADA系统安全防护设备和现场终端级 电力SCADA系统安全防护设备进行管理。

所述站级电力SCADA系统安全防护设备将放置于电力SCADA系统的子站级 电力SCADA系统设备内(物理位置大致是110KV箱式变电站等类似的电力设施 内)。

所述现场终端级电力SCADA系统安全防护设备将放置于电网现场的电力 SCADA现场装置内(物理位置大致是电线柱上FTU、10KV环网柜、或开闭所等类 似的电力设施内)。

本发明主要功能是对电力SCADA系统提供精细粒度的、基于电力生产控制 业务的应用层安全防护，用于保证电力SCADA系统的“四遥功能”—遥控功能、 遥信功能、遥测功能、遥调功能安全以及电力SCADA系统的通信信道安全，并 具有电力SCADA系统入侵检测和访问控制能力，具有较强的电力业务针对性。

本发明的有益效果和优点：

本发明的安全设备管理系统(软件)、安全协议(软件)、站级电力SCADA系 统安全防护设备(软件/硬件)、现场终端级电力SCADA安全防护设备(软件/硬 件)将协同为电力SCADA系统专用网络提供类似Interne t网络(互联网)防火 墙、入侵检测系统的功能，解决使用工EC60870-5-101协议和DNP 3.0协议的电 力SCADA系统的信息安全问题。

本发明明确针对基于I EC60870-5-101及DNP 3.0的电力SCADA系统网的应 用，用于保证电力SCADA系统的典型“四遥”功能—遥控功能、遥信功能、遥 测功能、遥调功能安全以及电力SCADA系统的通信信道安全，并具有基于电力 SCADA系统的入侵检测和访问控制能力。本发明了设计了独特的电力SCADA系 统消息认证协议，具有较强的电力专业背景，并且具有精细粒度的电力SCADA 系统安全防护能力，本发明强调对原有电力SCADA系统性能的影响较低和工程 实用性。

本发明充分考虑了在现有电力SCADA系统大量已装备的成熟设备中部属 信息安全防护系统可能遇到的成本问题、运行管理问题以及兼容性问题，较适 合在电力系统装备中进行大面积推广使用。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1是电力SCADA系统安全防护系统组成；

图2是电力SCADA系统安全防护设备使用/部署原理图

图3是站级、现场终端级电力SCADA安全防护设备产品形态

图4是外挂型站级、现场终端级电力SCADA安全防护装置的功能

图5是基于IEC60870-5-101协议及DNP 3.0协议的电力SCADA终端设备内部基 本结构

图6是外挂型站级、现场终端级电力SCADA安全防护装置的接入工作原理

图7是外挂型站级、现场终端级电力SCADA安全防护装置系统组成

图8是外挂型站级、现场终端级电力SCADA安全防护装置处理器最小系统组成

图9是外挂型站级、现场终端级电力SCADA安全防护装置网络接口电路

图10是外挂型站级、现场终端级电力SCADA安全防护装置UART接口

图11是外挂型站级、现场终端级电力SCADA安全防护装置UART扩展部分

图12是外挂型站级、现场终端级电力SCADA安全防护装置板载电源供电部分

图13是外挂型站级、现场终端级电力SCADA安全防护装置外部电源供电部分

图14是外挂型站级、现场终端级电力SCADA安全防护装置操作系统软件组成 框图

图15是设备软件功能模块组成框图

图16是设备软件基本处理流程

图17是电力SCADA系统安全防护方案管理流程

图18是认证双方序列的使用方法

图19是消息认证过程基本示意图

图20是电力SCADA系统的消息认证协议结构

图21是本专利设计的消息认证字段结构

图22是IEC60870-5-101及DNP 3.0协议报文经过本专利消息认证处理后的情 形

图23是电力SCADA专用入侵检测系统模块结构

图24是电力SCADA安全防护系统密钥体系

具体实施方式

本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互 相排斥的特征和/或步骤以外，均可以以任何方式组合。

本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征，除 非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换。即，除非 特别叙述，每个特征只是一系列等效或类似特征中的一个例子而已。

(一)电力SCADA系统信息安全防护系统组成

如图1所示，本发明电力SCADA系统信息安全防护系统(简称电力SCADA 系统)由安全设备管理系统(安全管理控制分系统)、站级电力SCADA系统安 全防护设备、现场终端级电力SCADA系统安全防护设备(现场测控终端级电力 SCADA安全防护设备)组成。

如图2所示，

安全设备管理系统位于供电控制中心的PC机内成为电力SCADA系统主站 系统的一个组成部分，对远程的站级电力SCADA系统安全防护设备和现场终端 级电力SCADA系统安全防护设备进行管理。

站级电力SCADA系统安全防护设备将放置于电力SCADA系统的变电站、 开关站及换流站等子站级电力SCADA系统设备内。

现场终端级电力SCADA系统安全防护设备将放置于电网现场，如电线杆， 电线柱，环网柜等的电力SCADA现场装置内(如FTU、RTU、DTU等)。

图2中的安全管理系统即为本发明所指的安全设备管理系统，图2中的电 力监控系统主站层网络即为本发明所指的电力SCADA系统主站系统；图2中的 站级电力监控系统安全防护设备即为本发明所指的站级电力SCADA系统安全防 护设备，图2中的电力监控系统子站即为本发明所指的子站级电力SCADA系统 设备；图2中的现场终端电力监控系统安全防护设备即为本发明所指的现场终 端级电力SCADA系统安全防护设备，图2中的电力监控系统现场终端单元即为 本发明所指的电力SCADA现场装置。

(二)电力SCADA系统部署原理图

在电力工程中，电力SCADA系统一般采用SCADA主站层设备(电力SCADA 系统主站系统)、SCADA子站层设备(子站级电力SCADA系统设备)、SCADA现场 测控终端层设备(电力SCADA现场装置)三层架构。

电力SCADA系统中装备有本发明电力SCADA系统信息安全防护系统后将形 成如下图2所示的网络：

图2中所示的电力SCADA系统信息安全防护系统中的电力SCADA系统安全 防护设备目前分为：站级电力SCADA系统安全防护设备和现场终端级电力SCADA 系统安全防护设备。

(三)电力SCADA系统信息安全防护系统产品

(1)站级电力SCADA系统安全防护设备、现场终端级电力SCADA系统安全防 护设备：

为了使电力SCADA系统信息安全防护系统与现有电力SCADA系统终端设备 进行集成，本发明的站级电力SCADA系统安全防护设备、现场终端级电力SCADA 系统安全防护设备有三种在电力工业现场使用的电力SCADA系统信息安全防护 系统的产品，如图3所示和部署方式：

1)外挂型站级电力SCADA系统安全防护设备、外挂型现场终端级电力SCADA系 统安全防护设备：

外挂型站级电力SCADA安全防护设备是一个小型装置/设备，将放置于变电 站、开关站及换流站等无人值守机房内的保护小室机柜中，串接在电力SCADA 系统子站端设备(SCADA子站层设备)的通信链路中，作为一个外挂型设备，完 成安全防护。

外挂型现场终端级电力SCADA系统安全防护设备是一个放置于电网现场(如 电线杆，电线柱，地下环网柜等)的小型设备。将串接在电力SCADA系统的现场 终端设备(SCADA现场测控终端层设备)的通信链路中，完成安全防护功能。

2)电力SCADA系统信息安全防护嵌入式板卡/芯片

该嵌入式板卡/芯片可以将上述外挂型站级电力SCADA安全防护设备、现场 终端级电力SCADA安全防护设备的功能集成到现有电力SCADA终端设备(如各种 RTU、FTU以及子站系统)内。

3)电力SCADA系统安全信道Modem

该安全信道Modem除了能提供普通信道Modem(光纤信道、电力线载波信道以 及微波信道等)的基本通信功能外，还具有外挂型站级电力SCADA安全防护设备、 现场终端级电力SCADA安全防护设备的全部功能。

图3中，

(2)安全设备管理系统：

此外，安全设备管理系统为软件模块，运行平台是计算机服务器或工作站。安 全协议是安全设备管理系统、站级电力SCADA系统安全防护设备、现场终端级 电力SCADA系统安全防护设备互相通信使用的协议，其形态为分布于安全设备 管理系统、站级电力SCADA系统安全防护设备、现场终端级电力SCADA系统安 全防护设备中的软件模块。

(四)外挂型站级电力SCADA系统安全防护设备、现场终端级电力SCADA系统安 全防护设备：

1.外挂型站级电力SCADA系统安全防护设备、外挂型现场终端级电力SCADA系 统安全防护设备的功能：

外挂型站级电力SCADA系统安全防护设备、现场终端级电力SCADA系统安全 防护设备的安全功能包括3个方面：关键过程报文安全认证、入侵检测与告警和 异常报文过滤，参看图4。

(1)关键过程报文安全认证：

外挂型站级电力SCADA系统安全防护设备、现场终端级电力SCADA系统安全 防护设备对关键性电网控制命令(如开/闭闸、变压器调压等)和测量、故障信息 进行消息(下文[六]中提到的4类信息)来源认证，确保电网控制命令、测量、 故障信息不被伪造、篡改和重放，从而保障电力网基础设施的安全。

(2)入侵检测与告警

外挂型站级电力SCADA安全防护设备、现场终端级电力SCADA安全防护设备 通过分析收到消息报文类型，如果为恶意构造的非电力SCADA系统消息报文， 将产生入侵告警消息并上报给安全设备管理系统；如果是电力SCADA系统安全 报文，将进行报文认证验证，如果认证不通过，将产生入侵告警消息上报给安 全设备管理系统。

(3)异常报文过滤机制

外挂型站级电力SCADA安全防护设备、现场终端级电力SCADA安全防护设备 具有异常报文过滤机制。异常报文包括：恶意构造非电力SCADA系统消息和未 通过消息认证的电力SCADA系统报文。

2.外挂型站级电力SCADA系统安全防护设备、现场终端级电力SCADA系统安全 防护设备的接入使用：

外挂型站级电力SCADA系统安全防护设备、现场终端级电力SCADA系统安全 防护设备接入依据电力SCADA系统通信的技术特征，采用串接入通信链路，与 正常的电力业务通信并行工作的方式，主要以电力SCADA系统通信的Modem作 为突破口实施接入。

国内外电力工业中，数据通信与SCADA系统通信常用的通信信道有光纤、微 波、数传电台、卫星等。通信信道都存在Modem设备，选择Modem进行接入有 一定适应性，可以不考虑具体的信道差异。电力SCADA系统设备(包括子站级 电力SCADA系统设备、电力SCADA现场装置)内部的基本结构如图5所示：

从图5可以看出，信道modem设备将电力SCADA系统设备分成了两部分：电 力网专业设备单元和通信传输信道。电力网专业设备单元可以选择RS232、RS485 以及RS422接口与信道modem连接，通信介质传输信道则采用专用接口与信道 modem连接。因此，电力SCADA系统安全防护设备(包括站级电力SCADA系统安 全防护设备、现场终端级电力SCADA系统安全防护设备等)通过RS232、RS485 以及RS422接口串口串接在信道modem与电力网SCADA专业设备单元之间，如 图6所示：

3.外挂型站级电力SCADA系统安全防护设备、外挂型现场终端级电力SCADA系 统安全防护设备的硬件：

(1)外挂型站级电力SCADA系统安全防护设备、外挂型现场终端级电力SCADA 系统安全防护设备的硬件结构：

外挂型站级电力SCADA系统安全防护设备、外挂型现场终端级电力SCADA 系统安全防护设备的硬件主要由以下几个部分组成：

1)、处理器核心部分；

A、包括S3C2440处理器、64M的SDRAM和64M的Flash；

B、通信和安全防护软件的运行平台。

2)、UART接口；

A、四个用于通信的UART接口，物理接口是RS232；

B、两个一组分别对应子站层通信环网和现场终端层子站环网。

3)、以太网接口；

A、10M/100M以太网接口；

B、用于设备维护和软件更新；

4)、设备供电部分；

直接从站级电力SCADA设备中的电源中取电。

(2)外挂型站级电力SCADA系统安全防护设备、外挂型现场终端级电力SCADA 系统安全防护设备的外部接口：

1)、DB9(针)接口，使用通用的RS232的DTE线序；

2)、一个RJ45接口，使用标准以太网线序；

3)、一个机壳用于连接大地的接地柱；

4)、一个交流电源开关；

5)、一个AC220V三相电源输入接口；

(3)外挂型站级电力SCADA系统安全防护设备、外挂型现场终端级电力SCADA 系统安全防护设备的内部结构

设备内部基本结构组成如附图7所示，由6个部分组成：处理器最小系统、 网络接口部分、UART接口部分、UART扩展电路、读卡器电路、电源供电部分。 其中，读卡器配套的电路可以从市面上较为方便的购买到，然后集成到本设备 中。

外挂型站级电力SCADA系统安全防护设备、外挂型现场终端级电力SCADA 系统安全防护设备的最小系统部分包括了S3C2440处理器，两块SDRAM每颗的 容量都是4M×16bit×4Bank(共同组成一个32位宽的64MB容量的内存)，一块 作为外存的NAND Flash(K9F1208，容量为64MB)，提供系统时钟的12Mhz晶体， 如附图8所示。两块SDRAM分别与NAND Flash和ARM处理器传输信号，NAND Flash 和ARM处理器之间也相互传输信号，12Mhz晶振与ARM处理器连接；

网络接口部分的组成包括以太网物理层控制处理器DM9000A和以太网线圈与 RJ45连接座一体的HR911103C，以及用以提供以太网工作时钟的25M晶体。 DM9000A使用一个16位宽的数据总线，挂接在处理器的局部总线上，在本平台 上使用了nGCS3信号作为片选，利用的地址空间段为0x18000000。DM9000A同 HR911103C之间为差分接口4线连接。网络接口部分的组成和链接示意如附图9 所示。

UART接口部分的主要工作是完成处理器UART接口的TTL电平到RS232电平 的转换。这里使用到的电平转换芯片是MAX3232EEAE。由于引脚复用的原因 S3C2440可以提供两个带流控的UART或者一个带流控加两个不带流控的UART。 本设备仅需要一个UART作为控制台，一个UART用于连接读卡器。UART部分的 连接示意如附图10所示。

UART扩展部分电路主要是为了解决基本的S3C2440系统本身UART接口数量不 足的问题。通过在局部总线挂接专用的UART扩展芯片TL16C554A，从而实现在 局部总线扩展出＞3个UART接口。TL16C554A扩展的4个串口将全部用于通信， 电路组成如附图11所示。

电源供电部分，分为板载电源供电(如附图12)和外部电源供电(如附图13，) 两个部分。板载电源供电部分电路，主要解决直流电压变换的问题，为处理器 和外部电路产生必要的工作电压。这里的外部直流输入电压的范围是可变的， 直流5～12V均可。外部电源供电部分解决的是交流到直流变换的问题，产生直 流电压提供给电路板。

(4)外挂型站级电力SCADA系统安全防护设备、外挂型现场终端级电力SCADA 安全防护设备的软件操作系统：

外挂型站级电力SCADA安全防护设备、现场终端级电力SCADA安全防护设备 使用ARM作为处理器，使用Linux作为软件运行的系统平台，Uboot作为系统引 导软件。Uboot部分包括了板级初始化和板级的系统升级服务的功能。操作系统 层包括了操作系统核心、文件系统、网络协议栈和所有的驱动程序。整个子站 级电力SCADA系统设备的操作系统软件组成如附图14所示。

附图14中读卡器驱动使用了不同的颜色表示，主要是由于这里读卡器驱动不 是一个独立的设备驱动，而已建立在串口通信的基础上的一个驱动模块。为可 选模块。

串口驱动是Linux系统中一个典型的字符设备(chardevice)设备驱动。 主要包括3个部分：1)配置和初始化；2)I/O请求服务；3)中断服务程序。 串口驱动为应用程序提供的入口点包括：open、close、read、write、ioctl、 select。Ioctl是用于执行读、写之外的其它操作的入口点，select是用于检 查设备的入口点，包括检测数据是否就绪之类的。

网络驱动在linux系统中是区别于字符设备和块设备之外的第三类标准设 备。在应用程序使用使用套接字(socket)的时候，依然使用read、write系 统调用，但是这些调用是作用于软件对象上，在同一个物理接口上可能存在很 多个多工的套接字，这是网络驱动同字符驱动的根本区别。

UART扩展驱动不是一个标准的字符设备驱动，但是在驱动程序的设计上最终 是做一个标准的字符设备驱动接口。同样为应用程序提供和通用UART驱动一样 的入口点。使得应用程序感受不到UART扩展的存在。

字符液晶模块的驱动主要是控制字符液晶的初始化和显示工作。准备将128 ×64的显示区域划分为32个16×16的区域。所有的字符显示都以这个16×16 的区域为基础。驱动程序提供给上层的接口就是针对这4行8列的显示区域内 字符显示的控制。另行提供进行背光照明和进入节电模式的操作接口，为可选 模块。

(5)外挂型站级电力SCADA系统安全防护设备、外挂型现场终端级电力SCADA 系统安全防护设备的软件模块组成及功能：

外挂型站级电力SCADA安全防护设备、现场终端级电力SCADA安全防护设 备的软件模块由设备自检模块、通信模块、报文封装/解析模块、报文安全认证 模块、入侵检测与报警模块、异常报文过滤模块、线路异常检测与报警模块、 密钥管理模块、IC卡读写模块、设备状态指示模块等组成，参看图15。

(A)外挂型站级电力SCADA系统安全防护设备、外挂型现场终端级电力SCADA 安全防护设备各软件模块功能如下：

1)设备自检模块：设备自检模块负责设备系统初始化和各外部设备的连接状态 检查。

2)报文封装/解析模块：报文封装模块负责SCADA系统关键过程报文安全认证报 文、线路异常告警消息报文、入侵告警消息报文的封装工作；报文解析模块完 成子站安全防护设备接收的消息报文的消息类型、内容的解析功能。

3)通信模块：通信模块负责子站安全防护设备与外界设备的接口通信，完成消 息数据的发送与接收功能。

4)报文安全认证模块：报文安全认证模块负责对需要安全处理的SCADA系统消 息进行安全认证封装或者验证。

5)入侵检测与报警模块：入侵检测与报警模块负责异常、非法报文的检测和告 警。模块分析报文的类型，如为不规则报文，将产生入侵告警消息；同时根据 安全认证处理模块的消息认证结果，将未通过认证的报文视为入侵报文，产生 相应的告警消息。

6)异常报文过滤模块：异常报文过滤模块负责将攻击者恶意构造非电力SCADA 系统消息和未通过消息认证的电力SCADA系统报文进行阻断过滤。

7)线路异常检测与报警模块：线路异常检测与报警模块负责检测子站安全防护 设备与子站设备之间线路的通断状态，如有异常，将产生线路异常告警消息。

8)密钥管理模块：密钥管理模块实现子站安全防护设备的密钥注入、存储、使 用、保护和更新等功能。

9)IC卡读写模块：IC卡读写模块负责子站安全防护设备的IC卡插入检测、数 据读写功能。

10)设备状态指示模块：设备状态指示模块根据设备的运行状态控制设备的状态 指示灯的显示。

(B)软件处理流程

外挂型站级电力SCADA安全防护设备、现场终端级电力SCADA安全防护设备 内部的软件流程为图16所示。软件处理流程主要实现了关键报文安全认证处理、 入侵检测告警、入侵报文过滤和线路异常检测等安全处理过程。

(五)电力SCADA系统信息安全防护系统运行方法

安全设备管理系统、站级电力SCADA系统安全防护设备、现场终端级电力 SCADA系统安全防护设备采用网络化的运行方式，其运行流程如图17所示。

为了实施细粒度的电力SCADA系统安全防护，安全管理员将通过安全设备 管理系统对站级电力SCADA系统安全防护设备、现场终端级电力SCADA系统安 全防护设备进行参数配置，认证会话管理以及会话密钥分发。

同时，安全设备管理系统将显示来自电力SCADA系统子站级环网的非法入 侵，以及现场监控终端设备级环网所遭受的非法入侵。

站级电力SCADA系统安全防护设备和现场终端级电力SCADA系统安全防护 设备接入电力SCADA系统网络后，能够对重要的、关系电力网运转安全的报文 实施安全认证保护，并自动探测环网内所存在的非法报文，完成入侵检测、防 火墙功能，从而达到对电力SCADA系统的细粒度安全防护。

(六)细粒度安全防护

本发明基于电力SCADA系统关键性控制报文的细粒度安全防护方案。电力 SCADA系统属于实时工业控制系统网络，并处于时刻不停地运转状态，供电控 制中心通过电力SCADA系统感知远方电力网生产控制过程中的微小变化，并根 据策略进行控制。通常情况下，电力监控系统通信网络中流动的SCADA协议数 据报文主要有很多种类型，如链路维持、测量信息、故障信息、网络对时报文、 遥调信息、控制命令等40余种报文数据。经过长期摸索与实验，本发明总结 出电力SCADA系统的网络信息安全有两个基本特征：

(1)并不是所有在电力SDADA通信网络中流动的数据都需要进行信息安全 防护(如上述美国发明中的安全模式使用密码协议对所有数据包进行整体加密 处理)。有些报文数据不会对电力生产运转产生明显的影响，可以进行有选择 性的保护，将大大降低安全防护处理开销；

(2)对电力网正常运转具有重要意义的数据报文主要是测量信息、故障信 息、遥调信息及控制命令。因而，电力SCADA系统中协议层次的保护对象是以 下4类：

①遥测信息；

②遥信信息；

③遥调信息；

④遥控信息；

基于以上特点，本发明实现了对电力SCADA系统的细粒度安全防护，并设计 了灵巧式的安全防护系统。

(七)电力SCADA系统专用的消息认证协议

(1)协议实现的保护能力

电力SCADA系统专用的消息认证协议是电力SCADA系统信息安全防护系统 的主要创新内容之一，其依据细料度安全防护原则，并建立在系统性对电力 SCADA系统安全测试的基础上。并综合考虑了工程实现和运行管理等方面的细 节问题。实时控制专用的消息认证协议主要针对电力SCADA系统协议，其功能 主要有以下几方面：

1)保证关键性电力SCADA控制、调节命令只能由电力SCADA主站系统发出；

2)电力SCADA系统的子站只处理由合法的电力SCADA主站系统发出的控 制、调节指令；

3)电力SCADA系统的远方测控终端只处理由合法的子站系统发出的控制、 调节命令；

4)电力SCADA系统的故障信息报文防伪功能，即保障电力SCADA系统主站 仅收到合法的远程SCADA子站或SCADA测控终端发来的电网故障报文；

5)电力SCADA系统的测量信息报文防伪功能，即保障电力SCADA系统主站 仅收到合法的远程SCADA子站或SCADA测控终端发来的电网测量信息报文；

6)支撑实现电力SCADA系统信息安全防护系统的防火墙与入侵检测功能；

(2)电力SCADA系统安全消息认证算法

电力SCADA系统安全消息认证算法基于国际先进的HMAC算法(该算法是公 开的，常用的算法)，并在该算法基础上结合电力SCADA系统生产控制的实际， 进行了独特的设计。

HMAC[Krawczyk1997]，使用散列算法来构造具有可证明安全特性的MAC。 HMAC使用嵌套的密钥控制摘要。也就是说，先计算出输入的密钥和数据摘要， 然后再使用该摘要值作为另一个密钥控制摘要的输入。

电力SCADA系统安全消息认证算法：HMAC(K，M)＝H(K异或opad ||H(K 异或ipad ||M))

H：摘要算法，可以是SHA-1或MD5(SHA-1或MD5为常用的、国际公开的密 码算法[哈希算法]，此处不再详细描述)；

Ipad：由字节0x36组成的字符串；

opad：由字节0x5c组成的字符串；

K：对于所有的标准信息摘要均为64字节长，本项目中的K是共享密钥。 M：待进行安全防护处理的4类电力SCADA系统消息报文：

①遥测信息；

②遥信信息；

③遥调信息；

④遥控信息；

具体步骤：

(A)在密钥K后面添加0来创建一个字长为B的字符串。(例如，如果K的 字长是20字节，B＝64字节，则K后会加入44个零字节0x 00)

(B)将上一步生成的B字长的字符串与i pad做异或运算。

(C)将数据流M填充至第二步的结果字符串中。

(D)用H作用于第三步生成的数据流。

(E)将第一步生成的B字长字符串与opad做异或运算。

(F)再将第四步的结果填充进第五步的结果中。

(G)用H作用于第六步生成的数据流，输出最终结果。

电力SCADA系统安全消息认证算法的输出就是本发明用到的“消息认证 码”。

(3)电力SCADA系统安全防护设备的序列号产生及使用方法

安全设备管理系统、站级电力SCADA系统安全防护设备、现场终端级电力 SCADA安全防护设备的软件模块中分别设置一个序列号存储器程序。下级安全 防护设备记为客户端C，上级安全防护设备记为服务端S，电力SCADA系统上 行消息记为Msg，经过安全防护设备处理过的电力SCADA系统上行消息记为 Msg’。Nc为C本地保存的序列号，长度为4字节，初始值为0，如果 Nc＝0xFFFFFFFF，则自动清0；Ns为S本地保存的序列号，长度为4字节，初 始值为0，如果Ns＝0XFFFFFFFF，则自动清零；N为测量、故障等上行消息报文 中设置的序列号，长度为4个字节，m为0xFFFF。在S端，必须判断收到的C 端发来的序列号N的有效性，设置边界条件：Ns＜N＜Ns+m。

C与S消息认证流程中双方序列号的变化规律参看图18。

1)C端消息处理过程：

(A)从本地序列号存储器取出Nc，设置N＝Nc+1，然后改变序列号存储 器中Nc的值，使Nc＝Nc+1；

(B)将N放置于消息报文Ms g的结尾，然后使用与S的共享密钥KEY， 和HMAC算法对消息报文和序列号N一起进行MAC计算：HMAC(KEY，Msg+序列 号N)，得到MAC码H，将H放置于序列号的后面，得到经过认证安全处理的消 息报文Msg’。

2)C将Msg’发送给S。

3)S收到C端发送的经过安全处理的上行消息报文Msg’，进行报文 认证处理：

(A)使用与C端的共享密钥KEY，和HMAC算法对消息报文Msg和序列号N 一起进行MAC计算：HMAC(KEY，Msg+序列号N)，得到MAC码H’，比较H’和 H，如果不相同，则消息完整性认证失败，转到第3步；如果相同，则继续下 一步。

(B)判断N的有效性：Ns＜N＜Ns+m，m＝0xFFFF，如果N不在这个范围内，则 判断签到请求消息为异常消息(如重放消息)，消息报文无法通过认证，转到 第3步；如果N在这个范围内，则判断上行消息报文通过认证。

(C)设置S端本地的序列号存储器的内容：Ns＝N。

(4)消息认证协议

在本发明设计的消息认证机制中，安全管理系统与站级电力SCADA系统安 全防护设备共享一个秘密密钥，站级电力SCADA系统安全防护设备与现场终端 级电力SCADA系统安全防护设备共享一个秘密密钥，其针对电力SCADA系统4 类重要信息的防护工作过程分为控制方向和上报方向，如图19所示：

其中：

(A)控制方向认证协议

当电力SCADA系统主站端需要发送控制、调节命令时，位于电力控制中心 的安全管理系统首先使用秘密密钥MKEY(安全管理系统与子站级安全防护设备 共享)和电力SCADA系统安全消息认证算法对控制、调节命令报文进行消息认 证处理，得到认证值H1，然后将报文和消息认证值H1发送至电力SCADA子站系 统。

在电力SCADA子站系统端，站级安全防护设备接收到主站安全防护设备发 送的报文消息。如果报文是进行了保护处理的控制、调节类报文消息，站级安 全防护设备首先使用与主站的共享密钥MKEY，电力SCADA系统安全消息认证算 法进行计算得出一个认证值H1’，并比较H1和H1’，如果不相同，则消息认 证不通过，该报文得不到常规处理。反之则将控制、调节命令交由电力SCADA 子站系统中央处理单元处理。

如果站级电力SCADA系统安全防护设备收到没有经过消息认证处理，或者 消息认证处理失败的控制、调节命令报文，则启动入侵检测和防火墙功能模块。

子站系统完成对控制、调节命令的内部处理后，由站级电力SCADA系统安 全防护设备将新的控制、调节命令报文，使用秘密密钥SKEY(站级、现场终端 级安全防护设备共享)和电力SCADA系统安全消息认证算法对控制、调节命令 报文进行消息认证处理，得到认证值H2，然后将报文和认证值H2以一定的方式 发送至电力SCADA现场终端级环网。

现场终端级安全防护设备接收到从子站方向发过来的报文数据流，如果报 文是需要受保护的控制类报文消息，现场终端级安全防护设备首先使用与子站 的共享密钥SKEY，使用电力SCADA系统安全消息认证算法进行计算得出一个认 证值H2’，并比较H2和H2’，如果不相同，则消息认证不通过，该报文得不 到常规处理；反之则将控制、调节命令交由电力SCADA现场终端系统的中央处 理单元处理。

如果收到未经消息认证处理或消息认证失败的控制、调节报文，则启动入 侵检测与防火墙功能。

(B)电力网现场状态信息上报方向认证协议

当电力SCADA系统现场终端有电网测量和故障信息报文要向电力SCADA控 制中心上报时，现场终端级安全防护设备首先对这些报文，使用SKEY(现场终 端与站级安全防护设备共享的密钥)和电力SCADA系统安全消息认证算法进行 处理，并计算出认证值H3。然后将SCADA报文和H3以一定方式发送至电力SCADA 系统子站层环网。

站级安全防护设备将其所收到的、已经过消息认证处理的报文使用共享秘 密密钥SKEY和电力SCADA系统安全消息认证算法进行计算，得出认证值H3’， 并对比H 3与H3’。如果不相同，则消息认证不通过，该报文得不到常规处理。 反之，则将电网测量和故障信息传送至电力SCADA子站系统。

电力SCADA子站系统完成对电网测量和故障信息报文的内部处理后，由站 级安全防护将新的电网测量和故障信息报文，用MKEY以及电力SCADA系统安 全消息认证算法进行计算得出H4，然后将附加有消息认证字段的报文发送至电 力SCADA主站系统端网络。

安全管理系统接收到从子站方向发送过来的经消息认证处理的电网测量 和故障信息报文，使用MKEY和电力SCADA系统安全消息认证算法进行运算， 得出H4’，并比较H4和H4’。如果不相同，则消息认证不通过，该报文得不 到常规处理。反之，则将电网测量和故障信息传送至电力SCADA主站系统。

如果收到未经消息认证处理的或消息认证失败的电网测量和故障信息报 文，则启动入侵检测和防火墙功能。

(5)消息认证协议报文结构

目前电力SCADA系统常用的国际标准通信协议有IEC60870-5-101， DNP3.0，因此，本发明的消息认证协议结构如图20所示：

消息认证协议所产生的字段作为附加部分，跟随在受保护的四类电力 SCADA消息(IEC60870-5-101及DNP 3.0)报文之后。其中，本发明设计的消息认 证字段含两部分内容(如图21所示)：由安全设备产生的时间戳和消息认证码， 消息认证码由本发明精心设计的一种电力SCADA系统安全消息认证算法完成。 经过实时控制专用消息认证协议处理过后的电力SCADA系统协议 (IEC60870-5-101及DNP3.0)，如图22所示：

(八)电力SCADA系统专用防火墙模块功能

电力SCADA系统信息安全防护系统部署在电力SCADA系统通信环网中，其 防火墙模块主要提供针对电力SCADA系统专用协议(IEC60870-5-101，DNP 3.0) 的“包过滤”能力，对电力SCADA控制端主站与受控站之间的交互进行保护。 捕获所有流经SCADA系统受保护终端设备间的数据报文.并在电力SCADA系统 专用的消息认证协议基础上构建了包过滤能力，其访问控制基本规则为：

④、没有经过电力SC ADA系统专用的消息认证协议或认证不成功的测量信息、 故障信息、控制命令、遥调报文；

⑤、不规则报文，有可能引起SCADA协议(IEC60870-5-101及DNP 3.0)报文处 理缓冲区溢出的不规则报文(如超长报文等)；

⑥、有可能引起DOS(拒绝服务)的链路阻塞性报文；

对符合上述规则的报文将进行自动阻断。

(九)电力SCADA专用入侵检测系统模块功能

电力SCADA系统专用入侵检测系统模块结构如附图23所示，工作流程为： 由入侵检测传感器按照一定的策略(如定时抽取)截获网络数据包，并提交给入 侵检测引擎.入侵检测引擎是整个入侵检测系统的核心部件.检测子系统依据 入侵模式库中的入侵模式，判断当前网络是否遇到攻击。如果判断遭受到攻击， 则通过通信模块将各个层次的入侵行为通知电力SCADA系统安全管理系统，并 在安全管理系统告警显示。通信模块主要完成现场终端级入侵检测模块与站级 终端入侵检测模块的通信任务，以及站级终端入侵检测模块与安全管理控制系 统的通信。入侵规则模式库的构建主要基于已知的、经过试验验证有效的若干 种入侵报文模式。

(十)低成本、高安全性的密钥管理方法

主站设备与其管理的每个子站设备都有单独的共享密钥(上文中提到的 MKEY)，子站设备与其管理的每个现场终端设备都有单独的共享密钥(上文提到 的SKEY)，参看附图24。电力SCADA安全防护系统密钥管理主要包括密钥的产 生、分发、更新和管理，本发明在充分考虑了电力工业现场环境特点以及供电 企业维修管理的实际过程基础上，设计了以下几方面密钥管理过程：

密钥产生：安全管理系统含有密钥管理的功能，它负责电力SCADA安全防 护系统的密钥产生，将产生的密钥使用IC卡、密钥枪(均可购买)进行存储。

密钥分发：使用I C卡或者密钥枪将密钥导入安全防护设备中。

密钥更新：根据要求定期(可以电力工程定期检修设备的时间同步)更新各 安全防护设备的密钥。

密钥管理：所有安全防护设备的密钥按照商业密码管理要求由安全管理系 统统一管理。

本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中 披露的新特征或任何新的组合，以及披露的任一新的方法或过程的步骤或任何 新的组合。