郑 洁

（国电南瑞科技股份有限公司，南京 210061）

目前在智能变电站的各个层次上都采用以太网通讯，相对于传统变电站有了很多优点，比如节约电缆费用，减小设备连接复杂度等[1]，但是目前过程层GOOSE网络、SV网络和间隔层MMS网络相对独立，二次设备的网络接口较多，网络连接和点对点连接的现象并存，导致网络结构非常复杂，不利于调试和检修，且过程层接口多为光纤接口，众多的光纤接口，在长期运行后可靠性势必会下降，同时也增加了装置与系统在网络通信方面的硬件成本。

为提高智能变电站内网络通信的可靠性，在现行的网络结构设计前提下，普遍做法是在应用层做冗余设计，这导致装置整体性能较差且标准化程度低，若引入基于IEC 62439-PRP的冗余设计后，可大大提高站内网络通信的可靠性。

对于电力系统的安全设计，目前设计的防护措施基本上是边界安全措施[2]，并未过多涉及变电站内部网络通信的安全防护的具体实施方案，若在变电站内受到攻击时系统将会变得非常脆弱。近年来信息安全事件的曝光，使全球震惊之余，也让我们认识到：国家重要行业的信息安全正面临着严峻的考验，电力系统内全面的信息安全迫在眉睫[3]。

1 网络结构的优化方案

1.1 目前组网方案概述

智能变电站通信网络采用IEC 61850国际标准，标准将变电站在结构上划分为变电站层、间隔层和过程层[1-4]，并通过分层、分布、开放式网络系统实现连接。变电站层与间隔层之间的网络称为变电站层网络，间隔层与过程层之间的网络称为过程层网络。因为变电站层网络和过程层网络承载的业务功能截然不同，在以往的技术条件下，为了保证过程层网络的实时性、安全性，变电站层网络与过程层网络物理分开，也就是“三层两网”结构。变电站层网络功能和结构与传统变电站的计算机监控系统网络基本类似，全站信息的汇总功能（包括防误闭锁）可依靠MMS/GOOSE网络实现。过程层当前涉及的组网方式主要有以下几种[5-6,12]：①SV直连，GOOSE直连，此方式的实现与传统变电站的电缆连接方式极为类似，此方式虽然能保证数据传输的可靠性，但是数据无法共享且连接IED的网络口过多，增加设备成本且设备发热量较大；②SV直连和GOOSE组网，此方式在一定程度上实现了数据传输的网络化，具有较高的自动化程度。但是 SV采用点对点方式，仍然无法实现采样的数据共享；③SV组网和 GOOSE直连，此方式出现在早期的数字化变电站建设阶段，多关注SV数据共享；④SV组网和 GOOSE组网，此方式符合变电站自动化发展方向，也满足智能变电站组网要求，但是此方式较为复杂，需要交换机数量较大；⑤混合组网，混合组网方式是结合上述几种组网方式。

1.2 MMS、GOOSE、SV的共网技术

对于“三层两网”的网络结构而言，网络复杂，带宽未充分利用，目前智能站内以太网的带宽高达100Mbps以上，即使应用于超大规模变电站也游刃有余，GOOSE网络与MMS网络流量明显偏小，比如按照 GOOSE的发送机制，一个智能设备变位时的最大数据流量为0.03Mbit/s，一个间隔内的SMV网与GOOSE网总流量为5Mbit/s左右，占网络带宽并不大[7-8]。为此本文设计多网合一的组网方式，在网络架构高度集成之后，考虑硬件网络冗余方式，则可达到简化网络结构，充分利用带宽，减少建设和运维成本等目的的同时，提高系统的可靠性。

2 硬件通信冗余设计

IEC 62439标准[9]中提出利用并行冗余协议PRP（ParallelRedundancy Protocol，PRP）以提高系统的可靠性。基于PRP的冗余网络要求装置包含双以太网控制器和双网络端口，分别接入两个完全独立的以太网，实现装置通信网络的冗余[10]。如图 1所示。运行PRP协议的装装置通过两个并行的以太网适配器（网口1及网口2）分别连接到A网及B网，网口1和网口2使用相同的MAC地址，这两个以太网适配器通过链路冗余控制模块（PRP模块）连接到上层数据应用模块，冗余模块通过冗余算法只将A网或B网的数据传递给上层数据应用模块。由于有了链路冗余控制模块，从上层数据应用模块向下看，实际具有冗余的网口呈现非冗余的特性。通过应用基于PRP设计的硬件通信冗余模块，可提高网络通信可靠性的同时不影响装置的任何性能，最终可保证智能变电站多网合一的组网方式下通信的可靠性。

图1 PRP冗余网络拓扑示例

3 基于IEC 62351的站内信息安全设计

IEC制定的 IEC 62351[11]数据和通信安全标准的目的就是为了解决电力通讯领域的数据和通讯的安全问题。在IEC 62351中，认证和加密是核心内容。本文基于IEC 62351所设计的智能变电站信息安全强化方案也是通过认证来最小化中间人攻击的威胁、最小化某些类型的旁路控制威胁以及最小化无意和恶意的人员行为威胁。通过数字签名，可提供实体认证来确保对信息的唯一授权访问，而通过加密，提供认证密钥的机密性，可防止消息被篡改、监视及防止消息重放和欺骗等。本文的安全设计涉及智能变电站内MMS协议安全加固以及SMV协议和GOOSE协议的安全加固。

3.1 MMS协议安全设计

对于MMS协议安全设计主要分为两个部分：，①基于TCP/IP协议集上的安全改造，如图2中的认证加密层：②在 MMS的应用层上，客户与服务器之间在关联过程中的认证。

图2 MMS协议加固

对于认证加密层采用可采用TLS/SSL协议，而通过对 MMS关联过程中的请求和响应进行扩展，在 MMS的应用层进行两个通信实体间进行基于数字证书的身份认证，认证信息可用来对访问者的权限进行控制，并在一定程度上防止重放攻击。

3.2 GOOSE/SV协议安全设计

1）安全设计方案

对GOOSE/SMV协议的安全设计，通过利用对报文协议格式中的保留字段加以利用以及对协议的扩展来实现安全改造的目标。如图3所示，图3（a）为IEC 61850中GOOSE原始报文结构；图3（b）所示为为改造后的报文结构。其中对原报文中的保留字段进行定义（图 3（a）中的原保留部分），把其扩展定义为尾部签名字段长度及相关字段的CRC计算结果。且对尾部进行扩展（图3（b）中的Extend）的内容为对报文相关字段的加密签名的具体内容。

图3 GOOSE协议加固

对于经过安全设计的 GOOSE模块，其发布方在发布消息时对其消息进行加密签名，而订阅方侧在接收到报文后进行验签，验签失败则丢弃该消息。考虑到嵌入式系统的实时性要求，加密时建议采用对称加密的方式。SMV协议的安全设计与GOOSE协议类似。

2）安全设计对实时性的影响

在对报文进行签名与验签时，会消耗一定的CPU资源开销，考虑到过程层设备的实时性要求，需要验证在对GOOSE/SV报文经过安全设计后对装置整体性能的影响。经过实验，见表 1，密钥长度为100的情况下，在已工程应用的装置内测试，在同一次中断任务内对 GOOSE报文先后进行一次签名和解签过程，采用SHA256算法时实际使用使用的时间为200μs左右，而采用SHA1算法时，时间较少为80μs左右，实际应用中中断周期为833μs，故综合考虑目前的硬件资源，在安全设计时考虑应用较为简单的加密算法时，对装置性能的影响是很少的。

表1 实验数据

4 结论

根据新一代智能变电站的发展要求，迫切需要优化站内网络结构、提高系统的可靠性，且增加网络信息安全设计。本文针对此发展要求，提出了网络优化方案，设计了网络冗余的实现方案，并基于IEC 62351加固了智能变电站内 MMS、SMV及GOOSE网络通信协议。可有效提高智能变电站的系统可靠性和信息的安全性。

[1] 李瑞生, 李燕斌, 周逢权. 智能变电站功能架构及设计原则[J]. 电力系统保护与控制, 2010, 38(21):24-27.

[2] 辛耀中. 网络信息安全防护的四个问题[C]. 中国信息协会信息安全专业委员会年会文集, 2004:150-157.

[3] 胡炎, 董名垂, 韩英铎. 电力工业信息安全的思考[J]. 电力系统自动化, 2002, 26(7): 1-4, 12.

[4] 窦晓波, 胡敏强, 吴在军, 等. 数字化变电站通信网络性能仿真分析[J]. 电网技术, 2008, 32(17): 98-104.

[5] 杜振华, 王建勇, 罗奕飞, 等. 基于MMS与GOOSE网合一的数字化网络保护设计[J]. 电力系统保护与控制, 2010, 38(24): 178-181, 221.

[6] 魏勇, 罗思需, 施迪, 等. 基于 IEC 61850-9-2及GOOSE共网传输的数字化变电站技术应用与分析[J]. 电力系统保护与控制, 2010, 38(24): 146-152.

[7] 徐成斌, 孙一民. 数字化变电站过程层GOOSE通信方案[J]. 电力系统自动化, 2007, 31(19): 91-94.

[8] 郑新才, 周鑫, 王素华, 等. 数字化变电站的GOOSE网络测试[J]. 电力系统保护与控制, 2009,37(24): 85-89, 93.

[9] International Electrotechnical Commission. IEC 62439 SC 65C High availability automation networks[S].Geneva, Switzerland: IEC, 2008.

[10] 王海峰, 丁杰, 徐伟. 数字化变电站中双网控制策略[J]. 电力系统自动化, 2009, 33(8): 48-50, 67.

[11] International Electrotechnical Commission. IEC62351(Committee Draft). Data and Communication Security[S].2008. Systems, 2002, 26(27): 9-11(in Chinese).

[12] 樊陈, 倪益民, 窦仁辉, 等. 智能变电站过程层组网方案分析[J]. 电力系统自动化, 2011, 35(18): 67-71.