智能电网通信协议安全威胁与防御技术

董一帆，熊荫乔,2，王宝耀

(1.国防科技大学 计算机学院，湖南 长沙 410073；2.长沙学院 电子信息与电气工程学院，湖南 长沙 410022)

0 引 言

智能电网是国家基础设施中最为重要的系统之一，也是工业生产、工作生活必不可少的能源供应系统，同时也是将计算机网络、信息基础设施同现有电力系统基础设施结合而成的自动化、数字化、智能化的电网系统[1]。随着智能变电站中各种智能设备的引入与联网运行，攻击者可以利用信息域的传统攻击方法对智能变电站系统进行攻击，使之存在严重的安全威胁。传统的智能变电站防御手段主要依靠内外网的边界防护及物理隔离，而随着信息域与物理域的深入融合，传统的防御方式已不能满足智能化发展的需要。因此，智能变电站的安全由原来物理域中简单的设备安全，演变成了信息域与物理域融合的复杂安全。2010年，“震网”(Stuxnet)病毒爆发，“毒区”(Duqu)和“火焰”(Flame)病毒也相继出现，共同形成病毒攻击群；2015年，乌克兰电力部门遭到恶意代码攻击，黑客入侵监控管理系统，乌克兰超过一半的地区断电多个小时，针对智能电网中核心设施变电站的攻击方法和检测防御技术进行分析研究变得尤为重要。

IEC 61850是以以太网(IEEE 802.3)为基础、面向对象的变电站自动化通信标准[2]。基于IEC 61850标准中的GOOSE(generic object oriented substation events)、SMV(sampled measured value)及MMS(manufacturing message specification)协议，对智能变电站安全威胁与防御技术进行了分析研究。

1 IEC 61850中的主要通信服务

智能变电站网络的整体架构分为三层，分别是站控层、间隔层和过程层，如图1所示。站控层包括自动化系统、站域控制、通信系统、对时系统等；间隔层主要包括系统测控装置、继电保护装置、监测功能组、主IED(intelligent electronic device)等二次设备；过程层包括智能电子装置及电压互感装置、变压器、电流、断路器、隔离开关等一次设备及其所属的智能组件。

图1 智能变电站的三层架构

工作在智能变电站三层架构中的IEC 61850提供了三种通讯模型：客户端-服务器模型、发布者-订阅者模型、采样值模型。通信协议主要有三类：GOOSE、SMV、MMS。

GOOSE采用发布者-订阅者模型，主要功能是从IED发送跳闸信号到断路器，控制指定区域的供电，实现设备间信息交换。交换的信息包括状态量、录波图、非实时采集量。该协议主要应用于智能变电站中过程层与间隔层之间，采用组播技术，订阅者不向发布者发送确认信息。GOOSE协议数据单元大小约1 500字节，时限要求小于4 ms；GOOSE报文包含sqNum(序列号)和stNum(状态号)，无事件发生时，sqNum随着报文的发送而累加(越界重置)，stNum保持不变；事件发生时，stNum累加(越界重置)，sqNum重置。

SMV协议与GOOSE相似，同样采用组播技术，实时性报文时限要求为4 ms，反映了智能变电站系统设备运行的真实情况，是SCADA(supervisor-y control and data acquisition)与EMS(energy management system)状态估计的主要依据。SMV提供了釆样值模型对象及服务，包括这些模型对象本身及服务到以太网数据端之间的映射，协议数据单元大小约1 500字节，时限要求小于4 ms，该服务主要应用于数字化变电站间隔层设备与过程层间的单向电流、电压采样值传输，将采样的测量电压和电流值从合并单元(merging unit，MU)发送到IED。

制造报文规范MMS是智能设备之间交换实时数据和监控信息的一套独立的国际报文规范，该标准来源于20世纪80年代的通用汽车公司。目的是为了规范智能电子设备、智能传感器、智能控制设备的通信行为，使不同厂商的设备可互操作。在智能变电站中，MMS协议主要用于间隔层与站控层设备之间的通讯，不规定通信的网络类型和通信帧的格式，而规定了通信模式和通信帧的功能，为变电站的稳定运行提供保证。协议数据单元大于3 000字节，无时限要求，传输类型为面向连接。

2 智能变电站网络协议脆弱性分析

工作在智能变电站上的IEC 61850标准本身并没有指定安全策略，也没有强制使用任何身份认证或加密技术，因而无法抵抗各种网络攻击。一旦变电站遭受攻击，将导致变电站自动化系统故障、断路器执行虚假操作、现场设备物理损坏或使整个控制区域的电力中断。

GOOSE和SMV报文采用的组播技术使得网络安全问题凸显，如开放组员资格和可接入设备带来的安全问题。GOOSE和SMV报文传输有严格的时限要求(4 ms)，而IED的存储空间与计算能力均十分有限，因此无法采用复杂的信息技术安全手段。GOOSE报文中的stNum和sqNum均用32位无符号整数表示，取值范围为0到232-1。攻击者利用GOOSE的通信机制在此范围内伪造指定的stNum与sqNum字段，使后续GOOSE报文被丢弃，造成严重后果。

目前合并单元在使用SMV报文处理的过程中没有任何信息安全防护手段，类似虚假数据注入的攻击方法将产生严重的威胁。起保护作用的SMV报文容易遭受恶意篡改，将引起继电保护系统错误响应甚至拒绝响应，导致严重后果；起测控作用的SMV报文，是SCADA与EMS进行系统状态估计的重要参考，若遭受恶意篡改，将导致SCADA/EMS做出错误乃至危险的决策。

MMS是智能变电站中使用广泛的通讯服务协议。虽然MMS存在认证和访问控制机制，但它工作在TCP/IP上，后者对于中间人攻击是脆弱的，使得MMS对中间人攻击同样脆弱。此外，MMS没有加密，也没有校验和字段，即使存在校验和字段，攻击者依然可以使用中间人攻击方法实现对所有数据包的读取，也可以通过未加密的数据包读取相关信息并伪造校验字段来实施攻击。因此MMS十分脆弱，安全性无法保证。

综上，组播的通信机制、报文的明文传输、无安全的认证机制等，使得智能变电站在大部分的网络攻击下是十分脆弱的。

3 攻击方法分析

作为国家关键基础设施的智能变电站已经成为恶意攻击的主要目标，攻击可以来自智能变电站的外部和内部，如图2所示[3]。攻击者可以从远程接入点A1或者控制中心A2发起外部攻击，突破防火墙并攻入智能变电站网络A3后，其所有设备都暴露在攻击者面前；攻击者也可以直接从智能变电站网络A3和用户接口A4发起内部攻击，进而控制网络中的其他设施。

图2 变电站网络入侵点

3.1 针对GOOSE协议的攻击

一个有效的GOOSE报文的欺骗攻击分为四个步骤[4]，第一步监视以太网报文，通过截获以以太网帧的协议类型字段为0X88B8识别出的GOOSE报文，得到报文的时间间隔；第二步使用ASN.1编码方式对GOOSE报文解码；第三步更改数据集中的值如翻转报文中控制量相关的布尔值，并保持stNum和sqNum序列性质；第四步，使用BER(basic encoding rules)编码数据包，并通过克隆源MAC地址的物理端口在观察到的时间间隔内插入欺骗报文，完成一次欺骗攻击。图3展示了攻击者在每个有效报文之间插入欺骗数据包的时间与方法[4]。其中T0指稳定状态(长时间没有事件产生)下的报文发送间隔，T1指事件发生后的最短重传时间间隔，T2、T3指重传时间间隔递增直到到达稳定状态，攻击者在T0时间段内插入错误的二层数据包。

图3 GOOSE攻击原理

3.2 针对SMV协议的攻击

针对SMV报文的攻击与针对GOOSE的攻击相似，因此大多数研究均将针对这两类报文协议的攻击放在一起进行研究。

第一种攻击方式是Hong等[5]提出的基于GOOSE和SMV的欺骗攻击，这种攻击方式是攻击者修改捕获的网络数据包内容，用于对IED设备的破坏。随后Hong等[3]进一步扩展了这种攻击方法，通过恶意软件实现捕获、更改并重新向网络中注入虚假报文实施攻击。第二种攻击方法是发送大量的SMV消息报文“淹没”IED设备，阻止IED服务于合法的SMV消息[5]。当然，这种方式即Dos攻击，也可以用于GOOSE报文的攻击。对于SMV数据包，攻击者可以产生一个模拟值(电流或电压值)，并将该值发送到变电站中的控制中心，产生恶意操作，这种攻击将使攻击者能够获得对IED的控制，并引起计划外停电甚至损坏变电站现场设备。还有一种攻击方式是重放攻击，攻击者可以捕获包含电压值的SMV数据包，然后将该相同的SMV数据包重放到变电站中的IED，导致IED无法收到正确的采样值。

3.3 针对MMS协议的攻击

由于MMS的操作基于TCP/IP协议，而后者非常容易受到中间人攻击，且MMS协议报文没有加密，所以MMS也面临中间人攻击威胁。如通过ARP欺骗，攻击者可以对智能变电站设备的MMS通信发起中间人攻击，攻击位置位于网关与SCADA系统之间，攻击者在交换机位置切断SCADA系统与物理设备的通信，伪造身份来进行中间人攻击。

Kang等[6]提到了针对MMS的中间人攻击有4种类型：窃听、修改、注入和DOS攻击。窃听指攻击者可以通过窃听来收集更多的机密信息，比如攻击者可以观察两台设备之间的所有流量，并通过解码MMS报文收集设备信息，这样就可以在应用层执行新的攻击。修改指攻击者从某个设备截获报文，修改报文并将修改后的报文发送到原目的设备。注入攻击在设备通讯过程中进行，由于攻击者注入的报文会删除或者更改目标设备中的操作，因此会使目标设备产生异常响应。此外，注入攻击使得TCP报头中的序列字段和确认字段以及MMS报文中调用的ID字段产生变化，设备之间的通信会被终止或者重置。基于中间人攻击的Dos攻击分为两种，一种是攻击者丢弃中间人攻击的转发步骤，阻止所有报文到达原目的地址。第二种方式是攻击者将报文中的数据进行修改，使得设备获得错误的数据，而无法提供应有的服务。

3.4 典型攻击方法比较

上述三种协议的攻击方法主要从协议的运行机制和漏洞入手，破坏了智能变电站网络系统的可靠性、可用性、保密性、完整性、不可抵赖性、可控性，综合比较如表1所示。

表1 典型攻击方法比较

除此之外，从信息域与物理域的融合来看，针对智能变电站构成的整个系统的攻击威胁可以分为四类[8]：第一类是针对信息域的攻击，威胁信息的真实性、完整性和可用性；第二类指信息域到物理域的攻击，通过信息域渗透进入智能变电站的网络设备及电气设备，造成物理域的实质破坏；第三类是物理域到物理域的攻击，通过对物理域中的某台设备的攻击使相关物理设备产生异常；第四类是物理域到信息域的攻击，通过对物理参数的篡改误导信息域中的相关信息服务。

4 攻击检测与防御技术

4.1 检测技术

现有的IDS不能有效检测针对GOOSE和SMV协议最常见的欺骗攻击和重放攻击，因此Da Silva等[9]提出了一种基于异常检测的方法来检测欺骗攻击，通过观察智能变电站系统中的正常操作，将违反正常的任何操作都归类为入侵来抽取GOOSE消息的特征，用以对欺骗攻击进行识别。针对GOOSE和SMV报文的攻击行为，Hong等[3]提出了智能变电站组播报文异常检测模型(SMMAD)，由三部分组成，分别是包分类模块、异常检测模块和评估模块，通过预先定义的重传规则估算出限定时间内的GOOSE报文数量作为阈值，当捕获到的单位时间内的报文数量大于阈值，说明极有可能发生了注入攻击或Dos攻击，SMV异常检测与其相似。

Sheng等[10]提出了一种虚假数据检测算法，利用智能变电站网络中的各类故障数据对概率型神经网络(PNNs)进行训练，并将训练后的PNNs作为入侵检测的手段。Yang等[11]提出了一种基于IEC 61850的新型入侵检测系统，包含访问控制检测、协议白名单、基于模型的检测和基于多参数的检测，并在实验中得到了有效的验证。Kwon等[12]提出了基于行为的入侵检测系统，它使用多个网络特性的统计分析，检测精度较高，不仅能检测到已知攻击，还能检测出未知攻击。

4.2 防御技术

基于IEC 61850的智能变电站系统对报文传输有严格的时限要求，在变电站实时通信环境中，Khaled等[16]研究了安全通信机制，重点分析了MMS的TCP/IP安全配置，测试了不同的加密套件，最后提出了一系列的密码套件组合应用方法。Wang等[17]提出了基于GCM的通用型消息认证加密算法；Zhang等[18]提到轻量级分组密码主要有两类，一类是对标准分组密码如DES、AES等算法的组件进行轻量化改进；另一类是用新的架构设计加密算法，如MIBS、SEA、LED等。除密码算法设计与改进外，也需要对加密体系进行研究与修改，Luo等[19]提出了一种SM2加密体系并在变电站中应用，并证明了该体系下可满足GOOSE和SMV报文的传输要求。

表2 检测技术综合比较

IEC 62351是针对IEC 61850、IEC 60870-5-104等在内的通信协议安全的一套标准，通过相关加密算法使协议增强并提高智能变电站网络的报文传输安全[20]。采用了分层、面向对象建模等技术，将GOOSE/SMV消息直接映射到链路层和物理层，确保消息分组的实时传输。IEC 62351-4规定了协议的扩展算法来保护MMS报文，建议使用TLS方法来保护MMS通信，然而，传统的嵌入式系统资源和性能是有限的，复杂加密会导致高内存占用率及高CPU使用率，使得大量实时报文传输延迟，造成严重后果，因此IEC 62351-4提出的方法未得到广泛采用。

智能变电站网络面临着越来越大的网络攻击的风险，为了应对这种风险，一个比较合理的发展方向是为智能变电站设计和部署一个额外的防御层。Gunathilaka等[21]介绍了SoftGrid的设计和实现，SoftGrid是一个基于软件的智能电网测试台，用于评估保护变电站远程控制接口安全方案的有效性、性能和互操作性，展示了SoftGrid的功能和实用性，但其中依然存在兼容性问题。

5 结束语

随着网络安全问题逐渐从传统网络领域扩展进入工业控制网络之中，基于文中相关工作的调研和分析，认为智能变电站网络在安全性和防御检测方面有如下发展趋势：

针对当前已有和未来将出现的各类攻击方法，迫切需要设计更加安全、可靠、适用的智能变电站通信系统来保证机密性、完整性和可控性。针对监控信息传输的实时性要求，需要提出符合变电站硬件性能的新型轻量级加密和认证算法。由于智能变电站系统使用的软硬件平台种类繁多且标准性能差异较大，通用型轻量级密码技术的研究仍然面临挑战。除了考虑检测传统的攻击手段，还应该考虑人的因素。例如，系统考察智能电网等工业设施中操作员的脆弱性、行为异常，大量用户的集体行为对系统的稳定性和安全性的影响等。