СИСТЕМА БЕЗОПАСНОСТИ ДЛЯ ИНТЕЛЛЕКТУАЛЬНОЙ СВЯЗИ ПОДСТАНЦИИ С УЧЕТОМ РАБОТЫ В РЕАЛЬНОМ ВРЕМЕНИ
Мингазов Е.Х.,
студент магистратуры 2 курс, факультет Электротехнический, Самарский Государственный Технический Университет,
Россия, г. Самара
Аннотация: В данной статье изучаются требования к безопасности услуг связи на интеллектуальных подстанциях, анализируются возможности безопасности и недостатки стандарта МЭК 62351, а также предлагается новая схема безопасности для интеллектуальной связи подстанций, что позволит избежать фальсификации, подделки и кражи сообщений об измерениях и управлении в интеллектуальной сети может вызвать один сбой в энергосистеме.
Ключевые слова: электрическая интеллектуальная подстанция, цифровая защита, релейная защита.
Abstract: This paper examines the security requirements for communication services in smart substations, analyzes the security capabilities and shortcomings of the IEC 62351 standard, and proposes a new security scheme for smart substation communication, which will avoid tampering, counterfeiting and theft of measurement and control messages in the smart grid. cause one power failure.
Keywords: electric smart substation, digitalized protection, relay protection.
безопасность связь интеллектуальная подстанция электротехническая комиссия
Вступление
С развитием интеллектуальных подстанций связь подстанций постепенно развивалась от двухточечных соединений до сетевых соединений. Интеллектуальные подстанции сталкиваются с растущими угрозами кибербезопасности. Однако как внутренняя, так и телемеханическая связь построенных интеллектуальных подстанций до сих пор не использовала никаких мер безопасности [1]. Такие сообщения, как сообщения с выборочными значениями и сообщения управления защитой, можно легко подделать, подделать или украсть из-за отсутствия проверки целостности, аутентификации или шифрования. Безопасность услуг связи оказывает огромное влияние на надежную работу основных устройств. Атака сообщений может вызвать сбои в энергосистеме и привести к неоценимым потерям. Типичный случай - масштабное отключение электроэнергии в украинской сети из-за кибератаки в конце 2015 года [2]. Поэтому необходимо срочно добавить меры безопасности в сети связи на подстанции.
Меры безопасности приводят к дополнительным затратам на вычисления и задержке связи, несмотря на повышение безопасности связи интеллектуальных подстанций. Устройства измерения и управления на интеллектуальных подстанциях обычно представляют собой встроенные системы с ограниченными вычислительными ресурсами. Интеллектуальные подстанции предъявляют высокие требования к связи в реальном времени, и качество связи в реальном времени напрямую влияет на надежную работу первичного устройства. Следовательно, при разработке схемы безопасности для сети связи подстанции мы должны учитывать не только безопасность схемы, но и ее производительность в реальном времени.
Чтобы обеспечить безопасность связи на интеллектуальных подстанциях, Международная электротехническая комиссия (МЭК) разработала некоторые меры безопасности, опубликованные в МЭК 62351[3]. Кибербезопасность интеллектуальных подстанций также вызвала широкую общественную озабоченность в международных научных кругах. В [4] представлены три слабых места МЭК 62351, но без изменений. В [5] представлен механизм безопасности на основе режима галуа/счетчика (GCM) для обеспечения безопасности связи интеллектуальных подстанций, но распределение ключей и управление ими очень сложны. Ссылка [6] предложил метод аутентификации по паролю, основанный на теории хаоса, который плохо сопротивляется атакам с открытым текстом. Для обеспечения безопасной передачи коммуникационных сообщений в [7, 8] предложены механизмы безопасности на основе SM2, в [9] разработан механизм безопасности, который был смешан с шифрованием с помощью DES и RSA, но оба они требуют высокой вычислительной производительности. для удовлетворения требований связи подстанции в реальном времени, поэтому они не подходят для систем подстанции.
Некоторые ученые изучали механизмы управления ключами шифрования для интеллектуальной сети, которые можно разделить на следующие категории: схемы управления ключами на основе симметричного ключа [10], инфраструктура открытых ключей (PKI) [11], криптосистема на основе идентификации (IBC) [12], и предустановленные ключи [13]. Однако у каждого из этих четырех ключевых механизмов управления есть свои недостатки. Симметричный ключ уязвим для атак типа "злоумышленник посередине"; механизм на основе PKI создает большие нагрузки в сети связи, а также задержки при обмене сертификатами; Механизмы, основанные на IBC или предустановленных ключах, имеют проблему условного депонирования ключей. Кроме того, чтобы избежать задержки обмена сертификатами и снизить нагрузку на сеть связи, некоторые ученые пытаются использовать метод предустановленного сертификата для нового устройства с учетом того, что коммуникационные отношения на интеллектуальных подстанциях надежны, но это связано с проблемой обновления сертификата.
Короче говоря, хотя ученые провели обширные исследования безопасности связи интеллектуальных подстанций, существуют различные недостатки в рассмотрении их характеристик, особенно требований реального времени. Кроме того, до сих пор ни одно исследование не решило проблемы задержки обмена сертификатами, управления сертификатами и условного депонирования ключей при управлении ключами.
Поэтому, направленный на киберугрозы интеллектуальных подстанций, в данной статье анализируются возможности безопасности и недостатки стандарта МЭК 62351 и представлена общая схема безопасности для интеллектуальной связи подстанции с учетом производительности в реальном времени. Чтобы расширить возможности связи подстанции с точки зрения конфиденциальности, целостности, аутентичности, устойчивости к атакам с повторением и невозможности отказа от авторства, предлагаются меры безопасности для внутренней связи и связи телеуправления. Более того, метод управления ключами разработан на основе криптографии с открытым ключом без сертификатов (CLPKC), чтобы избежать задержки обмена сертификатом и проблемы депонирования ключей. Ну наконец то,
Требования безопасности интеллектуальной подстанции и возможности безопасности МЭК 62351. Угрозы и требования безопасности умных подстанций
Атаки на интеллектуальные подстанции можно разделить на две фазы с точки зрения времени:
1. Поиск подходящего пути атаки для доступа к коммуникационной сети подстанций;
2. Атаковать коммуникационную сеть или важные коммуникационные сообщения, чтобы вызвать неисправности в физическом устройстве, что в конечном итоге достигнет цели атаки интеллектуальной сети [ 14].
На первом этапе мы можем развернуть физическую изоляцию, брандмауэр и другие меры на подстанциях, чтобы заблокировать путь атаки. Поэтому мы изучаем угрозы и требования безопасности коммуникационных сервисов в сценарии, когда злоумышленники успешно получили доступ к коммуникационной сети подстанции.
В настоящее время интеллектуальные подстанции обычно имеют структуру «три уровня, две сети».
Данные, которыми обмениваются уровень подстанции и другая подстанция или удаленный центр управления, в основном представляют собой команды управления и исходные файлы данных. Данные, которыми обмениваются уровень подстанции и уровень присоединения, представляют собой команды управления, информацию о состоянии устройства и постоянные значения. В вышеупомянутых услугах передачи используется протокол производственной спецификации сообщений (MMS). Эти данные могут быть подделаны или подделаны, чтобы нарушить нормальную работу подстанций, а данные о состоянии могут быть украдены злоумышленниками для будущих атак. Поэтому необходимо обеспечить их конфиденциальность, целостность и подлинность.
Обмен данными, будь то на уровне присоединения или между уровнем присоединения и уровнем процесса, осуществляется через сеть уровня процесса и в основном использует протокол общих объектно-ориентированных событий подстанции (GOOSE) или протокол выборочных значений измерений (SMV). Сообщения выборочных значений от блока объединения (MU) до устройства защиты и управления (P&C) используют протокол SMV. Команды управления и сообщения о состоянии переключателя используют протокол GOOSE. Эти сообщения требуют высокой производительности в реальном времени. Злоумышленник может контролировать непрерывность работы основного устройства или вызвать неисправность основного устройства путем подделки, подделки или воспроизведения сообщений, тем самым вызывая выход из строя основного устройства или нестабильность интеллектуальной сети. Воровство этих сообщений не имеет смысла. Следовательно,
Кроме того, на нынешних интеллектуальных подстанциях отсутствует мониторинг сети и аудит журналов, поэтому источник невозможно отследить. Следовательно, они уязвимы для атак отказа. Кроме того, все службы на подстанциях могут пострадать от атак типа «отказ в обслуживании» (DoS), которые влияют на доступность ресурсов подстанций.
Вкратце, основными угрозами безопасности подстанций являются несанкционированный доступ, подделка документов, кража, DoS и отказ от авторства.
Возможности безопасности и недостатки МЭК 62351
В соответствии с МЭК 62351 угрозы безопасности, требования и возможности МЭК 62351 для сообщений в сетях связи подстанций можно резюмировать, что возможности безопасности МЭК 62351 не могут соответствовать требованиям безопасности подстанций.
В МЭК 62351 также есть дополнительные недостатки:
1) Управление ключами или сертификатами еще не определено в стандартах МЭК 62351.
2) Некоторые меры безопасности, указанные в МЭК 62351, имеют недостатки, которые делают их непригодными для услуг связи на интеллектуальных подстанциях. В качестве иллюстрации, производительность указанного алгоритма подписи для сообщений GOOSE и SMV не может удовлетворить требования в реальном времени для связи подстанции из-за высокой сложности RSA.
Требования безопасности интеллектуальной подстанции и возможности безопасности МЭК 62351
Меры безопасности для внутренней связи интеллектуальных подстанций
Меры безопасности, предложенные для GOOSE/SMV, могут использоваться для защиты связи на уровне присоединения и связи между уровнем присоединения и уровнем процесса. Меры безопасности, предлагаемые для MMS, могут использоваться для защиты связи на уровне подстанции и связи между уровнем подстанции и уровнем присоединения.
Меры безопасности для GOOSE/SMV
Требованиями безопасности GOOSE/SMV являются аутентичность, целостность, доступность и безотказность. Принимая во внимание одинаковые требования безопасности протоколов SMV и GOOSE, в этом документе разрабатываются те же меры для защиты сообщений GOOSE/SMV.
Согласно МЭК 62351-6, зарезервированные поля и поля расширения в GOOSE/SMV используются для расширения функции сообщений GOOSE/SMV следующим образом:
Первый байт поля Reserved1 должен использоваться для определения количества октетов, передаваемых октетами расширения; поле Reserved2 должно содержать 16-битный циклический избыточный контроль (CRC), CRC должен вычисляться по октетам 1-8 информации VLAN расширенного блока данных протокола (PDU).
Расширение должно быть закодировано; поле значения аутентификации должно использоваться для хранения значения подписи.
Чтобы предотвратить повторную атаку, предлагается фильтрация с перекосом и проверка отметок времени, чтобы различать текущие сообщения и устаревшие сообщения.
Меры безопасности в МЭК 62351 для GOOSE / SMV не могут устоять перед отказом от авторства. Поэтому в этом документе предлагается, чтобы уникальная идентификация от имени устройства на подстанции была добавлена в поле Зарезервированная
ПОСЛЕДОВАТЕЛЬНОСТЬ. Следовательно, устройство не может отрицать свое участие в коммуникации. Более того, учитывая требования к сообщениям GOOSE/SMV в реальном времени, для вычисления значения подписи используется алгоритм кода аутентификации сообщения на основе хэша (HMAC) вместо асимметричного алгоритма RSA, указанного в МЭК 62351, а алгоритм SHA256 используется для расчета хеша.
Меры безопасности для MMS
MMS - это прикладной протокол, основанный на TCP/IP. Требование безопасности MMS включает конфиденциальность, целостность, аутентичность, доступность и неотказуемость.
Согласно МЭК 62351-4 подлинность MMS обеспечивается аутентификацией однорангового объекта, которая происходит во время установления ассоциации. Аутентификация реализуется посредством безопасности элемента службы управления ассоциациями (ACSE) следующим образом: включение поля требований-отправителя-ACES и поля-требования- ACSE-ответчика функционального блока аутентификации (FU) ACSE, определение структуры данных MMS_Authentication-value, где значение подписи сохраняется.
Чтобы улучшить меры безопасности в МЭК 62351 для MMS с точки зрения целостности, невозможности отказа от авторства и конфиденциальности, в этом документе предлагаются следующие меры безопасности.
Чтобы защитить целостность MMS, в этом документе используется метод хеширования даты MMS-сообщений с использованием алгоритма хеширования для предотвращения несанкционированного изменения. Учитывая требования интеллектуальных подстанций к безопасности и производительности в реальном времени, мы выбрали SM3 в качестве алгоритма хеширования. Чтобы противостоять атаке отказа от авторства, в этом документе предлагается добавить уникальную идентификацию устройства в сообщение MMS.
МЭК 62351 предполагает, что конфиденциальность MMS обеспечивается протоколом TLS, но не содержит подробных сведений о нем, а TLS имеет недостатки в реальном времени. Кроме того, на интеллектуальных подстанциях существуют различные службы передачи сообщений MMS, такие как сообщение о состоянии устройства и сообщение о передаче файлов. Сообщение о состоянии устройства - это сообщение со средней скоростью, тогда как сообщение о передаче файла - это сообщение с низкой скоростью. У них разные требования к работе в реальном времени для услуг связи. Таким образом, в этом документе различные меры безопасности разработаны для различных служб MMS-сообщений, чтобы гарантировать их конфиденциальность после рассмотрения их требований в реальном времени: низкоскоростные сообщения используют модифицированный TLS, предложенный в этом документе; среднескоростные сообщения используют метод «подпись-затем-шифрование» на отправляющей стороне и «дешифрование-затем-аутентификация» на принимающей стороне. По сравнению с алгоритмом RSA, SM2 имеет преимущества более высокой безопасности, более быстрой работы и меньшего потребления ресурсов, поэтому мы выбираем SM2 в качестве алгоритма аутентификации и шифрования.