GBT 25320.6-2023 电力系统管理及其信息交换 数据和通信安全 第6部分：IEC 61850的安全

电力系统管理及其信息交换数据和通信安全第6部分：IEC61850的安全国家标准化管理委员会IGB/T25320.6—2023/IEC62351-6:2020 Ⅲ V1范围与目的 11.1范围 11.2命名空间名称和版本 11.3代码组件发布 12规范性引用文件 2 33.1术语和定义 33.2缩略语 34本文件应对的安全问题 44.1影响安全选项选择的运行问题 44.2应对的安全威胁 44.3应对的攻击方法 45IEC61850部分与IEC62351各部分的相关性 45.1概述 45.2IEC61850-8-1客户端/服务器通信协议集 55.3使用VLANID规范的IEC61850安全性 65.4IEC61850-8-2客户端/服务器通信的协议集 65.5用于客户端/服务器服务的发布者ID 66多播关联协议 66.1概述 66.2防重放攻击(ReplayProtection) 7 8IEC61850-8-1GOOSE和IEC61850-9-2采样值的2层安全性简介 8.1Ethertype概述(资料性) 9变电站配置语言扩展 9.1服务能力 9.2启用安全性的发布 9.3模拟(Simulation)的使用 ⅡGB/T25320.6—2023/IEC62351-6:202011.1一致性概述 11.2声明符合IEC61850-8-1ISO9506(应用协议集)安全性实现的一致性 11.3声明VLAN协议集安全实现的一致性 2211.4声明SNTP协议集安全实现的一致性 参考文献 图1MMS安全协议集(MMSSecurityProf 5图2GOOSE防重放攻击状态机 7图3SV防重放攻击状态机 图6MAC计算域 图7AES-GCM在2层GOOSE/SV报文中的应用 表1标准应用范围 表2IEC61850-9-2的摘录(资料性) 表3LGOS类的扩展 表4LSVS类的扩展 表5一致性表 20表6IEC61850-8-1ISO9506(应用协议集)的PICS 21表7使用ACSE认证的TLSIEC61850-8-1客户端/服务器的PICS 表8VLAN协议集的PICS 表10IEC61850-9-22层SV安全 23表11IEC61850-8-1可路由GOOSE 表12IEC61850-9-2可路由SMV 24表13SNTP协议集的PICS Ⅲ——第4部分：包含MMS的协议集；本文件代替GB/Z25320.6—2011《电力系统管理及其信息交换数据和通信安全第6部分：a)更改了范围(见第1章，2011年版的第1章);b)更改了IEC61850部分与IEC62351部分的相关性的概述(见5.1,2011年版的5.1.1);c)增加了术语、定义和缩略语(见第3章);d)将GOOSE和SV的响应时间小于4ms更改为小于3ms(见4.1,2011年版的4.1);e)增加了IEC61850-8-2客户端/服务器通信协议集(见5.4);f)增加了发布者ID用于客户端/服务器服务(见5.5);g)增加了多播关联协议(见第6章);h)增加了MAC(见);n)增加了变电站配置语言扩展(见第9章);o)删除了变电站配置语言(SCL)(见2011年版的7.2.3);p)增加了LGOS和LSVS的扩展(见第10章);r)增加了使用ACSE认证的TLS(见11.1表7);s)增加了IEC61850-8-1L2GOOSE安全一致性(见11.1表9);t)增加了IEC61850-8-1L2SV安全一致性(见11.1表10);u)增加了IEC61850-8-1L2GOOSE可路由安全一致性(见11.1表11);v)增加了IEC61850-8-1L2SV可路由安全一致性(见11.1表12)。本文件等同采用IEC62351-6:2020《电力系统管理及其信息交换数据和通信安全第6部分：——2011年首次发布为GB/Z25320.6—2011;V——第1部分：通信网络和系统安全安全问题介绍。目的在于介绍GB/T(Z)25320的其他部——第3部分：通信网络和系统安全包含TCP/IP的协议集。目的在于规定如何通过限于传输——第4部分：包含MMS的协议集。目的在于规定了对基于GB/T16720(ISO9506)制造报文规——第5部分：GB/T18657等及其衍生标准的安全。目的在于定义了应用程序配置文件(a-profile)安全通信机制，规定了对基于或衍生于IEC60870-5的所有协议的运行进行安全——第6部分：IEC61850的安全。目的在于规定了对基于或派生于IEC61850的所有协议的运——第7部分：网络和系统管理(NSM)的数据对象模型。目的在于定义了电力系统运行所特有的——第9部分：电力系统设备的网络安全密钥管理。目的在于通过指定或限制要使用的密钥管理——第12部分：分布式能源(DER)系统的快速恢复和安全建议。目的在于提高分布式能源——第90-2部分：加密通信的深度包检测。目的在于说明应用于IEC62351保护的通信信道的——第100-1部分：IEC62351-5和IECTS60870-5-7的一致性测试用例。目的在于提供了在于提供了IEC62351-3:2023一致性测试用例及验证影响安全扩展程序和协议行为的所有——第100-6部分：IEC61850-8-GB/T(Z)25320《电力系统管理及其信息交换数据和通信安全》定义了电力系统相关通信协议1电力系统管理及其信息交换数据和通信安全本文件规定了对基于或派生于IEC61850电力自动化通信网络和系统第8-1部分：特定通信服务映射(SCSM)-映射到MMS(ISO9506-1电力自动化通信网络和系统第8-2部分：特定通信服务映射(SCSM)-映射到可扩展消息存在协议(XMPP)电力自动化通信网络和系统第9-2部分：特定通信服务映射(SCSM)-基于ISO/IEC8802-3的采电力自动化通信网络和系统第6部分：与智能电子设备有关的变电站内通信配置描述语言本文件的初期读者预期是开发或使用表1中所列举协议的工作组成员。为了使本文件中描述的措发布日期网络索引命名空间22规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。ISO9506(所有部分)工业自动化系统制造报文规范(Industrialautomationsystemsmanufactur-IEC61850-6电力企业自动化通信网络和系统第6部分：与智能电子设备有关的变电站内通信配置描述语言(Communicationnetworksandsystemsforpowerutilityautomation—Part6:Configu-rationdescriptionlangIEC61850-7-3电力自动化通信网络和系统第7-3部分：基本通信结构公用数据类(Communi-cationnetworksandsystemsforpowerutilityautomation—PaIEC61850-8-1:2011电力自动化通信网络和系统第8-1部分：特定通信服务映射(SCSM)映powerutilityautomation—Part8-1:SpecificcommunicationservicemappIEC61850-8-2电力自动化通信网络和系统第8-2部分：特定通信服务映射(SCSM)映射到可扩展消息存在协议(XMPP)[Communicationnetworksandsystemsforpowerutilityautomation—Part8-2:SpecificcommunicationIEC61850-9-2电力自动化通信网络和系统第9-2部分：特定通信服务映射(SCSM)基于ISO/IEC8802-3的采样值[Communicationnetworksandsystemsforpowerutilityautomation—Part9-2:Specificcommunicationservicemapping(SCSM)—SampledvaluesIECTS62351-1电力系统管理及其信息交换数据和通信安全第1部分：通信网络和系统安全安全问题介绍(Powersystemsmanagementandassociatedinformationexchange—Dataandcom-IECTS62351-2电力系统管理及其信息交换数据和通信安全第2部分：术语(Powersys-temsmanagementandassociatedinformatioGlossaryofterms)IEC62351-3:2023电力系统管理及其信息交换数据和通信安全第6部分：IEC61850的安全(Powersystemsmanage3IEC62351-4:2020电力系统管理及其信息交换数据和通信安全第4部分：包含MMS及其衍生的协议集(Powersystemsmanagementandassociatedinformationexchange—Dataandcommuni-cationssecurity—Part4:PrIEC62351-7电力系统管理及其信息交换数据和通信安全第7部分：网络和系统管理(NSM)的数据对象模型[Powersystemsmanagementandassociatedinformationexchange—Dataandcommu-nicationssecurity—Part7:Networkandsystemmanagement(NSM)dataIEC62351-9电力系统管理及相关信息交换数据和通信安全第9部分：电力系统设备网络安全密钥管理(Powersystemsmanagementandassociatedinformationexchange—Dataandcommunica-tionssecurity—Part9:CybersecuritykeymanagementforpoISO/IEC13239信息技术系统间远程通信和信息交换高级数据链路控制(HDLC)程序(In-formationtechnology—Telecommunicationsandinformationdatalinkcontrol(HDLC)proceduRFC2104-HMAC用于密钥集序列的消息认证(Keyed-HashingforMessageAuthentication)RFC5905网络时间协议：协议和算法规范第4版(NetworkTimeProtocolVersion4:ProtocolRFC8052支持IEC62351安全服务的GDOI协议[GroupDomainofInterpretation(GDOI)Pro-3.1术语和定义IECTS62351-2、IEC61850-2界定的以及下列术语和定义适用于本文件。电子安全边界electronicsecurityperimeter连接重要网络资产的网络逻辑边界。建立关联、发出请求并从服务端接收服务的功能单元。从客户端接收关联并提供客户端请求的服务的功能单元。下列缩略语适用于本文件。ACSE:关联控制服务元素(AssociationControlServiceElement)APDU:应用协议数据单元(ApplicationProtocolDataUnit)ASDU:应用服务数据单元(ApplicationServiceDataUnit)ASN.1:抽象语法标记(AbstractSyntaxNotationOne)ESP:电子安全边界(ElectronicSecurityPerimeter)4GDOL:群体解释域(GroupDomainOfInterpretation)GMAC:伽罗瓦消息认证码(GaloisGSE:通用变电站事件(GenericSubstationHMAC:哈希消息认证码(HashedMessageAuthICT:IED配置工具(IEDConfKDC:密钥分发中心(KeyDistribuMAC:消息认证码(MessageAuthenticationCode)SCL:变电站配置语言(SubstationConfigurationLanguage)TLS:传输层安全(TransportLayerSecu对于使用2层IEC61850-8-1GOOSE和2层IEC61850-9-2采样并要求3ms响应时间、多播配置和SV应被限于变电站的局域网),以提供信息交换IEC62351(所有部分)和IEC61850(所有部分)之间有4个等级的交互。5协议集的IEC61850实现，应按IEC62351-4:2020中第5章和第6章执行。非安全仅使用TLS组合安全端到端安全正式的一致性声明应符合表6。6第8章规定的协议集安全防护。声明与本文件一致且支持IEC61850-8-2协议集，使用IEC61850通信的客户端/服务器，应实现此外，IEC61850-8-2采用了由XMPP组成的传输协议集，XMPP反过来控制TLS。因此，●该值应是可能出现在签发者字段中的名称值的序列连接。如果序列中有多个名●如果客户端关联未通过使用证书进行身份认证，则证书签发者(certIssuer)的长度应为零7特定的传输协议集提供应用协议的2层和可路由映射。应用协议集和传输协议集的组合通常被称为2层或可路由(例如，2层GOOSE或可协议集和用于2层传输协议集的安全协议扩展。本章规定的GOOSE和多播采样值的防重放攻击的IEC61850-8-1中的通用GOOSE订阅者状态机没有详细说明应如何转换接收乱序状态号(stNum)或序列号(sqNum)。声明符合本文件的实现应符合图2所示的状态机。附加的安全防护和防重放检查可被执行。在本(7)有效报文监)督更新(12)订阅状态到应用(转换状态)不不帧丢失检测监督更新完成(13)激活订阅丢失监督史新(转换状态)上(转换状态)(G)重置丢敏和(转换状态)(转换状态)(转换状态)业(转换状态)(转换状态)8图2适用于订阅者通过SCL和ICT进行配置处理激活订阅的GOOSE报文的流程。其他配置机制超出本文件范围。声明符合的实现应至少维持以下内部状态机变量：上次接收的stNum(lastRcvStNum);上次接收的sqNum(lastRcvSqNum);上次接收的状态变化时间戳(lastRcvT);以及2)激活订阅(例如，通电或订阅配置)后，因为没有收到GOOSE报文，状态机在内部将las-9定义的GROUP-PULL。订阅者收到加密的GOOSE报文，但没有GOOSE报文中所传送的ID所对应的密钥，则应过渡到安全检查失败，并且执行IEC62351-9定义的GROUP-定密钥已过期。订阅者应处理密钥ID是上一个密钥的数据包。一旦传送了未知的密钥5)“应用程序”状态应解码GOOSE报文。如果解码后的stNum不等于lastRcvS解码后的信息传递给应用。如果sqNum的更改导致信息传递到应用程序，这是一个本地问题。lastRcvStNum和lastRcvSqNum的值应更新为GOOSE报文中解码的值。状态机转换到状态6。6)intTAL的值应根据解码后的生存时间(TAL)的值设置。关联丢失超时时间也应重置为本地到状态8。9)监督信息应根据收到的安全检查失败信息进行更新。处理要求应符合。监督信息更状态8。不得复位或设置intTAL。11)状态11用于确定订阅何时不再处于激活状态。它与数据报文丢失检测的不同之处在于它是13)监督信息应根据有效订阅的丢失进行更新(例如，LGOS.St应更改状态)。处理要求应符合9●如果LPHD.Sim已置为False,并且正在处理第一个非模拟的(non-simulated)GOOSE报文，则不应检测到重放。这表示从处理来自测试设备的模拟数据报文过渡到处理来自真实发a)如果lastRcvStNum的值小于接收到的stNum,则订阅者应检查收到的“T”值不大于a)确定sqNum的过渡是否即将到来。如果收到的stNum值为零(0),则lastRcvStNum和lastRcvSqNum的值应分别用收到的stNum和sqNum值更新。无需进一步的重b)如果收到的stNum小于lastRcvStNum或sqNum小于lastRevSqNum,则可能由以下两个因素之一引起：数据报文重放或多路径延迟的数据报文。在任何一种情况下，都不会将收到的GOOSE报文提供给应用程序，状监督更新状态是一个过渡状态，用于表示LGOS、本地日志、标准化安全日志、专有网络管理可能仅基于多路径传送延迟。与GOOSE不同，采样值没有可用于防重放的状态号/序列号构造。因ASN.1BasicEncodingRules(BER)}timestamp[o]IMPLICITOC(7)有效报文监督更新(转换状态)(转换状态)(13)激活订阅丢失监督更新(转换状态)√(转换状态)(6)重置丢帧和多播关联丢失定(转换状态)(转换状态)(转换状态)(转换状态)(转换状态)图3适用于通过SCL和ICT进行配置的激活订阅的SV报文。其他配置机制超出本文件。声明对于未基于SCL进行配置的系统，可动态计算expNxtPk。动态expNxtPk=((noASDU/smpRate)/(nominal转换到状态8。8)如果收到订阅的SV数据报文，则状态机应转换为状态3。当从状态8以外的状态进入时，本10)监督信息应根据重放检测信息进行更新。处理换到状态8。11)此状态用于确定订阅何时不再处于激活状态。它与数据包丢失检测的不同之处在于它是本地应转换为状态3。机应转换为状态13。——如果依据SampledValueControl.se123456789123456789监视更新状态是一个过渡状态，用于表示LSVS、本地日志、标准化安全日志、专有网络管理MIBsSNTP用于时间同步的用途应符合IEC61850-8-1和IEC61850-8-2的规定。声明符合本文件的SNTP实现，应使用包含强制认证算法的RFC5905配置文件。8IEC61850-8-1GOOSE和IEC61850-9-2采样值的2层安全性简介8.1Ethertype概述(资料性)本文件扩展了通用2层的IEC61850GOOSE和通用2层的IEC61850-9-2采样值(SMV)的PDUs。2层IEC61850GOOSE和SV的规范性定义见IEC61850-8-1:2011附录C。关于GOOSE和SV,Reserved1和Reserved2字段将用于声明符合本文件的一致性实现，图4对此进行了描述。本文件规定如下。保留字1字段将用于指明由这些扩展八位位组所传送的八位位组数。该值将包含在保留1字段的第一个八位位组中。0值说明不存在扩展八位位组。保留字1的结构应符合图5所示。保留字2字段包含一个16位的循环冗余校验码(CRC),其计算符合ISO/IEC13239即ISO高级数据链路控制规程(ISOHDLC)。将对扩展的PDU中VLAN信息开始的第1到第8八位位组计如果扩展长度为非零值，则应存在CRC。8765432以太网以太网类型保留字1(原保留字2)图4扩展PDU的一般格式8787654321SR01),·,Extension字段应按照ASN.1基本编码规根据本文件，ReservedSEQUENCE被提供PrivateSEQUENCE使得厂商能传送私有信息。该SEQUENCE内容的语义和语法范畴是计算出的MAC值将用于从GOOSE或SV的标识符以太网类型到GOOSE/SVAPDU末尾的八位位组的身份认证/完整性认证，安全扩展不包括MAC的标签、长度和值。计算不包含生成MACMAC算法可以是HMAC-SHA256和AES-GMAC。应支持强制的MAC算法HMAC-SHA256和AES-GMAC。MAC长度应符合表9和表10,根据RFC2104,计算的MAC值可缩减。输出长度不应少于8个八位位组。密钥更新的周期性与MAC的长度有关。尤其需要对AES-GMAC进行指导评估。相关技术文件八位组123456789八位组123456789是NIST公司专门出版的800-38D(/nistpubs/Legacy/SP/nistspecialpublica-因检测到无效MAC被接收而采取的措施应按照第10章用程序逻辑节点GSAL(GenericSecurityApMAC计算涵盖的信息应符合图6中MAC计算域(CalculatedMACdomin)。扩展信息包括除MAC之外的所有扩展内容。声明符合本文件一致性的使用认证值和MAC实现87654321以太网类型长度(m+8)(长度为m)TLV(版本号)TLV(当前密钥时间)TLV(初始化向量)TLV(密钥ID)GOOSEAPDU加密是由R-GOOSE指定的，因为它可能穿越公共网络外，AES-GCM可在明文加密之前将额外的经过身份认证的数据作为之前的信息。这允许在一次运行中对GOOSEAPDU执行完整性保护和加密。基于图6所示数据包的AES-GCM处理过程应符合图7。123(逻辑视图)45以太网类型APPTD,123(逻辑视图)45以太网类型APPTD,长度扩展的长度，CRC的位组(完整)GOOSE/SV(加密的)安全的TLV(完整)以太网类型APPID,位组(完整)认证数据)安全的TLV(完整)GOOSE/SV(加密的)6789865432以太网类型长度(m+8)扩展长度s(长度为m)TLV(版本号)TLV(当前密钥时间)TLV(初始化向量)TLV(密钥ID)在图7中，AES-GCM列下元素的组织仅表示一个逻辑视图，并不代表这些元素在2层实现说明：AES-GCM算法的典型接口提供模块化数据配置。这允许将要加密和完整AuthenticationValue::=SEtimeOfCurrentKey[1]IMPLICITINTEGER(0..4294967295timrOfNextKey[2]IMPLICITinitializationVector[3]IMPLICIT配的值为1。对于具有内部64位时间表示的操作系统，宜将其缩短为无符号的32位。选择时间表示形式为无符号32位整数使得其不受2038年问题的影响。下一个密钥时间(TimetoNextKey)字段应为有符号整数值。该值表示距离使用新密钥之前的秒tializationVector)应为16个八位位组，由加密安全伪随机数生成器生成，且对每个认证值应不同。宜密钥ID的值是由KDC分配的4个八位位组scl:tGSESettings扩展增加kdaParticipant属性。如果kdaParticipant为true,则发布者访问点依据IEC62351-9支持KDA。scl:tGSESettings扩展增加子元素scl:McSecurity,MeSecurity元素包含签名(signature)和加密如果签名(signature)为true(默认为false),则发布者支持8.2中指定的G如果加密(encryption)为true(默认为false),则发布服务器既支持GOOSE安全扩展，也支持第8scl:tSMVSettings扩展增加kdaParticipant属性。如果kdaParticipant为true,则发布服务者访问点依据IEC62351-9支持KDA。如果加密(encryption)为true(默认为false),则发布服务器既支持SV安全扩展，也支持8.2中指scl:tGSESettings扩展增加了子元素scl:McSecurity,其中包含签名(signature)和加密如果加密(encryption)为true(默认为false),则订阅者既支持安全扩展，也支持8.2中指定的订阅扩展请求详见/tissue/1674。name="Security"type="tSecurity"minOccurs="0"maxOccname="ACSEAuthentication"type="xs:boolean"default=name=E2ESecurity"type="xs:boolean"default="扩展请求详见https://iec61850.tissue-db.coname="Security"type="tSecurity"minOccurs="0"maxOccname="ACSEAuthentication"type="xs:boolean"default=name=E2ESecurity"type="xs:boolean"default="fScl:tGSEControl的securityEnabled属性[默认为无(“none”)]用于激活按照8.2中规定的Simulation位为true所定义的模拟(simulated)安全违规状态信息的LGOS类扩展公共数据类T说明状态信息T已检测到受监督的GOOSEIEC61850-7-4规定的LSVS逻辑节点应按照表4的规定进行扩展，以表明已检测到配置订阅者的安全违规。表4LSVS类的扩展安全违规状态信息的LSVS类扩展公共数据类T说明状态信息T已检测到受监督的SMV声明符合本文件的实现应提供扩展协议实现一致性声明(PICS),如以下所述，对于某些概要文件，可能需要提供协议实现附加信息(PIXIT)信息。以下条款和表格适用以下定义：——m:无条件支持-应实现该项目；——c:有条件支持-如规定条件存在，应实现该项；——o:可选支持-应用可以决定实现该项；——x:拒绝-不应实现该项；——i:超出范围-该项目的执行不在本文件的范围内；——至少一个(x)-表示(x)的分组里应支持至少一个声明。声明支持本文件的实现应提供表5中的信息。表5一致性表支持IEC61850-8-1/ISO9506安全客户O至少一个(1)o至少一个(1)O至少一个(1)O至少一个(1)O至少一个(1)O至少一个(1)O至少一个(1)0至少一个(1)0至少一个(