GB/Z 25320.5-2013
基本信息
标准号: GB/Z 25320.5-2013
中文名称:电力系统管理及其信息交换 数据和通信安全 第5部分GB/T 18657等及其衍生标准的安全
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:2847KB
相关标签: 电力 系统管理 信息 交换 数据 通信安全 衍生 安全
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/Z 25320.5-2013 电力系统管理及其信息交换 数据和通信安全 第5部分GB/T 18657等及其衍生标准的安全
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
29.240, 01
中华人民共和国国家标准化指导性技术文件GB/Z25320.5--2013/IEC/TS62351-5:2009电力系统管理及其信息交换
数据和通信安全
第5部分:GB/T18657等及其
衍生标准的安全
Power systems management and associated information exchangeData and communications security-Part 5:Security for GB/T 18657 and derivatives(IEC/TS 62351-5:2009,IDT)
013-02-07发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2013-07-01实施
范围和目的
1.1范围
1.2预期读者及用途
1.3超山本部分范围的内容
1.4与其他标准一起使用*·
1.5文件结构和研究
一致性
:规范性引用文件
术语和定义
略继语
问题描述
5.1概述
需要处理的特定威胁
设计面临的问题
般原则
认证运行理论(资料性)
敏述性描述
6.3消息序列例子
6.4状态机概述
正式规范
7.1概述
7.2消息定义
7.3正式过程
瓦操作性要求
8.1概述·
8.2最低要求
8.3可选项··
特殊应用
9.2 使用TCP/IP :
9.3使用元余信道
9.4使用外接链路加密机
GB/Z 25320.5—2013/1EC/TS 62351-5 :2009次
GB/Z 25320.5-—2013/IEC/TS 62351-5:200910引用本部分的要求
10.2选定的可选项
10.3认为关键性的操作
10.4地址信息
10.5信息格式映射
10.6对过程的引用
11协议实现的一致性声明
要求的算法
HMAC算法
密钥加密算法
最大错误计数
错误消息的使用
参考文献
GB/Z 25320.5—2013/1EC/TS 62351-5:2009前言
G/Z25320《电力系统管理及其信息交换数据和通信安全\分为以下几个部分:第1部分:通信网络和系统安全安全问题介绍第2部分;术语;
-第3部分:通信网络和系统安全包括TCP/IP的协议集:第4部分:包含MMS的协议集;
第5部分:GB/T18657等及其衔生标的安全;第6部分:电力企业白动化通信网络和系统的安全;-第7部分:网络和系统管理的数据对象模型;-第8部分:电力系统管理的基于角色访间控制。本部分为GB/Z25320的第5部分。本部分按照GB/T 1.1一2009给出的规卿起草。本部分采用翻译法等同采用IEC/TS62351-5:2009《电力系统管理及其信息交换数据和通信安全第5部分:IEC60870-5及其衍生标准的安全》。与本部分中规范性引用的国际文件有:-致性对应关系的我国文件如下:GB/Z25320.1一2010电力系统管理及其信息交换数据和通信安全第1部分:通信网络和系统安全安全问题介绍(1EC/TS62351-1:2007,IDT)GB/Z25320.2—2013电力系统管理及其信息交换数据与通信安全,第2部分:术语(IEC/TS 62351-2:2008,IDT)
GB/Z23320.3—2010电力系统管理及其信息交换数据和通信安全第3部分:通信网络和系统安全包括TCP/IP的协议集(IEC/TS62351-3:2007IDT))DL/T634.5101—2002远动设备及系统第5-101部分:传输规约基本远动任务配套标准(IEC 60870-5-101:2002,IDT)-DL/T719一2000远动设备及系统第5部分:传输规约第102篇:电力系统电能量累计量传输配套标准(IEC60870-5-102:1996,IDT)-DL/667一1999远动设备及系统第5部分:传输规约第103篇:继电保护设备信息接口配套标雅(IEC60870-5-1031997,IDT)-DL/T634.5104--2009远动设备及系统第5-104部分:传输规约采用标传输协议的IEC 60870-5-101 网络访间(IEC 60870-5-101:2006,IDT)本部分由中国电力企业联合会提山。本部分由全国电力系统管理及其信息交换标推化技术委员会(SAC/TC82)归口。本部分起草单位:华中电网有限公司、国网电力科学研究院,国家电力谢度道信中心、中国电力科学研究院、南方电网、华东电网有限公司、福建省电力有限公司、辽宁省电力有限公司。本部分主要起草人:韩水保、许慕、杨秋恒、南贵林、张涛、周、李根蔚、邓兆云、曹连军、马、诚智。
GB/Z25320.5-2013/IEC/TS62351-5;2009引
计算机、通信和网络技术当前已在电力系统中广泛使用。通信和计算机网络中存在差各种对信息安全可能的攻击,对电力系统的数据疫通信安全也构成了威胁。这些潜在的可能的攻击针对着电力系统使用的各层通信协议中的安全漏洞以及电力系统信息基础设施的安全管理的不完善处。为此,我们采用国际标准制定了GB/Z25320电力系统管理及其信息交换数据和通信安全》,通过在相关的通信协议以及在信息基础设施管理中增加特定的安全措施,提高和增强电力系统的数据及通信的安全。
1范围和目的
1.1范園
GB/Z 25320.5—2013/IEC/TS 62351-5:2009电力系统管理及其信息交换
数据和通信安全
第5部分:GB/T18657等及其
衍生标准的安全
为了对基于或衍生于IEC 60870-5(GB/T 18657远动设备及系统第 5部分:传输规约》)的所有协议的运行进行安全防护,GB/Z25320 的本部分规定了所用的消息、过程和算法。本部分至少适用于表1所刻的协议。
表1所适用标准的范围
IEC60870-5-101Www.bzxZ.net
IFC 60870-5-102
IEC 60870-5-103
IEC 60870-5-104
1.2预期读者及用途
基本远动任务配套标准
电力系统电能量累计量传输配套标准继电保护设备信息接口配套标准采用标推传输协议集的IFC60870-5-101网络访间分布式网络协议(于IEC60870-1至IEC6870-5并由DNF用户组控制)本部分的初期读者预期是制定表1所列协议的工作组人员。为了使本部分所描述的措施生效,各协议规范本身就必须采纳和引用这些措施。本部分的编写目的就是使能这一过程。本部分的后续读者预期是实现这些协议的产品开发人员。本部分的某些部分对管理人员和行政人员也是有用的,可用以理解该工作目的和需求。1.3超出本部分范围的内容
根据I起C第 57委员会第3工作组的指令,IEC62351的本部分仅关注应用层认证和由此认证所产生的安余防护问题。安全防护涉及的其他问题,特别是通过加密的使用来防止窃听和中间人攻击,被认为超出本部分的范国。通过本部分和其他规范一起使用,可以增加加密功能。1.4与其他标准一起使用
制定表1中所列协议的各工作组可以发布和本部分一同使用的标准。要求这些标应描述认证机制对每个特定协议的消息和过程的映射。这些文件不应该不顾木部分所描述的作为强制性及规范性的任何安全措施。在用于IEC60870-5-104时,本部分应和IEC/TS623513—起使用。1
GB/Z 25320.5-2013/IEC/TS 62351-5:20091.5文件结构和研究
本文件按从一般到特殊的方式进行组织,具体如下:第2章至第4章提供背景的术语、定义和引用:第5章叙述水部分打算解决的问题;第6章描述通常与特定协议无关的机制第7章与第8章更精确地描述这机制,因而是本部分的主要规范性部分;第9章叙述特定案例的一些特殊实现问题;第10章描述对引用本部分的其他标准的要求;第11章描述这机制的协议实现一致性声明(PICS)。1.6一致性
除非特别注明为资料性的或可选的,本部分的所有章条都是规范性的,2规范性引用文件
下列文件对于本文件的引用是必不少的。凡是注旧期的引用文件,仅注日期的版本适用于本文件,凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。IEC60870-5-101:远动设备及系统第5部分:传输规约第101篇基本远动任务配套标准(Telecontrol equipment and systems Part 5-lol: Transmission protocols\ :Companion standard forbasic telccontrol tasks)
IEC60870-5-102远动设备及系统第5部分:传输规约第102篇电力系统电能量累计量传输配套标(Telecontrol cquipmcnt and systems—Part 5:Transmission protocols--Section 1o2:Com- panion standard for the transmlission of integrated totals in clectric power systems)IEC60870-5-103远动设备及系统第5部分:传输规约第103篇继电保护设备信息接口配套标(Telecontxol cquipment and systerns-Part 5-lo3Transmission protocols-Companionstandard for the informative interface of protection equipment)IEC60870-5-104远动设备及系统第5-104部分:传输规约采用标准传输协议集的IFC608705-1o1网络访间(Telccontrol equipnent and systemPart 5-l04:I'ransmission pratocols—Networkaccess for IEC 60870-5-101 using standard transport profiles)IEC/TS62351-1电力系统管理及其信息交换数据与通信安全第1部分:通信网络和系统安全安全间题介绍(Power systems rnanagement and associated information exchzitge-Datal and com-munications security Part l:Cotmunication network and system securilyIntraduction to securityissucs)
IEC/TS62851-2电力系统管理及其信息交换数据和通信安全第2部分:术语(Powesystems tnanagemcnt and associated information exchange-Data and communications sccurityPart2.Glossary of terms)
IEC/TS62351-3电力系统管理及其信息交换:数据和通信安全第3部分:通信网络和系统安全包括TCP/IP 的协议集(Power systenis managcmcnt and associated information exc:hange—Dataand contriunications security-Part 3: Communication network and system security-Profiles includingTCP/IP)
ISO/1EC9798-4信息技术--安全技术一实体认证一第4部分:具有密码校验功能的机制(Infor-mation technology Security techniques—Entity authentication-Part 4: Mechanisms using i crypto-2
graphic check function)
GB/Z 25320.5-—2013/IEC/TS 62351-5:2009FIPS 186-2数学签名标准(DSS)[Digital Signatute Standard(DSS)FIPS 197高级加密标准(AES)[Advanced Encryption Standard(AES)]FIPS 198-1 密销化哈希消息认证码(The Keyed-Hash Message Authenlication Code)RFC2104HMAC:用于消息认证的密钥化哈希(Kcyed-Hashing for Message Authentication)RFC 3174安全哈希算法(SHA-1)/SecureHash Algurithm(SHA-1)RFC 3394 AES 的密钥加密算法[Advanced Encryption Standard(AES)Key Wrap AlgorithrRFC 3629 UTF-8,ISO 10646 的变换格式(A Transformatian Format of ISQ 10646)3术语和定义
下列术语和定义适用于本文件。因为它们对于IEC60870-5是特定的并且可以有助于将本部分作为独立文件阅读,故在此予以描述。其他适用的术语和定义可参看IEC/TS62351-2,3.1
控制站controlling station
启动大部分通信和发布命令的设备或应用。在一-些协议规范中一股称作“主站”。3.2
被控站controlled station
将现场收集数据传送到控制站的远方设备。在一-些协议规范中一般称作“子站\或”从站”。3.3
控制方向control direction
由控制站向被控站传送数据
监视方向monitoringdirection
由被控站向控制站传送数据。
因为下列术语是特定于本部分,故在此予以描述:3.5
挑战站challenger
发出认证挑战的站点。既可以是控制站,也可以是被控站。3.6
响应站responder
响应或回应认证挑战的站点。既可以是控制站,也可以是被控站。4略缩语
适用的略缩语列表可参吞IEC/TS62351-2。下列略缩语特别用于所涉及的协议和用于本认证机制的讨论,包括:
ASDU,应用服务数据单元(ApplicatianServiceDataUnit)(提交给下层传送的应用层消息)。5问题描述
5.1概述
本章仅是资料性的,本章描述:
GB/Z. 25:320.5—2013/1EC/TS 62351-5:20090本部分计划处理的安全威胁:
0在实现 IEC 60870-5 及其衔生协议认证中的一些特有设计问题;0基于该机制而导致的设计原则。5.2需要处理的特定威胁
本部分将仅处理下列安全威胁,其定义见IEC/TS62351-2:。欺骗;
。篡改;
。重放;
〇不可否认“…达到识别系统单个用户的程度。5.3设计面临的问题
5.3.1概述
本条描述在开发能适用于所有的IEC60870-5及其衍生协议的认证方案时所面临的挑战。本条是为那些参与评审本文件却可能并不熟悉电力部门协议环境的安全专家提供的。5.3.2不对称通信
受本部分影响的所有协议都具有通信站点之间不平等的概念。在每个协议中,都存在一个设定的控制站和一个设定的被控站,每种站有不同的角色、职责、过程和消息格式。特别是在许多情况下,控制站负贡流控制和介质访问控制。存在明确设定的被控站/控制站,对本认证机制设计带来两方面的影响:0即使功能完全相同,消息格式在每个方向上也会不相同;。国为密钥总是由控制站发出,所以简化了密钥分发。5.3.3面向消息的协议
所有涉及的协议都是面向消息的,这意味着应基于遂条消息执行认证。而不是像一些面向连接的协议,认证仅在数据流的启动和其后偶尔才进行。5.3.4过短的序列号或者没有序列号应对重放威胁的常见安全技术就是在消息中包含序列号。与消息完整性测试相结合,序列号使攻击者更难于仅通过复制一个已有的消息来模仿合法用户,因为消息一定以特定的软序传输。然而,还没有一种所涉及的协议包含一个能提供足够保护的序列号。这些序列号具有非常小的最大值,使得攻击者可在收集少量消息后就能进行重放攻击。因此,本部分的设计应包括消息所拥有的序列号和其他随时间变化的数据,以防止重放攻击。5.3.5有限的处理能力
所涉及的协议自发布以来,狠多电力部门的设备可用的处理能力欠缺,这是主要的设计问题。这一设计需求必然也影响到认证机制。由于这些设备许多都是单处理器装置,从而更凸现了此间题。拒绝服务攻击不会影响这些设备的通信能力,而且也影响这些设备的诸如电力控制、保护、设备监视等功能。
因此,要尽可能避免便用话如公钥加密和非常长密钥等要很高处理能力的安全措施。5.3.6有限的带宽
GB/Z25320.5-2013/IEC/TS62351-5;2009对所涉及的协议,电力部门网络的有限可用带宽已经是首要的设计间题(居于消息完整性之后)。实际上,许多使用这些协设的应用仍用1200bit/s或更低速的链路。一些通信链路按传输的八位位组进行收费。
因此认证机制不准许增加太多开销(即少量的八位位组)到所涉及的协议。挑战和认证数据的长度,在保持适当的安全水平的同时要尽可能被限制和截短。在每个协议的实现中可以来取其他措施。5.3.7无法访问认证服务器
对于部器了所涉及协议的电力部门网络,其特性是,控制站通常是被控站能进行通信的唯一设备。如果有任何对其他网络的访问,通常要通过执行控制站功能的设备来完成。这一事实对认证机制的影响是,任何系统要求由第三方对控制站的安全证书进行在线验证是不实际的。
5.3.8有限的顿长
因为带宽和消息完整性的限制,所泌及的协议被设计成以255个或更少的八位位组的短顿发送数据。一些衔生协议允许将顿“链”在-起产生更长的应用层消息。然而,在一般情况下,认证机制不能假设成会在站点之间传输大数据单元。5.3.9有限的校验和
在所涉及协议的设计中消息完整性是高度优先考虑的问题。然而正如以下讨论,这些协议所选择的完整性措施被专用于保护协议免受随机噪声影响,而并不应对有关的攻齿:0串行的IFC 60870-5协议使用FT1.2的顿类型。为防止单比特差错,该懒使用奇偶校验位和单一八位位组校验和。单一八位位组的长度并不足以提供安全消息认证码(MAC)。oIEC 60870-5-104协议依赖下层的完整性措施。因为本部分仅讨论应用层机制,所以它不可能依靠这些措施。在任何情况下,这样做似乎也仅仅只对,个所涉及协议提供解决方案,。DNP3协议使用IEC60870-5FT3颤,该顺每16个或更少的八位位组就具有两个八位位组的循环允余校验。这为安全目的提供了相当好的完整性,只是没有对全顿校验。因此,为了提供安全目的的消息完整性,在本部分中叙述的认证机制不能使用已存在的协议完整性措施。
5.3.10无线通信系统
所涉及的协议常常在无线通信系统上使用,而无线通信系统可以提供也可以不提供该系统自身所具有的安全措施。许多现有的电力部门无线网络根本没有提供安全措施。因此,应假定本部分描述的机制能适合于一个不友好和物理上不安全的传输环境。5.3.11拨号通信系统
所涉及的协议常常在号电话网络上使用。在每个顿传输之前,需要儿秒钟重新建立通信。类似,许多无线通信系统在每个帧之前也需要较长的\键控\(keying)时闻。因此,认证机制提供个选项,称为“主动认证模式”(aggressivemode),减少了要传输的额外数据顿的数量。
5.3.12涉及的各种协议
IEC60870-5协议族共同具有许多通用功能及底层设计原理。然而,各种配套标准和衍生协议的5
GB/Z25:320.5—2013/IEC/1S62351-5:2009实现却使用多种消息格式和过程,因此,本部分描述了一般的认证机制。对每个所涉及的其体协议而言,其规范是特定的。应在这些特定规范内映射此一般认证机制到该具体协议。5.3.13不同的数据链路层
正如在5.3.9中所讨论的,所涉及的协议使用各种传输机制和过程。虽然IEC60870-5描述了公共的数据链路层,但它允许多种格式和其他选项:所涉及的协议中有几种使用FT1.2侦,一种使用FT3恢,而有一种根本不使用那些帧格式。所涉及的协议中一些仅使用非平衡介质访问控制过程,一些使用平衡方式,而一些可选择使用这两种方式,因此,该认证机制不能基于这数据链路层,但可假定能从低层得到用于认址的站点地址宿息。5.3. 14过长的升级间隔
电力部门不重视对它们长期运行网络的政造,因而可能同时部署了几种不同代的网络系统。因此,认证机制遵循5.4.8中描述的原则。5.3.15遥远的设备现场
实现所涉及协议的设备往往位于根远的地方,且到达费用贵。因此,该机制要尽可能包含远方更新安全证书的方法。5.3.16:多用户
所渺及协议的共用拓扑结构为多用广(如控制台或操作员)通过一个控制站去访问被控站。出于“不可抵赖\的日的,重要的是知道这些用户中娜位发送了特殊的被控站命令。因此,该机制包括与控制站本身分别去认证各个体用户的方法。5.3.17不可靠通信介质
所涉及的协议常常在不可靠通信介质上使用,因而该机制在处理差错状况时就要考虑这种不可靠性。例如,并不要认为仅仅一条安全消息的失败就必定表示攻击正在进行。5.4一般原则
5.4.1概述
本条描述本部分的指导源则,这些指导原则是基于在前面两条中所讨论的确定的威胁和设计面临的问题。
5. 4. 2 仅涉及认证
正如第1章的讨论,本部分仅涉及认证,面不考虑加密或其他安全措施。不排除这些安全措施由其他标准加人所涉及协设的可能性。5.4.3仅限于应用层
本部分描述应用层认证。电方部门环境中应用层认证必要性的讨论可参见IEC/TS62351-1,另外,任何传输层安余防护都可以实施。5.4.4认证机制映射到不同协设的一般定义本部分描述任何所渺及办议都能使用的通用认证方法。此方法在每种协议中的实现应由各白的标6
B/Z25320.5—2013/IEC/TS6235t-5,2009准进行定义。这些标准应按照第10章中定义的规则引用本部分。5.4.5双向
尽管通信流的非对称是由所涉及的协议所定义并在5.3.2中进行了讨论,本部分描述能用于任传输方向的机制。
5.4.6挑战-应答认证机制
本部分描述的机制基于挑战和应答概念。出于以下原困,采用原则:。由要求认证的设备承扭安全防护的职能,在多样的网络坏境中(例如电力行业中所建立的那些网络),这是更切合实际的;
。如果有必要,充许保留没经安全防护的通信,以便减少带宽和处理需求;白在面向非连接环境中,能有效工作。因为\respanse\是所涉及协议中的关键词,在本部分中所用的术语是\reply”。5.4.7预共享密钥作为缺省选项
本部分按缺省允许使用预共享密钥。本原则认识到许多电力部门事实土并不推备以比较复杂的方式管理安全证书,但仍然要求某种级别的防护。本部分并不阻止公钥密码系统或其他密钥分发机制,用于在本条描述的预共享密钥的改变和分发。末来规范可以对这些方法标准化,但当前超山本部分的范围。5.4.8后向兼容
本部分建议当安全设备(即实现本认证机制的设备)和非安全设备遭信时,要满足下列要求:。安全设备应能检测出非安全设备不支持认证机制。D安全设备与非安全设备通信后,非安全设备应继续正常工作:换言之,认证消息不能引起非安全设备故障。
口两台设务应能够继续交换信息,但这些信息不被认为是关键性的。然而,符合这些要求的机制能力很人程度取决于它被映射到的协议和在任一特定设备二的实现质量。因此本部分建议如果安全设备并不了解远方设备是否支持安全防护,安全设备要避免发送安全消息。远方的安全或非安全配置超出本文件的范围。5. 4. 9升级能力
为应对将来需求,本部分允许系统管理者改变算法,密钥长度和其他安全参数。为了保持与后间容错源则相一致,也允许一次对链路的一端进行升级。5.4.10完善的前向安全性
本部分遵循IEC/TS62351-2中定义的完善的前询保密安全性(perlectforwardsecrecy)安全准则。如果会活密钥被暴露,本机制仪使来自这-·-特殊会话的数据处于危险之中,而不会使攻击者能够证明此斥会话中数据的正确性。
5.4.11多用户
本部分设定位于控制站的系统可以存在多个用户。它提供一种认证每个用户的方法,用户彼此分开认证,且该控制站本身也分开认证。本原则的意图是使得被控站能确实鉴别出传输任何协议消息的个体用户(而并不只是控制站)。为7
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准化指导性技术文件GB/Z25320.5--2013/IEC/TS62351-5:2009电力系统管理及其信息交换
数据和通信安全
第5部分:GB/T18657等及其
衍生标准的安全
Power systems management and associated information exchangeData and communications security-Part 5:Security for GB/T 18657 and derivatives(IEC/TS 62351-5:2009,IDT)
013-02-07发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2013-07-01实施
范围和目的
1.1范围
1.2预期读者及用途
1.3超山本部分范围的内容
1.4与其他标准一起使用*·
1.5文件结构和研究
一致性
:规范性引用文件
术语和定义
略继语
问题描述
5.1概述
需要处理的特定威胁
设计面临的问题
般原则
认证运行理论(资料性)
敏述性描述
6.3消息序列例子
6.4状态机概述
正式规范
7.1概述
7.2消息定义
7.3正式过程
瓦操作性要求
8.1概述·
8.2最低要求
8.3可选项··
特殊应用
9.2 使用TCP/IP :
9.3使用元余信道
9.4使用外接链路加密机
GB/Z 25320.5—2013/1EC/TS 62351-5 :2009次
GB/Z 25320.5-—2013/IEC/TS 62351-5:200910引用本部分的要求
10.2选定的可选项
10.3认为关键性的操作
10.4地址信息
10.5信息格式映射
10.6对过程的引用
11协议实现的一致性声明
要求的算法
HMAC算法
密钥加密算法
最大错误计数
错误消息的使用
参考文献
GB/Z 25320.5—2013/1EC/TS 62351-5:2009前言
G/Z25320《电力系统管理及其信息交换数据和通信安全\分为以下几个部分:第1部分:通信网络和系统安全安全问题介绍第2部分;术语;
-第3部分:通信网络和系统安全包括TCP/IP的协议集:第4部分:包含MMS的协议集;
第5部分:GB/T18657等及其衔生标的安全;第6部分:电力企业白动化通信网络和系统的安全;-第7部分:网络和系统管理的数据对象模型;-第8部分:电力系统管理的基于角色访间控制。本部分为GB/Z25320的第5部分。本部分按照GB/T 1.1一2009给出的规卿起草。本部分采用翻译法等同采用IEC/TS62351-5:2009《电力系统管理及其信息交换数据和通信安全第5部分:IEC60870-5及其衍生标准的安全》。与本部分中规范性引用的国际文件有:-致性对应关系的我国文件如下:GB/Z25320.1一2010电力系统管理及其信息交换数据和通信安全第1部分:通信网络和系统安全安全问题介绍(1EC/TS62351-1:2007,IDT)GB/Z25320.2—2013电力系统管理及其信息交换数据与通信安全,第2部分:术语(IEC/TS 62351-2:2008,IDT)
GB/Z23320.3—2010电力系统管理及其信息交换数据和通信安全第3部分:通信网络和系统安全包括TCP/IP的协议集(IEC/TS62351-3:2007IDT))DL/T634.5101—2002远动设备及系统第5-101部分:传输规约基本远动任务配套标准(IEC 60870-5-101:2002,IDT)-DL/T719一2000远动设备及系统第5部分:传输规约第102篇:电力系统电能量累计量传输配套标准(IEC60870-5-102:1996,IDT)-DL/667一1999远动设备及系统第5部分:传输规约第103篇:继电保护设备信息接口配套标雅(IEC60870-5-1031997,IDT)-DL/T634.5104--2009远动设备及系统第5-104部分:传输规约采用标传输协议的IEC 60870-5-101 网络访间(IEC 60870-5-101:2006,IDT)本部分由中国电力企业联合会提山。本部分由全国电力系统管理及其信息交换标推化技术委员会(SAC/TC82)归口。本部分起草单位:华中电网有限公司、国网电力科学研究院,国家电力谢度道信中心、中国电力科学研究院、南方电网、华东电网有限公司、福建省电力有限公司、辽宁省电力有限公司。本部分主要起草人:韩水保、许慕、杨秋恒、南贵林、张涛、周、李根蔚、邓兆云、曹连军、马、诚智。
GB/Z25320.5-2013/IEC/TS62351-5;2009引
计算机、通信和网络技术当前已在电力系统中广泛使用。通信和计算机网络中存在差各种对信息安全可能的攻击,对电力系统的数据疫通信安全也构成了威胁。这些潜在的可能的攻击针对着电力系统使用的各层通信协议中的安全漏洞以及电力系统信息基础设施的安全管理的不完善处。为此,我们采用国际标准制定了GB/Z25320电力系统管理及其信息交换数据和通信安全》,通过在相关的通信协议以及在信息基础设施管理中增加特定的安全措施,提高和增强电力系统的数据及通信的安全。
1范围和目的
1.1范園
GB/Z 25320.5—2013/IEC/TS 62351-5:2009电力系统管理及其信息交换
数据和通信安全
第5部分:GB/T18657等及其
衍生标准的安全
为了对基于或衍生于IEC 60870-5(GB/T 18657远动设备及系统第 5部分:传输规约》)的所有协议的运行进行安全防护,GB/Z25320 的本部分规定了所用的消息、过程和算法。本部分至少适用于表1所刻的协议。
表1所适用标准的范围
IEC60870-5-101Www.bzxZ.net
IFC 60870-5-102
IEC 60870-5-103
IEC 60870-5-104
1.2预期读者及用途
基本远动任务配套标准
电力系统电能量累计量传输配套标准继电保护设备信息接口配套标准采用标推传输协议集的IFC60870-5-101网络访间分布式网络协议(于IEC60870-1至IEC6870-5并由DNF用户组控制)本部分的初期读者预期是制定表1所列协议的工作组人员。为了使本部分所描述的措施生效,各协议规范本身就必须采纳和引用这些措施。本部分的编写目的就是使能这一过程。本部分的后续读者预期是实现这些协议的产品开发人员。本部分的某些部分对管理人员和行政人员也是有用的,可用以理解该工作目的和需求。1.3超出本部分范围的内容
根据I起C第 57委员会第3工作组的指令,IEC62351的本部分仅关注应用层认证和由此认证所产生的安余防护问题。安全防护涉及的其他问题,特别是通过加密的使用来防止窃听和中间人攻击,被认为超出本部分的范国。通过本部分和其他规范一起使用,可以增加加密功能。1.4与其他标准一起使用
制定表1中所列协议的各工作组可以发布和本部分一同使用的标准。要求这些标应描述认证机制对每个特定协议的消息和过程的映射。这些文件不应该不顾木部分所描述的作为强制性及规范性的任何安全措施。在用于IEC60870-5-104时,本部分应和IEC/TS623513—起使用。1
GB/Z 25320.5-2013/IEC/TS 62351-5:20091.5文件结构和研究
本文件按从一般到特殊的方式进行组织,具体如下:第2章至第4章提供背景的术语、定义和引用:第5章叙述水部分打算解决的问题;第6章描述通常与特定协议无关的机制第7章与第8章更精确地描述这机制,因而是本部分的主要规范性部分;第9章叙述特定案例的一些特殊实现问题;第10章描述对引用本部分的其他标准的要求;第11章描述这机制的协议实现一致性声明(PICS)。1.6一致性
除非特别注明为资料性的或可选的,本部分的所有章条都是规范性的,2规范性引用文件
下列文件对于本文件的引用是必不少的。凡是注旧期的引用文件,仅注日期的版本适用于本文件,凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。IEC60870-5-101:远动设备及系统第5部分:传输规约第101篇基本远动任务配套标准(Telecontrol equipment and systems Part 5-lol: Transmission protocols\ :Companion standard forbasic telccontrol tasks)
IEC60870-5-102远动设备及系统第5部分:传输规约第102篇电力系统电能量累计量传输配套标(Telecontrol cquipmcnt and systems—Part 5:Transmission protocols--Section 1o2:Com- panion standard for the transmlission of integrated totals in clectric power systems)IEC60870-5-103远动设备及系统第5部分:传输规约第103篇继电保护设备信息接口配套标(Telecontxol cquipment and systerns-Part 5-lo3Transmission protocols-Companionstandard for the informative interface of protection equipment)IEC60870-5-104远动设备及系统第5-104部分:传输规约采用标准传输协议集的IFC608705-1o1网络访间(Telccontrol equipnent and systemPart 5-l04:I'ransmission pratocols—Networkaccess for IEC 60870-5-101 using standard transport profiles)IEC/TS62351-1电力系统管理及其信息交换数据与通信安全第1部分:通信网络和系统安全安全间题介绍(Power systems rnanagement and associated information exchzitge-Datal and com-munications security Part l:Cotmunication network and system securilyIntraduction to securityissucs)
IEC/TS62851-2电力系统管理及其信息交换数据和通信安全第2部分:术语(Powesystems tnanagemcnt and associated information exchange-Data and communications sccurityPart2.Glossary of terms)
IEC/TS62351-3电力系统管理及其信息交换:数据和通信安全第3部分:通信网络和系统安全包括TCP/IP 的协议集(Power systenis managcmcnt and associated information exc:hange—Dataand contriunications security-Part 3: Communication network and system security-Profiles includingTCP/IP)
ISO/1EC9798-4信息技术--安全技术一实体认证一第4部分:具有密码校验功能的机制(Infor-mation technology Security techniques—Entity authentication-Part 4: Mechanisms using i crypto-2
graphic check function)
GB/Z 25320.5-—2013/IEC/TS 62351-5:2009FIPS 186-2数学签名标准(DSS)[Digital Signatute Standard(DSS)FIPS 197高级加密标准(AES)[Advanced Encryption Standard(AES)]FIPS 198-1 密销化哈希消息认证码(The Keyed-Hash Message Authenlication Code)RFC2104HMAC:用于消息认证的密钥化哈希(Kcyed-Hashing for Message Authentication)RFC 3174安全哈希算法(SHA-1)/SecureHash Algurithm(SHA-1)RFC 3394 AES 的密钥加密算法[Advanced Encryption Standard(AES)Key Wrap AlgorithrRFC 3629 UTF-8,ISO 10646 的变换格式(A Transformatian Format of ISQ 10646)3术语和定义
下列术语和定义适用于本文件。因为它们对于IEC60870-5是特定的并且可以有助于将本部分作为独立文件阅读,故在此予以描述。其他适用的术语和定义可参看IEC/TS62351-2,3.1
控制站controlling station
启动大部分通信和发布命令的设备或应用。在一-些协议规范中一股称作“主站”。3.2
被控站controlled station
将现场收集数据传送到控制站的远方设备。在一-些协议规范中一般称作“子站\或”从站”。3.3
控制方向control direction
由控制站向被控站传送数据
监视方向monitoringdirection
由被控站向控制站传送数据。
因为下列术语是特定于本部分,故在此予以描述:3.5
挑战站challenger
发出认证挑战的站点。既可以是控制站,也可以是被控站。3.6
响应站responder
响应或回应认证挑战的站点。既可以是控制站,也可以是被控站。4略缩语
适用的略缩语列表可参吞IEC/TS62351-2。下列略缩语特别用于所涉及的协议和用于本认证机制的讨论,包括:
ASDU,应用服务数据单元(ApplicatianServiceDataUnit)(提交给下层传送的应用层消息)。5问题描述
5.1概述
本章仅是资料性的,本章描述:
GB/Z. 25:320.5—2013/1EC/TS 62351-5:20090本部分计划处理的安全威胁:
0在实现 IEC 60870-5 及其衔生协议认证中的一些特有设计问题;0基于该机制而导致的设计原则。5.2需要处理的特定威胁
本部分将仅处理下列安全威胁,其定义见IEC/TS62351-2:。欺骗;
。篡改;
。重放;
〇不可否认“…达到识别系统单个用户的程度。5.3设计面临的问题
5.3.1概述
本条描述在开发能适用于所有的IEC60870-5及其衍生协议的认证方案时所面临的挑战。本条是为那些参与评审本文件却可能并不熟悉电力部门协议环境的安全专家提供的。5.3.2不对称通信
受本部分影响的所有协议都具有通信站点之间不平等的概念。在每个协议中,都存在一个设定的控制站和一个设定的被控站,每种站有不同的角色、职责、过程和消息格式。特别是在许多情况下,控制站负贡流控制和介质访问控制。存在明确设定的被控站/控制站,对本认证机制设计带来两方面的影响:0即使功能完全相同,消息格式在每个方向上也会不相同;。国为密钥总是由控制站发出,所以简化了密钥分发。5.3.3面向消息的协议
所有涉及的协议都是面向消息的,这意味着应基于遂条消息执行认证。而不是像一些面向连接的协议,认证仅在数据流的启动和其后偶尔才进行。5.3.4过短的序列号或者没有序列号应对重放威胁的常见安全技术就是在消息中包含序列号。与消息完整性测试相结合,序列号使攻击者更难于仅通过复制一个已有的消息来模仿合法用户,因为消息一定以特定的软序传输。然而,还没有一种所涉及的协议包含一个能提供足够保护的序列号。这些序列号具有非常小的最大值,使得攻击者可在收集少量消息后就能进行重放攻击。因此,本部分的设计应包括消息所拥有的序列号和其他随时间变化的数据,以防止重放攻击。5.3.5有限的处理能力
所涉及的协议自发布以来,狠多电力部门的设备可用的处理能力欠缺,这是主要的设计问题。这一设计需求必然也影响到认证机制。由于这些设备许多都是单处理器装置,从而更凸现了此间题。拒绝服务攻击不会影响这些设备的通信能力,而且也影响这些设备的诸如电力控制、保护、设备监视等功能。
因此,要尽可能避免便用话如公钥加密和非常长密钥等要很高处理能力的安全措施。5.3.6有限的带宽
GB/Z25320.5-2013/IEC/TS62351-5;2009对所涉及的协议,电力部门网络的有限可用带宽已经是首要的设计间题(居于消息完整性之后)。实际上,许多使用这些协设的应用仍用1200bit/s或更低速的链路。一些通信链路按传输的八位位组进行收费。
因此认证机制不准许增加太多开销(即少量的八位位组)到所涉及的协议。挑战和认证数据的长度,在保持适当的安全水平的同时要尽可能被限制和截短。在每个协议的实现中可以来取其他措施。5.3.7无法访问认证服务器
对于部器了所涉及协议的电力部门网络,其特性是,控制站通常是被控站能进行通信的唯一设备。如果有任何对其他网络的访问,通常要通过执行控制站功能的设备来完成。这一事实对认证机制的影响是,任何系统要求由第三方对控制站的安全证书进行在线验证是不实际的。
5.3.8有限的顿长
因为带宽和消息完整性的限制,所泌及的协议被设计成以255个或更少的八位位组的短顿发送数据。一些衔生协议允许将顿“链”在-起产生更长的应用层消息。然而,在一般情况下,认证机制不能假设成会在站点之间传输大数据单元。5.3.9有限的校验和
在所涉及协议的设计中消息完整性是高度优先考虑的问题。然而正如以下讨论,这些协议所选择的完整性措施被专用于保护协议免受随机噪声影响,而并不应对有关的攻齿:0串行的IFC 60870-5协议使用FT1.2的顿类型。为防止单比特差错,该懒使用奇偶校验位和单一八位位组校验和。单一八位位组的长度并不足以提供安全消息认证码(MAC)。oIEC 60870-5-104协议依赖下层的完整性措施。因为本部分仅讨论应用层机制,所以它不可能依靠这些措施。在任何情况下,这样做似乎也仅仅只对,个所涉及协议提供解决方案,。DNP3协议使用IEC60870-5FT3颤,该顺每16个或更少的八位位组就具有两个八位位组的循环允余校验。这为安全目的提供了相当好的完整性,只是没有对全顿校验。因此,为了提供安全目的的消息完整性,在本部分中叙述的认证机制不能使用已存在的协议完整性措施。
5.3.10无线通信系统
所涉及的协议常常在无线通信系统上使用,而无线通信系统可以提供也可以不提供该系统自身所具有的安全措施。许多现有的电力部门无线网络根本没有提供安全措施。因此,应假定本部分描述的机制能适合于一个不友好和物理上不安全的传输环境。5.3.11拨号通信系统
所涉及的协议常常在号电话网络上使用。在每个顿传输之前,需要儿秒钟重新建立通信。类似,许多无线通信系统在每个帧之前也需要较长的\键控\(keying)时闻。因此,认证机制提供个选项,称为“主动认证模式”(aggressivemode),减少了要传输的额外数据顿的数量。
5.3.12涉及的各种协议
IEC60870-5协议族共同具有许多通用功能及底层设计原理。然而,各种配套标准和衍生协议的5
GB/Z25:320.5—2013/IEC/1S62351-5:2009实现却使用多种消息格式和过程,因此,本部分描述了一般的认证机制。对每个所涉及的其体协议而言,其规范是特定的。应在这些特定规范内映射此一般认证机制到该具体协议。5.3.13不同的数据链路层
正如在5.3.9中所讨论的,所涉及的协议使用各种传输机制和过程。虽然IEC60870-5描述了公共的数据链路层,但它允许多种格式和其他选项:所涉及的协议中有几种使用FT1.2侦,一种使用FT3恢,而有一种根本不使用那些帧格式。所涉及的协议中一些仅使用非平衡介质访问控制过程,一些使用平衡方式,而一些可选择使用这两种方式,因此,该认证机制不能基于这数据链路层,但可假定能从低层得到用于认址的站点地址宿息。5.3. 14过长的升级间隔
电力部门不重视对它们长期运行网络的政造,因而可能同时部署了几种不同代的网络系统。因此,认证机制遵循5.4.8中描述的原则。5.3.15遥远的设备现场
实现所涉及协议的设备往往位于根远的地方,且到达费用贵。因此,该机制要尽可能包含远方更新安全证书的方法。5.3.16:多用户
所渺及协议的共用拓扑结构为多用广(如控制台或操作员)通过一个控制站去访问被控站。出于“不可抵赖\的日的,重要的是知道这些用户中娜位发送了特殊的被控站命令。因此,该机制包括与控制站本身分别去认证各个体用户的方法。5.3.17不可靠通信介质
所涉及的协议常常在不可靠通信介质上使用,因而该机制在处理差错状况时就要考虑这种不可靠性。例如,并不要认为仅仅一条安全消息的失败就必定表示攻击正在进行。5.4一般原则
5.4.1概述
本条描述本部分的指导源则,这些指导原则是基于在前面两条中所讨论的确定的威胁和设计面临的问题。
5. 4. 2 仅涉及认证
正如第1章的讨论,本部分仅涉及认证,面不考虑加密或其他安全措施。不排除这些安全措施由其他标准加人所涉及协设的可能性。5.4.3仅限于应用层
本部分描述应用层认证。电方部门环境中应用层认证必要性的讨论可参见IEC/TS62351-1,另外,任何传输层安余防护都可以实施。5.4.4认证机制映射到不同协设的一般定义本部分描述任何所渺及办议都能使用的通用认证方法。此方法在每种协议中的实现应由各白的标6
B/Z25320.5—2013/IEC/TS6235t-5,2009准进行定义。这些标准应按照第10章中定义的规则引用本部分。5.4.5双向
尽管通信流的非对称是由所涉及的协议所定义并在5.3.2中进行了讨论,本部分描述能用于任传输方向的机制。
5.4.6挑战-应答认证机制
本部分描述的机制基于挑战和应答概念。出于以下原困,采用原则:。由要求认证的设备承扭安全防护的职能,在多样的网络坏境中(例如电力行业中所建立的那些网络),这是更切合实际的;
。如果有必要,充许保留没经安全防护的通信,以便减少带宽和处理需求;白在面向非连接环境中,能有效工作。因为\respanse\是所涉及协议中的关键词,在本部分中所用的术语是\reply”。5.4.7预共享密钥作为缺省选项
本部分按缺省允许使用预共享密钥。本原则认识到许多电力部门事实土并不推备以比较复杂的方式管理安全证书,但仍然要求某种级别的防护。本部分并不阻止公钥密码系统或其他密钥分发机制,用于在本条描述的预共享密钥的改变和分发。末来规范可以对这些方法标准化,但当前超山本部分的范围。5.4.8后向兼容
本部分建议当安全设备(即实现本认证机制的设备)和非安全设备遭信时,要满足下列要求:。安全设备应能检测出非安全设备不支持认证机制。D安全设备与非安全设备通信后,非安全设备应继续正常工作:换言之,认证消息不能引起非安全设备故障。
口两台设务应能够继续交换信息,但这些信息不被认为是关键性的。然而,符合这些要求的机制能力很人程度取决于它被映射到的协议和在任一特定设备二的实现质量。因此本部分建议如果安全设备并不了解远方设备是否支持安全防护,安全设备要避免发送安全消息。远方的安全或非安全配置超出本文件的范围。5. 4. 9升级能力
为应对将来需求,本部分允许系统管理者改变算法,密钥长度和其他安全参数。为了保持与后间容错源则相一致,也允许一次对链路的一端进行升级。5.4.10完善的前向安全性
本部分遵循IEC/TS62351-2中定义的完善的前询保密安全性(perlectforwardsecrecy)安全准则。如果会活密钥被暴露,本机制仪使来自这-·-特殊会话的数据处于危险之中,而不会使攻击者能够证明此斥会话中数据的正确性。
5.4.11多用户
本部分设定位于控制站的系统可以存在多个用户。它提供一种认证每个用户的方法,用户彼此分开认证,且该控制站本身也分开认证。本原则的意图是使得被控站能确实鉴别出传输任何协议消息的个体用户(而并不只是控制站)。为7
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。