GB∕ T 25320.6-2023 電力系統(tǒng)管理及其信息交換 數(shù)據(jù)和通信安全 第6部分：IEC 61850的安全（正式版）

電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第6部分：IEC61850的安全國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)I Ⅲ V 1 11.2命名空間名稱和版本 11.3代碼組件發(fā)布 1 23術(shù)語(yǔ)、定義和縮略語(yǔ) 3 33.2縮略語(yǔ) 34本文件應(yīng)對(duì)的安全問(wèn)題 44.1影響安全選項(xiàng)選擇的運(yùn)行問(wèn)題 4 4 4 4 4 55.3使用VLANID規(guī)范的IEC61850安全性 6 65.5用于客戶端/服務(wù)器服務(wù)的發(fā)布者ID 6 66.1概述 66.2防重放攻擊(Replay 77SNTP安全 8IEC61850-8-1GOOSE和IEC61850-9-2采樣值的2 8.1Ethertype概述(資料性) 8.2擴(kuò)展PDU 9變電站配置語(yǔ)言擴(kuò)展 9.1服務(wù)能力 9.2啟用安全性的發(fā)布 20Ⅱ 20 24 25 5 7圖3SV防重放攻擊狀態(tài)機(jī) 圖4擴(kuò)展PDU的一般格式 圖5Reserved1定義 1 表3LGOS類的擴(kuò)展 表4LSVS類的擴(kuò)展 20表6IEC61850-8-1ISO9506(應(yīng)用協(xié)議 21 21 22 22 23 表13SNTP協(xié)議集的PICS Ⅲ---第6部分：IEC61850的安全；本文件代替GB/Z25320.6—2011《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第6部分：a)更改了范圍(見第1章，2011年版的第1章);p)增加了LGOS和LSVS的擴(kuò)展(見第10章);q)增加了支持IEC61850-8-2和支持可路由的GOOSr)增加了使用ACSE認(rèn)證的TLS(見11.1表7);s)增加了IEC61850-8-1L2GOOSE安全一致性(見11.1表9);t)增加了IEC61850-8-1L2SV安全一致性(見11.1表10);v)增加了IEC61850-8-1L2SV可本文件等同采用IEC62351-6:2020《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第6部分：—--2011年首次發(fā)布為GB/Z25320.6—2011;V 第5部分：GB/T18657等及其衍生標(biāo)準(zhǔn)的安全。目的在于定義了應(yīng)用程序配置文件——第12部分：分布式能源(DER)系統(tǒng)的快速恢復(fù)和安全建議。目的在于提高分布式能源——第100-1部分：IEC62351-5和IECTS60870-5-7的一致性測(cè)試用例。目的在于提供了VGB/T25320.6—2023/IEC62351-6:2——第100-6部分：IEC61850-8-1和IEC61850-9-2的網(wǎng)絡(luò)安全一致性測(cè)試。目的在于提供了變GB/T(Z)25320《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全》定義了電力系統(tǒng)相關(guān)通信協(xié)議1GB/T25320.6—2023/IEC電力自動(dòng)化通信網(wǎng)絡(luò)和系統(tǒng)第8-1部分：特定通信服務(wù)映射(SCSM)-映射到MMS(ISO9506-1電力自動(dòng)化通信網(wǎng)絡(luò)和系統(tǒng)第8-2部分：特定通信服務(wù)映射(SCSM)-映射到可擴(kuò)展消息存在協(xié)議(XMPP)電力自動(dòng)化通信網(wǎng)絡(luò)和系統(tǒng)第9-2部分：特定通信服務(wù)映射(SCSM)-基于ISO/IEC8802-3的采電力自動(dòng)化通信網(wǎng)絡(luò)和系統(tǒng)第6部分：與智能電子設(shè)備有關(guān)的變電站內(nèi)通信配置描述語(yǔ)言 發(fā)布日期網(wǎng)絡(luò)索引命名空間2GB/T25320.6—2023/IEC62351-6:22規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不ingmessagespecifiIEC61850-6電力企業(yè)自動(dòng)化通信網(wǎng)絡(luò)和系統(tǒng)第6部分：與智能電子設(shè)備有關(guān)的變電站內(nèi)通信配置描述語(yǔ)言(CommunicationnetworksandsrationdescriptionlanguageforcommunicationinelectricalsIEC61850-7-3電力自動(dòng)化通信網(wǎng)絡(luò)和系統(tǒng)第7-3部分：基本通信結(jié)構(gòu)公用數(shù)據(jù)類(Communi-cationnetworksandsystemsforpowerutilityautomation—Part7-3:BasiccIEC61850-8-1:2011電力自動(dòng)化通信網(wǎng)絡(luò)和系統(tǒng)第8-1部分：特定通信服務(wù)映射(SCSM)映射到MMS(ISO9506-1和ISO9506-2)及ISOpowerutilityautomation—Part8-1:Specificcommunicationservicemapping(SCSM)—MappingsMMS(ISO9506-1andISO9506-2)andtIEC61850-8-2電力自動(dòng)化通信網(wǎng)絡(luò)和系統(tǒng)第8-2部分：特定通信服務(wù)映射(SCSM)映射到可擴(kuò)展消息存在協(xié)議(XMPP)[CommunicationnetworksandsystemsfoPart8-2:SpecificcommunicationenceProtocol(XMPP)]IEC61850-9-2電力自動(dòng)化通信網(wǎng)絡(luò)和系統(tǒng)第9-2部分：特定通信服務(wù)映射(SCSM)基于ISO/IEC8802-3的采樣值[Communicationn9-2:Specificcommunicationservicemapping(SCSM)—SamIECTS62351-1電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第1部分：通信網(wǎng)絡(luò)和系統(tǒng)安全安全問(wèn)題介紹(Powersystemsmanagementandassociatedinformationexchange—Dataandcom-IECTS62351-2電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第2部分：術(shù)語(yǔ)(Powersys-temsmanagementGlossaryofterms)IEC62351-3:2023電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第6部分：IEC61850的安全(Powersystemsmanagementandassociatedinform3IEC62351-4:2020電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第4部分：包含MMS及其衍生的協(xié)議集(Powersystemsmanagementandassocicationssecurity—Part4:ProfilesincludingMMSandderiIEC62351-7電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第7部分：網(wǎng)絡(luò)和系統(tǒng)管理(NSM)的數(shù)據(jù)對(duì)象模型[Powersystenicationssecurity—Part7:Networkandsystemmanagement(NSM)dataobjectIEC62351-9電力系統(tǒng)管理及相關(guān)信息交換數(shù)據(jù)和通信安全第9部分：電力系統(tǒng)設(shè)備網(wǎng)絡(luò)安全密鑰管理(Powersystemsmanagementandasstionssecurity—Part9:CybersecuritykeymanagementforpowersyISO/IEC13239信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換高級(jí)數(shù)據(jù)鏈路控制(HDLC)程序(In-formationtechnology—TelecommunicationsandinformationexchangebetRFC2104-HMAC用于密鑰集序列的消息認(rèn)證(Keyed-HashingforMessageAuthentication)RFC5905網(wǎng)絡(luò)時(shí)間協(xié)議：協(xié)議和算法規(guī)范第4版(NetworkTimeProtocolVersion4:ProtocolRFC8052支持IEC62351安全服務(wù)的GDOI協(xié)議[GroupDomainofInterpretation(GDOI)Pro-APDU:應(yīng)用協(xié)議數(shù)據(jù)單元(ApplicationProtocolDataUnit)ASDU:應(yīng)用服務(wù)數(shù)據(jù)單元(ApplicationServiceDataUnit)ASN.1:抽象語(yǔ)法標(biāo)記(AbstractSyntaxNESP:電子安全邊界(ElectronicSecurityPerimeter)4●信息披露被反擊。5GB/T25320.6—2023/IEC IEC61850-8-2客戶端/服務(wù)器通信的應(yīng)用層協(xié)議集： 協(xié)議集的IEC61850實(shí)現(xiàn)，應(yīng)按IEC62351-4:2020中第5TLS(有條件)非安全僅使用TLS組合安全端到端安全6NTS和STS。7IEC61850-8-1中的通用GOOSE訂閱者狀態(tài)機(jī)沒(méi)有詳細(xì)說(shuō)明應(yīng)如何轉(zhuǎn)換接收亂序狀態(tài)號(hào)(7)有效報(bào)文監(jiān)程序更新定時(shí)器(TAL.)超時(shí)幀丟失檢測(cè)(轉(zhuǎn)換狀態(tài))81)不存在狀態(tài)(Non-Existent)表示沒(méi)有GOOSE訂閱時(shí)的狀態(tài)。定密鑰已過(guò)期。訂閱者應(yīng)處理密鑰ID是上一個(gè)密鑰的數(shù)據(jù)包。一旦傳送了未知的密鑰9GB/T25320.6—2023/IEC●如果LPHD.Sim已置為False,并且正在處理第一個(gè)非模擬的(non-sib)lastRcvSqNum應(yīng)設(shè)置為GOOb)如果收到的stNum小于lastRcvStNum或sqNum小于lastRcvSqNum,則可能由以ASN.1BasicEncodingRules(BER)timestamp[0]IMPLICITOCTETSTRING,--timeofsend}GB/T25320.6—2023/IEC(轉(zhuǎn)換狀態(tài))檢測(cè)(轉(zhuǎn)換狀態(tài))(轉(zhuǎn)換狀態(tài))(轉(zhuǎn)換狀態(tài))(轉(zhuǎn)換狀態(tài))(轉(zhuǎn)換狀態(tài))(轉(zhuǎn)換狀態(tài))(轉(zhuǎn)換狀態(tài))(轉(zhuǎn)換狀態(tài))1)不存在狀態(tài)表示沒(méi)有SV訂閱。expNxtPk=((noASDU/smpRate)/(nominalfrequency)●用戶應(yīng)監(jiān)控smpCnt的值的增加。本文件擴(kuò)展了通用2層的IEC61850GOOSE和通用2層的IEC61850-9-2采樣值(SMV)的PDUs。2層IEC61850GOOSE8.2擴(kuò)展PDU保留字2字段包含一個(gè)16位的循環(huán)冗余校驗(yàn)碼(CRC),其計(jì)算符合ISO/IEC13239即ISO高級(jí)數(shù)據(jù)鏈路控制規(guī)程(ISOHDLC)。將對(duì)擴(kuò)展的PDU中VLAN信息開始的第1到第8八位位組計(jì)算CRC。123123456789…8765432以太網(wǎng)以太網(wǎng)類型保留字1(原保留字2)01018765432SR[2]IMPLICITOCTE[3]IMPLICITOCTETSTRINGReservedOPTIONAL,--donotuse[4]IMPLICITAuthen,}MAC的值應(yīng)是ASN.1八位字符串值。MAC算法可以是HMAC-SHA256和AES-GMAC。MAC長(zhǎng)度應(yīng)符合表9和表10,根據(jù)RFC2104,計(jì)算的MAC值可縮減。是NIST公司專門出版的800-38D(/nistpubs/MAC計(jì)算涵蓋的信息應(yīng)符合圖6中MAC計(jì)算域(234562345678910876532以太網(wǎng)類型長(zhǎng)度(m+8)(長(zhǎng)度為m)TLV(版本號(hào))TLV(當(dāng)前密鑰時(shí)間)TLV(初始化向量)TLV(密鑰ID)123456型PDU89…長(zhǎng)度(m+8)CRC位組(長(zhǎng)度為m)TLV(版本號(hào))TLV(當(dāng)前密鑰時(shí)間)TLV(初始化向量)TLV(密鑰ID)2位組(完整)GOOSE/SV(加密的)安全的TLV(完整)(邏輯視圖)位組(完整)(附加的已 認(rèn)證數(shù)據(jù))安全的TLV(完整)G0OSE/SV(加密的)在圖7中，AES-GCM列下元素的組織僅表示一個(gè)邏輯視圖，并不代表這些元素在2層version[0]IMPLICITItimeOfCurrentKey[1]IMPLICITINTEinitializationVector}GB/T25320.6—2023/IEC.6密鑰ID鑰ID;●接收客戶端應(yīng)按照8.2的規(guī)定計(jì)算APDU的認(rèn)證值；scl:tGSESettings擴(kuò)展增加kdaParticipant屬性。如果kdaParticipant為true,則發(fā)布據(jù)IEC62351-9支持KDA。scl:tGSESettings擴(kuò)展增加子元素scl:McSecurity,McSecurity元素包含簽名(signature)和加密點(diǎn)依據(jù)IEC62351-9支持KDA。scl:tGSESettings擴(kuò)展增加了子元素scl:McSecurity,其中包含簽名(signature)和加密(xs:elementname="Security"type="tSecurity"minOccurs="0"maxOccurs=”1”)<xs:complexTypename="tSecurity">(xs:attributename="ACSEAuthentication"type="xs:boolean"default=”false”/>〈xs:attributename=E2ESGB/T25320.6—2023/IEC<xs:elementname="Security"type="tSecurity"minOccurs="0"maxOccurs=”1”>《xs:attributename="ACSEAuthentication"type="xs:boolean"default=”false”/>(xs:attributename=E2ESecurity"type="xs:boolean"dScl:tGSEControl的securityEnabled屬性[默認(rèn)為無(wú)(“none”)]用于激活按照8.2中規(guī)定的安全違規(guī)狀態(tài)信息的LGOS類擴(kuò)展公共數(shù)據(jù)類T說(shuō)明狀態(tài)信息T已檢測(cè)到受監(jiān)督的GOOSEIEC61850-7-4規(guī)定的LSVS邏輯節(jié)點(diǎn)應(yīng)按照表4的規(guī)定進(jìn)行擴(kuò)展，以表明已檢測(cè)到配置訂閱者的安全違規(guī)狀態(tài)信息的LSVS類擴(kuò)展公共數(shù)據(jù)類T說(shuō)明狀態(tài)信息T已檢測(cè)到受監(jiān)督的SMV聲明符合本文件的實(shí)現(xiàn)應(yīng)提供擴(kuò)展協(xié)議實(shí)現(xiàn)一致性聲明(PICS),如以下所述，對(duì)于某些概要文 聲明支持本文件的實(shí)現(xiàn)應(yīng)提供表5中的信息。支持IEC61850-8-1/ISO9506安全客戶0至少一個(gè)(1)0至少一個(gè)(1)0至少一個(gè)(1)0至少一個(gè)(1)0至少一個(gè)(1)0至少一個(gè)(1)0至少一個(gè)(1)0至少一個(gè)(1)0至少一個(gè)(1)0至少一個(gè)(1)0000聲明支持IEC61850、ISO9506(應(yīng)用協(xié)議集)安全的實(shí)現(xiàn)應(yīng)提供表6中的信息。能力IEC62351-4ACSE認(rèn)證m0IEC62351-4TLS支持含ACSE認(rèn)證mo0IEC62351-4強(qiáng)制TLS密碼套件m注1:如果聲明含ACSE認(rèn)證的IEC62351-4注2:如果聲明IEC62351-4TLS支持ACSE認(rèn)證或TL00IEC62351-4強(qiáng)制TLS密碼套件通用mmim00注：如果服務(wù)器聲明控制服務(wù)支持，cl則為“m11.2.2使用ACSE認(rèn)證的ISO9506客戶端/服務(wù)器協(xié)議集的IEC62351-4TLS一致性對(duì)于使用IEC62351-4和ACSE認(rèn)證的聲明符合IEC61850-8-1的客戶端服務(wù)器的實(shí)現(xiàn)，應(yīng)執(zhí)行IEC62351-3:2014中表2中的強(qiáng)制聲明和表7中的要求。表7使用ACSE認(rèn)證的TLSIEC61850-8-1客戶端/服務(wù)器的PICSTLS一致性：00安全漏洞TLS一致性：mm功能mmIEC61850-8-1L2GOOSE安全I(xiàn)EC61850-8-1可路由GOOSE安全I(xiàn)EC61850-9-2可路由SMV安全I(xiàn)EC62351-9GDOI密鑰分發(fā)mm散列算法(RFC8052)mmmmmmmmmm保密算法(RFC8052)00mm00000000本文件