GB/T 25320.4-2024電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第4部分：包含MMS的協(xié)議集及其附件

ICS2924030

CCSF.21.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T253204—2024

.

代替GB/Z253204—2010

.

電力系統(tǒng)管理及其信息交換

數(shù)據(jù)和通信安全

第4部分包含MMS的協(xié)議集及其附件

:

Powersystemsmanagementandassociatedinformationexchange—

Dataandcommunicationssecurity—

Part4ProfilesincludinMMSandderivatives

:g

IEC62351-42018MOD

(:,)

2024-12-31發(fā)布2025-07-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T253204—2024

.

目次

前言

…………………………Ⅴ

引言

…………………………Ⅶ

范圍

1………………………1

概述

1.1…………………1

代碼組件

1.2……………1

規(guī)范性引用文件

2…………………………1

術(shù)語定義和縮略語

3、………………………3

概述

3.1…………………3

術(shù)語和定義

3.2…………………………4

縮略語

3.3………………7

本文件涉及的安全問題

4…………………8

通信參考模型

4.1………………………8

應(yīng)用和傳輸協(xié)議集的安全性

4.2………………………8

兼容模式和原生模式

4.3………………9

應(yīng)對(duì)安全威脅

4.4………………………9

應(yīng)對(duì)攻擊的方法

4.5……………………10

日志

4.6…………………10

具體要求

5…………………11

通信棧的具體要求

5.1ICCP/IEC60870-6-x………11

的具體要求

5.2IEC61850……………11

傳輸安全

6…………………11

概述

6.1…………………11

傳輸層安全的應(yīng)用

6.2(TLS)…………11

操作環(huán)境中的傳輸安全

6.3OSI………………………13

操作環(huán)境中的通信安全

6.4XMPP……………………15

應(yīng)用層安全概述資料性

7()………………15

概述

7.1…………………15

描述技術(shù)

7.2……………16

加密算法的應(yīng)用

8…………………………17

概述

8.1…………………17

基本加密定義

8.2………………………17

公鑰算法

8.3……………18

哈希算法

8.4……………18

Ⅰ

GB/T253204—2024

.

簽名算法

8.5……………18

對(duì)稱密鑰算法

8.6………………………19

認(rèn)證加密算法

8.7………………………19

完整性校驗(yàn)值算法

8.8…………………20

對(duì)象標(biāo)識(shí)符分配規(guī)范性

9()………………20

通用上層需求規(guī)范性

10OSI()…………20

概述

10.1………………20

上層通用要求

10.2OSI………………21

會(huì)話層協(xié)議要求

10.3…………………21

表示層協(xié)議要求

10.4…………………22

關(guān)聯(lián)控制服務(wù)元素協(xié)議要求

10.5(ACSE)……………24

應(yīng)用安全協(xié)議集規(guī)范性

11()……………25

針對(duì)應(yīng)用協(xié)議集的要求

11.1OSI……………………25

認(rèn)證值

11.2MMS………………………27

端到端應(yīng)用安全模型

12…………………28

簡(jiǎn)介和總體架構(gòu)

12.1…………………28

抽象語法規(guī)范

12.2……………………30

端到端應(yīng)用安全規(guī)范性

13()……………30

關(guān)聯(lián)管理

13.1…………………………30

數(shù)據(jù)傳輸階段

13.2……………………35

數(shù)據(jù)類型

13.3ClearToken……………36

身份認(rèn)證和完整性規(guī)范

13.4…………42

端到端安全錯(cuò)誤處理規(guī)范性

14()………………………43

概述

14.1………………43

診斷規(guī)范

14.2…………………………43

端到端安全握手請(qǐng)求和接受檢查

14.3………………46

數(shù)據(jù)傳輸期間安全協(xié)議控制信息檢查

14.4…………48

操作環(huán)境下的端到端安全

15OSI………………………48

概述

15.1………………48

附加的上層需求

15.2…………………49

環(huán)境下關(guān)聯(lián)管理

15.3OSI……………49

環(huán)境下數(shù)據(jù)傳輸

15.4OSI……………52

上層路由

15.5OSI……………………52

操作環(huán)境檢查

15.6OSI………………54

操作環(huán)境中的端到端安全

16XMPP……………………55

操作環(huán)境封裝概述

16.1XMPP………………………55

到節(jié)的映射

16.2SecPDUiq…………55

Ⅱ

GB/T253204—2024

.

到節(jié)的映射

16.3SecPDUmessage…………………56

節(jié)錯(cuò)誤處理

16.4XMPP………………56

命名空間

16.5XML……………………57

節(jié)中的編碼

16.6XMPPEnvPDU……………………58

多重關(guān)聯(lián)

16.7…………………………58

釋放碰撞考慮

16.8……………………58

一致性

17…………………58

通則

17.1………………58

符號(hào)

17.2………………58

操作環(huán)境的一致性

17.3………………59

操作模式的一致性

17.4………………59

兼容模式的一致性

17.5………………59

原生模式的一致性

17.6………………60

附錄規(guī)范性應(yīng)用安全協(xié)議集的規(guī)范

A()ASN.1……………………62

附錄規(guī)范性端到端安全的規(guī)范

B()ASN.1…………64

附錄規(guī)范性用于端到端安全的規(guī)范

C()W3CXSD…………………72

附錄規(guī)范性操作環(huán)境下的模型

D()OSIASN.1……………………84

概要

D.1…………………84

模型

D.2ASN.1………………………84

附錄規(guī)范性操作環(huán)境下的模型和模式文檔

E()XMPPASN.1W3CXSD………87

概要

E.1…………………87

操作環(huán)境下的模型

E.2XMPPASN.1………………87

操作環(huán)境下的模式文檔

E.3XMPPW3CXSD……………………90

附錄規(guī)范性虛擬規(guī)范模板

F()API……………………94

概要

F.1…………………94

虛擬對(duì)應(yīng)的模型

F.2APIASN.1……………………94

環(huán)境下虛擬對(duì)應(yīng)的模型

F.3OSIAPIASN.1………95

虛擬對(duì)應(yīng)的模式文檔

F.4APIW3CXSD…………95

附錄規(guī)范性最終實(shí)體公鑰證書規(guī)范

G()………………97

概要

G.1………………97

總體要求

G.2…………………………97

長(zhǎng)度考慮

G.3…………………………97

基本結(jié)構(gòu)要求及建議

G.4……………97

擴(kuò)展

G.5………………98

操作環(huán)境的特殊要求

G.6……………99

附錄規(guī)范性操作環(huán)境下的底層要求

H()OSI………100

適用范圍

H.1…………………………100

Ⅲ

GB/T253204—2024

.

傳輸協(xié)議

H.2TP0……………………100

H.3IETFRFC1006…………………101

附錄資料性的定義

I()ACSEASN.1………………102

參考文獻(xiàn)

……………………108

圖應(yīng)用和傳輸協(xié)議集資料性

1()…………8

圖含有或不含保護(hù)的傳輸配置

2TLS…………………13

圖建立連接

3……………21

圖在會(huì)話層數(shù)據(jù)傳輸中包含用戶數(shù)據(jù)

4SPDU………23

圖端到端安全構(gòu)建塊

5…………………29

圖環(huán)境端到端安全與受保護(hù)協(xié)議之間的關(guān)系

6、………29

圖之間的關(guān)系

7APDUs…………………29

圖端到端安全規(guī)范的范圍

8……………30

圖上層路由

9……………53

圖虛擬概念

F.1API……………………94

表安全和安全措施組合之間的關(guān)系

1……………………9

表推薦密碼套件

2GB/Z25320.4—2010………………14

表本文件文中的密碼套件組合

3………………………15

表和之間映射

4SecPDUsACSEAPDUs……………49

表到節(jié)的映射

5SecPDUXMPP………………………55

表操作環(huán)境的一致性

6…………………59

表操作模式的一致性

7…………………59

表兼容模式下密碼套件的一致性

8TLS………………60

表加密模式的一致性

9…………………60

表原生模式下密碼套件的一致性

10TLS……………60

表安全加密算法的一致性

11E2E………………………61

表傳輸協(xié)議各種最大幀長(zhǎng)

H.1TP0TPDU…………100

Ⅳ

GB/T253204—2024

.

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件是電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全的第部分

GB/T(Z)25320《》4。

已經(jīng)發(fā)布了以下部分

GB/T(Z)25320:

第部分通信網(wǎng)絡(luò)和系統(tǒng)安全安全問題介紹

———1:;

第部分術(shù)語

———2:;

第部分通信網(wǎng)絡(luò)和系統(tǒng)安全包含的協(xié)議集

———3:TCP/IP;

第部分包含的協(xié)議集及其附件

———4:MMS;

第部分等及其衍生標(biāo)準(zhǔn)的安全

———5:GB/T18657;

第部分的安全

———6:IEC61850;

第部分網(wǎng)絡(luò)和系統(tǒng)管理的數(shù)據(jù)對(duì)象模型

———7:(NSM);

第部分文件的安全

———11:XML;

第部分和的一致性測(cè)試用例

———100-1:IECTS62351-5IECTS60870-5-7;

第部分的一致性測(cè)試用例和包括協(xié)議集的安全通信擴(kuò)展

———100-3:IEC62351-3TCP/IP。

本文件代替電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第部分包

GB/Z25320.4—2010《4:

含的協(xié)議集與相比除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外主要技術(shù)變化如下

MMS》,GB/Z25320.4—2010,,:

更改了適用范圍見第章年版的第章

a)(1,20101);

更改了術(shù)語和定義增加了縮略語見第章年版的第章

b),(3,20103);

更改了本文件涉及的安全問題見第章見年版的第章

c)(4,20104);

刪除了應(yīng)用協(xié)議集安全見年版的第章

d)(A-Profile)(20105);

刪除了傳輸協(xié)議集安全見年版的第章

e)(T-Profile)(20106);

增加了具體要求見第章

f)(5);

增加了傳輸安全見第章

g)(6);

增加了應(yīng)用層安全概述見第章

h)(7);

增加了加密算法的應(yīng)用見第章

i)(8);

增加了對(duì)象標(biāo)識(shí)符分配見第章

j)(9);

增加了通用上層需求見第章

k)OSI(10);

增加了端到端應(yīng)用安全模型見第章

l)(12);

增加了端到端應(yīng)用安全見第章

m)(13);

增加了端到端安全錯(cuò)誤處理見第章

n)(14);

增加了操作環(huán)境下的端到端安全見第章

o)OSI(15);

增加了操作環(huán)境中的安全見第章

p)XMPPE2E(16);

更改了一致性見第章見年版的第章

q)(17,20107);

增加了應(yīng)用安全協(xié)議集的規(guī)范見附錄

r)ANS.1(A);

增加了端到端安全的規(guī)范見附錄

s)ANS.1(B);

增加了用于端到端安全的規(guī)范見附錄

t)W3CXSD(C);

增加了操作環(huán)境下的模型見附錄

u)OSIANS.1(D);

增加了操作環(huán)境下的模型和模式文檔見附錄

v)XMPPANS.1W3CXSD(E);

Ⅴ

GB/T253204—2024

.

增加了虛擬模板規(guī)范見附錄

w)API(F);

增加了最終實(shí)體公鑰證書規(guī)范見附錄

x)(G);

增加了操作環(huán)境下的底層要求見附錄

y)OSI(H)。

本文件修改采用電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第部分包

IEC62351-4:2018《4:

含的協(xié)議集及其附件

MMS》。

本文件與的技術(shù)差異及其原因如下

IEC62351-4:2018:

規(guī)范性引用文件更新至最新版本

———IEC62351-3、IECTS62351-8、IEC62351-9、ISO8601-1。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由中國(guó)電力企業(yè)聯(lián)合會(huì)提出

。

本文件由全國(guó)電力系統(tǒng)管理及其信息交換標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口

(SAC/TC82)。

本文件起草單位中國(guó)電力科學(xué)研究院有限公司國(guó)家電網(wǎng)有限公司國(guó)家電力調(diào)度控制中心中國(guó)

:、、

南方電網(wǎng)有限公司國(guó)網(wǎng)上海市電力公司國(guó)網(wǎng)天津市電力有限公司廣東電網(wǎng)有限責(zé)任公司電力調(diào)度

、、、

控制中心國(guó)網(wǎng)電力科學(xué)研究院有限公司南京南瑞繼保工程技術(shù)有限公司東方電子股份有限公司國(guó)

、、、、

電南瑞南京控制系統(tǒng)有限公司許繼電氣股份有限公司國(guó)電南京自動(dòng)化股份有限公司長(zhǎng)園深瑞繼保

、、、

自動(dòng)化有限公司積成電子股份有限公司北京四方繼保工程技術(shù)有限公司國(guó)電南瑞科技股份有限公

、、、

司上海寬域工業(yè)網(wǎng)絡(luò)設(shè)備有限公司

、。

本文件主要起草人張金虎紀(jì)欣張曉蘇揚(yáng)王治華吳金宇高翔盧建剛趙瑞鋒孫丹張小飛

:、、、、、、、、、、、

李廣華溫樹峰盛福賈德順萬首豐劉文彪徐浩孫發(fā)恩沈艷許艾李洪池南礻韋湯方劍王珍珍

、、、、、、、、、、、、、、

安泰張丹張良肖濤

、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2010GB/Z25320.4—2010;

本次為第一次修訂

———。

Ⅵ

GB/T253204—2024

.

引言

電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全旨在盡可能地減少通信和計(jì)算

GB/T(Z)25320《》,

機(jī)網(wǎng)絡(luò)中存在的惡意攻擊對(duì)電力系統(tǒng)的數(shù)據(jù)及通信安全產(chǎn)生的危害完善電力系統(tǒng)使用的各層通信協(xié)

,

議中的安全漏洞以及提高電力系統(tǒng)信息基礎(chǔ)設(shè)施的安全管理擬由以下部分構(gòu)成

。。

第部分通信網(wǎng)絡(luò)和系統(tǒng)安全安全問題介紹目的在于介紹的其他部

———1:。GB/T(Z)25320

分主要向讀者介紹應(yīng)用于電力系統(tǒng)運(yùn)行的信息安全的各方面知識(shí)

,。

第部分術(shù)語目的在于介紹在中所使用的關(guān)鍵術(shù)語

———2:。GB/T25320(Z)。

第部分通信網(wǎng)絡(luò)和系統(tǒng)安全包含的協(xié)議集目的在于規(guī)定如何通過限于傳輸

———3:TCP/IP。

層安全協(xié)議的消息過程和算法的規(guī)范對(duì)基于的協(xié)議進(jìn)行安全防護(hù)使這些協(xié)議能

、,TCP/IP,

適用于的遠(yuǎn)動(dòng)環(huán)境

IECTC57。

第部分包含的協(xié)議集及其附件目的在于規(guī)定了對(duì)基于制

———4:MMS。GB/T16720(ISO9506)

造報(bào)文規(guī)范及其衍生標(biāo)準(zhǔn)的應(yīng)用進(jìn)行安全防護(hù)的過程協(xié)議擴(kuò)充和算法

(MMS)、。

第部分等及其衍生標(biāo)準(zhǔn)的安全目的在于定義了應(yīng)用配置文件安

———5:GB/T18657。(a-profile)

全通信機(jī)制規(guī)定了對(duì)基于或衍生于遠(yuǎn)動(dòng)設(shè)備及系統(tǒng)第部分

,IEC60870-5(GB/T18657《5:

傳輸規(guī)約的所有協(xié)議的運(yùn)行進(jìn)行安全防護(hù)的消息過程和算法

》)、