基於IEC 61850及IEC 62351之微電網保護的通訊及資安應用與測試

IEC-61850_62351.md

References

• IEC 62351-4 Security Implementations for IEC 61850 MMS Messages
  • https://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=9115626
• A Novel Approach for Mitigation of Replay and Masquerade Attacks in Smartgrids Using IEC 61850 Standard
  • https://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=8873588
• IMPACT EVALUATION OF IEC 62351 CYBER SECURITY ON IEC 61850 COMMUNICATIONS PERFORMANCE
  • https://www.cired-repository.org/bitstream/handle/20.500.12455/645/CIRED%202019%20-%201917.pdf?sequence=1
• Evaluating Cryptographic Algorithms in IEC 61850 Networks
  • https://ieeexplore.ieee.org/abstract/document/9015196
• Cyber Attacks on Protective Relays in Digital Substations and Impact Analysis
  • http://pure.tudelft.nl/ws/portalfiles/portal/71417422/2020_3_15_MSCPES_Paper.pdf
• Building on the Distributed Energy Resources IoT based IEC 61850 XMPP for TPC
  • https://ieeexplore.ieee.org/abstract/document/8780241
• A Review of IEC 62351 Security Mechanisms for IEC 61850 Message Exchanges
  • https://www.researchgate.net/profile/Suhail_Hussain/publication/337481519_A_Review_of_IEC_62351_Security_Mechanisms_for_IEC_61850_Message_Exchanges/links/5e65d2e74585153fb3ce0e0b/A-Review-of-IEC-62351-Security-Mechanisms-for-IEC-61850-Message-Exchanges.pdf

survey.md

Notes

• 本論文以軟體實現變電站自動化標準之IEC-61850協定
• 搭配以嵌入式系統為基礎實現上述具有此協定的通訊協定電子裝置
• 以微電網為背景，將通訊協定導入微電網故障偵測演算法，以降低資料傳輸時間與演算法偵測故障的時間

IEC-61850

• 第三，四以及五部份中定義變電站所需的功能與需求

• 第六部份中，定義XML格式的作為變電站配置語言(SCL)

• 第七部份中，定義了變電站及饋線設備相關的通訊架構

• 第八部份中定義將各式資料，物件服務映射於製造業的訊息規範

• 第九部份規範了與取樣資料(Sampled Value, SV)相關的映射作業

• 第十部份則規範了相關的一致性測試作業

• 上述協定藉由將各式資料以及服務物件化的方式，透過模組，文件以及標準化的過程，並經由變電站配置語言達到自動化的目標，並提供設備製造與供應商之間的戶操作性

• Sampled Value 定義在第九部份，透過此協定各智慧化電子裝置間可快速的交換量測資料，SV利用乙太網路作為傳輸訊息框的媒介

• GSE，在此協定下所定義的快速傳輸的通訊模式，以訊框作為傳輸單元，透過群播或是廣播方式將同一訊息傳輸給多個設備，確保設備在短時間內收到資訊

• GOOSE，將數據，如狀態或數值，透過乙太網路訊框傳輸，發送至接收延遲時間限制為4毫秒

• GSSE，和上述的協定不同，利用位元串代表狀態作為傳輸的內容，透過查表的方式，只需提供簡易的位元串即可表達變電站事件，因此，在某些裝置設備上，GSSE比GOOSE更為快捷

Related Work

• 透過PENET等模擬軟體，找出智慧電網弱點及風險分析

資安議題

• 主動式攻擊(癱瘓電網的運作)
• 被動式攻擊(竊取資料，資料存取目的為主)

資安議題影響層面

• 整體斷電
• 電網過載
• 竊電行為

公開金鑰基礎建設

• 詳細網路上有很多的文章在講這個名詞

公開金鑰基礎建設與智慧電網相互合作的關係

• 安全性，電力系統負責發電，輸電，配電以及送電整個過程，系統運作影響整個民生設施，PKI運作要提供一個安全與可靠的使用環境
• 高可用性
• 即時處理
• 向下相容，會有新舊系統的過渡期，因此必須要有向下相容的特性
• 可升級性，整個大環境必須有升級與更新的需求，PKI必須有升級的功能，才可以在往後進行架構更新與升級
• 可實施政策，智慧電網範圍內包含了不同的廠商與使用者，分別管理各自不同的系統，為了要組織能順暢的運行，各組織間的相互作用將扮演重要角色一環。 智慧電網中需要有統一政策的能力，可以提昇組織之間的互相操作性
• 靈活性，PKI需要因地制宜，針對不同國家的政策，法規與限制建立PKI架構
• 互操作性，為了求智慧電網運作順暢，各機關間必須能夠達到相互間的動態平衡，相互操作性將是整體影響的關鍵
• 可整合現有架構，現有組織部份已有PKI，在電網併網運行之後，智慧電網內的PKI必須能夠整合現有的架構

系統架構與實驗結果與探討

• 取樣模組，功能模組，以及網路傳輸/接收模組三部份
• 硬體實驗部份，以ZedBoar實驗板，作為嵌入式系統硬體
• 為了降低實現複雜度，本論文先以SD卡在內部先預設好電壓，電流資料取代相關的取樣功能
• 功能模組，以軟體方式實現SV訊框接收與傳送
• 作業系統軟體方面，以BusyBox作為嵌入式Linux操作系統，其可以在開發板上的動態記憶體擬為硬碟使用

SV 通訊協定軟體實驗架構

• 這個有開源專案出來：https://github.com/stevenblair/rapid61850

身份認證所需時間計算方法

• OpenSSL 資料庫提供的標頭檔資訊，將實現的程式範例以軟體實現，透過時間戳記方式取得運行函式所需要的時間
• 透過OpenSSL應用程式所提供所需的簽章，摘要等演算法，使用腳本檔之自動化執行，透過時間戳記取得系統運行金鑰演算法所需的時間

Sampled Value 基本功能測試

• 利用Wireshark判斷封包是否為Sampled Value
• 由於在IEC-61850，明確規範回應時間的需求，必須小於3m，本論文使用時間戳記來判斷傳輸與接送的時間，來測試傳輸時間，確保其功能符合標準中的規範與需求

結果探討

• 當傳送端使用1024位元長度金鑰進行簽章時，此空檔將造成25個訊框的傳輸空檔，必須評估是否造成延遲判斷故障區域等嚴重的後果
• 可藉由多執行緒來降低上述的問題發生

libiec61850

• https://libiec61850.com/libiec61850/documentation/iec-61850-server-tutorial/
• https://libiec61850.com/libiec61850/documentation/iec-61850-client-tutorial/