專利名稱:針對面向通用對象的變電站事件模型的組密鑰生成和管理的方法
技術領域:
本公開總體上涉及一種用于組密鑰分發(fā)的方法和裝置����,并且特別但不專門涉及一種用于采用面向通用對象的變電站事件(GOOSE)的系統(tǒng)中的專用組密鑰分發(fā)的方法和裝置,以及一種用于采用面向通用對象的變電站事件(GOOSE)的系統(tǒng)中的組密鑰分發(fā)的設備�。
背景技術:
作為文檔“Power systems management and associated information exchange-Data and communications security - Part 6 Security for IEC 61850 profiles,�����,(源于2006年10月)一部分的處理安全性的部分描述了在消息上采用數(shù)字簽名來保護所發(fā)送的消息的完整性�����。已經(jīng)提議了將數(shù)字簽名用于完整性保護�,這是由于面向通用對象的變電站事件(G00SE)簡檔使用多播來在不同現(xiàn)場(field)設備之間分發(fā)消息。在這種情況下��,接收者的數(shù)目對發(fā)送消息的現(xiàn)場設備來說沒必要已知����。因此,消息的發(fā)送者可能不擁有 與接收者相互共享的秘密���,因此以可替換的方式提供完整性保護�����。由于數(shù)字簽名的創(chuàng)建和驗證對性能有巨大影響����,并且G00SE消息與性能相關,因此給定的安全性解決方案可能不總是適合�。該缺陷最近也已通過由ABB公司執(zhí)行的可行性測試而在IEC TC57組內(nèi)被確認。值得注意的是����,在該上下文中,IEC TC57是指以下組��,該組針對包括EMS (能量管理系統(tǒng))����、SCADA (監(jiān)督控制和數(shù)據(jù)獲取)��、分發(fā)自動化��、遠方保護以及對實時和非實時信息的關聯(lián)信息交換的系統(tǒng)和電力系統(tǒng)控制設備而開發(fā)并維護國際標準����,這些國際標準用在電力系統(tǒng)的規(guī)劃��、運營和維護中��。因此����,需要改進的解決方案來提供針對G00SE消息的完整性保護����。針對組密鑰管理的各種選項是可用的并且是本領域已知的,例如
組密鑰管理協(xié)議(GKMP)架構是提出用于創(chuàng)建成組對稱密鑰并在通信對等端之間分發(fā)這些成組對稱密鑰的協(xié)議的實驗性規(guī)范�。該協(xié)議對操作者來說幾乎不可見,不需要中央密鑰分發(fā)站點���,僅組成員具有該密鑰����,具有面向發(fā)送者或接收者的操作��,并可以利用多播通信協(xié)議�。 其與G00SE應用結合使用的劣勢在于需要具體的證書來標識組密鑰控制器。此夕卜�����,GBKM不利用在目標情形中可用的中央實體,這是由于GBKM選擇一個組成員作為組控制器����。該組控制器負責將密鑰和潛在密鑰更新分發(fā)給該組。對于目標解決方案�����,這將對現(xiàn)場設備之一造成附加的負擔,因此與緩解處理器負載背道而馳地工作。在可擴縮多播密鑰分發(fā)的情況下���,多播的優(yōu)點正變得越發(fā)明顯,并且其使用更廣泛得多。這從多播骨干(MBONE)的增長中顯見��。針對多播提供安全性服務(例如�,業(yè)務完整性�、認證和秘密性)是尤其有問題的�,這是由于其需要將組(會話)密鑰安全地分發(fā)給組的接收者中的每一個。傳統(tǒng)地����,已經(jīng)將密鑰分發(fā)功能指派給中央網(wǎng)絡實體或密鑰分發(fā)中心(KDC),但該方法并不針對廣域多播而擴縮,在這種情況下組成員可以廣泛分布在互聯(lián)網(wǎng)上��,并且廣域組可以是密集填充的����。此外,解決了發(fā)送者專用密鑰的可擴縮分發(fā)��。與先前解決方案類似�,該解決方案期望一個組成員接管密鑰生成和分發(fā)的責任。此外�,還定義了組控制器分發(fā)帶簽名的組成員列表�,這被視為對目標用例來說不必要��,這是由于其通過需要驗證組成員列表簽名來對所有成員造成附加的負擔。組DifTie-Hellman密鑰交換可能不適用于現(xiàn)場設備�,這是由于密鑰計算的努力隨著每個新成員加入而增加�����。此外,在目標情形中�,組的成員不必要知道組的其他成員。組安全關聯(lián)密鑰管理協(xié)議(GSAKMP)使用集中式方案來提供用于在網(wǎng)絡上創(chuàng)建和管理密碼組的安全性框架��。其提供了用于散播組策略并認證用戶的機制����、用于在組建立和恢復期間執(zhí)行接入控制決策的規(guī)則、從組成員的妥協(xié)中恢復的能力�����、組安全性功能的授權��、以及破壞該組的能力����。其還生成了組密鑰��。該協(xié)議的劣勢在于其對目標用例來說是特別重量級的。其需要對用于使良序的組創(chuàng)建便利的策略令牌進行循環(huán)�����。其必須包括組的標識�����、組許可���、組加入策略���、組控制器密鑰服務器身份、組管理信息����、以及組擁有者的數(shù)字簽名。由 于目標用例關于組密鑰的應用(消息完整性保護)相當有限����,因此策略令牌的循環(huán)在這里不是必要的。因此���,本領域目前已知的解決方案沒有一個提供對遵循性能需求的GOOSE消息來說適當?shù)陌踩越鉀Q方案����。
發(fā)明內(nèi)容
本發(fā)明通過至少提供一種用于采用面向通用對象的變電站事件(GOOSE)的系統(tǒng)中的專用組密鑰分發(fā)的方法來提供對上述問題的解決方案�����,所述方法包括經(jīng)由GOOSE系統(tǒng)的組件多個現(xiàn)場設備來定義GOOSE系統(tǒng)的組配置�;驗證所述組中的每個現(xiàn)場設備對非對稱密鑰對的擁有;變電站控制器經(jīng)由所述變電站控制器與組成員設備之間的安全交互,將組密鑰分別分發(fā)給每個現(xiàn)場組成員設備�;以及在所述組配置已改變之后更新所述組密鑰����。在上述用于專用組密鑰分發(fā)的方法中��,所述非對稱密鑰對是證書或公有密鑰以及對應的私有密鑰之一����,且所述證書的序列號可以用于組關聯(lián)。此外��,組成員關系可以由證書的序列號確定�����,密鑰材料與序列號無關。根據(jù)本發(fā)明的方法���,通過變電站控制器將組密鑰分別分發(fā)給每個現(xiàn)場組成員設備經(jīng)由所述變電站控制器與組成員設備之間的安全交互而發(fā)生���,并包括針對每個現(xiàn)場設備利用所述公有密鑰的非對稱加密?����?商鎿Q地�����,變電站控制器經(jīng)由所述變電站控制器與組成員設備之間的安全交互將組密鑰分別分發(fā)給每個現(xiàn)場組成員設備包括對所述變電站控制器與現(xiàn)場設備之間的加密連接的利用���,這是使用所述非對稱密鑰對來發(fā)起的。此外����,變電站控制器經(jīng)由所述變電站控制器與組成員設備之間的安全交互將組密鑰分別分發(fā)給每個現(xiàn)場組成員設備包括在每個現(xiàn)場設備與組控制器之間協(xié)商逐對對稱主密鑰,其稍后用于分發(fā)實際組密鑰。根據(jù)本發(fā)明的組控制器涉及包括現(xiàn)場設備的拓撲�。發(fā)送消息的現(xiàn)場設備將其置于環(huán)(ring)上���,所述環(huán)是利用所述組密鑰來保證安全性的�����。訂閱現(xiàn)場設備讀取消息���,并使用所述組密鑰來驗證其完整性��。所述組控制器使用于采用面向通用對象的變電站事件(GOOSE)的系統(tǒng)中的專用組密鑰分發(fā)的方法便利�����,所述方法包括
經(jīng)由GOOSE系統(tǒng)的組件多個現(xiàn)場設備來定義GOOSE系統(tǒng)的組配置���;
驗證所述組中的每個現(xiàn)場設備對非對稱密鑰對的擁有,變電站控制器經(jīng)由所述變電站控制器與組成員設備之間的安全交互將組密鑰分別分發(fā)給每個現(xiàn)場組成員設備���;以及 在所述組配置已改變之后更新所述組密鑰����。
可以從附圖中所示的本發(fā)明優(yōu)選實施例的以下詳細描述最佳地理解本發(fā)明以及上述和其他目的和優(yōu)勢��。圖I描繪了使用IEC61850 GOOSE相對于傳統(tǒng)硬線系統(tǒng)的優(yōu)勢��;
圖2描繪了 GOOSE的擴展以太類型PDU �;
圖3示出了 GOOSE傳遞時間定義;
圖4示出了交換GOOSE消息的現(xiàn)場設備的環(huán)形拓撲�����;
圖5描繪了 GOOSE系統(tǒng)組建立;
圖6示出了通過本發(fā)明的各種實施例想到的組密鑰分發(fā)機制的概要���;
圖7示意性地示出了用于更高層消息保護的機制�����;
圖8示出了具有多個組的GOOSE系統(tǒng)����;
圖9描繪了根據(jù)本發(fā)明的實施例的組密鑰分發(fā)的方法的流程 圖10描繪了根據(jù)本發(fā)明的另一實施例的組密鑰分發(fā)的方法的流程 圖11描繪了根據(jù)本發(fā)明的另一實施例的組密鑰分發(fā)的方法的流程圖�。在圖9����、10和11中,描述的順序不應解釋為暗示這些操作必然與順序相關。參照以上參考的附圖來描述本發(fā)明的非限制性和非窮盡性實施例��,其中��,貫穿各幅視圖,相似的參考標記指代相似的部分�,除非另有指定。描述的順序不應解釋為暗示這些操作必然與順序相關��。
具體實施例方式這里描述了用于采用面向通用對象的變電站事件(GOOSE)的系統(tǒng)中的專用組密鑰分發(fā)的方法的實施例���。在以下描述中��,提供了許多具體細節(jié)以用于理解本發(fā)明的實施例���。然而����,相關領域技術人員將認識到���,可以在沒有具體細節(jié)中的一個或多個的情況下或者利用其他步驟�、方法�����、系統(tǒng)�、組件、材料等的情況下實踐本發(fā)明�。在其他實例中�,未示出公知的結構、材料�����、系統(tǒng)組件或方法步驟����,或者如果示出的話也未詳細描述它們��,以避免模糊本發(fā)明的方面���。貫穿本說明書對“一個實施例”或“實施例”的參考意味著結合該實施例描述的特定特征、結構、步驟或特性包括在本發(fā)明的至少一個實施例中�����。因此����,短語“在一個實施例中”或“在實施例中”在貫穿本說明書的各個位置的出現(xiàn)不必然都指代相同實施例。此外��,可以在一個或多個實施例中以任何合適方式組合特定特征、結構�����、步驟或特性。各個操作將被描述為以最有助于理解本發(fā)明的方式輪流執(zhí)行的多個分立步驟�����。然而��,描述的順序不應解釋為暗示這些操作必然與順序相關���,特別地��,不應解釋為呈現(xiàn)步驟的順序����。可替換地���,任何必要的排序是明確提及的或者將被本領域技術人員理解?����,F(xiàn)在參照圖1�,該圖描繪了使用IEC61850 GOOSE相對于傳統(tǒng)硬線系統(tǒng)的優(yōu)勢。標準IS0/IEC62351部分6描述了 IEC 61850對等端到對等端簡檔的安全性���。其覆蓋了 IEC 61850中不基于TCP/IP的簡檔——G00SE�����、通用變電站狀態(tài)事件(GSSE)和采樣消息值(SMV)��。面向通用對象的變電站事件(GOOSE)是其中將任何格式的數(shù)據(jù)(狀態(tài)�、值)分組為數(shù)據(jù)集合并將其作為變電站事件(例如��,命令、警報或指示)進行傳輸?shù)目刂颇P蜋C制�。其旨在利用站總線通信來替換IED內(nèi)協(xié)調(diào)所必需的傳統(tǒng)硬線邏輯。在檢測到事件時���,現(xiàn)場設備使用多播傳輸來通知已注冊(訂閱)的那些設備接收數(shù)據(jù)��。每個現(xiàn)場設備多次重傳GOOSE消息���。每個接收者的反應取決于其配置和功能?,F(xiàn)在參照圖2���,該圖描繪了根據(jù)(參見IE C 61850-7-2)的GOOSE的擴展以太類型PDU0在本文檔中��,利用PDU來表示協(xié)議數(shù)據(jù)單元����。擴展八位字節(jié)區(qū)域的格式是
Extension = {
[O]IMPLICIT SEQUENCE {
⑴ IMPLICIT SEQUENCE Reserved OPTIONAL,IMPLICIT OCTETSTRING Private OPTIONAL,IMPLICIT AuthentIcationVaIue OPTIONAL,
}
IIEC 61850-5定義了消息類型及其性能類��。性能類是
-Pl-典型地針對分發(fā)隔間(bay)(或者可以接受低需求的位置);
-P2 -典型地針對傳輸隔間(或者如果未被客戶另外指定)����;
-P3 -典型地適用于頂性能傳輸隔間;
下表基于IEC 61850-5中的信息��,示出了不同消息類型及其定時需求�,
權利要求
1.一種用于采用面向通用對象的變電站事件(GOOSE)的系統(tǒng)中的專用組密鑰分發(fā)的方法,包括 經(jīng)由GOOSE系統(tǒng)的組件多個現(xiàn)場設備來定義GOOSE系統(tǒng)的組配置��; 驗證所述組中的每個現(xiàn)場設備對非對稱密鑰對的擁有�; 變電站控制器經(jīng)由所述變電站控制器與現(xiàn)場組成員設備之間的安全交互,將組密鑰分別分發(fā)給每個現(xiàn)場組成員設備�;以及 在所述組配置已改變之后更新所述組密鑰。
2.根據(jù)權利要求I所述的用于專用組密鑰分發(fā)的方法�,其中,所述非對稱密鑰對是證書或公有密鑰以及對應的私有密鑰中的一個。
3.根據(jù)權利要求2所述的用于專用組密鑰分發(fā)的方法�,其中,所述證書的序列號用于確定組成員關系��。
4.根據(jù)權利要求I所述的用于專用組密鑰分發(fā)的方法�����,其中�����,變電站控制器經(jīng)由所述變電站控制器與組成員設備之間的安全交互將組密鑰分別分發(fā)給每個現(xiàn)場組成員設備包括針對每個現(xiàn)場設備利用所述公有密鑰的非對稱加密��。
5.根據(jù)權利要求I所述的用于專用組密鑰分發(fā)的方法��,其中�,變電站控制器經(jīng)由所述變電站控制器與組成員設備之間的安全交互將組密鑰分別分發(fā)給每個現(xiàn)場組成員設備包括對所述變電站控制器與現(xiàn)場設備之間的加密連接的利用,這是使用所述非對稱密鑰對來發(fā)起的�。
6.根據(jù)權利要求I所述的用于專用組密鑰分發(fā)的方法,其中��,變電站控制器經(jīng)由所述變電站控制器與組成員設備之間的安全交互將組密鑰分別分發(fā)給每個現(xiàn)場組成員設備包括在每個現(xiàn)場設備與組控制器之間協(xié)商至少一個逐對對稱主密鑰�,所述至少一個逐對對稱主密鑰稍后用于分發(fā)實際組密鑰。
7.一種涉及包括現(xiàn)場設備的拓撲的組控制器�,所述現(xiàn)場設備將消息發(fā)送至利用組密鑰來保證安全的環(huán)上���,并且訂閱現(xiàn)場設備讀取所述消息使用所述組密鑰來驗證其完整性, 其特征在于�����,所述組控制器使用于采用面向通用對象的變電站事件(GOOSE)的系統(tǒng)中的專用組密鑰分發(fā)的方法便利���,所述方法包括 經(jīng)由GOOSE系統(tǒng)的組件多個現(xiàn)場設備來定義GOOSE系統(tǒng)的組配置; 驗證所述組中的每個現(xiàn)場設備對非對稱密鑰對的擁有�; 變電站控制器經(jīng)由所述變電站控制器與組成員設備之間的安全交互將組密鑰分別分發(fā)給每個現(xiàn)場組成員設備;以及 在所述組配置已改變之后更新所述組密鑰�。
全文摘要
本發(fā)明針對一種用于采用面向通用對象的變電站事件(GOOSE)的系統(tǒng)中的專用組密鑰分發(fā)的方法和裝置,并涉及一種便于采用所述方法的設備��。所述方法包括經(jīng)由GOOSE系統(tǒng)的組件多個現(xiàn)場設備來定義GOOSE系統(tǒng)的組配置�;驗證所述組中的每個現(xiàn)場設備對非對稱密鑰對的擁有;變電站控制器經(jīng)由所述變電站控制器與組成員設備之間的安全交互���,將組密鑰分別分發(fā)給每個現(xiàn)場組成員設備���;以及在所述組配置已改變之后更新所述組密鑰。
文檔編號H04L9/08GK102884755SQ201080066786
公開日2013年1月16日 申請日期2010年5月14日 優(yōu)先權日2010年5月14日
發(fā)明者S.弗里斯, M.塞瓦爾德 申請人:西門子公司