用于在变电站lan与分组交换wan之间传送通信消息的安全性框架的制作方法
【专利摘要】本发明涉及用于在变电站LAN与分组交换WAN之间传送通信消息的安全性框架,具体来说用于在功率网络中传送保护数据的网络接口,的领域。本发明提供用于通常在第2层中的变电站以太网LAN与分组交换WAN之间传送包含功率通信网络的保护数据的通信数据的网络接口。该网络接口包括:防火墙和第3层路由器,其相互连接并且适合传送不包括保护数据的通信数据;以及第2层旁路,其与防火墙和第3层路由器并联,并且适合传送保护数据。按照另一方面,本发明还提供一种用于传送这类通信数据的方法。
【专利说明】
用于在变电站LAN与分组交换WAN之间传送通信消息的安全性框架
技术领域
[0001]本发明涉及用于在变电站LAN与分组交换WAN之间传送通信消息的安全性框架,具体来说用于在功率网络中传送保护数据的网络接口,的领域。
【背景技术】
[0002]IEC6850-90-1描述两种方式,以便通过广域网WAN传送关键保护服务的数据。隧穿(tunneling)方式假定包含保护数据的以太网分组按照其天然以太网格式以线速来传送并且没有或者仅具有对分组的微小变化。这种方式适合于通常编码为IEC68150中的GOOSE消息的二进制距离保护数据,以及适合于编码为取样值SV的差分保护数据。
[0003]EP-2-432-133-A描述对于如技术文献IEC6850-90-1中所描述的GOOSE隧穿方式的扩展功能性,其包含:事件记录器/命令计数器,用于隧穿GOOSE消息中的可配置二进制事件;以及在信道质量不满足可靠通信的要求的情况下的服务的两个通信边缘装置之间的通信信道的恒定监控和连接的服务终端装置的通知。
[0004]US 2012/0233296描述变电站自动化SA系统的网关智能电子装置IED,其中网关IH)包括配置成按照IEC 61850进行通信的通信接口,并且它能够经由变电站通信网络为路由选择功能提供用于直接访问有关保护IH)的防火墙和访问控制。
[0005]US 2005/0114648—般涉及信息技术的领域,并且描述双模防火墙的实现,其充当第2层业务的桥接器并且充当第3层业务的路由器。相应地,网络装置能够提供第2层业务的透明转发和第3层路由选择能力以及在第2或第3层的安全性策略的实现。
[0006]参照描述基于时间关键事件的消息的标准、S卩IEC 61850-8-1的US 2011/307114直接在通信栈的以太网链路层上规定G00SE。对于在过程级的极快周期变化信号、例如所测量模拟电压或电流,IEC 61850-9-2规定取样值SV服务。紧接当前方式的功能缺点,还存在通过隧穿方式当前没有解决的技术难题。
[0007]按照标准IEC61850的当前版本、版2,G00SE和SV消息在没有第3层IP扩展的情况下是简单OSI第2层以太网消息。
[0008]这与公用事业应用中的基于以太网的通信基础设施的典型设计形成对照,其中第2层变电站LAN与广域通信网络之间的接口始终是第3层路由器以及操作在第3层IP上的防火墙,参见图1JAN的架构是多样的。根据物理SDH技术所实现的当今第2层以太网是典型情况。将来,预计MPLS网络(又称作第2.5层网络)承担主导作用。注意,MPLS也是IP之下的层并且因此不是知道的IP。
[0009]路由器和防火墙的组合从安全性方面以及从业务缩放角度来看是优选接口解决方案。路由器能够被配置,使得只有预计用于变电站间通信的业务被传送给WAN。但是,从性能角度来看,第3层交换或路由选择(其与第2层操作相比明显要慢)对于当前存在于变电站中的基于以太网的应用(即,基于IP的语音、按照IEC60870-5-104或Modbus协议的SCADA业务或者提供给变电站的办公IT服务)是充分的。
[0010]对于基于IEC61850的保护服务、GOOSE和SV,如图1所指示的架构具有一些局限性,例如没有IP扩展的第2层服务不能够通过第3层路由器,第3层交换或路由选择的性能被认为不够快以便满足通常为4至10 ms端对端的保护服务的紧密定时限制,并且分组交换WAN中的第2层消息的路由选择需要特殊关注。
【发明内容】
[0011 ]如上所述,当前方式没有实现变电站以太网LAN与分组交换WAN之间的保护数据例如GOOSE和SV消息的快速和同时安全传输。
[0012]只通过第2层交换机代替第3层路由器作为变电站LAN与WAN之间的典型接口也没有解决此问题。采用这种方式可发生的问题将会是:
?考虑到安全性,WAN与变电站LAN之间的第2层接口将会给予从外部世界对变电站的完全以及无保护/无控制访问。
[0013]?考虑到缩放性,连接到WAN的所有变电站的整个多播和广播业务将会通过整个网络、例如整个WAN和所有变电站LAN来涌入。
[0014]?考虑到路由选择,不存在控制WAN中的既不是单播也不是多播或广播业务的业务流的方法。因此,随时间推移,通过MAC学习,单播将会找到经过WAN的一种适当方式,来自任何变电站的单播和多播业务将会全部通过整个网络不断地传送。
[0015]因此,本发明的一个目的是提供用于通过分组交换WAN在两个变电站LAN之间传送保护数据的安全框架。该框架应当包含用于传送第3层通信数据以及用于传送保护数据的组件,该框架实现保护数据的快速和安全传输,并且同时通过经由整个网络涌入保护数据来避免对经过第3层路由器和防火墙的单播业务的影响。这个目的通过如独立权利要求所述的方法和装置来实现。根据从属专利权利要求,优选实施例是显而易见的。
[0016]本发明提供通常在第2层中的变电站以太网LAN与分组交换WAN之间用于传送包含功率通信网络的保护数据的通信数据的网络接口。该网络接口包括:防火墙和第3层路由器,其相互连接并且适合传送不包括保护数据的通信数据;以及第2层旁路,其与防火墙和第3层路由器并联,并且适合传送保护数据。
[0017]保护数据是功率系统中的时间关键保护服务的消息,例如按照IEC61850的GOOSE消息和SV。这里的术语传送包含转发和交换以及在转发之前准备通信数据的含意。不包括或者没有保护数据的通信数据涉及非GOOSE和非SV、例如基于IP的语音、SCADA业务或办公IT服务的数据。
[0018]按照本发明的网络接口还能够包括将防火墙和第3层路由器与变电站LAN进行连接的第一通信信道以及将第2层旁路与变电站LAN进行连接的第二通信信道。防火墙和第3层路由器适合经由第一通信信道来传送不包括保护数据的通信数据,以及第2层旁路适合经由第二通信信道来传送保护数据。第一和第二通信信道可以是两个物理独立和分离的电缆或线路。这实现使用专用通信信道的保护数据传送的分离。
[0019]按照另一方面,本发明还提供一种在变电站以太网LAN与分组交换WAN之间传送包含功率通信网络的保护数据的通信数据的方法。该方法包括下列步骤:经过防火墙和第3层路由器(其相互连接并且布置在WAN与变电站LAN之间)来传送不包括保护数据的通信数据;以及经过第2层旁路(其与防火墙和第3层路由器并联并且连接在WAN与变电站LAN之间)来传送保护数据。优选地,网络接口包括第2层交换机,其布置在WAN与第2层旁路、防火墙和第3层路由器之间。第2层交换机实现来自变电站LAN的保护数据与经过第3层路由器和防火墙的其他非保护数据到分组交换WAN合并在一起。在接收方向上、即从WAN到变电站LAN,第2层交换机将非保护数据与保护数据分离,将非时间关键的第3层IP业务发送给到变电站的标准防火墙和L3路由器接口,而时间关键保护服务送到(addressed towards)快速第2层旁路。
[0020]换言之,按照本发明的网络接口可具有与变电站LAN的两个连接信道,S卩,第一个经由第2层旁路将第2层交换机与变电站LAN连接,而第二个经由防火墙和第3层路由器来连接变电站LAN。因此,第2层旁路与连接第2层交换机的防火墙和第3层路由器并联地与第2层交换机进行连接。按照本发明的这种连通性一方面实现时间关键消息、即诸如GOOSE和SV的保护数据的快速传输,因为它们在变电站LAN与WAN之间的单独的第2层旁路中传送;以及另一方面实现非时间关键通信数据经由防火墙和第3层路由器的安全传输。
[0021]为了认证保护数据、即避免时间关键消息的未经授权发送,由此保护时间关键消息的传输,第2层旁路可使用数字签名。进行认证以确保只有经认证的保护数据可从WAN侧进入变电站。这可针对WAN中的攻击者来使用,该攻击者设法获得对变电站LAN的访问。在另一方向上、即从变电站LAN到WAN,应用过滤功能以确保只有带配置地址和标识字段的GOOSE和SV可通过。在这个方向上,从变电站传递给WAN的业务则能够采用签名(其能够在允许消息进入变电站LAN之前由接收方用来检验真实性)来认证。
[0022]按照本发明,当包含时间关键消息的通信数据由第2层旁路在第一通信信道中从变电站LAN来接收时,时间关键消息能够被过滤并且传送给第2层交换机,而能够丢弃非时间关键的其余通信数据。在另一方面,通信数据也能够由第3层路由器在第二通信信道中例如按照广播方式从变电站LAN来接收。非时间关键消息则将经过第二信道经由防火墙传送到第2层交换机。第3层路由器能够丢弃GOOSE和SV消息,因为它们是没有第3层信息、例如IP地址的第2层消息。因此,第3层路由器不能对这类消息进行操作。第3层路由器对非第3层业务、即第2层业务的缺省行为是将它丢弃。
[0023]常规方式可以是(a)将时间关键消息封装到第3层通信信道中,以便保护传输,但是同时减慢传输速度,或者(b)采用第2层交换机替代第2层和防火墙,其将会具体提供对电力变电站的不安全和直接第2层以太网访问,这可实现来自电力变电站外部的攻击者对电力变电站的LAN的完全和不安全访问。因此,常规方式(a)和(b)具有其缺点。相比之下,本发明分别为时间关键和非时间关键消息提供单独传输信道,由此实现全部通信数据的安全并且快速传输。
[0024]此外,虽然一些常规方式针对一个变电站LAN内的数据通信(其中通常整个通信专有地是基于第2层以太网的),但是本发明目的在于提供一种变电站间解决方案,其中第3层路由器是在变电站与WAN之间的边界(border)上所采用的通信路径的一部分。这个变电站间解决方案在当前配电网中尚未存在。
[0025]优选地,对于从变电站LAN到WAN的通信数据,第2层旁路适合基于诸如MAC地址、VLAN ID,APP ID等的保护数据的参数从通信数据和变电站内部保护数据中过滤保护数据。
[0026]优选地,对于从变电站LAN到WAN的通信数据,第2层旁路适合向保护数据提供认证信息、例如数字签名。
[0027]优选地,对于从变电站LAN到WAN的通信数据,第2层旁路适合在基于MPLS的WAN网络的情况下为保护数据提供网络路由选择信息、例如MPLS。
[0028]优选地,对于从WAN到变电站LAN的通信数据,第2层旁路适合检验保护数据的路由选择信息和数字签名。
【附图说明】
[0029]下文中将参照附图中图示的优选示范实施例更详细地说明本发明主题,附图包括:
图1不意不出变电站LAN与WAN核心网络之间的基于以太网的接口 ;以及图2示意示出按照本发明、变电站LAN与WAN核心网络之间的基于以太网的接口。
[0030]附图中所使用的参考符号及其主要含意在标号的列表中以概括形式列示。原则上,附图中,相同部件提供有相同参考符号。
【具体实施方式】
[0031]图1示出变电站以太网LAN与WAN核心的连通性。如所示,所有通信数据将经过包含第3层路由器或交换机和防火墙的WAN边缘装置来传送。对于时间关键保护服务的保护数据、例如某个断路器的切换的命令不存在专用信道。
[0032]图2示出用于传送时间关键保护服务的数据的专用通信信道。这实现保护数据经过第2层旁路52的快速传输。还可数字签署保护数据,以便改进功率网络的保护数据的传输的安全性。
[0033]通过本发明,提出L3路由器54、防火墙53和L2交换机51的组合,作为变电站LAN与WAN之间的接口的改进解决方案。取决于业务,一个路径或另一路径将用于服务,从而为每个服务提供改进接口,并且解决前面所述的全部问题。此外,本发明将第2层交换机和第2层旁路与现有组件(例如第3层路由器和防火墙)结合到WAN网络的边缘装置中。
[0034]基于通信数据的业务的非保护数据、S卩非GOOSE和非SV(例如基于IP的语音、SCADA业务或办公IT服务)经过L3路由器54和防火墙53,这基本上意味着对于公用事业环境中当前存在的全部业务没有发生变化:业务是更少性能关键的,基于IP的L3路由选择性能是充分的,并且通过使用路由器/防火墙,满足安全性要求。
[0035]关于保护数据,本发明提供用于传送这个时间和应用关键服务的专用信道。保护数据通常采取多播消息的形式,其被广播到通信网络。在下文中,保护数据的传输将取决于传输方向来说明:
在发送方向上一从变电站LAN到WAN:
在这个方向上,只有按照IEC61850 GOOSE或SV的基于第2层的保护数据能够经由第2层旁路52旁路这个缺省L3路由器/防火墙路径。
[0036I为了实现这个,通信边缘装置50内部的过滤机构基于其参数(例如MAC地址、VLANID、G00SE或SV的以太网类型和/或APP ID)来过滤保护数据。
[0037]此外,发送给WAN的每个分组由通信装置数字签署,其提供消息的认证。这保证不能操纵保护数据的发送方,由此增加保护数据传输的安全性。
[0038]此外,第2层旁路还可采用充分路由选择信息来扩展保护数据,为了将保护数据仅传送给WAN中的适当接收方,例如纯第2层核心网络的情况下的VLAN ID、作为WAN技术的MPLS的情况下的MPLS标签或者作为WAN技术的第3层IP的情况下的IP地址。
[0039]此外,其他功能性也能够在这个第2层旁路中作为保护互通功能的一部分来实现,
例如事件记录器或者保护数据的传输路径的冗余性。
[0040]
在接收方向上一从WAN到变电站:
在这个方向上,只有送往特定节点的业务被接受并且应当路由到特定网络节点。为了实现这个,第2层旁路检验保护数据的路由选择信息,并且检查保护数据的数字签名。因此,只有通过发送侧的对应部分(counterpart)数字签署的业务被接受并且传递给变电站。这防止第2层安全性漏洞(其以其他方式将会是从WAN到变电站LAN的第2层旁路的结果)。此夕卜,在接收方向上,按照现有技术所述的其他功能性也能够由第2层旁路来提供。
[0041]虽然在附图和前面描述中详细描述了本发明,但是这种描述将被认为是说明性或示范性而不是限制性的。通过研究附图、本公开和所附权利要求书,对所公开的实施例的变更能够由本领域的技术人员理解和实现,并且实施要求保护的本发明。在权利要求书中,词语“包括”并不排除其他元件或步骤,以及不定冠词“一”或“一个”并不排除复数。在截然不同权利要求中陈述某些元件或步骤的唯一事实并不指示这些元件或步骤的组合不能有利地使用、具体来说除了实际权利要求相关性之外,任何其他有意义的权利要求组合还将理解为被公开。
[0042]标号列表
100第2或2.5层中的WAN核心 200第2层中的变电站以太网LAN 50变电站LAN与WAN之间的网络接口 51第2层交换机 52第2层旁路 53防火墙 54第3层路由器
【主权项】
1.一种用于在变电站LAN(200)与分组交换WAN(10)之间传送包含功率通信网络的保护数据的通信数据的网络接口( 50 ),包括: 防火墙(53)和第3层路由器(54),相互连接并且适合经由第一通信信道(10)传送不包括所述保护数据的所述通信数据;以及 第2层旁路(52),与所述防火墙(53)和所述第3层路由器(54)并联,并且适合经由第二通信信道(20)传送所述保护数据。2.如权利要求1所述的网络接口,还包括: 第2层交换机(51),布置在所述WAN(10)与所述第2层旁路(52)、所述防火墙(53)和所述第3层路由器(54)之间,其中所述第2层交换机适合将所述保护数据与所述通信数据合并或分离。3.如权利要求1至2中的任一项所述的网络接口, 其中,所述第2层旁路(52)适合基于所述保护数据的参数从所述通信数据过滤所述保护数据。4.如权利要求1至3中的任一项所述的网络接口, 其中,所述第2层旁路(52)适合使用数字签名来认证所述保护数据。5.如权利要求1至4中的任一项所述的网络接口, 其中,所述第2层旁路(52)适合为所述保护数据提供网络路由选择信息。6.如权利要求1至5中的任一项所述的网络接口, 其中,所述第2层旁路(52)适合检验所述保护数据的所述路由选择信息和所述数字签名。7.—种用于在变电站LAN(200)与分组交换WAN(200)之间传送包含功率通信网络的保护数据的通信数据的方法,包括下列步骤: 经过相互连接并且布置在所述WAN(10)与所述变电站LAN(200)之间的防火墙(53)和第3层路由器(54)来传送不包括所述保护数据的所述通信数据;以及 经过与所述防火墙(43)和所述第3层路由器(54)并联并且连接在所述WAN与所述变电站LAN之间的第2层旁路(54)来传送所述保护数据。8.如权利要求7所述的方法,还包括下列步骤: 由布置在所述WAN(10)与所述第2层旁路(52)、所述防火墙(53)和所述第3层路由器(54)之间的第2层交换机(51)将所述保护数据合并到所述通信数据中或者将所述保护数据与所述通信数据分离。9.如权利要求7至8中的任一项所述的方法,还包括下列步骤: 由所述第2层旁路(52)基于所述保护数据的参数从所述通信数据过滤所述保护数据。10.如权利要求7至9中的任一项所述的方法,还包括下列步骤: 由所述第2层旁路(52)使用数字签名来认证所述保护数据。11.如权利要求7至10中的任一项所述的方法,还包括下列步骤: 由所述第2层旁路(52)扩展具有网络路由选择信息的所述保护数据。12.如权利要求7至11中的任一项所述的方法,还包括下列步骤: 由所述第2层旁路(52)检验所述保护数据的所述路由选择信息和所述数字签名。
【文档编号】H04L12/46GK105850096SQ201480069899
【公开日】2016年8月10日
【申请日】2014年11月26日
【发明人】D.卡钦, A.盖加西, H-J.马亚格
【申请人】Abb 技术有限公司