基于无线网络的风电场通信安全防护

基于无线网络的风电场通信安全防护

摘要：针对风电场场内无线通信存在的安全风险，设计一套安全防护方案，用

于风电场监控系统与风电机组之间的控制链路安全通信，采用基于双向身份认证

的安全通信协议，满足基于无线通信的风机控制安全防护需求。

关键词：风电场安全；网络安全；双向透明通信；数字

证书

0 引言

随着国家绿色经济的快速发展，风电新能源发电场站建设得到快速发展[1]，

由于风电场占地广环境复杂，风机建设相对分散，有些地区存在通信网络布线困

难的问题，风电场控制中心与风机之间采用了无线网络通信[1]。通过 GPRS 技术

进行无线通信，具有安装快速方便、免于布线、数据采集和传输速率高、易于实

现远距离遥测数据分析等优点，极大降低了运行维护成本。[2]

风电场的监控需要采集、处理和传送风机旋转设备的加速度、温湿度等测量

数据，并对整体数据进行深度分析，得以实时掌握风电机组的运行状态，SCADA

系统利用无线通信技术，通过部署在风电机组中的终端对风电机组进行有效监测。

[3]

一方面，由于无线公网安全性差，易受攻击[4]，以及电信公司本身存在运营

风险和内部管理风险都会给无线公网通信的业务系统带来一定网络安全风险；另

一方面，SCADA系统普遍使用IEC60870-5系列规约通信，这种规约设计没有考虑

网络安全问题，存在旁路控制、身份假冒、窃听、篡改等网络安全风险[5]，以及

终端设备自身存在软硬件的安全漏洞风险[6]。

由于早期建设的风电场通信系统存在不能满足现有的安全防护需求，缺少一

定安全防护设计，给风电场无线通信业务带来安全风险。

本文基于风电场现有业务研究设计了一套配电自动化终端安全应用方案，在

监控系统和发电机组通信链路中增加安全防护设施，实现了基于双向身份认证的

安全通信。其中，透明代理通信技术的应用能够有效地避免了原有的监控系统和

风电机组进行改造，同时支持远程管理使用户能够方便地对风电机组安全进行监管。

1、系统架构

在风电场监控系统SCADA通过无线网络与风电机组（WTGS）中的PLC等组

件进行通信。本方案基于双向身份认证和通信加密的安全防护原则，设计风电场

无线通信安全防护技术体系，包括3个组件：

1）安全通信网关（SCG）采用专用安全硬件设备，负责执行控制中心安全策略，对终端提供安全接入。

2）安全通信模块（SCM）采用专用安全硬件装置，具备密钥安全存储、安全

算法运算等功能，负责执行终端安全策略，对终端提供网络通信安全防护。

3）安全监控平台（SMP）负责安全策略管理，对SCG和SCM安全态势进行

监控管理。

系统部署架构如图1所示。

图1系统部署构架

1）SCG串接部署在SCADA系统之前；

2）SCM串接部署在WTGS之前；

3）SCG与SCM通过无线网络采用安全通信协议，基于数字证书实现双向身

份认证，基于密钥协议机制实现数据加密通信；

4）在升压站部署SMP，管理员制定安全策略，派发给SCG与SCM设备执行，并且对SCM进行远程监控管理，实现对配电终端安全态势的综合管理。

2、双向透明通信

为了避免原有系统改造且满足部署便捷的需求，SCG与SCM均采用无IP地址、串接部署方式。SCG与SCM基于SCADA与WTGS建立的TCP连接，采用数据包

截获与TCP重组技术实现双向透明通信。图2为双向透明通信过程。

如图2，在SCADA与WTGS建立TCP连接后，一方面，SCG和SCM截获SCADA与WTGS的通信报文，利用TCP报文重组技术对报文进行明文或密文转换；另一方面，SCG和SCM之间基于SCADA与WTGS的IP地址和TCP连接构建新的TCP

图2 双向透明通信过程

报文，用于隧道建立/维护、对SCM监管理等通信。

由于需要在SCADA与WTGS已建立的TCP连接上插入管控报文，需要在SCG

和SCM中建立一个双向序列号表（BST），对双向TCP连接的序列号与确认号进

行维护。

以SCG通信为例，每次收到SCADA系统的TCP包更新TCP序列号SEQ_F和ACK_F，以此生成向SCADA系统发包时序列号与确认号。每次收SCM的TCP包时

更新TCP序列号SEQ_T和ACK_T，向SCM转发业务数据包或监控数据包时以此生成序列号和确认号。在此基础上，SCG与SCM之间实现安全通信与监控管理，对SCADA与WTGS实现透明通信。

3、安全通信

SCG与SCM之间的安全通信主要包括以下

过程：

1）初始化。SCM上线后获取SCG通信证书和系统初始化配置参数。

2）会话密钥协商。SCG与SCM建立安全通信隧道前协商会话密钥。

3）数据加密通信。SCG与SCM使用会话密钥代理SCADA系统与终端进行通信。

4）远程监控管理。SMP对SCM进行监控管理。

3.1、初始化

SCG与SCM通信使用数字证书实现双向身份认证，为了降低SCM设备部署工作难度和安全风险，要求如下：

1）统一使用指定CA签发数字证书，SCM设备在出厂时预置指定CA根证书； 2）通信过程不交换双方数字证书，SCG内置终端信息库，预置终端IP地址

信息及CA签发的SCM数字证书文件；SCG数字证书通过初始化过程以在线方式

下载到SCM设备中。

系统上线后，SCADA与WTGS可按照原有方式进行明文通信，SCG与SCM按

照透明模式直接转发双方通信数据包，获取SCADA与WTGS的IP地址。

基于SCADA与WTGS建立的TCP连接，SCMi上线初始化流程如图3所示。

图3SCM上线初始化过程

设：Kpri(*)表示某设备私钥，Kpub(*)表示某设备公钥，H(M)表示对信息M生

成哈希摘要，E(K,M)表示使用密钥K对信息M加密算法，‖表示两段信息组合，G