《电力数据通信网络的ipv6演进与安全体系架构研究》由会员分享,可在线阅读,更多相关《电力数据通信网络的ipv6演进与安全体系架构研究(5页珍藏版)》请在金锄头文库上搜索。
1、电力数据通信网络的IPv6演进与安全体系架构研究苗新,陈希(中国电力科学研究院,北京市 海淀区 100192)摘要:智能电网需要数据通信系统作为支撑来完成其重要职责,而智能电网的数据信息越来越多地采用互联网协议(Internet Protocol, IP)和以太网技术,智能电网内的设备将越来越多地带有IP地址。目前IPv4协议占据了主导地位,所以,面临着向IPv6演进和网络安全性的挑战。通过叙述数据通信网络的重要性及其主要承载的业务,分析数据通信网络从IPv4向IPv6演进的5个过程和过渡的4个阶段,论述了智能电网数据通信网面临的安全威胁,及其攻击和防御类型。从安全层面、通信网络安全工程和通信
2、网络安全管理等3个维度,建立了数据通信网络的安全体系架构,以保障智能电网数据通信系统向IPv6的顺利演进。关键词:智能电网;数据通信;网络;IPv6;过渡演进;安全威胁;安全体系架构0 引言自2009年1月奥巴马政府将智能电网(Smart Grid)提升为美国国家战略以来,“智能电网(Smart Grid)”一词已经风靡全球。建设智能电网已成为国际电力工业积极应对未来挑战的共同选择。2009年5月2122日,在北京举行的“2009特高压输电技术国际会议(UHV2009)” 1-2上,国家电网公司首次提出了建设以特高压电网为骨干网架、各级电网协调发展的坚强电网为基础,按照“安全可靠、清洁高效、自
3、愈可调”的要求,以发电、线路、变电、配电、用电服务和调度为6个应用环节,利用先进的通信、信息和控制技术,构建以信息化、自动化、数字化、互动化为特征的自主创新、国际领先的统一坚强智能电网的战略发展目标。智能电网需要数据通信系统作为支撑1-6来完成其重要职责,例如智能发电环节的常规电源网厂协调、新能源发电并网、大容量储能系统并网、系统仿真、运行控制等,智能输电环节的电能传输、线路状态与运行环境监测,智能变电环节的变电站运行控制、变电站自动化系统,即输变电控制和保护、广域相量测量、电能计量、信息交互、集中监控等,智能配电环节的经济运行、智能预警、辅助决策、安全控制、设备管理、电能质量、大规模储能、电
4、动汽车变电站等,智能用电环节的售电市场运营、需求侧管理、销售电价执行、供电质量保证、电能计量管理、供电服务等,智能调度环节的实时监控与预警、调度管理、电网运行管理等,信息平台的信息交互与传输等,都需要实时数据信息的传递。而智能电网的数据信息越来越多地采用互联网协议(Internet Protocol, IP)和以太网技术,智能电网内的设备将越来越多地带有IP地址。IP化对电力通信网络安全带来的不利影响。互联网协议(Internet Protocol, IP)是互联网的核心协议。目前广泛使用的互联网协议第4版(Internet Protocol Version 4,IPv4)是在上世纪70 年代
5、末期设计的,无论从计算机本身发展还是从互联网规模和网络传输速率来看,IPv4 已经很难适应要求。IPv4 地址总量为2 的32 次方个即4,294,967,296,但32 位的IPv4 地址已远远不够用,专家预计全球IPv4 地址资源将于2012年耗尽。采用长度为128位IP地址的互联网协议第6版(Internet Protocol Version 6,IPv6),能够解决IPv4地址不足的难题,并且在地址容量、安全性、网络管理、移动性以及服务质量等方面有明显的改进。但IPv4向IPv6过渡将是漫长的过程,需要考虑现有的数据通信网向IPv6演进以及安全体系架构问题,以支撑智能电网的建设6-22
6、。1 IPv6演进1.1数据通信网络支撑智能电网的数据通信网是电力通信网的重要业务网络之一,是电力系统内各种计算机应用系统实现网络化的公共平台,是实现电力信息化、自动化、互动化目标的重要基础。它由国家骨干数据通信网及各网、省地、市的各级数据网络共同组成。主要承载除了调度控制业务外的综合数据业务,即管理调控业务和辅助决策类业务。管理调控业务包括生产类、经营类、管理类、协同办公类等。辅助决策类业务包括战略与规划管理、及生产/经营/管理业务辅助决策系统等。在各种数据业务中,IPv4协议占据了主导地位。所以,面临着向IPv6演进的挑战。1.2数据通信网络IPv6演进数据通信网络从IPv4向IPv6演进
7、过程而言,将包括迁移(Migration)、过渡(Transition)、集成(Integration)、互操作(Interoperation)和长期共存(Co-existence)等过程。从IPv4向IPv6过渡可以划分为4个阶段。第1阶段,以IPv4网络为主体,IPv6网络仅在局部构成中小型网络,即“IPv6孤岛,IPv4海洋”; 第2阶段,IPv4网络与I Pv6网络并行;第3阶段,以IPv6网络为主体,IPv4网络仅在局部构成中小型网络,即“IPv4孤岛,IPv6海洋”; 第4阶段,以IPv6网络为一统天下。IPv6网络演进如图1所示。图1 IPv6网络演进示意图2 安全体系架构2.1
8、数据通信网面临的安全威胁IP技术为智能电网数据通信网降低软硬件成本,带来开发与运维便利性的同时,也引入了额外的安全风险。智能电网数据通信网面临的安全威胁主要来自以下4方面。一是来自其承载网的安全威胁。例如,作为智能电网数据通信系统的承载网多业务光纤传输网,因不能将不同业务网的资源相互独立,其上的多个业务网可能相互影响,即作为其上的业务网之一的智能电网数据通信网可能与其他业务网(例如会议电视网)之间相互影响,智能电网数据通信网内部各种业务之间也可能相互影响。二是来自其管理平面的安全威胁。例如,其网管网与业务网仅做逻辑子网隔离的情况下,逻辑子网无法保障带宽,端口上大量的业务流会导致网管数据的拥塞,
9、造成安全性问题。再例如,运维机构内部网管子网与办公子网连接的情况下,容易引发来自内部有意或无意的攻击,造成数据通信网络的安全隐患。三是来自其大量采用通用计算机的安全威胁。为降低成本,智能电网数据通信网络内的设备将越来越多地采用通用计算机设备,但基于通用计算机的数据通信网设备会带来多方面的安全影响,包括可靠性降低、操作系统存在安全漏洞、业务逻辑软件化带来安全隐患等。通用计算机设备可靠性一般而言低于传统电信设备,需要多台设备互备才可能实现99.999%的可靠性;通用计算机设备操作系统不断地被披露出安全漏洞,容易受到攻击;软件实现的越来越复杂的业务逻辑容易出现各种各样的安全隐患。四是来自从IPv4向
10、IPv6演进过程中,IPv4与IPv6综合组网技术本身存在的安全漏洞或隐患。例如,IPv4与IPv6综合组网会破坏原有的纯IPv4网络的安全性,而且IPv6网络安全性技术优势难以得以发挥。针对智能电网数据通信网络的对抗攻击可以分为以下三类:对于可控性的攻击(即非法利用)、对于机密性的攻击(即秘密侦测)、对于可用性的攻击(即恶意破坏)。防御其攻击可以分为以下四类:体制机理防御、实现技术防御、工程应用防御、运营管理防御。智能电网数据通信网络的安全包括环境安全、物理安全、节点安全、链路安全、拓扑安全、系统安全等方面。2.2数据通信网络的安全体系架构数据通信网络的安全体系架构包括安全层面、通信网络安全
11、工程和通信网络安全管理等3个维度。安全层面包括物理环境安全、设备安全、网络安全、业务应用安全、信息自身安全和信息内容安全等6个层次。通信网络安全管理包括资产、组织、人员、制度和运维等5个要素。通信网络安全工程包括健康检查与需求调研、评估分析、规划设计、安全实施和运维保障等5个过程。具体见图2。图2 智能电网数据通信网络的安全体系架构安全层面的每个层次都会涉及其他2个维度的要素和过程,例如,环境物理安全要求网络、设备、终端等所处环境温度、湿度、电磁、防尘、防火、门禁、访问控制等满足标准要求,就要在健康检查与需求调研、评估分析、规划设计、安全实施和运维保障等5个过程上做好通信网络安全工程,并且要在
12、资产、组织、人员、制度和运维等5个要素上做好通信网络安全管理。3 结论支撑智能电网的数据通信网是实现电力信息化、自动化、互动化目标的重要基础,主要承载电网管理调控业务和辅助决策类业务。而智能电网的数据信息越来越多地采用互联网协议和以太网技术,智能电网内的设备将越来越多地带有IP地址。目前,IPv4协议占据了主导地位,向IPv6过渡将是大势所趋。所以,面临着向IPv6演进的挑战。但IPv4向IPv6过渡将是漫长的过程,如何在整个过渡期间做到业务平滑迁移的同时,通过建立数据通信网络的安全体系架构,来保证数据通信网络的安全性,是需要研究的课题。IP技术为智能电网数据通信网降低软硬件成本,带来开发与运
13、维便利性的同时,也引入了额外的安全风险。智能电网数据通信网面临的安全威胁主要来自以下4方面。一是来自其承载网的安全威胁,二是来自其管理平面的安全威胁,三是来自其大量采用通用计算机的安全威胁,四是来自从IPv4向IPv6演进过程中,IPv4与IPv6综合组网技术本身存在的安全漏洞或隐患。针对智能电网数据通信网络的对抗攻击包括非法利用、秘密侦测和恶意破坏。防御其攻击包括体制机理防御、实现技术防御、工程应用防御、运营管理防御等四类。物理环境安全、设备安全、网络安全、业务应用安全、信息自身安全和信息内容安全等6个层次构成安全层面维度。资产、组织、人员、制度和运维等5个要素构成通信网络安全管理维度。健康
14、检查与需求调研、评估分析、规划设计、安全实施和运维保障等5个过程构成通信网络安全工程维度。安全层面、通信网络安全工程和通信网络安全管理等3个维度共同组成数据通信网络的安全体系架构。以保障智能电网数据通信系统向IPv6的顺利演进。参考文献1 国家电网公司. 2009特高压输电技术国际会议纪要EB/OL. 2009-06-30. http:/ 2009/4/196773.shtml.2 苗新,张恺,陈希,等建设中国特色智能电网的框架探讨C2009特高压输电技术国际会议论文集(UHV2009),北京,2009.5:UHV09_CP0600_1-6MIAO Xin,ZHANG Kai,CHEN Xi,
15、et alDiscuss Infrastructure of Constructing China National Smart GridCProceedings of the UHV 2009,Beijing,2009,5:UHV09_CP06003 苗新,张恺,陈希,等建设智能电网的发展对策 J电力建设,2009,30(6):6-10MIAO Xin,ZHANG Kai,CHEN Xi,et alDevelopment Countermeasure of Constructing Smart GridJElectric Power Construction,2009,30(6):6-10(
16、in Chinese)4 苗新,张逸飞,刘津智能电网的中国之路J. 国家电网, 2009, 7: 54-56.Miao Xin,Zhang Yi Fei,Liu JinChinese Road of Smart GridJ. State Grid, 2009, 7: 54-56 (in Chinese).5 苗新,张恺,田世明,等支撑智能电网的信息通信体系J电网技术,2009,33(17):8-13Miao Xin,Zhang Kai,Tian Shi-ming,et alInformation Communication System Supporting Smart Grid JPower S
