搜索结果: GBZ25320.1001-2023
| 标准编号 | GB/Z 25320.1001-2023 (GB/Z25320.1001-2023) | | 中文名称 | 电力系统管理及其信息交换 数据和通信安全 第100-1部分:IEC 62351-5和IEC TS 60870-5-7的一致性测试用例 | | 英文名称 | Power systems management and associated information exchange - Data and communication security - Part 100-1: Conformance test cases for IEC 62351-5 and IEC TS 60870-5-7 | | 行业 | 国家标准 | | 中标分类 | F21 | | 国际标准分类 | 29.240.01 | | 字数估计 | 82,872 | | 发布日期 | 2023-12-28 | | 实施日期 | 2024-07-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/Z 25320.1001-2023: 电力系统管理及其信息交换 数据和通信安全 第100-1部分:IEC 62351-5和IEC TS 60870-5-7的一致性测试用例
ICS 29.240.01
CCSF21
中华人民共和国国家标准化指导性技术文件
电力系统管理及其信息交换
数据和通信安全
第100-1部分:IEC 62351-5和
IEC TS60870-5-7的一致性测试用例
testcasesforIEC 62351-5andIEC TS60870-5-7
(IEC TS62351-100-1:2018,MOD)
2023-12-28发布
2024-07-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅴ
引言 Ⅵ
1 范围 1
2 规范性引用文件 1
3 术语、定义和缩略语 2
3.1 术语和定义 2
3.2 缩略语 3
4 概述 4
4.1 本文件涉及的标准 4
4.2 一致性测试结构 4
4.3 一致性测试要求 6
5 配置参数验证 7
5.1 概述 7
5.2 系统定义 7
5.3 应用安全扩展 9
6 通信验证 11
6.1 概述 11
6.2 ASDU分段控制 11
6.3 ASDUs验证 12
7 过程验证 23
7.1 概述 23
7.2 用户管理 23
7.3 更新密钥维护-对称算法 29
7.4 更新密钥维护-非对称算法 33
7.5 会话密钥维护 37
7.6 挑战/应答认证 42
7.7 主动认证模式 49
8 测试结果表 53
8.1 配置参数验证 53
8.2 通信验证 54
8.3 过程验证 59
参考文献 72
图1 IEC 62351-5安全扩展过程 5
表1 配置参数:系统定义 7
表2 配置参数:应用安全扩展 9
表3 ASDU分段控制 11
表4 用户管理ASDUs 12
表5 更新密钥维护ASDUs 14
表6 会话密钥维护ASDUs 18
表7 挑战/应答和主动认证模式ASDUs 20
表8 安全统计ASDU 23
表9 用户管理:控制站正常过程测试 24
表10 用户管理:控制站的弹性测试 25
表11 用户管理:被控站正常过程测试 25
表12 用户管理:被控站弹性测试 26
表13 更新密钥维护-对称:控制站触发条件 29
表14 更新密钥维护-对称:控制站正常过程测试 29
表15 更新密钥维护-对称:控制站弹性测试 30
表16 更新密钥维护-对称:被控站正常过程测试 32
表17 更新密钥维护-对称:被控站弹性测试 32
表18 更新密钥维护-非对称:控制站触发条件 33
表19 更新密钥维护-非对称:控制站正常过程测试 34
表20 更新密钥维护-非对称:控制站弹性测试 35
表21 更新密钥维护-非对称:被控站正常过程测试 36
表22 更新密钥维护-非对称:被控站弹性测试 37
表23 会话密钥维护:控制站触发条件 38
表24 会话密钥维护:控制站正常过程测试 39
表25 会话密钥维护:控制站弹性测试 40
表26 会话密钥维护:被控站使会话密钥无效 41
表27 会话密钥维护:被控站正常过程测试 42
表28 会话密钥维护:被控站弹性测试 42
表29 挑战/应答认证:控制站触发条件 43
表30 挑战/应答认证:控制站正常过程测试 43
表31 挑战/应答认证:控制站弹性测试 44
表32 挑战/应答认证:被控站正常过程测试 46
表33 挑战/应答认证:被控站弹性测试 47
表34 主动认证模式:控制站正常过程测试 49
表35 主动认证模式:控制站弹性测试 50
表36 主动认证模式:被控站正常过程测试 51
表37 主动认证模式:被控站弹性测试 51
表38 测试结果表:配置参数 53
表39 测试结果表:ASDU分段控制 54
表40 测试结果表:用户管理ASDUs 55
表41 测试结果表:更新密钥维护ASDUs 56
表42 测试结果表:会话密钥维护ASDUs 57
表43 测试结果表:挑战/应答和主动认证模式ASDUs 58
表44 测试结果表:安全统计ASDU 59
表45 测试结果表:用户管理过程-控制站 60
表46 测试结果表:用户管理过程-被控站 61
表47 测试结果表:更新密钥维护-对称-控制站 62
表48 测试结果表:更新密钥维护-对称-被控站 63
表49 测试结果表:更新密钥维护-非对称-控制站 64
表50 测试结果表:更新密钥维护-非对称-被控站 65
表51 测试结果表:会话密钥维护-控制站 66
表52 测试结果表:会话密钥维护-被控站 67
表53 测试结果表:挑战/应答认证-控制站 68
表54 测试结果表:挑战/应答认证-被控站 69
表55 测试结果表:主动认证模式-控制站 70
表56 测试结果表:主动认证模式-被控站 71
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件是GB/T (Z)25320《电力系统管理及其信息交换 数据和通信安全》的第100-1部分,
GB/T (Z)25320已经发布了以下部分:
---第1部分:通信网络和系统安全 安全问题介绍;
---第2部分:术语;
---第3部分:通信网络和系统安全 包括TCP/IP的协议集;
---第4部分:包含 MMS的协议集;
---第5部分:GB/T 18657等及其衍生标准的安全;
---第6部分:IEC 61850的安全;
---第7部分:网络和系统管理(NSM)的数据对象模型;
---第11部分:XML文件的安全;
---第100-1部分:IEC 62351-5和IEC TS60870-5-7的一致性测试用例;
---第100-3部分:IEC 62351-3的一致性测试用例和包括TCP/IP协议集的安全通信扩展。
本文件修改采用IEC TS62351-100-1:2018《电力系统管理及其信息交换 数据和通信安全 第
100-1部分:IEC 62351-5和IEC TS60870-5-7的一致性测试用例》。文件类型由IEC 技术规范调整为
我国国家标准化指导性技术文件。
本文件与IEC TS62351-100-1:2018的技术差异及原因如下:
---在“用户管理”中删除了IEC 62351-5:2023中相应的已删除内容的引用(见7.2)。
IEC TS62351-5:2013更新为IEC 62351-5:2023,新版标准中删除了用户管理部分内容,包括添
加、变更和删除用户。
---在“更新密钥维护-对称算法”中删除了IEC 62351-5:2023中相应的已删除内容的引用(见
7.3)。
IEC TS62351-5:2013更新为IEC 62351-5:2023,新版标准中删除了对称算法更新密钥部分内容。
---在“挑战/应答认证”中删除了IEC 62351-5:2023中相应的已删除内容的引用(见7.6)。
IEC TS62351-5:2023更新为IEC 62351-5:2023,新版标准中删除了挑战/应答认证过程和概念。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国电力企业联合会提出。
本文件由全国电力系统管理及其信息交换标准化技术委员会(SAC/TC82)归口。
本文件起草单位:国网电力科学研究院有限公司、南京南瑞继保电气有限公司、国网智能电网研究
院有限公司、国电南瑞能源有限公司、国网浙江省电力有限公司、国网浙江省电力有限公司电力科学研
究院、南京师范大学、国网江苏省电力有限公司、中国南方电网电力调度控制中心、国网上海市电力公
司、国网吉林省电力有限公司、南方电网数字集团信息通信科技有限公司。
本文件主要起草人:孙丹、王珍珍、王甜甜、温树峰、孔红磊、张丹、姬广龙、李广华、孙军、张小建、
郭王勇、杨宇、张小飞、赵若涵、郑珞琳、杜奇伟、阮黎翔、王琦、汤方剑、周强、余璟、付饶、吴金宇、张蕾、
胡可为、陈华军、金学奇。
引 言
GB/T (Z)25320《电力系统管理及其信息交换 数据和通信安全》,旨在尽可能的减少通信和计算
机网络中存在的恶意攻击对电力系统的数据及通信安全产生的危害,完善电力系统使用的各层通信协
议中的安全漏洞以及提高电力系统信息基础设施的安全管理。拟由以下部分构成。
---第1部分:通信网络和系统安全 安全问题介绍。目的在于介绍GB/T (Z)25320的其他部
分,主要向读者介绍应用于电力系统运行的信息安全的各方面知识。
---第2部分:术语。目的在于介绍在GB/T (Z)25320中所使用的关键术语。
---第3部分:通信网络和系统安全 包含TCP/IP的协议集。目的在于规定如何通过限于传输
层安全协议的消息、过程和算法的规范,对基于TCP/IP的协议进行安全防护,使这些协议能
适用于IEC TC57的远动环境。
---第4部分:包含 MMS的协议集。目的在于规定了对基于GB/T 16720(ISO 9506)制造报文规
范(MMS)的应用进行安全防护的过程、协议扩充和算法。
---第5部分:GB/T 18657等及其衍生标准的安全。目的在于定义了应用程序配置文件
(a-profile)安全通信机制,规定了对基于或衍生于IEC 60870-5的所有协议的运行进行安全
防护的消息、过程和算法。
---第6部分:IEC 61850的安全。目的在于规定了对基于或派生于IEC 61850的所有协议的运
行进行安全防护的报文、过程与算法。
---第7部分:网络和系统管理(NSM)的数据对象模型。目的在于定义了电力系统运行所特有的
网络和系统管理的数据对象模型。
---第8部分:基于角色的访问控制。目的在于为电力系统管理提供基于角色的访问控制。
---第9部分:电力系统设备的网络安全密钥管理。目的在于通过指定或限制要使用的密钥管理
选项来定义实现密钥管理互操作性的要求和技术。
---第10部分:安全架构指南。目的在于描述基于基本安全控制的电力系统安全架构指南。
---第11部分:XML文件的安全。目的在于规范智能变电站通信过程中的配置文件(XML文件)
的安全性。
---第12部分:分布式能源(DER)系统的快速恢复和安全建议。目的在于提高分布式能源
(DER)系统的安全性和可靠性。
---第13部分:标准和规范中涉及的安全主题指南。目的在于提供关于电力行业使用的标准和规
范(IEC 或其他)中可能或应该涵盖哪些安全问题。
---第90-1部分:电力系统中基于角色的访问控制处理指南。目的在于开发用于定义和设计自定
义角色以及角色映射的标准化方法。
---第90-2部分:加密通信的深度包检测。目的在于说明应用于IEC 62351保护的通信信道的
DPI最新技术。
---第90-3部分:网络和系统管理指南。目的是提供处理IT和OT数据的导则。
---第100-1部分:IEC 62351-5和IEC TS60870-5-7的一致性测试用例。目的在于提供了
IEC 62351-5:2023和IEC TS60870-5-7:2013的一致性和/或互操作性测试的测试用例。
---第100-3部分:IEC 62351-3的一致性测试用例和包括TCP/IP协议集的安全通信扩展。目的
在于提供了IEC 62351-3:2023一致性测试用例及验证影响安全扩展程序和协议行为的所有
参数的配置。
---第100-6部分:IEC 61850-8-1和IEC 61850-9-2的网络安全一致性测试。目的在于提供了变
电站自动化系统和远动系统的数据和通信安全互操作性一致性测试的测试用例。
GB/T (Z)25320《电力系统管理及其信息交换 数据和通信安全》定义了电力系统相关通信协议
(IEC 60870-5、IEC 60870-6、IEC 61850、IEC 61970和IEC 61968系列)的数据和通信安全。定义了通
信过程中可能遭受到的安全威胁和安全攻击以及安全应对措施。
电力系统管理及其信息交换
数据和通信安全
第100-1部分:IEC 62351-5和
IEC TS60870-5-7的一致性测试用例
1 范围
本文件给出了远动设备、变电站自动化系统(SAS)和SCADA的前置机的数据和通信安全的测试
用例。
本文件提供一种协议实现的标准测试方法达到互操作性,以验证设备满足标准要求。符合标准的
一致性不能保证不同设备之间的互操作性,但期望使用本文件测试将不能互操作的风险降到最低。互
操作性的基本条件是两个设备都应通过一致性测试。
本文件规定了IEC 62351-5:2023和IEC TS60870-5-7:2013的一致性和/或互操作性测试的通用
可行的过程和定义。本文件定义的一致性测试用例专注于验证IEC 62351-5:2023和IEC TS60870-5-
7:2013中规定的底层身份认证的一致性集成,以保护基于DL/T 634.5101-2022和DL/T 634.5104-
2009的通信。
本文件涉及数据和通信安全一致性测试,不涉及其他要求,例如安全性或EMC。这些要求包含在
其他标准(如果适用)中,并且这些主题的合规性证明是根据这些标准完成的。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的......
|