文章总结： 文档解读电力通信标准IEC62351-3，针对窃听篡改等威胁，详述利用TLS协议保障通信安全。解析了直接升级与网关代理两种部署模式，重点阐述基于证书的双向认证、RBAC权限控制及操作命令级双重认证等多层次机制，为工控电力系统安全加固提供实践指导。 综合评分： 86 文章分类： 技术标准,IoT安全,解决方案

---

【大话工控安全】工业控制系统行业知识：电力行业通信安全标准IEC62351（GB/T 25320）-PART3

原创

老付话安全

老付话安全

2025年12月22日 20:35 山东

点击蓝字

关注我们

始于理论，源于实践，终于实战

老付话安全，每天一点点

激情永无限，进步看得见

关注我，带给你不一样的精彩

世界因你的沉淀而出彩

严正声明

本号所写文章方法和工具只用于学习和交流，严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验证实施，发生一切问题由相关个人承担法律责任，其与本号无关。

特此声明！！！

本文字数：

6425字

阅读时间：

17分钟

IEC 62351标准的第三部分（IEC 62351-3）主要关注电力系统通信网络和系统的安全性，特别是针对基于TCP/IP协议的通信配置文件。它为智能电网中的各种电力系统协议（如IEC 60870-5-104、IEC 61850 MMS、DNP3等）提供安全机制和实施指南。确保电力系统通信的机密性、完整性和身份认证

在电力调度监控制系统中（比如调度中心控制变电站，或者变电站里电脑控制设备）设备之间的通讯极易被：

偷听（窃听）： 通过通讯链路窃取通讯数据，如控制指令数据、用电量数据等。

乱改（篡改）： 修改变电站闸刀的开合，直接导致停电。

冒充（伪装）： 攻击者可能找到突破口后，假装成调度中心或者主站设备给变电站发危险指令，如伪装成主站的远动装置给某个变电站发送调压指令，使电压持续升高。

阻断（拒绝服务）： 发送大量的无关数据包，使正常的设备无法及时处理而导致数据拥塞，从而使用调度数据网通信中断，导致控制指令无法正常下发而失灵。

为了解决上述问题，IEC62351标准推荐使用TLS 安全连接。

什么是TLS？

传输层安全协议（TLS）及其前身安全套接层（SSL），是互联网上构建加密通信通道的行业标准协议。它位于应用层协议（如HTTP、MQTT、Modbus）和传输层协议（TCP）之间，为网络通信提供保密性、完整性和身份认证。

核心作用（解决三大安全问题）：

保密性（加密）：通过对称加密算法（如AES），对传输的业务数据（如电量读数、控制指令）进行加密，防止窃听。即使数据被截获，攻击者也无法解读。

完整性（防篡改）：通过消息认证码（MAC）机制，确保数据在传输过程中不被恶意篡改或损坏。接收方能验证数据是否“原汁原味”。

身份认证（防冒充）：通过非对称加密（如RSA、ECC）和数字证书体系，验证通信双方（如主站与变电站终端）的身份。这是最关键的一环，确保终端连接的是真正的控制中心，而不是黑客搭建的虚假服务器。

工作原理简化流程（握手阶段）：

1. 客户端Hello： 终端设备（客户端）向主站系统（服务器）发起连接，并告知支持的加密套件。
2. 服务器Hello与证书： 服务器返回选择的加密套件，并发送自己的数字证书（由可信的证书颁发机构CA签发，包含服务器公钥）。
3. 客户端验证证书： 客户端使用预置的CA根证书验证服务器证书的真实性和有效性。此步骤确认了“我连接的是谁”。
4. 密钥协商： 客户端生成一个“预主密钥”，用服务器的公钥加密后发送。双方据此计算出相同的会话密钥。
5. 安全通道建立： 后续所有通信都使用高效的对称加密和会话密钥进行加密传输。

应用场景：

1. 生产控制大区（核心实时控制） 这是对安全性和实时性要求最高的区域。传统上使用物理隔离，但在智能化改造中，内部通信也需要强化安全。

• 应用场景： 调度主站与变电站、配电自动化终端、发电厂监控系统之间的数据采集与监控（SCADA）、远程控制。

• TLS的角色：

• 加密“三遥”数据： 遥测（电压、电流）、遥信（开关状态）、遥控（分合闸指令）等核心指令与数据在传输中被加密，防止攻击者窃听网络拓扑或伪造跳闸指令。

• 强身份认证： 确保只有经过认证的主站才能对终端下发控制命令，防止非法主站接入。终端也只响应来自可信主站的请求。

• 协议适配： 对传统的明文工业协议（如IEC 104、Modbus TCP）进行TLS封装，形成 “IEC 104 over TLS” 或 “Modbus/TCP Security” ，实现安全升级，无需改变原有应用逻辑。

2. 管理信息大区（运营与管理） 此区域与办公网、互联网有数据交换，是网络攻击的主要入口。

• 应用场景：

• 智能电表数据采集（AMI）： 集中器与电表、集中器与主站之间的通信。

• 移动运维与巡检： 工程师通过移动终端（Pad、手机）APP访问后台系统，进行设备调试、查询。

• 视频监控与安防系统： 变电站、厂站的视频流回传。

• TLS的角色：

• 保护用户隐私与计费安全： 加密海量用户的用电数据，防止隐私泄露和窃电攻击。

• 保障远程访问安全： 为移动APP与后台的API接口（HTTPS）提供标准安全保障，防止账号密码和运维数据泄露。

• 替代传统的VPN： 为特定的应用（如视频调阅）提供更轻量级、应用层粒度的加密通道。

3. 新兴物联网与分布式能源接入 随着光伏、风电、电动汽车充电桩等大量分布式资源并网，网络边界极大扩展，安全风险激增。

• 应用场景： 充电桩与运营平台通信、分布式电源监控、智能家居能源管理（需求响应）。

• TLS的角色：

• 规模化设备安全入网： 为海量、分布广泛的终端设备提供标准的、可自动化的身份认证（基于证书）和通信加密机制。

• 保障双向互动安全： 既保护上行数据（发电量、充电状态），也保障下行的控制指令（削峰指令、充电策略）安全可靠。

TLS加密算法如何使用(两种模式）

• 模式A：协议端口直接升级 这是最直接的方式。传统的 IEC 104 使用端口 2404，Modbus TCP 使用端口 502。安全升级后：

• 客户端（如SCADA前端）和服务器（如RTU/PLC）的软件进行升级，集成TLS库（如OpenSSL）。

• 通信双方改为连接一个新的、专用于安全通信的端口（例如 19998 用于安全的IEC 104）。

• 在建立TCP连接后，立即进行TLS握手。握手成功后，所有的 IEC 104 或 Modbus 应用层报文（APDU）都在这个已加密的TLS通道内传输。

• 对应用层的影响：应用层程序（如数据采集程序）的代码逻辑几乎不变，它只是向一个“看起来像普通TCP Socket”的接口发送和接收数据，底层TLS库自动完成加解密。这就是所谓的“无需改变原有应用逻辑”。

• 模式B：网关/代理模式（即电力纵向加密装置） 在不方便直接升级老旧终端设备固件时使用。

• 在终端设备前部署一台 “安全网关”。

• 网关靠近终端的一侧，使用明文协议（如Modbus TCP）与老设备通信。

• 网关靠近主站的一侧，则使用 “安全协议”（如Modbus/TCP Security over TLS）与远程主站通信。

• 网关在中间进行协议转换和流量加解密，起到了桥梁的作用。

加密装置内部完成协议转换、加密解密、身份认证。所有进出安全区的数据必须经过它的加密隧道，确保跨广域网通信的机密性、完整性和端点认证。

TLS在报文中是什么样的？以IEC104为例：

从图中可以看出：

• 应用数据（IEC 104 APDU）本身没有变化，无论是结构、类型标识还是信息体地址都完全一致。
• 核心变化在于，应用数据在进入TCP流之前，先被 TLS记录层 处理。
• 这个TLS记录就是一个“加密信封”，它内部才是被加密的原始应用数据。对于网络抓包工具（如Wireshark）来说，在未提供密钥的情况下，TCP端口 19998 上的流量内容完全是一团乱码，无法识别出任何IEC 104或Modbus的语义。
• 端口号的变化是一个明显的标志，表明该连接运行在安全模式。

电力系统身份认证机制是如何实现的？

1. 基于数字证书的双向认证（mTLS）

• 原理：在标准TLS中，通常只有服务器向客户端出示证书（单向认证）。而在电力系统中，为了确保通信双方都是可信的，普遍采用双向认证（mutual TLS，即mTLS）。即客户端和服务器都向对方出示自己的数字证书，双方都需要验证对方证书的有效性。
• 流程：

1. 客户端发起TLS握手。
2. 服务器返回自己的证书（以及证书链）。
3. 客户端验证服务器证书（是否由可信CA签发、是否在有效期内、主机名是否匹配等）。
4. 服务器要求客户端提供证书，客户端发送自己的证书。
5. 服务器验证客户端证书。
6. 双方验证通过后，才进行后续的密钥交换和通信。

• 电力行业特点：电力系统通常使用私有PKI（公钥基础设施），由电力行业自己的根CA或国家权威机构颁发的数字证书。证书主题（Subject）或扩展字段中会包含电力专用标识（如单位名称、设备编号、角色等）。

2. 证书扩展字段的深度绑定

• 为了加强认证，电力数字证书通常会包含一些扩展字段，例如：

• 角色（Role）：标识该证书持有者的角色（如调度员、变电站操作员、保护装置等）。

• 权限（Privilege）：定义该实体允许执行的操作（如只读、控制、配置等）。

• 设备标识：绑定到具体的设备（如RTU的序列号、厂站编号等）。

• 在认证过程中，不仅验证证书本身的真实性，还会检查这些扩展字段是否符合安全策略。例如，只有角色为“保护装置”的证书才能发送保护定值修改指令。

3. 与电力业务系统结合的双因子认证

• 对于某些高敏感操作（如遥控、遥调），除了基于证书的机器身份认证外，还可能结合用户身份认证（即操作员登录认证），形成双因子认证。
• 例如：操作员需要先通过用户名/密码或Ukey登录SCADA系统，然后下发控制指令。指令在传输时，除了TLS层使用设备证书认证外，应用层协议（如IEC 104）中也可能包含操作员身份和签名信息。

4. 纵向加密装置中的认证增强

• 纵向加密认证装置作为专用硬件，在实现TLS认证时，通常会加强：

• 证书与设备绑定：装置的证书与设备硬件唯一标识（如MAC地址、序列号）绑定，防止证书被复制到其他设备使用。

• 证书生命周期管理：支持证书的自动更新、吊销列表（CRL）和在线证书状态协议（OCSP）的严格检查。

• 国密算法支持：使用国密算法（SM2）的数字证书，符合国家密码管理局的要求。

5. 基于角色的访问控制（RBAC）与证书属性结合

• 在认证通过后，系统会根据证书中携带的角色和属性，实施基于角色的访问控制。例如：

• 只有来自特定厂站的、具有“遥控”权限的证书，才能执行开关分合操作。

• 主站系统在接收到控制命令时，会先验证发送者证书中的角色和权限，再决定是否执行。

电力行业身份认证的特殊考量

• 离线环境的认证：部分电力生产环境（如偏远变电站）可能无法实时连接PKI的CRL/OCSP服务器。因此，会采用定期更新CRL文件的方式，或者使用白名单机制（只允许预置的证书接入）。
• 证书的预置与信任链：电力系统内，每个设备（如RTU、保护装置）在出厂或投运前，会预先安装好由行业CA签发的设备证书，并且预置了信任的根CA证书。这样，在运行时就形成了一个封闭的信任环境。
• 跨域认证：在跨调度层级（如省调与地调）或跨单位（如电网与发电企业）通信时，需要建立交叉认证或桥CA机制，确保不同PKI域之间的证书互信。

实际应用示例：调度主站与变电站的遥控过程

1. 建立安全通道：

• 调度主站的纵向加密装置（客户端）与变电站的纵向加密装置（服务器）之间进行TLS双向认证握手。
• 双方验证对方证书是否由电力根CA签发，并检查证书中的设备标识（如变电站ID）是否与预期一致。

1. 用户登录：

• 调度员在SCADA系统上输入用户名/密码和动态口令，登录系统。

1. 下发控制命令：

• 调度员选择要操作的开关，点击“分闸”命令。
• SCADA系统生成IEC 104遥控命令报文，并通过已建立的TLS加密隧道发送至变电站。
• 报文中可能包含调度员的数字签名（使用其用户证书）和操作时间戳。

1. 变电站侧验证：

• 变电站纵向加密装置解密TLS报文，将明文IEC 104报文传递给站内监控系统。
• 监控系统验证应用层签名（如果有），并检查该操作是否被允许（根据调度员权限和当前设备状态）。
• 验证通过后，才向实际的开关控制器发出执行命令。

电力行业的身份认证不仅仅是简单的证书交换，它是一个多层次、多因素的综合认证体系：

• 第一层：设备身份认证（通过双向TLS证书，确保通信端点可信）。
• 第二层：用户身份认证（通过业务系统登录，确保操作员合法）。
• 第三层：操作权限认证（通过证书属性与RBAC结合，确保最小权限原则）。

这种严密的身份认证机制，为电力监控系统的安全稳定运行提供了坚实基础。同时，随着技术发展，电力系统也在探索基于生物特征、行为分析等更先进的认证方式，但数字证书目前仍是核心。

电力行业中的身份认证是整个安全防护体系中最关键、要求最严格的一环，远远超出简单的“用户名+密码”模式。它通过分层、多因素、强绑定的方式实现。下图清晰地展示了电力行业身份认证的多层次实现机制：

一、设备/网络层认证：确保通信端点可信

这是建立加密隧道时的第一道，也是最基础的身份验证。

1. TLS双向认证（mTLS）

• 核心：不仅服务器（如变电站RTU）要向客户端（如调度主站）出示证书，客户端也必须向服务器出示自己的证书。

• 过程：在TLS握手阶段，双方交换并验证对方证书。验证内容包括：

• 颁发者是否可信：证书是否由电力行业内部PKI的受信任CA签发。

• 证书是否有效：检查有效期、是否被吊销（通过CRL/OCSP）。

• 主体身份是否匹配：证书主题（Subject）或主题备用名称（SAN）中的字段（如 CN=调度中心一号主站, O=国家电网, OU=省调）必须与预期通信方身份完全一致。

• 结果：成功建立连接意味着 “我确认你是合法的设备X，你也确认我是合法的设备Y”。

2. 纵向加密装置硬件身份认证

• 硬件指纹绑定：装置自身的证书与其硬件序列号、加密芯片ID等物理特征绑定，防止证书被复制到其他设备冒用。
• 一机一证：每台装置都有唯一的数字证书，实现设备的唯一性标识和追踪。
• 白名单机制：主站侧可以配置允许接入的装置证书白名单，非白名单内的连接请求一律拒绝。

3. 网络接入层认证

• 802.1X端口认证：在变电站局域网内部，交换机端口在允许设备（如保护装置、RTU）接入网络前，先通过RADIUS服务器验证其身份。
• IP/MAC地址绑定：在网络设备上静态绑定关键生产设备的IP和MAC地址，防止地址欺骗。

二、用户/应用层认证：确保操作者身份合法

隧道建立后，通过隧道访问具体业务系统时，需要进行用户身份认证。

1. 强双因素认证

• 组合方式：“用户名/密码” + “动态口令/数字证书/Ukey（物理钥匙）”。
• 典型场景：调度员登录 能量管理系统（EMS） 或 SCADA系统 时，除了输入口令，还需插入个人Ukey或输入手机动态令牌产生的随机码。
• 数字证书用户认证：用户使用个人软证书或存储在Ukey中的个人证书进行登录，实现基于PKI的用户强身份认证。

2. 基于角色的访问控制（RBAC）

• 角色定义：如“调度员”、“监控员”、“运维员”、“审计员”。

• 权限隔离：

• 遥控权限：只有“调度员”角色在特定工作站、特定时间段才能执行。

• 定值修改：可能需要“运维工程师”角色且经过额外审批。

• 数据查询：“监控员”角色可看全部实时数据，但“访客”角色只能看部分非关键数据。

• 最小权限原则：每个用户仅被授予完成其工作所必需的最小权限。

三、操作命令级认证：确保单条指令的合法性与不可否认性

这是电力控制场景下最高级别、最精细的认证，用于遥控、遥调、保护定值修改等直接影响电网运行的命令。

1. 关键操作“双重认证”（双监护）

• 流程：一个操作必须由两名具有相应权限的操作员协同完成。
• 例如：操作员A选择开关、下发“分闸”预置命令。系统锁定该开关，并提示需要操作员B确认。操作员B登录自己的账户（完成二次身份认证），审核命令无误后，下发“执行”命令。RTU端才会实际执行操作。
• 本质：实现了 “人” 和 “角色” 的双重分离与校验。

2. 操作票与电子签名

• 流程绑定：所有重大操作必须基于电子操作票系统。操作票在生成、审核、执行、归档的每个环节，操作员都需使用自己的数字证书进行电子签名。
• 法律效力：该签名符合《电子签名法》，确保操作过程的不可否认性和可追溯性。审计时，可以清晰地看到“谁、在什么时候、批准或执行了哪条命令”。

3. 指令序列号与时间戳

• 防重放攻击：每条控制指令都带有唯一的、递增的序列号和精确的时间戳（通常来自电力同步时钟）。
• 接收方验证：RTU或保护装置会检查指令序列号是否大于上一次接收的序号，且时间戳在合理窗口内。重复或过时的指令将被直接丢弃。

end

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：老付话安全 老付话安全《【大话工控安全】工业控制系统行业知识：电力行业通信安全标准IEC62351（GB/T 25320）-PART3》