1、ICS 29.240.01 F 21 .r.:.;,节,. .唱.二气,飞:二I:.-:._ f.:._ 1:.- a_:_ r:. _ 四二二飞边矗丘,:-:-:-:-:.:-:-;.:.;.:-峰,.缸_. , , . 亘古.孟啕国中华人民共和国国家标准化指导性技术文件G/Z 25320.5-20 13/IEC/TS 62351-5: 2009 电力系统管理及其信息交换数据和通信安全第5部分:GB/T18657等及其衍生标准的安全Power systems management and associated information exchange一Data and communicati
2、ons security一Part 5: Security for G/T 18657 and derivatives (IEC/TS 62351-5: 2009 , IDT) 2013-02-07发布2013-07-01实施._oa.J3)Ch. fb八j飞)川v二网结.,.a哟。.电话很困掠徨时S附层查其吧/中华人民共和国国家质量监督检验检菇总局中国国家标准化管理委员会发布GB/Z 25320.5-2013/IEC月s62351-5 :2009 目次前言.E引言.町1 范围和目的.1. 1 范围.1. 2 预期读者及用途.1. 3 超出本部分范围的内容. . . . 1 1. 4 与其他标
3、准一起使用1. 5 文件结构和研究.2 1. 6 一致性.2 2 规范性引用文件.2 3 术语和定义.4 略缩语.3 5 问题描述.5.1 概述35.2 需要处理的特定威胁.4 5.3 设计面临的问题.5.4 一般原则.e.6 6 认证运行理论(资料性). . 8 6.1 概述86.2 叙述性描述.8 6.3 消息序列例子.10 6.4 状态机概述. 14 7 正式规范.16 7.1 概述.16 7.2 消息定义.16 7.3 正式过程.28 8 互操作性要求.40 8.1 概述.408.2 最低要求.40 8.3 可选项.42 9 特殊应用.439.1 概述.439.2 使用TCP/IP.4
4、3 9.3 使用冗余信道.43 9.4 使用外接链路加密机.43 G/Z 25320.5-2013/IEC/TS 62351-5:2009 333334444444445 a4a4A哇A哇AA古AUZA哇AaA哇A且ZA哇aqA哇A哇AA作uuu明操声用求u项的射用性.法数使要u选性映引致u法NM算计的的川可键息式的-u算净密误息分的关信格程的的虹加错消部述定为址息过现述求肌钥大误本概选认地信对实概要H密最错用议献1123456协123456文Bd mmmmmmHH口口口口考mu参E GB/Z 25320.5-2013月EC/TS62351-5:2009 前GB/Z 25320(电力系统管理及
5、其信息交换数据和通信安全分为以下几个部分z一一第1部分z通信网络和系统安全安全问题介绍z一一第2部分z术语z一一第3部分z通信网络和系统安全包括TCP/IP的协议集z一-第4部分E包含MMS的协议集;一一第5部分:GB/T18657等及其衍生标准的安全E一一第6部分z电力企业自动化通信网络和系统的安全;一一第7部分z网络和系统管理的数据对象模型z一一一第8部分:电力系统管理的基于角色访问控制。本部分为GB/Z25320的第5部分。本部分按照GB/T1. 1-2009给出的规则起草。本部分采用翻译法等同采用IEC/TS62351-5: 2009(电力系统管理及其信息交换数据和通信安全第5部分:I
6、EC 60870-5及其衍生标准的安全。与本部分中规范性引用的国际文件有一致性对应关系的我国文件如下zGB/Z 25320. 1-2010 电力系统管理及其信息交换数据和通信安全第1部分z通信网络和系统安全安全问题介绍(lEC/TS62351-1 :2007 ,IDT) GB/Z 25320. 2-2013 电力系统管理及其信息交换数据与通信安全第2部分:术语。EC/TS62351-2: 2008 ,IDT) GB/Z 25320.3-2010 电力系统管理及其信息交换数据和通信安全第3部分:通信网络和系统安全包括TCP/IP的协议集(lEC/TS62351-3:2007 ,IDT) DL/T
7、 634.5101-2002远动设备及系统第5-101部分z传输规约基本远动任务配套标准(lEC60870-5-101:2002 ,IDT) 一一DL/T719-2000远动设备及系统第5部分z传输规约第102篇z电力系统电能量累计量传输配套标准(lEC60870-5-102: 1996 , IDT) -一-DL/T667-1999远动设备及系统第5部分z传输规约第103篇z继电保护设备信息接口配套标准(lEC60870-5-103:1997 ,IDT) 一一DL/T634.5104-2009远动设备及系统第5-104部分:传输规约采用标准传输协议集的IEC60870-5-101网络访问(lE
8、C60870-5-104: 2006 , IDT) 本部分由中国电力企业联合会提出。本部分由全国电力系统管理及其信息交换标准化技术委员会(SAC/TC82)归口。本部分起草单位z华中电网有限公司、国网电力科学研究院、国家电力调度通信中心、中国电力科学研究院、南方电网、华东电网有限公司、福建省电力有限公司、辽宁省电力有限公司。本部分主要起草人z韩水保、许慕操、杨秋恒、南贵林、张涛、周鹏、李根蔚、邓兆云、曹连军、马挠、蒋诚智。皿G/Z 25320.5-20 13/IEC/TS 62351-5: 2009 引计算机、通信和网络技术当前已在电力系统中广泛使用。通信和计算机网络中存在着各种对信息安全可能
9、的攻击,对电力系统的数据及通信安全也构成了威胁。这些潜在的可能的攻击针对着电力系统使用的各层通信协议中的安全漏洞以及电力系统信息基础设施的安全管理的不完善处。为此,我们采用国际标准制定了GB/Z25320(电力系统管理及其信息交换数据和通信安全),通过在相关的通信协议以及在信息基础设施管理中增加特定的安全措施,提高和增强电力系统的数据及通信的安全。W GB/Z 25320.5-2013月EC月s62351-5: 2009 1 范围和目的1. 1 范围电力系统管理及其信息交换数据和通信安全第5部分:GB/T18657等及其衍生标准的安全为了对基于或衍生于IEC60870-5(GB/T 18657
10、(远动设备及系统第5部分z传输规约灿的所有协议的运行进行安全防护,GB/Z25320的本部分规定了所用的消息、过程和算法。本部分至少适用于表1所列的协议。表1所适用标准的范圄编号名称IEC 60870-5-101 基本远动任务配套标准-IEC 60870-5-102 电力系统电能量累计量传输配套标准IEC 60870-5-103 继电保护设备信息接口配套标准IEC 60870-5-104 采用标准传输协议集的IEC60870-5-101网络访问DNP3 分布式网络协议(基于IEC60870-1至IEC60870-5并由DNP用户组控制)1. 2 预期读者及用途本部分的初期读者预期是制定表1所列
11、协议的工作组人员。为了使本部分所描述的措施生效,各协议规范本身就必须采纳和引用这些措施。本部分的编写目的就是使能这一过程。本部分的后续读者预期是实现这些协议的产品开发人员。本部分的某些部分对管理人员和行政人员也是有用的,可用以理解该工作目的和需求。1.3 超出本部分范围的内睿根据IEC第57委员会第3工作组的指令,IEC62351的本部分仅关注应用层认证和由此认证所产生的安全防护问题。安全防护涉及的其他问题,特别是通过加密的使用来防止窃听和中间人攻击,被认为超出本部分的范围。通过本部分和其他规范一起使用,可以增加加密功能。1.4 与其他标准一起使用制定表1中所列协议的各工作组可以发布和本部分一
12、同使用的标准。要求这些标准应描述认证机制对每个特定协议的消息和过程的映射。这些文件不应该不顾本部分所描述的作为强制性及规范性的任何安全措施。在用于IEC60870-5-104时,本部分应和IEC/TS62351-3一起使用。1 GB/Z 25320.5-2013/IEC/TS 62351-5:2009 1.5 文件结构和研究本文件按从一般到特殊的方式进行组织,具体如下z 第2章至第4章提供背景的术语、定义和引用5 第5章叙述本部分打算解决的问题s 第6章描述通常与特定协议无关的机制p 第7章与第8章更精确地描述这机制,因而是本部分的主要规范性部分E 第9章叙述特定案例的一些特殊实现问题; 第1
13、0章描述对引用本部分的其他标准的要求z 第11章描述这机制的协议实现一致性声明(PICS)0 1.6 一致性除非特别注明为资料性的或可选的,本部分的所有章条都是规范性的,2 规范性引用文件下列文件对于本文件的引用是必不可少的。儿是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。IEC 60870-5-101远动设备及系统第5部分z传输规约第101篇基本远功任务配套标准(Telecontrol equipment and systems -Part 5-101: Transmission protocols Companion s
14、tandard for basic teleconttol tasks) IEC 60870-5-102远动设备及系统第5部分z传输规约第102篇电力系统电能量累计量传输配套标准(Telccontrolequipment and systems Part 5: Tram;mission protocols-Section 102: Com panion standard for the transmission of integrated tota15 in electric power systems) IEC 60870.5-103远动设备及系统第5部分:传输规约第103篇继电保护设备信息
15、接口配套标准(Telecontrolquipment and systcms-Part 5-103: Transmission protocols. .Companion standard for the infrmative interface of protection equipment) IEC 60870-5-104远动设备及系统第5-104部分z传输规约采用标准传输协议集的IEC60870-5-101网络访问(Telecontrolequipment and system Part 5-104: TransmisS10n protocols-Network access for I
16、EC 60870-5-101 using standard transport profiles) IEC/TS 62351-1 电力系统管理及其信息交换数据与通信安全第1部分z通信网络和系统安全安全问题介绍(Powersystems management and a晶晶ociatedinformation exchange一Dataand com munications security-Part 1: Communication network and system security-Introduction to security issues) IEC/TS 62351-2 电力系统管
17、理及其信息交换数据和通信安全第2部分z术语(Powersystems management and associated information exchange-Data and communications security-Part 2: Glossary of terms) IEC/TS 62351-3 电力系统管理及其信息交换数据和通信安全第3部分z通信网络和系统安全包括TCP/IP的协议集(Powersystems management and associated information exchange一Dataand communications security-Part
18、3: Communication network and system security-Profiles including TCP/IP) ISO/IEC 9798-4 信息技术一安全技术一实体认证一第4部分z具有密码校验功能的机制(Information technology-Security techniques-Entity authentication-Part 4: Mechanisms using a crypto-2 GB/Z 25320.5-20 13/IEC.月s62351-5 :2009 graphic check function) FIPS 186-2 数字签名标准
19、(DSS)Digital Signature Standard (DSS) FIPS 197 高级加密标准(AES)Advanced Encryption Standard(AES) FIPS 198-1 密钥化哈希消息认证码(TheKeyed-Hash Message Authentication Code) RFC 2104 HMAC:用于消息认证的密钥化哈希(Keyed-Hashingfor Message Authentication) RFC 3174 安全晗希算法(SHA-l)SecureHash Algorithm(SHA-l) RFC 3394 AES的密钥加密算法Advanc
20、edEncryption Standard(AES)Key Wrap Algorithm RFC 3629 UTF-8 , ISO 10646的变换格式(ATransformation Format of ISO 10646) 3 术语和定义下列术语和定义适用于本文件。因为它们对于IEC60870-5是特定的并且可以有助于将本部分作为独立文件阅读,故在此予以描述。3. 1 3.2 3.3 3.4 3.5 3.6 其他适用的术语和定义可参看IEC/TS62351-2。控制站controlling station 启动大部分通信和发布命令的设备或应用。在一些协议规范中一般称作主站。被控站contr
21、olled station 将现场收集数据传送到控制站的远方设备。在一些协议规范中一般称作子站或从站。控制方向control dir配tion由控制站向被控站传送数据。监视方向monitoring direction 由被控站向控制站传送数据。因为下列术语是特定于本部分,故在此予以描述:挑战站cballenger 发出认证挑战的站点。既可以是控制站,也可以是被控站。晌应站responder 响应或回应认证挑战的站点。既可以是控制站,也可以是被控站。4 晴缩语适用的略缩语列表可参看IEC/TS62351号。下列略缩语特别用于所涉及的协议和用于本认证机制的讨论,包括=ASDU:应用服务数据单元(A
22、pplicationService Data Unit) (提交给下层传送的应用层消息。5 问题描述5. 1 摄述本章仅是资料性的,本章描述z3 GB/Z 25320.5-20 13/IEC.月s62351-5: 2009 本部分计划处理的安全威胁z 在实现IEC60870-5及其衍生协议认证中的些特有设计问题; 基于该机制而导致的设计原则。5.2 需要处理的特定威胁本部分将仅处理下列安全威胁,其定义见IEC/TS62351-2: 欺骗z 篡改z 重放z不可否认达到识别系统单个用户的程度。5.3 设计面临的问题5.3. 1 梅述本条描述在开发能适用于所有的IEC60870-5及其衍生协议的认证
23、方案时所面临的挑战。本条是为那些参与评审本文件却可能并不熟悉电力部门协议环境的安全专家提供的。5.3.2 不对称通信受本部分影响的所有协议都具有通信站点之间不平等的概念。在每个协议中,都存在一个设定的控制站和一个设定的被控站,每种站有不同的角色、职责、过程和消息格式。特别是在许多情况下,控制站负责流控制和介质访问控制。存在明确设定的被控站/控制站,对本认证机制设计带来两方面的影响z 即使功能完全相同,消息格式在每个方向上也会不相同; 因为密钥总是由控制站发出,所以简化了密钥分发。5.3.3 面向消息的协议所有涉及的协议都是面向消息的,这意味着应基于逐条消息执行认证。而不是像一些面向连接的协议,
24、认证仅在数据流的启动和其后偶尔才进行。5.3.4 过短的序列号或者没有序列号应对重放威胁的常见安全技术就是在消息中包含序列号。与消息完整性测试相结合,序列号使攻击者更难于仅通过复制一个已有的消息来模仿合法用户,因为消息一定以特定的次序传输。然而,还没有一种所涉及的协议包含一个能提供足够保护的序列号。这些序列号具有非常小的最大值,使得攻击者可在收集少量消息后就能进行重放攻击。因此,本部分的设计应包括消息所拥有的序列号和其他随时间变化的数据,以防止重放攻击。5.3.5 有限的处理能力所涉及的协议自发布以来,很多电力部门的设备可用的处理能力欠缺,这是主要的设计问题。这一设计需求必然也影响到认证机制。
25、由于这些设备许多都是单处理器装置,从而更凸现了此问题。拒绝服务攻击不仅会影响这些设备的通信能力,而且也影响这些设备的诸如电力控制、保护、设备监视等功能。因此,要尽可能避免使用诸如公钥加密和非常长密钥等需要很高处理能力的安全措施。4 GB/Z 25320.5-2013月EC月s62351-5: 2009 5.3.6 有限的带宽对所涉及的协议,电力部门网络的有限可用带宽已经是首要的设计问题居于消息完整性之后)。实际上,许多使用这些协议的应用仍用1200bit/s或更低速的链路。一些通信链路按传输的八位位组进行收费。因此认证机制不准许增加太多开销(即少量的人位位组到所涉及的协议。挑战和认证数据的长度
26、,在保持适当的安全水平的同时要尽可能被限制和截短。在每个协议的实现中可以采取其他措施。5.3.7 无法访问认证服务器对于部署了所涉及协议的电力部门网络,其特性是,控制站通常是被控站能进行通信的唯一设备。如果有任何对其他网络的访问,通常要通过执行控制站功能的设备来完成。这一事实对认证机制的影响是,任何系统要求由第三方对控制站的安全证书进行在线验证是不实际的。5.3.8 有限的帧长因为带宽和消息完整性的限制,所涉及的协议被设计成以255个或更少的八位位组的短帧发送数据。一些衍生协议允许将帧链在一起产生更长的应用层消息。然而,在一般情况下,认证机制不能假设成会在站点之间传输大数据单元。5.3.9 有
27、限的校验和在所涉及协议的设计中消息完整性是高度优先考虑的问题。然而正如以下讨论,这些协议所选择的完整性措施被专用于保护协议免受随机噪声影响,而并不应对有关的攻击z 申行的IEC60870-5协议使用FT1.2的帧类型。为防止单比特差错,该帧使用奇偶校验位和单一八位位组校验和。单一八位位组的长度并不足以提供安全消息认证码(MAC)。 IEC 60870-5-104协议依赖下层的完整性措施。因为本部分仅讨论应用层机制,所以它不可能依靠这些措施。在任何情况下,这样做似乎也仅仅只对一个所涉及协议提供解决方案。 DNP3协议使用IEC60870-5 FT3帧,该帧每16个或更少的八位位组就具有两个人位位
28、组的循环冗余校验。这为安全目的提供了相当好的完整性,只是没有对全帧校验。因此,为了提供安全目的的消息完整性,在本部分中叙述的认证机制不能使用已存在的协议完整性措施。5.3. 10 无线通信系统所涉及的协议常常在无线通信系统上使用,而无线通信系统可以提供也可以不提供该系统自身所具有的安全措施。许多现有的电力部门元线网络根本没有提供安全措施。因此,应假定本部分描述的机制能适合于一个不友好和物理上不安全的传输环境。5.3. 11 拨号通信系统所涉及的协议常常在拨号电话网络上使用。在每个帧传输之前,需要几秒钟重新建立通信。类似,许多元线通信系统在每个帧之前也需要较长的键控他eying)时间。因此,认证
29、机制提供一个选项,称为主动认证模式(aggressivemode) ,减少了要传输的额外数据帧的数量。5.3. 12 涉及的各种协议IEC 60870-5协议族共同具有许多通用功能及底层设计原理。然而,各种配套标准和衍生协议的GB/Z 25320.5-20 13/IEC/TS 62351-5:2009 实现却使用多种消息格式和过程。因此,本部分描述了一般的认证机制。对每个所涉及的具体协议而言,其规范是特定的。应在这些特定规范内映射此一般认证机制到该具体协议。5.3. 13 不同的数据链路层正如在5.3. 9中所讨论的,所涉及的协议使用各种传输机制和过程。虽然IEC60870-5描述了公共的数据
30、链路层,但它允许多种帧格式和其他选项。所涉及的协议中有几种使用FT1.2帧,一种使用FT3帧,而有一种根本不使用那些帧格式。所涉及的协议中一些仅使用非平衡介质访问控制过程,一些使用平衡方式,而一些可选择使用这两种方式。因此,该认证机制不能基于这数据链路层,但可假定能从低层得到用于认证的站点地址信息。5.3.14 过长的升级间隔电力部门不重视对它们长期运行网络的改造,因而可能同时部署了几种不同代的网络系统。因此,认证机制遵循5.4.8中描述的原则。5.3. 15 遥远的设备现场实现所涉及协议的设备往往位于很远的地方,且到达费用昂贵。因此,该机制要尽可能包含远方更新安全证书的方法。5.3. 16
31、多用户所涉及协议的共用拓扑结构为多用户(如控制台或操作员通过一个控制站去访问被控站。出于不可抵赖的目的,重要的是知道这些用户中哪位发送了特殊的被控站命令。因此,该机制包括与控制站本身分别去认证各个体用户的方法。5.3. 17 不可靠通信介质所涉及的协议常常在不可靠通信介质上使用,因而该机制在处理差错状况时就要考虑这种不可靠性。例如,并不要认为仅仅一条安全消息的失败就必定表示攻击正在进行。5.4 一般原则5.4. 1 概述本条描述本部分的指导原则,这些指导原则是基于在前面两条中所讨论的确定的威胁和设计面临的问题。5.4.2 仅涉及认证正如第1章的讨论,本部分仅涉及认证,而不考虑加密或其他安全措施
32、。不排除这些安全措施由其他标准加人所涉及协议的可能性。5.4.3 仅限于应用层本部分描述应用层认证。电力部门环境中应用层认证必要性的讨论可参见IEC/TS62351-1,另外,任何传输层安全防护都可以实施。5.4.4 认证机制映射到不同协议的一般定义本部分描述任何所涉及协议都能使用的通用认证方法。此方法在每种协议中的实现应由各自的标6 GB/Z 25320.5-20 13/IE月s62351-5 :2009 准进行定义。这些标准应按照第10章中定义的规则引用本部分。5.4.5双向尽管通信流的非对称是由所涉及的协议所定义并在5.3.2中进行了讨论,本部分描述能用于任一传输方向的机制。5.4.6
33、挑战-应答认证机制本部分描述的机制基于挑战和应答概念。出于以下原因,采用原则z 由要求认证的设备承担安全防护的职能,在多样的网络环境中例如电力行业中所建立的那些网络),这是更切合实际的; 如果有必要,允许保留没经安全防护的通信,以便减少带宽和处理需求; 在面向非连接环境中,能有效工作。因为response是所涉及协议中的关键词,在本部分中所用的术语是reply。5.4.7 预共享密钥作为缺省选项本部分按缺省允许使用预共享密钥。本原则认识到许多电力部门事实上并不准备以比较复杂的方式管理安全证书,但仍然要求某种级别的防护。本部分并不阻止公钥密码系统或其他密钥分发机制,用于在本条描述的预共享密钥的改
34、变和分发。未来规范可以对这些方法标准化,但当前超出本部分的范围。5.4.8 后向兼容本部分建议当安全设备(即实现本认证机制的设备)和非安全设备通信时,要满足下列要求ze 安全设备应能检测出非安全设备不支持认证机制。 安全设备与非安全设备通信后,非安全设备应继续正常工作。换言之,认证消息不能引起非安全设备故障。 两台设备应能够继续交换信息,但这些信息不被认为是关键性的。然而,符合这些要求的机制能力很大程度取决于它被映射到的协议和在任一特定设备上的实现质量。因此本部分建议如果安全设备并不了解远方设备是否支持安全防护,安全设备要避免发送安全消息。远方的安全或非安全配置超出本文件的范围。5.4.9 升
35、级能力为应对将来需求,本部分允许系统管理者改变算法、密钥长度和其他安全参数。为了保持与后向容错原则相一致,也允许一次对链路的一端进行升级。5.4. 10 完善的前向安全性本部分遵循IEC/TS62351-2中定义的完善的前向保密安全性(perfectforward secrecy)安全准则。如果会话密钥被暴露,本机制仅使来自这一特殊会话的数据处于危险之中,而不会使攻击者能够证明此后会话中数据的正确性。5.4. 11 多用户本部分设定位于控制站的系统可以存在多个用户。它提供一种认证每个用户的方法,用户彼此分开认证,且该控制站本身也分开认证。本原则的意图是使得被控站能确实鉴别出传输任何协议消息的个
36、体用户(而并不只是控制站)。为7 GB/Z 25320.5-2013月EC/TS62351-5: 2009 了不可抵赖的用途,在审计日志中可能会使用这信息,然而这样的应用超出本部分范围。本部分考虑到这种可能性z被控站可以基于用户的个体身份或基于用户执行的角色,限制对某些功能的访问。可以认为在本文件中所讨论的用户号并不仅仅表示为一个用户,而是表示扮演一个特殊角色的用户。然而对于基于用户或基于角色的访问控制,本部分并不规定机制。6 认证运行理论(资料性)6. 1 概述为首次阅读的读者着想,本章用通用术语描述认证机制的运作。本章仅为资料性的。在本章和第7章之间不一致时,应以第7章为准e6.2 叙述性
37、描述6.2. 1 基本概念认证机制是基于两个棋念: 挑战和响应协议,如5.4.6中所讨论的。一般机制在罔1中说明。因为响应是所涉及协议中的关键词,在本部分中所用的术语是应答 密钥化晗希1消肖息认证码(他k叫C叮y耐E仅d【dha且shme臼ssag伊ea剧ut由h巳eut忧lca创叩tioncod肚c,日MAC)的概念。控制站和被控陆基于每个需要被认证的应用服务数据单元Capplicationscrvice data unt,ASDU或者协议消息计算HMACHMAC算法是一种数学计算.以协议消息作为输入,产生较小的,块数据作为输出,并具有如下特性z, 输出值对输入消息中的微小变化很敏感,因此H
38、MAC的输出能被用于检测消息是否已被修改z 计算固定使用由通信两端共享的秘密密钥; 通过观察HMiC输出确定诙秘密密钥是极其困难的z 从HMAC捅定原始消息几乎是不可能的; 找到产生相同HMAC的两条消息是困难的。正如ISO/IEC9798咛所描述的,使用HMAC的挑战-应答机制是千种单向,两步认证机制。6.2.2 发起挑战挑战可以由控制站发起也可以由被控站发起。由于IEC60870-5协议一般是非对称的,这就意味着challenge(挑战对肖息和reply(应答对肖息的实际格式在控制方向和监视方向上会有些不同。为防护被设备认为是关键性的那些特定ASDU,站点应发出挑战。接收到关键ASDU后挑
39、战站就立即发出挑战,而不是按此ASDU采取动作。被控站应将所有的输出操作(控制、设点调节、参数设定等看成是关键性的。其他强制性关键操作在7.3.2.2中描述。每种所涉及协议都可以定义附加的强制性关键操作。为了防护重放攻击,每次发出挑战时,challenge消息都包含随机变化的数据。挑战站在challenge消息中指定响应站在构造响应时使用的HMAC(密钥化晗希消息认证码密码算法。6.2.3 对挑战的应答收到挑战的站点不论是控制站,还是被控站必须响应,然后通信才能继续。8 GB/Z 25320.5-2013月EC/TS62351-5: 2009 响应站执行chal1enge消息中指定的HMAC算
40、法,产生reply消息。两个站点已知的共享会话密钥是计算的组成部分。下列类型的信息包括在计算中z 包括每个协议特定的站点地址信息,以便证实响应站是否是合法的应用层用户5 包括挑战数据,以防护重放攻击; 如果挑战站是对特定的关键ASDU进行保护,来自那个ASDU的数据也包括在计算中,这防止攻击者修改该ASDU。reply消息包括计算所得的HMAC值。6.2.4 进行认证接收reply消息后,挑战站使用响应站所使用的相同数据,执行相同的计算。如果结果相符,挑战站允许通信继续。如果挑战站正对某个特殊ASDU进行着保护,则挑战站就处理该ASDU。6.2.5 认证失败如果认证失败,挑战站就不应执行所请求
41、的操作。然后挑战站可以选择发送error(错误)消息。为了有助于防止拒绝服务攻击,在固定次数失败后挑战站应停止发送error消息。控制站应重新设置会话密钥,然后才能清除该错误状态。6.2.6 主动认证模式(aggressivemode) 为减少带宽的使用,试图进行关键操作的响应站可以选择预期的气anticipate)挑战,在被保护的同一个ASDU中发送HMAC值。这消除了chal1cnge消息和rcply消息。主动认证模式提供较低级别的安全,因为在每条消息中不会有足够多的数据是变化的。要求站点都实现主动认证模式,但应提供一种操作模式,能够配置禁止该模式。正如ISO/IEC9798-4所描述的,主动认证模式是单向,一步认证机制。然而该模式对付重放攻击似乎更安全,因为除ISO/IEC9798-4所要求的序列号外,aggressivemode request(主动认证模式请求)消息还包括来自最近所收到挑战的信息。6.2.7 改变密钥6.2.7. 1 概述表2总结了本认证机制中密钥使用和更新的方法。每个站点为对挑战数据进行晗希运算都使用会话密