GBZ25320.6-2011电力系统管理及其信息交换数据和通信安全IEC61850的安全.pdf 15页

'ICS29．240．30F21缮园中华人民共和国国家标准化指导性技术文件GB／Z25320．6—2011／IECTS62351—6：2007电力系统管理及其信息交换数据和通信安全第6部分：IEC61850的安全Powersystemsmanagementandassociatedinformationexchange--Dataandcommunicationssecurity—Part6：SecurityforIEC618502011—12—30发布(IECTS62351—6：2007，IDT)2012—05—01实施宰瞀擞鬻瓣訾糌瞥霎发布中国国家标准化管理委员会“⋯ Ge／z25320．6—2011／IECTS62351-6：2007目次前言⋯···⋯⋯⋯⋯⋯⋯⋯⋯···⋯⋯⋯⋯⋯⋯⋯⋯···⋯⋯⋯⋯⋯·⋯·-引言⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯··⋯⋯⋯⋯⋯⋯-1范围与目的⋯⋯⋯⋯⋯⋯⋯⋯····⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯2规范性引用文件⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯··⋯⋯⋯⋯⋯⋯·-3术语和定义⋯⋯⋯⋯·⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯···⋯⋯⋯⋯⋯⋯·-4本指导性技术文件应对的安全问题⋯····⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯4．1影响安全选项选择的运行问题⋯⋯⋯··⋯⋯⋯⋯⋯·⋯·⋯⋯，4．2应对的安全威胁··⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯·4．3应对的攻击方法⋯⋯⋯⋯⋯⋯⋯···⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·5IEC61850各部分与GB／Z25320各部分的相关性⋯⋯⋯⋯⋯·5．1使用GB／T16720(MMS)的IEC61850协议集安全⋯⋯⋯·5．2使用VLANID的IEC61850协议集安全⋯⋯⋯⋯⋯⋯⋯·6IEC61850的SNTP安全⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯···7使用VLAN技术的IEC61850协议集安全⋯⋯·⋯⋯·⋯⋯⋯⋯··7．1VLAN使用和IEC61850的概况(资料性)⋯⋯⋯⋯⋯⋯⋯·7．2扩展PDU⋯⋯⋯⋯⋯⋯⋯⋯⋯····⋯⋯·⋯⋯⋯⋯⋯⋯⋯·’8一致性⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯····⋯⋯·⋯⋯⋯⋯⋯⋯⋯··8．1一般一致性⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯·⋯⋯⋯⋯⋯⋯⋯··8．2声称GB／T16720协议集安全的实现的一致性⋯⋯⋯⋯⋯一8．3声称VLAN的协议集安全的实现的一致性⋯⋯⋯⋯⋯⋯⋯·8．4声称SNTP协议集安全的实现的一致性⋯⋯·⋯⋯⋯⋯⋯··参考文献·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯·IⅡ11234899∞n 刖昌GB／Z25320．6—2011／IIRCTS62351—6：2007GB／Z25320<(电力系统管理及其信息交换数据和通信安全》，主要包括以下部分：——第1部分：通信网络和系统安全安全问题介绍；——第2部分：术语；——第3部分：通信网络和系统安全包含TCP／IP的协议集；——第4部分：包含MMS的协议集；——第5部分：IEC60870—5及其衍生标准的安全}——第6部分：IEC61850的安全；——第7部分：网络和系统管理的数据对象模型；——第8部分：电力系统管理的基于角色访问控制。本指导性技术文件是第6部分《IEC61850的安全》。本指导性技术文件按照GB／TI．1—2009给出的规则起草。本指导性技术文件等同采用IECTS62351—6：2007<(电力系统管理及其信息交换数据和通信安全第6部分：IEC61850的安全》(英文版)。本指导性技术文件由中国电力企业联合会提出。本指导性技术文件由全国电力系统管理及其信息交换标准化技术委员会(SAC／TC82)归口。本指导性技术文件起草单位：国网电力科学研究院、西北电网有限公司、国家电力调度通信中心、中国电力科学研究院、华东电网有限公司、福建省电力有限公司、华中电网有限公司、辽宁省电力有限公司。本指导性技术文件主要起草人：许慕探、李庆海、南贵林、杨秋恒、李根蔚、邓兆云、韩水保、曹连军、林为民、周鹏、袁和林。I 标准分享网www.bzfxw.com免费下载GB／Z25320．6—2011／IECTS62351-6：2007引言计算机、通信和网络技术当前已在电力系统中广泛使用。通信和计算机网络中存在着各种对信息安全可能的攻击，对电力系统的数据及通信安全也构成了威胁。这些潜在的可能的攻击针对着电力系统使用的各层通信协议中的安全漏洞以及电力系统信息基础设施的安全管理的不完善处。为此，国际电工委员会57技术委员会(IECTC57)对电力系统管理及其信息交换制定了IEC62351{电力系统管理及其信息交换数据和通信安全》标准。我们等同采用IEC62351标准及其配套标准，制定了GB／Z25320，通过在相关的通信协议以及在信息基础设施管理中增加特定的安全措施，提高和增强电力系统的数据及通信的安全。Ⅱ 1范围与目的GB／Z25320．6—2011／IECTS62351-6：2007电力系统管理及其信息交换数据和通信安全第6部分：IEC61850的安全1．1范围为了对基于或派生于IEC61850的所有协议的运行进行安全防护，本指导性技术文件规定了相应的消息、过程与算法。本指导性技术文件至少适用于表1中所列举出的那些协议。表1标准应用范围编号名称DL／T860．8I变电站通信网络和系统第8I部分：特定通信服务映射(SCSM)对MMS(ISO9506—1(IEC61850—8—1)和ISO9505—2)及ISO／IEC88023的映射DL／T860．92变电站通信网络和系统第9-2部分：特定通信服务映射(SCSM)映射到ISO／1EC8802—3(IEC6185092)的采样值DL／T860．6(IEC61850—6)变电站通信网络和系统第6部分：变电站中智能电子装置通信配置描述语言1．2用途本指导性技术文件的初期读者预期是开发或使用表1中所列举协议的工作组成员。为了使本指导性技术文件中所描述的措施有效，对于这些协议本身，其规范就必须采纳和引用这些措施。本指导性技术文件就是为了使得能那样处理而编写的。本指导性技术文件的后续读者预期是实现这些协议的产品的开发人员。本指导性技术文件的某些部分也可以被管理人员和执行人员使用，以理解该工作的目的和需求。2规范性引用文件下列本指导性技术文件对于本指导性技术文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本指导性技术文件。凡是不注日期的引用本指导性技术文件，其最新版本(包括所有的修改单)适用于本指导性技术文件。GB／T15629．3信息处理系统局域网第3部分：带碰撞检测的载波侦听多址访问(CSMA／CD)的访问方法和物理层规范(ISO／IEC8802—3：1990，IDT)GB／T16720(所有部分)工业自动化系统制造报文规范(MMS)(ISO9506：1991，IDT)GB／z25320．1电力系统管理和相关信息交换数据与通信安全第1部分：通信网络和系统安全安全问题介绍(IEC62351-1，IDT)1 标准分享网www.bzfxw.com免费下载GB／Z25320．6—2011／IECTS62351-6：200725320．4电力系统管理和相关信息交换数据与通信安全第4部分：包含MMS的协议集(IEC6235I-4，IDT)DL／T860(所有部分)变电站通信网络和系统(IEC61850)DL／T860．6变电站通信网络和系统第6部分：变电站中智能电子装置通信配置描述语言(IEC61850—6，IDT)DL／T860．81变电站通信网络和系统第8-1部分：特定通信服务映射(SCSM)对MMS(ISO9506—1和IsO95062)及IsO／IEc8802-3的映射(IEC61850—8—1，IDT)DL／T860．91变电站通信网络和系统第9—1部分：特定通信服务映射(SCSM)单向多路点对点串行通信链路上的采样值(IEC61850—9-1，IDT)DL／T860．92变电站通信网络和系统第9-2部分：特定通信服务映射(SCSM)映射到ISO／IEC8802—3的采样值(IEC61850—9—2，IDT)ISO／IEC13239信息技术系统间远程通信和信息交换高级数据链路控制规程(Informationtechnology--TelecommunicationsandinformationexchangebetweensystemsHigh-leveldatalinkcontrol(HDLC)procedures)IECTS62351—2：2008电力系统管理及其信息交换数据与通信安全第2部分：术语(Powersystemsmanagementandassociatedinformationexchange--Dataandcommunicationssecurhy--Part2：Glossaryofterms)IEEEStd．802．1Q：2003虚拟桥接局域网(VirtuaIBridgedLocalAreaNetworks)RFC2030IPv4、IPv6及OSI的简单网络时间协议(SNTP)第4版(SimpleNetworkTimeProtocol(SNTP)Verslon4forIPv4，IPv6andOSI))RFC2313公钥密码技术规范PKCS#I：RSA加密算法版本1．5(PKCS#1：RSAEncryptionVersion1．5)RFC3447公钥密码技术规范PKCS#1：RSA密码技术规范版本2．1(Public—KeyCryptographyStandards(PKCS)#1：RSACryptographySpecificationsVersion2．1)RFC4634US安全哈希算法(SHA和HMAC—sHA)(USSecureHashAlgorithms(sHAandHMAClSHA))3术语和定义IEC62351—2：2008界定的术语和定义适用于本指导性技术文件。4本指导性技术文件应对的安全问题4．1影响安全选项选择的运行问题对于使用GOOSE和DL／T860．92并且要求4ms响应时间、多播配置以及低CPU开销的应用，不建议对其进行加密。相反，应该使用通信路径选择过程(例如，事实上设定GOOSE和SMV被限于一个变电站的逻辑LAN)，以提供信息交换的机密性。然而，本指导性技术文件的确为那些并不关心4ms传递准则的应用定义了能够提供机密性的机制。注：声称与本指导性技术文件一致的实现，其实际性能特性是在本指导性技术文件分范围之外的。除了机密性外，本指导性技术文件提出了使安全和非安全协议数据单元(PDU)能共存的机制。4．2应对的安全威胁对安全威胁和攻击方法的讨论，参见GB／Z25320．1。2 GB／Z25320．6—2011／IECTS62351-6：2007如不使用加密，则在本指导性技术文件中所需应对的特定威胁包括：·通过消息的消息层面认证，应对未经授权修改信息。如使用加密，则在本指导性技术文件中所需应对的特定威胁包括：·通过消息的消息层面认证和加密，应对未经授权访问信息；·通过消息的消息层面认证和加密，应对未经授权修改(篡改)或窃取信息。4．3应对的攻击方法通过本指导性技术文件中规范或建议的适当实现，试图应对以下的安全攻击方法：·中间人(Man-in-the—middle)威胁：将通过使用本指导性技术文件中规定的消息鉴别码(MessageAuthenticationCode)机制，应对该威胁；·篡改探测或消息完整性威胁：将通过建立本指导性技术文件中规定的认证机制所用的算法，应对这些威胁；·重放(Replay)威胁：将通过使用GB／Z25320．4和本指导性技术文件中规定的特定处理状态机，应对该威胁。5IEC61850各部分与GB／Z25320各部分的相关性5．1使用GB／T16720(MMS)的IEC61850协议集安全5．1．1概述声称与本指导性技术文件一致且声明支持应用TCP／IP和GB／T16720(ISO9506)制造报文规范(MMS)的DL／T860．81协议集的各DL／T860实现，应该实行GB／Z25320．4的第5和第6章。除了25320．4规范外，还应支持在7．2．3所规定的DL／T860．6的扩展(变电站配置语言，SubstationConfigurationLanguage)。DL／T860．81规定了变电站内使用MMS。然而，变电站内和变电站外(例如控制中心到变电站)使用的安全规范都属于本指导性技术文件的范围。5．1．2控制中心到变电站应该使用GB／Z25320．4文件，不需要任何其他措施。5．1．3变电站通信除了GB／Z25320．4中规定的密码套件，应支持下列密码套件。TLS_DH—RSA—WITH—AES一128一SHA注：提出这另外的密码套件是为了当通信环境是在变电站内时，能达到较少的CPU占有率。5．2使用VLANID的IEC61850协议集安全对于那些规定使用VLANID的DL／T860协议集(例如DL／T860．81G00sE、DL／T860．91和DL／T860．92)，应提供第7章规定的协议集安全防护。6IEC61850的SNTP安全为提供IEC61850的SNTP(SimpleNetworkTimeProtocol，简单网络时间协议)安全防护，应使用包含强制使用认证算法的RFC2030。3 标准分享网www.bzfxw.com免费下载GB／Z25320．6—201．I／IEC"iS62351-6：20077使用VLAN技术的IEC61850协议集安全7．1VLAN使用和IEC61850的概况(资料性)本指导性技术文件扩展了常规的IEC61850的GOOSE(面向变电站事件的通用对象)和SMV(采样值)的PDU。GSEManagement(GSE管理，通用变电站事件管理)和GOOSE的PDU，其格式概要在DL／T850．81的附录C给出。7．2扩展PDU7．2．1扩展PDU(ExtendedPDU)的一般格式aypeAPPlDEthrLeachtvpcPDUL∞mofextension1—8GOOSE／SMVAPDU图1扩展PDU的一般格式关于GOOSE和SMV，Reserved1字段和Reserved2字段是用于声称与本指导性技术文件一致的实现，图1对此进行了描述。本指导性技术文件规定：·Reserved1字段将用于指明由这些扩展八位位组所传送的字节数。该值将包含在Reserved1字段的第一个字节中，值的有效范围是0～255，0值将说明根本不存在扩展八位位组。Reserved1字段的第二个字节将保留以备将来使用；·Reserved2字段将包含一个16位的循环冗余校验码(CRC)，其计算根据ISO／IEC13239即ISO的高级数据链路控制规程(HDLC)。将在扩展PDU(ExtendedPDu)中vLAN信息的第1到第8字节之上计算该CRC。如果ExtensionLength字段有非零值，则应该存在CRC。7．2．2Extension字段八位位组的格式Extension字段八位位组域的格式应是：4∞123656789mn GB／Z25320．6—2011／IECTS62351-6：2007Extension：：={[0IMPLICITSEQUENCE{E1]IMPLICITSEQUENCEReservedOPTIONAL，[2]IMPLICITOCTETSTRINGPrivateOPTIONAL[3]IMPLICITAuthenticationValueOPTIONAL，)Extension字段应按照ASN．1BasicEncodingRule(AsN．1的基本编码规则)编码。根据本指导性技术文件，ReservedSEQUENCE被保留用于未来标准化扩展。除了在本指导性技术文件中所规定的认证(Authenticati。n)和加密(Encryption)之外，如果没有扩展，则该SEQUENCE将不会出现。因而NULL长度的SEQUENCE将被认为与本指导性技术文件是不一致的。提供PrivateSEQUENCE使得厂商能传送私有信息。该SEQUENCE内容的语义和语法范畴是不在本指导性技术文件的范围之内，因而将只有经过预先协商才能互操作。仅当存在要传送的实际内容时，该SEQUENCE字段才会出现。7．2．2．1＆AuthenticationValue算法AuthenticationValue(认证值)生成的算法是基于可重新产生的消息鉴别码(MessageAuthenticationCodeMAC)的生成。根据RFC4634，应通过SHA256哈希的计算生成该MAC。除了AuthenticationValue的Tag、Length和Value(即ASN．1的TL—V组合)之外，哈希应包含扩展PDU(ExtendedPDU)的所有八位位组。然后该哈希的值应被数字签名。在RFC2313中数字签名的定义是：“为了数字签名，首先以消息摘要算法(比如MDS)缩减要进行签名的内容为一条消息摘要，然后包含该消息摘要的八位位组串用该内容签名者的RSA私钥进行加密。根据PKCS#7语法，该内容和加密后的消息摘要在一起表示，就得到数字签名。”注：在以上定义中对MD5的引用并不是规范性的，它只是在RFC2313的侧举正文中所给出的例子。RFC3447(PKCS#1规范版本2．1)规定了RSASSA—PSS(RSASignatureSchemewithAppendix-ProbabilisticSignatureScheme，RSA带有附属的签名方案——随机签名方案)。这是声称与本指导性技术文件一致的实现应该使用的算法。应限制RFC3447的使用，只限于与PKCS版本1．5(RFc2313)相兼容的那些性能或能力。哈希算法应是SHA256。AuthenticationValue的值应按ASN．1OCTETsTRlNG编码。7．2．2．2对服务器的要求服务器应执行上述规定的算法。如果服务器不提供AuthenticationValue，则AuthenticationValue不应出现在Extension字段八位位组中。此外，使用AuthenticationValue的实现应为接收客户端的设备提供一个公开的X．509证书。7．2．2．3对客户端的要求订阅客户端必须具有引用源MAC地址(SourceMACAddress)定位到服务器所提供的AES128位公钥的当地方法。注：建议为此存储实际证书，即使并不要求如此。5 GB／Z25320．6--2011／IECTS62351-6：2007如果根本不存在引用，那么安全的扩展或处理就不应发生。在接收一条VLAN标记的GOOSE或SMV消息且已经配置安全扩展时：·按照7．2．2．1中所规定的算法，接收客户端应为APDU(应用层协议数据单元)计算Authenti—cationValue；·应使用适当的密钥和算法(7．2．2．1的逆运算)来解密Reserved字段的八位位组；·如果计算出的AuthenticationValue与解签后的AuthenticationValue相匹配，那么客户端宜继续进行APDU的处理。7．2．2．4GOOSE重放攻击为了对GOOSE重放攻击增强防护，应使用安全扩展。此外，宜使用下列措施：·对AuthenticationValue进行验证的处理(见7．2．2．3)应发生在本章中其他处理之前；·客户端宜建立和跟踪它的当前时间。时间戳超过2min时偏(skew)的GOOSE就不宜再处理。偏差时间(skewperiod)应是可配置的并且应支持最小值不大于(maximum—minimum)10s；·客户端宜仅对Stnum(状态号)改变使用时偏过滤(skewfiltering)；·客户端宜记录和跟踪所接收到的发布服务器的Stnum。如果接收到一个较小的Smum值，而且根本还没有超过最大状态号或timeallowedtoLive(容许生存时间)超时，那么此消息宜被丢弃；·如果存在消息超时，初始Stnum应重置；·如果Stnum已超过最大状态号，初始Stnum应重置；·在初始化／加电时，初始Smum应是0。7．2．2．5SMV重放攻击7．2．2．5．1服务器处理为了对SMV重放攻击的防护，应使用SMV协议的Securityfield(安全域)(见表2)。表2自DL／T860．92抽取(资料性)ASN．1BasicEncodingRules(BER)SavPdu：：一SEQUENCE{noASDU[0]IMPLICITINTEGER(1．．65535)，secufity[1]ANYOPTIONAL，asdu[Z]IMPLIClTSEQUENCEOFASDU)防护重放攻击要求为防止篡改应使用MAC安全扩展，而且要求安全域规定如下IMPORTsecurity：：=[o]IMPLICITSEQUENCE{timestamp[o]IMPLICITUTCtime，发送时间j＆timestamp(时间戳) GB／Z25320．6--2011／[ECTS62351—6：2007timestamp属性将表示格式化SMV帧时的近似时间。7．2．2．5．2客户端处理根据呈现的SMV安全域，应使用以下的客户端规则：·客户端宜建立对它的当前时间的跟踪。时间戳超过2rain时偏的SMV消息就不宜再处理；·客户端宜记录和跟踪所接收到的发布服务器的smpCnt(采样计数)。如果接收到一个较小的sqNum(顺序号)值，而且根本没有超过最大顺序号，那么此消息宜被丢弃；·如果存在消息超时，初始Smum应重置；·如果sqNum已超过最大顺序号，初始sqNum应重置；·在初始化／加电时，初始sqNum应是0。7．2．3变电站配置语言(SCL)7．2．3．1SCL证书扩展7．2．3．1．1SCL证书扩展结构此外，为了包含以下语句以考虑所使用证书的定义，应扩展SCL：<／xs：sequence2><／XS：complexContent2><／x5：complexType2><／XS：sequence><／xs：complexContent2>％／xs：eomplexType2>7．2．3．1．2＆XferNumber图2SCL的证书扩展该属性应被用于传送XferNumber(证书引用号)，发送lED(智能电子设备)应通过该号引用到证书。如果证书是用于GOOSE或SMV，那么该属性值才会出现。该值的有效范围为O～7。7．2．3．1．3＆SerialNumber该属性应包括证书的SerialNumber(序列号)值。7 GB／Z25320．6--2011／IECTS62351—6：20077．2．3．1．4&Snbject该复杂类型应包含对证书内所出现的证书层次，为证书中的Subject(主体)进行认证。7．2．3．1．5＆IssuerName该复杂类型应包含对证书内所出现的证书层次，为证书中的IssuerName(签发者名)进行认证。7．2．3．1．6＆CommonName该属性将包含证书内所发现的CommonName(公共名)的值。7．2．3．2AccessPoint安全用法的规定<／xs：unique><／xs：element><／XS：choice><／xs：attribute><／XS：attribute><／KS：extension><／xs：eomplexContenC><／xs：complexType>图3AccessPointSCL定义扩展为了声称与本指导性技术文件一致且支持适合于GOOSE安全或SMV安全的实现，应扩展AccessPoint(访问点)的SCL定义以包含GOOSESecurity和SMVSecurity元素。声称支持SecureGOOSE(安全G00SE)的实现应有最少一个G00SESecurity元素呈现。声称支持SecureSMV(安全SMV)的实现应有最少一个SMVSecuHty元素呈现。声称支持加密的实现应包括GOOSEEncyptioninUse或者SMVEncryptioninUse属性，其属性值应是与试图用于认证和加密的证书的XferNumbe相同。8一致性8．1一般一致性声称与本指导性技术文件一致的实现应提供一个扩展的ProtocolImplementationConformanceStatement(PICS)(协议实现一致性声明)，正如在以下条目中所展示。对于某些协议集，可能还需要提供附加的ProtocolImplementationextraInformaTion(PIXIT)信息(协议实现额外信息)。8 GB／Z25320．6—2011／lEeTS62351-6：2007对以下的条目和表格，适用以下的规定：F／S即功能／标准。·M：强制支持，该项应被实现；·C：条件支持，如果所胨述的条件存在，该项应被实现；·O：选择支持，该实现可以决定是否实现这选项；·X：不包括：该实现不应实现这项；·I：超范围：该项的实现不在本指导性技术文件范围之内。应为声称支持本指导性技术文件的实现提供表3中的信息。表3一致性表客户端服务器值／注释F／SF／sG1支持DL／T860．81或GB／T16720安全OClOC1G2支持DL／T860．8lGOOSE安全OC1oC1G3支持DL／T860．92SMV安全OC1OClG4支持SNTP安全Ooc1——至少一个应已宣布支持。8．2声称GB／T16720协议集安全的实现的一致性为声称支持GB／T16720或IEC61850协议集的安全协议集的实现，应提供表4中的信息。表4GB／T16720协议集的PICS客户端服务器值／注释F／SS1ACSE认证MS225320．4支持MS3A强制密码套件MS3BTLS-DH—RSA。wITH—AES_128一SHAOM8．3声称VLAN的协议集安全的实现的一致性为声称支持VLANIEC61850协议集的安全协议集的实现，应提供表5中的信息。表5VLAN协议集的PICS客户端服务器值／注释F／SS4SCL扩展MS4aDL／T860．81GOOSE安全C1S4bDL／T860．92SMV安全C2c1——声称与GOOSE安全一致的实现，c1将是“M”。c2——声称与SMV安全一致的实现，c2将是“M”。9 GB／Z25320．6—2011／IECTS6235卜6：20078．4声称SNTP协议集安全的实现的一致性为声称支持SNTPIEC61850协议集的安全协议集的实现，将提供表6中的信息。表6SNTP协议集的PICS客户端服务器值／注释F／Ss7RFC2030M [1]系统安全[2]cation)[3]Version2[4]GB／Z25320．6--2011／IECTS62351-6：2007参考文献GB／Z25320．3电力系统管理和相关信息交换数据和通信安全第3部分：通信网络和包含TCP／IP的协议集(IEC62351-3，IDT)RFC2104HMAC：用于消息认证的密钥处理后哈希(Keyed--HashingforMessageAuthenti—RFC2437PKCS#1：RSA密码技术规范版本2．0(RSACryptographySpecifications0)RFC3174安全哈希算法[SecureHashAlgorithm(SHAl)]'