三、对IEC 60870-5-104协议的安全增强细节

IEC 104协议广泛应用于调度自动化系统，但其本身缺乏足够的安全机制。纵向加密认证装置在IP层为其提供了透明的安全防护，具体交互细节至关重要。

• 协议透明性：装置对应用层协议（如104报文中的ASDU）完全透明。调度主站的104客户端与厂站端的104服务器无需任何修改，它们感知到的是一条普通的TCP连接（通常端口为2404）。所有加密、解密过程在网络层自动完成。
• TCP连接处理：装置需要智能处理TCP连接的建立、保持与断开。它需要正确识别并“代理”104的TCP三次握手，并在加密隧道建立后，维持两端TCP会话的状态同步，确保长连接的心跳（TESTFR）报文也能被正常加密传输。
• 抗重放攻击机制：为防止攻击者截获并重复发送有效的加密报文（如?？孛睿?，装置在封装报文中必须包含序列号或时间戳。接收端会严格检查该序列的连续性和有效性，丢弃重复或超时的报文，此机制对保障遥控、遥调等命令的绝对安全至关重要。

其工作流程可简述为：厂站端装置与调度端装置首先基于数字证书进行双向认证 → 协商生成会话密钥 → 随后，厂站RTU发出的明文104 TCP报文到达装置 → 装置提取IP载荷，用会话密钥加密并添加完整性校验码 → 封装新的IP头（源/目的地址为两端装置地址）发出 → 对端装置解密、验证后，将还原的原始104报文送给调度主站。

四、纵深安全机制与合规性要求

除了基础的加密认证，现代纵向加密装置还集成了多项纵深防御机制。

• 访问控制列表（ACL）：基于IP、端口、协议类型实施精细化的流量过滤，例如只允许来自可信调度主站IP的、目的端口为2404的TCP流量进入加密隧道，阻断一切非法访问。
• 安全审计与日志：详细记录所有密钥操作、隧道建立事件、管理登录尝试及流量统计信息，日志本身需加密存储并支持安全上传至管理中心，满足《电力监控系统安全防护规定》的审计要求。
• 合规性适配：严格遵循国能安全〔2015〕36号文及其后续补充规定，支持与调度证书服务系统（CA）的对接，实现证书的自动下载与更新，确保整个安全体系符合电力行业强制规范。

总结

纵向加密认证装置是电力二次安全防护“网络专用、横向隔离、纵向认证”方针中“纵向认证”的关键技术载体。其技术深度体现在将标准的密码学算法与专用的高性能硬件相结合，并无缝适配电力系统特有的通信协议（如IEC 104）和严苛的实时可靠要求。理解其从算法协商、硬件加速到协议处理的完整原理链，对于电力系统技术人员正确配置、运维及深度信任该安全屏障具有重要意义。随着物联网和新型电力系统的发展，其技术内涵也将向轻量化、协同化方向持续演进。