基于IEC的智能化变电站信息安全防护

基于IEC62351的智能化变电站信息安全防护与测评技术研究2014年11月2012.12目的和意义工控系统的信息安全对国家经济、社会财产及企业生产具有重大意义。2011年9月，经国务院同意，工业和信息化部印发《关于加强工业控制系统信息安全管理的通知》（工信部协[2011]451号），要求各地区、各有关部门、有关国有大型企业充分认识工业控制系统信息安全的重要性和紧迫性，切实加强工业控制系统信息安全管理，以保障工业生产运行安全、国家经济安全和人民生命财产安全。《通知》明确，重点加强核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关领域的工业控制系统信息安全管理，落实安全管理要求。工控系统工业控制系统是工业基础设施的核心，其可用性和实时性要求高，系统生命周期长。与信息系统相比，工控系统地域分布广，终端侧有带传感和控制功能的装置。典型的智能电网工控系统，包括智能电网调度技术支持系统、智能变电站、配电自动化系统、输变电设备状态在线监测系统、用电信息采集系统等“震网”病毒事件“震网”病毒事件震惊全球，它是一种带有政治意图的“超级武器”，是第一个针对现实世界目标进行实体攻击的网络战武器，标志着网络攻击从传统“软攻击”阶段升级为直接攻击电力、金融、通信、核设施等核心要害系统的“硬摧毁”阶段。一直以来被认为相对封闭、相对专业和相对安全的工业控制系统已成为黑客、不法组织，甚至是网络站的攻击目标。3目的和意义

智能变电站是智能电网工控系统的典型代表，智能变电站信息安全问题的研究对于确保电网系统安全稳定运行具有重要意义。近十年来随着新型光电式互感器、IEC61850通信标准、以太网、物联网等新技术的快速发展与应用，变电站先后经历了IEC61850变电站、数字化变电站、智能变电站三个发展过程，逐步朝“数字化、自动化、智能化、一体化、互动化”方向迈进，智能化程度提高带来了诸多便利。智能变电站中IEC61850标准的应用，解决了站内设备与系统的互操作难题，基于GOOSE网络实现了设备与设备之间的信息共享与交互，实现了将割裂的各子系统集成至一体化平台下，达到信息资源的共享的目标，解决了一、二次信息的融合问题。

通信协议的安全是智能变电站乃至电力系统信息安全的关键部分。通信协议是电力系统运行的最关键部分之一，用于从现场设备取回信息，发送控制命令至现场设备。电力通信协议非常专业化，传统观念认为可以“依靠难以理解获得安全”，但随着理念的发展，“难以理解”的通信协议正被标准化的、良好文本的协议代替。目前常见的电力通信规约，包括IEC60870-5/6和IEC61850，是在信息安全成为电力行业的重要问题之前制订的，所以原先标准中不包括任何安全措施，蕴含了一定的信息安全风险隐患。4目的和意义

电力二次系统安全防护方案的实施，极大提高了调控中心和变电站的边界安全防护能力。（正向型）生产控制大区管理信息大区横向隔离装置目前，智能变电站主要依据《电力二次系统安全防护规定》（电监会5号令）及配套的《电力二次系统安全防护总体方案》和《变电站二次系统安全防护方案》，按照“安全分区、网络专用、横向隔离、纵向认证”的安全策略，重点强化变电站边界防护，加强内部安全措施，保障变电站安全稳定运行。电力二次系统安全防护方案控制区(安全区I)逻辑隔离设施非控制区(安全区II)横向隔离装置根据需要设立若干业务安全区防火墙纵向加密认证装置纵向加密认证装置或防火墙防火墙外部公共因特网（反向型）专线实时子网非实时子网电力企业数据网电力调度数据网纵向加密认证装置纵向加密认证装置或防火墙（正向型）横向隔离装置防火墙控制区(安全区I)逻辑隔离设施非控制区(安全区II)横向隔离装置根据需要设立若干业务安全区防火墙生产控制大区（反向型）管理信息大区电力二次系统安全防护设施电力二次系统安全防护方案于2006年随电监会[2006]34号文发布，明确了各级二次系统业务应用的安全分区原则和各区防护要求，制定了各项专用、通用防护措施，安全管理规定和安全评估要求。随着电力二次系统安全防护方案的实施，电力专用横向隔离装置、纵向加密认证网关、电力调度数字证书系统等专用防护设备和安全基础设施得到部署和推广应用，这些设备极大的提高了电力二次系统边界安全防护能力。5目的和意义

当前电力二次系统防护措施尚存在隐患，主要体现在内部防护不足，一旦边界被突破，或者威胁直接产生在边界以内，极可能造成严重损失现有技术天然不足

IEC61850通信规约互操作性带来风险

智能设备缺乏鉴别控制命令是否来自合法用户的机制

智能设备所具备的服务向任意访问者开放

生产控制区缺乏实时信息与网络安全监测手段2010年6月，“震网”病毒攻击伊朗核设施，造成1/5的离心机破坏，将伊朗核计划延迟了2年。最初通过感染USB闪存驱动器传播，然后攻击被感染网络中的其他计算机。一旦进入系统，它将尝试使用默认密码来控制软件。该病毒是已知的第一个以关键工业基础设施为目标的蠕虫。6目的和意义

当前电力二次系统防护措施尚存在隐患，主要体现在内部防护不足，一旦边界被突破，或者威胁直接产生在边界以内，极可能出现重大的安全事件。实现过程引入缺陷自动化产品测评部分厂家IEC61850协议栈健壮性不足，通过构造畸形报文包攻击测试，通信协议栈可以被攻击瘫痪，使装置通信程序溢出、界面无响应，导致无法正常与监控系统、RTU通信，导致调度远方无法对站内设备控制。通过直接模拟控制命令报文的方式，可能使设备产生误操作。广东电科院实验环境测评1)变电站与主站通信：二次安防系统2)变电站内通信无任何防护3)变电站内监控主机口令简单4)无安全管理深圳青奇坑110KV变电站(待投产)测评1)主站操作系统安全防护问题存在未启用密码口令策略、登陆方式未启用失败处理功能、启用明文telnet登陆方式、未进行资源合理控制等问题。2)终端系统安全防护问题存在系统应用软件、与系统层漏洞未进行补丁更新、未进行服务端口最小化原则、访问控制不严谨、未启用口令策略等问题7目的和意义

本项目将通过借鉴IEC62351系列标准，设计智能变电站内部通信规约的安全增强方案，完成二次设备的研发改造，使站内常用协议具备完整性、保密性、可用性和不可抵赖这四项基本安全特性，实现智能变电站内部通信时的端到端实体认证，确保授权访问，使设备通信具备防窃听、防重放、防欺骗及一定的入侵检测能力。提供的安全能力实体认证最小化中间人攻击的威胁访问控制支持业务级访问控制的实现确保信息的唯一授权访问数据加密保障通信消息的机密性保障认证密钥的机密性完整性保护消息篡改的检测最小化旁路控制威胁防止重放和欺骗最小化无意和恶意的人员行为威胁

“端到端”的安全依赖于系统内部的安全对策、安全防护执行、外部入侵的检测、内部系统和应用的健壮等多个方面。通信协议集的安全增强是实现电力系统控制操作“端到端”安全的第一步。8主要料技术袄内容技术躲背景研究份内容技术童方案基本赢安全待需求机密免性•防止始对信与息的香未经泥授权着访问完整乖性•防止梯未经热授权斯修改键信息可用召性•防止示拒绝买服务灯，保勤证对眼信息你的授东权访姐问不可讯抵赖往性•防止许否认格已发松生的沫行为卧或伪苍称发椒生了达行为IE果C6浆23距51系列猫规范匙的编长制为电糊力通版信协侧议的叹安全狗，特风别是IE庄C60盯87右0-宣5、IE盈C紫60珠87标0-权6、IE文C晃61倍85萌0、IE燃C6卧19耳70和IE杀C6动19孕68的占安全智，IE素C绿TC57恋W送G1溜5承担监了IE谱C6枪23愈51规约蚀的编继制工作，IE爪C6民23登51重点耳关注缩慧如何总满足获有关胃机密性羡、完黄整性占和不降可抵森赖性酒的需蹲求。

IE圆C糠TC运5省7：国宰际电巴工委远员会胜（IE概C）的恋“电汽力系殃统管幕理及纸其信篮息交柜换”角技术司委员够会，猪负责喘制订电力努系统疏数据征通信原协议轮的国收际标提准。气目前邮已制惯定完独成的我协议疯标准顿包括赵：IE乒C60返87淡0-携5（DL而/T63汽4.继51岸01和DL政/T桨6便34寇.5岔10拴4），IE爽C以60后87转0-招6（GB星/T我1茶87分00，TA幼SE方.2），IE乒C妨61乖85拼0（DL优/T86辛0）

WG保1泽5：“甩电力饱系统临管理封及其第通信旧数据弦和通访信安克全”项工作壶组，膜负责过为IE丽C纵TC楚5麻7制定筒的通爽信协议的允安全刃，进腐行标尸准的散制订潮，并换承担码有关矿端对俯端安返全课细题的敌标准礼和技粱术的厦研究10主要刷技术荷内容技术吴背景研究蚀内容技术近方案IE裹C6杏23际51规范泛的组昂成IE兆C6非23构51规范傻总共刺包括11个部报分，恳其锐中1-拍7已经将发布就，8-法11正在爹进行曾编制授和完贝善。IE俭C麻62终35填1安全责标准怕与IE迈C彻TC还5维7其它物协议羞集的仰相互符关系正在蹲编制轿和完佛善的净标准IE凶C晒62菜35故1-馋8基于皆角色布的访煮问控虾制IE传C魄62兆35最1-穿9密钥岛管理IE册C犯62布35振1-镰10安全辣体系型架构IE慢C6短23椅51裹-1臂1XM弊L文件销安全11主要行技术谷内容技术锈背景研究泛内容技术举方案IE迷C6朝23籍51规范码和本匪项目拜的关归系智能鼠变电慈站的庸内部他通信浙规约斧主要金包括MM铜S,译GO牌OS左E和SM钓V三类驻协议庄，IE氏C6茅23丙51中的3、4、6部分奶为本跳项目涉钢及的指规约殿安全仪改造续提供茄了指柔导建岛议。本项幻玉目在IE淋C6杀23恐51的指痛导下凝，对租规约棉的具览体改睁造方劝案进枪行设爽计，免是IE侦C6揉23露51标准尝的细亩化和冬落地滑应用沃。MM笔S规约IE弦C祥62闯35唐1-学3IE耀C育62穿35才1-福4MM宋S规约GO轨OS罪E/读SM冻V规约IE赚C稿62纲35决1-做6GO纸OS播E/薯SM粗V规约12主要鱼技术滨内容技术笨背景研究泄内容技术摩方案研究辆并设缎计基喘于IE唱C6挪23辛51的智盖能变顷电站弊总体期防护叙方案邮，同口步开只展关娘键支互撑技传术研究，皂完成嫁试点组建设尼并验栋证研剂究成好果，灯最终伏达到房诚增强森智能责变电粥站安娇全防乏护水位平，蹦保障系统摩稳定峰运行剧的目吴标。总体方案基于IE撤C6茄23上51的变波电站半二次甩系统像信息谅安全狭防护两体系烫、模茫型和沙策略颠研究技术支撑基于IE霞C6浅23谦51的变或电站二次者系统看信息案访问透控制及认袭证技禁术研海究基于IE助C6贫23邮51的变稍电站二次伤系统屯信息旬安全涛通信协议架及增母强机华制研尘究基于IE基C6稠23素51的变余电站二次踪蝶系统病信息责安全格测评技术牙研究实现验证安全戒增强栗的智滴能变反电站昨综合粱自动鸦化系旺统及排智能妻设备台研发智能骂变电姐站二路次系恶统安全防良护测明评13主要掩技术数内容技术弟背景研究句内容技术拐方案基于IE椅C6秧23觉51的变醒电站危二次摊系统灭信息晃安全金防护特体系拥、模玻型和盼策略茧研究网络槐防护MM盗S协议介安全海增强GO泥OS符E/采SM根V协议哀安全束增加主机显、终崖端防培护系统筑安全软件箱安全病毒获、木碌马边界酿防护安全岗加密入侵炭检测日志帽审计外接队防护运维院接入苏安全14主要见技术省内容技术蛇背景研究淘内容技术堆方案基于IE驶C6响23左51的变沙电站诱二次掉系统餐信息棕访问惰控制奖及认宪证技镇术研解究身份虎认证对象站控嫁层、揪间隔乌层、赠过程层牲通信滥系统剃或设撑备技术双向柱认证数字匆证书非对康称密破码算音法数字葵签名资源设访问爪控制15主要脂技术垃内容技术馆背景研究翼内容技术垂方案基于IE骄C6役23攀51的变足电站地二次笔系统凯信息躁安全峰通信坦协议病及增滑强机箱制研退究——姑MM茂S通信露安全A-摧Pr落of敲il屈e：应潮用层巩安全隔，通余过关拒联控周制服纠务元素郊进行宁认证T-坚Pr端of班il旅e：传扑输层允安全胸，TL孙S安全洲协议16主要悉技术克内容技术净背景研究傅内容技术鸡方案基于IE智C6结23究51的变颠电站霜二次量系统宴信息拐安全碑通信便协议预及增搁强机膨制研扫究——防GO膛OS威E/躁SM各V通信邀安全实时变认证丸过程步骤1：由IE馋D1产生肠一个沸随机古字符闻串ra坐nd卸om件1步骤2：IE魔D1取与GP者S同步卡时钟秀的当播前时棵标(T京im比es雕ta体mp贿1)和IE秤D1所记欣录的董当前挺发送秋序列絮号(S组qu赌en虏ce劈燕No骗1)步骤3：用SH志A.话1或MD不5算法芹对M1调(T仍im凑es叹ta允mp馅1，Sq菜ue爆nc耍eN乏o1和ra捐nd寸om许1的字符匪串合障并、麻进行MD彩F(装me厅ss务ag轮e情di凝ge食stfu肝nc询ti妥on什)散列似生成辩消息侍摘要H1，并本对M1使用lE筛D1的私迅钥进蔽行RS浑A加密廊得到痛消息棍认证确码MA阳C1步骤4：将H1填充嚼到扩冬展GO找OS奏E报文河的PD轻U单元，MA勾C1填充闻到GO证OS敞E报文世的Ex饺te凯ns啊io滴n字段，将耀该GO活OS绿E报文病通过众广播撇发送寻出去步骤5：IE腰D2收到IE苹D1发送善的GO期OS绝E报文奖，分秤别从报糊文的辉不同梳字段彻取到H1和MA疼C1步骤6：对MA宁C1使用IE驰D1的公题钥解方密得园到M1，并使臭用与IE滴D1相同睬的MD歇F生成M1的摘孔要H1得’，比较H1和H1顶’，若勇两者弯相同进，则圾完成影对IE叶D1的身份访验证步骤7-方12以相摸同方榜式对IE诵D2进行愚认证17主要招技术苹内容技术侦背景研究四内容技术语方案基于IE央C6外23妙51的变膛电站培二次始系统战信息宋安全革测评液技术帜研究测评由技术针对御不同浴设备把，选颤择合激适方迹案，候确定淹危险主机绪、终融端测评乒：身秆份鉴艳别、叮访问旦控制系、安就全审计、阅入侵芒防范刺、恶插意代念码防往范、支资源巩控制、械操作浇系统品漏洞裁等通信社网络测评勺：通痕信报旧文、政配置零参数误、服著务方法卵与数则据规捕范、必网络乓渗透为等智能拉电子竖设备药（IE拆D）测评玩：配赌置、工通信充方式馋、系累统漏旦洞、软庭件漏志洞等边界测评半：入酷侵检坏测、韵病毒瓜隔离供等18主要州技术债内容技术鸡背景研究睬内容技术盼方案技术屯方案裕概述石：1，通耐过在什关联轧建立荒过程旺中引土入双衔向身类份认肝证，视以及霜基于刘传输涉层安订全的唐数据锻加密吐和数暂据校跃验机邀制，丢保障垒了MM云S的传摘输过甲程的栽保密侄性和完云整性椒，以带及通俘信双鸡方的清身份哄识别蛋，为鹊行为莫的追信溯和碑访问兵权限绝控制乓提供母了技革术基旧础；2，通别过为GO惜OS递E/罪SM可V扩展饭校验仅字段览，保果障了影变电铃站事尚件报宁文和阴测量胆采样究报文浪的数时据完骗整性虑，并样提供闸了防她重放晒攻击鼠机制岁。密钥躁的保叹密协魂商机密彼性消息积的传邪输加魂密MM不S的安情全强水化措被施：传输收协议碎集：篡改但检测完整岂性伪造斜检测安全探需求六的响拒应不可稼抵赖通过棕数字低签名圣，提廊供实跟体认证支持零实现孝通信不访问初控制防止鱼重放稠和欺哥骗确保幻玉对信周息的欠唯一葵授权绩访问通过厅数字言签名庭，提层供节瞎点的舰双向树身份殿认证通过尼加密橡，提卧供传蒜输层露认证容、加须密密喇钥的机密谈性通过吉加密欠，提网供传统输层抵及以搬上层肺次消科息的机密鹊性，呢防止充窃听通过爪消息齿鉴别葵码，幕提供绍传输切层及起以上亭层次消息县的完辈整性通过数定义弊传输怀序列裙号有叠效性碍，防牢止传摆输层的重沙放和期欺骗应用诊协议扛集：GO蛛OS享E的安仔全强熊化措施邮：提供躬认证盒以最沸小化红中间呀人攻击衣的威京胁可用进性提供雷认证抛以最湿小化腐某些笨类型的谋旁路泼控制燃威胁提供兔认证貌以最气小化住无意介和恶意腔的人某员行鼠为威不胁通过良数字逼签名宗，提床供应究用层寄的双报向身贸份认证通过糠消息迎鉴别抬码，海提供活应用梦层消请息的饼完整性，疤防止方中间饶人攻仗击通过碎规定欺的专寸用处奥理状套态机赶，防选止重拆放攻击通过食密钥待相关的坑消息结鉴别码言，提腊供消息价完整臣性保护结合防时间您戳/序列摸号和处理烦逻辑惧，防止长重放舰攻击19主要泥技术避内容技术蛇背景研究倚内容技术角方案MM盐S改造制1)传输菊协议线集：援基于TC海P/鹊IP协议凭集上倒的安予全改便造，叫增加TL灵S协议浇，为警应用疯层数昂据提贴供传治输层阁加密吓和校滩验机2)应用边协议锈集：禾客户功与服篮务器脚之间粒在关箭联过粪程通码过数颂字证描书进简行身岸份认巧证和对访问鼻控制控机制MM罪S通信讨流程疮变化20主要歌技术写内容技术旅背景研究读内容技术伯方案MM杯S改造1)传输跟协议反集：母基于TC警P/斥IP协议芳集上烂的安冈全改蹄造，判增强TL粪S功能订，以催承载冠的应壮用层哨数据糟提供雀传输转层加亡密和校验浸机制2)应用闯协议挽集：晶客户炒与服必务器循之间狠在关子联过渔程通倚过数能字证貌书进夕行身慌份认兆证MM湿S报文面结构驱变化启用AC诞SE认证捕功能响单元MM妄S关联相认证应用横协议裹集业务酒数字鹅证书认证躺功能数据挎结构时间眯戳Ha疮sh值在TC组P基础辞上实刻现定跟制版TL宏S数据塔加密传输启协议拖集传输标层数忠字证尝书数字烦签名屯算法验证节算法加密播算法21主要行技术屋内容技术口背景研究恢内容技术刻方案GO溜OS浅E/即SM什V改造1)扩展GO参OS升E/休SM艺V报文详结构服，增势加签缸名字厦段2)增加GO赴OS蝇E/挨SM赤V协议纳时间盛戳字货段，链防护珠重放金攻击GO理OS怪E/级SM土V报文尚结构威变化原Re驴se发rv能e字段虎的第1字节保存庭扩展炸部分胜的长思度（0-痕25糠5）原Re怕se魂rv标e字段蓝的第3、4字节保存CR鸣C校验衣值CR说C校验娱范围捷：报绝文结猴构中裕的TP金ID，TC梨I，Et衬he意rT候yp渴e和AP利PI诉D的值扩展步部分扩展材认证橡数据胀结构Re陪se涨rv母ed字段劈燕：保到留用冲于未服来标娘准化稍扩展Pr迟iv崇at忍e字段他：用帜于厂轨商传渴递私步有信问息，座供厂领商自行定雷义Au煮th唯en脚ti松ca飞ti蹄on脊Va匆lu仿ez字段委：认桌证值窑，分姜两步答获得：1）使含用SH佛A-带25循6哈希感算法苹计算轧协议莲数据亚单元摘弱要，2）使堆用HM骂AC签名邻算法陷对摘攀要进持行签名22主要众技术中内容技术阶背景研究喉内容技术蹄方案GO屋OS卸E/黄SM舌V改造1)扩展GO挥OS岛E/址SM差V报文茶结构魄，增径加签植名字挖段2)增加GO繁OS夸E/批SM忧V协议缸时间饶戳字减段，丝式防护帆重放缠攻击重放额攻击途检测邻流程1）客术户端蝇提取GO朗OS示E协议伞数据懂中的退时间t数值黎和当分前系愁统的批时间cu盖r，并牺将t与cu帖r比较朴，时棕间偏污差如指果超吩过2m桥in钟（cu中r>须t+摄2，此时时毕间以森分钟丘为单年位）振，将嘉放弃GO湿OS近E报文狮；2）客哀户端涂记录类和跟可踪所贞接收听到的畜发布提服务趁器的St抽nu搜m。如众果接私收到慎一棍个仰较声小歪的St碌nu台m值蜘，齿且趁还丙没贞有姐超遇过滥最垄大外状碰态爸号抛或ti辽me脉al蒸lo锯we限dt也oL攻iv码e（容蔬许生泳存时概间）深超时嚼，那斑么此挖消息浩宜被弦丢弃；3）如基果消接息超欧时，排重置St封nu宾m。4）如桐果St列nu以m已超乌过最也大状羊态号疤，重红置St固nu订m。5）在闹初始软化/加电售时，孤初始斯化St偶nu挪m为0。GO哈OS径E报文况时间欺戳IE句CG逢oo望se缩慧Pd闷u则::告=用SE桑QU砍EN圾CE予{go捷cb灶Re截f孤[0饲]址IM鸣PL恒IC桶IT晓V武IS挂IB常LE颈-S证TR袖IN棍G,ti贸me存Al带lo锁we晌dt杂oL淡iv扁e量[1建]绍IM汇PL们IC迟IT彩I捆NT踩EG究ER陵,da劳tS畏et鱼[北2]蓬I殖MP浩LI恐CI垒T纺VI秆SI总BL宿E-沾ST闷RI停NG殊,go兽ID日[市3]盏I永MP毯LI侮CI私T文VI呢SI卷BL傲E-券ST幅RI投NG渔O微PT狼IO欠NA想L,t斧[4烤]荐IM骂PL剖IC威IT产U释tc洪Ti渡me连,st廊Nu必m布[5叹]渴IM止PL静IC蓝IT胡I惭NT青EG票ER盏,sq沸Nu划m匙[6麻]屡IM立PL栋IC日IT扬I塔NT堡EG酿ER煮,te酬st昌[夜7]龙I拼MP帮LI笑CI宅T牧BO乏OL吴EA用N吵DE肯FA纵UL都T歌FA凤LS球E,co哀nf沉Re槐v缴[8西]换IM舅PL帐IC袖IT睬I析NT变EG巨ER谢,nd罩sC胆om们[莲9]幕I加MP担LI勺CI犬T覆BO旺OL完EA宁N术DE堪FA搬UL挤T忌FA熊LS爷E,nu插mD伙at预Se压tE膨nt宅ri剂es沾[瓣10唐]值IM轧PL惊IC忌IT时I慢NT桐EG每ER孤,al歌lD杏at犯a袄[1炕1]骂I民MP桑LI炒CI替T涛SE瓶QU敌EN搅CE贫O厕F车Da岸ta这,se符cu富ri先ty砌[仓12彼]雄AN抱Y娃OP称TI烂ON晕AL}SM蜜V报文长扩展Sa踢vP班du谱::假=塌SE掠QU酒EN拾CE苹{no鬼AS牺DU葬[吓0]挎I绕MP彼LI瓦CI淋T匀IN坊TE玩GE惊R众(1李..糖65邀53撕5)煌,Se俱cu换ri厌ty款s底ec颗ur参it估y宋[1绿]通AN矿Y晌OP秒TI息ON汤AL需,as节du照[马2]火I办MP粪LI卡CI埋T喉SE最QU繁EN敏CE晕O庄F雀AS岂DU}se兰cu炎ri孕ty涉::沈=[慈0]宇I国MP汉LI已CI胁T唤SE啦QU绕EN南CE晌{ti县me列st迎am逝p麦[0挎]村IM竟PL代IC家IT炎U优TC献ti果me励,幼--发送外时间}23主要淹技术旧内容技术谁背景研究域内容技术亲方案SC细L模式闸文件役配置1)添加圣证书赞类型2)扩展启访问姻点，毅添加捏证书伞元素证书础类型t乳Ce贸rt葡if岩ic滋at显e:证书探类型X奴fe婆rN吼um路be猫r：证摄书引拔用号S群er顾ia促lN粪um疫be优r：证疗书序弦列号S弯ub描je软ct：证接书主雀体I抓ss竹ue鸽rN蚊am请e：发园证机两构<x牛s:自co恩mp组le忆xT饰yp蛮e孤na家me缠="重tC卖er古ti化fi累ca协te气"><x幸s:公co赴mp乓le撑xC现on酸te墙nt检><x伤s:样ex毅te饥ns爸io买n郊ba呼se肥="蒸tN足am开in路g"灯><x零s:稠se妇qu家en吉ce葵><x拍s:隔el蜻em救en泳t挡na降me村="雕Xf树er孟Nu举mb出er姻"池ty坡pe话="赤xs叉:u巴ns垄ig质ne斯dI当nt球"怪mi岔nO盾cc废ur贡s=塘"0券"末ma怨xO屋cc手ur冻s=箭"1患"/刺><x贿s:德el竿em翠en犁t杀na遭me枣="害Se桶ri著al大Nu蛮mb动er晒"时ty霉pe寒="宾xs蹈:n雪or翼ma致li虎ze傍dS乞tr尤in会g"象m墨in白Oc箭cu值rs影="刻1"州m架ax狱Oc殖cu贸rs灵="童1"良/><x祖s:抢el原em负en之t智na沉me纱="兽Su衣bj泊ec俱t"听t并yp本e=蔑"t除ce活rt侵"蓝mi划nO清cc梁ur原s=兴"1伪"资ma搬xO竭cc晒ur饭s=引"1遵"/联><x未s:愈el股em粥en旦t缝na古me板="底Is旬su混er突Na卖me汤"礼ty悦pe渔="阅tc机er者t"扬m葱in些Oc岂cu裙rs养="测1"丑m畅ax慢Oc阶cu蜻rs雁="拨1"法/></摔xs猾:s妖eq具ue议nc惭e></亦xs掉:c按om晚pl兴ex巷Co看nt捞en永t></习xs柱:c斜om钥pl孝ex糊Ty价pe商><x非s:贪co义mp仗le部xT惠yp弃e钢na蛇me盼="尼tc肺er既t"晴><x烧s:信co右mp制le绍xC破on那te灭nt杂><x佣s:彩ex识te刃ns稳io筒n掠ba辆se四="光tN拳am疯in筐g"篇><x例s:服se瞧qu隙en蓬ce列><x选s:才el查em诸en铃t机na劲me枪="旱Co头mm屯on残Na钢me卧"隙ty玻pe蕉="法xs搏:n赔or卸ma币li敞ze乐dS跃tr源in过g"滑m能in蜡Oc印cu宾rs曲="凶1"罩m肿ax剃Oc灯cu针rs川="治1"站><x扁s:个el慢em燃en貌t马na榆me首="役ID切He职ir究ar疾ch巴y"捎t上yp段e=涂"x括s:信no句rm饼al岩iz惠ed问St喇ri场ng扬"都mi商nO区cc沃ur旋s=恨"1铃"/游></即xs茧:s道eq炮ue呜nc眉e></迫xs漫:c宅om恭pl赢ex片Co行nt供en垫t></吨xs舍:c灯om先pl防ex咏Ty列pe弊>扩展粒访问年点t舟Ac拼ce申ss陪Po董in虹t:访问疗点类扣型G藏OO今SE睛Se架cu超ri筑ty：GO督OS骂E证书奴，通合过证犬书引原用号造找到酬相应证严书

SM懒VS艇ec滥ur荡it丑y：SM拌V证书菠，通继过证艳书引拖用号妄找到款相应域证书<x耗s:阿co罢mp魄le蹈xT攻yp盟e第na颠me橡="颂tA搞cc杂es臭sP睬oi钱nt材"><x开s:忠co蓄mp读le猎xC钢on矿te集nt冷><x莫s:扒ex递te例ns通io也n润ba愿se非="主tN末am励in林g"胃><x抢s:秘ch舞oi傍ce挠m垦in碌Oc阳cu丸rs停="承0"总><x个s:鸭el诞em插en污t殿na恶me其="齿Se舟rv掠er柴"泰ty根pe馅="脾tS陆er草ve盾r"纽奉><x撞s:航un如iq脉ue单n亦am罚e=耻"u龙ni富qu魄eA炊ss足oc李ia史ti喘on镜In简Se处rv阶er舞"><x饺s:溪se丢le姻ct违or肺x辅pa榜th踪蝶="湿./甜sc样l:纸As驴so屑ci听at狐io叹n"挠/><x嫁s:肾fi你el杨d块xp杏at栗h=道"@辣as甩so蓄ci鼓at蚂io贩nI芦D"渡/></势xs电:u你ni师qu挖e></风xs性:e事le晚me断nt婶><x忧s:慢el凶em也en桶t送re歼f=哪"L皇N"禾m铸ax挑Oc庸cu傅rs绸="懒un侧bo疤un命de烛d"及/></浑xs鸽:c攀ho能ic料e><x掘s:掉at畏tr吃ib仔ut介e腹na尼me投="姨ro性ut廉er初"禁ty怒pe括="米xs食:b甜oo发le害an继"板us门e=洲"o贷pt阵io料na璃l"责d向ef障au盟lt翅="仰fa件ls双e"恭></脚xs冻:a疑tt踏ri朱bu稍te眠><x桐s:娱at脱tr筐ib甘ut跟e感na绘me吸="震cl阻oc宰k"杆t仗yp梁e=既"x桃s:棒bo席ol补ea灵n"编u胡se厦="扫op冶ti撤on袜al电"缩慧de镇fa秒ul触t=欲"f到al间se孟"></刷xs征:a柏tt叉ri具bu映te笑><x财s:管el掘em亦en园t坦na雨me表="周GO娘OS嫂ES丑ec脾ur津it辉y"宜t牙yp场e=法"t凉Ce床rt剑if念ic氧at英e"若u到se护="