Protokolle
Kontakt Anfrage   
HOME
Produkte
Protokolle
Referenzen
Hardware
NEU!! Schulung

IEC 62351

DOWNISO/OSI Modell
DOWNImplementierte Protokollstacks
DOWNGeeignete Produkte
DOWNReferenzen

IEC 62351 ist der aktuellste Standard für Sicherheit in Energiemanagementsystemen und zugehörigem Datenaustausch und beschreibt Maßnahmen zur Erfüllung der vier Grundforderungen an sichere Datenkommunikation / Datenverarbeitung: Vertraulichkeit, Datenintegrität, Authentifizierung und Unleugbarkeit.

IEC 62351 besteht aus folgenden Einzelnormen:

  • IEC 62351-1
    Übersicht über das Gesamtdokument IEC 62351 und Einführung in die informationstechnischen Sicherheitsaspekte für den Betrieb von Stromversorgungsanlagen
  • IEC 62351-2
    Glossar der verwendeten Begriffe und Abkürzungen
  • IEC 62351-3
    Ende-zu-Ende Absicherung des Datenverkehrs für TCP/IP-basierte Verbindungen durch Verwendung von TLS [RFC5246] mit erforderlicher gegenseitiger Authentifizierung von Client und Server auf Basis von X.509-Zertifikaten
  • IEC 62351-4
    Sicherheitsmaßnahme für MMS-basierte Protokolle (z.B. IEC 60870-6, IEC 61850) durch Absicherung der Transportschicht gemäß IEC 62351-3 und Definition eines Authentifizierungsmechanismus "SECURE" auf der Anwenderschicht für MMS-Assoziationen unter Verwendung von X.509-Zertifikaten
  • IEC 62351-5
    Sicherheit für IEC 60870-5 und abgeleitete Protokolle (z.B. IEC 60870-5-104 / IEC 60870-5-101 / DNP 3.0) auf der Anwenderschicht mittels Zugriffsberechtigung auf kritische Ressourcen einer Unterstation auf Basis von Rollen-basierten Zugriffsbeschränkungen (RBAC) und Erfassung sicherheitsrelevanter Ereignisse in Statistiken.
  • IEC 62351-6
    Sicherheit für das IEC61850-Protokoll durch Einsatz von VLAN-Markierungen und X.509-Signaturen bei GOOSE- und SMV-Telegrammen
  • IEC 62351-7
    Sicherheit durch Einsatz von Tools zur Netzwerk- und Systemverwaltung, um eine Überwachung der Stromnetz-Infrastruktur zu ermöglichen, z.B. unter Verwendung von MIB-Definitionen für IEDs, die herstellerunabhängige relevante Systeminformationen bezüglich des Gerätes und der Kommunikationslinien über das SNMP-Protokoll in einer standardisierten Art bereitstellen
  • IEC 62351-8
    Definition von Methoden zur Verarbeitung und Verwaltung von Zugriffsrechten für Benutzer und Dienste auf Basis eines Rollen-basierten Zugriffskontrollsystems (RBAC). Die Identitätsinformation sowie der Rollenname wird in einem Zugriff-Token (ASN.1-Syntax) abgelegt, der mit Hilfe verschiedener Transportmechanismen (X.509-Zertifikate, X.509-Attribut-Zertifikate, Software-Token) auf eine kryptographisch sichere Art zwischen den Systemen ausgetauscht wird. Die zentrale Verwaltung der Zugangsdaten erfolgt über ein LDAP-System, das den Zugriff (PUSH- / PULL-Mechanismus) auf die Identitätsinformation des Kommunikationspartners ermöglicht. Zudem werden vordefinierte Standard-Rollen eingeführt (siehe folgende Tabelle) und die Zugriffsrechte im Kontext von IEC 61850 (z.B. Auflistung aller Objekte in einem "Logischen Gerät") definiert.
    vordefinierte Rollenprofile
    Tabelle: vordefinierte Rollenprofile
  • IEC 62351-9
    "Cyber Security", das Schlüssel-Management für Stromversorgungsanlagen, behandelt den korrekten und sicheren Umgang mit sicherheitskritischen Parametern, z.B. Passwörter, Verschlüsselungsschlüssel und den gesamten Lebenszyklus von kryptografischer Information (Anmeldung, Erstellung, Verbreitung, Installation, Verwendung, Lagerung sowie der Entfernung). Für asymmetrische Verschlüsselungsverfahren wird der Umgang mit digitalen Zertifikaten (öffentlicher / privater Schlüssel), die notwendige Infrastruktur (PKI, X.509-Zertifikate) sowie Mechanismen bezüglich verschiedener Management-Aspekte, z.B. Zertifikatsanforderung (SCEP, CMP), Zertifikatssperrung (CRL, OCSP) definiert. Bei Verwendung von symmetrischen Schlüsseln (z.B. Sitzungsschlüssel) wird ein Mechanismus zur sicheren Verteilung basierend auf GDOI [RFC6407] und IKEv2 [RFC7427] vorgestellt.
  • IEC 62351-10
    Die Norm erläutert Sicherheits-Architekturen für die gesamte IT-Infrastruktur, mit zusätzlichem Fokus auf spezielle Sicherheitsanforderungen aus dem Umfeld der Stromerzeugung. Es werden kritische Stellen in der Kommunikationsarchitektur (z.B. Leitstelle zum Umspannwerk, Umspannwerk-Automatisierung) identifiziert und geeignete Sicherheitsmechanismen (z.B. Datenverschlüsselung, Benutzerauthentifizierung) vorgeschlagen. Die Anwendung des Mechanismus' aus IEC 62351 und bewährte Standards aus dem IT-Bereich (z.B. VPN Tunnel, Secure FTP, HTTPS) werden kombinierte, um den Sicherheitsanforderungen gerecht zu werden.
  • IEC 62351-11
    Sicherheit für XML-Dateien durch Einbettung des originalen XML-Inhalts in einen XML-Container, der wahlweise Verschlüsselung, X.509-Signatur für die Authentizität der XML-Daten, Erstellungszeitpunkt und Zugriffskontrolle für XML-Daten ermöglicht.

Die Zuordnung der verschiedenen Einzelnormen aus IEC 62351 auf standardisierte Protokolle im Bereich der Energiewirtschaft wird in folgender Grafik dargestellt:

Relevanz der IEC 62351 Einzelnormen für die Protokolle der Arbeitsgruppe IEC TC 57
Abbildung: Relevanz der IEC 62351 Einzelnormen für die Protokolle der Arbeitsgruppe IEC TC 57

ISO/OSI Modell

7 Anwenderschicht IEC62351-11
IEC62351-9 (X.509 certificates)
6 Darstellungsschicht N/A
5 Sitzungsschicht IEC62351-5
IEC62351-6 (signatures)
IEC62351-8 (LDAP accesses)
IEC62351-9 (SCEP)
4 Transportschicht IEC62351-3 (TLS)
IEC62351-4 (TLS and MSS authentication)
3 Vermittlungsschicht N/A
2 Sicherungsschicht IEC62351-6 (VLAN)
1 Bitübertragungsschicht N/A

Implementierte Protokollstacks

DNP V3.00, MasterDNP V3.00, Slave
IEC 60870-5-104, MasterIEC 60870-5-104, Slave
IEC 61850, ClientIEC 61850, Server

Geeignete Produkte

ipConvipConvUniverseller Protokollkonverter für höchste Ansprüche an Flexiblität
Details...
product/ipConv/de/ipConv_de.pdf

Referenzen

Projekt CFEProjekt CFE
Details...
MexikoipConv Conitel-2020, Slave / DNP V3.00, Slave / DNP V3.00, Master / Harris-5000/6000, Slave / Recon, Slave / Indactic 33/41, 2033, Slave / Fuji, Slave / XMAT, Master /
ELIAELIA
Details...
BelgienipConv Modbus TCP/IP, Master / IEC 60870-5-104, Slave / Telegyr 065, Master / Telegyr 102, Master / Telegyr 809, Master / Tracec 32, 62, 92, 92P, 122, 130 & 142 Master /
Storebælt, DänemarkStorebælt, Dänemark
Details...
DaenemarkipConv IEC 60870-5-104, Master / IEC 60870-5-104, Slave / Simatic TDC, Master / Modbus TCP/IP, Master /
SEC SVC, Saudi ArabienSEC SVC, Saudi Arabien
Details...
Saudi ArabienipConv IEC 60870-5-101, Slave / IEC 60870-5-104, Slave / IEC 61850, Client / Simatic TDC, Master /
HGÜ NeuseelandHGÜ Neuseeland
Details...
NeuseelandipConv ipConvLite DNP V3.00, Slave / DNP V3.00, Master / TASE.2, Server / TASE.2, Client / Modbus, Master / Simatic TDC, Master /
BLS Lötschbergtunnel II, SchweizBLS Lötschbergtunnel II, Schweiz
Details...
SchweizipConv ipRoute IEC 60870-5-104, Master / IEC 60870-5-104, Slave / SNMP, Client /
BLS AlpTransit - LötschbergtunnelBLS AlpTransit - Lötschbergtunnel
Details...
SchweizipConv ipRoute OPC DA 3.0, Server / IEC 60870-5-104, Slave / IEC 60870-5-101, Master / IEC 60870-5-104, Master / SNMP, Client /
BASSLINK HVDC Victoria / TasmanienBASSLINK HVDC Victoria / Tasmanien
Details...
AustralienipConv DNP V3.00, Slave / Simatic TDC, Master /
© 2004-2017 IPCOMM GmbH