Integrierte Lösungen für das Intelligente Netz Anwendung der IEC 62351 zur sicheren Kommunikation zwischen Leit- und Fernwirktechnik Frankfurt, 03.02.2016 © Dr. IDS GmbH – 03.02.2016 Michael Conrad, IDS GmbH Seite 1 Anwendung IEC 62351 Vorstellung Anwendungsrichtlinie • Titel: „Anwendung der Normenreihe IEC 62351 zur sicheren Kommunikation zwischen Leit- und Fernwirktechnik“ Herausgeber DKE AK 952.0.15 • Informationssicherheit in der Netz- und Stationsleittechnik • Weitere Anwendungsrichtlinien geplant Bild: VDE/DKE © IDS GmbH – 03.02.2016 Seite 2 Anwendung IEC 62351 Anwendungsszenario Szenario: Klassische Leit- und Fernwirktechnik • Leittechnische Einbindung von verteilter Fernwirktechnik Leitstelle Netzwerk • Getrennte Netze • Privates Weitverkehrsnetz • Bandbreite ≤ 2MBit/s • Statische IP-Konfiguration Seite 3 Fernwirknetz IEC 60870-5-104 oder IEC 61850-8-1 IEC 60870-5-104, IEC 61850-8-1 © IDS GmbH – 03.02.2016 Leitstellennetz Firewall RTU Protokolle • Leitstelle RTU RTU RTU Anwendung IEC 62351 Problemstellung Protokolle IEC 60870/IEC 61850 • Keine eigenen Sicherheitsmechanismen Fehlende Authentizität • Keine Mechanismen zur Prüfung des Kommunikationspartners Fehlende Integrität • Keine Mechanismen zum Erkennen von Manipulationen Fehlende Vertraulichkeit • Keine Mechanismen gegen unbefugtes Mitlesen © IDS GmbH – 03.02.2016 Seite 4 Anwendung IEC 62351 Sicherung IEC 60870 Protokoll IEC 60870-5-104 Client • IEC 62351-3/-5 • Anwendung von SSL/TLS für IEC 60870-5-104 • Sicherheitsfunktionen Authentizität, Integrität, Vertraulichkeit Protokoll IEC 60870-5-101 • IEC 62351-5 • Integration in ASDU-Protokoll für IEC 60870-5-101/-104 • Sicherheitsfunktionen Authentizität, Integrität, keine Vertraulichkeit © IDS GmbH – 03.02.2016 Seite 5 RTU IEC 60870-5-104 IEC 62351-3/TLS Anwendung IEC 62351 Sicherung IEC 61850 T-Profil (Transport) Client • IEC 62351-4 • Anwendung von SSL/TLS für TCP-Transport • Sicherheitsfunktionen Authentizität, Integrität, Vertraulichkeit A-Profil (Anwendung) • IEC 62351-4 • Integration in MMS-Protokoll • Sicherheitsfunktionen Authentizität, Integrität, keine Vertraulichkeit © IDS GmbH – 03.02.2016 Seite 6 RTU IEC 61850-8-1 IEC 62351-4/TLS Anwendung IEC 62351 Zertifikate Einsatz von X.509 ID-Zertifikaten notwendig • Verifikation der Kommunikationspartner • Sicherung des Schlüsselaustausches IEC 62351-9 • Management Schlüssel- und Zertifikatsmaterial • Verteilung Schlüssel-/Zertifikatsmaterial • Aktualisierung Schlüssel-/Zertifikatsmaterial X.509 Zertifikatsattribute • Extended Key Usage: TLS Client/Server Authentication © IDS GmbH – 03.02.2016 Seite 7 Bild: PAuswV Anwendung IEC 62351 Übersicht IEC 60870-5-101 IEC 62351-3 IEC 61850-8-1 IEC 62351-4 IEC 60870-5-104 IEC 62351-5 IEC 62351-9 IEC 62351-4/-5 • Spezialisierung IEC 62351-3 für IEC 60870-5-104 und IEC 61850 IEC 62351-9 • Richtlinien Zertifikatsmanagement © IDS GmbH – 03.02.2016 Seite 8 Anwendung IEC 62351 Offene Punkte Problem: Wartung/Diagnose • Fokus auf Ende-zu-Ende-Sicherheit der Prozesskommunikation (IEC 60870-5, IEC 61850, DNP3) • Kein Schutz von herstellerspezifischen/proprietären Protokollen Alternative 1: SSL/TLS • Anwendung IEC 62351-3 auf TCP/IP-basierte Protokolle Alternative 2: IPsec/OpenVPN • Einheitlicher Schutz aller eingesetzter Protokolle • Anwendbar für alle Kommunikationsschnittstellen (Ethernet, UMTS/LTE, WLAN) © IDS GmbH – 03.02.2016 Seite 9 Anwendung IEC 62351 Zusammenfassung IEC 62351 für sichere Prozesskommunikation • IEC 60807-5-104: Sichere Kommunikation mittels IEC 62351-3 • IEC 61850-8-1: Sichere Kommunikation mittels IEC 62351-4 Identifizierung basiert auf X.509-Zertifikaten • IEC 62351-9: Richtlinien für Schlüssel- und Zertifikatsmaterial Offene Punkte • Keine Mechanismen für Wartungs- und Diagnoseschnittstellen • Anwendung anderer Verfahren notwendig © IDS GmbH – 03.02.2016 Seite 10 Anwendung IEC 62351 Vielen Dank für Ihre Aufmerksamkeit ! Kontakt: Dr. Michael Conrad IDS GmbH Nobelstraße 18 D-76275 Ettlingen michael.conrad[at]ids.de © IDS GmbH – 03.02.2016 Seite 11
© Copyright 2024 ExpyDoc
