IEC 62351 – IEC 61850のセキュリティ

IEC 62351は、IEC 60870-5シリーズ、IEC 60870-6シリーズ、IEC 61850シリーズ、IEC 61970シリーズ、IEC 61968シリーズなど、一連のプロトコルに追加のセキュリティを提供するために開発された規格です。

デジタル署名によるデータ転送の認証、認証されたアクセスのみの確保、盗聴の防止、再生やスプーフィングの防止、侵入検知など、さまざまなセキュリティの目的があります。

Xelas Energyは、MMSのセキュリティに62351-4を、GOOSE/SVのセキュリティに62351-6を提供します。

IEC 62351-4：MMSを含むあらゆるプロファイルのセキュリティ（ICCPベースのIEC 60870-6、IEC 61850）には、以下のセクションが含まれています。

・MMSの認証。

・TLS（RFC 2246）は、RFC 1006とRFC 793間に挿入され、トランスポート層のセキュリティを提供します。

・TLSはTransport Layer Securityの略で、暗号化アルゴリズムを定義しています。

・RFC1006は、TCP/IPの上にOSIを定義した規格です。RFC1006はTCP/IP上のOSI規格で、RFC1006スタックはXelas Energyで開発・保守を提供します。

・RFC 793 は、TCP/IP を定義する規格です。

IEC 62351-6 : GOOSE/SVセキュリティ

このセキュリティモジュールは、通常のGOOSE/SVプロトコルと、R-GOOSE/R-SVプロトコルの両方に対応します。

Xelas Energy 製品群との連携

IEC-62351-4およびIEC-62351-6セキュリティは、オプションのプラグインとして、IEC 61850クライアント開発製品および組込みサーバー/クライアント開発製品と連携します。

この図では、左が「クライアント」、右が「サーバー」側を説明しています。

クライアントは、IEC 61850/61400 MMSベースのアダプタ、データベース、Web GUI、データベース上のサービスで構成されています。これは、RFC1006スタックの上で動作します。

IEC 61850サーバーもRFC 1006スタックの上で動作し、SCL/ICDファイル（ブートアップ時に使用されるコンフィギュレーションファイル）で構成されています。

IEC 62351 アダプタプラグインは、上の図のように、クライアントとサーバーの両方で利用できます。

また以下の機能を提供します。

・MMS認証： ACSE層（OSI層の1つ）でのアソシエーション確立時に実行されます。クライアントは認証文字列を渡し、それをサーバーが検証します。サーバーは、SCL/ICDファイルで認証を定義することができます。

・TLS暗号化：　クライアント側では、データベース/GUIにおいて、IEC 62351またはRFC 1006をプロファイルとして設定できます。プロセス管理の中で、IEC 62351 クライアントアダプタを開始、停止することができます。

サーバー側(またはサーバシミュレータ)では、IEC 62351 サーバアダプタ(または VxWorks のような組み込みプラットフォーム上のタスク)を同様に構成できます。これらのアダプタは、TLS 暗号化を容易にします。

このソリューションには下位互換性があります。サーバーが IEC 62351 をサポートしていない場合は、クライアント側で RFC1006 をプロファイルとして設定できます。これは、TCP/IPプロトコルの上に通常のOSIを定義します。

62351-6セキュリティモジュールには、次のような特徴があります。

・認証セキュリティ

・HMACアルゴリズムSHA-256（256、128、80ビット

・暗号化

・AES-128またはAES-256

・GOOSEまたはSVコントロールブロックのIEC 61850データセットごとに設定可能

・IEC 61850および61850-5（ルーティングされたGOOSEおよびSV）で使用可能

本ソリューションには後方互換性があります。サーバーがIEC 62351をサポートしていない場合、クライアント側ではRFC1006をプロファイルとして設定することができます。これは、TCP/IPプロトコルの上に通常のOSIを定義するものです。

Java設定ツール

両方のセキュリティ実装には、JAVAベースのGUI設定ツールが使用されています。この設定ツールは、X.509証明書のインポートとディストリビュトを行います。