文章总结： IEC62351-9聚焦电力系统密钥全生命周期管理，规定用PKI/KMIP统一生成、分发、撤销X.509证书与对称组播密钥，强调HSM保护私钥、CRL/OCSP实时吊销、2023版新增安全日志并预留后量子迁移框架，确保设备互操作与信任根安全。 综合评分： 82 文章分类： 技术标准,安全建设,解决方案,网络安全,数据安全

【大话工控安全】工业控制系统行业知识：电力行业通信安全标准IEC62351（GB/T 25320）-PART9

原创

老付话安全

老付话安全

2025年12月29日 20:35 山东

点击蓝字

关注我们

始于理论，源于实践，终于实战

老付话安全，每天一点点

激情永无限，进步看得见

关注我，带给你不一样的精彩

世界因你的沉淀而出彩

严正声明

本号所写文章方法和工具只用于学习和交流，严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验证实施，发生一切问题由相关个人承担法律责任，其与本号无关。

特此声明！！！

本文字数：

2594字

阅读时间：

7分钟

IEC 62351 第九部分（IEC 62351-9:2023）是关于电力系统设备网络安全密钥管理的标准。该标准旨在规定如何安全地生成、分发、撤销和管理用于保护电力系统通信的加密密钥和数字证书。

主要内容与目标

该标准为电力系统的网络安全基础设施奠定了基础，重点关注关键安全参数（如密码和加密密钥）的整个生命周期管理。

• 非对称密钥管理：核心内容是管理公钥基础设施（PKI），包括私钥和X.509证书。它规定了证书颁发（使用 SCEP/EST 协议）、证书验证和撤销（使用 CRL/OCSP 协议）的具体要求。

• 对称密钥管理：标准还涉及对称会话密钥的管理，特别是针对 IEC 62351-6 中应用的组播通信（如 GOOSE 和 SV 报文）。它利用组解释域协议（GDOI）来安全地分发组密钥和安全策略。

• 互操作性：主要目标之一是通过限制可用的密钥管理选项，确保不同供应商设备之间的互操作性。

• 安全事件日志：第二版标准（2023年版）增加了网络安全事件日志记录的要求，并将其映射到 IEC 62351-14。

• 未来考虑：该标准还前瞻性地考虑了未来量子计算可能带来的挑战，并计划在未来版本中纳入后量子密码学（Post-Quantum Cryptography）的相关措施。

IEC 62351 第九部分是电力系统里所有“钥匙”（密钥和数字证书）怎么造、怎么发、怎么用、怎么换、怎么废、怎么销毁的全套规矩。如果钥匙管理不好，前面所有安全门（Part 6, 7, 8）都是空谈！

电网里所有的安全措施：

• 身份认证 (Part 6)： 设备亮“工作证”（证书）或对“暗号”（密钥）才能通信。

• 访问控制 (Part 8)： 有哪扇门的“钥匙”（权限）才能操作。

• 审计日志 (Part 7)： “监控录像”记下谁用了钥匙干了啥。

第九部分要解决的核心风险是：

• 密钥被偷： 黑客偷走了设备的私钥或预共享密钥，就能完美冒充这个设备发假指令、看敏感数据。
• 密钥被乱配： 管理员不小心把“金库钥匙”（最高权限证书）发给了不该给的人或设备。
• 证书过期不换： 证书过期了还在用，或者密钥用了好多年都不换，大大增加被破解的风险。
• 废密钥没收回： 设备报废了，或者员工离职了，但他们的“钥匙”没及时作废，坏人捡到就能用。
• 密钥造得不行： 自己随便弄个弱密码当密钥，或者用不安全的工具造证书，一捅就破。
• 密钥总管是内鬼： 管理密钥的人权力太大又没监督，自己就能为所欲为。

具体解决方案：

1、设立PKI和KMIP基础设施：

• PKI (公钥基础设施)： 这是管理数字证书（电子身份证）的整套系统。它包含：

• CA (证书颁发机构)： 唯一有权“签发”设备电子身份证的“权威机构”。就像公安局管发身份证。必须绝对可信和安全！

• RA (注册机构)： 负责“审核”设备身份信息，确认它确实有资格申请证书，然后提交给CA签发。就像派出所负责户籍初审。

• 证书库： 安全存放所有已签发证书的地方。

• CRL/OCSP： 公布“挂失作废”证书的黑名单（CRL）或提供在线查询证书是否有效的服务（OCSP）。就像身份证挂失系统。

• KMIP (密钥管理互操作协议)： 一个标准化的协议，让不同的系统和设备能用统一、安全的方式去请求、获取、存储和管理密钥（特别是对称密钥和私钥）。就像规定了一套统一的“钥匙领用、归还、保管”流程。

2、密钥全生命周期管理：

• 生成/制造：

• 必须用可靠、安全的方法和工具（通常使用经过认证的硬件安全模块 – HSM）来生成密钥和证书。不能自己随便在电脑上敲命令生成！

• 密钥要有足够的强度和随机性（长度够长，真随机），防止被猜中或暴力破解。

• 分发/配送：

• 把密钥和证书安全地送到设备手里。这个过程本身必须加密保护，防止路上被截获。

• 预共享密钥： 怎么安全地让两个设备都知道同一个秘密？需要非常安全的初始分发机制（比如物理介质专人配送、安全通道）。

• 存储/保管：

• 设备上的私钥和预共享密钥必须安全存储！理想情况下用硬件安全模块 (HSM/TEE) 保护，防止被黑客从软件里读出来。软件存储是高风险！

• CA的根密钥更是重中之重，必须用最高等级的HSM保护，物理隔离。

• 使用：

• 密钥只能在授权的场景下，由授权的设备或人员使用。

• 私钥绝对禁止导出、复制（理想情况下，HSM能确保私钥永远不出模块）。

• 轮换/更新：

• 证书会过期！ 必须定期换发新证（续期）。

• 密钥也要定期更换（轮换），即使没被偷，用久了风险也增加。就像定期换门锁。

• 撤销/挂失：

• 一旦发现钥匙可能丢了（设备失窃/入侵）、人走了（设备退役/员工离职）、不靠谱（怀疑私钥泄露），必须立刻、马上把对应的证书撤销，并加入黑名单（CRL/OCSP）！

• 销毁/报废：

• 彻底废弃不用的密钥，必须用安全的方式彻底删除，确保无法恢复（比如HSM的安全擦除）。物理介质要物理销毁。

3、“钥匙管理员”也要被盯着（职责分离与审计）：

• 不能一个人管所有事！ 管CA签发证书的、管审核的、管日常操作的，最好分不同人干（职责分离），互相监督。

• 所有动钥匙的操作必须记录！ 谁在什么时候生成了什么密钥/证书、发给了谁、撤销了哪个、谁操作的… 这些日志要详细记录、安全存储、定期审计（和Part 7结合）。防止内鬼乱搞。

重点保护对象：

• 数字证书： 尤其是CA的根证书、中间CA证书、设备证书。

• 私钥： 设备用来证明自己身份的私钥，CA用来签发证书的根私钥。

• 预共享密钥： 设备之间用于认证和加密的共享秘密。

• 对称密钥： 用于加密通信数据的密钥。

要点总结：

核心问题： 防密钥泄露、防证书滥用、确保“信任根”绝对安全。

核心手段： 建立专业的钥匙管理体系 (PKI/KMIP) + 管好钥匙从生到死的每一个环节 + 管钥匙的人也要被监督和记录。

生命线： 安全的密钥生成 (用HSM) + 安全的密钥存储 (用HSM) + 及时的撤销！

关键原则：

信任根 (CA) 必须固若金汤！

私钥绝对不能泄露！

证书/密钥该换就换，该废就废！

操作必有痕，出事可追查！

目的：

保证电网安全所依赖的那些“数字钥匙”本身是真货、保管严、使用当、换得勤、废得掉、查得到。没有安全的密钥管理，身份认证(Part 6)就是纸糊的墙。

end

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：老付话安全 老付话安全《【大话工控安全】工业控制系统行业知识：电力行业通信安全标准IEC62351（GB/T 25320）-PART9》