A Security Framework for Smart Grids Martin Andreoni Artigo para CPE728 Autonomia e Segurança em Redes Programa de Engenharia Elétrica - PEE/COPPE/UFRJ Universidade Federal 1 do Rio de Janeiro Introdução • Comunicação na rede elétrica->Medidores Inteligentes • Herdar os problemas de segurança das Redes – Problema de segurança • Literatura: Esquema completo de segurança • Virtual e física 2 Escenario *1ra etapa->Segurança Física *2da etapa->Segurança de SCADA *3ra etapa->Segurança Camadas Inferiores 3 Ataques Vulnerability attack Data Injection Attack Intentional Attack Sistema- Feedback Afeta as medições Todas as camadas da Rede Pode ser detectado Detecção mais difícil Detecção depende do ataque Tem que ser a proposta 4 Proposta Autenticação feita pelo Kerberos Sistema DHCP IPV6 5 Por que não PKI • CA (certification Authority)->CRL? • Validation time? • Devices->small procesing • OCSP->Online certificate status protocol-> "Ok", "Bad", or "Unknown"-> Devices logged all the time 6 Kerberos Protocolo de autenticação • • • • • • • • • Mensagem Mensagem Mensagem Mensagem Mensagem Mensagem Mensagem Mensagem Mensagem A: Session key B: Ticket-Granting C: Ticket-Granting to TGS D: ID cliente-Timestamp E: Client-to-server ticket F:Concessão E*: Ticket de Msg E G: ID cliente+timestamp H:Concessão de Serviço 7 AS = Authentication Server TGS = Ticket Granting Server SS = Service Server Cliente com AS AS com Cliente (Autoriza TGS) Cliente com TGS Cliente com TGS TGS com Cliente TGS com Cliente Cliente com SS Cliente com SS SS com Cliente Kerberos 8 Kerberos 9 Kerberos 10 Kerberos 11 Kerberos 12 Kerberos 13 DHCP 14 Smart Card •No caso de sistema quede fora de linha •No caso de abertura (concerto)-> Smart Meters •Autenticaçaõ-> end device to end device 15 Pontos Fracos •Localização dos servidores do kerberos->? •Múltiplos servidores->mais seguro? •Sincronização->? •Autenticação vai ser centralizada ou distribuída ? •Vai ser adotado o Ethernet?-> em todas as camadas? •Velocidades da Rede da pra fazer DHCP com IPV6? •Existe algum método melhor que Smart Card para offline? 16 Future Work •Comparar kerberos com outros sistema de autenticação(RADIUS, SKPD) •Comparar com PKI clasica •Test-bed do IPV6 com DHCP •Simular ataques 17
Download
