1

Programa de Engenharia Elétrica - PEE/COPPE/UFRJ

Universidade Federal do Rio de Janeiro

A Security Framework for Smart A Security Framework for Smart GridsGrids

Martin AndreoniMartin Andreoni

Artigo para CPE728 Autonomia e Segurança em Redes

2

IntroduçãoIntrodução

• Comunicação na rede elétrica->Medidores Inteligentes

• Herdar os problemas de segurança das Redes

– Problema de segurança• Literatura: Esquema completo de segurança• Virtual e física

3

EscenarioEscenario

*1ra etapa->Segurança Física

*2da etapa->Segurança de SCADA

*3ra etapa->Segurança Camadas Inferiores

4

Ataques Ataques

Vulnerability attack

Sistema- Feedback

Pode ser detectado

Data Injection Attack

Afeta as medições

Detecção mais difícil

Intentional Attack

Todas as camadas da Rede

Detecção depende do ataque

Tem que ser a proposta

5

Proposta Proposta

Sistema

Autenticação feita pelo Kerberos

DHCP IPV6

6

Por que não PKI Por que não PKI

• CA (certification Authority)->CRL?• Validation time?• Devices->small procesing

• OCSP->Online certificate status protocol-> "Ok", "Bad", or "Unknown"-> Devices logged all the time

7

KerberosKerberos

Protocolo de autenticação AS = Authentication ServerTGS = Ticket Granting ServerSS = Service Server

• Mensagem A: Session key Cliente com AS• Mensagem B: Ticket-Granting AS com Cliente (Autoriza

TGS)• Mensagem C: Ticket-Granting to TGS Cliente com TGS• Mensagem D: ID cliente-Timestamp Cliente com TGS• Mensagem E: Client-to-server ticket TGS com Cliente• Mensagem F:Concessão TGS com Cliente• Mensagem E*: Ticket de Msg E Cliente com SS• Mensagem G: ID cliente+timestamp Cliente com SS• Mensagem H:Concessão de Serviço SS com Cliente

8

KerberosKerberos

9

Kerberos Kerberos

10

KerberosKerberos

11

KerberosKerberos

12

KerberosKerberos

13

KerberosKerberos

14

DHCPDHCP

15

Smart Card Smart Card

•No caso de sistema quede fora de linha

•No caso de abertura (concerto)-> Smart Meters

•Autenticaçaõ-> end device to end device

16

Pontos FracosPontos Fracos

•Localização dos servidores do kerberos->?

•Múltiplos servidores->mais seguro?

•Sincronização->?

•Autenticação vai ser centralizada ou distribuída ?

•Vai ser adotado o Ethernet?-> em todas as camadas?

•Velocidades da Rede da pra fazer DHCP com IPV6?

•Existe algum método melhor que Smart Card para offline?

17

Future WorkFuture Work

•Comparar kerberos com outros sistema de autenticação(RADIUS, SKPD)

•Comparar com PKI clasica

•Test-bed do IPV6 com DHCP

•Simular ataques