1 Programa de Engenharia Elétrica - PEE/COPPE/UFRJ Universidade Federal do Rio de Janeiro A...
Transcript of 1 Programa de Engenharia Elétrica - PEE/COPPE/UFRJ Universidade Federal do Rio de Janeiro A...
1
Programa de Engenharia Elétrica - PEE/COPPE/UFRJ
Universidade Federal do Rio de Janeiro
A Security Framework for Smart A Security Framework for Smart GridsGrids
Martin AndreoniMartin Andreoni
Artigo para CPE728 Autonomia e Segurança em Redes
2
IntroduçãoIntrodução
• Comunicação na rede elétrica->Medidores Inteligentes
• Herdar os problemas de segurança das Redes
– Problema de segurança• Literatura: Esquema completo de segurança• Virtual e física
3
EscenarioEscenario
*1ra etapa->Segurança Física
*2da etapa->Segurança de SCADA
*3ra etapa->Segurança Camadas Inferiores
4
Ataques Ataques
Vulnerability attack
Sistema- Feedback
Pode ser detectado
Data Injection Attack
Afeta as medições
Detecção mais difícil
Intentional Attack
Todas as camadas da Rede
Detecção depende do ataque
Tem que ser a proposta
5
Proposta Proposta
Sistema
Autenticação feita pelo Kerberos
DHCP IPV6
6
Por que não PKI Por que não PKI
• CA (certification Authority)->CRL?• Validation time?• Devices->small procesing
• OCSP->Online certificate status protocol-> "Ok", "Bad", or "Unknown"-> Devices logged all the time
7
KerberosKerberos
Protocolo de autenticação AS = Authentication ServerTGS = Ticket Granting ServerSS = Service Server
• Mensagem A: Session key Cliente com AS• Mensagem B: Ticket-Granting AS com Cliente (Autoriza
TGS)• Mensagem C: Ticket-Granting to TGS Cliente com TGS• Mensagem D: ID cliente-Timestamp Cliente com TGS• Mensagem E: Client-to-server ticket TGS com Cliente• Mensagem F:Concessão TGS com Cliente• Mensagem E*: Ticket de Msg E Cliente com SS• Mensagem G: ID cliente+timestamp Cliente com SS• Mensagem H:Concessão de Serviço SS com Cliente
8
KerberosKerberos
9
Kerberos Kerberos
10
KerberosKerberos
11
KerberosKerberos
12
KerberosKerberos
13
KerberosKerberos
14
DHCPDHCP
15
Smart Card Smart Card
•No caso de sistema quede fora de linha
•No caso de abertura (concerto)-> Smart Meters
•Autenticaçaõ-> end device to end device
16
Pontos FracosPontos Fracos
•Localização dos servidores do kerberos->?
•Múltiplos servidores->mais seguro?
•Sincronização->?
•Autenticação vai ser centralizada ou distribuída ?
•Vai ser adotado o Ethernet?-> em todas as camadas?
•Velocidades da Rede da pra fazer DHCP com IPV6?
•Existe algum método melhor que Smart Card para offline?
17
Future WorkFuture Work
•Comparar kerberos com outros sistema de autenticação(RADIUS, SKPD)
•Comparar com PKI clasica
•Test-bed do IPV6 com DHCP
•Simular ataques