INTERNATIONAL ELECTROTECHNICAL COMMISSION IEC 62351: implementazione nei sistemi di telecontrollo basati su protocollo IEC 60870-5-104 Trento, 27 novembre 2015 Federico Bellio TC57 - WG15
Indice della presentazione Introduzione: Il Working Group 15 (WG15) del IEC TC57 IEC62351 - la struttura della norma IEC TC57 WG15 Architecture of Information Standard Il sistema di Telecontrollo Struttura duale SCADA-NSM secondo IEC62351-7 Relazione tra SCADA-RTU in connessione sicura e PKI L infrastruttura di chiave pubblica PKI Nuovi processi sono richiesti per gestire chiavi/certificati Implementazione SCADA Driver IEC 60870-5-104 con stack 62351 Il monitoraggio del traffico dati Il problema che si crea per l inserimento della cifratura Una possibile soluzione con traffico cifrato 11/27/2015 IEC TC57 WG15 November 2014 Status 2
Mission and Scope of WG15 on Cybersecurity TC57: Power systems management and associated information exchange WG15: Data and communication security Undertake the development of standards for security of the communication protocols defined by the IEC TC 57 Specifically the IEC 60870-5 series, the IEC 60870-6 series, the IEC 61850 series, the IEC 61970 series, and the IEC 61968 series. Review and advise on cyber security of TC57 standards Undertake the development of standards and/or technical reports on end-to-end security issues. 11/27/2015 IEC TC57 WG15 November 2014 Status 3
Mission and Scope of WG15 on Cybersecurity Undertake the development of standards for security of the communication protocols defined by the IEC TC 57 Specifically the IEC 60870-5 series, the IEC 60870-6 series, the IEC 61850 series, the IEC 61970 series, and the IEC 61968 series. Review and advise on cyber security of TC57 standards Undertake the development of standards and/or technical reports on end-to-end security issues. 11/27/2015 IEC TC57 WG15 November 2014 Status 4
83 members WG15 Members Participants from 19 countries Argentina Canada China Croatia Denmark Finland France Germany Great Britain India Italy Japan Korea Russia South Africa Spain Sweden Switzerland USA 11/27/2015 IEC TC57 WG15 November 2014 Status 5
Introduzione IEC62351 la struttura della norma IEC TC57 Communication Standards IEC 62351 Security Standards IEC 62351-1: Introduction IEC 60870-6 TASE.2 (ICCP) IEC 60870-5-104 & DNP3 IEC 62351-3: Profiles including TCP/IP IEC 62351-2: Glossary IEC 60870-5-101 & Serial DNP3 IEC 61850 GOOSE and SV IEC 61850 over MMS IEC 61850-8-2 MMS over XMPP IEC 62351-4: Profiles including MMS IEC 62351-5: IEC 60870-5 and Derivates IEC 62351-6: IEC 61850 Profiles IEC 62351-11: 11: Security for XML Files IEC 62351-7: Objects for Network Management IEC 62351-8: Role based Access Control (RBAC) IEC 62351-9: Key Management IEC 61970 & IEC 61968 CIM IEC 62351-10: Security architecture guidelines for TC 57 systems IEC 62351-12: : Resilience and Security Recommendations for Power Systems with DER IEC 62351-13: What Security Topics Should Be Covered in Standards and Specifications
IEC 61850-7-410 IEC 60870-5-102 IEEE 1815 (DNP3) 60870-5-101/104 SS-CC IEC 61850 IEC 61850-7-420 IEC 62325 IEC 61968 IEC TC57 WG15 Architecture of Information Standards
Il Sistema di Telecontrollo Struttura duale SCADA-NSM secondo IEC62351-7 N Centri di Controllo ridondati Un Centro di Network and System Management ridondato M Impianti di Generazione
Il Sistema di Telecontrollo Relazione tra SCADA-RTU in connessione sicura e PKI N Centri di Controllo ridondati Cert CRL CA RA SCEP server RDPs OCSP responder repository Una PKI ridondata 104s Un Centro di Network and System Management PKI ridondato Admin 104s M Impianti di Generazione 104s SCEP Client OCSP Client
Il Sistema di Telecontrollo L infrastruttura di chiave pubblica PKI (Public Key Infrastructure) Schemi logico-funzionali di una CA (modello in RFC 5280 -X.509)
Il sistema di telecontrollo L infrastruttura di chiave pubblica PKI (uso delle chiavi crittografiche) 1 b 2 5 a 6 7 8 9 c e f 3 4 d g
Il Sistema di Telecontrollo Nuovi processi sono richiesti per gestire chiavi/certificati INSERIMENTO NUOVO DISPOSITIVO Emissione certificato Enrollment nella CA SCADENZA -RINNOVO CERTIFICATO DECADENZA -REVOCA CERTIFICATO Verifica certificato Inutilizzabilità del certificato Verifica certificato Rinnovo certificato
Il Sistema di Telecontrollo Nuovi processi sono richiesti per gestire chiavi/certificati CA ARRUOLAMENTO NUOVO DISPOSITIVO Cert CRL repository Generatore Coppia chiavi RA Authorize SCEP server OCSP responder OCSP OCSP responder responder PRI PUB Request Enrollment PKCS#12 PKI Admin Device
Il sistema di telecontrollo Nuovi processi sono richiesti per gestire chiavi/certificati Revoca Verifica CA Validità del Certificato Cert CRL repository RA Revoke SCEP server OCSP responder OCSP OCSP responder responder Verify PKI Admin Device Alice e Bob possono essere rispettivamente il server SCADA e una RTU La verifica è mutua e i ruoli si scambiano
Il sistema di telecontrollo Nuovi processi sono richiesti per gestire chiavi/certificati Generation Destruction Registration Deregistration Archiving Revocation Update Derivation Certification Distribution Installation Storage
Implementazione SCADA Driver IEC 60870-5-104 con stack 62351 IEC104 Connections Architecture Server Communication Architecture Active Standby Tags DB Primary Server Redundant Server Scanner P R P R Driver IEC104S Tags ASDU Preparation/ Elaboration ASDUs To Other Drivers Primary Field Device Redundant Field Device Connection Manager P = Primary Connection R = Redundant Connection Only one connection by time has DT Active (IEC 60870-5-104, Par. 10) Connection 1 IEC104S Protocol Stack Connection N
Implementazione SCADA Driver IEC 60870-5-104 con stack 62351 Driver IEC104S Connection Architecture (Transmission Example) ASDU Connection Manager To other connections Secure Connection? N ASDU Queue Y Secure Layer (IEC 62351-5) Prepare Secure ASDU ASDU / SASDU Queue Transport Layer Prepare Transport APDU (IEC 60870-5-104) Secure Connection? N APDU Queue TLS 1.2 Layer (IEC 62351-3) Y Prepare TLS Frame APDU / TLS PDU Queue TCP/IP Interface Prepare TCP Frame
Implementazione SCADA Driver IEC 60870-5-104 con stack 62351 ABB CSA (Common Security Architecture) library Certificates manag. functions IEC 62351-5 functions : PKI Certificate Enrollment Certificate Renewal Certificate Revocation User Management Session Key Exchange User Authentication Secure Layer (IEC 62351-5) SCEP / OCSP Messages Authentication Common functions : Certificates Storage Access Transport Layer Certificates Storage RSA-AES Algorithms SHA Algorithms (IEC 60870-5-104) TLS 1.2 functions: Connection Management built on RFC 5246/6176. TLS 1.2 Layer (IEC 62351-3) Implementation in progress TCP/IP Interface
Il monitoraggio del traffico dati Il problema che si crea per l inserimento della cifratura Application protocol (e.g. IEC 60870-5-104) Alice Bob Alice s ID Certificate Encrypted Communication Bob s ID Certificate session Key Network Traffic Mirror (L2-L7) session Key L5-L7 lost Network Probe- Deep Packet Inspection - L7 analysis Protocol certification inspection Issuing Owner/Unit Reclassified as by.the information contained in this document is the property of Enel SpA and must be used by the recipient only for the purposes for which it was received. It may not be copied or disclosed in any way without the explicit permission of Enel SpA.
Il monitoraggio del traffico dati Una possibile soluzione con traffico cifrato Application protocol (e.g. IEC 60870-5-104) Alice Bob Alice s ID Certificate session Key Encrypted communication 1. Authentication 1.1 Role check Bob s ID Cerificate session Key L5-L7 accessible again 2. Get the Session Key Trusted channel for Session Key sharing TLS session Key Probe ID Certificate Network Probe- Deep Packet Inspection - L7 analysis Protocol certification inspection Issuing Owner/Unit Reclassified as by.the information contained in this document is the property of Enel SpA and must be used by the recipient only for the purposes for which it was received. It may not be copied or disclosed in any way without the explicit permission of Enel SpA.
Conclusioni L esperienza del nostro progetto ci dice che la norma IEC 62351 è sufficientemente matura per essere compitamente implementata sui sistemi in esercizio basati su IEC 60870-5-104. L impatto dell inserimento dello stack di sicurezza non è diverso da quello provocato da una comune significativa release di prodotto. Per giungere a una significativa diffusione di Sistemi di Telecontrollo messi in sicurezza mediante implementazione di IEC 62351 è necessario che parallelamente: 1. Utility e Fornitori facciano la loro parte nel tavolo IEC per far convergere la norma IEC 62351 ad un completo IS e sappiano trovare le opportunità per applicarla 2. Gli enti regolatori prevedano un progressivo ma obbligatorio percorso per la messa in sicurezza dello scambio dati fra gli operatori del mercato elettrico
INTERNATIONAL ELECTROTECHNICAL COMMISSION Grazie per l attenzione