IEC 62351 implementazione nei sistemi di telecontrollo per la Generazione Italia di Enel Federico Bellio, Enel Produzione Generazione Italia Gian Luigi Pugni, Enel Italia Information & Communication Technology Marco Biancardi ABB Power Systems Division Mauro Casalini, ABB Power Systems Division
Indice della presentazione Introduzione: Le puntate precedenti su IEC62351 IEC62351 - la struttura della norma IEC TC57 WG15 Architecture of Information Standard Il Sistema di Telecontrollo: Struttura duale SCADA-NSM secondo IEC62351-7 Relazione tra SCADA-RTU in connessione sicura e PKI L infrastruttura di chiave pubblica PKI Nuovi processi sono richiesti per gestire chiavi/certificati Implementazione SCADA: Driver IEC 60870-5-104 con stack 62351 Il monitoraggio del traffico dati: Il problema che si crea per l inserimento della cifratura Una possibile soluzione con traffico cifrato
Introduzione Le puntate precedenti su IEC62351
Introduzione IEC62351 la struttura della norma IEC TC57 Communication Standards IEC 62351 Security Standards IEC 62351-1: Introduction IEC 60870-6 TASE.2 (ICCP) IEC 60870-5-104 & DNP3 IEC 62351-3: Profiles including TCP/IP IEC 62351-2: Glossary IEC 60870-5-101 & Serial DNP3 IEC 61850 GOOSE and SV IEC 61850 over MMS IEC 61850-8-2 MMS over XMPP IEC 62351-4: Profiles including MMS IEC 62351-5: IEC 60870-5 and Derivates IEC 62351-6: IEC 61850 Profiles IEC 62351-11: 11: Security for XML Files IEC 62351-7: Objects for Network Management IEC 62351-8: Role based Access Control (RBAC) IEC 62351-9: Key Management IEC 61970 & IEC 61968 CIM IEC 62351-10: Security architecture guidelines for TC 57 systems IEC 62351-12: : Resilience and Security Recommendations for Power Systems with DER IEC 62351-13: What Security Topics Should Be Covered in Standards and Specifications
Introduzione IEC TC57 WG15 Architecture of Information Standard IEC 61850-7-410 IEC 60870-5-102 IEEE 1815 (DNP3) 60870-5-101/104 SS-CC IEC 61850 IEC 61850-7-420 IEC 62325 IEC 61968
Il Sistema di Telecontrollo Struttura duale SCADA-NSM secondo IEC62351-7 N Centri di Controllo ridondati Un Centro di Network and System Management ridondato M Impianti di Generazione
Il Sistema di Telecontrollo Relazione tra SCADA-RTU in connessione sicura e PKI N Centri di Controllo ridondati CA OCSP responder Cert CRL repository RA SCEP server RDPs Una PKI ridondata 104s Un Centro di Network and System Management ridondato PKI Admin 104s M Impianti di Generazione 104s SCEP Client OCSP Client
Il Sistema di Telecontrollo L infrastruttura di chiave pubblica PKI (Public Key Infrastructure) Schemi logico-funzionali di una CA (modello in RFC 5280 -X.509)
Il sistema di telecontrollo L infrastruttura di chiave pubblica PKI (uso delle chiavi crittografiche) 1 b 2 5 a 6 7 8 9 c e f 3 4 d g
Il Sistema di Telecontrollo Nuovi processi sono richiesti per gestire chiavi/certificati INSERIMENTO NUOVO DISPOSITIVO Emissione certificato Enrollment nella CA SCADENZA -RINNOVO CERTIFICATO DECADENZA - REVOCA CERTIFICATO Verifica certificato Inutilizzabilità del certificato Verifica certificato Rinnovo certificato
Il Sistema di Telecontrollo Nuovi processi sono richiesti per gestire chiavi/certificati CA ARRUOLAMENTO NUOVO DISPOSITIVO Cert CRL repository Generatore Coppia chiavi PRI PUB RA Request SCEP server Authorize Enrollment OCSP responder OCSP responder OCSP responder PKI Admin PKCS#12 Device
Il sistema di telecontrollo Nuovi processi sono richiesti per gestire chiavi/certificati CA Revoca Verifica Validità del Certificato Cert CRL repository RA Revoke SCEP server OCSP responder OCSP responder OCSP responder Verify PKI Admin Device Alice e Bob possono essere rispettivamente il server SCADA e una RTU La verifica è mutua e i ruoli si scambiano
Il sistema di telecontrollo Nuovi processi sono richiesti per gestire chiavi/certificati Generation Destruction Registration Deregistration Archiving Revocation Update Derivation Certification Distribution Installation Storage
Implementazione SCADA ABB S+ Operation -Driver IEC 60870-5-104 con stack 62351 IEC104 Connections Architecture Server Communication Architecture Active Standby Tags DB Primary Server Redundant Server Scanner P R P R Driver IEC104S Tags ASDU Preparation/ Elaboration ASDUs To Other Drivers Primary Field Device Redundant Field Device Connection Manager P = Primary Connection R = Redundant Connection IEC104S Protocol Stack Only one connection by time has DT Active (IEC 60870-5-104, Par. 10) Connection 1 Connection N
Implementazione SCADA ABB S+ Operation -Driver IEC 60870-5-104 con stack 62351 Driver IEC104S Connection Architecture (Transmission Example) ASDU Connection Manager To other connections Secure Connection? N ASDU Queue Secure Layer (IEC 62351-5) Y Prepare Secure ASDU ASDU / SASDU Queue Transport Layer (IEC 60870-5-104) APDU Queue TLS 1.2 Layer (IEC 62351-3) Prepare Transport APDU Secure Connection? Y Prepare TLS Frame N APDU / TLS PDU Queue TCP/IP Interface Prepare TCP Frame
Implementazione SCADA ABB S+ Operations -Driver IEC 60870-5-104 con stack 62351 ABB CSA (Common Security Architecture) library PKI Certificates manag. functions Certificate Enrollment Certificate Renewal Certificate Revocation SCEP / OCSP IEC 62351-5 functions : User Management Session Key Exchange User Authentication Messages Authentication Secure Layer (IEC 62351-5) Certificates Storage Common functions : Certificates Storage Access RSA-AES Algorithms SHA Algorithms Transport Layer (IEC 60870-5-104) TLS 1.2 functions: Connection Management built on RFC 5246/6176. TLS 1.2 Layer (IEC 62351-3) Implementation in progress TCP/IP Interface
Il monitoraggio del traffico dati Il problema che si crea per l inserimento della cifratura Alice Application protocol (e.g. IEC 60870-5-104) Bob Alice s ID Certificate session Key L5-L7 lost Encrypted Communication Network Traffic Mirror (L2-L7) Bob s ID Certificate session Key Network Probe- Deep Packet Inspection - L7 analysis Protocol certification inspection Issuing Owner/Unit Reclassified as by.the information contained in this document is the property of Enel SpA and must be used by the recipient only for the purposes for which it was received. It may not be copied or disclosed in any way without the explicit permission of Enel SpA.
Il monitoraggio del traffico dati Una possibile soluzione con traffico cifrato Alice Application protocol (e.g. IEC 60870-5-104) Bob Alice s ID Certificate session Key Encrypted communication 1. Authentication 1.1 Role check Bob s ID Cerificate session Key L5-L7 accessible again 2. Get the Session Key TLS session Key Probe ID Certificate Trusted channel for Session Key sharing Network Probe- Deep Packet Inspection - L7 analysis Protocol certification inspection Issuing Owner/Unit Reclassified as by.the information contained in this document is the property of Enel SpA and must be used by the recipient only for the purposes for which it was received. It may not be copied or disclosed in any way without the explicit permission of Enel SpA.
Conclusioni L esperienza del nostro progetto ci dice che la norma IEC 62351 è sufficientemente matura per essere compitamente implementata sui sistemi in esercizio basati su IEC 60870-5-104. L impatto dell inserimento dello stack di sicurezza non è diverso da quello provocato da una comune significativa release di prodotto. Per giungere a una significativa diffusione di Sistemi di Telecontrollo messi in sicurezza mediante implementazione di IEC 62351 è necessario che parallelamente: 1. Utility e Fornitori facciano la loro parte nel tavolo IEC per far convergere la norma IEC 62351 ad un completo IS e sappiano trovare le opportunità per applicarla 2. Gli enti regolatori prevedano un progressivo ma obbligatorio percorso per la messa in sicurezza dello scambio dati fra gli operatori del mercato elettrico
IEC 62351 implementazione nei sistemi di telecontrollo per la Generazione Italia di Enel Grazie per l attenzione Federico Bellio, Enel Produzione Generazione Italia: federico.bellio@enel.com Gian Luigi Pugni, Enel Italia Information & Communication Technology: gianluigi.pugni@enel.com Marco Biancardi, ABB Power Systems Division: marco.biancardi@it.abb.com Mauro Casalini, ABB Power Systems Divisionv: mauro.casalini@it.abb.com