Três formas de aumentar a segurança nas comunicações industriais. (Parte II)
A primeira forma proposta para aumentar a segurança nas comunicações industriais baseia-se na utilização de especificações associadas a protocolos industriais seguros. Contamos-lhe todos os det...
A primeira forma que propomos para aumentar a segurança nas comunicações industriais é a utilização de especificações associadas a protocolos industriais seguros. Atualmente, as especificações mais conhecidas no âmbito industrial que proporcionam segurança aos protocolos são as seguintes:
- A realizada pela OPC Foundation através do OPC UA (Open Connectivity Unified Architecture)
- A realizada pela IEC (International Electrotechnical Commission) através da série IEC 62351, que, por sua vez, confere segurança à série de protocolos TC 57, entre os quais se incluem os IEC 60870-5 series, IEC 60870-6 series, IEC 61850 series, IEC 61970 series e os IEC 61968 series.
OPC UA (Open Connectivity Unified Architecture)
A OPC Foundation propõe, no ano de 2008, a nova especificação de OPC que recebe o nome de OPC UA (Open Connectivity Unified Architecture). O OPC UA procura melhorar e evoluir a especificação OPC tradicional da seguinte forma:
- Integrando numa só todas as especificações propostas no OPC tradicional (DA, HDA, A&E).
- Sendo independente do sistema operativo e, por conseguinte, desvinculando-se dos ambientes Microsoft.
- Realizando a integração de dados e aplicações mediante um estilo baseado em serviços, em particular, através de Web Services.
- Facilitando a acessibilidade a aplicações OPC através de protocolos HTTP (sendo esta uma das pilhas sobre as quais se constroem os serviços web)
- Incorporando na especificação uma camada de segurança nativa que permite dotar as comunicações realizadas sobre OPC UA de confidencialidade, integridade, autenticação, autorização, auditabilidade e disponibilidade.
Secure DNP3
Em 2007, o DNP User Group publica a especificação do Secure DNP3. O Secure DNP3 pode ser utilizado tanto em DNP3 Série como em DNP3 encapsulado sobre TCP, uma vez que se encontra na camada de aplicação. Baseia-se no IEC 62351-5 que gere a segurança da série de protocolos TC 57: IEC 60870-6 series, IEC 61850 series, IEC 61970 series & IEC 61968 series. Este protocolo:
- Autentica e autoriza as comunicações entre mestre e escravo através de uma “pre-shared key” (nível 1).
- Autentica e autoriza as comunicações entre mestre e escravo a cada certo tempo através de HMAC (nível 2).
- Autentica e autoriza “request” e “response” críticas entre mestre e escravo, como são as seguintes: Writes (function code 2), selects (FC 3), operates (FC 4), direct operates (FC 5, 6), cold and warm restarts (FC 13, 14), initialize, start and stop application (FC 15, 16, 17), enable and disable unsolicited response (FC 20, 21), record current time (FC 24), authenticate file (FC 29), e activate configuration (FC 31).
Por último, importa mencionar que o Secure DNP3 não encripta a informação que remete. A encriptação é realizada em DNP3 utilizando TLS (Transport Layer Securty). Esta especificação é definida na IEC 62351-3.
