La primera forma que proponemos para incrementar la seguridad en las comunicaciones industriales es la utilización de especificaciones asociadas a protocolos industriales seguros. Actualmente las especificaciones más conocidas en el ámbito industrial que proporcionan seguridad a los protocolos son las siguientes:
  • La realizada por la OPC Foundation a través de OPC UA (Open Connectivity Unified Architecture)
  • La realizada por la IEC (International Electrotechnical Commission) a través de la serie IEC 62351, que dota de seguridad a su vez a la serie de protocolos TC 57, entre los que se incluyen los IEC 60870-5 series, IEC 60870-6 series, IEC 61850 series, IEC 61970 series y los  IEC 61968 series.
OPC UA (Open Connectivity Unified Architecture)
La OPC Foundation propone en el año 2008, la nueva especificación de OPC que recibe el nombre de OPC UA (Open Connectivity Unified Architecture). OPC UA persigue mejorar y evolucionar la especificación OPC tradicional de la siguiente manera:
  • Integrando en una todas las especificaciones propuestas en el OPC tradicional (DA, HDA, A&E).
  • Siendo independiente de sistema operativo y por tanto desvinculándose de entornos Microsoft.
  • Realizando la integración de datos y aplicaciones mediante un estilo basado en servicios, en particular, a través de Web Services.
  • Facilitando la accesibilidad a aplicaciones OPC a través de protocolos HTTP (al ser esta una de las pilas sobre las que se construyen los servicios web)
  • Incorporando en la especificación una capa de seguridad nativa que permite dotar a las comunicaciones realizadas sobre OPC UA de confidencialidad, integridad, autenticación, autorización, auditabilidad y disponibilidad.
Secure DNP3
En el año 2007, el DNP User Group publica la especificación del Secure DNP3. Secure DNP3 puede ser utilizado tanto en DNP3 Serie como en DNP3 encapsulado sobre TCP, ya que se encuentra en la capa de aplicación. Se basa en  el IEC 62351-5 que gestiona la seguridad de la serie de protocolos TC 57: IEC 60870-6 series, IEC 61850 series, IEC 61970 series & IEC 61968 series.Este protocolo:
  • Autentica y autoriza las comunicaciones entre maestro y esclavo a través de una “pre-shared key” (nivel 1).
  • Autentica y autoriza las comunicaciones entre maestro y esclavo cada cierto tiempo a través de HMAC (nivel 2).
  • Autentica y autoriza “request” y “response” críticas entre maestro y esclavo como son las siguientes: Writes (function code 2), selects (FC 3), operates (FC 4), direct operates (FC 5, 6), cold and warm restarts (FC 13, 14), initialize, start and stop application (FC 15, 16, 17), enable and disable unsolicited response (FC 20, 21), record current time (FC 24), authenticate file (FC 29), y activate configuration (FC 31).
Por último cabe mencionar que Secure DNP3 no encripta la información que remite. La encriptación se realiza en DNP3 utilizando TLS (Transport Layer Securty). Esta especificación se define en el IEC 62351-3.
Shares
Share This