www.engineering-china.com
ODVA

CIP Security协议升级以支持用户级别认证

ODVA宣布,CIP Security(EtherNet/IP的网络安全扩展)新增了用户级别认证。之前发布的CIP Security规范含有关键安全属性,包括一组设备的广泛信任域、数据保密性、设备认证、设备标识和设备完整性。CIP Security现新增了按用户和角色划分的狭义信任域,同时改进了包括用户在内的设备标识和用户认证。



随着IT和OT在工业自动化中的融合,控制工程师、IT管理员和维护操作员安全访问和修改设备参数的能力变得越来越重要。设备级安全性是IIoT的基本要求,它可以保护关键资产和人员免受潜在危害,同时避免日益严重的财务损失。为了满足这一要求,完备的CIP Security用户认证配置文件(CIP Security User Authentication Profile)将通过明确定义的角色,以及本地和中央用户认证的基本授权,为用户级认证提供固定用户访问策略。CIP Security通过设备或中央服务器进行认证的能力不仅使得小型、简单的系统变得更简洁,还能让大型复杂的安装变得更高效。

CIP Security已包含强大、可靠且开放的安全技术,如TLS(安全传输层协议)和DTLS(数据-包传输层安全性协议);用于提供安全的EtherNet/IP通信, hash或HMAC(密钥相关的散列消息认证码)传输的加密协议,为EtherNet/IP通信提供数据完整性和消息认证;以及作为对消息或信息进行编码的加密方式,以防止未经授权的一方读取或查看EtherNet/IP数据。新的CIP用户认证配置文件为应用层的CIP通信提供了用户级认证。将来,CIP Security或将利用CIP授权配置文件来增强CIP功能,以提供更多安全属性,如通用、灵活的授权,其中访问策略可基于用户或系统的任何属性,并有可能扩展CIP Security以支持其他非EtherNet/IP网络。

新的用户认证配置文件利用了多种开放、通用、无处不在在的技术,包括OAuth 2.0和OpenID Connect(加密保护的基于令牌的用户认证),作为身份认证、用户名和密码证明的JSON Web令牌(JWT),以及已有的可为用户和设备提供加密安全身份的X.509证书。它使用由目标机在用户提交有效JWT时生成的加密的用户认证会话ID,在认证事件和用户发送的CIP通信消息之间进行映射。用户认证会话ID由CIP Security保密性配置文件的密码套件加密, 通过(D)TLS 和EtherNet/IP进行传输。

EtherNet/IP系统体系结构特殊兴趣小组(SIG)副主席Jack Visoky表示:“用户认证是CIP Security发展的关键步骤之一,CIP Security是整个EtherNet/IP工业通信生态系统的一部分及关键的网络扩展。作为深度防御方法的一部分,CIP Security旨在有效地威慑正在寻找破坏工厂运营目标的恶意网络攻击者。” ODVA总裁兼执行董事Al Beydoun博士说:”由于基础设施和自动化系统的互联,为保护全球重要投资和重要产品生产免受恶意网络安全攻击, CIP Security比以往任何时候都更重要。ODVA将继续投资CIP Security和EtherNet/IP的未来开发,以确保最终用户免受不良行为者造成的物质和财务损失。”

通过此次更新,CIP Security现在可提供更强大的设备级安全性,通过按用户和角色划分的狭义信任域,以及改进的包括用户在内的设备标识和固定用户认证。ODVA将继续致力于确保CIP Security处于设备防御的最前沿,以最好地保护关键的工业自动化资产,并确保实现IIoT和工业4.0的承诺。请访问odva.org,以获取含CIP Security在内的最新版EtherNet/IP规范。

  询问更多信息…

LinkedIn
Pinterest

加入IMP 155,000+粉丝圈