|
ODVA宣布,CIP Security(EtherNet/IP的網絡安全擴展)新增了用戶級別認證。之前發布的CIP Security規范含有關鍵安全屬性,包括一組設備的廣泛信任域、數據保密性、設備認證、設備標識和設備完整性。CIPSecurity現新增了按用戶和角色劃分的狹義信任域,同時改進了包括用戶在內的設備標識和用戶認證。 隨著IT和OT在工業自動化中的融合,控制工程師、IT管理員和維護操作員安全訪問和修改設備參數的能力變得越來越重要。設備級安全性是IIoT的基本要求,它可以保護關鍵資產和人員免受潛在危害,同時避免日益嚴重的財務損失。為了滿足這一要求,完備的CIP Security用戶認證配置文件(CIP Security User Authentication Profile)將通過明確定義的角色,以及本地和中央用戶認證的基本授權,為用戶級認證提供固定用戶訪問策略。CIP Security通過設備或中央服務器進行認證的能力不僅使得小型、簡單的系統變得更簡潔,還能讓大型復雜的安裝變得更高效。 CIP Security已包含強大、可靠且開放的安全技術,如TLS(安全傳輸層協議)和DTLS(數據-包傳輸層安全性協議);用于提供安全的EtherNet/IP通信, hash或HMAC(密鑰相關的散列消息認證碼)傳輸的加密協議,為EtherNet/IP通信提供數據完整性和消息認證;以及作為對消息或信息進行編碼的加密方式,以防止未經授權的一方讀取或查看EtherNet/IP數據。新的CIP用戶認證配置文件為應用層的CIP通信提供了用戶級認證。將來,CIP Security或將利用CIP授權配置文件來增強CIP功能,以提供更多安全屬性,如通用、靈活的授權,其中訪問策略可基于用戶或系統的任何屬性,并有可能擴展CIP Security以支持其他非EtherNet/IP網絡。 新的用戶認證配置文件利用了多種開放、通用、無處不在在的技術,包括OAuth 2.0和OpenID Connect(加密保護的基于令牌的用戶認證),作為身份認證、用戶名和密碼證明的JSON Web令牌(JWT),以及已有的可為用戶和設備提供加密安全身份的X.509證書。它使用由目標機在用戶提交有效JWT時生成的加密的用戶認證會話ID,在認證事件和用戶發送的CIP通信消息之間進行映射。用戶認證會話ID由CIP Security保密性配置文件的密碼套件加密, 通過(D)TLS 和EtherNet/IP進行傳輸。 EtherNet/IP系統體系結構特殊興趣小組(SIG)副主席Jack Visoky表示:“用戶認證是CIP Security發展的關鍵步驟之一,CIP Security是整個EtherNet/IP工業通信生態系統的一部分及關鍵的網絡擴展。作為深度防御方法的一部分,CIP Security旨在有效地威懾正在尋找破壞工廠運營目標的惡意網絡攻擊者。” ODVA總裁兼執行董事Al Beydoun博士說:”由于基礎設施和自動化系統的互聯,為保護全球重要投資和重要產品生產免受惡意網絡安全攻擊, CIP Security比以往任何時候都更重要。ODVA將繼續投資CIP Security和EtherNet/IP的未來開發,以確保最終用戶免受不良行為者造成的物質和財務損失。” 通過此次更新,CIP Security現在可提供更強大的設備級安全性,通過按用戶和角色劃分的狹義信任域,以及改進的包括用戶在內的設備標識和固定用戶認證。ODVA將繼續致力于確保CIP Security處于設備防御的最前沿,以最好地保護關鍵的工業自動化資產,并確保實現IIoT和工業4.0的承諾。請訪問odva.org,以獲取含CIPSecurity在內的最新版EtherNet/IP規范。 |
