ODVA宣布用户级身份验证已添加到CIP Security中,这是EtherNet/IP的网络安全网络扩展。CIP Security的先前规范包括关键安全属性,包括跨一组设备的广泛信任域、数据机密性、设备身份验证、设备标识和设备完整性。CIP Security现在根据用户和角色添加了一个狭窄的信任域,改进了包括用户在内的设备标识和用户身份验证。
随着IT和OT在工业自动化领域的融合,控制工程师、IT管理员和维护操作员安全地访问和修改设备参数的能力变得更加关键。设备级安全是工业物联网的基本要求,以保护关键资产和人员免受潜在的物理和日益可能的财务伤害。为了满足这一需求,健壮的CIP安全用户身份验证配置文件将通过本地和中央用户身份验证提供用户级身份验证,提供基于定义良好的角色和基本授权的固定用户访问策略。CIP Security通过设备或中央服务器进行身份验证的能力使小型、简单的系统变得简单,而在大型、复杂的安装中变得高效。
CIP安全已经包括健壮的、经过验证的、开放的安全技术,包括TLS(传输层安全)和DTLS(数据报传输层安全);用于为EtherNet/IP流量提供安全传输的加密协议,哈希或HMAC(密钥哈希消息认证码)作为为EtherNet/IP流量提供数据完整性和消息认证的加密方法;加密作为一种编码消息或信息的方法,以防止未经授权的一方读取或查看EtherNet/IP数据。新的CIPTM用户认证配置文件在应用层为CIP通信提供用户级认证。将来,CIP Security可能会使用CIP授权配置文件,该配置文件将增强CIP,以提供额外的安全属性,如通用的、灵活的授权,其中访问策略可以基于用户和/或系统的任何属性,并可能扩展CIP Security以支持其他非ethernet /IP网络。
用户身份验证配置文件使用几种开放的、通用的、普遍存在的技术,包括OAuth 2.0和OpenID Connect,用于加密保护的基于令牌的用户身份验证,JSON Web令牌(JWT)作为身份验证的证明,用户名和密码,以及已经存在的X.509证书,为用户和设备提供加密安全的身份验证。它使用加密安全的用户身份验证会话ID(由目标在用户提供有效的JWT后生成)来映射身份验证事件和用户为进行CIP通信而发送的消息。根据CIP Security的EtherNet/IP保密配置文件,使用(D)TLS和启用保密的加密套件在EtherNet/IP上传输用户身份验证会话ID。
通过此更新,CIP Security现在提供了更强的设备级安全性,通过用户和角色提供了狭窄的信任域,改进了包括用户在内的设备标识,并固定了用户身份验证。ODVA继续致力于确保CIP安全处于设备防御的前沿,以最好地保护关键工业自动化资产,以确保工业物联网和工业4.0的承诺可以完全实现。访问odva.org获取最新版本的EtherNet/IP规范(包括CIP安全)。
ODVA
www.odva.org
了下:物联网•工业物联网•物联网•工业4.0