ODVA宣布用户级身份验证已添加到CIP Security中,CIP Security是EtherNet/IP的网络安全扩展。CIP Security以前的规范包括关键的安全属性,包括跨一组设备的广泛信任域、数据保密性、设备身份验证、设备标识和设备完整性。CIP Security现在按用户和角色添加一个狭窄的信任域,改进的设备标识(包括用户)和用户身份验证。
随着IT和OT汇聚工业自动化,控制工程师,IT管理员和维护运营商的能力,以安全地访问和修改设备参数增长更为重要。设备级安全性是IIot保护关键资产和人们免受潜在的身体和越来越可能的财务危害的建筑块要求。为了满足此要求,强大的CIP安全性用户身份验证配置文件将通过本地和中央用户身份验证基于定义的角色和基本授权,提供具有固定用户访问策略的用户级身份验证。CIP安全性通过设备或通过中央服务器进行身份验证的能力允许在大型复杂安装中的较小,简单的系统和效率中简单。
CIP安全已经包括健壮的、经过验证的和开放的安全技术,包括TLS(传输层安全)和DTLS(数据报传输层安全);加密协议用于提供以太网/IP流量的安全传输,哈希或HMAC(键控哈希消息认证码),作为一种加密方法,为以太网/IP流量提供数据完整性和消息认证;以及加密,以防止未经授权方读取或查看以太网/IP数据的方式对消息或信息进行编码。新的CIPTM用户认证配置文件提供了应用层CIP通信的用户级认证。在未来,CIP安全可能利用CIP授权概要文件将增强CIP提供额外的安全属性如通用、灵活授权,访问策略可以基于用户和/或系统的任何属性和潜在的CIP安全扩展到支持其他non-EtherNet / IP网络。
用户身份验证配置文件利用多种开放式,常见的,无处不在的技术,包括OAuth 2.0和OpenID连接,用于加密保护的基于令牌的用户身份验证,JSON Web令牌(JWT)作为身份验证,用户名和密码的证明,以及已存在的X.509证书为用户和设备提供加密安全的身份。它使用由用户的呈现有效JWT的目标的加密安全的用户认证会话ID,以在认证事件和用户发送的用于CIP通信之间的消息之间映射。用户身份验证会话ID通过以太网/ IP通过使用(d)TLS和每个CIP安全性的以太网/ IP机密性配置文件的机密性的密码套件传输。
通过这次更新,CIP Security现在提供了更强的设备级安全性,通过用户和角色的狭窄信任域、改进的设备标识(包括用户)和固定的用户身份验证。ODVA继续努力确保CIP Security保持在设备防御的前沿,以最好地保护关键的工业自动化资产,确保工业物联网和工业4.0的承诺能够完全实现。访问odva.org获取最新版本的EtherNet/IP规范,包括CIP安全。
Odva.
www.odva.org.
提交:物联网•IIT•物联网•行业4.0
