ODVA宣布,CIP SecurityTM (EtherNet/IPTM的网络安全扩展)已添加了用户级认证。CIP Security以前发布的规范包括关键的安全属性,包括跨一组设备的广泛信任域、数据保密性、设备身份验证、设备标识和设备完整性。CIP Security现在按用户和角色添加一个狭窄的信任域,改进的设备标识(包括用户)和用户身份验证。
随着IT和OT在工业自动化领域的融合,控制工程师、IT管理员和维护操作员安全访问和修改设备参数的能力变得更加重要。设备级安全是工业物联网的基本要求,以保护关键资产和人员免受潜在的物理和日益可能的经济伤害。为了满足这一需求,健壮的CIP Security User Authentication Profile将提供基于定义良好的角色和本地和中央用户身份验证的基本授权的固定用户访问策略的用户级身份验证。CIP Security通过设备或中央服务器进行身份验证的能力使小型、简单系统的简单性和大型、复杂安装的效率得以提高。
CIP安全性已包含强大,经过验证和开放的安全技术,包括TLS(传输层安全性)和DTL(数据报传输层安全性);加密协议用于提供以太网/ IP流量,哈希或HMAC(KEYED-HAMAC消息认证码)的安全传输,作为为以太网/ IP流量提供数据完整性和消息认证的加密方法;并加密作为编码消息或信息的方法,以防止未授权方通过读取或查看以太网/ IP数据。新的CIPTM用户身份验证配置文件为应用层的CIP通信提供用户级身份验证。在未来,CIP安全性可能会使用CIP授权配置文件,该配置文件将增强CIP提供额外的安全性属性,例如常规,灵活授权,其中访问策略可以基于用户和/或系统的任何属性以及潜在的扩展CIP安全性支持其他非以太网/ IP网络。
新的用户身份验证配置文件利用多种开放式,常见的,无处不在的技术,包括OAuth 2.0和OpenID连接,用于加密保护的基于令牌的用户身份验证,JSON Web令牌(JWT)作为身份验证,用户名和密码的证明,以及已存在的x.509证书,为用户和设备提供加密安全的身份。它使用由用户的呈现有效JWT的目标的加密安全的用户认证会话ID,以在认证事件和用户发送的用于CIP通信之间的消息之间映射。用户身份验证会话ID通过以太网/ IP通过使用(d)TLS和每个CIP安全性的以太网/ IP机密性配置文件的机密性的密码套件传输。
“用户认证是CIP Security开发的另一个关键步骤,CIP Security是一个关键的网络扩展,是完整以太网/IP工业通信生态系统的一部分。CIP安全,作为一种深度防御方法的一部分,被设计成对寻找目标扰乱工厂运营的恶意网络攻击者的有效威慑。”以太网/IP系统架构特别兴趣小组(SIG)副主席Jack Visoky说。ODVA总裁兼执行董事Al Beydoun博士表示:“随着基础设施和自动化系统的连接,CIP安全比以往任何时候都更加重要,以保护全球有价值的投资和重要产品的生产不受网络安全恶意攻击。”“ODVA将继续投资于CIP安全和EtherNet/IP的未来发展,以确保终端用户免受坏人的人身和经济伤害。”
通过这次更新,CIP Security现在提供了更强的设备级安全性,通过用户和角色的狭窄信任域、改进的设备标识(包括用户)和固定的用户身份验证。ODVA继续努力确保CIP Security保持在设备防御的前沿,以最好地保护关键的工业自动化资产,确保工业物联网和工业4.0的承诺能够完全实现。访问odva.org获取最新版本的EtherNet/IP规范,包括CIP安全。
ODVA
www.odva.org
了下:所有行业新闻•概况•评论,以太网—线缆•集线器•交换机,物联网•物联网•物联网•工业4.0,网络•连接•现场总线
