CIP安全™

CIP Security™包含CIP设备(特别是EtherNet/IP™设备)的安全相关需求和功能。

控制系统的安全性历来是通过采用深度防御的安全架构来解决的,这种架构已经被推荐了很多年。这种体系结构基于多层安全更能抵御攻击的思想。我们的期望是,任何一个外层都可能在某个时间点受到损害,而最内层的自动化设备将保持安全。

然而,随着IT/OT融合的加速和攻击者变得更加复杂,对于与cip连接的设备——最后一层防御——进行自我防御就变得更加重要。考虑这样一种情况:控制系统人员未知的恶意软件通过USB驱动器被发送到一台受损的PC上。恶意软件可能包含向设备发出恶意CIP服务的代码。然而,如果设备能够拒绝来自不可信来源的此类服务,威胁将会减轻。

CIP Security的目标是使CIP连接的设备能够保护自身免受恶意CIP通信的伤害。一个完全自卫的CIP装置将能够:

  • 拒绝已更改的数据(完整性)
  • 拒绝由不可信的人或不可信的设备发送的消息(真实性)
  • 拒绝请求不允许的操作的消息(授权)

认识到每个CIP设备不需要为所有已定义的安全特性提供相同级别的支持,CIP security定义了安全概要文件的概念。安全配置文件是一组定义良好的功能,用于促进具有适当安全功能的设备互操作性和终端用户选择设备。

EtherNet/IP设备的CIP安全性使用ietf标准TLS (RFC 5246)和DTLS (RFC 6347)协议,以便为EtherNet/IP流量提供安全传输。TLS用于基于tcp的通信(包括封装层、UCMM、传输类3),DTLS用于基于udp的传输类0/1通信。这种方法类似于HTTP为HTTPS使用TLS。

安全以太网/IP传输提供以下安全属性:

  • 端点的身份验证——确保目标和发起者都是可信的实体。端点身份验证使用X.509证书或预共享密钥完成。
  • 消息完整性和身份验证——确保消息是由可信端点发送的,并且在传输过程中没有被修改。消息完整性和身份验证通过TLS消息身份验证码(HMAC)实现。
  • 消息加密-可选的能力,以加密通信,提供了加密算法,通过TLS握手协商。

发展路线图

最初的CIP安全规范于2015年发布,通过添加对设备身份验证、数据完整性和数据机密性的支持,为供应商提供了提高EtherNet/ ip连接设备安全性的能力。

2019年,CIP安全得到加强,允许:

  • 直接进行证书注册的设备,以便于初始调试
  • 通过超时响应提高效率
  • 通过允许强制进行更改的CIP安全连接,改进了保护
  • 扩展证书验证的行为

CIP Security的下一阶段开发工作正在进行中,该阶段将添加对用户身份验证、不可否认性和设备授权的支持。

CIP安全开发的最终路线图是使EtherNet/IP设备变得自治,对其自身的安全负责,并有效地保护自己免受攻击。