CIP安全™

CIP安全™包括CIP设备的安全相关需求和功能,特别是以太网/IP™设备。

控制系统安全性一直以来都是通过采用防御深度安全体系结构来解决的,这是多年来一直被推荐的。这种体系结构基于多层安全更容易受到攻击的思想。我们的期望是,任何一个外层都可能在某个时间点受到破坏,而最内层的自动化设备将保持安全。

然而,随着IT/OT融合速度的加快和攻击者变得更加复杂,密码连接设备——最后一层防御——自我防御就变得更加重要。考虑这样一种情况:控制系统人员不知道恶意软件是通过USB驱动器传送到受损害的PC上的。该恶意软件可能包含向设备发送恶意CIP服务的代码。然而,如果设备能够拒绝来自不可信来源的此类服务,则威胁将得到缓解。

CIP安全性的目标是使密码连接设备能够保护自身免受恶意CIP通信的伤害。一个完全自我保护的CIP设备将能够:

  • 拒绝已更改数据(完整性)
  • 拒绝不可信的人或不可信的设备发送的消息(真实性)
  • 拒绝请求的行为是不允许的消息(授权)

认识到每个CIP设备不需要为所有定义的安全特性提供相同级别的支持,CIP安全性定义了安全配置文件的概念。安全配置文件是一组定义良好的功能,用于促进设备互操作性和终端用户选择具有适当安全功能的设备。

以太网/IP设备CIP安全利用ietf标准的TLS (RFC 5246)和DTLS (RFC 6347)协议,为以太网/IP流量提供安全的传输。TLS用于基于cp的通信(包括封装层、UCMM、传输级别3),DTLS用于基于udp的传输级别0/1通信。这种方法类似于HTTP将TLS用于HTTPS的方式。

安全的以太网/IP传输提供以下安全属性:

  • 端点身份验证——确保目标和发起者都是受信任的实体。端点身份验证是使用X.509证书或预共享密钥完成的。
  • 消息完整性和身份验证——确保消息由可信端点发送,并且在传输过程中未被修改。消息完整性和身份验证是通过TLS消息身份验证代码(HMAC)来完成的。
  • 消息加密——可选的通信加密功能,由TLS握手协商的加密算法提供。

发展路线图

最初的CIP安全规范发布于2015年,通过增加对设备认证、数据完整性和数据机密性的支持,为供应商提供了提高以太网/ ip连接设备安全性的能力。

2019年,CIP安全得到加强,可实现:

  • 直接执行证书登记的设备,使初始调试更容易
  • 超时响应提高了效率
  • 通过允许对更改进行强制CIP安全连接,改进了保护
  • 扩展了证书验证的行为

CIP安全性下一阶段的开发工作正在进行中,这将增加对用户身份验证、不可抵赖性和设备授权的支持。

CIP安全开发的最终路线图是使以太网/IP设备变得自主,负责自己的安全并有效地保护自己不受攻击。