CIP Security Netzwerkerweiterung für Ethernet/IP wird sicherer

Redakteur: Katharina Juschkat

CIP Security, die Cybersecurity-Netzwerkerweiterung für Ethernet/IP, unterstützt ab sofort die Authentifizierung auf Benutzerebene. Die Neuerungen umschließen eine Trust Domain, eine verbesserte Geräteidentität und die Benutzerauthentifizierung.

Firma zum Thema

ODVA erweitert CIP Security um die Benutzerauthentifizierung.
ODVA erweitert CIP Security um die Benutzerauthentifizierung.
(Bild: gemeinfrei / Pixabay )

Michigan – Die Standardisierungsorganisation ODVA hat auf der SPS Connect bekannt gegeben, dass CIP Security jetzt Authentifizierung auf Benutzerebene unterstützt. CIP Security ist die Cybersecurity-Netzwerkerweiterung für Ethernet/IPTM, die zuvor bereits Sicherheitsmerkmale umfasste, wie eine Trust Domain für eine ganze Gruppe von Geräten, Datenvertraulichkeit, Geräteauthentifizierung, Geräteidentität und Geräteintegrität.

Mit CIP Security kommt jetzt eine eng nach Benutzer und Rolle gefasste Trust Domain, eine verbesserte Geräteidentität, die den Benutzer einschließt, und die Benutzerauthentifizierung hinzu.

Was das neue CIP-Benutzerauthentifizierungsprofil kann

CIP Security bietet eine Authentifizierung auf Benutzerebene mit einer festgelegten Benutzerzugriffsrichtlinie, die auf klar definierten Rollen und einfachen Genehmigungen per lokaler und zentraler Benutzerauthentifizierung basiert. Da CIP Security in der Lage ist, die Authentifizierung über das Gerät oder über einen zentralen Server durchzuführen, lässt sie sich in kleineren, einfachen Systemen einfach implementieren. Auch bei großen, komplexen Installationen soll die Erweiterung effizient funktionieren.

CIP Security ist u.a. mit folgenden offenen Sicherheitstechnologien ausgestattet:

  • TLS (Transport Layer Security)
  • DTLS (Datagram Transport Layer Security)
  • Kryptografieprotokolle, die zur Bereitstellung einer sicheren Übertragung von EtherNet/IP-Verkehr genutzt werden
  • Hashes bzw. HMAC (Keyed-Hash Message Authentication Code) als kryptografische Methode zur Bereitstellung von Datenintegrität und Nachrichtenauthentifizierung für den EtherNet/IP-Verkehr
  • Verschlüsselung als Mittel zur Codierung von Nachrichten oder Informationen in einer Weise, die das Lesen oder Anzeigen von EtherNet/IP-Daten durch unbefugte Parteien verhindert.

Das neue CIP-Benutzerauthentifizierungsprofil bietet Authentifizierung auf Benutzerebene für die CIP-Kommunikation auf der Anwendungsschicht. In Zukunft kann CIP Security ein CIP-Autorisierungsprofil nutzen, das CIP mit weiteren Sicherheitsmerkmalen ausstattet, z. B. mit einer allgemeinen, flexiblen Autorisierung, wobei die Zugriffsrichtlinie auf einem beliebigen Attribut des Benutzers und/oder Systems basieren kann.

Darüber hinaus nutzt das neue Benutzerauthentifizierungsprofil mehrere offene Technologien, u. a. folgende:

  • OAuth 2.0
  • Open ID Connect, für eine kryptografisch geschützte Token-basierte Benutzerauthentifizierung
  • JSON Web Tokens (JWT) als Authentifizierungsnachweise, Benutzernamen und Kennwörter
  • X.509-Zertifikate zur Bereitstellung kryptografisch sicherer Identitäten für Benutzer und Geräte

Es verwendet eine kryptografisch sichere Benutzerauthentifizierungs-Sitzungs-ID, die nach Vorlage eines gültigen JWT durch den Benutzer vom Ziel generiert wird, um eine Zuordnung zwischen einem Authentifizierungsereignis und den von einem Benutzer für die CIP-Kommunikation gesendeten Nachrichten herzustellen. Die Benutzerauthentifizierungs-Sitzungs-ID wird mithilfe von (D)TLS und einer Verschlüsselungssammlung mit aktivierter Vertraulichkeit gemäß dem EtherNet/IP-Vertraulichkeitsprofil von CIP Security über EtherNet/IP übertragen.

(ID:47010142)