消息网络安全
CIP安全扩展更新，以支持用户级权限

自动化标准协会ODVA宣布，CIP Security (EtherNet/IPTM的网络安全扩展)现在可以使用用户级身份验证。

CIP Security以前发布的规范包括关键的安全属性，包括跨一组设备的广泛信任域、数据保密性、设备身份验证、设备标识和设备完整性。

CIP安全现在增加了用户和角色，包括用户的改进设备的身份，和用户认证狭窄的信任域。

设备级安全是IIoT的构建模块的要求，以保护关键资产和人员。为了满足这一要求，CIP安全用户验证配置文件将提供基于定义明确的角色，并通过中央和地方的用户认证基本授权固定的用户访问策略的用户级身份验证。

CIP安全的经由设备或通过中央服务器来验证能力允许在更小的，简单的系统简单和效率在大型的，复杂的安装。

CIP安全已经包括了开放的安全技术，包括:

• TLS(传输层安全)和DTLS(数据报传输层安全)
• 用于提供以太网/IP通信的安全传输的加密协议
• 散列或HMAC（键控散列消息认证码）作为以太网提供数据完整性和消息认证的/加密方法的IP通信
• 加密是一种对消息或信息进行编码的方法，以防止未经授权的人读取或查看以太网/IP数据。

新的CIPTM用户认证配置文件提供了应用层CIP通信的用户级认证。在未来,CIP安全可能利用CIP授权概要文件将增强CIP提供额外的安全属性如通用、灵活授权,访问策略可以基于用户和/或系统的任何属性和潜在的CIP安全扩展到支持其他non-EtherNet / IP网络。

新的用户认证档案利用的几个开放，通用的，无处不在的技术，其中包括OAuth 2.0和OpenID Connect提供加密保护的基于令牌的用户验证，JSON网络令牌（JWT）的认证，用户名和密码，证明和现有的X0.509证书提供加密的安全身份的用户和设备。

它使用一个加密安全的用户身份验证会话ID(由目标在用户表示有效的JWT时生成)来映射身份验证事件和用户发送的用于CIP通信的消息。

根据CIP Security的以太网/IP机密配置文件，使用(D)TLS和启用机密性的密码套件在以太网/IP上传输用户身份验证会话ID。