Manufaktur industri
Industri Internet of Things | bahan industri | Pemeliharaan dan Perbaikan Peralatan | Pemrograman industri |
home  MfgRobots >> Manufaktur industri >  >> Industrial Internet of Things >> Teknologi Internet of Things

Amankan Sistem IIoT Anda dengan Perpustakaan Kriptografi Pilihan ANDA!

Sekarang, Anda mungkin telah membaca tentang OMG Spesifikasi Keamanan DDS yang menyempurnakan standar DDS yang ada dengan arsitektur dan model keamanan. Versi 1.0 dari spesifikasi tersebut akan diselesaikan oleh OMG. Ini berarti bahwa model keamanan data-centric sekarang akan terintegrasi secara native ke dalam standar DDS - satu-satunya standar komunikasi terbuka yang dirancang untuk memberikan fleksibilitas, keandalan, dan kecepatan yang diperlukan untuk membangun aplikasi real-time yang kompleks, termasuk banyak jenis IoT Industri sistem.

Salah satu fitur mencolok yang diperkenalkan di DDS Security Spec adalah gagasan tentang arsitektur Service Plugin Interface (SPI). Mekanisme SPI memungkinkan pengguna untuk menyesuaikan perilaku dan teknologi yang digunakan implementasi DDS untuk Jaminan Informasi, tanpa mengubah kode aplikasi.

Pos blog ini menjelaskan secara singkat arsitektur SPI dan menunjukkan cara mudah untuk memanfaatkan plugin keamanan bawaan RTI Connext DDS Secure agar mereka menjalankan tindakan kriptografi yang dipilih dengan pustaka kriptografi dari pilihan Anda.

Antarmuka Plugin Layanan Aman (SPI) DDS

Spesifikasi Keamanan DDS tidak memperkenalkan perubahan apa pun dalam cara aplikasi berinteraksi dengan infrastruktur DDS. Sebagai gantinya, ini mendefinisikan lima komponen plugin berbeda yang dimanfaatkan oleh infrastruktur saat dibutuhkan. Masing-masing komponen tersebut menyediakan aspek tertentu dari fungsionalitas Jaminan Informasi dan memiliki antarmuka standar, seperti yang ditentukan oleh Spesifikasi Keamanan DDS. Inilah yang dimaksud dengan Nama Antarmuka Plugin Layanan (SPI). Arsitektur plugin diilustrasikan pada gambar di bawah ini.

Seperti yang Anda lihat, ada lima SPI yang secara kolektif memberikan Jaminan Informasi ke sistem DDS. Nama dan tujuan mereka adalah sebagai berikut:

Nama SPI Tujuan dari jenis dan operasinya OtentikasiMendukung verifikasi identitas Peserta Domain DDS, termasuk fasilitas untuk melakukan otentikasi timbal balik dan untuk menetapkan rahasia bersama.AccessControlMembuat keputusan tentang operasi terkait DDS yang dilindungi yang diizinkan untuk dilakukan oleh DomainPartisipan DDS yang diautentikasi, termasuk bergabung dengan Domain DDS dan membuat Topik, Pembaca Data dan DataWriters.CryptographyMendukung operasi kriptografi, termasuk enkripsi dan dekripsi, hashing, tanda tangan digital, dan kode otentikasi pesan.LoggingMendukung pencatatan aktivitas terkait keamanan untuk DDS DomainParticipant.Data TaggingMenyediakan kemampuan untuk menambahkan label atau tag keamanan ke data, untuk aplikasi- tujuan tertentu.

Arsitektur SPI memberi Anda banyak kebebasan untuk menyesuaikan aspek Jaminan Informasi dari sistem DDS aman Anda. Semua aspek yang disebutkan dalam daftar peluru di atas dapat dimodifikasi atau diimplementasikan kembali dengan menggunakan implementasi SPI Anda sendiri. Yang tidak bisa diubah adalah mekanismenya kapan implementasi DDS sebenarnya memanggil metode SPI -- mereka hanya dipanggil saat diperlukan. Ini sebenarnya hal yang baik karena artinya middleware terus berperilaku seperti yang ditentukan dalam spesifikasi dan Anda tidak perlu khawatir akan melanggarnya.

Selain antarmuka SPI, spesifikasi Keamanan DDS juga menyediakan deskripsi fungsional dari apa yang disebut plugin bawaan, yang dijelaskan secara rinci di Bab 9 dokumen itu. Tujuan utama mereka adalah untuk menyediakan interoperabilitas out-of-the-box antara berbagai implementasi Keamanan DDS. Dengan RTI Connext Secure DDS, plugin bawaan juga merupakan titik awal yang sangat baik untuk penyesuaian.

Menyesuaikan plugin bawaan RTI Connext DDS Secure

Biner plugin keamanan bawaan yang dikirimkan bersama Connext DDS Secure dapat digunakan langsung untuk membuat sistem DDS Anda yang menyertakan Jaminan Informasi. Yang perlu Anda lakukan adalah mengonfigurasi PropertyQosPolicy dari DomainParticipant Anda dengan benar seperti yang dijelaskan dalam spesifikasi untuk menunjuk ke artefak keamanan yang diinginkan seperti kontrol akses dan file konfigurasi tata kelola serta sertifikat identitas, antara lain.

Bagi mereka yang ingin mengubah perilaku plugin, satu set file kode sumber yang dapat dibangun juga disediakan. Namun, untuk banyak situasi, plugin Connext DDS Secure menawarkan opsi yang jauh lebih mudah. Masukkan OpenSSL EVP API...

Mengganti implementasi algoritma kriptografi

Kode sumber plugin Connext DDS Secure bawaan menggunakan perpustakaan kriptografi OpenSSL -- bukan untuk fungsionalitas SSL atau TLS-nya, tetapi untuk rangkaian implementasi fungsi kriptografi dan sejumlah kelas pembantu yang digunakan dengan itu. Jika Anda sudah familiar dengan pemrograman OpenSSL, Anda akan tahu bahwa itu adalah praktik yang baik untuk memanfaatkan apa yang disebut antarmuka EVP. (Jika Anda bertanya-tanya tentang hal itu, seperti yang saya lakukan:EVP adalah singkatan dari EnVeloPe.) Plugin Connext DDS Secure menjalankan subset fungsinya, yaitu yang terkait dengan item dalam tabel di bawah ini:

Fungsionalitas Algoritme yang ditentukan untuk plugin Keamanan DDS bawaan Enkripsi dan dekripsi simetrisAES dalam Galois Counter Mode (GCM) untuk ukuran kunci 128-bit atau 256-bitMenandatangani dan memverifikasi Algoritme tanda tangan RSA-PSS atau ECDSA dengan SHA-256 sebagai fungsi hashnya Pertukaran kunciDiffie-Hellman menggunakan aritmatika modular (DH) atau kurva eliptik ( ECDH), dengan parameter tertentuKode autentikasi pesanHMAC, dengan SHA-256 sebagai fungsi hashnya, dan GMACSecure fungsi hashSHA-256Pembuatan nomor acakPembuat nomor acak yang kuat secara kriptografis

Plugin yang dikirimkan bersama produk menggunakan implementasi OpenSSL dari fungsi-fungsi ini, seperti yang ditemukan di mesin EVP OpenSSL standar. Namun, mereka juga mendukung memasukkan mesin Anda sendiri. Implementasi mesin OpenSSL Anda dapat meminta implementasi lain dari fungsi kriptografi ini, misalnya memanfaatkan pustaka kriptografi pilihan Anda, mungkin karena Anda diharuskan menggunakan implementasi yang sesuai dengan FIPS. Beberapa perpustakaan sudah mendukung mesin EVP, dalam hal ini Anda hanya perlu mengonfigurasi plugin. Jika tidak, Anda harus menulis lapisan shim yang memanggil fungsi yang tepat dari perpustakaan Anda.

Memodifikasi plugin bawaan itu sendiri

Mungkin saja algoritme dan mekanisme dalam plugin bawaan, yang diuraikan di bagian sebelumnya, tidak memenuhi kebutuhan proyek Anda. Dalam hal ini, Anda harus melakukan modifikasi pada kode plugin yang sebenarnya, kode yang memanggil fungsi EVP. Misalnya, Anda dapat membuat modifikasi kecil seperti memilih algoritme yang berbeda dari yang ditentukan oleh spesifikasi, mungkin menggunakan ukuran kunci atau parameter algoritme yang berbeda. Sebagai contoh lain, Anda dapat mengubah penautan dinamis ke statis jika diinginkan.

Hal ini dimungkinkan untuk melampaui perubahan kecil dan, misalnya, memperkenalkan mekanisme otentikasi identitas yang sama sekali berbeda. Menuruni jalan itu menjadi rumit dengan cukup cepat dan kami sangat menyarankan untuk menghubungi kami untuk mendiskusikan kebutuhan dan rencana Anda. Kami menantikan untuk terlibat dengan Anda!


Teknologi Internet of Things

  1. Keamanan DDS dengan Cara Keras (ware) - SGX Bagian 3:Layanan DDS yang Diperkuat
  2. Bagaimana Peretas Meretas Awan; Tambahkan Lebih Banyak Keamanan ke Cloud Anda Dengan AWS
  3. Menangani Lanskap Ancaman yang Berkembang dari ICS dan IIoT
  4. Masa depan terhubung dan kita harus mengamankannya
  5. Perjalanan IIoT dimulai dengan telemetri jarak jauh
  6. Sorotan Keamanan ICS Karena Ketegangan dengan Iran 
  7. Sorotan Keamanan ICS Karena Ketegangan dengan Iran 
  8. Apakah keamanan merupakan ancaman terbesar bagi IoT industri?
  9. Cara Meningkatkan Keamanan Rumah Pintar Anda
  10. Bagaimana IIoT meningkatkan kelangsungan sistem pemantauan aset?