Fabrication industrielle
Internet des objets industriel | Matériaux industriels | Entretien et réparation d'équipement | Programmation industrielle |
home  MfgRobots >> Fabrication industrielle >  >> Industrial Internet of Things >> Technologie de l'Internet des objets

Sécurisez votre système IIoT avec la bibliothèque de cryptographie de VOTRE choix !

À ce jour, vous avez peut-être lu sur l'OMG Spécification de sécurité DDS qui améliore la norme DDS existante avec une architecture et un modèle de sécurité. La version 1.0 de cette spécification est sur le point d'être finalisée par l'OMG. Cela signifie qu'un modèle de sécurité centré sur les données sera désormais intégré de manière native dans la norme DDS - la seule norme de communication ouverte conçue pour offrir la flexibilité, la fiabilité et la vitesse nécessaires pour créer des applications complexes en temps réel, y compris de nombreux types d'IoT industriel. systèmes.

L'une des fonctionnalités frappantes introduites dans DDS Security Spec est la notion d'architecture Service Plugin Interface (SPI). Le mécanisme des SPI permet aux utilisateurs de personnaliser le comportement et les technologies que la mise en œuvre DDS utilise pour l'assurance de l'information, sans modifier le code de l'application.

Ce billet de blog explique brièvement l'architecture SPI et montre un moyen simple d'exploiter les plug-ins de sécurité intégrés RTI Connext DDS Secure pour leur permettre d'exécuter des actions cryptographiques sélectionnées avec la bibliothèque de cryptographie de votre choix.

Interfaces de plug-in de service sécurisé DDS (SPI)

La spécification de sécurité DDS n'introduit aucun changement dans la manière dont les applications interagissent avec l'infrastructure DDS. Au lieu de cela, il définit cinq composants de plug-in différents qui sont exploités par l'infrastructure en cas de besoin. Chacun de ces composants fournit un certain aspect de la fonctionnalité d'assurance de l'information et possède une interface standardisée, telle que définie par la spécification de sécurité DDS. C'est à cela que fait référence le nom Service Plugin Interfaces (SPI). L'architecture du plugin est illustrée dans l'image ci-dessous.

Comme vous pouvez le voir, il existe cinq SPI qui fournissent collectivement l'assurance de l'information aux systèmes DDS. Leurs noms et objectifs sont les suivants :

Nom SPI Objectif de ses types et opérations AuthentificationPrise en charge de la vérification de l'identité des participants au domaine DDS, y compris des fonctions permettant d'effectuer une authentification mutuelle et d'établir des secrets partagés.Contrôle d'accèsPrendre des décisions sur les opérations protégées liées au DDS qu'un participant au domaine DDS authentifié est autorisé à effectuer, y compris l'adhésion à un domaine DDS et la création de sujets, de lecteurs de données et DataWriters.CryptographySupporte les opérations cryptographiques, y compris le cryptage et le décryptage, le hachage, les signatures numériques et les codes d'authentification des messages.LoggingSupporte la journalisation des événements liés à la sécurité pour un participant au domaine DDS.Data TaggingOffre la possibilité d'ajouter une étiquette ou une balise de sécurité aux données, pour l'application- à des fins spécifiques.

L'architecture SPI vous donne beaucoup de liberté pour personnaliser les aspects de l'assurance de l'information de votre système DDS sécurisé. Tous les aspects mentionnés dans la liste à puces ci-dessus peuvent être modifiés ou réimplémentés en utilisant votre propre implémentation des SPI. Ce que vous ne pouvez pas changer, c'est le mécanisme quand l'implémentation DDS invoque en fait les méthodes des SPI -- elles sont simplement invoquées lorsque cela est nécessaire. C'est en fait une bonne chose car cela signifie que le middleware continue de se comporter comme prescrit dans la spécification et que vous n'avez pas à vous soucier de le casser.

En plus des interfaces des SPI, la spécification de sécurité DDS fournit également une description fonctionnelle des plugins dits intégrés, décrits en détail au chapitre 9 de ce document. Leur intention principale est de fournir une interopérabilité prête à l'emploi entre les différentes implémentations de DDS Security. Avec RTI Connext Secure DDS, les plugins intégrés sont également un excellent point de départ pour la personnalisation.

Personnalisation des plugins intégrés RTI Connext DDS Secure

Les binaires de plug-in de sécurité intégrés livrés avec Connext DDS Secure peuvent être utilisés prêts à l'emploi pour créer votre système DDS qui inclut Information Assurance. Tout ce que vous avez à faire est de configurer correctement la PropertyQosPolicy de votre DomainParticipant comme expliqué dans la spécification pour pointer vers les artefacts de sécurité souhaités tels que les fichiers de configuration de contrôle d'accès et de gouvernance ainsi que les certificats d'identité, entre autres.

Pour ceux qui souhaitent modifier le comportement des plugins, un ensemble de fichiers de code source constructibles est également fourni. Cependant, pour de nombreuses situations, les plugins Connext DDS Secure offrent une option beaucoup plus simple. Entrez dans l'API OpenSSL EVP...

Échanger les implémentations d'algorithmes cryptographiques

Le code source intégré des plugins Connext DDS Secure utilise la bibliothèque cryptographique OpenSSL - non pour sa fonctionnalité SSL ou TLS, mais pour son ensemble d'implémentations de fonctions cryptographiques et un certain nombre de classes d'assistance utilisées avec ceux-ci. Si vous êtes familier avec la programmation OpenSSL, vous saurez qu'il est recommandé d'utiliser l'interface dite EVP. (Au cas où vous vous poseriez la question, comme je l'ai fait :EVP signifie EnVeloPe.) Les plugins Connext DDS Secure appellent un sous-ensemble de ses fonctions, à savoir celles liées aux éléments du tableau ci-dessous :

Fonctionnalité Algorithmes spécifiés pour les plug-ins de sécurité DDS intégrés Cryptage et décryptage symétriqueAES en Galois Counter Mode (GCM) pour les tailles de clé 128 bits ou 256 bits Signature et vérification des algorithmes de signature RSA-PSS ou ECDSA avec SHA-256 comme fonction de hachageÉchange de clésDiffie-Hellman utilisant l'arithmétique modulaire (DH) ou les courbes elliptiques ( ECDH), avec des paramètres spécifiésCodes d'authentification de messageHMAC, avec SHA-256 comme fonction de hachage, et GMACFonctions de hachage sécuriséesSHA-256Génération de nombres aléatoiresTout générateur de nombres aléatoires cryptographiquement fort le produit utilise les implémentations OpenSSL de ces fonctions, telles que trouvées dans le moteur OpenSSL EVP standard. Cependant, ils prennent également en charge l'insertion de votre propre moteur. Votre implémentation du moteur OpenSSL pourrait appeler d'autres implémentations de ces fonctions cryptographiques, par exemple en tirant parti de la bibliothèque cryptographique de votre choix, peut-être parce que vous devez utiliser des implémentations compatibles FIPS. Certaines bibliothèques prennent déjà en charge un moteur EVP, auquel cas vous n'avez qu'à configurer les plugins. Sinon, vous devrez écrire une couche de calage qui invoque les bonnes fonctions de votre bibliothèque.

Modifier les plugins intégrés eux-mêmes

Il peut arriver que les algorithmes et mécanismes des plugins intégrés, décrits dans la section précédente, ne répondent pas aux besoins de votre projet. Dans ce cas, vous devrez recourir à des modifications du code des plugins réels, le code qui invoque les fonctions EVP. Par exemple, vous pouvez apporter de petites modifications comme la sélection d'algorithmes différents de ceux définis par la spécification, éventuellement en utilisant des tailles de clé ou des paramètres d'algorithme différents. Autre exemple, vous pouvez passer d'un lien dynamique à un lien statique si vous préférez.

Il est possible d'aller au-delà des modifications mineures et, par exemple, d'introduire un mécanisme d'authentification d'identité totalement différent. S'engager dans cette voie devient assez rapidement compliqué et nous vous recommandons fortement de nous contacter pour discuter de vos besoins et de vos projets. Nous sommes impatients de collaborer avec vous !


Technologie de l'Internet des objets

  1. Comment les pirates piratent le cloud ; Ajoutez plus de sécurité à votre cloud avec AWS
  2. S'attaquer au paysage croissant des menaces des SCI et de l'IIoT
  3. L'avenir est connecté et c'est à nous de le sécuriser
  4. Le parcours IIoT commence par la télémétrie à distance
  5. La sécurité du SCI sous les projecteurs en raison des tensions avec l'Iran 
  6. La sécurité du SCI sous les projecteurs en raison des tensions avec l'Iran 
  7. La sécurité est-elle la plus grande menace pour l'IoT industriel ?
  8. Méthodes d'amélioration de la sécurité de votre maison intelligente
  9. Comment l'IIoT améliore-t-il la viabilité d'un système de surveillance des actifs ?