企业产品

分布式身份认证系统

分布式身份认证系统是针对工业控制系统业务优先的高可用、实时性要求,运行在工业互联网环境(例如工业环网),为ICS工业控制系统提供身份认证服务的系统。分布式身份认证系统融合公钥密码、网络冗余架构和本地认证技术,能够提供设备入网接入认证、用户操作员认证、设备通讯认证等身份认证服务。

当前位置: 首页 > 工业控制网络安全 > 分布式身份认证系统

    分布式身份认证系统是针对工业控制系统业务优先的高可用、实时性要求,运行在工业互联网环境(例如工业环网),为ICS工业控制系统提供身份认证服务的系统。分布式身份认证系统融合公钥密码、网络冗余架构和本地认证技术,能够提供设备入网接入认证、用户操作员认证、设备通讯认证等身份认证服务。

    一、 需求概述

    传统PKI信任体系是中心化的,通常由集中的认证设备提供身份认证信任服务,在工业互联网环境(例如工业环网),网络以及业务架构多采用分布式多冗余架构设计,集中的认证网关无法适用工业控制系统高可用性要求,因此要求采用去中心化认证的架构,认证过程不依赖于集中的认证中心。

    分布式身份认证系统是针对工业控制系统业务优先的高可用、实时性要求,运行在工业互联网环境(例如工业环网),为ICS工业控制系统提供身份认证服务的系统。分布式身份认证系统融合公钥密码、网络冗余架构和本地认证技术,能够提供设备入网接入认证、用户操作员认证、设备通讯认证等身份认证服务。

    二、 功能价值

    分布式身份认证系统包括:

    1) CA证书认证服务器:负责用户、设备数字证书签发功能,部署在本部。

    2) 二级本地证书管理服务器:提供工控站本地设备证书目录存储及查询服务,以及设备证书安全分发、证书恢复等。内置PCIE加密卡。

    3) 证书认证代理软件:运行在环网设备终端本地,负责本地私钥保护存储、以及本地可信证书列表的更新管理。

    为了避免因为集中身份认证服务器单点故障导致控制设备无法使用的问题,采用了如下设计思路。

    1) 认证过程采用公钥证书体制。 为工业控制网络中每一个设备生成一个设备标识证书,在证书扩展字段中记录设备唯一的序列号等硬件信息,认证过程中需对硬件标识进行验证。设备私钥以软件或硬件模块的形式保存到终端设备中。

    2) 采用分布式认证方式。 设备认证过程不依赖集中的身份认证服务器,而是采用设备本地可信证书库的方式来实现对于证书持有者的验证,本地可信证书库通过二级证书服务中心设备进行定期动态维护。

    3) 认证触发节点采用动态选举机制。 设备接入认证过程由在设备接入环网后触发,触发主机采用“动态选举机制”,保证当前只有一台认证节点和新入网的设备发起接入验证。

    4) 设备的接入认证采用告警机制,而非阻断方式。 设备接入环网未认证通过时,允许以明文方式广播通信,但是会在监控程序触发“未认证”的持续告警状态,未认证状态的设备,可以根据业务软件的策略,限制其部分功能使用。

    统一身份认证系统主要包括多种认证方式、单点登录、授权管理、用户管理、日志设计等功能。说明如下:

    1. 安全认证
    2. 用户要访问应用系统之前,先要到统一身份认证系统上进行身份验证,通过验证之后,用户才有权限访问内部的应用系统,这样极大的减少了企业内部各系统之间相互独立认证而引发的各种安全隐患。

      系统需支持静态口令校验、数字证书、图片检验码、手机短信、二维码登录等认证方式,并可以扩展指纹、人脸、指静脉等多种认证方式,需具备对多种认证手段的接入和管理能力,并支持对各类认证手段进行封装,对外统一发布认证服务

    3. 应用系统单点登录
    4. 用户只需登录一次就可访问其所有有权访问的系统。通过统一身份认证系统的认证后,即可访问其有权限的所有应用系统,用户无需再输入原有系统的登录密码。

      简化了用户的登录过程,而且也无需再记忆大量的密码,方便用户对系统的访问。统一身份认证系统支持基于SAML、token令牌、表单代填等多种单点登录集成方式。

    5. 组织和用户管理
    6. 系统支持对于统一认证内组织机构及用户的集中管理,能够实现用户和组织机构树的增加,删除,修改,查询操作。支持不同机构数据的分级管理。

    7. 用户目录
    8. 系统支持标准的LDAP目录发布功能,能够将用户和组织机构数据发布到LDAP目录上,建立统一的用户数据来源,并提供标准接口供第三方应用进行访问,可实现替换微软AD目录。

    9. 授权管理
    10. 系统能够提供多维度的权限管理功能。支持基于应用/角色进行入口级授权,支持基于角色实现授权策略。可对用户进行分级管理,设定不同级别的系统管理员,本级的管理员只能管理本级的用户,并为用户分配权限,不能管理其他组的用户。

    11. 审计管理
    12. 系统管理员实时监测用户对企业各应用系统的访问状态,及时发现非法访问事件,对系统运行状态实时监控审计,增强系统可维护性。例如:用户操作信息、用户登录登出信息、用户管理信息、授权管理信息等统计报告。

    13. 自助服务
    14. 提供用户自助服务功能,支持用户自助进行修改密码、授权应用查看、个人信息维护等操作。

    图 工业控制网络密码安全设备拓扑图

  • =============内容区4==============