日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
工業(yè)控制系統(tǒng)中安全組態(tài)工程保護(hù)技術(shù)實(shí)現(xiàn)

在工控系統(tǒng)中,為了防止核心的工藝代碼的泄露,技術(shù)人員往往會(huì)對(duì)組態(tài)工程文件加上密碼。當(dāng)打開(kāi)一個(gè)有密碼保護(hù)的組態(tài)工程文件時(shí)會(huì)需要輸入安全密碼。但是由于組態(tài)軟件的設(shè)計(jì)問(wèn)題,導(dǎo)致組態(tài)工程加密措施并不安全,有些形同虛設(shè),非法的操作者甚至能直接繞過(guò)所需的密碼直接打開(kāi)組態(tài)工程文件。

成都創(chuàng)新互聯(lián)-專(zhuān)業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性?xún)r(jià)比卡若網(wǎng)站開(kāi)發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫(kù),直接使用。一站式卡若網(wǎng)站制作公司更省心,省錢(qián),快速模板網(wǎng)站建設(shè)找我們,業(yè)務(wù)覆蓋卡若地區(qū)。費(fèi)用合理售后完善,10年實(shí)體公司更值得信賴(lài)。

不安全的設(shè)計(jì)

在前一段時(shí)間,對(duì)市面上的常見(jiàn)的組態(tài)軟件(包括三菱,組態(tài)王,施耐德,西門(mén)子等上位機(jī)軟件)進(jìn)行安全測(cè)試時(shí)發(fā)現(xiàn)不僅國(guó)內(nèi)的組態(tài)軟件存在組態(tài)工程密碼繞過(guò)問(wèn)題,一些國(guó)外的大廠也存在類(lèi)似的問(wèn)題,包括硬編碼的密碼,組態(tài)工程密碼沒(méi)有作為密鑰加密組態(tài)工程文件,不安全的算法實(shí)現(xiàn)等。

對(duì)于硬編碼密碼的漏洞(如CNVD-2019-30119),廠商快速完成了修復(fù),移除了硬編碼密碼,但是組態(tài)工程文件沒(méi)有得到“真正”的保護(hù)。大多數(shù)存在漏洞的組態(tài)軟件僅僅將用戶(hù)輸入的密碼與真正的密碼(或者密碼hash)進(jìn)行對(duì)比,而沒(méi)有使用輸入的密碼加解密組態(tài)工程文件,這就導(dǎo)致無(wú)論輸入什么密碼,都可以通過(guò)逆向手段找到關(guān)鍵的跳轉(zhuǎn)語(yǔ)句,修改指令讓校驗(yàn)流程始終走向正確的分支(如下圖所示)。對(duì)于這類(lèi)的安全問(wèn)題,解決方法只能是花費(fèi)大量的時(shí)間和精力重新設(shè)計(jì)加密機(jī)制,并且需要敦促用戶(hù)使用更新補(bǔ)丁。這便造成了很多廠商認(rèn)為這類(lèi)問(wèn)題無(wú)關(guān)緊要,不愿花更多資源投入到漏洞的修復(fù)當(dāng)中。

更安全的工程加密機(jī)制

毫無(wú)疑問(wèn),組態(tài)工程文件加密的算法實(shí)現(xiàn)一定是需要讓組態(tài)工程密碼參與到數(shù)據(jù)的加解密運(yùn)算中,否則使用密碼的任何加密存儲(chǔ)形式(sha1 ,md5,sha256等hash算法)都是沒(méi)有作用的。在設(shè)計(jì)組態(tài)工程加密的機(jī)制要考慮以下原則:

加密算法必須保證非??煽浚軌蚍乐构粽邚募用艿拿芪姆聪蛲瞥雒魑幕蛘呙荑€。在這里,可以選擇AES(Advanced Encryption Standard)這類(lèi)非常成熟的加密算法。

足夠長(zhǎng)度的salt是必須的,將salt值附加到密碼后面作為加解密密鑰以此來(lái)保證密鑰強(qiáng)度,這樣可以有效抵御字典暴力攻擊。

考慮到用戶(hù)如果忘記密碼,軟件生產(chǎn)商必須有能力從用戶(hù)的組態(tài)工程文件中恢復(fù)密碼(當(dāng)然留下后門(mén)密碼肯定是不可取的),所以必須將正確的加密密鑰通過(guò)非對(duì)稱(chēng)算法(如RSA2048)加密存到工程文件中,一旦證明了該組態(tài)工程文件是該用戶(hù)所有的,軟件生產(chǎn)廠商可以使用擁有的私鑰去解密密文從而恢復(fù)密碼。

算法選擇應(yīng)該盡量選擇現(xiàn)成加密庫(kù)的算法,例如OpenSSL,減少開(kāi)發(fā)商編寫(xiě)代碼的成本。

加密流程如下圖所示:

一旦存在有些粗心的用戶(hù)忘記了自己的組態(tài)工程密碼,只要能證明該組態(tài)工程文件為自己所有,那么用戶(hù)就可以通過(guò)開(kāi)發(fā)商找回密碼。具體找回密碼流程如下圖所示:

工程密碼保護(hù)

對(duì)于組態(tài)工程密碼來(lái)說(shuō),當(dāng)用戶(hù)輸入正確的組態(tài)工程密碼后,上位機(jī)軟件會(huì)用該密碼解密組態(tài)工程文件,并需要將密碼一直存在于內(nèi)存中,直到用戶(hù)關(guān)閉組態(tài)工程文件才會(huì)將內(nèi)存中保存的工程密碼(期間用戶(hù)可能修改密碼)作為密鑰加密組態(tài)工程文件并進(jìn)行保存。整個(gè)生命周期如下圖所示:

可以看出,正確的密碼一直保存在內(nèi)存中,直到工程被關(guān)閉。所以,對(duì)于內(nèi)存中的密鑰也需要一定的保護(hù)措施,防止其他惡意軟件在組態(tài)工程文件打開(kāi)的情況下通過(guò)讀取進(jìn)程內(nèi)存空間的方法竊取到敏感的密鑰信息。Windows系統(tǒng)已經(jīng)內(nèi)置了一些的函數(shù)保護(hù)敏感的內(nèi)存信息(如CryptProtectMemory/CryptUnProtectMemory),Linux平臺(tái)上的開(kāi)發(fā)者也可以選擇開(kāi)源的第三方安全組件實(shí)現(xiàn)內(nèi)存敏感信息加密。

總結(jié)

組態(tài)工程加解密實(shí)現(xiàn)的方法有很多種,本文提供的方法只是一個(gè)簡(jiǎn)單的例子,讀者可以舉一反三,探索出適合自己的加解密方式。工業(yè)控制系統(tǒng)安全不僅需要用戶(hù)提高安全意識(shí),同時(shí)也需要軟硬件生產(chǎn)廠商高度重視,為用戶(hù)提供更好的服務(wù)。

創(chuàng)新互聯(lián)成都網(wǎng)站建設(shè)公司,為上千家企業(yè)和品牌提供網(wǎng)站建站、定制網(wǎng)站設(shè)計(jì)、網(wǎng)站制作、網(wǎng)站策劃服務(wù);公司秉持一絲不茍、精益求精的態(tài)度,創(chuàng)新互聯(lián)深信,為您創(chuàng)造更多價(jià)值的同時(shí),亦是成就我們(cdcxhl.com)的品牌品質(zhì)。


網(wǎng)站標(biāo)題:工業(yè)控制系統(tǒng)中安全組態(tài)工程保護(hù)技術(shù)實(shí)現(xiàn)
文章起源:http://www.5511xx.com/article/coeojos.html