� Academic � technologie d'authentification int�gr�e bas�e zone industrielle de base d'algorithmes asym�triques

EXAMEN:

Ces derni�res ann�es, l'industrie de l'Internet est devenu pr�occup� par les points chauds du monde. En tant que produit du syst�me industriel et la profondeur de l'int�gration du syst�me Internet de l'onde num�rique de l'industrie Internet est consid�r�e comme indispensable pour soutenir un nouveau cycle de r�volution industrielle. Construction et d�veloppement industriel de l'Internet, un nouveau cycle de r�volution technologique et r�volution industrielle d'une grande opportunit� historique, deviendront un moyen important pour remodeler la comp�titivit� industrielle.

Opportunit�s et d�fis coexistent toujours, les choses industrielles en m�me temps d'�normes opportunit�s, mais pr�sente aussi de nombreux d�fis avec tous les milieux de vie � la recherche. L'int�gration de l'industrie et de l'Internet, l'infrastructure r�seau et de la communication, la s�curit�, la perception et le calcul et ont donc beaucoup de probl�mes � r�soudre. Afin de promouvoir les �changes acad�miques et de promouvoir le domaine industriel de la technologie Internet pour promouvoir le d�veloppement de l'industrie chinoise de l'Internet, le magazine � Application de la technique �lectronique � a l'intention de lancer en 2019 de la colonne de th�me � Internet industriel �. Bienvenue aux chercheurs dans des domaines connexes de discussion forte, contribuent avec enthousiasme!

Collaborateur � la r�daction: Dr Lin Rongheng , L'Universit� de Beijing des Postes et T�l�communications en r�seau et la technologie de commutation, Laboratoire d'�tat cl� Professeur agr�g�, F�d�ration de Chine Computer membre du comit� des services informatiques du GIEC. La recherche a cloud computing engag� depuis longtemps et les grandes donn�es, la recherche a port� sur l'industrie, en particulier les grandes donn�es industrielles, a r�alis� plus de 30 projets nationaux et provinciaux. Parmi eux, participer � l ' � int�gration de soutien aux entreprises des technologies cl�s et les environnements d'application � projet a remport� la National Science et de la technologie Progress Award. � l'heure actuelle, il se livre � de multiples choses, les grands projets de recherche relatives aux donn�es. Un membre de longue date des transactions sur le service informatique, la technologie des communications et d'autres journaux nationaux et �trangers bien connus. En tant que professeur, a gagn� l'Universit� de Beijing des Postes et offre d'excellents instructeurs d'�tudiants dipl�m�s, prix d'excellence d'enseignement, l'Universit� de Beijing des Postes et T�l�communications, compil� la � architecture logicielle � de manuel a �t� d�sign� comme un enseignement de premier cycle ou des cycles sup�rieurs un certain nombre d'universit�s nationales.

R�sum�:

La technologie d'authentification int�gr�e est l'auteur d'une technologie brevet�e, les produits innovants reposent sur la m�thode d'authentification int�gr�e est nouvelle zone centrale de protection du syst�me de contr�le industriel. IPK et suivre PKI cryptosyst�me, de r�aliser industriellement le commutateur d'authentification int�gr�, le commutateur SM2 algorithme asym�trique pour acc�der au processus d'authentification du terminal d'acc�s. Il d�crit le serveur d'authentification int�gr� de commutation et impl�mentation Windows / Linux et les d�tails techniques pour authentifier le client et les fonctions de l'authentification int�gr�e, la vitesse et anti-contrefa�on pour l'authentification.

format de citation chinois: . Liu technologie d'authentification int�gr� Jianbing bas� sur les algorithmes asym�triques de la zone industrielle de base de la technologie �lectronique, 2019,45 (12): 10-15.

Anglais format de citation: . Liu Jianbing technologie d'authentification int�gr� pour la zone centrale de contr�le industriel bas� sur l'algorithme asym�trique application de la technique �lectronique, 2019,45 (12) :. 10-15.

0 introduction

la s�curit� du syst�me de contr�le industriel est une partie importante de la s�curit� du r�seau national, l'assurance et d'autres la s�curit� du syst�me de contr�le industriel 2.0 crit�res d'inclusion refl�tant les exigences de la politique nationale pour prot�ger la s�curit� du syst�me de contr�le industriel. Les syst�mes de contr�le industriel sont �galement l'infrastructure de l'information sur les infrastructures essentielles, de nouvelles m�thodes de r�seau de syst�me de contr�le industriel exploration de s�curit�, a une signification positive pour am�liorer la s�curit� de la protection des infrastructures d'information critiques et la s�curit� des r�seaux, la lutte contre les menaces de s�curit� informatique.

La nouvelle m�thode de s�curit� du syst�me de contr�le industriel

L'industrie de la technologie de protection de s�curit� du syst�me de contr�le industriel populaire et solutions principalement � la p�riph�rie (couches de surveillance processus ou plus), la zone centrale des syst�mes de contr�le industriel: protection (partie de cadre noir �pais une couche de contr�le de champ + couche de surveillance de processus) est encore tr�s faible, m�me un vide. En renfor�ant les dispositifs de s�curit� dans la zone centrale du syst�me de contr�le industriel commutateurs pour �tablir la zone de base du syst�me d'acc�s aux fronti�res des syst�mes de contr�le industriel, les syst�mes de contr�le industriel est une nouvelle m�thode de s�curit�, qui est bas�e sur les commutateurs industriels standards, sans affecter ses fonctions de communication de base , l'�quipement informatique d'acc�s Authentifier les commutateurs. La technologie de commutation de combinaison, garantie par le commutateur de transmettre certifi� des paquets de donn�es informatiques l�gitimes, ordinateur non certifi� commutateurs a refus� de transmettre la mise en place derni�re ligne de d�fense dans la zone centrale des syst�mes de contr�le industriel afin de prot�ger la s�curit� de la zone centrale. capacit� de contr�le d'acc�s � base de l'�change, la mise en place de la zone centrale de la zone centrale des relations d'affaires en fonction des politiques de contr�le des �quipements de communication et d'acc�s pour emp�cher la communication de donn�es en dehors du cours normal des affaires.

Figure extraite de nouvellement lib�r�s GB 1 / T 22239-2018 � technologie de s�curit� de l'information exigences en mati�re de protection de la s�curit� du r�seau de base � Annexe G, dans lequel la couche de contr�le de champ et la couche est un syst�me de contr�le suivi du processus de contr�le du processus de production industrielle est directement li�e � une r�gion, fonction normale r�gionale est toujours en mesure de garantir la capacit� de production de base, m�me si la zone p�riph�rique attaques de r�seau ont souffert et perte d'�nergie, la zone centrale de la logique de contr�le a �t� en mesure de maintenir ensemble de la production correctement ex�cut�e, si la s�curit� est la s�curit� des syst�mes de contr�le industriel du syst�me de contr�le industriel de la zone centrale le noyau, seule la zone centrale a �t� effectivement prot�g�e, afin d'assurer la s�curit� des syst�mes de contr�le industriel.

2 technologie d'authentification int�gr�e et interrupteur de s�curit�

Int�gr� authentification (int�gr� Authenitication, EA) est de construire le nouveau syst�me d'authentification d'acc�s au r�seau de couche, qui est int�gr� dans chaque commutateur d'acc�s au service d'authentification int�gr� (embarqu� Authenitication Server, EAS) protocole de synchronisation des donn�es authentifi�es (Authenitication donn�es Protocole de synchronisation, ADSP) travail, chaque commutateur d'acc�s et un acc�s au terminal finalise la proc�dure d'authentification par le protocole d'authentification d'acc�s acc�s au PAA, le contr�le d'admission pour atteindre les limites du r�seau. Ces deux accords ne sont pas l'objet de cet article, sauter les d�tails. certification de s�curit� int�gr� est une fonction importante de l'interrupteur, est la base de la zone centrale de la certification de la s�curit� du syst�me de contr�le industriel et l'acc�s, ainsi que l'interrupteur de s�curit� est diff�rent des principales caract�ristiques de l'interrupteur ordinaire.

authentification et de certification int�gr�, y compris les fonctions de contr�le d'acc�s au r�seau int�gr� associ�s � deux moyens d'authentification int�gr�s est int�gr� dans les commutateurs d'acc�s aux services d'authentification d'identit� EA, le contr�le d'acc�s au r�seau (R�seau de services d'acc�s, NAS) est un acc�s objets de r�seau de commande de r�seau. L'authentification int�gr�e est int�gr� le service d'authentification mis en uvre dans le commutateur, effectuez la simple t�che de communication par la s�curit� d'authentification de commutateur de r�seau int�gr� des fonctionnalit�s int�gr�es dans un dispositif de communication, et distribu� des services d'authentification � la p�riph�rie du r�seau.

syst�me d'authentification int�gr� et le syst�me d'authentification classique est tr�s diff�rente, comme le montre. La figure 2, la gauche est une architecture de syst�me d'authentification classique, le droit est int�gr� l'architecture du syst�me d'authentification. Tout d'abord, le syst�me d'authentification traditionnelle est une architecture verticale, le serveur d'authentification centralis�e du serveur Radius et client authentification compos� dans le syst�me traditionnel de certification, le r�seau est que le canal, et non pas les �l�ments fonctionnels du syst�me de certification, syst�me d'authentification int�gr� est l'architecture de r�seau sur la base du bord lat�ral, par l'EAS du serveur d'authentification et une pluralit� de d�ploiement du client d'authentification parall�le, et chaque EAS est int�gr� dans le commutateur d'acc�s, de sorte que les dispositifs d'acc�s au r�seau deviennent syst�me d'authentification indispensable des facteurs . En second lieu, le processus de certification est diff�rent du syst�me d'authentification traditionnel peut �tre consid�r� comme un service r�seau, si la certification est d�termin� par l'application, dispositif d'acc�s avant une application particuli�re, sans certification peut premier r�seau d'acc�s, dans l'application requise par le client uniquement initie l'authentification, l'authentification � la fin du serveur d'authentification r�seau interne, un r�seau d'authentification ind�pendante (sauf 802.1x), l'authentification du syst�me embarqu� et une authentification d'acc�s au r�seau li�, pas de services d'applications r�seau en option, que l'authentification est obligatoire , � savoir, lorsque le terminal acc�de � l'authentification du r�seau, l'authentification apr�s le premier r�seau est l'une des caract�ristiques principales de l'authentification int�gr�; authentification est initi�e par un commutateur d'acc�s au r�seau, l'extr�mit� � l'int�rieur du commutateur de surveillance EAS, le troisi�me, des techniques d'authentification classiques employ�es l'identit� d'authentification, les normes de protocole d'authentification et les algorithmes sont la technologie d'authentification �trang�re, int�gr� identification ind�pendant de certification de la conception et des protocoles d'authentification bas�s sur des algorithmes asym�triques, en particulier l'algorithme cryptographique international peut �tre mis en uvre SM2, le quatri�me, la technologie d'authentification PKI traditionnelle est principalement syst�me, en utilisant des certificats num�riques x.509 standard et algorithme SM2 / RSA, la technologie d'authentification int�gr�e principalement en utilisant la cl� , Ne repose sur le certificat, non seulement peut prendre en charge le syst�me de cl� publique PKI, l'utilisation de X.509 format de certificat num�rique, prend �galement en charge le syst�me IPK de certificats gratuits.

Du point de vue formel, l'authentification int�gr�e et de la technologie d'authentification 802.1x ont un lieu similaire, principalement dans le terminal sont contr�l�s commutateur d'acc�s au r�seau, mais il y a tr�s diff�rents, l'ancien encore dans le cadre de l'architecture traditionnelle, en utilisant le centre du serveur Radius, qui utilise la distribution de l'EAS, l'ancien processus d'authentification est compl�t� par le protocole EAP entre le client et le serveur Radius, qui utilise le protocole AAP.

3 La technologie d'authentification bas�e sur la mise en uvre algorithme secret d'Etat int�gr� SM2

techniques d'authentification int�gr�es peuvent �tre bas�es sur une vari�t� d'algorithme asym�trique, afin de faciliter la cl� d'authentification int�gr�e et la principale technique d'�coulement d�crit, r�aliser seul �tat des cl�s d'identification secr�tes et des algorithmes SM2 syst�me (Identity-cl�s, IPK) en tant que touches sp�cifiques exemple int�gr� r�cit pour obtenir la certification.

3.1 processus de certification globale int�gr�

La technologie d'authentification int�gr�e bas�e sur des algorithmes asym�triques � atteindre une zone d'authentification du terminal des syst�mes de contr�le d'acc�s, noyau industriel. Le terminal (� savoir, le client d'authentification) et le commutateur de protocole d'authentification d'acc�s d'authentification int�gr� par l'interm�diaire du PAA, en utilisant l'algorithme secret d'�tat SM2, le terminal d'acc�s d'authentification de message d'authentification cryptographique pour r�aliser une interaction, en particulier la figure 3.

processus d'authentification du terminal de commutateur global est le suivant:

(1) Enregistrer l'interrupteur de fin EAS touche publique de l'utilisateur l�gitime (cl� publique, PBK), lorsque le commutateur de bord terminal d'acc�s, qui adresse MAC du commutateur se trouve, � savoir, les initi�s de commutation fin EAS d�fi d'authentification, selon l'adresse MAC dans la biblioth�que publique locale correspondant � la requ�te de PBK;

(2) fin de l'interrupteur correspondant � l'EAS mac PBK ne se trouve pas, aucune authentification est effectu�e directement dans l'�tat d'attente d'attente d'un d�lai d'attente; mac correspondant PBK trouv�e, la certification de l'�tape suivante;

(3) et le client EAS fin de commutateur d'authentification aux messages d'�change d'authentification (demande d'authentification comprend un message EAS, le paquet de r�ponse de d�fi client, etc.);

(4) l'EAS d'extr�mit� du commutateur authentification du terminal ne r�ussit pas, en attendant que la condition d'attente de sortie, l'authentification, le passage est ouvert, permettant au terminal d'acc�der � la communication r�seau;

(5) apr�s la premi�re authentification, les intervalles r�guliers p�riode installation d'authentification de l'ESA de synchronisation initie une demande d'authentification au client (le m�me que la premi�re proc�dure d'authentification et d'authentification), si l'authentification est r�ussie, le passage EAS reste ouvert, si l'authentification �choue, le ferm� passage dans le d�lai d'attente de l'�tat Hold.

3.2 fin de commutation mise en uvre du service d'authentification int�gr�

Acc�s Authentication Protocol (Protocole d'acc�s Authenitication, AAP) est int�gr� dans l'objet pour activer le protocole de communication et l'authentification des donn�es d'acc�s de commutateur authentification d'acc�s. Syst�me de cl� publique PKI / IPK et de l'�tat SM2 algorithme secret est la cl� d'un accord AAP, la figure 4 montre la principale mise en uvre EAS processus de certification, algorithme SM2 qui d�crit l'utilisation et le r�le. La technologie EA en vertu du principe de la distribution des cl�s est termin�e, fin EAS a sauv� la PBK cl� du client l�gitime du public, la cl� priv�e (Private Key, PRK) stock�s dans le client.

Commutateur processus d'authentification du terminal: le terminal de commutateur en utilisant l'adresse EAS mac bas� r�cup�r� de PBK 1024 bit nombre al�atoire qui est crypt� SM2, va g�n�rer un texte chiffr� correspondant � une adresse MAC de l'h�te de client, la valeur MD5 et le nombre al�atoire mac empreintes digitales stock�es dans la m�moire cache correspondant, dans l'attente de r�pondre � l'h�te de client.

A la r�ception du d�fi de la r�ponse de l'h�te, l'EAS extrait les donn�es utiles de paquet, qui est la comparaison d'empreintes digitales correspondant mac cache d'empreintes digitales de valeur MD5, si identiques, l'authentification est r�ussie, ouvre trajet d'�change, le commutateur commence � transmettre le paquet de donn�es h�te, l'acc�s au r�seau est termin�e, ou si une autre r�ponse n'a pas �t� re�ue, le passage d'�change �t� ferm�, le commutateur rejette tous les paquets d'acc�s d'h�te, refuser au r�seau.

Apr�s la premi�re authentification, l'acc�s EAS � la certification p�riodique, le processus de certification et le processus de certification initiale du client est similaire � ne pas les r�p�ter. La diff�rence est que, apr�s un �chec ou hors ligne, l'authentification du client EAS p�riode ferme l'acc�s aux canaux d'�change d'accueil, et dans l'authentification suivante dans l'�tat pr�t.

3.3 La mise en uvre d'authentification du client

Le processus d'authentification du client sont: host couche paquets de moniteur de r�seau client, lors de la r�ception d'un paquet de demande d'authentification envoy�e � la machine, supprimer la charge et appelle la fonction de d�cryptage de paquets SM2 d�crypte les donn�es � l'aide de la PRK cl� priv�e de cet appareil, les donn�es avec paquet de couche 2 retour � l'EAS. La figure 5 montre le principal logiciel client processus de certification.

Les principales diff�rences sous gestion de 3,4 ICP / IPK

Vous trouverez dans le processus de mise en uvre ci-dessus, l'utilisation de processus de chiffrement diff�rent g�n�ral algorithme d'authentification SM2 int�gr�, le processus de chiffrement est le chiffrement de cl� g�n�ralement asym�trique et la n�gociation de cl� sym�trique, puis le contenu des donn�es � l'aide d'une transmission cl� sym�trique crypt�e et le d�chiffrement; cl� d'authentification directement int�gr�e en utilisant un chiffrement asym�trique et le d�cryptage des donn�es de contenu, � savoir, la cryptographie � cl� publique, cl� priv�e pour d�crypter, le processus de cryptage et de d�cryptage est simplifi�e, une transmission de donn�es interactives � l'authentification compl�te, ce qui r�duit l'extr�mit� de l'interrupteur de calcul de la consommation de ressources, am�liorer la communication et la certification de l'efficacit�. Ce mode de r�alisation utilise 256 longueur de cl� de bits, la longueur des donn�es de la conception authentification 1024 bits, l'algorithme SM2 est tr�s appropri� pour le traitement de paquets de donn�es. Les donn�es d'authentification en utilisant le nombre al�atoire, le contenu de chacun sont diff�rents du processus d'authentification, les donn�es d'authentification est valide uniquement pour une p�riode de temps d'authentification (p�riode d'authentification est fix� � 10 s), la plaquette unique est, en effet, le temps d'attaque est fen�tre tr�s court, afin d'am�liorer la la force anti-attaque.

Le PKI cryptosyst�me, le certificat de cl� publique est un transporteur num�rique, EAS fin des certificats num�riques doivent importer et de g�rer terminal d'acc�s, le processus d'authentification en utilisant l'EAS cl� publique de donn�es d'authentification directement Crypter.

IPK le syst�me de cl�, la cl� priv�e ou publique, ne comptez pas sur les certificats num�riques, cl� publique bas�e sur une combinaison d'identification (Combinnation identification, CID) et une graine de cl� publique (semences � cl� publique, PKS) calcul�e, de sorte que la gestion EAS c�t� est pas bien cl�, mais une combinaison de CID identit� du client.

4 zone industrielle de noyau de simulation d'acc�s d'authentification int�gr�

4.1 environnement de simulation pour �tablir

zone centrale du syst�me de contr�le industriel typique de commutateurs industriels, ordinateur h�te, l'�quipe suivante, serveurs, imprimantes, etc., dans lequel l'ordinateur h�te, l'�quipe suivante et les serveurs qui appartiennent � un ordinateur � usage g�n�ral, ex�cutant des syst�mes d'exploitation courants, principalement Windows et Linux. environnement de simulation de syst�mes de contr�le industriel pour la construction de la zone centrale de l'environnement r�seau, l'interrupteur de s�curit� � analogique standard commutateur r�seau stations ing�nieur de simulation PC, stations op�rateur et un autre serveur h�te commun.

Environnement de simulation se compose de trois interrupteurs de s�curit� et trois composants PC, l'utilisation de trois VRV 6211 interrupteurs de s�curit� forment la zone centrale de l'environnement de simulation de r�seau, 3 PC, installer le syst�me d'exploitation Windows et le logiciel client d'authentification int�gr�, v�rifiez authentification du terminal dans le commutateur int�gr� un acc�s authentifi� sur la r�alisation de l'environnement de simulation sp�cifique illustr� � la figure 6.

4.2 v�rification d'authentification

V�rifiez les �tapes suivantes:

(1) reli� au dispositif de la figure 6, PC1, PC2, le logiciel client d'authentification PC3 est pas install�, la commande ping pour v�rifier la connectivit�;

(2) PC1, PC2, logiciel client d'authentification PC3 install� commande ping pour v�rifier la connectivit�;

(3) introduit sur la cl� priv�e de la commande ping client d'authentification PC1 pour v�rifier la connectivit�;

(4) l'introduction de la cl� priv�e de la commande ping client d'authentification PC2 pour v�rifier la connectivit�;

(5) l'introduction de la cl� priv�e de la commande ping client d'authentification PC3 pour v�rifier la connectivit�;

(6) un par un � la supprimer PC1 SW1, PC2, PC3 cl� publique (CID), � l'aide de la commande ping pour v�rifier la connectivit�.

V�rifiez que les r�sultats sont les suivants:

(1) l'�tape (1) test, PC1, PC2 et PC3 ne peuvent pas ex�cuter la commande ping de l'autre, trois PC ne peut pas tester l'adresse IP du dispositif trois interrupteurs;

(2) l'�tape (2) test, PC1, PC2 et PC3 ne peuvent pas ex�cuter la commande ping de l'autre, trois PC ne peut pas tester l'adresse IP du dispositif trois interrupteurs;

Test, PC1 apr�s mise en correspondance d'introduction cl� priv�e (3) �tape (3), peut �tre l'adresse IP du ping les trois interrupteurs;

(4) �tape (4) de test, PC2 apr�s l'introduction de la cl� priv�e correspondante, peut �tre trois commutateurs ping sur l'adresse IP et peut ping PC1;

(5) l'�tape (5) test, PC3 apr�s l'introduction de la cl� priv�e correspondante, peut �tre de trois commutateurs ping sur l'adresse IP, et peuvent ping sur le PC1 et PC2;

(6) Apr�s l'�tape (6) test, retirer PC1 SW1 CID dans environ 10 s, commande ping PC1 sur le PC et les deux autres commutateurs de tous les d�lais d'attente de tous, continuer � supprimer CID PC2 et PC3, PC1 m�me r�sultat.

Test 4.3 vitesse de certification

V�rifiez les �tapes suivantes:

(1) selon l'environnement dispositif de v�rification de raccordement, tout le client d'authentification PC install� et mis en place dans la cl� priv�e correspondante respective, d'un CID introduit sur trois PC SWl;

(2) Configuration SW2, PC2 miroir de port du trafic du port et PC3 connect� � SW3 est reli�, pour assurer l'outil de capture wireshark (V 3.0.0) du trafic captur� PC3;

(3) D�connecter le PC2 est connect� � l'SW2, au moins 30 s apr�s le r�tablissement de la connexion, r�p�t� 10 fois, � chaque tentative de connexion PC2 SW2, pour voir si la connexion est r�ussie;

(4) reste connect� au SW2, PC2, en utilisant la dur�e de capture d'outil de capture de wireshark (de V3.0.0) 200 s.

V�rifiez que les r�sultats sont les suivants:

(1) l'�tape (1) Pr�paration de l'environnement, PC2 peut ping tous les interrupteurs et PC3;

(2) l'�tape (2) configurer la mise en miroir de port de commutateur, et des donn�es de trafic � partir de PC2 peut attraper le wireshark PC3;

(3) l'�tape (3) de test, d�brancher le journal PC2 c�ble PC2 apr�s SW2, au moins 30 s apr�s la prise de la ligne d'Internet, d'un premier paquet de donn�es d'authentification wireshark de pr�hension, dans lequel le paquet eth.type = 0x876d, r�p�ter au moins 10 fois, chacune des donn�es captur�es paquet enregistr� dans le tableau 1;

(4) l'�tape (4) de test, PC2 dans la premi�re authentification est r�ussie, le cas o� le r�seau de communication, des paquets de donn�es avec wireshark captur� de fa�on continue, dure environ 200 s, dans lequel l'emballage eth.type = 0x876d, les donn�es de temps de saisie des donn�es rapport� dans le tableau 1;

(5) Traitement de donn�es, la certification de temps pour la premi�re fois d�livr� pour la premi�re diff�rence de temps entre le paquet de requ�te en ligne a re�u le temps de r�ponse de demande d'authentification du commutateur SW2, T = QR, l'unit� s, r�serv�e six chiffres significatifs, les cycles de certification chronophages pour le commutateur SW2 re�oit un temps de r�ponse de d�fi d'authentification et le d�fi de la diff�rence de temps, T = CR, l'unit� s, pour retenir six chiffres significatifs.

4.4 V�rification anti-contrefa�on certifi�e

V�rifiez les �tapes suivantes:

(1) Le dispositif de connexion selon l'environnement de v�rification;

(2) PC1 de confirmation, PC2, PC3 a �t� correctement authentifi� r�seau de communication;

(3) modifier l'adresse de la carte r�seau de l'adresse de la carte r�seau de PC2 sur PC3, PC3 connectivit� de r�seau de test;

(4) modifier l'adresse de la carte r�seau sur l'adresse de la carte r�seau de PC2 PC3, PC2 PC3 introduit la cl� priv�e client du PC3 priv� alternatif, PC3, la connectivit� r�seau de test;

(5) Le PC3 PC2 clon� dans le disque dur local, et un outil d'�dition sur l'adresse de la carte r�seau de l'adresse de la carte de PC2 PC3, PC3 vue connectivit� r�seau.

V�rifiez que les r�sultats sont les suivants:

(1) l'�tape de v�rification (2), respectivement, chaque PC PC ping les deux autres et trois commutateur, pour confirmer les trois PC a �t� certifi�e, le r�seau peut communiquer;

(2) l'�tape de v�rification (3), de modifier le syst�me d'exploitation sur le PC3 d'adresses MAC, les �l�ments PC3 tous les autres r�seaux test de ping heures suppl�mentaires, ne peut pas ping sur le commutateur SW3 sont directement reli�s, l'authentification d'acc�s PC3 �choue;

(3) �tape de v�rification (4), l'�tape suivante (3), l'importation PC2 PC3 en priv�, le test PC3 ping � d'autres �l�ments de r�seau encore d�lai d'attente, test ping pour SW3 connexion directe encore d�lai d'attente, l'authentification ne peut pas par, PC2 d�lai d'attente de test ping en plus du PC3, ping autres �l�ments de r�seau en r�ponse � la normale, l'authentification PC2 non affect�; PC3 r�p�ter le test de red�marrage, les m�mes r�sultats;

(4) la v�rification de l'�tape (5), un disque dur install� dans le promoteur clone PC3, modifier le syst�me d'exploitation de l'adresse MAC de PC2, PC3 de temporisation de tous les autres �l�ments de r�seau test Ping, y compris les commutateurs SW3 sont directement reli�s, l'authentification �choue.

4.5 v�rifier la conclusion

Un ordinateur � usage g�n�ral en v�rifiant la fonction d'authentification d'un environnement de r�seau typique, les syst�mes de contr�le industriel de la zone centrale, les conclusions suivantes:

(1) Fonction d'authentification int�gr�e commutateurs r�seaux d'acc�s r�pondent aux crit�res de conformit� pour obtenir l'authentification d'authentification et un acc�s int�gr�, la fonction d'authentification est d�termin�e, la fonction d'acc�s efficace;

(2) certifi� Vitesse: premier temps d'authentification d'acc�s au r�seau informatique est 2,79 s, le temps de cycle d'authentification est 0,52 s (pr�cision de 1% s);

(3) peut r�sister aux moyens de contrefa�on communs, la contrefa�on de l'adresse MAC, le vol de la cl� priv�e, le clonage de disque dur ne peut pas briser l'authentification int�gr�e et l'authentification d'acc�s.

5. Conclusion

Certifi� comme int�gr� la nouvelle technologie d'acc�s utilise l'algorithme d'authentification asym�trique a une signification pratique pour l'am�lioration des capacit�s de s�curit� r�seau. En tant que nouvelle technologie exige en outre le d�veloppement et l'am�lioration du syst�me de certification actuel est principalement int�gr� des outils d'�quipement d'acc�s de classe informatique authentification forte, l'�quipement non-ordinateur est encore utilis� dans mac certification, port mac / IP certification de liaison mani�re. Ce dernier utilise la technologie d'authentification � partir du point de vue, on peut dire sont la technologie d'authentification non fiables, il y a des vuln�rabilit�s importantes peuvent �tre contrefaites, faux mac / IP peut facilement tromper le syst�me d'authentification, il est n�cessaire de continuer � r�soudre le probl�me. L'auteur est d'avis que la direction future de la technologie d'authentification int�gr�e, est implant�e dans le dispositif int�rieur d'acc�s ordinateur client non-authentification, de sorte que le dispositif peut �galement �tre utilis� des dispositifs non informatiques et algorithme asym�trique par ordinateur authentification forte similaire.

dispositifs de syst�mes embarqu�s supportent pas les algorithmes asym�triques, un obstacle majeur � la r�alisation de l'authentification int�gr�e, tels que les algorithmes asym�triques peuvent implanter des syst�mes embarqu�s en fonction de base, l'authentification sera int�gr� dans les syst�mes embarqu�s pour atteindre � ouvrir la voie, bienvenue le pays est d�j� un pionnier dans le syst�me d'implant de puce cryptographique embarqu�, ce qui am�liorera grandement la capacit� de r�aliser l'authentification int�gr�e du syst�me embarqu�. certification Int�grer a maintenant atteint le client de certification int�gr� dans le syst�me Linux, il a une bonne portabilit� des �quipements du syst�me Linux embarqu�, et a fait une exploration pr�liminaire et les principaux PLC nationaux et les fabricants imprimante, a fait des progr�s initial, perc�e peut s'attendre, l'avenir, la certification une fois obtenue PLC int�gr� et une imprimante, tous les composants du syst�me des syst�mes de contr�le industriel pour cr�er la zone de base du syst�me d'acc�s � la carte des syst�mes de contr�le industriel zone centrale de la technologie d'authentification bas�e sur la reconnaissance d'auto-contr�le int�gr� et peut s'attendre � obtenir avantages techniques, la mise en place d'un syst�me de contr�le industriel s�curit� r�seau deuxi�me ligne de d�fense, prot�gent efficacement contre les attaques r�seau et les menaces sont importantes.

r�f�rences

�GB / T 22239-2018 technologie de s�curit� de l'information pour prot�ger le niveau de s�curit� du r�seau des exigences de base de 0,2018.

Informations sur l'auteur:

Liu Jianbing

(Source Software Co., Ltd Beijing du Nord, Beijing 100044, Chine)

D�claration d'origine: Ce contenu original pour le site de l'AET, interdire non autoris�e reproduit.

Route de la soie

Apprenez � conna�tre la Chine

� Academic � technologie d'authentification int�gr�e bas�e zone industrielle de base d'algorithmes asym�triques