了解 RTI Connext DDS Secure

我们的 Connext DDS Secure 产品引起了前所未有的兴趣。我们很少看到对产品有如此大的需求和好奇心。这特别不寻常，因为该产品仍处于 Beta 阶段，但客户仍计划尽快发货。我想我会回答一些最常见的问题。

首先，新的 DDS 安全标准指定了安全架构和模型。 OMG 于 3 月采用了 Beta 标准。我们 (RTI) 担任定稿委员会的主席；明年应该是最后的了。 RTI 首先支持新标准。我相信其他 DDS 供应商也会实施它，但目前还没有其他人有产品。

出于多种原因，DDS 安全在中间件领域是独一无二的。首先，它比其他标准更全面地解决了安全问题。该规范涵盖身份验证、访问控制、机密性、完整性、不可否认性和日志记录。其次，它具有“插入式”设计。该规范定义了一组标准插件组件和一个可互操作的线路规范。但是，您可以为插件定义自己的算法。最后，它保护 DDS“主题”，而不是节点或连接。因此，它提供细粒度控制，可以适应独特的工业物联网 (IIoT) 要求。这是第一个针对 IIoT 设备到设备和设备到云网络而非以人或服务器为中心的架构的安全标准。

也许举个例子会更清楚。考虑这个（非常）简单的系统：

DDS 安全

这里的“PMU”代表传感器（一种相位测量单元，常见于功率控制）。 “CBM”（基于状态的维护）分析组件正在监控系统并寻找系统健康问题。该系统的简单操作：PMU 传感器写入状态，控制器读取该状态并写入设定点。 CBM 读取状态并写入警报。操作员可以监控系统。

在DDS中，这个系统很容易设置为主题之间的数据流。当然，DDS 规定了数据速率、可靠性要求等。

为了使用 Connext DDS Secure 保护这个系统，您需要创建一个配置文件来传达这一点：

PMU：状态(w)CBM：状态(r)；警报（w）控制：状态（r），设定点（w）操作员：*（r），设定点（w）

这就是说，简单地说，PMU 只能写状态。 Control 只能读取 State 和写入 SetPoint。 CBM 只能读取状态和设置警报。操作员可以读取任何内容并写入 SetPoint（也许可以关闭系统）。 Connext DDS Secure 直接强制执行这些非常合乎逻辑的系统约束。

概念上就是这么简单。当然，您仍然需要分发证书和配置文件。但是，对于 IIoT 系统而言，这种“基于主题”的安全性比基于锁定协议、隔离节点或基于用户角色限制访问的设计更直观。 Connext DDS Secure 直接且简单地作用于数据流本身。

重要的是，我们的 Connext DDS Secure 产品也不需要任何应用程序代码更改。你配置它并开始。 Connext DDS Secure 为现有系统提供实用、直观的保护。

当然，没有安全防护是万无一失的。因此，大多数实用的安全系统都将保护（阻止坏事）与检测（发现和隔离漏洞）结合起来。例如，这就是您的笔记本电脑同时具有防火墙（保护）和病毒扫描程序（检测）的原因。保护和检测共同提供了更安全的系统。

DDS 作为一种软件“DataBus”，也允许轻松监控。我们用它和PNNL对电网进行“改造”安全测试，用安全的DDS线代替旧的DNP3线，从而实现保护。通过利用 DataBus 流量和元流量，我们可以添加脚本功能（我们有一个灵活的 Lua 组件）。然后，简单的脚本就可以检测到许多潜在的攻击，包括受感染的系统、中间人攻击等。

使用Connext DDS构建安全工业控制系统»

因此，DDS 允许您将保护（标准）与检测（通过数据总线）结合起来。两者的实现都相对简单。

我们的产品目前处于抢先体验版中。但是，它已经在进行防火测试。这是一项非常广泛的测试活动：

USS SECURE 网络安全试验台是美国国家安全局、国防部信息保障范围 Quantico、战斗系统方向活动大坝颈、NSWCDD、NSWC Carderock/Philadelphia、海军研究办公室、约翰霍普金斯大学应用物理学之间的合作实验室和 Real Time Innovations Inc. USS SECURE 的测试台确定了网络防御技术的最佳组合，以在不影响实时截止日期预定性能要求的情况下保护海军作战人员。

如您所见，我们的安全产品需要一些非常苛刻的客户。出于显而易见的原因，我们无法告诉您太多有关这些测试的信息。但是，我可以说我为我们的 Connext DDS Secure 产品感到非常自豪。在这个网站和许多其他网站上，它被证明非常有效。

RTI Connext DDS Secure 将于明年全面上市。如果您有任何疑问，请咨询您当地的代表...