關(guān) 閉

新聞中心

EEPW首頁 > 工控自動化 > 專題 > 工業(yè)物聯(lián)網(wǎng)(IIoT)離不開嵌入式安全性

工業(yè)物聯(lián)網(wǎng)(IIoT)離不開嵌入式安全性

作者:Suhel Dhanani 時間:2017-02-24 來源:電子產(chǎn)品世界 收藏

作者/Suhel Dhanani Maxim公司

本文引用地址:http://m.butianyuan.cn/article/201702/344447.htm

  1制造領(lǐng)域的

  制造業(yè)需要采集并處理大量數(shù)據(jù),通過對數(shù)據(jù)進行分析和可視化,有助于優(yōu)化運營和成本。數(shù)據(jù)是(IIoT)的基石,而制造業(yè)能夠從IIoT中獲得利益最大化。在制造領(lǐng)域,智能傳感器、分布式控制及復(fù)雜安全軟件提供的安全方案是這次革命的黏合劑。

  為了實現(xiàn)IIoT的愿景,我們必須將大量數(shù)據(jù),甚至老舊系統(tǒng)置于云端。這將帶來巨大的安全隱患,因為適用于工業(yè)控制系統(tǒng)的安全措施尚未跟上步伐,甚至在某些情況下根本不存在。當(dāng)參與者知道(無論是否惡意)某個工廠或車間實際上已經(jīng)聯(lián)網(wǎng),并充分利用各種不同的攻擊手段時,這一切將發(fā)生變化。

  安全措施必須是軟件和硬件的結(jié)合,保護關(guān)鍵的控制系統(tǒng)免受各種攻擊。關(guān)鍵挑戰(zhàn)有三種:采用密鑰的硬件安全認(rèn)證、采用TLS的安全通信,以及安全裝載。由于連通性(支持IIoT的能力)將任何安全漏洞暴露無遺,為了保護IIoT利益,安全問題就不能是亡羊補牢式的方案。

  2 IIOT為工廠帶來的便利

  IIoT在工廠建設(shè)中的一個很好案例是通用電氣(General Electric)在紐約北部設(shè)立的價值1.7億美元的現(xiàn)代化工廠。該工廠在2015年開始運營,為手機通信塔等設(shè)備生產(chǎn)先進的鈉鎳電池。工廠布設(shè)了10000多個傳感器,分布于180000平方英尺廠房;所有傳感器都連接到內(nèi)部高速以太網(wǎng)。傳感器監(jiān)測一切過程,例如:使用哪個批次的原材料、烘烤溫度是多少、制造每節(jié)電池的耗能多少,甚至當(dāng)?shù)氐臍鈮旱葏?shù)。在生產(chǎn)車間,員工利用平板電腦即可通過遍布全廠的Wi-Fi節(jié)點獲得所有數(shù)據(jù)。

  制造業(yè)的另一個例子是西門子的安貝格電子廠,該工廠生產(chǎn)可編程邏輯控制器(PLC)。生產(chǎn)過程的自動化程度很高,機器和計算機處理價值鏈的75%工作,其它則由人工完成。只有在生產(chǎn)過程的起始階段需要人工處理,員工將基本件(裸電路板)放在生產(chǎn)線上。此后,一切均自動完成。值得一提的是,Simatic單元控制Simatic設(shè)備的生產(chǎn)。整個制程大約有1000個這樣的控制單元。

  IIoT收集傳感器數(shù)據(jù)、支持機器間(M2M)通信及自動化進程。智能化機器在諸多方面優(yōu)于人工操作,例如,可以精確采集數(shù)據(jù)、傳輸數(shù)據(jù),并保持高度一致性,從而解決了效率低下、保持長期運轉(zhuǎn)、合理規(guī)劃設(shè)備維護等問題,以獲得更高的生產(chǎn)效率。Maxim Integrated將IIoT按堆棧形式進行劃分,如圖1所示。IIoT堆棧最底層是工廠或生產(chǎn)車間的設(shè)備(系統(tǒng))。這些設(shè)備可以是現(xiàn)場傳感器、控制器、工業(yè)PC等,所有這些均為硬件系統(tǒng),包括硬件的安全保護功能。這些終端設(shè)備必須提供有效的數(shù)據(jù)通信,連接至通信集線器、網(wǎng)關(guān)和交換機,從而將這些數(shù)據(jù)作為大數(shù)據(jù)存放在云端(或企業(yè)網(wǎng))。

  IIoT的目標(biāo)是將數(shù)據(jù)可集成到企業(yè)的ERP和CRM軟件中,不僅能夠高效規(guī)劃制造過程、降低成本,甚至利用客戶/市場信息來改變裝配線和過程參數(shù)。

  堆棧的頂層影響到軟件開發(fā)和集成,底層影響系統(tǒng)設(shè)計。IIoT的主要利益可分為三部分(圖2):資產(chǎn)、過程和企業(yè)優(yōu)化。優(yōu)化一臺電機要比優(yōu)化鉆臺操作更容易,而后者又比優(yōu)化大型產(chǎn)線容易。而對所有環(huán)節(jié)進行優(yōu)化是IIoT的終極夢想。

  第一級分析和交互操作發(fā)生在第一線:從傳感器(例如渦輪傳感器、電機編碼器或振動特征信號)數(shù)據(jù)采集,然后在本地進行數(shù)據(jù)處理,幫助操作者掌握如何調(diào)節(jié)參數(shù)以實現(xiàn)最高效率,或提供故障隱患的早期征兆。

  第二級分析在控制室或工廠完成,將來自多個終端設(shè)備甚至多個組裝線的傳感器數(shù)據(jù)整合在一起,從而制定決策,提高工廠或過程效率。例如,控制室做出讓各種終端設(shè)備空閑或休眠的決策,降低過程的總體功耗。

  圖1 自動化產(chǎn)業(yè)的

  英文解釋:

  ERP/CRM intergration ERP/CRM集成

  Analytics and optimization sofeware 分析和優(yōu)化軟件

  BIG DATA 大數(shù)據(jù)

  Software design 軟件設(shè)計

  Communication hubs,gateways,switchs通信接口、網(wǎng)關(guān)、交換機

  Field sensors,distributed PLCs,industrial PCs 磁傳感器,分布式PLC、工業(yè)電腦

  System design 系統(tǒng)設(shè)計

  圖2 潛在的工業(yè)物聯(lián)網(wǎng)利益

  英文解釋:

  Higher performance/early failure indication 高性能/早期故障指示

  Energy/process efficiency 能量/過程效率

  Business enterprise integration 企業(yè)整合

  Asset optimization 資產(chǎn)優(yōu)化

  Process optimization 工藝優(yōu)化

  Business optimization 業(yè)務(wù)優(yōu)化

  數(shù)據(jù)的運用對運營的正面影響表現(xiàn)在前兩個階段,我們已經(jīng)比較熟悉,并且以一定的方式、形式在使用。然而,IIoT的目的不僅改進前兩個階段的數(shù)據(jù)采集和分析,而且將過程數(shù)據(jù)與企業(yè)數(shù)據(jù)進行整合,從而做出在此之前未能實現(xiàn)的決策。

  觀察一個公司如何從市場獲利,我們不難推斷應(yīng)該靈活地對生產(chǎn)線進行調(diào)整,根據(jù)市場需求讓生產(chǎn)線全速運轉(zhuǎn),或徹底關(guān)閉不受市場歡迎的附件功能。將運營和財務(wù)數(shù)據(jù)相結(jié)合,能夠為CFO提供更深入的洞察力。公司重心調(diào)整及轉(zhuǎn)變的靈活性是產(chǎn)業(yè)保持快速、可持續(xù)發(fā)展的關(guān)鍵。這是一個極富吸引力的市場趨勢,但當(dāng)前的安全措施還跟不上IIoT系統(tǒng)發(fā)展的需求。

  3工業(yè)物聯(lián)網(wǎng)系統(tǒng)的薄弱環(huán)節(jié)

  IIoT系統(tǒng)有若干渠道容易遭受攻擊,其中最突出的兩個方面是云存儲和網(wǎng)絡(luò)架構(gòu)。

  將數(shù)據(jù)放在云端(公有或私有)是IIoT的關(guān)鍵,但同時也帶來了嚴(yán)重的安全隱患。傳統(tǒng)上,工業(yè)控制系統(tǒng)(ICS)廠商在系統(tǒng)中保留一定的間隙。當(dāng)這些系統(tǒng)直接或間接連接到互聯(lián)網(wǎng)時,情況會大不相同。IIoT使人們認(rèn)識到,ICS需要安全認(rèn)證和安全保護。

  圖3所示為工廠或生產(chǎn)過程的現(xiàn)場設(shè)備最終如何連接到網(wǎng)絡(luò)的頂層視圖。通常有控制網(wǎng)絡(luò)、現(xiàn)場傳感器主機,以及連接至PLC或DCS的執(zhí)行機構(gòu)或伺服驅(qū)動(及其它類似設(shè)備)。一般而言,該控制網(wǎng)絡(luò)是隔離網(wǎng)絡(luò)的一個分支。但是,管理工廠或過程不同部分的控制網(wǎng)絡(luò)越來越多地連接在一起,形成工廠網(wǎng)絡(luò)。

  工廠網(wǎng)絡(luò)使監(jiān)管者能夠了解整個工廠的運營情況,判斷工廠各個環(huán)節(jié)之間的相互影響。這一層的信息支持對整個工廠或油田運營的優(yōu)化。最終,工廠網(wǎng)絡(luò)信息被整合到企業(yè)/業(yè)務(wù)網(wǎng)絡(luò),實現(xiàn)真正的IIoT。

  圖3 按工程分層的安全性映射

  英文解釋:

  Level of security 安全級別

  OPEN-NO SECURITY 打開-無安全級別

  Enterprise network 企業(yè)網(wǎng)絡(luò)

  Plant floor network 工廠網(wǎng)絡(luò)

  Control network 控制網(wǎng)絡(luò)

  Field devices:sensors,actuators,servo drives 現(xiàn)場設(shè)備:傳感器,執(zhí)行器,伺服驅(qū)動器

  控制網(wǎng)絡(luò)中的每一層都需要評估其安全性——每一層的安全性都不同。如果您從頂層開始,即IT域,需要的是已更新至最新軟件和補丁的安全交換機和服務(wù)器。

   在工廠層,安全防護不是最新技術(shù)。然而,IT仍然具有一定的控制。

   在控制網(wǎng)絡(luò)層,PLC架構(gòu)的年齡已經(jīng)有數(shù)十年。一般很少更新,并且也不能對負(fù)責(zé)100%工廠運營時間的系統(tǒng)進行頻繁修補。此處的安全性通常較弱。

   在現(xiàn)場層,安全防護措施幾乎根本不存在?,F(xiàn)場設(shè)備是開放式、受信任的,由于互操作性最為重要,所以實際上不能實施任何加密措施。觀察現(xiàn)場的從設(shè)備,例如傳感器和執(zhí)行器,這些系統(tǒng)(大部分)的安全性為零,使用的還是上世紀(jì)70年代至90年代期間開發(fā)的協(xié)議。

  4應(yīng)對工業(yè)現(xiàn)場控制系統(tǒng)的風(fēng)險

  我們更深入地討論現(xiàn)場環(huán)節(jié),給ICS帶來風(fēng)險的主要兩點是:遠端現(xiàn)場傳感器和IO模塊。成敗的關(guān)鍵在于正常運營時間、預(yù)測維護以及總體效率:IIoT的基石。

  4.1遠端現(xiàn)場傳感器的風(fēng)險

  實際應(yīng)用中,不能保證所有傳感器的物理安全,尤其當(dāng)傳感器安裝在非常偏遠的位置,比如監(jiān)測石油和天然氣現(xiàn)場等。位置偏遠使其很容易受到物理攻擊,所以在接受傳感器數(shù)據(jù)之前對其進行安全認(rèn)證至關(guān)重要。多數(shù)情況下,現(xiàn)場傳感器,甚至關(guān)鍵設(shè)施中使用的傳感器都是開放式、受信任的?,F(xiàn)場傳感器的這一弱點依然普遍存在。

  2014年,在眾所周知的黑帽駭客大會上,發(fā)表了俄羅斯研究人員的一片文章,作者認(rèn)為直接攻擊企業(yè)系統(tǒng)太麻煩。相反,他們策劃并介紹了一種“中間人”攻擊方法:欺騙并更換一個開放、受信任的HART調(diào)制解調(diào)器現(xiàn)場傳感器3。他們介紹了詳細的過程,甚至制作了軟件庫供下載。

  我們重視IIoT的安全系統(tǒng)就必須首先關(guān)注向云端或PLC發(fā)送數(shù)據(jù)的可信任傳感器。這些安全漏洞對遠端設(shè)備的影響是深遠的。

  4.2 IO模塊的風(fēng)險

  訪問開放式受信任系統(tǒng)的另一種途徑是利用克隆IO模塊注入惡意軟件。工人已經(jīng)習(xí)慣于更換PLC IO模塊的操作。亞洲市場上就曾發(fā)生過出售克隆IO模塊的情況(假冒頂級自動化廠商的牌子)。同樣,由于是傳統(tǒng)上幾乎沒有內(nèi)置安全性的受信任系統(tǒng),這些模塊成為向主PLC CPU注入惡意軟件的有效載體。物理安全(確保只有設(shè)定的一組人員才能更新PLC系統(tǒng))可防止這種行為,但請不要忘記,這并不一定是惡意行為。因為您甚至不知道所用模塊的真實性。

  4.3對現(xiàn)場傳感器實施硬件安全認(rèn)證

  解決上述潛在風(fēng)險的系統(tǒng)方案非常簡單:子系統(tǒng)的數(shù)據(jù)只有通過安全認(rèn)證才會被信任。有簡單的硬件方法可保證此類受信任系統(tǒng)的安全。幾年前,建立了醫(yī)療和耗材(例如打印機墨盒)的安全認(rèn)證方法。這些系統(tǒng)傳統(tǒng)上采用基于標(biāo)準(zhǔn)的安全認(rèn)證過程,使用定制安全器件。

  這種安全方法基于主機和從機之間的質(zhì)詢-應(yīng)答。主機系統(tǒng)發(fā)送一個質(zhì)詢,從機系統(tǒng)利用該質(zhì)詢來計算應(yīng)答。主機系統(tǒng)對該應(yīng)答進行驗證,確保從機系統(tǒng)不是克隆或假冒品。只有經(jīng)過驗證后,主機才會與從機系統(tǒng)進行通信。

  圖5所示的簡化概念方框圖為采用類似SHA 256算法的硬件安全認(rèn)證方案。SHA-256協(xié)議基于安全認(rèn)證器件之間的質(zhì)詢-應(yīng)答交換,在接收和讀取傳感器數(shù)據(jù)之前,對傳感器進行安全認(rèn)證。SHA-256安全認(rèn)證使攻擊者不能連接到網(wǎng)絡(luò),冒充傳感器甚至利用受損系統(tǒng)代替?zhèn)鞲衅?,除非其擁有已寫入合法私鑰的安全認(rèn)證器件。

  Maxim Integrated等廠商在美國本土工廠提供密鑰編程服務(wù),然后將編程后的安全認(rèn)證器件發(fā)送給您。該器件將擁有唯一的密鑰,只有我們的用戶知道。儲存有密鑰的器件內(nèi)置各種有源和無源防篡改措施。

  圖4 對從機模塊進行安全認(rèn)證:可用于現(xiàn)場傳感器和IO模塊

  英文解釋:

  Printer 打印機

  Challenge 挑戰(zhàn)

  Response 響應(yīng)

  Accept/reject 接受/拒絕

  Cartridge 墨盒

  圖5 采用SHA-256 (私鑰)的傳感器安全認(rèn)證

  英文解釋:

  Photo courtesy of emerson process management 艾默生過程管理提供圖片

  Upon power up... 在上電時...

  Tamper-proof authenticator DS28E15/22/25 防篡改認(rèn)證DS28E15/22/25

  Digital signature 數(shù)字簽名

  Challenge 挑戰(zhàn)

  Host 主機

  Match 匹配

  5 PLC CPU的風(fēng)險及解決方案

  控制工廠或過程的是PLC和主CPU,執(zhí)行所有的控制算法。但這些系統(tǒng)并非設(shè)計用于承受安全攻擊和破壞。所以,這些系統(tǒng)一旦接入網(wǎng)絡(luò),就有許多途徑會危及PLC的CPU。其中有些攻擊面可能是應(yīng)用軟件、OS或硬件,但大部分攻擊面是固件。如果固件被更改或感染,惡意軟件引起的任何變化不但難以發(fā)現(xiàn),而且即使發(fā)現(xiàn),也難以確定背后的目的或意圖。

  大多數(shù)PLC在固件裝載時都不進行來源和數(shù)據(jù)安全認(rèn)證。有的PLC甚至沒有校驗和驗證固件的傳輸是否正確。如果攻擊者能夠更改PLC固件,就能夠:

   完全接管被攻擊的系統(tǒng);

   掌握生產(chǎn)過程;

   選擇性地破壞制造操作(又名震網(wǎng));

   從受信任制造系統(tǒng)傳播至企業(yè)。

  不是任何人都只會通過控制系統(tǒng)來破壞您的工廠。風(fēng)險可能更加微妙。有許多知識產(chǎn)權(quán)嵌入在制造設(shè)施中,有時候其目的僅僅是獲得這些IP。這種惡意軟件不會通過在生產(chǎn)過程中引發(fā)問題而使自己暴露。

  自動化世界雜志曾報道:“關(guān)于蜻蜓(Dragonfly),有意思的是其瞄準(zhǔn)ICS信息的目的不是為引起停工,而是為了竊取知識產(chǎn)權(quán)。潛在損害可能包括剽竊專利配方和生產(chǎn)批次步驟,以及表示廠商產(chǎn)能和能力的網(wǎng)絡(luò)、設(shè)備信息。

  緩解此類問題的系統(tǒng)方案是為主PLC CPU實施安全裝載。這是對固件進行安全認(rèn)證,保證只接受帶有效數(shù)字簽名軟件的一種途徑。根據(jù)設(shè)備的不同,用戶也可以對固件加密。安全處理需求很容易超過傳統(tǒng)PLC CPU的MIPS,甚至產(chǎn)生延遲問題。最好的解決方案是將安全功能交給專門針對這些功能設(shè)計的低成本、商用安全處理器,如圖所示。圖6所示系統(tǒng)利用外部安全處理器驗證固件的數(shù)字簽名。

  以上方案使用密鑰支持安全認(rèn)證,也就帶來了密鑰保護問題。密鑰的物理安全是許多應(yīng)用中的首要考慮事項,因為一旦密鑰遭到威脅,安全將不復(fù)存在。

  為正確解決物理安全,必須考慮諸多事項。其中包括:生成隨時加密的物理機制、防止授權(quán)代理之間傳輸密鑰被截取的物理機制;以及儲存密鑰的安全方法,能夠防止物理偵測、機械探測等。

  各種密鑰存儲器件為系統(tǒng)設(shè)計者提供豐富的功能,涵蓋了從封裝設(shè)計到外部傳感器接口,以及內(nèi)部電路架構(gòu),參見軍用標(biāo)準(zhǔn)FIPS 140規(guī)范,許多芯片廠商,例如Maxim Integrated,提供非常全面的防篡改能力,可用于工業(yè)控制系統(tǒng)。

  6 IoT安全的未來

  安全保障措施還有其他途徑,并且當(dāng)我們開始認(rèn)識到安全性對于互聯(lián)工廠環(huán)境的重要性時,最終將圍繞少數(shù)幾個方法展開研究。

  制造業(yè)領(lǐng)域的IIoT具有旺盛需求,并且呈現(xiàn)不斷增長的趨勢。安全性的發(fā)展必將克服薄弱環(huán)節(jié),但需求已經(jīng)切切實實地存在。

  圖6 主PLC CPU的安全引導(dǎo)

  英文解釋:

  Main control 主控制器

  Serial flash storing device FW 串行閃存存儲設(shè)備FW

  Power management IC 電源管理IC



評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉