關(guān) 閉

新聞中心

EEPW首頁 > 工控自動(dòng)化 > 專題 > 工業(yè)物聯(lián)網(wǎng)(IIoT)離不開嵌入式安全性

工業(yè)物聯(lián)網(wǎng)(IIoT)離不開嵌入式安全性

作者:Suhel Dhanani 時(shí)間:2017-02-24 來源:電子產(chǎn)品世界 收藏

作者/Suhel Dhanani Maxim公司

本文引用地址:http://m.butianyuan.cn/article/201702/344447.htm

  1制造領(lǐng)域的

  制造業(yè)需要采集并處理大量數(shù)據(jù),通過對數(shù)據(jù)進(jìn)行分析和可視化,有助于優(yōu)化運(yùn)營和成本。數(shù)據(jù)是(IIoT)的基石,而制造業(yè)能夠從IIoT中獲得利益最大化。在制造領(lǐng)域,智能傳感器、分布式控制及復(fù)雜安全軟件提供的安全方案是這次革命的黏合劑。

  為了實(shí)現(xiàn)IIoT的愿景,我們必須將大量數(shù)據(jù),甚至老舊系統(tǒng)置于云端。這將帶來巨大的安全隱患,因?yàn)檫m用于工業(yè)控制系統(tǒng)的安全措施尚未跟上步伐,甚至在某些情況下根本不存在。當(dāng)參與者知道(無論是否惡意)某個(gè)工廠或車間實(shí)際上已經(jīng)聯(lián)網(wǎng),并充分利用各種不同的攻擊手段時(shí),這一切將發(fā)生變化。

  安全措施必須是軟件和硬件的結(jié)合,保護(hù)關(guān)鍵的控制系統(tǒng)免受各種攻擊。關(guān)鍵挑戰(zhàn)有三種:采用密鑰的硬件安全認(rèn)證、采用TLS的安全通信,以及安全裝載。由于連通性(支持IIoT的能力)將任何安全漏洞暴露無遺,為了保護(hù)IIoT利益,安全問題就不能是亡羊補(bǔ)牢式的方案。

  2 IIOT為工廠帶來的便利

  IIoT在工廠建設(shè)中的一個(gè)很好案例是通用電氣(General Electric)在紐約北部設(shè)立的價(jià)值1.7億美元的現(xiàn)代化工廠。該工廠在2015年開始運(yùn)營,為手機(jī)通信塔等設(shè)備生產(chǎn)先進(jìn)的鈉鎳電池。工廠布設(shè)了10000多個(gè)傳感器,分布于180000平方英尺廠房;所有傳感器都連接到內(nèi)部高速以太網(wǎng)。傳感器監(jiān)測一切過程,例如:使用哪個(gè)批次的原材料、烘烤溫度是多少、制造每節(jié)電池的耗能多少,甚至當(dāng)?shù)氐臍鈮旱葏?shù)。在生產(chǎn)車間,員工利用平板電腦即可通過遍布全廠的Wi-Fi節(jié)點(diǎn)獲得所有數(shù)據(jù)。

  制造業(yè)的另一個(gè)例子是西門子的安貝格電子廠,該工廠生產(chǎn)可編程邏輯控制器(PLC)。生產(chǎn)過程的自動(dòng)化程度很高,機(jī)器和計(jì)算機(jī)處理價(jià)值鏈的75%工作,其它則由人工完成。只有在生產(chǎn)過程的起始階段需要人工處理,員工將基本件(裸電路板)放在生產(chǎn)線上。此后,一切均自動(dòng)完成。值得一提的是,Simatic單元控制Simatic設(shè)備的生產(chǎn)。整個(gè)制程大約有1000個(gè)這樣的控制單元。

  IIoT收集傳感器數(shù)據(jù)、支持機(jī)器間(M2M)通信及自動(dòng)化進(jìn)程。智能化機(jī)器在諸多方面優(yōu)于人工操作,例如,可以精確采集數(shù)據(jù)、傳輸數(shù)據(jù),并保持高度一致性,從而解決了效率低下、保持長期運(yùn)轉(zhuǎn)、合理規(guī)劃設(shè)備維護(hù)等問題,以獲得更高的生產(chǎn)效率。Maxim Integrated將IIoT按堆棧形式進(jìn)行劃分,如圖1所示。IIoT堆棧最底層是工廠或生產(chǎn)車間的設(shè)備(系統(tǒng))。這些設(shè)備可以是現(xiàn)場傳感器、控制器、工業(yè)PC等,所有這些均為硬件系統(tǒng),包括硬件的安全保護(hù)功能。這些終端設(shè)備必須提供有效的數(shù)據(jù)通信,連接至通信集線器、網(wǎng)關(guān)和交換機(jī),從而將這些數(shù)據(jù)作為大數(shù)據(jù)存放在云端(或企業(yè)網(wǎng))。

  IIoT的目標(biāo)是將數(shù)據(jù)可集成到企業(yè)的ERP和CRM軟件中,不僅能夠高效規(guī)劃制造過程、降低成本,甚至利用客戶/市場信息來改變裝配線和過程參數(shù)。

  堆棧的頂層影響到軟件開發(fā)和集成,底層影響系統(tǒng)設(shè)計(jì)。IIoT的主要利益可分為三部分(圖2):資產(chǎn)、過程和企業(yè)優(yōu)化。優(yōu)化一臺(tái)電機(jī)要比優(yōu)化鉆臺(tái)操作更容易,而后者又比優(yōu)化大型產(chǎn)線容易。而對所有環(huán)節(jié)進(jìn)行優(yōu)化是IIoT的終極夢想。

  第一級分析和交互操作發(fā)生在第一線:從傳感器(例如渦輪傳感器、電機(jī)編碼器或振動(dòng)特征信號)數(shù)據(jù)采集,然后在本地進(jìn)行數(shù)據(jù)處理,幫助操作者掌握如何調(diào)節(jié)參數(shù)以實(shí)現(xiàn)最高效率,或提供故障隱患的早期征兆。

  第二級分析在控制室或工廠完成,將來自多個(gè)終端設(shè)備甚至多個(gè)組裝線的傳感器數(shù)據(jù)整合在一起,從而制定決策,提高工廠或過程效率。例如,控制室做出讓各種終端設(shè)備空閑或休眠的決策,降低過程的總體功耗。

  圖1 自動(dòng)化產(chǎn)業(yè)的

  英文解釋:

  ERP/CRM intergration ERP/CRM集成

  Analytics and optimization sofeware 分析和優(yōu)化軟件

  BIG DATA 大數(shù)據(jù)

  Software design 軟件設(shè)計(jì)

  Communication hubs,gateways,switchs通信接口、網(wǎng)關(guān)、交換機(jī)

  Field sensors,distributed PLCs,industrial PCs 磁傳感器,分布式PLC、工業(yè)電腦

  System design 系統(tǒng)設(shè)計(jì)

  圖2 潛在的工業(yè)物聯(lián)網(wǎng)利益

  英文解釋:

  Higher performance/early failure indication 高性能/早期故障指示

  Energy/process efficiency 能量/過程效率

  Business enterprise integration 企業(yè)整合

  Asset optimization 資產(chǎn)優(yōu)化

  Process optimization 工藝優(yōu)化

  Business optimization 業(yè)務(wù)優(yōu)化

  數(shù)據(jù)的運(yùn)用對運(yùn)營的正面影響表現(xiàn)在前兩個(gè)階段,我們已經(jīng)比較熟悉,并且以一定的方式、形式在使用。然而,IIoT的目的不僅改進(jìn)前兩個(gè)階段的數(shù)據(jù)采集和分析,而且將過程數(shù)據(jù)與企業(yè)數(shù)據(jù)進(jìn)行整合,從而做出在此之前未能實(shí)現(xiàn)的決策。

  觀察一個(gè)公司如何從市場獲利,我們不難推斷應(yīng)該靈活地對生產(chǎn)線進(jìn)行調(diào)整,根據(jù)市場需求讓生產(chǎn)線全速運(yùn)轉(zhuǎn),或徹底關(guān)閉不受市場歡迎的附件功能。將運(yùn)營和財(cái)務(wù)數(shù)據(jù)相結(jié)合,能夠?yàn)镃FO提供更深入的洞察力。公司重心調(diào)整及轉(zhuǎn)變的靈活性是產(chǎn)業(yè)保持快速、可持續(xù)發(fā)展的關(guān)鍵。這是一個(gè)極富吸引力的市場趨勢,但當(dāng)前的安全措施還跟不上IIoT系統(tǒng)發(fā)展的需求。

  3工業(yè)物聯(lián)網(wǎng)系統(tǒng)的薄弱環(huán)節(jié)

  IIoT系統(tǒng)有若干渠道容易遭受攻擊,其中最突出的兩個(gè)方面是云存儲(chǔ)和網(wǎng)絡(luò)架構(gòu)。

  將數(shù)據(jù)放在云端(公有或私有)是IIoT的關(guān)鍵,但同時(shí)也帶來了嚴(yán)重的安全隱患。傳統(tǒng)上,工業(yè)控制系統(tǒng)(ICS)廠商在系統(tǒng)中保留一定的間隙。當(dāng)這些系統(tǒng)直接或間接連接到互聯(lián)網(wǎng)時(shí),情況會(huì)大不相同。IIoT使人們認(rèn)識到,ICS需要安全認(rèn)證和安全保護(hù)。

  圖3所示為工廠或生產(chǎn)過程的現(xiàn)場設(shè)備最終如何連接到網(wǎng)絡(luò)的頂層視圖。通常有控制網(wǎng)絡(luò)、現(xiàn)場傳感器主機(jī),以及連接至PLC或DCS的執(zhí)行機(jī)構(gòu)或伺服驅(qū)動(dòng)(及其它類似設(shè)備)。一般而言,該控制網(wǎng)絡(luò)是隔離網(wǎng)絡(luò)的一個(gè)分支。但是,管理工廠或過程不同部分的控制網(wǎng)絡(luò)越來越多地連接在一起,形成工廠網(wǎng)絡(luò)。

  工廠網(wǎng)絡(luò)使監(jiān)管者能夠了解整個(gè)工廠的運(yùn)營情況,判斷工廠各個(gè)環(huán)節(jié)之間的相互影響。這一層的信息支持對整個(gè)工廠或油田運(yùn)營的優(yōu)化。最終,工廠網(wǎng)絡(luò)信息被整合到企業(yè)/業(yè)務(wù)網(wǎng)絡(luò),實(shí)現(xiàn)真正的IIoT。

  圖3 按工程分層的安全性映射

  英文解釋:

  Level of security 安全級別

  OPEN-NO SECURITY 打開-無安全級別

  Enterprise network 企業(yè)網(wǎng)絡(luò)

  Plant floor network 工廠網(wǎng)絡(luò)

  Control network 控制網(wǎng)絡(luò)

  Field devices:sensors,actuators,servo drives 現(xiàn)場設(shè)備:傳感器,執(zhí)行器,伺服驅(qū)動(dòng)器

  控制網(wǎng)絡(luò)中的每一層都需要評估其安全性——每一層的安全性都不同。如果您從頂層開始,即IT域,需要的是已更新至最新軟件和補(bǔ)丁的安全交換機(jī)和服務(wù)器。

   在工廠層,安全防護(hù)不是最新技術(shù)。然而,IT仍然具有一定的控制。

   在控制網(wǎng)絡(luò)層,PLC架構(gòu)的年齡已經(jīng)有數(shù)十年。一般很少更新,并且也不能對負(fù)責(zé)100%工廠運(yùn)營時(shí)間的系統(tǒng)進(jìn)行頻繁修補(bǔ)。此處的安全性通常較弱。

   在現(xiàn)場層,安全防護(hù)措施幾乎根本不存在。現(xiàn)場設(shè)備是開放式、受信任的,由于互操作性最為重要,所以實(shí)際上不能實(shí)施任何加密措施。觀察現(xiàn)場的從設(shè)備,例如傳感器和執(zhí)行器,這些系統(tǒng)(大部分)的安全性為零,使用的還是上世紀(jì)70年代至90年代期間開發(fā)的協(xié)議。

  4應(yīng)對工業(yè)現(xiàn)場控制系統(tǒng)的風(fēng)險(xiǎn)

  我們更深入地討論現(xiàn)場環(huán)節(jié),給ICS帶來風(fēng)險(xiǎn)的主要兩點(diǎn)是:遠(yuǎn)端現(xiàn)場傳感器和IO模塊。成敗的關(guān)鍵在于正常運(yùn)營時(shí)間、預(yù)測維護(hù)以及總體效率:IIoT的基石。

  4.1遠(yuǎn)端現(xiàn)場傳感器的風(fēng)險(xiǎn)

  實(shí)際應(yīng)用中,不能保證所有傳感器的物理安全,尤其當(dāng)傳感器安裝在非常偏遠(yuǎn)的位置,比如監(jiān)測石油和天然氣現(xiàn)場等。位置偏遠(yuǎn)使其很容易受到物理攻擊,所以在接受傳感器數(shù)據(jù)之前對其進(jìn)行安全認(rèn)證至關(guān)重要。多數(shù)情況下,現(xiàn)場傳感器,甚至關(guān)鍵設(shè)施中使用的傳感器都是開放式、受信任的?,F(xiàn)場傳感器的這一弱點(diǎn)依然普遍存在。

  2014年,在眾所周知的黑帽駭客大會(huì)上,發(fā)表了俄羅斯研究人員的一片文章,作者認(rèn)為直接攻擊企業(yè)系統(tǒng)太麻煩。相反,他們策劃并介紹了一種“中間人”攻擊方法:欺騙并更換一個(gè)開放、受信任的HART調(diào)制解調(diào)器現(xiàn)場傳感器3。他們介紹了詳細(xì)的過程,甚至制作了軟件庫供下載。

  我們重視IIoT的安全系統(tǒng)就必須首先關(guān)注向云端或PLC發(fā)送數(shù)據(jù)的可信任傳感器。這些安全漏洞對遠(yuǎn)端設(shè)備的影響是深遠(yuǎn)的。

  4.2 IO模塊的風(fēng)險(xiǎn)

  訪問開放式受信任系統(tǒng)的另一種途徑是利用克隆IO模塊注入惡意軟件。工人已經(jīng)習(xí)慣于更換PLC IO模塊的操作。亞洲市場上就曾發(fā)生過出售克隆IO模塊的情況(假冒頂級自動(dòng)化廠商的牌子)。同樣,由于是傳統(tǒng)上幾乎沒有內(nèi)置安全性的受信任系統(tǒng),這些模塊成為向主PLC CPU注入惡意軟件的有效載體。物理安全(確保只有設(shè)定的一組人員才能更新PLC系統(tǒng))可防止這種行為,但請不要忘記,這并不一定是惡意行為。因?yàn)槟踔敛恢浪媚K的真實(shí)性。

  4.3對現(xiàn)場傳感器實(shí)施硬件安全認(rèn)證

  解決上述潛在風(fēng)險(xiǎn)的系統(tǒng)方案非常簡單:子系統(tǒng)的數(shù)據(jù)只有通過安全認(rèn)證才會(huì)被信任。有簡單的硬件方法可保證此類受信任系統(tǒng)的安全。幾年前,建立了醫(yī)療和耗材(例如打印機(jī)墨盒)的安全認(rèn)證方法。這些系統(tǒng)傳統(tǒng)上采用基于標(biāo)準(zhǔn)的安全認(rèn)證過程,使用定制安全器件。

  這種安全方法基于主機(jī)和從機(jī)之間的質(zhì)詢-應(yīng)答。主機(jī)系統(tǒng)發(fā)送一個(gè)質(zhì)詢,從機(jī)系統(tǒng)利用該質(zhì)詢來計(jì)算應(yīng)答。主機(jī)系統(tǒng)對該應(yīng)答進(jìn)行驗(yàn)證,確保從機(jī)系統(tǒng)不是克隆或假冒品。只有經(jīng)過驗(yàn)證后,主機(jī)才會(huì)與從機(jī)系統(tǒng)進(jìn)行通信。

  圖5所示的簡化概念方框圖為采用類似SHA 256算法的硬件安全認(rèn)證方案。SHA-256協(xié)議基于安全認(rèn)證器件之間的質(zhì)詢-應(yīng)答交換,在接收和讀取傳感器數(shù)據(jù)之前,對傳感器進(jìn)行安全認(rèn)證。SHA-256安全認(rèn)證使攻擊者不能連接到網(wǎng)絡(luò),冒充傳感器甚至利用受損系統(tǒng)代替?zhèn)鞲衅鳎瞧鋼碛幸褜懭牒戏ㄋ借€的安全認(rèn)證器件。

  Maxim Integrated等廠商在美國本土工廠提供密鑰編程服務(wù),然后將編程后的安全認(rèn)證器件發(fā)送給您。該器件將擁有唯一的密鑰,只有我們的用戶知道。儲(chǔ)存有密鑰的器件內(nèi)置各種有源和無源防篡改措施。

  圖4 對從機(jī)模塊進(jìn)行安全認(rèn)證:可用于現(xiàn)場傳感器和IO模塊

  英文解釋:

  Printer 打印機(jī)

  Challenge 挑戰(zhàn)

  Response 響應(yīng)

  Accept/reject 接受/拒絕

  Cartridge 墨盒

  圖5 采用SHA-256 (私鑰)的傳感器安全認(rèn)證

  英文解釋:

  Photo courtesy of emerson process management 艾默生過程管理提供圖片

  Upon power up... 在上電時(shí)...

  Tamper-proof authenticator DS28E15/22/25 防篡改認(rèn)證DS28E15/22/25

  Digital signature 數(shù)字簽名

  Challenge 挑戰(zhàn)

  Host 主機(jī)

  Match 匹配

  5 PLC CPU的風(fēng)險(xiǎn)及解決方案

  控制工廠或過程的是PLC和主CPU,執(zhí)行所有的控制算法。但這些系統(tǒng)并非設(shè)計(jì)用于承受安全攻擊和破壞。所以,這些系統(tǒng)一旦接入網(wǎng)絡(luò),就有許多途徑會(huì)危及PLC的CPU。其中有些攻擊面可能是應(yīng)用軟件、OS或硬件,但大部分攻擊面是固件。如果固件被更改或感染,惡意軟件引起的任何變化不但難以發(fā)現(xiàn),而且即使發(fā)現(xiàn),也難以確定背后的目的或意圖。

  大多數(shù)PLC在固件裝載時(shí)都不進(jìn)行來源和數(shù)據(jù)安全認(rèn)證。有的PLC甚至沒有校驗(yàn)和驗(yàn)證固件的傳輸是否正確。如果攻擊者能夠更改PLC固件,就能夠:

   完全接管被攻擊的系統(tǒng);

   掌握生產(chǎn)過程;

   選擇性地破壞制造操作(又名震網(wǎng));

   從受信任制造系統(tǒng)傳播至企業(yè)。

  不是任何人都只會(huì)通過控制系統(tǒng)來破壞您的工廠。風(fēng)險(xiǎn)可能更加微妙。有許多知識產(chǎn)權(quán)嵌入在制造設(shè)施中,有時(shí)候其目的僅僅是獲得這些IP。這種惡意軟件不會(huì)通過在生產(chǎn)過程中引發(fā)問題而使自己暴露。

  自動(dòng)化世界雜志曾報(bào)道:“關(guān)于蜻蜓(Dragonfly),有意思的是其瞄準(zhǔn)ICS信息的目的不是為引起停工,而是為了竊取知識產(chǎn)權(quán)。潛在損害可能包括剽竊專利配方和生產(chǎn)批次步驟,以及表示廠商產(chǎn)能和能力的網(wǎng)絡(luò)、設(shè)備信息。

  緩解此類問題的系統(tǒng)方案是為主PLC CPU實(shí)施安全裝載。這是對固件進(jìn)行安全認(rèn)證,保證只接受帶有效數(shù)字簽名軟件的一種途徑。根據(jù)設(shè)備的不同,用戶也可以對固件加密。安全處理需求很容易超過傳統(tǒng)PLC CPU的MIPS,甚至產(chǎn)生延遲問題。最好的解決方案是將安全功能交給專門針對這些功能設(shè)計(jì)的低成本、商用安全處理器,如圖所示。圖6所示系統(tǒng)利用外部安全處理器驗(yàn)證固件的數(shù)字簽名。

  以上方案使用密鑰支持安全認(rèn)證,也就帶來了密鑰保護(hù)問題。密鑰的物理安全是許多應(yīng)用中的首要考慮事項(xiàng),因?yàn)橐坏┟荑€遭到威脅,安全將不復(fù)存在。

  為正確解決物理安全,必須考慮諸多事項(xiàng)。其中包括:生成隨時(shí)加密的物理機(jī)制、防止授權(quán)代理之間傳輸密鑰被截取的物理機(jī)制;以及儲(chǔ)存密鑰的安全方法,能夠防止物理偵測、機(jī)械探測等。

  各種密鑰存儲(chǔ)器件為系統(tǒng)設(shè)計(jì)者提供豐富的功能,涵蓋了從封裝設(shè)計(jì)到外部傳感器接口,以及內(nèi)部電路架構(gòu),參見軍用標(biāo)準(zhǔn)FIPS 140規(guī)范,許多芯片廠商,例如Maxim Integrated,提供非常全面的防篡改能力,可用于工業(yè)控制系統(tǒng)。

  6 IoT安全的未來

  安全保障措施還有其他途徑,并且當(dāng)我們開始認(rèn)識到安全性對于互聯(lián)工廠環(huán)境的重要性時(shí),最終將圍繞少數(shù)幾個(gè)方法展開研究。

  制造業(yè)領(lǐng)域的IIoT具有旺盛需求,并且呈現(xiàn)不斷增長的趨勢。安全性的發(fā)展必將克服薄弱環(huán)節(jié),但需求已經(jīng)切切實(shí)實(shí)地存在。

  圖6 主PLC CPU的安全引導(dǎo)

  英文解釋:

  Main control 主控制器

  Serial flash storing device FW 串行閃存存儲(chǔ)設(shè)備FW

  Power management IC 電源管理IC



評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉