工業(yè)網(wǎng)絡(luò)安全始于嵌入式硬件平臺(tái)
Wesley Skeffington (賽靈思公司 異構(gòu)平臺(tái)首席工程師)
本文引用地址:http://m.butianyuan.cn/article/201907/402129.htm摘要:任何沒(méi)有采取適當(dāng)安全措施而連接到工業(yè)物聯(lián)網(wǎng) (IIoT) 的資產(chǎn)都將面臨網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。除了會(huì)造成財(cái)產(chǎn)損失或引起不便,篡改工業(yè)系統(tǒng)還有可能對(duì)工作人員或公眾人物造成人身傷害或死亡。如果沒(méi)有足夠的網(wǎng)絡(luò)保護(hù),安全關(guān)鍵型系統(tǒng)就不能被視為真正意義上的安全。本文分析了工業(yè)網(wǎng)絡(luò)安全應(yīng)有的舉措。
關(guān)鍵詞:工業(yè)物聯(lián)網(wǎng);安全;FPGA;OT
任何沒(méi)有采取適當(dāng)安全措施而連接到工業(yè)物聯(lián)網(wǎng)(IIoT) 的資產(chǎn)都將面臨網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。除了會(huì)造成財(cái)產(chǎn)損失或引起不便,篡改工業(yè)系統(tǒng)還有可能對(duì)工作人員或公眾人物造成人身傷害或死亡。如果沒(méi)有足夠的網(wǎng)絡(luò)保護(hù),安全關(guān)鍵型系統(tǒng)就不能被視為真正意義上的安全。
聯(lián)網(wǎng)信息物理系統(tǒng)的生產(chǎn)商正在快速采取行動(dòng),為產(chǎn)品建立強(qiáng)大的保護(hù)功能。但是,盡管所有人都贊同對(duì)網(wǎng)絡(luò)安全不可抱有僥幸心理,但開(kāi)發(fā)者怎樣才能知道應(yīng)該提供多大程度的安全?系統(tǒng)成本中有多大比例能夠用于網(wǎng)絡(luò)安全的應(yīng)對(duì)措施?以及該如何回答“該器件足夠安全嗎”這個(gè)問(wèn)題?
安全工程師一直在努力回答這些問(wèn)題,并根據(jù)標(biāo)準(zhǔn)證實(shí)自己的答案。自 IEC 62443 發(fā)布以后,這種情況有所改變。IEC 62443 可提供:一系列威脅模型,以及每種標(biāo)準(zhǔn)定義的安全等級(jí)所需的應(yīng)對(duì)措施。
該標(biāo)準(zhǔn)讓工業(yè)安全工程師能夠討論共同指標(biāo)。隨著越來(lái)越多的企業(yè)在尋求可驗(yàn)證的安全解決方案,這些類型的認(rèn)證將成為客戶定義的要求。
該標(biāo)準(zhǔn)的 IEC 62443-4-2 部分定義的是組件層面的平臺(tái)要求。這些要求可通過(guò)基于 FPGA 的片上系統(tǒng)(SoC) 等可配置硬件實(shí)現(xiàn)或進(jìn)行加速。
1 安全與安保
網(wǎng)絡(luò)安全影響著系統(tǒng)的各個(gè)方面,包括安全系統(tǒng)。這一攻擊媒介在對(duì)施耐德電氣的 Triconix 安全系統(tǒng)的攻擊中得以體現(xiàn)。幸運(yùn)的是,這次攻擊并沒(méi)有成功,但確實(shí)提高了人們對(duì)安全系統(tǒng)作為網(wǎng)絡(luò)目標(biāo)的意識(shí)。
鑒于網(wǎng)絡(luò)攻擊往往試圖修改系統(tǒng)行為,如果不能保證網(wǎng)絡(luò)安全,就不可能擁有功能安全系統(tǒng)。雖然技術(shù)上可以建立不屬于 IEC-61508 定義的功能安全系統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)。
2 保護(hù)與反應(yīng)
操作技術(shù) (OT) 領(lǐng)域的嵌入式控制器不能簡(jiǎn)單地利用標(biāo)準(zhǔn)的 IT 安全解決方案。雖然 IT 系統(tǒng)重視保密性,但 OT 設(shè)備最關(guān)注的是可用性??捎眯允加谟布墓δ?。
3 生命周期硬件安全
為確保充分考慮對(duì)聯(lián)網(wǎng)工業(yè)設(shè)備的所有潛在威脅,應(yīng)分4個(gè)階段考慮安全生命周期(圖 1)。
強(qiáng)有力的保護(hù)是首要階段。對(duì)于新部署的設(shè)備,其保護(hù)強(qiáng)度應(yīng)與當(dāng)前的技術(shù)許可相當(dāng)。應(yīng)實(shí)施包括軟硬件并覆蓋啟動(dòng)時(shí)和運(yùn)行時(shí)操作的多層保護(hù),以提供深度防護(hù)。
然而,器件設(shè)計(jì)師必須假定由于安全狀態(tài)隨使用年限的增長(zhǎng)而下降,黑客最終將成功發(fā)起攻擊。因此,檢測(cè)是生命周期的第2階段,包括使用安全認(rèn)證和測(cè)量技術(shù)查找對(duì)系統(tǒng)的意外更改或未經(jīng)授權(quán)的更改。
第3階段是恢復(fù)力,指設(shè)備能夠回退到安全工作模式并向操作人員發(fā)出狀況告警。無(wú)論是出于安全原因還是僅僅為了避免停機(jī)成本,這對(duì)于工業(yè)系統(tǒng)在遭受攻擊后繼續(xù)工作非常重要。
第4階段是為設(shè)備預(yù)先采取措施,便于報(bào)告安全攻擊的詳細(xì)情況。然后,就有可能采取補(bǔ)救措施,包括應(yīng)用安全補(bǔ)丁,以及從總體上改善類似現(xiàn)場(chǎng)系統(tǒng)的安全狀況。
賽靈思可配置硬件具有支持完整安全生命周期的功能,包括強(qiáng)大的硬件信任根、集成加密加速器、物理獨(dú)特功能 (PUF)、集成安全存儲(chǔ)和密鑰管理功能。此外,賽靈思 IP 合作伙伴可提供基于 FPGA 的安全監(jiān)控器(例如 MicroArx),它能通過(guò)基于 FPGA 的監(jiān)控功能增強(qiáng)關(guān)鍵軟件應(yīng)用的檢測(cè)功能和恢復(fù)力。
4 保護(hù)嵌入式器件
無(wú)論采用何種技術(shù)保障系統(tǒng)安全,這些技術(shù)都必須建立在牢固的基礎(chǔ)上。根據(jù) Ukil、Sen 和Koilakonda [1] 在 2011 年提出的方案(如圖 2 所示),首先是建立嵌入式平臺(tái)信任鏈。
為了在硬件層面和啟動(dòng)時(shí)軟件層面建立穩(wěn)固的安全基礎(chǔ),賽靈思 Zynq UltraScale+ 片上系統(tǒng) (SoC) [2]可提供的功能包括不可變?cè)O(shè)備身份和啟動(dòng) ROM、防篡改功能、eFuse 內(nèi)的集成型安全密鑰存儲(chǔ),以及用于安全硬件加載的比特流身份驗(yàn)證與加密。然后,受保護(hù)的啟動(dòng)固件實(shí)施第一階段啟動(dòng)加載程序的安全啟動(dòng)和執(zhí)行。如果檢測(cè)到軟件完整性被破壞,則表明已發(fā)生篡改,那么將會(huì)停止進(jìn)程。在更高層面上,只加載經(jīng)認(rèn)證的數(shù)字簽名操作系統(tǒng)鏡像。
一旦系統(tǒng)啟動(dòng)并與任何其他設(shè)備建立通信后,就應(yīng)該使用認(rèn)證通信渠道加以保護(hù),而且如果有必要對(duì)傳輸中的數(shù)據(jù)進(jìn)行保護(hù),還需要采取加密措施。賽靈思 FPGA 針對(duì)業(yè)界標(biāo)準(zhǔn)加密算法(例如 RSA-SHA 和AES)提供集成硬件加速器,為安全的加密通信提供支持。使用用戶無(wú)法讀取的設(shè)備唯一密鑰,也能保護(hù)與非易失性內(nèi)存 (NVM) 芯片等系統(tǒng)內(nèi)其他 IC 的數(shù)據(jù)交換。
最后,還可支持多種系統(tǒng)監(jiān)控功能,例如測(cè)量啟動(dòng)、測(cè)量應(yīng)用啟動(dòng)和可信平臺(tái)模塊 (TPM) 的使用。在端到端安全架構(gòu)中,該鏈條中的這些鏈接對(duì)保護(hù)每個(gè)設(shè)備的運(yùn)行和完整性都是必要的。
除了保護(hù)設(shè)備運(yùn)行狀態(tài),這些安全特性的互聯(lián)層還可以保護(hù)與 FPGA 硬件設(shè)計(jì)和運(yùn)行在其上的 SoC軟件有關(guān)的知識(shí)產(chǎn)權(quán)。
5 提升安全性的最佳實(shí)踐
自從國(guó)際工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn) IEC 62443發(fā)布以來(lái),設(shè)備設(shè)計(jì)人員能更深入地理解和實(shí)施嵌入式系統(tǒng)的最佳實(shí)踐。可信計(jì)算組織 (TCG) 和工業(yè)互聯(lián)網(wǎng)聯(lián)盟 (IIC) 等組織也正在有效地開(kāi)展工作,以實(shí)現(xiàn) IIoT 安全實(shí)踐的正式化。
意識(shí)到將工業(yè)設(shè)備連接到互聯(lián)網(wǎng)所帶來(lái)的風(fēng)險(xiǎn)后,TCG 成立了工業(yè)分組(Industrial Sub Group) 來(lái)制定相關(guān)的安全指導(dǎo)。Sub Group 與 IIC(以及許多其他合作伙伴)結(jié)盟,幫助創(chuàng)建 IIC 的工業(yè)互聯(lián)網(wǎng)安全框架 (IISF)。除了傳統(tǒng) IT 環(huán)境的需求外,該框架還能滿足 IIoT 系統(tǒng)對(duì)安全、可靠性和恢復(fù)力的更高需求。
賽靈思在制定 IEC 62443 的工作中起到了幫助作用,同時(shí)也是 TCG 和 IIC的活躍會(huì)員,包括參加 TCGIndustrial Sub Group。FPGA SoC 芯片和設(shè)計(jì)工具所支持的重要安全功能讓用戶能夠創(chuàng)建符合 IEC 62443-4-2 標(biāo)準(zhǔn)的工業(yè)控制平臺(tái),并幫助他們加速上市進(jìn)程。此外,我們正在引入新機(jī)制,讓客戶密鑰和唯一設(shè)備標(biāo)識(shí)符能夠安全地安裝到供應(yīng)鏈中。IEC 62433-4-2 規(guī)定的部分重要安全性特性與賽靈思對(duì)它們提供的支持之間的對(duì)應(yīng)關(guān)系如圖 3 所示。
6 結(jié)論
當(dāng)今的工業(yè)控制系統(tǒng)正面臨著越來(lái)越多的來(lái)自網(wǎng)絡(luò)攻擊的威脅。有效的安全解決方案必須從嵌入式硬件平臺(tái)出發(fā)。強(qiáng)大的硬件認(rèn)證功能和支持安全啟動(dòng)、軟件測(cè)量和加密的功能,為最大限度地減小攻擊面并提高每個(gè)設(shè)備完整性的驗(yàn)證能力奠定了基礎(chǔ)。這種認(rèn)識(shí)是維持工業(yè)系統(tǒng)安全的關(guān)鍵。
參考文獻(xiàn)
[1]面向物聯(lián)網(wǎng)的嵌入式安全[R/OL].https://www.researchgate.net/publication/224230457_Embedded_Security_for_Internet_of_Things.第二屆國(guó)際電氣和電子工程師協(xié)會(huì) (IEEE) 計(jì)算機(jī)科學(xué)新興趨勢(shì)和應(yīng)用大會(huì) (NCETACS) ,2011 年 4 月,印度西隆,卷:2011 年 NCETACS 會(huì)議紀(jì)要
[2]Zynq UltraScale+ 安全功能和一般規(guī)格的完整介紹[R/OL]. https://www.xilinx.com/support/documentation/data_sheets/ds891-zynq-ultrascale-plus-overview.pdf
[3]賽靈思應(yīng)用指南 XAPP1323[R/OL].https://www.xilinx.com/support/documentation/application_notes/xapp1323-zynq-usp-tamper-resistant-designs.pdf.
[4]賽靈思應(yīng)用指南 XAPP1333[R/OL].https://www.xilinx.com/support/documentation/application_notes/xapp1333-external-storage-puf.pdf[5]IEC/ISA 62443 及其認(rèn)證[R/OL].https://www.isa.org/training-and-certifications/isa-certification/isa99iec-62443/isa99iec-62443-cybersecurity-certificate-programs/[6]IISF 的電子書(shū)和支持資源[R/OL].https://www.iiconsortium.org/IISF.htm
評(píng)論