工業(yè)物聯(lián)網(wǎng)(IIoT)離不開(kāi)嵌入式安全性

作者/Suhel Dhanani Maxim公司

　　1制造領(lǐng)域的工業(yè)物聯(lián)網(wǎng)

　　制造業(yè)需要采集并處理大量數據，通過(guò)對數據進(jìn)行分析和可視化，有助于優(yōu)化運營(yíng)和成本。數據是工業(yè)物聯(lián)網(wǎng)(IIoT)的基石，而制造業(yè)能夠從IIoT中獲得利益最大化。在制造領(lǐng)域，智能傳感器、分布式控制及復雜安全軟件提供的安全方案是這次革命的黏合劑。

　　為了實(shí)現IIoT的愿景，我們必須將大量數據，甚至老舊系統置于云端。這將帶來(lái)巨大的安全隱患，因為適用于工業(yè)控制系統的安全措施尚未跟上步伐，甚至在某些情況下根本不存在。當參與者知道(無(wú)論是否惡意)某個(gè)工廠(chǎng)或車(chē)間實(shí)際上已經(jīng)聯(lián)網(wǎng)，并充分利用各種不同的攻擊手段時(shí)，這一切將發(fā)生變化。

　　安全措施必須是軟件和嵌入式硬件的結合，保護關(guān)鍵的控制系統免受各種攻擊。關(guān)鍵挑戰有三種：采用密鑰的硬件安全認證、采用TLS的安全通信，以及安全裝載。由于連通性(支持IIoT的能力)將任何安全漏洞暴露無(wú)遺，為了保護IIoT利益，安全問(wèn)題就不能是亡羊補牢式的方案。

　　2 IIOT為工廠(chǎng)帶來(lái)的便利

　　IIoT在工廠(chǎng)建設中的一個(gè)很好案例是通用電氣(General Electric)在紐約北部設立的價(jià)值1.7億美元的現代化工廠(chǎng)。該工廠(chǎng)在2015年開(kāi)始運營(yíng)，為手機通信塔等設備生產(chǎn)先進(jìn)的鈉鎳電池。工廠(chǎng)布設了10000多個(gè)傳感器，分布于180000平方英尺廠(chǎng)房;所有傳感器都連接到內部高速以太網(wǎng)。傳感器監測一切過(guò)程，例如：使用哪個(gè)批次的原材料、烘烤溫度是多少、制造每節電池的耗能多少，甚至當地的氣壓等參數。在生產(chǎn)車(chē)間，員工利用平板電腦即可通過(guò)遍布全廠(chǎng)的Wi-Fi節點(diǎn)獲得所有數據。

　　制造業(yè)的另一個(gè)例子是西門(mén)子的安貝格電子廠(chǎng)，該工廠(chǎng)生產(chǎn)可編程邏輯控制器(PLC)。生產(chǎn)過(guò)程的自動(dòng)化程度很高，機器和計算機處理價(jià)值鏈的75%工作，其它則由人工完成。只有在生產(chǎn)過(guò)程的起始階段需要人工處理，員工將基本件(裸電路板)放在生產(chǎn)線(xiàn)上。此后，一切均自動(dòng)完成。值得一提的是，Simatic單元控制Simatic設備的生產(chǎn)。整個(gè)制程大約有1000個(gè)這樣的控制單元。

　　IIoT收集傳感器數據、支持機器間(M2M)通信及自動(dòng)化進(jìn)程。智能化機器在諸多方面優(yōu)于人工操作，例如，可以精確采集數據、傳輸數據，并保持高度一致性，從而解決了效率低下、保持長(cháng)期運轉、合理規劃設備維護等問(wèn)題，以獲得更高的生產(chǎn)效率。Maxim Integrated將IIoT按堆棧形式進(jìn)行劃分，如圖1所示。IIoT堆棧最底層是工廠(chǎng)或生產(chǎn)車(chē)間的設備(系統)。這些設備可以是現場(chǎng)傳感器、控制器、工業(yè)PC等，所有這些均為硬件系統，包括硬件的安全保護功能。這些終端設備必須提供有效的數據通信，連接至通信集線(xiàn)器、網(wǎng)關(guān)和交換機，從而將這些數據作為大數據存放在云端(或企業(yè)網(wǎng))。

　　IIoT的目標是將數據可集成到企業(yè)的ERP和CRM軟件中，不僅能夠高效規劃制造過(guò)程、降低成本，甚至利用客戶(hù)/市場(chǎng)信息來(lái)改變裝配線(xiàn)和過(guò)程參數。

　　堆棧的頂層影響到軟件開(kāi)發(fā)和集成，底層影響系統設計。IIoT的主要利益可分為三部分(圖2)：資產(chǎn)、過(guò)程和企業(yè)優(yōu)化。優(yōu)化一臺電機要比優(yōu)化鉆臺操作更容易，而后者又比優(yōu)化大型產(chǎn)線(xiàn)容易。而對所有環(huán)節進(jìn)行優(yōu)化是IIoT的終極夢(mèng)想。

　　第一級分析和交互操作發(fā)生在第一線(xiàn)：從傳感器(例如渦輪傳感器、電機編碼器或振動(dòng)特征信號)數據采集，然后在本地進(jìn)行數據處理，幫助操作者掌握如何調節參數以實(shí)現最高效率，或提供故障隱患的早期征兆。

　　第二級分析在控制室或工廠(chǎng)完成，將來(lái)自多個(gè)終端設備甚至多個(gè)組裝線(xiàn)的傳感器數據整合在一起，從而制定決策，提高工廠(chǎng)或過(guò)程效率。例如，控制室做出讓各種終端設備空閑或休眠的決策，降低過(guò)程的總體功耗。

　　圖1 自動(dòng)化產(chǎn)業(yè)的工業(yè)物聯(lián)網(wǎng)

　　英文解釋?zhuān)?/p>

　　ERP/CRM intergration ERP/CRM集成

　　Analytics and optimization sofeware 分析和優(yōu)化軟件

　　BIG DATA 大數據

　　Software design 軟件設計

　　Communication hubs,gateways,switchs通信接口、網(wǎng)關(guān)、交換機

　　Field sensors,distributed PLCs,industrial PCs 磁傳感器，分布式PLC、工業(yè)電腦

　　System design 系統設計

　　圖2 潛在的工業(yè)物聯(lián)網(wǎng)利益

　　英文解釋?zhuān)?/p>

　　Higher performance/early failure indication 高性能/早期故障指示

　　Energy/process efficiency 能量/過(guò)程效率

　　Business enterprise integration 企業(yè)整合

　　Asset optimization 資產(chǎn)優(yōu)化

　　Process optimization 工藝優(yōu)化

　　Business optimization 業(yè)務(wù)優(yōu)化

　　數據的運用對運營(yíng)的正面影響表現在前兩個(gè)階段，我們已經(jīng)比較熟悉，并且以一定的方式、形式在使用。然而，IIoT的目的不僅改進(jìn)前兩個(gè)階段的數據采集和分析，而且將過(guò)程數據與企業(yè)數據進(jìn)行整合，從而做出在此之前未能實(shí)現的決策。

　　觀(guān)察一個(gè)公司如何從市場(chǎng)獲利，我們不難推斷應該靈活地對生產(chǎn)線(xiàn)進(jìn)行調整，根據市場(chǎng)需求讓生產(chǎn)線(xiàn)全速運轉，或徹底關(guān)閉不受市場(chǎng)歡迎的附件功能。將運營(yíng)和財務(wù)數據相結合，能夠為CFO提供更深入的洞察力。公司重心調整及轉變的靈活性是產(chǎn)業(yè)保持快速、可持續發(fā)展的關(guān)鍵。這是一個(gè)極富吸引力的市場(chǎng)趨勢，但當前的安全措施還跟不上IIoT系統發(fā)展的需求。

　　3工業(yè)物聯(lián)網(wǎng)系統的薄弱環(huán)節

　　IIoT系統有若干渠道容易遭受攻擊，其中最突出的兩個(gè)方面是云存儲和網(wǎng)絡(luò )架構。

　　將數據放在云端(公有或私有)是IIoT的關(guān)鍵，但同時(shí)也帶來(lái)了嚴重的安全隱患。傳統上，工業(yè)控制系統(ICS)廠(chǎng)商在系統中保留一定的間隙。當這些系統直接或間接連接到互聯(lián)網(wǎng)時(shí)，情況會(huì )大不相同。IIoT使人們認識到，ICS需要嵌入式安全認證和安全保護。

　　圖3所示為工廠(chǎng)或生產(chǎn)過(guò)程的現場(chǎng)設備最終如何連接到網(wǎng)絡(luò )的頂層視圖。通常有控制網(wǎng)絡(luò )、現場(chǎng)傳感器主機，以及連接至PLC或DCS的執行機構或伺服驅動(dòng)(及其它類(lèi)似設備)。一般而言，該控制網(wǎng)絡(luò )是隔離網(wǎng)絡(luò )的一個(gè)分支。但是，管理工廠(chǎng)或過(guò)程不同部分的控制網(wǎng)絡(luò )越來(lái)越多地連接在一起，形成工廠(chǎng)網(wǎng)絡(luò )。

　　工廠(chǎng)網(wǎng)絡(luò )使監管者能夠了解整個(gè)工廠(chǎng)的運營(yíng)情況，判斷工廠(chǎng)各個(gè)環(huán)節之間的相互影響。這一層的信息支持對整個(gè)工廠(chǎng)或油田運營(yíng)的優(yōu)化。最終，工廠(chǎng)網(wǎng)絡(luò )信息被整合到企業(yè)/業(yè)務(wù)網(wǎng)絡(luò )，實(shí)現真正的IIoT。

　　圖3 按工程分層的安全性映射

　　英文解釋?zhuān)?/p>

　　Level of security 安全級別

　　OPEN-NO SECURITY 打開(kāi)-無(wú)安全級別

　　Enterprise network 企業(yè)網(wǎng)絡(luò )

　　Plant floor network 工廠(chǎng)網(wǎng)絡(luò )

　　Control network 控制網(wǎng)絡(luò )

　　Field devices:sensors,actuators,servo drives 現場(chǎng)設備：傳感器，執行器，伺服驅動(dòng)器

　　控制網(wǎng)絡(luò )中的每一層都需要評估其安全性——每一層的安全性都不同。如果您從頂層開(kāi)始，即IT域，需要的是已更新至最新軟件和補丁的安全交換機和服務(wù)器。

　　 在工廠(chǎng)層，安全防護不是最新技術(shù)。然而，IT仍然具有一定的控制。

　　 在控制網(wǎng)絡(luò )層，PLC架構的年齡已經(jīng)有數十年。一般很少更新，并且也不能對負責100%工廠(chǎng)運營(yíng)時(shí)間的系統進(jìn)行頻繁修補。此處的安全性通常較弱。

　　 在現場(chǎng)層，安全防護措施幾乎根本不存在?，F場(chǎng)設備是開(kāi)放式、受信任的，由于互操作性最為重要，所以實(shí)際上不能實(shí)施任何加密措施。觀(guān)察現場(chǎng)的從設備，例如傳感器和執行器，這些系統(大部分)的安全性為零，使用的還是上世紀70年代至90年代期間開(kāi)發(fā)的協(xié)議。

　　4應對工業(yè)現場(chǎng)控制系統的風(fēng)險

　　我們更深入地討論現場(chǎng)環(huán)節，給ICS帶來(lái)風(fēng)險的主要兩點(diǎn)是：遠端現場(chǎng)傳感器和IO模塊。成敗的關(guān)鍵在于正常運營(yíng)時(shí)間、預測維護以及總體效率：IIoT的基石。

　　4.1遠端現場(chǎng)傳感器的風(fēng)險

　　實(shí)際應用中，不能保證所有傳感器的物理安全，尤其當傳感器安裝在非常偏遠的位置，比如監測石油和天然氣現場(chǎng)等。位置偏遠使其很容易受到物理攻擊，所以在接受傳感器數據之前對其進(jìn)行安全認證至關(guān)重要。多數情況下，現場(chǎng)傳感器，甚至關(guān)鍵設施中使用的傳感器都是開(kāi)放式、受信任的?，F場(chǎng)傳感器的這一弱點(diǎn)依然普遍存在。

　　2014年，在眾所周知的黑帽駭客大會(huì )上，發(fā)表了俄羅斯研究人員的一片文章，作者認為直接攻擊企業(yè)系統太麻煩。相反，他們策劃并介紹了一種“中間人”攻擊方法：欺騙并更換一個(gè)開(kāi)放、受信任的HART調制解調器現場(chǎng)傳感器3。他們介紹了詳細的過(guò)程，甚至制作了軟件庫供下載。

　　我們重視IIoT的安全系統就必須首先關(guān)注向云端或PLC發(fā)送數據的可信任傳感器。這些安全漏洞對遠端設備的影響是深遠的。

　　4.2 IO模塊的風(fēng)險

　　訪(fǎng)問(wèn)開(kāi)放式受信任系統的另一種途徑是利用克隆IO模塊注入惡意軟件。工人已經(jīng)習慣于更換PLC IO模塊的操作。亞洲市場(chǎng)上就曾發(fā)生過(guò)出售克隆IO模塊的情況(假冒頂級自動(dòng)化廠(chǎng)商的牌子)。同樣，由于是傳統上幾乎沒(méi)有內置安全性的受信任系統，這些模塊成為向主PLC CPU注入惡意軟件的有效載體。物理安全(確保只有設定的一組人員才能更新PLC系統)可防止這種行為，但請不要忘記，這并不一定是惡意行為。因為您甚至不知道所用模塊的真實(shí)性。

　　4.3對現場(chǎng)傳感器實(shí)施硬件安全認證

　　解決上述潛在風(fēng)險的系統方案非常簡(jiǎn)單：子系統的數據只有通過(guò)安全認證才會(huì )被信任。有簡(jiǎn)單的嵌入式硬件方法可保證此類(lèi)受信任系統的安全。幾年前，建立了醫療和耗材(例如打印機墨盒)的安全認證方法。這些系統傳統上采用基于標準的安全認證過(guò)程，使用定制安全器件。

　　這種安全方法基于主機和從機之間的質(zhì)詢(xún)-應答。主機系統發(fā)送一個(gè)質(zhì)詢(xún)，從機系統利用該質(zhì)詢(xún)來(lái)計算應答。主機系統對該應答進(jìn)行驗證，確保從機系統不是克隆或假冒品。只有經(jīng)過(guò)驗證后，主機才會(huì )與從機系統進(jìn)行通信。

　　圖5所示的簡(jiǎn)化概念方框圖為采用類(lèi)似SHA 256算法的硬件安全認證方案。SHA-256協(xié)議基于安全認證器件之間的質(zhì)詢(xún)-應答交換，在接收和讀取傳感器數據之前，對傳感器進(jìn)行安全認證。SHA-256安全認證使攻擊者不能連接到網(wǎng)絡(luò )，冒充傳感器甚至利用受損系統代替傳感器，除非其擁有已寫(xiě)入合法私鑰的安全認證器件。

　　Maxim Integrated等廠(chǎng)商在美國本土工廠(chǎng)提供密鑰編程服務(wù)，然后將編程后的安全認證器件發(fā)送給您。該器件將擁有唯一的密鑰，只有我們的用戶(hù)知道。儲存有密鑰的器件內置各種有源和無(wú)源防篡改措施。

　　圖4 對從機模塊進(jìn)行安全認證：可用于現場(chǎng)傳感器和IO模塊

　　英文解釋?zhuān)?/p>

　　Printer 打印機

　　Challenge 挑戰

　　Response 響應

　　Accept/reject 接受/拒絕

　　Cartridge 墨盒

　　圖5 采用SHA-256 (私鑰)的傳感器安全認證

　　英文解釋?zhuān)?/p>

　　Photo courtesy of emerson process management 艾默生過(guò)程管理提供圖片

　　Upon power up... 在上電時(shí)...

　　Tamper-proof authenticator DS28E15/22/25 防篡改認證DS28E15/22/25

　　Digital signature 數字簽名

　　Challenge 挑戰

　　Host 主機

　　Match 匹配

　　5 PLC CPU的風(fēng)險及解決方案

　　控制工廠(chǎng)或過(guò)程的是PLC和主CPU，執行所有的控制算法。但這些系統并非設計用于承受安全攻擊和破壞。所以，這些系統一旦接入網(wǎng)絡(luò )，就有許多途徑會(huì )危及PLC的CPU。其中有些攻擊面可能是應用軟件、OS或硬件，但大部分攻擊面是固件。如果固件被更改或感染，惡意軟件引起的任何變化不但難以發(fā)現，而且即使發(fā)現，也難以確定背后的目的或意圖。

　　大多數PLC在固件裝載時(shí)都不進(jìn)行來(lái)源和數據安全認證。有的PLC甚至沒(méi)有校驗和驗證固件的傳輸是否正確。如果攻擊者能夠更改PLC固件，就能夠：

　　 完全接管被攻擊的系統;

　　 掌握生產(chǎn)過(guò)程;

　　 選擇性地破壞制造操作(又名震網(wǎng));

　　 從受信任制造系統傳播至企業(yè)。

　　不是任何人都只會(huì )通過(guò)控制系統來(lái)破壞您的工廠(chǎng)。風(fēng)險可能更加微妙。有許多知識產(chǎn)權嵌入在制造設施中，有時(shí)候其目的僅僅是獲得這些IP。這種惡意軟件不會(huì )通過(guò)在生產(chǎn)過(guò)程中引發(fā)問(wèn)題而使自己暴露。

　　自動(dòng)化世界雜志曾報道：“關(guān)于蜻蜓(Dragonfly)，有意思的是其瞄準ICS信息的目的不是為引起停工，而是為了竊取知識產(chǎn)權。潛在損害可能包括剽竊專(zhuān)利配方和生產(chǎn)批次步驟，以及表示廠(chǎng)商產(chǎn)能和能力的網(wǎng)絡(luò )、設備信息。

　　緩解此類(lèi)問(wèn)題的系統方案是為主PLC CPU實(shí)施安全裝載。這是對固件進(jìn)行安全認證，保證只接受帶有效數字簽名軟件的一種途徑。根據設備的不同，用戶(hù)也可以對固件加密。安全處理需求很容易超過(guò)傳統PLC CPU的MIPS，甚至產(chǎn)生延遲問(wèn)題。最好的解決方案是將安全功能交給專(zhuān)門(mén)針對這些功能設計的低成本、商用安全處理器，如圖所示。圖6所示系統利用外部安全處理器驗證固件的數字簽名。

　　以上方案使用密鑰支持安全認證，也就帶來(lái)了密鑰保護問(wèn)題。密鑰的物理安全是許多應用中的首要考慮事項，因為一旦密鑰遭到威脅，安全將不復存在。

　　為正確解決物理安全，必須考慮諸多事項。其中包括：生成隨時(shí)加密的物理機制、防止授權代理之間傳輸密鑰被截取的物理機制;以及儲存密鑰的安全方法，能夠防止物理偵測、機械探測等。

　　各種密鑰存儲器件為系統設計者提供豐富的功能，涵蓋了從封裝設計到外部傳感器接口，以及內部電路架構，參見(jiàn)軍用標準FIPS 140規范，許多芯片廠(chǎng)商，例如Maxim Integrated，提供非常全面的防篡改能力，可用于工業(yè)控制系統。

　　6 IoT安全的未來(lái)

　　安全保障措施還有其他途徑，并且當我們開(kāi)始認識到安全性對于互聯(lián)工廠(chǎng)環(huán)境的重要性時(shí)，最終將圍繞少數幾個(gè)方法展開(kāi)研究。

　　制造業(yè)領(lǐng)域的IIoT具有旺盛需求，并且呈現不斷增長(cháng)的趨勢。安全性的發(fā)展必將克服薄弱環(huán)節，但需求已經(jīng)切切實(shí)實(shí)地存在。

　　圖6 主PLC CPU的安全引導

　　英文解釋?zhuān)?/p>

　　Main control 主控制器

　　Serial flash storing device FW 串行閃存存儲設備FW

　　Power management IC 電源管理IC