將工業(yè)嵌入式系統連接到云端時(shí)確保安全性

作者/Xavier Bignalet Microchip安全產(chǎn)品部營(yíng)銷(xiāo)經(jīng)理

　　在工業(yè)4.0剛剛興起之時(shí)，我們便已看到，遠程制造和控制可使工廠(chǎng)變得更加自動(dòng)化。雖然這在業(yè)務(wù)效率方面帶來(lái)了諸多優(yōu)勢，但也將一些非常昂貴的資產(chǎn)暴露于意外訪(fǎng)問(wèn)的風(fēng)險之中。這不僅將資本價(jià)值高昂的機器置于風(fēng)險當中，而且在特定時(shí)間內通過(guò)工廠(chǎng)生產(chǎn)的產(chǎn)品帶來(lái)的企業(yè)收入也會(huì )受到影響。

　　將工廠(chǎng)連接到公共云或私有云一定會(huì )存在安全風(fēng)險，這一點(diǎn)人們早已達成共識。例如，一旦智能工廠(chǎng)暴露于網(wǎng)絡(luò )(如異地數據中心)中，就會(huì )發(fā)生這種情況?，F在面臨的挑戰是，不僅要充分利用智能連接工廠(chǎng)的靈活性?xún)?yōu)勢，還要確保在各種網(wǎng)絡(luò )中擴展的安全性。

　　首先我們應確定解決方案是使用有線(xiàn)、無(wú)線(xiàn)還是組合解決方案。建議采用具有標準協(xié)議(例如工業(yè)領(lǐng)域廣泛使用的Wi-Fi?、Bluetooth?或以太網(wǎng))的連接技術(shù)。采用標準安全措施降低了連接遭受攻擊的風(fēng)險。這有時(shí)會(huì )違背熱衷于專(zhuān)有解決方案的工業(yè)領(lǐng)域的歷史慣例?；A設施的建設需要持續很多年。雖然許多網(wǎng)絡(luò )具有一些專(zhuān)有協(xié)議，但其應僅限于內部使用，不能用于外部連接。

　　其中一個(gè)問(wèn)題是，即使是最具資質(zhì)的嵌入式工程師，在IT安全概念方面的知識也很有限。他們不是IT安全專(zhuān)家，而這種知識缺口讓他們無(wú)法創(chuàng )建可靠且安全的IoT基礎設施。一旦工廠(chǎng)連接到云端，工程師將突然陷入Amazon Web Services(AWS)、Google、Microsoft Azure等世界，并且很快發(fā)現他們需要IT專(zhuān)家的幫助來(lái)處理現在面對的各種安全威脅。

　　對于黑客而言，其主要目標之一是利用單一接入點(diǎn)獲取對大量系統的遠程訪(fǎng)問(wèn)權限。遠程攻擊可能通過(guò)近期的猛烈攻擊形成大規模破壞，例如，已出現過(guò)分布式拒絕服務(wù)(DDoS)攻擊。對于IoT網(wǎng)絡(luò )而言，最大的弱點(diǎn)通常是硬件及其端節點(diǎn)的用戶(hù)，因為負責這方面的工程師通常缺乏IT知識來(lái)處理此類(lèi)問(wèn)題。

　　這種情況正在改變。像Microchip這樣的公司將這種問(wèn)題視為其使命的一部分，他們就端到端安全基礎設施應當是什么樣子對工程師進(jìn)行培訓，以彌補這一差距。此外，AWS、Google和Microsoft等大型云服務(wù)公司也是重要的專(zhuān)業(yè)知識來(lái)源。我們得到的重大教訓是，不要忽略安全性，也不能將其視為在完成IoT網(wǎng)絡(luò )設計后的附加選項。到那時(shí)，一切都太晚了。在任何IoT設計的開(kāi)始，就需要從戰略上實(shí)施安全性。安全性始于硬件，但不能簡(jiǎn)單地將其作為后加項進(jìn)行添加或通過(guò)軟件進(jìn)行補充。

　　1身份驗證

　　身份驗證是最重要的一個(gè)安全難題。系統設計人員從一開(kāi)始就必須牢記，連接到網(wǎng)絡(luò )的每個(gè)節點(diǎn)都需要具有惟一、受保護且可信的身份。了解網(wǎng)絡(luò )上的人員是否為正當用戶(hù)以及他們是否可信至關(guān)重要。為此，需要在服務(wù)器與IoT端節點(diǎn)之間使用傳統的TLS 1.2和相互認證。這需要使用雙方均信任的信息(認證機構)完成。

　　但是，只有在從項目開(kāi)始到制造，再到將系統部署于智能工廠(chǎng)這一完整過(guò)程中，認證機構頒發(fā)的信任信息始終受到保護的情況下，這種方法才有效。用于確認IoT端節點(diǎn)可靠性的私鑰必須安全且受保護。目前，一般的做法是將單片機的私鑰存儲在可能暴露于軟件篡改危險中的閃存以外的位置。但是，這仍然不太可靠，因為任何人都可以訪(fǎng)問(wèn)和查看此存儲器區域，并進(jìn)行控制和獲取私鑰。這種實(shí)現方式存在缺陷，會(huì )給設計人員帶來(lái)一種錯誤的安全感。這是發(fā)生破壞和重大問(wèn)題的地方。

　　2安全元件

　　對于安全解決方案，密鑰和其他重要憑證不僅需要從單片機中移除，而且還要與單片機隔離，并避免任何軟件形式的暴露。至此，安全元件概念應運而生。安全元件的理念是，在本質(zhì)上提供一個(gè)安全的避風(fēng)港來(lái)存儲和保護密鑰，確保沒(méi)有人可以訪(fǎng)問(wèn)此密鑰。來(lái)自CryptoAuthLib庫的命令允許將單片機的適當質(zhì)詢(xún)/響應發(fā)送到安全元件，以驗證身份。在產(chǎn)品開(kāi)發(fā)過(guò)程中以及產(chǎn)品的整個(gè)使用壽命內，私鑰在任何時(shí)候都不會(huì )暴露，也不會(huì )離開(kāi)安全元件。這樣便可建立端到端可信鏈。

　　圖1 安全元件

　　安全元件是獨立的CryptoAuthentication?集成電路(IC)，可被視為公司可放置其機密信息的保險箱。在這種情況下，它們保存IoT身份驗證所需的私鑰。

　　2.1配置密鑰

　　另一個(gè)重要概念是，如何將私鑰和其他憑據從客戶(hù)配置到CryptoAuthentication器件。為此，Microchip提供了一個(gè)平臺，客戶(hù)可通過(guò)這一平臺在制造IC期間創(chuàng )建并安全地安排其機密內容的編程，而不會(huì )將這些信息暴露給包括Microchip人員在內的任何人員。Microchip隨后在其工廠(chǎng)生產(chǎn)安全元件，只有在其將要離開(kāi)這些經(jīng)認證的安全通用標準工廠(chǎng)之前，才會(huì )對其進(jìn)行配置以及提供給最終用戶(hù)。

　　當客戶(hù)打開(kāi)AWS IoT帳戶(hù)時(shí)，這些帳戶(hù)將攜帶Microchip通過(guò)AWS提供的“使用自己的證書(shū)”功能為其創(chuàng )建的客戶(hù)證書(shū)。隨后，他們將使用所謂的即時(shí)注冊(JITR)AWS IoT功能，將安全元件中存儲和配置的設備級證書(shū)批量上傳到AWS IoT用戶(hù)帳戶(hù)?？蛻?hù)級證書(shū)現可驗證設備級證書(shū)，可信鏈現已完成。此功能真正同時(shí)兼顧了企業(yè)IoT可擴展性和安全性?？墒褂眉磿r(shí)注冊(JITR)流程處理數以千計的證書(shū)。證書(shū)可以批量處理，而不是一次僅處理一個(gè)，并且無(wú)需用戶(hù)干預。用戶(hù)不必將證書(shū)從相關(guān)器件手動(dòng)加載到云帳戶(hù)并將其暴露給第三方，現在只需安排自動(dòng)注冊新設備證書(shū)，以將其作為設備和AWS IoT之間初始通信的一部分，絲毫不影響安全性。

　　3升級版AT88CKECC-AWS-XSTK-B工具包入門(mén)

　　如圖2所示，板上的零觸摸配置工具包是ATECC508AMAHAW Cryptoauthentication器件，其已預先配置，可針對用戶(hù)的AWS IoT帳戶(hù)運行身份驗證過(guò)程。首先，通過(guò)使用新的Python腳本了解可信鏈的概念，以及了解在配置階段通過(guò)Microchip工廠(chǎng)進(jìn)行的配置過(guò)程。此工具包在一定程度上展示了制造過(guò)程的工作原理。此外，此器件具有很強的抗物理篡改特性，包括防范旁路攻擊的對策。它還具有符合聯(lián)邦信息處理標準(FIPS)的高質(zhì)量隨機數發(fā)生器、兼容各種資源有限的IoT設備的低功耗加密加速器，以及以極具成本效益的方式無(wú)縫適應各種生產(chǎn)流程的能力。

　　為了彌補嵌入式工程師與IT專(zhuān)家之間的差距，除了Python腳本登錄體驗之外，這款工具包還配有CloudFormation腳本，旨在加快AWS帳戶(hù)設置以及提高云體驗的易用性。利用CloudFormation腳本，用戶(hù)僅需幾分鐘便可在A(yíng)WS環(huán)境中定義用戶(hù)接口(UI)。

　　圖2 ATECC508AMAHAW Cryptoauthentication器件

　　4結論

　　配有ATECC508MAHAW CryptoAuthentication器件的AWS IoT的及時(shí)注冊(JITR)與Microchip的生產(chǎn)中安全配置過(guò)程相結合，實(shí)現了一流的IoT安全性能。這種真正的端到端IoT安全解決方案使工業(yè)4.0安全成就得到了安全而有效的發(fā)展。