本文探讨机器人控制系统的安全风险以及有效的安全措施,文中除了探讨产业安全标准,并分析了遵循这些标准的关键要求。
工厂自动化是工业4.0的核心,包括工业机器人、自主式行动机器人(AMR)、以及协作式机器人等皆扮演关键角色,并共同促成业界实践现代的工业4.0。如今的机器人变得越来越聪明,并具备更高的协作能力,不论在有人与无人操作的情况下都能执行各种复杂任务。更高层级的自动化以及更广泛地运用机器人,亦促成对机器人控制系统面临着更高的物理维安,以及资安抗骇的要求。
从机器人最初大多应用於工厂环境,发展至今已广泛用在诸多不同领域,包括医疗、军事、物流、以及农业等。对於物理维安与资安抗骇的需求而言,此方面的重要性远甚过於10年前。相关的应用场域中,各种意外都可能发生,其中,由恶意攻击引发的事件尤其关键,恶意劫持与控制机器人都可能造成严重的经济与财务损失。
机器人控制系统的安全风险
图一显示典型的安全风险,可能引发对机器人控制系统的恶意攻击。
表一所列举的是与安全风险相关的疑虑及概述:
表一:安全风险的疑虑
|
缺乏
|
冲击与描述
|
|
安全联网
|
导致机器人控制系统之间的通讯变得不安全,且容易被伪冒、窜改、以及窃听。同时也可能冲击到系统的可用性
|
|
正确的验证
|
- 导致恶意人士运用预设的使用者名称与密码进行未经授权的存取
- 缺少设备与周边的验证,可能导致恶意人士使用伪冒的机器人系统周边/配件,形成维安与资安方面的风险
- 亦会导致系统接受从不受信任的未辨识来源输入的资料
|
|
机密性
|
缺少加密或弱防御力的加密演算法,导致机器人机敏资料与设计计画被拦截与外泄
|
|
完整性
|
导致储存或传输中的机器人机敏资料、组态设定、以及韧体遭到窜改
|
|
安全开机与更新
|
- 若没有这项功能,我们就无法确定目前运行在我们的机器人控制系统中的是否是真正的韧体/软体
- 缺乏安全升级,可能导致恶意人士骇入机器人控制系统,将软体回退到存在漏洞的旧版软体,或将未经授权的软体写入机器人控制系统。
|
|
防窜改硬体
|
某些机器人储存着高度机敏的资讯(像是军事/国防领域所采用的机器人)。因此此类资讯需要被高度保护,以防被非授权人士存取。若没有防窜改硬体,就非常难以保护资讯免於遭受侵入攻击
|
|
安全设计原则
|
大多数控制系统的发展,直到最近都没有采取安全设计原则。这导致了有心人士侵入进机器人系统的架构与设计,进而扫描与滥用其漏洞以便发动攻击
|
|
更新
|
机器人作业系统、韧体、以及软体若是缺乏更新,可能导致各种网路物理攻击
|
工业与机器人领域的规范与法律 促进资安韧性与保护运作
资安领域的面貌快速演变,越来越多的规范与法律也瞄准工业与机器人领域。其中一些针对资安抗骇的法律,包括《欧盟网路安全法》、《欧盟网路韧性法》以及《美国关键基础设施资安事件通报法》。另外中国与印度也逐步制定相关的规范与法律。 美国国家标准与技术研究院(National Institute of Standards and Technology;NIST)的操作技术(OT)安全指南 ,以及如IEC 62443 此类标准提供方向,让我们能采取安全设计(secure-by-design)的原则与设计,协助开发的控制系统能具备充分的韧性,得以抵御各种网路攻击。
IEC 62443制定 IACS 安全性规范
IEC 62443针对工业自动化与控制系统安全(Industrial Automation and Control Systems Security;IACS)制定了安全性规范。此为一项各界广泛采纳的标准,用以开发工业自动化控制系统,大多数的法律和规范也都建议遵循这项标准,并认可其在保障安全方面的重要性,让我们能够遵循相关规范、??解控制系统中的潜在资安风险、补救控制系统中的安全缺囗、保护关键资产、以及提供其他更多的益处。
虽然IEC标准中有一些部分是专注规范过程与程序,不过IEC 62443-4-1和IEC 62443-4-2则是专门针对组件安全而制定。根据IEC 62443-4-2的规范,零组件的种类包含了软体程式、主机装置、嵌入式装置、以及网路装置。这些标准根据每种零组件必须达到的零组件要求(CR)和增强要求(RE)来为每种零组件类型规范功能安全等级(SL)。其定义了从SL0到SL3的安全等级(SL)。其中SL2与SL3特别要求硬体层面的安全防护。
开发机器人安全系统不可或缺的功能与技术
要建构安全的机器人控制系统,我们需要解决机器人控制系统安全的各项风险。此方面需要的关键功能与技术包括:
u 安全验证:汇整各项安全验证机制,检验装置/零组件的身份
u 安全协同处理器:运用专属硬体执行安全储存与加密作业
u 安全通讯:建置加密协定,保护资料交换的程序
u 存取控制:实施细分的权限,用以限制未经授权的系统存取动作
u 实体安全措施:整合各项措施,藉以防止物理窜改
全套输出式安全IC,像是安全验证晶片与协同处理器,为了因应这些需求量身打造的方案,能简化建置流程与节省成本。这些固定功能IC背後有完备的软体堆叠作为辅助,这些软体是针对主机处理器所设计。
运用分立式安全元件可以提高系统韧性,防止已被入侵的应用处理器去存取储存在独立IC(隔离)内的权证。
除了这些方面之外,系统开发者必须采取结构化的方法来保护开发程序,包括收集各项需求、建立与分析威胁模型、安全设计、实施、测试、认证、以及维护等方面。依循安全开发生命周期(SDL)可确保从一开始安全即融入到开发程序之中。
ADI不仅是供应晶片等整套输出式安全IC的厂商,藉由整合安全与机器人方面的专业技术,已蜕变成一个理想的解决方案供应商,能够克服在维护机器人系统方面衍生的各种独特挑战。让客户能够建构出全方位的解决方案,兼顾硬体、软体、以及系统层级的设计考量。
ADI认识到机器人系统的安全需要全面覆盖的设计,因此决定跳脱出零组件层级的方案,采取系统层级的视野角度。我们衡量了各种因素,包括硬体、软体、通讯、以及整合,确保所有关键零组件都无缝地整合。
ADI与汽车产业的合作,展现在无线电池管理系统(wBMS)的成果上,并反映在建构强韧安全措施上的诸多卓越能力。ADI藉由与客户紧密合作,成功开发出一套完全维安与抗骇的ISO 21434认证wBMS系统。鼓励机器人产业进行类似的合作,就能促成客户运用ADI在安全实作方面的专业。藉由和相关产业夥伴的紧密结盟,ADI得以持续发展兼顾物理维安与数据资安的机器人系统,引进从汽车产业所累积的经验与成功战绩。
机器人关节控制器的使用情境范例
图三显示在机器人关节中,机器人关节控制系统的系统设计。
| 图三 : MAXQ1065在机器人联合控制系统中的潜在应用 |
|
在这项设计中,MAXQ1065的潜在应用变得显而易见,因为它能促成安全开机功能,进而提升系统的整体安全。此外,MAXQ1065本身还具备诸多额外功能,例如安全密钥储存、安全通讯协定、以及译密作业等。後续的专文将深入探讨这些应用情境,以及探讨其实际应用。
总结
在维护未来机器人的安全方面,资安扮演十分重要的角色。包括安全验证、加密通讯、供应链防骇等强韧措施,皆是防范各种威胁极为关键的环结。藉由优先维护资安以及运用ADI的专业,不仅能够充分发挥机器人的潜能,还能够防范在互连世界中各种新浮现的风险。
(本文作者Manoj Rajashekaraiah为ADI首席工程师)
相關作者
相關產業類別
相關關鍵字
相關組織
相關網站單元