账号:
密码:
CTIMES / 文章 /   
工业物联网离不开嵌入式安全性
 

【作者: Suhel Dhanani】2017年05月05日 星期五

浏览人次:【8458】
  


对于在传统业务中极力提高软体利润的自动化公司,工业物联网(IIoT)成为其发展趋势。 Maxim Integrated晶片广泛用于自动化系统设计。本文对自动化系统设计如何演变,或者使用者如何规划其自动化系统联网,以便充分利用IIoT的优势提供了独到见解。简要介绍IIoT,重点关注部署IIoT终端系统要求必须解决的安全挑战。


制造领域的工业物联网

制造业需要撷取并处理大量资料,通过对资料进行分析和视觉化,有助于优化营运和成本。资料是IIoT的基石,而制造业能够从IIoT中获得利益最大化。在制造领域,智慧感测器、分散式控制以及复杂安全软体提供的安全方案是这次革命的黏合剂。


为了实现IIoT的愿景,我们必须将大量资料,甚至老旧系统置于云端。这将带来巨大的安全隐忧,因为适用于工业控制系统的安全措施尚未跟上步伐,甚至在某些情况下根本不存在。当参与者知道(无论是否恶意)某个工厂或车间实际上已经联网,并充分利用各种不同的攻击手段时,这一切将发生变化。


安全措施必须是软体和嵌入式硬体的结合,保护关键的控制系统免受各种攻击。关键挑战有三种:采用金钥的硬体安全认证、采用TLS的安全通信,以及安全装载。由于连通性(支持IIoT的能力)将任何安全性漏洞暴露无遗,为了保护IIoT利益,安全问题就不能是亡羊补牢式的方案。


IIOT为工厂带来的便利

IIoT在工厂建设中的一个很好案例是通用电气(General Electric)在纽约北部设立的价值$1.7亿的现代化工厂。该工厂在一年前开始营运,为手机通讯塔等设备生产先进的钠镍电池。工厂布设了10,000多个感测器,分布于180,000平方英尺厂房;所有感测器都连接到内部高速乙太网。感测器监测一切过程,例如:使用哪个批次的原材料、烘烤温度是多少、制造每节电池的耗能多少,甚至当地的气压等参数。在生产车间,员工利用平板电脑即可透过遍布全厂的Wi-Fi节点获得所有资料。


制造业的另一个例子是西门子的安贝格电子厂,该工厂生产可程式设计逻辑控制器(PLC)2。生产过程的自动化程度很高,机器和电脑处理价值链的75%工作—其他则由人工完成。只有在生产过程的起始阶段需要人工处理,员工将基本件(裸电路板)放在生产线上。此后,一切均自动完成。值得一提的是,Simatic单元控制Simatic设备的生产。整个制程大约有1,000个这样的控制单元。


IIoT收集感测器资料、支援机器间(M2M)通讯以及自动化进程。智慧化机器在诸多方面优于人工作业,比如,可以精确撷取资料、传输资料,并保持高度一致性,从而解决了效率低下、保持长期运转、合理规划设备维护等问题,以获得更高的生产效率。 Maxim Integrated将IIoT按堆叠形式进行划分,如图1所示。


IIoT堆叠最底层是工厂或生产车间的设备(系统)。这些设备可以是现场感测器、控制器、工业PC等,所有这些均为硬体系统,包括硬体的安全保护功能。这些终端设备必须提供有效的资料通信,连接至通信集线器、闸道和交换机,从而将这些资料作为大资料存放在云端(或企业网)。


IIoT的目标是:该资料可整合到企业的ERP和CRM软体中,不仅能够高效规划制造过程、降低成本,甚至利用客户/市场讯息来改变装配线和过程参数。


堆叠的顶层影响到软体发展和整合,底层影响系统设计。 IIoT的主要利益可分为三部分(图2):资产、过程和企业优化。优化一台电机要比优化钻台操作更容易,而后者又比优化大型产线容易。而对所有环节进行优化是工业IoT的终极梦想。


第一级分析和交交互操作发生在第一线:从感测器(例如涡轮感测器、电机编码器或振动特征信号)资料获取,然后在本地进行资料处理,?明操作者掌握如何调节参数以实现最高效率,或提供故障隐患的早期征兆。


第二级分析在控制室或工厂完成,将来自多个终端设备甚至多个组装线的感测器资料整合在一起,从而制定决策,提高工厂或过程效率。例如,控制室做出让各种终端设备空闲或休眠的决策,降低过程的总体功耗。



图1 : 自动化产业的工业物联网
图1 : 自动化产业的工业物联网

图2 : 潜在的工业物联网利益
图2 : 潜在的工业物联网利益

资料的运用对营运的正面影响表现在前两个阶段,我们已经比较熟悉,并且以一定的方式、形式在使用。然而,IIoT的目的不仅改进前两个阶段的资料获取和分析,而且将过程资料与企业资料进行整合,从而做出在此之前未能实现的决策。


观察一个公司如何从市场获利,我们不难推断应该灵活地对生产线进行调整,根据市场需求让生产线全速运转,或彻底关闭不受市场欢迎的附件功能。将营运和财务资料相结合,能够为CFO提供更深入的洞察力。公司重心调整及转变的灵活性是产业保持快速、可持续发展的关键。这是一个极富吸引力的市场趋势,但当前的安全措施还跟不上IIoT系统发展的需求。


工业物联网系统的薄弱环节

IIoT系统有若干管道容易遭受攻击,其中最突出的两个方面是云端存储和网路架构。


将资料放在云端(公有或私有)是IIoT的关键。但同时也带来了严重的安全隐忧。传统上,工业控制系统(ICS)厂商在系统中保留一定的间隙。当这些系统直接或间接连接到互联网时,情况会大不相同。 IIoT使人们认识到,ICS需要嵌入式安全认证和安全保护。


我们接下来看看支持IIoT的网路架构。图3所示为工厂或生产过程的现场设备最终如何连接到网路的顶层视图。


通常有控制网路、现场感测器主机,以及连接至PLC或DCS的执行机构或伺服驱动(及其它类似设备)。一般而言,该控制网路是隔离网路的一个分支。但是,管理工厂或过程不同部分的控制网路越来越多地连接在一起,形成工厂网路。


工厂网路使监管者能够了解整个工厂的营运情况,判断工厂各个环节之间的相互影响。这一层的资讯支援对整个工厂或油田营运的优化。最终,工厂网路资讯被整合到企业/业务网路,实现真正的IIoT。



图3 : 按工程分层的安全性映射
图3 : 按工程分层的安全性映射

控制网路中的每一层都需要评估其安全性—每一层的安全性都不同。如果从顶层开始,即为IT域,需要的是已更新至最新软体和修补程式的安全交换机和伺服器。


* 在工厂层,安全防护不是最新技术。然而,IT仍然具有一定的控制。


* 在控制网路层,PLC架构的年龄已经有数十年。一般很少更新,并且也不能对负责100%工厂营运时间的系统进行频繁修补。此处的安全性通常较弱。


* 在现场层,安全防护措施几乎根本不存在。现场设备是开放式、受信任的,由于互通性最为重要,所以实际上不能实施任何加密措施。观察现场的从设备,例如感测器和执行器,这些系统(大部分)的安全性为零,使用的还是上世纪70年代至90年代期间开发的协议。


应对工业现场控制系统的风险

我们更深入地讨论现场环节,给ICS带来风险的主要两点是:远端现场感测器和IO模组。成败的关键在于正常营运时间、预测维护以及总体效率:IIoT的基石。


远端现场感测器的风险

实际应用中,不能保证所有感测器的物理安全,尤其当感测器安装在非常偏远的位置,比如监测石油和天然气现场等。位置偏远使其很容易受到物理攻击,所以在接受感测器资料之前对其进行安全认证至关重要。在多数情况下,现场感测器,甚至关键设施中使用的感测器都是开放式、受信任的。现场感测器的这一弱点依然普遍存在。


2014年,在众所周知的黑帽骇客大会上,发表了俄罗斯研究人员的一篇文章,作者认为直接攻击企业系统太麻烦。相反,他们策划并介绍了一种「中间人」攻击方法:欺骗并更换一个开放、受信任的HART数据机现场感测器3。他们介绍了详细的过程,甚至制作了软体库供下载。


我们重视IIoT的安全系统,就必须首先关注向云端或PLC发送资料的可信任感测器。这些安全性漏洞对远端设备的影响是深远的。


IO模组的风险

访问开放式受信任系统的另一种途径是利用克隆IO模组注入恶意软体。工人已经习惯于更换PLC IO模组的操作。亚洲市场上就曾发生过出售克隆IO模组的情况(假冒顶级自动化厂商的牌子)。同样,由于是传统上几乎没有内置安全性的受信任系统,这些模组成为向主PLC CPU注入恶意软体的有效载体。物理安全(确保只有设定的一组人员才能更新PLC系统)可防止这种行为,但请不要忘记,这并不一定是恶意行为。因为您甚至不知道所用模组的真实性。


对现场感测器实施硬体安全认证

解决上述潜在风险的系统方案可以非常简单:子系统的资料只有通过安全认证才会被信任。有简单的嵌入式硬体方法可保证此类受信任系统的安全。几年前,建立了医疗和耗材(例如印表机墨水匣)的安全认证方法。这些系统传统上采用基于标准的安全认证过程,使用定制安全器件。


这种安全方法基于主机和从机之间的质询-应答。主机系统发送一个质询,从机系统利用该质询来计算应答。主机系统对该应答进行验证,确保从机系统不是克隆或假冒品。只有经过验证后,主机才会与从机系统进行通信。


图5所示的简化概念方框图为采用类似SHA 256演算法的硬体安全认证方案。


SHA-256协议基于安全认证器件之间的质询-应答交换,在接收和读取感测器资料之前,对感测器进行安全认证。 SHA-256安全认证使攻击者不能连接到网路,冒充感测器甚至利用受损系统代替感测器,除非其拥有已写入合法私密金钥的安全认证器件。


Maxim Integrated等厂商在美国本土工厂提供金钥程式设计服务,然后将程式设计后的安全认证器件发送给用户。该器件将拥有唯一的金钥,只有该用户知道。储存有金钥的器件内置各种有源和无源防篡改措施。



图4 : 对从机模组进行安全认证:可用于现场感测器和IO模组。
图4 : 对从机模组进行安全认证:可用于现场感测器和IO模组。

图5 : 采用SHA-256 (私密金钥)的感测器安全认证
图5 : 采用SHA-256 (私密金钥)的感测器安全认证

PLC CPU的风险及解决方案

控制工厂或过程的是PLC和主CPU,执行所有的控制演算法。但这些系统并非设计用于承受安全攻击和破坏。所以,这些系统一旦接入网路,就有许多途径会危及PLC的CPU。其中有些攻击面可能是应用软体、OS或硬体,但大部分攻击面是韧体。如果韧体被更改或感染,恶意软体引起的任何变化不但难以发现,而且即使发现,也难以确定背后的目的或意图。


大多数的PLC在韧体装载时都不进行来源和资料安全认证。有的PLC甚至没有校验和验证韧体的传输是否正确。如果攻击者能够更改PLC韧体,就能够:


* 完全接管被攻击的系统;


* 掌握生产过程;


* 选择性地破坏制造操作(又名震网);或者从受信任制造系统传播至企业。


不是任何人都只会通过控制系统来破坏工厂。其中的风险可能更加微妙。有许多智慧财产权嵌入在制造设施中,有时候其目的仅仅是获得这些IP。这种恶意软体不会通过在生产过程中引发问题而使自己暴露。


自动化世界(Automation World)杂志曾报导:「关于蜻蜓(Dragonfly),有意思的是其瞄准ICS资讯的目的不是为引起停工,而是为了窃取智慧财产权。潜在损害可能包括剽窃专利配方和生产批次步骤,以及表示厂商产能和能力的网路、设备资讯。」


缓解此类问题的系统方案是为主PLC CPU实施安全装载。这是对韧体进行安全认证,保证只接受带有效数字签名软体的一种途径。根据设备的不同,使用者也可以对韧体加密。安全处理需求很容易超过传统PLC CPU的MIPS,甚至产生延迟问题。最好的解决方案是将安全功能交给专门针对这些功能设计的低成本、商用安全处理器,如图所示。图6所示系统利用外部安全处理器验证韧体的数位签章。


以上方案使用金钥支持安全认证,也就带来了金钥保护问题。金钥的物理安全是许多应用中的首要考虑事项,因为一旦金钥遭到威胁,安全将不复存在。


为正确解决物理安全,必须考虑诸多事项。其中包括:生成随时加密的物理机制、防止授权代理之间传输金钥被截取的物理机制;以及储存金钥的安全方法,能够防止物理侦测、机械探测等。


各种金钥记忆体件为系统设计者提供丰富的功能,涵盖了从封装设计到外部感测器介面,以及内部电路架构,参见军用标准FIPS 140规范,许多晶片厂商,例如Maxim Integrated,提供非常全面的防篡改能力,可用于工业控制系统。


VI.IOT安全的未来

安全保障措施还有其他途径,并且当我们开始认识到安全性对于互联工厂环境的重要性时,最终将围绕少数几个方法展开研究。


制造业领域的IIoT具有旺盛需求,并且呈现不断增长的趋势。安全性的发展必将克服薄弱环节,但需求已经切切实实地存在。



图6 : 主PLC CPU的安全引导
图6 : 主PLC CPU的安全引导

(本文出自于《THE EMBEDDED WORLD CONFERENCE 2016》 ;作者 Suhel Dhanani 为Maxim Integrated控制和自动化战略部技术团队主要成员)


参考文献

[1]General Electric factory as featured in Technology Review Magazine (http://www.technologyreview.com/news/509331/an-internet-for-manufacturing/)


[2]Siemens Press Brief on the Amberg Electronics plant (http://www.siemens.com/press/pool/de/events/2015/corporate/2015-02- amberg/factsheet-amberg-en.pdf)


[3]Complete presentation available at https://www.blackhat.com/docs/us- 14/materials/us-14-Bolshev-ICSCorsair-How-I-Will-PWN-Your-ERP-Through-4-20mA-Current-Loop.pdf


[4]See Automation World: http://www.automationworld.com/new-research-reveals-dragonfly-malware-likely-targets-pharmaceutical-companies


相关文章
工厂自动化渐趋成熟 智慧感测器不可或缺
工厂资安事件频传 你的工业控制系统够安全吗?
人机协作的最大公约数 安全认证势在必行
工业4.0四大技术之必要
工业物联网来势汹汹 通讯整合已成制造业重要课题
comments powered by Disqus
相关讨论
  相关新闻
» 离岸风电发展需群策群力 绿色金融使力推动产业前进
» ?先进厂房-智联安全科技应用与管理研讨暨展示?9/25、9/27年度巡??开跑!
» 新代数控系统为核心 用联达智能平台加值
» 台湾三丰展示最新量测仪器 兼顾克服现场严苛环境条件
» 松下展出日本原装示范产线 具备IT+OT解决方案
  相关产品
» 贸泽供货Maxim安全装置 适用於抛弃式医疗设备
» Maxim发布电量计IC MAX17301/11 整合电池保护器
» Maxim最新MAX30208临床级数位温度感测器 功耗降低50%
» Maxim发布最新nanoPower即时时钟 延长可穿戴设备、收银机及可携式系统的电池寿命
» Maxim发布高效率低EMI的LED驱动器 效率高达90%

AD


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2019 远播信息股份有限公司版权所有 Powered by O3
地址:台北市中山北路三段29号11楼 / 电话 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw