Thomas BrandADI公司

簡(jiǎn)介

工業(yè)部門(mén)轉(zhuǎn)向數(shù)字化已成趨勢(shì)，其他任何領(lǐng)域都沒(méi)有如此明顯。生產(chǎn)環(huán)境不斷變化——已經(jīng)連成網(wǎng)絡(luò)，不同公司部門(mén)之間甚至跨越公司邊界的通信日益增加。無(wú)論是人還是機(jī)器，公司所涉及的所有各方都在活躍地進(jìn)行不計(jì)其數(shù)的多樣化數(shù)據(jù)交換。以前只有個(gè)別機(jī)器互連，而未來(lái)網(wǎng)絡(luò)將無(wú)處不在——從單個(gè)傳感器和執(zhí)行器到機(jī)器和完整系統(tǒng)。工業(yè)4.0或工業(yè)物聯(lián)網(wǎng) (IIoT) 推動(dòng)的數(shù)字化轉(zhuǎn)型，使所有生產(chǎn)參與者相互聯(lián)系起來(lái)。以太網(wǎng)和工業(yè)以太網(wǎng)日益成為必不可少的通信標(biāo)準(zhǔn)，因?yàn)樗鼈兿啾扔谝郧暗默F(xiàn)場(chǎng)總線具有決定性的優(yōu)勢(shì)，例如更大的傳輸速率和更高的可靠性。此外，工業(yè)以太網(wǎng)提供了將網(wǎng)絡(luò)中的全部通信技術(shù)（從傳感器到云）納入一個(gè)獨(dú)特標(biāo)準(zhǔn)的可能性。它利用實(shí)時(shí)功能和確定性來(lái)增強(qiáng)經(jīng)典以太網(wǎng)。我們所說(shuō)的時(shí)間敏感網(wǎng)絡(luò) (TSN)涉及到多個(gè)子標(biāo)準(zhǔn)，這些子標(biāo)準(zhǔn)正在標(biāo)準(zhǔn)化組織IEEE 802（時(shí)間
敏感網(wǎng)絡(luò)任務(wù)組）的框架內(nèi)進(jìn)行開(kāi)發(fā)，其定義以最低延遲或高可用性進(jìn)行數(shù)據(jù)傳輸?shù)臋C(jī)制。然而，TSN網(wǎng)絡(luò)的基礎(chǔ)是無(wú)數(shù)的傳感器、設(shè)備和系統(tǒng)，它們?cè)絹?lái)越多地配備有人工智能，未來(lái)將能自行決策。這種自主系統(tǒng)以及隨之而來(lái)的數(shù)據(jù)量增加，給自動(dòng)化系統(tǒng)制造商（尤其是在IT和網(wǎng)絡(luò)安全領(lǐng)域）帶來(lái)了極大的挑戰(zhàn)。將來(lái)，嚴(yán)密隔離的機(jī)器區(qū)域?qū)⒉坏貌婚_(kāi)放，使外界可與之通信。

與純過(guò)程可靠性或生產(chǎn)可用性相比，對(duì)網(wǎng)絡(luò)安全的需求正變得越來(lái)越重要，而且這些領(lǐng)域之間具有很強(qiáng)的依賴(lài)關(guān)系。網(wǎng)絡(luò)安全意識(shí)增強(qiáng)的原因不止這一個(gè)。最近發(fā)生的事件，如震網(wǎng)、Wanna Cry及對(duì)德國(guó)聯(lián)邦議院的攻擊等，也極大地提升了網(wǎng)絡(luò)安全的重要性。

然而，由于保密性、完整性、可用性等保護(hù)目標(biāo)，網(wǎng)絡(luò)安全是一個(gè)復(fù)雜的問(wèn)題。只有無(wú)法進(jìn)行未經(jīng)授權(quán)的信息檢索，才有可能實(shí)現(xiàn)保密性。完整性包括數(shù)據(jù)正確性（數(shù)據(jù)完整性）和系統(tǒng)正常運(yùn)行（系統(tǒng)完整性）兩方面?？捎眯允侵感畔⒓夹g(shù)系統(tǒng)發(fā)揮功能的程度；也就是說(shuō)，系統(tǒng)是否隨時(shí)可以使用，以及數(shù)據(jù)處理是否也正常運(yùn)行。進(jìn)一步的保護(hù)目標(biāo)有身份驗(yàn)證和授權(quán)等，判明用戶身份及其對(duì)安全數(shù)據(jù)源的訪問(wèn)權(quán)限。承諾/不可否認(rèn)性確保通信參與者不拒絕消息。

因此，網(wǎng)絡(luò)安全處理的是不斷變化的問(wèn)題，這在設(shè)備、系統(tǒng)和網(wǎng)絡(luò)的整個(gè)生命周期中都是一個(gè)問(wèn)題。新的漏洞不斷被發(fā)現(xiàn)，新的黑客攻擊方法不斷被找到，故有必要一次又一次地更新設(shè)備和系統(tǒng)，消除已識(shí)別的漏洞。因此，系統(tǒng)的設(shè)計(jì)必須支持對(duì)重要功能進(jìn)行安全更新，從而受到永久保護(hù)。然而，對(duì)于汽車(chē)制造商和此類(lèi)系統(tǒng)的開(kāi)發(fā)者來(lái)說(shuō)，要在其應(yīng)用中實(shí)施不斷變化的安全要求是非常困難的，因?yàn)檫@是一個(gè)非常廣泛的主題領(lǐng)域，超出了其實(shí)際工作的范疇。因此，在開(kāi)發(fā)的早期階段與合適的IT和安全專(zhuān)家合作是有意義的。否則會(huì)有風(fēng)險(xiǎn)，未檢測(cè)到的漏洞可能會(huì)損害業(yè)務(wù)，這種損害可能遠(yuǎn)遠(yuǎn)超過(guò)新產(chǎn)品和技術(shù)的潛在好處，在最壞情況下甚至可能危及企業(yè)。

傳統(tǒng)上，網(wǎng)絡(luò)安全被視為一個(gè)IT問(wèn)題，需要實(shí)施安全的操作系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用協(xié)議、防火墻及其他防御網(wǎng)絡(luò)入侵的解決方案。但是，數(shù)字化轉(zhuǎn)型將使得未來(lái)的機(jī)器必須盡可能智能和自主，從而實(shí)現(xiàn)更多功能、更多連接，同時(shí)提高數(shù)據(jù)量。因此，系統(tǒng)風(fēng)險(xiǎn)評(píng)估的重要性顯著增加。以前，有些系統(tǒng)不需要安全或保護(hù)，而現(xiàn)在，它們極易受到攻擊，導(dǎo)致其癱瘓。制造此類(lèi)系統(tǒng)的廠商必須認(rèn)真檢查和評(píng)估潛在漏洞，并采取適當(dāng)?shù)谋Ｗo(hù)措施。

應(yīng)盡早實(shí)施適當(dāng)?shù)陌踩δ?，最好是在系統(tǒng)信號(hào)鏈開(kāi)始的時(shí)候，也就是從實(shí)際的物理世界轉(zhuǎn)向數(shù)字世界的時(shí)候。這個(gè)期間是所謂的“最有效點(diǎn)”，它似乎是信號(hào)鏈最有希望的一點(diǎn)。該點(diǎn)通常由傳感器或執(zhí)行器形成。此時(shí)，可信數(shù)據(jù)編碼的復(fù)雜性通常相對(duì)較低，這也能增加基于數(shù)據(jù)的決策的可信度。然而，如圖1所示，這個(gè)最有效點(diǎn)要求高度有效的硬件身份識(shí)別和數(shù)據(jù)完整性，如此才能實(shí)現(xiàn)最高級(jí)別的數(shù)據(jù)安全性，使得操作系統(tǒng)對(duì)數(shù)據(jù)安全有信心。在硬件級(jí)別實(shí)現(xiàn)身份識(shí)別和完整性，即將保護(hù)特性嵌入硅片中，是產(chǎn)生適當(dāng)數(shù)據(jù)安全性的最有希望的方法。這就是所謂信任根開(kāi)始的地方。

信任根

信任根是一組相關(guān)的安全功能，其將設(shè)備中的加密過(guò)程作為一個(gè)很大程度上獨(dú)立的計(jì)算單元加以控制。在這種情況下，為實(shí)現(xiàn)安全數(shù)據(jù)傳輸，通常要按順序一環(huán)套一環(huán)地執(zhí)行一系列步驟，控制硬件和軟件組件。如圖2所示，各個(gè)步驟的順序確保數(shù)據(jù)通信按照期望無(wú)害地進(jìn)行。由此便可認(rèn)為應(yīng)用受到了良好的保護(hù)。

為使應(yīng)用可信且無(wú)懈可擊，首先要使用自己的身份或密鑰。在這里分配和檢查設(shè)備或人員的訪問(wèn)授權(quán)。雖然身份和密鑰已建立，但它們?nèi)匀皇切湃胃牡谝徊街凶铌P(guān)鍵的要素，因?yàn)樵O(shè)備的安全性與密鑰受到的保護(hù)是一樣的。為此，有必要實(shí)施額外的保護(hù)功能，確保密鑰安全存儲(chǔ)并轉(zhuǎn)發(fā)給正確的接收者。

為了能夠保護(hù)設(shè)備的實(shí)際功能免受未經(jīng)授權(quán)的訪問(wèn)，啟動(dòng)設(shè)備時(shí)需要一個(gè)安全引導(dǎo)過(guò)程。身份驗(yàn)證和隨后的軟件解密將確保設(shè)備免受攻擊和操縱。如果沒(méi)有安全引導(dǎo)，潛在攻擊者將能相對(duì)容易地侵入、操縱和執(zhí)行容易出錯(cuò)的代碼。

安全更新是處理不斷變化的應(yīng)用環(huán)境和新出現(xiàn)的安全漏洞的重要步驟。一旦發(fā)現(xiàn)新的硬件或軟件漏洞，便應(yīng)盡快通過(guò)更新設(shè)備來(lái)加以彌補(bǔ)，避免攻擊造成重大損害。安全更新還用于糾正任何產(chǎn)品錯(cuò)誤或?qū)嵤┊a(chǎn)品改進(jìn)。

為使可信環(huán)境能夠執(zhí)行其他安全服務(wù)，例如加密，需要應(yīng)用編程接口 (API)。它還包括保護(hù)特性（如加密）、身份驗(yàn)證和完整性。所有這些安全功能都應(yīng)放在單獨(dú)的受保護(hù)執(zhí)行環(huán)境中，與設(shè)備的實(shí)際應(yīng)用分開(kāi)，以確保代碼中沒(méi)有可能導(dǎo)致設(shè)備間接損壞的錯(cuò)誤。

網(wǎng)絡(luò)安全對(duì)半導(dǎo)體制造商而言是一個(gè)日益重大的問(wèn)題

ADI公司這樣的半導(dǎo)體制造商是適應(yīng)IIoT和工業(yè)4.0大趨勢(shì)的面向未來(lái)產(chǎn)品的主要供應(yīng)商之一，關(guān)注網(wǎng)絡(luò)安全已經(jīng)有很長(zhǎng)一段時(shí)間。

為了滿足日益增長(zhǎng)的安全需求，ADI公司試圖在其產(chǎn)品和開(kāi)發(fā)中植入信任根的概念。目標(biāo)是能為其關(guān)注的領(lǐng)域或行業(yè)提供適當(dāng)?shù)目构舢a(chǎn)品，從而確?？蛻粜湃味茸罡?，并顯著提高其應(yīng)用的價(jià)值。從根本上說(shuō)，這意味著要在所有聯(lián)網(wǎng)的地方引入安全性。這主要是指通信領(lǐng)域的半導(dǎo)體產(chǎn)品，尤其是工業(yè)以太網(wǎng)和TSN器件。此外，只要芯片上存在集成系統(tǒng)，即微處理器處理基本功能，那么安全性也是必不可少的。

對(duì)制造商而言，一個(gè)決定性因素是與可能已處于項(xiàng)目定義階段的客戶及早展開(kāi)合作。這樣，最基本的安全要求將能被納入設(shè)計(jì)中，從而保護(hù)整個(gè)信號(hào)鏈。因此，身份可能直接在信號(hào)鏈的傳感器節(jié)點(diǎn)處就已經(jīng)嵌入物理層面，確保用戶對(duì)數(shù)據(jù)通信的安全性更有信心。出于這個(gè)原因（還有其他原因），ADI公司擴(kuò)充了其網(wǎng)絡(luò)安全專(zhuān)業(yè)知識(shí)，收購(gòu)了Sypris Electronics的網(wǎng)絡(luò)安全解決方案 (CSS) 部門(mén)。通過(guò)此次收購(gòu)，一家知名的高安全性網(wǎng)絡(luò)安全技術(shù)制造商和安全服務(wù)提供商誕生了，這將使ADI公司能夠在未來(lái)為其客戶提供高度靈活、可靠和集成的系統(tǒng)級(jí)安全解決方案。通過(guò)安全密鑰生成/管理、安全引導(dǎo)、安全更新、安全存儲(chǔ)器訪問(wèn)和安全調(diào)試，這些所謂的CSS安全解決方案超越了傳統(tǒng)加密技術(shù)。它們針對(duì)經(jīng)典加密解決方案提供了一種完全集成的替代方案，未來(lái)將能支持輕松實(shí)現(xiàn)高度安全的硬件平臺(tái)，從而顯著提高其向客戶提供的產(chǎn)品的價(jià)值。

CSS網(wǎng)絡(luò)安全技術(shù)，更確切地說(shuō)是其所有安全功能，通常是在獨(dú)立的FPGA子系統(tǒng)上實(shí)現(xiàn)，該子系統(tǒng)與芯片的實(shí)際應(yīng)用功能并行運(yùn)行。這稱(chēng)為可信執(zhí)行環(huán)境 (TEE)，如圖3所示。

基于FPGA的實(shí)現(xiàn)很容易支持現(xiàn)場(chǎng)設(shè)備的軟件升級(jí)，輕松消除任何潛在的產(chǎn)品漏洞。

不同于基于軟件的加密技術(shù)，這種基于硬件的解決方案使用專(zhuān)用處理器來(lái)計(jì)算加密算法，并使用專(zhuān)用存儲(chǔ)來(lái)托管全密鑰。專(zhuān)用存儲(chǔ)器只能通過(guò)專(zhuān)用處理器訪問(wèn)。通過(guò)使用專(zhuān)用組件，TEE和所有敏感操作可以與系統(tǒng)的其余部分隔離，從而提高加密功能的執(zhí)行速度，同時(shí)顯著減少黑客的潛在攻擊面。

它能防止任何對(duì)芯片其余部分的未經(jīng)授權(quán)的訪問(wèn)，而加密功能通過(guò)API接口訪問(wèn)。如此便能實(shí)現(xiàn)極高程度的安全性。

結(jié)論

網(wǎng)絡(luò)安全以及保護(hù)技術(shù)系統(tǒng)免受可能的攻擊是向數(shù)字化轉(zhuǎn)型的關(guān)鍵因素，尤其是在自動(dòng)化行業(yè)。由于缺乏法規(guī)，最重要的是缺乏網(wǎng)絡(luò)安全知識(shí)，許多公司在如何解決這一重要問(wèn)題上仍存在很大的不確定性。

作者簡(jiǎn)介

Thomas Brand于2015年10月加入德國(guó)慕尼黑的ADI公司，當(dāng)時(shí)他還在攻讀碩士。2016年5月至2017年1月，他參加了ADI公司的現(xiàn)場(chǎng)應(yīng)用工程師培訓(xùn)生項(xiàng)目。之后在2017年2月，他開(kāi)始擔(dān)任現(xiàn)場(chǎng)應(yīng)用工程師職位，主要負(fù)責(zé)工業(yè)大客戶。此外，他還專(zhuān)注于研究工業(yè)以太網(wǎng)，并為中歐的相關(guān)事務(wù)提供支持。他畢業(yè)于德國(guó)莫斯巴赫的聯(lián)合教育大學(xué)電氣工程專(zhuān)業(yè)，之后在德國(guó)康斯坦茨應(yīng)用科學(xué)大學(xué)獲得國(guó)際銷(xiāo)售碩士學(xué)位。聯(lián)系方式：thomas.brand@analog.com。