將工業(yè)嵌入式系統(tǒng)連接到云端時確保安全性

作者/Xavier Bignalet Microchip安全產(chǎn)品部營銷經(jīng)理

　　在工業(yè)4.0剛剛興起之時，我們便已看到，遠程制造和控制可使工廠變得更加自動化。雖然這在業(yè)務效率方面帶來了諸多優(yōu)勢，但也將一些非常昂貴的資產(chǎn)暴露于意外訪問的風險之中。這不僅將資本價值高昂的機器置于風險當中，而且在特定時間內通過工廠生產(chǎn)的產(chǎn)品帶來的企業(yè)收入也會受到影響。

　　將工廠連接到公共云或私有云一定會存在安全風險，這一點人們早已達成共識。例如，一旦智能工廠暴露于網(wǎng)絡(如異地數(shù)據(jù)中心)中，就會發(fā)生這種情況?，F(xiàn)在面臨的挑戰(zhàn)是，不僅要充分利用智能連接工廠的靈活性優(yōu)勢，還要確保在各種網(wǎng)絡中擴展的安全性。

　　首先我們應確定解決方案是使用有線、無線還是組合解決方案。建議采用具有標準協(xié)議(例如工業(yè)領域廣泛使用的Wi-Fi?、Bluetooth?或以太網(wǎng))的連接技術。采用標準安全措施降低了連接遭受攻擊的風險。這有時會違背熱衷于專有解決方案的工業(yè)領域的歷史慣例?；A設施的建設需要持續(xù)很多年。雖然許多網(wǎng)絡具有一些專有協(xié)議，但其應僅限于內部使用，不能用于外部連接。

　　其中一個問題是，即使是最具資質的嵌入式工程師，在IT安全概念方面的知識也很有限。他們不是IT安全專家，而這種知識缺口讓他們無法創(chuàng)建可靠且安全的IoT基礎設施。一旦工廠連接到云端，工程師將突然陷入Amazon Web Services(AWS)、Google、Microsoft Azure等世界，并且很快發(fā)現(xiàn)他們需要IT專家的幫助來處理現(xiàn)在面對的各種安全威脅。

　　對于黑客而言，其主要目標之一是利用單一接入點獲取對大量系統(tǒng)的遠程訪問權限。遠程攻擊可能通過近期的猛烈攻擊形成大規(guī)模破壞，例如，已出現(xiàn)過分布式拒絕服務(DDoS)攻擊。對于IoT網(wǎng)絡而言，最大的弱點通常是硬件及其端節(jié)點的用戶，因為負責這方面的工程師通常缺乏IT知識來處理此類問題。

　　這種情況正在改變。像Microchip這樣的公司將這種問題視為其使命的一部分，他們就端到端安全基礎設施應當是什么樣子對工程師進行培訓，以彌補這一差距。此外，AWS、Google和Microsoft等大型云服務公司也是重要的專業(yè)知識來源。我們得到的重大教訓是，不要忽略安全性，也不能將其視為在完成IoT網(wǎng)絡設計后的附加選項。到那時，一切都太晚了。在任何IoT設計的開始，就需要從戰(zhàn)略上實施安全性。安全性始于硬件，但不能簡單地將其作為后加項進行添加或通過軟件進行補充。

　　1身份驗證

　　身份驗證是最重要的一個安全難題。系統(tǒng)設計人員從一開始就必須牢記，連接到網(wǎng)絡的每個節(jié)點都需要具有惟一、受保護且可信的身份。了解網(wǎng)絡上的人員是否為正當用戶以及他們是否可信至關重要。為此，需要在服務器與IoT端節(jié)點之間使用傳統(tǒng)的TLS 1.2和相互認證。這需要使用雙方均信任的信息(認證機構)完成。

　　但是，只有在從項目開始到制造，再到將系統(tǒng)部署于智能工廠這一完整過程中，認證機構頒發(fā)的信任信息始終受到保護的情況下，這種方法才有效。用于確認IoT端節(jié)點可靠性的私鑰必須安全且受保護。目前，一般的做法是將單片機的私鑰存儲在可能暴露于軟件篡改危險中的閃存以外的位置。但是，這仍然不太可靠，因為任何人都可以訪問和查看此存儲器區(qū)域，并進行控制和獲取私鑰。這種實現(xiàn)方式存在缺陷，會給設計人員帶來一種錯誤的安全感。這是發(fā)生破壞和重大問題的地方。

　　2安全元件

　　對于安全解決方案，密鑰和其他重要憑證不僅需要從單片機中移除，而且還要與單片機隔離，并避免任何軟件形式的暴露。至此，安全元件概念應運而生。安全元件的理念是，在本質上提供一個安全的避風港來存儲和保護密鑰，確保沒有人可以訪問此密鑰。來自CryptoAuthLib庫的命令允許將單片機的適當質詢/響應發(fā)送到安全元件，以驗證身份。在產(chǎn)品開發(fā)過程中以及產(chǎn)品的整個使用壽命內，私鑰在任何時候都不會暴露，也不會離開安全元件。這樣便可建立端到端可信鏈。

　　圖1 安全元件

　　安全元件是獨立的CryptoAuthentication?集成電路(IC)，可被視為公司可放置其機密信息的保險箱。在這種情況下，它們保存IoT身份驗證所需的私鑰。

　　2.1配置密鑰

　　另一個重要概念是，如何將私鑰和其他憑據(jù)從客戶配置到CryptoAuthentication器件。為此，Microchip提供了一個平臺，客戶可通過這一平臺在制造IC期間創(chuàng)建并安全地安排其機密內容的編程，而不會將這些信息暴露給包括Microchip人員在內的任何人員。Microchip隨后在其工廠生產(chǎn)安全元件，只有在其將要離開這些經(jīng)認證的安全通用標準工廠之前，才會對其進行配置以及提供給最終用戶。

　　當客戶打開AWS IoT帳戶時，這些帳戶將攜帶Microchip通過AWS提供的“使用自己的證書”功能為其創(chuàng)建的客戶證書。隨后，他們將使用所謂的即時注冊(JITR)AWS IoT功能，將安全元件中存儲和配置的設備級證書批量上傳到AWS IoT用戶帳戶?？蛻艏壸C書現(xiàn)可驗證設備級證書，可信鏈現(xiàn)已完成。此功能真正同時兼顧了企業(yè)IoT可擴展性和安全性?？墒褂眉磿r注冊(JITR)流程處理數(shù)以千計的證書。證書可以批量處理，而不是一次僅處理一個，并且無需用戶干預。用戶不必將證書從相關器件手動加載到云帳戶并將其暴露給第三方，現(xiàn)在只需安排自動注冊新設備證書，以將其作為設備和AWS IoT之間初始通信的一部分，絲毫不影響安全性。

　　3升級版AT88CKECC-AWS-XSTK-B工具包入門

　　如圖2所示，板上的零觸摸配置工具包是ATECC508AMAHAW Cryptoauthentication器件，其已預先配置，可針對用戶的AWS IoT帳戶運行身份驗證過程。首先，通過使用新的Python腳本了解可信鏈的概念，以及了解在配置階段通過Microchip工廠進行的配置過程。此工具包在一定程度上展示了制造過程的工作原理。此外，此器件具有很強的抗物理篡改特性，包括防范旁路攻擊的對策。它還具有符合聯(lián)邦信息處理標準(FIPS)的高質量隨機數(shù)發(fā)生器、兼容各種資源有限的IoT設備的低功耗加密加速器，以及以極具成本效益的方式無縫適應各種生產(chǎn)流程的能力。

　　為了彌補嵌入式工程師與IT專家之間的差距，除了Python腳本登錄體驗之外，這款工具包還配有CloudFormation腳本，旨在加快AWS帳戶設置以及提高云體驗的易用性。利用CloudFormation腳本，用戶僅需幾分鐘便可在AWS環(huán)境中定義用戶接口(UI)。

　　圖2 ATECC508AMAHAW Cryptoauthentication器件

　　4結論

　　配有ATECC508MAHAW CryptoAuthentication器件的AWS IoT的及時注冊(JITR)與Microchip的生產(chǎn)中安全配置過程相結合，實現(xiàn)了一流的IoT安全性能。這種真正的端到端IoT安全解決方案使工業(yè)4.0安全成就得到了安全而有效的發(fā)展。