將工業(yè)嵌入式系統(tǒng)連接到云端時(shí)確保安全性

作者/Xavier Bignalet Microchip安全產(chǎn)品部營(yíng)銷(xiāo)經(jīng)理

　　在工業(yè)4.0剛剛興起之時(shí)，我們便已看到，遠(yuǎn)程制造和控制可使工廠變得更加自動(dòng)化。雖然這在業(yè)務(wù)效率方面帶來(lái)了諸多優(yōu)勢(shì)，但也將一些非常昂貴的資產(chǎn)暴露于意外訪問(wèn)的風(fēng)險(xiǎn)之中。這不僅將資本價(jià)值高昂的機(jī)器置于風(fēng)險(xiǎn)當(dāng)中，而且在特定時(shí)間內(nèi)通過(guò)工廠生產(chǎn)的產(chǎn)品帶來(lái)的企業(yè)收入也會(huì)受到影響。

　　將工廠連接到公共云或私有云一定會(huì)存在安全風(fēng)險(xiǎn)，這一點(diǎn)人們?cè)缫堰_(dá)成共識(shí)。例如，一旦智能工廠暴露于網(wǎng)絡(luò)(如異地?cái)?shù)據(jù)中心)中，就會(huì)發(fā)生這種情況?，F(xiàn)在面臨的挑戰(zhàn)是，不僅要充分利用智能連接工廠的靈活性?xún)?yōu)勢(shì)，還要確保在各種網(wǎng)絡(luò)中擴(kuò)展的安全性。

　　首先我們應(yīng)確定解決方案是使用有線、無(wú)線還是組合解決方案。建議采用具有標(biāo)準(zhǔn)協(xié)議(例如工業(yè)領(lǐng)域廣泛使用的Wi-Fi?、Bluetooth?或以太網(wǎng))的連接技術(shù)。采用標(biāo)準(zhǔn)安全措施降低了連接遭受攻擊的風(fēng)險(xiǎn)。這有時(shí)會(huì)違背熱衷于專(zhuān)有解決方案的工業(yè)領(lǐng)域的歷史慣例。基礎(chǔ)設(shè)施的建設(shè)需要持續(xù)很多年。雖然許多網(wǎng)絡(luò)具有一些專(zhuān)有協(xié)議，但其應(yīng)僅限于內(nèi)部使用，不能用于外部連接。

　　其中一個(gè)問(wèn)題是，即使是最具資質(zhì)的嵌入式工程師，在IT安全概念方面的知識(shí)也很有限。他們不是IT安全專(zhuān)家，而這種知識(shí)缺口讓他們無(wú)法創(chuàng)建可靠且安全的IoT基礎(chǔ)設(shè)施。一旦工廠連接到云端，工程師將突然陷入Amazon Web Services(AWS)、Google、Microsoft Azure等世界，并且很快發(fā)現(xiàn)他們需要IT專(zhuān)家的幫助來(lái)處理現(xiàn)在面對(duì)的各種安全威脅。

　　對(duì)于黑客而言，其主要目標(biāo)之一是利用單一接入點(diǎn)獲取對(duì)大量系統(tǒng)的遠(yuǎn)程訪問(wèn)權(quán)限。遠(yuǎn)程攻擊可能通過(guò)近期的猛烈攻擊形成大規(guī)模破壞，例如，已出現(xiàn)過(guò)分布式拒絕服務(wù)(DDoS)攻擊。對(duì)于IoT網(wǎng)絡(luò)而言，最大的弱點(diǎn)通常是硬件及其端節(jié)點(diǎn)的用戶(hù)，因?yàn)樨?fù)責(zé)這方面的工程師通常缺乏IT知識(shí)來(lái)處理此類(lèi)問(wèn)題。

　　這種情況正在改變。像Microchip這樣的公司將這種問(wèn)題視為其使命的一部分，他們就端到端安全基礎(chǔ)設(shè)施應(yīng)當(dāng)是什么樣子對(duì)工程師進(jìn)行培訓(xùn)，以彌補(bǔ)這一差距。此外，AWS、Google和Microsoft等大型云服務(wù)公司也是重要的專(zhuān)業(yè)知識(shí)來(lái)源。我們得到的重大教訓(xùn)是，不要忽略安全性，也不能將其視為在完成IoT網(wǎng)絡(luò)設(shè)計(jì)后的附加選項(xiàng)。到那時(shí)，一切都太晚了。在任何IoT設(shè)計(jì)的開(kāi)始，就需要從戰(zhàn)略上實(shí)施安全性。安全性始于硬件，但不能簡(jiǎn)單地將其作為后加項(xiàng)進(jìn)行添加或通過(guò)軟件進(jìn)行補(bǔ)充。

　　1身份驗(yàn)證

　　身份驗(yàn)證是最重要的一個(gè)安全難題。系統(tǒng)設(shè)計(jì)人員從一開(kāi)始就必須牢記，連接到網(wǎng)絡(luò)的每個(gè)節(jié)點(diǎn)都需要具有惟一、受保護(hù)且可信的身份。了解網(wǎng)絡(luò)上的人員是否為正當(dāng)用戶(hù)以及他們是否可信至關(guān)重要。為此，需要在服務(wù)器與IoT端節(jié)點(diǎn)之間使用傳統(tǒng)的TLS 1.2和相互認(rèn)證。這需要使用雙方均信任的信息(認(rèn)證機(jī)構(gòu))完成。

　　但是，只有在從項(xiàng)目開(kāi)始到制造，再到將系統(tǒng)部署于智能工廠這一完整過(guò)程中，認(rèn)證機(jī)構(gòu)頒發(fā)的信任信息始終受到保護(hù)的情況下，這種方法才有效。用于確認(rèn)IoT端節(jié)點(diǎn)可靠性的私鑰必須安全且受保護(hù)。目前，一般的做法是將單片機(jī)的私鑰存儲(chǔ)在可能暴露于軟件篡改危險(xiǎn)中的閃存以外的位置。但是，這仍然不太可靠，因?yàn)槿魏稳硕伎梢栽L問(wèn)和查看此存儲(chǔ)器區(qū)域，并進(jìn)行控制和獲取私鑰。這種實(shí)現(xiàn)方式存在缺陷，會(huì)給設(shè)計(jì)人員帶來(lái)一種錯(cuò)誤的安全感。這是發(fā)生破壞和重大問(wèn)題的地方。

　　2安全元件

　　對(duì)于安全解決方案，密鑰和其他重要憑證不僅需要從單片機(jī)中移除，而且還要與單片機(jī)隔離，并避免任何軟件形式的暴露。至此，安全元件概念應(yīng)運(yùn)而生。安全元件的理念是，在本質(zhì)上提供一個(gè)安全的避風(fēng)港來(lái)存儲(chǔ)和保護(hù)密鑰，確保沒(méi)有人可以訪問(wèn)此密鑰。來(lái)自CryptoAuthLib庫(kù)的命令允許將單片機(jī)的適當(dāng)質(zhì)詢(xún)/響應(yīng)發(fā)送到安全元件，以驗(yàn)證身份。在產(chǎn)品開(kāi)發(fā)過(guò)程中以及產(chǎn)品的整個(gè)使用壽命內(nèi)，私鑰在任何時(shí)候都不會(huì)暴露，也不會(huì)離開(kāi)安全元件。這樣便可建立端到端可信鏈。

　　圖1 安全元件

　　安全元件是獨(dú)立的CryptoAuthentication?集成電路(IC)，可被視為公司可放置其機(jī)密信息的保險(xiǎn)箱。在這種情況下，它們保存IoT身份驗(yàn)證所需的私鑰。

　　2.1配置密鑰

　　另一個(gè)重要概念是，如何將私鑰和其他憑據(jù)從客戶(hù)配置到CryptoAuthentication器件。為此，Microchip提供了一個(gè)平臺(tái)，客戶(hù)可通過(guò)這一平臺(tái)在制造IC期間創(chuàng)建并安全地安排其機(jī)密內(nèi)容的編程，而不會(huì)將這些信息暴露給包括Microchip人員在內(nèi)的任何人員。Microchip隨后在其工廠生產(chǎn)安全元件，只有在其將要離開(kāi)這些經(jīng)認(rèn)證的安全通用標(biāo)準(zhǔn)工廠之前，才會(huì)對(duì)其進(jìn)行配置以及提供給最終用戶(hù)。

　　當(dāng)客戶(hù)打開(kāi)AWS IoT帳戶(hù)時(shí)，這些帳戶(hù)將攜帶Microchip通過(guò)AWS提供的“使用自己的證書(shū)”功能為其創(chuàng)建的客戶(hù)證書(shū)。隨后，他們將使用所謂的即時(shí)注冊(cè)(JITR)AWS IoT功能，將安全元件中存儲(chǔ)和配置的設(shè)備級(jí)證書(shū)批量上傳到AWS IoT用戶(hù)帳戶(hù)?？蛻?hù)級(jí)證書(shū)現(xiàn)可驗(yàn)證設(shè)備級(jí)證書(shū)，可信鏈現(xiàn)已完成。此功能真正同時(shí)兼顧了企業(yè)IoT可擴(kuò)展性和安全性?？墒褂眉磿r(shí)注冊(cè)(JITR)流程處理數(shù)以千計(jì)的證書(shū)。證書(shū)可以批量處理，而不是一次僅處理一個(gè)，并且無(wú)需用戶(hù)干預(yù)。用戶(hù)不必將證書(shū)從相關(guān)器件手動(dòng)加載到云帳戶(hù)并將其暴露給第三方，現(xiàn)在只需安排自動(dòng)注冊(cè)新設(shè)備證書(shū)，以將其作為設(shè)備和AWS IoT之間初始通信的一部分，絲毫不影響安全性。

　　3升級(jí)版AT88CKECC-AWS-XSTK-B工具包入門(mén)

　　如圖2所示，板上的零觸摸配置工具包是ATECC508AMAHAW Cryptoauthentication器件，其已預(yù)先配置，可針對(duì)用戶(hù)的AWS IoT帳戶(hù)運(yùn)行身份驗(yàn)證過(guò)程。首先，通過(guò)使用新的Python腳本了解可信鏈的概念，以及了解在配置階段通過(guò)Microchip工廠進(jìn)行的配置過(guò)程。此工具包在一定程度上展示了制造過(guò)程的工作原理。此外，此器件具有很強(qiáng)的抗物理篡改特性，包括防范旁路攻擊的對(duì)策。它還具有符合聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)的高質(zhì)量隨機(jī)數(shù)發(fā)生器、兼容各種資源有限的IoT設(shè)備的低功耗加密加速器，以及以極具成本效益的方式無(wú)縫適應(yīng)各種生產(chǎn)流程的能力。

　　為了彌補(bǔ)嵌入式工程師與IT專(zhuān)家之間的差距，除了Python腳本登錄體驗(yàn)之外，這款工具包還配有CloudFormation腳本，旨在加快AWS帳戶(hù)設(shè)置以及提高云體驗(yàn)的易用性。利用CloudFormation腳本，用戶(hù)僅需幾分鐘便可在AWS環(huán)境中定義用戶(hù)接口(UI)。

　　圖2 ATECC508AMAHAW Cryptoauthentication器件

　　4結(jié)論

　　配有ATECC508MAHAW CryptoAuthentication器件的AWS IoT的及時(shí)注冊(cè)(JITR)與Microchip的生產(chǎn)中安全配置過(guò)程相結(jié)合，實(shí)現(xiàn)了一流的IoT安全性能。這種真正的端到端IoT安全解決方案使工業(yè)4.0安全成就得到了安全而有效的發(fā)展。