工業(yè)網(wǎng)絡(luò)安全始于嵌入式硬件平臺(tái)

　　Wesley Skeffington （賽靈思公司 異構(gòu)平臺(tái)首席工程師）

　　摘要：任何沒(méi)有采取適當(dāng)安全措施而連接到工業(yè)物聯(lián)網(wǎng) (IIoT) 的資產(chǎn)都將面臨網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。除了會(huì)造成財(cái)產(chǎn)損失或引起不便，篡改工業(yè)系統(tǒng)還有可能對(duì)工作人員或公眾人物造成人身傷害或死亡。如果沒(méi)有足夠的網(wǎng)絡(luò)保護(hù)，安全關(guān)鍵型系統(tǒng)就不能被視為真正意義上的安全。本文分析了工業(yè)網(wǎng)絡(luò)安全應(yīng)有的舉措。

　　關(guān)鍵詞：工業(yè)物聯(lián)網(wǎng)；安全；FPGA；OT

　　任何沒(méi)有采取適當(dāng)安全措施而連接到工業(yè)物聯(lián)網(wǎng)(IIoT) 的資產(chǎn)都將面臨網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。除了會(huì)造成財(cái)產(chǎn)損失或引起不便，篡改工業(yè)系統(tǒng)還有可能對(duì)工作人員或公眾人物造成人身傷害或死亡。如果沒(méi)有足夠的網(wǎng)絡(luò)保護(hù)，安全關(guān)鍵型系統(tǒng)就不能被視為真正意義上的安全。

　　聯(lián)網(wǎng)信息物理系統(tǒng)的生產(chǎn)商正在快速采取行動(dòng)，為產(chǎn)品建立強(qiáng)大的保護(hù)功能。但是，盡管所有人都贊同對(duì)網(wǎng)絡(luò)安全不可抱有僥幸心理，但開(kāi)發(fā)者怎樣才能知道應(yīng)該提供多大程度的安全？系統(tǒng)成本中有多大比例能夠用于網(wǎng)絡(luò)安全的應(yīng)對(duì)措施？以及該如何回答“該器件足夠安全嗎”這個(gè)問(wèn)題？

　　安全工程師一直在努力回答這些問(wèn)題，并根據(jù)標(biāo)準(zhǔn)證實(shí)自己的答案。自 IEC 62443 發(fā)布以后，這種情況有所改變。IEC 62443 可提供：一系列威脅模型，以及每種標(biāo)準(zhǔn)定義的安全等級(jí)所需的應(yīng)對(duì)措施。

　　該標(biāo)準(zhǔn)讓工業(yè)安全工程師能夠討論共同指標(biāo)。隨著越來(lái)越多的企業(yè)在尋求可驗(yàn)證的安全解決方案，這些類型的認(rèn)證將成為客戶定義的要求。

　　該標(biāo)準(zhǔn)的 IEC 62443-4-2 部分定義的是組件層面的平臺(tái)要求。這些要求可通過(guò)基于 FPGA 的片上系統(tǒng)(SoC) 等可配置硬件實(shí)現(xiàn)或進(jìn)行加速。

　　1 安全與安保

　　網(wǎng)絡(luò)安全影響著系統(tǒng)的各個(gè)方面，包括安全系統(tǒng)。這一攻擊媒介在對(duì)施耐德電氣的 Triconix 安全系統(tǒng)的攻擊中得以體現(xiàn)。幸運(yùn)的是，這次攻擊并沒(méi)有成功，但確實(shí)提高了人們對(duì)安全系統(tǒng)作為網(wǎng)絡(luò)目標(biāo)的意識(shí)。

　　鑒于網(wǎng)絡(luò)攻擊往往試圖修改系統(tǒng)行為，如果不能保證網(wǎng)絡(luò)安全，就不可能擁有功能安全系統(tǒng)。雖然技術(shù)上可以建立不屬于 IEC-61508 定義的功能安全系統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)。

　　2 保護(hù)與反應(yīng)

　　操作技術(shù) (OT) 領(lǐng)域的嵌入式控制器不能簡(jiǎn)單地利用標(biāo)準(zhǔn)的 IT 安全解決方案。雖然 IT 系統(tǒng)重視保密性，但 OT 設(shè)備最關(guān)注的是可用性。可用性始于硬件的功能。

　　3 生命周期硬件安全

　　為確保充分考慮對(duì)聯(lián)網(wǎng)工業(yè)設(shè)備的所有潛在威脅，應(yīng)分4個(gè)階段考慮安全生命周期（圖 1）。

　　強(qiáng)有力的保護(hù)是首要階段。對(duì)于新部署的設(shè)備，其保護(hù)強(qiáng)度應(yīng)與當(dāng)前的技術(shù)許可相當(dāng)。應(yīng)實(shí)施包括軟硬件并覆蓋啟動(dòng)時(shí)和運(yùn)行時(shí)操作的多層保護(hù)，以提供深度防護(hù)。

　　然而，器件設(shè)計(jì)師必須假定由于安全狀態(tài)隨使用年限的增長(zhǎng)而下降，黑客最終將成功發(fā)起攻擊。因此，檢測(cè)是生命周期的第2階段，包括使用安全認(rèn)證和測(cè)量技術(shù)查找對(duì)系統(tǒng)的意外更改或未經(jīng)授權(quán)的更改。

　　第3階段是恢復(fù)力，指設(shè)備能夠回退到安全工作模式并向操作人員發(fā)出狀況告警。無(wú)論是出于安全原因還是僅僅為了避免停機(jī)成本，這對(duì)于工業(yè)系統(tǒng)在遭受攻擊后繼續(xù)工作非常重要。

　　第4階段是為設(shè)備預(yù)先采取措施，便于報(bào)告安全攻擊的詳細(xì)情況。然后，就有可能采取補(bǔ)救措施，包括應(yīng)用安全補(bǔ)丁，以及從總體上改善類似現(xiàn)場(chǎng)系統(tǒng)的安全狀況。

　　賽靈思可配置硬件具有支持完整安全生命周期的功能，包括強(qiáng)大的硬件信任根、集成加密加速器、物理獨(dú)特功能 (PUF)、集成安全存儲(chǔ)和密鑰管理功能。此外，賽靈思 IP 合作伙伴可提供基于 FPGA 的安全監(jiān)控器（例如 MicroArx），它能通過(guò)基于 FPGA 的監(jiān)控功能增強(qiáng)關(guān)鍵軟件應(yīng)用的檢測(cè)功能和恢復(fù)力。

　　4 保護(hù)嵌入式器件

　　無(wú)論采用何種技術(shù)保障系統(tǒng)安全，這些技術(shù)都必須建立在牢固的基礎(chǔ)上。根據(jù) Ukil、Sen 和Koilakonda ^[1] 在 2011 年提出的方案（如圖 2 所示），首先是建立嵌入式平臺(tái)信任鏈。

　　為了在硬件層面和啟動(dòng)時(shí)軟件層面建立穩(wěn)固的安全基礎(chǔ)，賽靈思 Zynq UltraScale+ 片上系統(tǒng) (SoC) ^[2]可提供的功能包括不可變?cè)O(shè)備身份和啟動(dòng) ROM、防篡改功能、eFuse 內(nèi)的集成型安全密鑰存儲(chǔ)，以及用于安全硬件加載的比特流身份驗(yàn)證與加密。然后，受保護(hù)的啟動(dòng)固件實(shí)施第一階段啟動(dòng)加載程序的安全啟動(dòng)和執(zhí)行。如果檢測(cè)到軟件完整性被破壞，則表明已發(fā)生篡改，那么將會(huì)停止進(jìn)程。在更高層面上，只加載經(jīng)認(rèn)證的數(shù)字簽名操作系統(tǒng)鏡像。

　　一旦系統(tǒng)啟動(dòng)并與任何其他設(shè)備建立通信后，就應(yīng)該使用認(rèn)證通信渠道加以保護(hù)，而且如果有必要對(duì)傳輸中的數(shù)據(jù)進(jìn)行保護(hù)，還需要采取加密措施。賽靈思 FPGA 針對(duì)業(yè)界標(biāo)準(zhǔn)加密算法（例如 RSA-SHA 和AES）提供集成硬件加速器，為安全的加密通信提供支持。使用用戶無(wú)法讀取的設(shè)備唯一密鑰，也能保護(hù)與非易失性內(nèi)存 (NVM) 芯片等系統(tǒng)內(nèi)其他 IC 的數(shù)據(jù)交換。

　　最后，還可支持多種系統(tǒng)監(jiān)控功能，例如測(cè)量啟動(dòng)、測(cè)量應(yīng)用啟動(dòng)和可信平臺(tái)模塊 (TPM) 的使用。在端到端安全架構(gòu)中，該鏈條中的這些鏈接對(duì)保護(hù)每個(gè)設(shè)備的運(yùn)行和完整性都是必要的。

　　除了保護(hù)設(shè)備運(yùn)行狀態(tài)，這些安全特性的互聯(lián)層還可以保護(hù)與 FPGA 硬件設(shè)計(jì)和運(yùn)行在其上的 SoC軟件有關(guān)的知識(shí)產(chǎn)權(quán)。

　　5 提升安全性的最佳實(shí)踐

　　自從國(guó)際工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn) IEC 62443發(fā)布以來(lái)，設(shè)備設(shè)計(jì)人員能更深入地理解和實(shí)施嵌入式系統(tǒng)的最佳實(shí)踐。可信計(jì)算組織 (TCG) 和工業(yè)互聯(lián)網(wǎng)聯(lián)盟 (IIC) 等組織也正在有效地開(kāi)展工作，以實(shí)現(xiàn) IIoT 安全實(shí)踐的正式化。

　　意識(shí)到將工業(yè)設(shè)備連接到互聯(lián)網(wǎng)所帶來(lái)的風(fēng)險(xiǎn)后，TCG 成立了工業(yè)分組(Industrial Sub Group) 來(lái)制定相關(guān)的安全指導(dǎo)。Sub Group 與 IIC（以及許多其他合作伙伴）結(jié)盟，幫助創(chuàng)建 IIC 的工業(yè)互聯(lián)網(wǎng)安全框架 (IISF)。除了傳統(tǒng) IT 環(huán)境的需求外，該框架還能滿足 IIoT 系統(tǒng)對(duì)安全、可靠性和恢復(fù)力的更高需求。

　　賽靈思在制定 IEC 62443 的工作中起到了幫助作用，同時(shí)也是 TCG 和 IIC的活躍會(huì)員，包括參加 TCGIndustrial Sub Group。FPGA SoC 芯片和設(shè)計(jì)工具所支持的重要安全功能讓用戶能夠創(chuàng)建符合 IEC 62443-4-2 標(biāo)準(zhǔn)的工業(yè)控制平臺(tái)，并幫助他們加速上市進(jìn)程。此外，我們正在引入新機(jī)制，讓客戶密鑰和唯一設(shè)備標(biāo)識(shí)符能夠安全地安裝到供應(yīng)鏈中。IEC 62433-4-2 規(guī)定的部分重要安全性特性與賽靈思對(duì)它們提供的支持之間的對(duì)應(yīng)關(guān)系如圖 3 所示。

　　6 結(jié)論

　　當(dāng)今的工業(yè)控制系統(tǒng)正面臨著越來(lái)越多的來(lái)自網(wǎng)絡(luò)攻擊的威脅。有效的安全解決方案必須從嵌入式硬件平臺(tái)出發(fā)。強(qiáng)大的硬件認(rèn)證功能和支持安全啟動(dòng)、軟件測(cè)量和加密的功能，為最大限度地減小攻擊面并提高每個(gè)設(shè)備完整性的驗(yàn)證能力奠定了基礎(chǔ)。這種認(rèn)識(shí)是維持工業(yè)系統(tǒng)安全的關(guān)鍵。

　　參考文獻(xiàn)

　　[1]面向物聯(lián)網(wǎng)的嵌入式安全[R/OL].https://www.researchgate.net/publication/224230457_Embedded_Security_for_Internet_of_Things.第二屆國(guó)際電氣和電子工程師協(xié)會(huì) (IEEE) 計(jì)算機(jī)科學(xué)新興趨勢(shì)和應(yīng)用大會(huì) (NCETACS) ，2011 年 4 月，印度西隆，卷：2011 年 NCETACS 會(huì)議紀(jì)要

　　[2]Zynq UltraScale+ 安全功能和一般規(guī)格的完整介紹[R/OL]. https://www.xilinx.com/support/documentation/data_sheets/ds891-zynq-ultrascale-plus-overview.pdf

　　[3]賽靈思應(yīng)用指南 XAPP1323[R/OL].https://www.xilinx.com/support/documentation/application_notes/xapp1323-zynq-usp-tamper-resistant-designs.pdf.

　　[4]賽靈思應(yīng)用指南 XAPP1333[R/OL].https://www.xilinx.com/support/documentation/application_notes/xapp1333-external-storage-puf.pdf[5]IEC/ISA 62443 及其認(rèn)證[R/OL].https://www.isa.org/training-and-certifications/isa-certification/isa99iec-62443/isa99iec-62443-cybersecurity-certificate-programs/[6]IISF 的電子書和支持資源[R/OL].https://www.iiconsortium.org/IISF.htm