新聞中心

EEPW首頁(yè) > 物聯(lián)網(wǎng)與傳感器 > 業(yè)界動(dòng)態(tài) > 如何守住工業(yè)物聯(lián)網(wǎng)的安全防線?

如何守住工業(yè)物聯(lián)網(wǎng)的安全防線?

作者: 時(shí)間:2021-09-27 來(lái)源:電子產(chǎn)品世界 收藏

工業(yè)物聯(lián)網(wǎng)(IIoT)作為推動(dòng)數(shù)字經(jīng)濟(jì)與實(shí)體經(jīng)濟(jì)深度融合的關(guān)鍵路徑,現(xiàn)已成為全球主要經(jīng)濟(jì)體促進(jìn)經(jīng)濟(jì)高質(zhì)量發(fā)展的共同選擇。據(jù)麥肯錫調(diào)研報(bào)告顯示,工業(yè)物聯(lián)網(wǎng)在2025年之前每年將產(chǎn)生高達(dá)11.1萬(wàn)億美元的收入。全球知名咨詢(xún)公司埃森哲也給出了積極預(yù)測(cè),稱(chēng)到2030年,工業(yè)物聯(lián)網(wǎng)能夠?yàn)槿驇?lái)14.2萬(wàn)億美元的經(jīng)濟(jì)增長(zhǎng)。

本文引用地址:http://butianyuan.cn/article/202109/428536.htm

在今年的全國(guó)兩會(huì)上,“工業(yè)物聯(lián)網(wǎng)”這一關(guān)鍵詞被第四次寫(xiě)入政府工作報(bào)告中,充分體現(xiàn)出國(guó)家對(duì)工業(yè)物聯(lián)網(wǎng)在推動(dòng)制造業(yè)高質(zhì)量發(fā)展方面發(fā)揮更大作用的高度重視。中國(guó)信息通信研究院發(fā)布的《工業(yè)物聯(lián)網(wǎng)產(chǎn)業(yè)經(jīng)濟(jì)發(fā)展報(bào)告(2020年)》顯示,2020年,中國(guó)工業(yè)物聯(lián)網(wǎng)產(chǎn)業(yè)經(jīng)濟(jì)規(guī)模達(dá)3.1萬(wàn)億元,占GDP比重為2.9%,帶動(dòng)約255萬(wàn)個(gè)新增就業(yè)崗位。

安全威脅是真實(shí)存在的

面對(duì)正在快速發(fā)展的工業(yè)物聯(lián)網(wǎng),保障其安全性至關(guān)重要。因?yàn)榘踩{是真實(shí)存在的,設(shè)備、連接、網(wǎng)絡(luò)、數(shù)據(jù)中心、設(shè)備管理,物聯(lián)網(wǎng)的每一個(gè)環(huán)節(jié)都有可能遭到攻擊。那么,用戶(hù)在部署工業(yè)物聯(lián)網(wǎng)方案時(shí),會(huì)遇到哪些關(guān)鍵性的安全挑戰(zhàn)?

企業(yè)新舊設(shè)備優(yōu)化

工業(yè)物聯(lián)網(wǎng)需要面對(duì)各種各樣的設(shè)備。有的是使用多年的舊設(shè)備和系統(tǒng),有的是在進(jìn)入物聯(lián)網(wǎng)時(shí)代后全新推出的設(shè)備,它們可能會(huì)遍布各地,黑客可以直接對(duì)設(shè)備發(fā)起攻擊,傳統(tǒng)防火墻、IPS等網(wǎng)關(guān)類(lèi)防護(hù)設(shè)備用處不大。

同時(shí),物聯(lián)網(wǎng)的通信協(xié)議,諸如ZigBee?、藍(lán)牙、NB-IOT、2/3/4/5G等在傳統(tǒng)互聯(lián)網(wǎng)應(yīng)用上并沒(méi)有使用到,互聯(lián)網(wǎng)安全策略也無(wú)法覆蓋到這些協(xié)議,因而帶來(lái)了新的安全風(fēng)險(xiǎn)。

IT與OT融合的焦慮

物聯(lián)網(wǎng)轉(zhuǎn)型讓工業(yè)設(shè)備變得更加智能且集成度更高,從而提高了生產(chǎn)制造的效率。隨著數(shù)十億設(shè)備通過(guò)物聯(lián)網(wǎng)連接起來(lái),信息技術(shù)(IT)和操作技術(shù)(OT)融合的時(shí)代已經(jīng)到來(lái)。

但工業(yè)物聯(lián)網(wǎng)對(duì)實(shí)時(shí)性、可靠性和產(chǎn)品監(jiān)控質(zhì)量的要求極高。作為工業(yè)自動(dòng)化的骨干系統(tǒng)之一,控制系統(tǒng)如何在保障安全的同時(shí),進(jìn)行數(shù)字化升級(jí),是行業(yè)用戶(hù)和方案供應(yīng)商面臨的焦點(diǎn)問(wèn)題之一。

標(biāo)準(zhǔn)

設(shè)備一旦進(jìn)入網(wǎng)絡(luò),就會(huì)面臨各種安全性威脅。目前,網(wǎng)絡(luò)攻擊已從針對(duì)遠(yuǎn)程企業(yè)IT云服務(wù)器和數(shù)據(jù)中心轉(zhuǎn)向傳感器、邊緣節(jié)點(diǎn)和網(wǎng)關(guān)等本地設(shè)施,攻擊媒介也不僅限于TCP/IP網(wǎng)絡(luò)和端口。

考慮到在工業(yè)物聯(lián)網(wǎng)中存在大量有線和無(wú)線的標(biāo)準(zhǔn),所以安全設(shè)計(jì)不但應(yīng)該從設(shè)計(jì)之初貫徹到量產(chǎn),還需要在系統(tǒng)內(nèi)部建立多層獨(dú)立安全等級(jí)(Multiple Independent Levels of Security, MILS)的設(shè)計(jì)理念——在確保系統(tǒng)靈活性的前提下,針對(duì)一個(gè)系統(tǒng)的不同層級(jí)都提供安全性。

堅(jiān)決貫徹,而非倉(cāng)惶補(bǔ)救

如何充分利用芯片級(jí)的安全性,實(shí)現(xiàn)全面的系統(tǒng)保護(hù)?如何在最初的開(kāi)發(fā)環(huán)節(jié)就把安全要素考慮進(jìn)去,并貫穿其整個(gè)生命周期?在Microchip,我們也對(duì)此思考了很多,例如:

●   Trust Platform (Trust平臺(tái))

隨著越來(lái)越多的設(shè)備連接到互聯(lián)網(wǎng),主要的云供應(yīng)商現(xiàn)在都鼓勵(lì)用戶(hù)使用安全元件來(lái)保護(hù)密鑰。Microchip為CryptoAuthentication? 系列推出的Trust平臺(tái)提供了一套軟件和硬件開(kāi)發(fā)工具,該平臺(tái)結(jié)合了Microchip的安全元件和內(nèi)部的安全密鑰配置服務(wù)。Microchip的配置服務(wù)僅在其半導(dǎo)體供應(yīng)鏈工廠內(nèi)“裝載”密鑰,這樣一來(lái)就消除了密鑰暴露給合同制造商或任何第三方的機(jī)會(huì)。這種方法也提升了Microchip一直希望達(dá)到的加密密鑰、固件和人之間的“空氣間隙”(air gap)隔離。

作為第一個(gè)為大眾市場(chǎng)提供隨時(shí)可用的安全身份驗(yàn)證解決方案,Trust平臺(tái)由三層組成,提供開(kāi)箱即用的預(yù)配置安全元件或可完全量身定制的安全元件,開(kāi)發(fā)人員可根據(jù)個(gè)人設(shè)計(jì)靈活選擇。

該平臺(tái)第一層為T(mén)rust&GO,提供零接觸預(yù)配置安全元件,設(shè)備證書(shū)已在ATECC608B中預(yù)先編程、裝載和鎖定,用于自動(dòng)云登錄或LoRaWAN?登錄時(shí)的身份驗(yàn)證。與此同時(shí),相應(yīng)的證書(shū)和公鑰以“清單”文件的形式交付,文件可從Microchip直銷(xiāo)網(wǎng)站和授權(quán)分銷(xiāo)商處下載。除了節(jié)省長(zhǎng)達(dá)數(shù)月的開(kāi)發(fā)時(shí)間外,新解決方案還大幅省去其它繁瑣事項(xiàng),幫助大眾市場(chǎng)客戶(hù)輕松進(jìn)行邊緣設(shè)備保護(hù)及管理,無(wú)需第三方配置服務(wù)或證書(shū)頒發(fā)機(jī)構(gòu)的額外費(fèi)用。

目前,Microchip已與業(yè)界多家云供應(yīng)商合作,幫助其以更經(jīng)濟(jì)的方式輕松實(shí)現(xiàn)基于硬件的安全性,消除之前配置設(shè)備時(shí)的各種障礙。

如果客戶(hù)有更多定制需求,第二層TrustFLEX不但可靈活地使用客戶(hù)選擇的證書(shū)頒發(fā)機(jī)構(gòu),同時(shí)還可使用預(yù)先配置中的使用案例,包括基線安全措施,如傳輸層安全協(xié)議(TLS)增強(qiáng)身份驗(yàn)證(用于使用任何證書(shū)鏈連接到任何基于IP的網(wǎng)絡(luò))、LoRaWAN身份驗(yàn)證、安全啟動(dòng)、無(wú)線(OTA)更新、IP保護(hù)、用戶(hù)數(shù)據(jù)保護(hù)和密鑰輪換,從而減少了設(shè)備定制的復(fù)雜性,縮短定制時(shí)間,同時(shí)無(wú)需定制的部件號(hào)。針對(duì)只需要定制設(shè)計(jì)的客戶(hù),該平臺(tái)的第三層—TrustCUSTOM —可為客戶(hù)提供特定的配置功能和自定義憑據(jù)設(shè)置。

●   守衛(wèi)無(wú)線MCU的安全

隨著物聯(lián)網(wǎng)從家庭自動(dòng)化領(lǐng)域拓展到如暖通空調(diào)(HVAC)、車(chē)庫(kù)門(mén)和電風(fēng)扇等家庭控制領(lǐng)域,以及在建筑和工業(yè)自動(dòng)化領(lǐng)域的加速應(yīng)用,市場(chǎng)對(duì)高度集成、可靠和安全的工業(yè)物聯(lián)網(wǎng)連接性的需求前所未有地增加。

WFI32E01PC是Microchip采用自有Trust&GO技術(shù)的業(yè)界首款Wi-Fi?單片機(jī)模塊,用以實(shí)現(xiàn)獨(dú)特的身份驗(yàn)證功能。其使用的新技術(shù)包括頂尖的PIC32單片機(jī)內(nèi)核、豐富的外設(shè)支持和成熟的硬件安全平臺(tái)。例如Trust&GO平臺(tái)采用安全元件技術(shù),為云身份驗(yàn)證進(jìn)行預(yù)先配置和設(shè)置,簡(jiǎn)化了網(wǎng)絡(luò)身份驗(yàn)證的過(guò)程;模塊符合Wi-Fi聯(lián)盟(WFA)規(guī)范,并獲得美國(guó)聯(lián)邦通信委員會(huì)(FCC)、加拿大工業(yè)部(IC)和歐洲無(wú)線電設(shè)備指令(RED)三家世界級(jí)監(jiān)管機(jī)構(gòu)的全面認(rèn)證。

憑借自身的安全專(zhuān)業(yè)知識(shí),Microchip為客戶(hù)提供設(shè)計(jì)的安全性,并消除客戶(hù)對(duì)建立昂貴的內(nèi)部安全能力的需求。從安全加密到可信執(zhí)行環(huán)境,Microchip通過(guò)廣泛的安全解決方案支持并滿足客戶(hù)獨(dú)特的安全實(shí)施需求,以合理的價(jià)格提供適當(dāng)?shù)谋Wo(hù)級(jí)別。

結(jié)語(yǔ):

其實(shí)對(duì)包括工業(yè)物聯(lián)網(wǎng)在內(nèi)的所有物聯(lián)網(wǎng)產(chǎn)品和應(yīng)用而言,通常就包含三個(gè)核心要素:處理器或單片機(jī)(“智能”元素)、網(wǎng)絡(luò)控制器(“連接”元素)以及確保與云安全通信的方法(“安全”元素),而Microchip的優(yōu)勢(shì)就在于有能力橫跨“云”-“管”-“端”三重領(lǐng)域,為用戶(hù)提供完整的解決方案。

換句話說(shuō),Microchip既可提供具備高級(jí)安全功能的集成方案,也能提供諸如ATECC608B這樣的獨(dú)立方案。Microchip的一系列單片機(jī)均內(nèi)置了硬件保護(hù)功能,以實(shí)現(xiàn)牢不可破的安全性。Microchip強(qiáng)大的安全解決方案使物聯(lián)網(wǎng)應(yīng)用開(kāi)發(fā)人員能夠?qū)崿F(xiàn)各種安全用例,例如安全啟動(dòng),確保僅執(zhí)行真正的應(yīng)用程序固件;安全固件升級(jí);通過(guò)相互認(rèn)證實(shí)現(xiàn)安全的云連接;安全通信實(shí)現(xiàn)消息認(rèn)證和加密和IP保護(hù)等。

除安全芯片外,Microchip還提供軟件示例和配置服務(wù),方便客戶(hù)能夠通過(guò)軟硬件協(xié)同配合,在其嵌入式系統(tǒng)中輕松、順暢地實(shí)現(xiàn)安全防護(hù)。

安全是物聯(lián)網(wǎng)應(yīng)用的一個(gè)重要組成部分。每種物聯(lián)網(wǎng)解決方案應(yīng)該都含有安全相關(guān)模塊——特別是在需要確保系統(tǒng)身份安全和傳輸數(shù)據(jù)安全時(shí)。確保物聯(lián)網(wǎng)安全不僅要靠相關(guān)法規(guī),更重要的是在實(shí)踐中從根本上采取負(fù)責(zé)任的做法,而且應(yīng)該從產(chǎn)品概念設(shè)計(jì)階段就把安全納入考慮之中,而不應(yīng)該是事后的亡羊補(bǔ)牢。



關(guān)鍵詞:

評(píng)論


相關(guān)推薦

技術(shù)專(zhuān)區(qū)

關(guān)閉