工业以太网的网络安全

Thomas BrandADI公司

简介

工业部门转向数字化已成趋势，其他任何领域都没有如此明显。生产环境不断变化——已经连成网络，不同公司部门之间甚至跨越公司边界的通信日益增加。无论是人还是机器，公司所涉及的所有各方都在活跃地进行不计其数的多样化数据交换。以前只有个别机器互连，而未来网络将无处不在——从单个传感器和执行器到机器和完整系统。工业4.0或工业物联网 (IIoT) 推动的数字化转型，使所有生产参与者相互联系起来。以太网和工业以太网日益成为必不可少的通信标准，因为它们相比于以前的现场总线具有决定性的优势，例如更大的传输速率和更高的可靠性。此外，工业以太网提供了将网络中的全部通信技术（从传感器到云）纳入一个独特标准的可能性。它利用实时功能和确定性来增强经典以太网。我们所说的时间敏感网络 (TSN)涉及到多个子标准，这些子标准正在标准化组织IEEE 802（时间
敏感网络任务组）的框架内进行开发，其定义以最低延迟或高可用性进行数据传输的机制。然而，TSN网络的基础是无数的传感器、设备和系统，它们越来越多地配备有人工智能，未来将能自行决策。这种自主系统以及随之而来的数据量增加，给自动化系统制造商（尤其是在IT和网络安全领域）带来了极大的挑战。将来，严密隔离的机器区域将不得不开放，使外界可与之通信。

与纯过程可靠性或生产可用性相比，对网络安全的需求正变得越来越重要，而且这些领域之间具有很强的依赖关系。网络安全意识增强的原因不止这一个。最近发生的事件，如震网、Wanna Cry及对德国联邦议院的攻击等，也极大地提升了网络安全的重要性。

然而，由于保密性、完整性、可用性等保护目标，网络安全是一个复杂的问题。只有无法进行未经授权的信息检索，才有可能实现保密性。完整性包括数据正确性（数据完整性）和系统正常运行（系统完整性）两方面。可用性是指信息技术系统发挥功能的程度；也就是说，系统是否随时可以使用，以及数据处理是否也正常运行。进一步的保护目标有身份验证和授权等，判明用户身份及其对安全数据源的访问权限。承诺/不可否认性确保通信参与者不拒绝消息。

因此，网络安全处理的是不断变化的问题，这在设备、系统和网络的整个生命周期中都是一个问题。新的漏洞不断被发现，新的黑客攻击方法不断被找到，故有必要一次又一次地更新设备和系统，消除已识别的漏洞。因此，系统的设计必须支持对重要功能进行安全更新，从而受到永久保护。然而，对于汽车制造商和此类系统的开发者来说，要在其应用中实施不断变化的安全要求是非常困难的，因为这是一个非常广泛的主题领域，超出了其实际工作的范畴。因此，在开发的早期阶段与合适的IT和安全专家合作是有意义的。否则会有风险，未检测到的漏洞可能会损害业务，这种损害可能远远超过新产品和技术的潜在好处，在最坏情况下甚至可能危及企业。

传统上，网络安全被视为一个IT问题，需要实施安全的操作系统、网络和应用协议、防火墙及其他防御网络入侵的解决方案。但是，数字化转型将使得未来的机器必须尽可能智能和自主，从而实现更多功能、更多连接，同时提高数据量。因此，系统风险评估的重要性显著增加。以前，有些系统不需要安全或保护，而现在，它们极易受到攻击，导致其瘫痪。制造此类系统的厂商必须认真检查和评估潜在漏洞，并采取适当的保护措施。

应尽早实施适当的安全功能，最好是在系统信号链开始的时候，也就是从实际的物理世界转向数字世界的时候。这个期间是所谓的“最有效点”，它似乎是信号链最有希望的一点。该点通常由传感器或执行器形成。此时，可信数据编码的复杂性通常相对较低，这也能增加基于数据的决策的可信度。然而，如图1所示，这个最有效点要求高度有效的硬件身份识别和数据完整性，如此才能实现最高级别的数据安全性，使得操作系统对数据安全有信心。在硬件级别实现身份识别和完整性，即将保护特性嵌入硅片中，是产生适当数据安全性的最有希望的方法。这就是所谓信任根开始的地方。

信任根

信任根是一组相关的安全功能，其将设备中的加密过程作为一个很大程度上独立的计算单元加以控制。在这种情况下，为实现安全数据传输，通常要按顺序一环套一环地执行一系列步骤，控制硬件和软件组件。如图2所示，各个步骤的顺序确保数据通信按照期望无害地进行。由此便可认为应用受到了良好的保护。

为使应用可信且无懈可击，首先要使用自己的身份或密钥。在这里分配和检查设备或人员的访问授权。虽然身份和密钥已建立，但它们仍然是信任根的第一步中最关键的要素，因为设备的安全性与密钥受到的保护是一样的。为此，有必要实施额外的保护功能，确保密钥安全存储并转发给正确的接收者。

为了能够保护设备的实际功能免受未经授权的访问，启动设备时需要一个安全引导过程。身份验证和随后的软件解密将确保设备免受攻击和操纵。如果没有安全引导，潜在攻击者将能相对容易地侵入、操纵和执行容易出错的代码。

安全更新是处理不断变化的应用环境和新出现的安全漏洞的重要步骤。一旦发现新的硬件或软件漏洞，便应尽快通过更新设备来加以弥补，避免攻击造成重大损害。安全更新还用于纠正任何产品错误或实施产品改进。

为使可信环境能够执行其他安全服务，例如加密，需要应用编程接口 (API)。它还包括保护特性（如加密）、身份验证和完整性。所有这些安全功能都应放在单独的受保护执行环境中，与设备的实际应用分开，以确保代码中没有可能导致设备间接损坏的错误。

网络安全对半导体制造商而言是一个日益重大的问题

ADI公司这样的半导体制造商是适应IIoT和工业4.0大趋势的面向未来产品的主要供应商之一，关注网络安全已经有很长一段时间。

为了满足日益增长的安全需求，ADI公司试图在其产品和开发中植入信任根的概念。目标是能为其关注的领域或行业提供适当的抗攻击产品，从而确保客户信任度最高，并显著提高其应用的价值。从根本上说，这意味着要在所有联网的地方引入安全性。这主要是指通信领域的半导体产品，尤其是工业以太网和TSN器件。此外，只要芯片上存在集成系统，即微处理器处理基本功能，那么安全性也是必不可少的。

对制造商而言，一个决定性因素是与可能已处于项目定义阶段的客户及早展开合作。这样，最基本的安全要求将能被纳入设计中，从而保护整个信号链。因此，身份可能直接在信号链的传感器节点处就已经嵌入物理层面，确保用户对数据通信的安全性更有信心。出于这个原因（还有其他原因），ADI公司扩充了其网络安全专业知识，收购了Sypris Electronics的网络安全解决方案 (CSS) 部门。通过此次收购，一家知名的高安全性网络安全技术制造商和安全服务提供商诞生了，这将使ADI公司能够在未来为其客户提供高度灵活、可靠和集成的系统级安全解决方案。通过安全密钥生成/管理、安全引导、安全更新、安全存储器访问和安全调试，这些所谓的CSS安全解决方案超越了传统加密技术。它们针对经典加密解决方案提供了一种完全集成的替代方案，未来将能支持轻松实现高度安全的硬件平台，从而显著提高其向客户提供的产品的价值。

CSS网络安全技术，更确切地说是其所有安全功能，通常是在独立的FPGA子系统上实现，该子系统与芯片的实际应用功能并行运行。这称为可信执行环境 (TEE)，如图3所示。

基于FPGA的实现很容易支持现场设备的软件升级，轻松消除任何潜在的产品漏洞。

不同于基于软件的加密技术，这种基于硬件的解决方案使用专用处理器来计算加密算法，并使用专用存储来托管全密钥。专用存储器只能通过专用处理器访问。通过使用专用组件，TEE和所有敏感操作可以与系统的其余部分隔离，从而提高加密功能的执行速度，同时显著减少黑客的潜在攻击面。

它能防止任何对芯片其余部分的未经授权的访问，而加密功能通过API接口访问。如此便能实现极高程度的安全性。

结论

网络安全以及保护技术系统免受可能的攻击是向数字化转型的关键因素，尤其是在自动化行业。由于缺乏法规，最重要的是缺乏网络安全知识，许多公司在如何解决这一重要问题上仍存在很大的不确定性。

作者简介

Thomas Brand于2015年10月加入德国慕尼黑的ADI公司，当时他还在攻读硕士。2016年5月至2017年1月，他参加了ADI公司的现场应用工程师培训生项目。之后在2017年2月，他开始担任现场应用工程师职位，主要负责工业大客户。此外，他还专注于研究工业以太网，并为中欧的相关事务提供支持。他毕业于德国莫斯巴赫的联合教育大学电气工程专业，之后在德国康斯坦茨应用科学大学获得国际销售硕士学位。联系方式：thomas.brand@analog.com。