網(wǎng)絡(luò)安全

雖然邊緣在IIoT中獲得了大部分焦點(diǎn)，但重要的是不要忽視系統(tǒng)的云或服務(wù)器端。測試常見的服務(wù)器端漏洞，如跨站點(diǎn)腳本、SQL 注入和跨站點(diǎn)請(qǐng)求偽造，并檢查 API 是否存在漏洞，確保及時(shí)修補(bǔ)服務(wù)器上運(yùn)行的軟件。

通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)需要得到保護(hù)，否則可能會(huì)被惡意攔截和修改。TLS 或 SSH 等安全加密協(xié)議用于保護(hù)傳輸中的數(shù)據(jù)。理想情況下，數(shù)據(jù)應(yīng)受到端到端的保護(hù)。

IIoT 網(wǎng)絡(luò)的邊界通常很模糊。IIoT傳感器節(jié)點(diǎn)通常在空間上駐留在其網(wǎng)絡(luò)的外圍。但是，它們還提供了通過固定網(wǎng)關(guān)進(jìn)入更大工業(yè)網(wǎng)絡(luò)的簡單門戶。4將這些設(shè)備正確發(fā)送到網(wǎng)絡(luò)有助于防止流量被惡意第三方篡改。

保護(hù)網(wǎng)絡(luò)數(shù)據(jù)流量涉及使用安全通信協(xié)議。最佳做法應(yīng)該是使用已知安全的標(biāo)準(zhǔn)協(xié)議。以太網(wǎng) LAN 上的安全性可以使用 IEEE 802.1AE 網(wǎng)絡(luò)存儲(chǔ)提供。無線 LAN 往往風(fēng)險(xiǎn)更高，因?yàn)樗鼈兏子谠L問且無處不在。WPA2 為 IEEE 802.11 無線網(wǎng)絡(luò)提供安全性。低功耗IEEE 802.15.4標(biāo)準(zhǔn)通常用于無線IIoT解決方案，提供自己的安全協(xié)議套件。但是，這些是第 2 層協(xié)議，并且僅保護(hù) LAN 上的流量。

保護(hù)需要在 LAN 外部路由的流量（例如通過 Internet）需要提供端到端安全性的更高層協(xié)議。TLS 通常用于保護(hù)互聯(lián)網(wǎng)流量并提供端到端安全性。雖然 TLS 使用 TCP，并且許多物聯(lián)網(wǎng)設(shè)備使用 UDP 進(jìn)行通信，但存在通過 UDP 工作的 DTLS（數(shù)據(jù)報(bào)傳輸層安全性）。雖然物聯(lián)網(wǎng)設(shè)備在功率和內(nèi)存方面受到限制，但可以毫不費(fèi)力地為大多數(shù)受約束的應(yīng)用程序?qū)崿F(xiàn)TLS。對(duì)于更嚴(yán)格約束的設(shè)備，IETF目前正在開發(fā)一種新的協(xié)議，即受約束的應(yīng)用協(xié)議（CoAP）。

端點(diǎn)安全

雖然保護(hù)傳輸中的數(shù)據(jù)是重要和必要的，但攻擊更經(jīng)常針對(duì)端點(diǎn)。面向網(wǎng)絡(luò)的接口需要針對(duì)漏洞進(jìn)行強(qiáng)化。IIoT 安全的一種方法是直接在傳感器節(jié)點(diǎn)設(shè)備中構(gòu)建保護(hù)。這提供了第一個(gè)關(guān)鍵的安全層，因?yàn)樵O(shè)備不再依賴于企業(yè)防火墻來提供唯一的保護(hù)。這對(duì)于部署在遠(yuǎn)程位置的移動(dòng)企業(yè)設(shè)備和IIoT傳感器尤其重要。

IIoT設(shè)備的安全解決方案必須提供針對(duì)各種網(wǎng)絡(luò)攻擊的保護(hù)。它必須確保設(shè)備固件未被篡改，能夠保護(hù)存儲(chǔ)在設(shè)備中的數(shù)據(jù)，能夠保護(hù)入站和出站通信，并且必須能夠檢測和報(bào)告任何嘗試的網(wǎng)絡(luò)攻擊。5這只能通過在設(shè)計(jì)的早期階段包含安全性來實(shí)現(xiàn)。

［圖3|中間人攻擊在節(jié)點(diǎn)和網(wǎng)關(guān)之間插入惡意接入點(diǎn)。

對(duì)于嵌入式設(shè)備，永遠(yuǎn)不可能有一個(gè)放之四海而皆準(zhǔn)的安全解決方案。提供的解決方案為 OEM 提供了通用框架。但是，完整的安全框架必須考慮保護(hù)特定設(shè)備、網(wǎng)絡(luò)和整個(gè)系統(tǒng)所需的核心功能。還必須靈活地根據(jù)任何特定要求定制解決方案，同時(shí)確保包含關(guān)鍵的安全功能。

自動(dòng)機(jī)用高壓滅菌器

在醫(yī)學(xué)上，手術(shù)工具的滅菌對(duì)于在防止疾病傳播的同時(shí)重復(fù)使用至關(guān)重要。高壓滅菌器是滅菌的黃金標(biāo)準(zhǔn)。它用高壓過熱蒸汽快速滅菌儀器。它可以消滅所有細(xì)菌，并使儀器恢復(fù)到已知的良好狀態(tài)。這允許外科醫(yī)生使用手術(shù)刀進(jìn)行手術(shù)，并在消毒后安全地重復(fù)使用手術(shù)刀。

在入侵后將系統(tǒng)恢復(fù)到已知良好狀態(tài)的能力比使其對(duì)所有攻擊都防彈更重要。彈性系統(tǒng)可以充滿信心地快速恢復(fù)和恢復(fù)運(yùn)行。

一旦系統(tǒng)被感染，如何對(duì)其進(jìn)行消毒？當(dāng)系統(tǒng)受到感染時(shí)，它會(huì)以某種未知的方式改變系統(tǒng)的狀態(tài)。遠(yuǎn)程攻擊控制處理器并將新的惡意代碼注入系統(tǒng)。通常，固件以某種方式被修改或替換為惡意軟件，因此系統(tǒng)現(xiàn)在以不同的方式運(yùn)行。一旦發(fā)生這種情況，處理器就不能再被信任。

嵌入式系統(tǒng)的設(shè)計(jì)方式通常使其難以從妥協(xié)中可靠地恢復(fù)。通常，清理系統(tǒng)并驗(yàn)證系統(tǒng)是否干凈的唯一方法是將所有非易失性內(nèi)存直接物理轉(zhuǎn)儲(chǔ)到外部讀取器。然后，可以根據(jù)原始固件對(duì)其進(jìn)行驗(yàn)證，如果原始固件不完整，則將其替換為原始固件。大多數(shù)系統(tǒng)的設(shè)計(jì)方式都不是為了實(shí)現(xiàn)這一點(diǎn)。

保護(hù)系統(tǒng)完整性的一種方法是使用機(jī)械開關(guān)對(duì)非易失性存儲(chǔ)器進(jìn)行物理寫保護(hù)。當(dāng)交換機(jī)設(shè)置為寫保護(hù)時(shí)，內(nèi)存在硬件中受到物理保護(hù)。將對(duì)內(nèi)存的控制轉(zhuǎn)移到處理器域之外，使得在沒有物理訪問設(shè)備的情況下，無法在物理上將永久性惡意軟件遠(yuǎn)程安裝到此內(nèi)存中。這將世界上任何具有互聯(lián)網(wǎng)連接的人的潛在攻擊者列表減少到只有那些在很長一段時(shí)間內(nèi)可以物理訪問設(shè)備的人。固件更新通常是非常罕見的事件。當(dāng)需要固件更新時(shí)，用戶可以將開關(guān)設(shè)置為寫入，使內(nèi)存能夠授權(quán)更新，然后在更新完成后對(duì)設(shè)備進(jìn)行寫保護(hù)。

［圖4|物理寫保護(hù)固件（執(zhí)行更新時(shí)除外）是保護(hù)設(shè)備完整性的有效方法。

許多設(shè)備還使用其非易失性存儲(chǔ)器來存儲(chǔ)寫入訪問所需的數(shù)據(jù)。在高安全性系統(tǒng)中，可以使用單獨(dú)的非易失性存儲(chǔ)芯片來存儲(chǔ)數(shù)據(jù)，但不能用于存儲(chǔ)軟件。攻擊者仍可能通過向此內(nèi)存寫入惡意數(shù)據(jù)并利用軟件錯(cuò)誤來破壞某些系統(tǒng)，因此應(yīng)徹底分析和測試系統(tǒng)，因此無論此內(nèi)存中存儲(chǔ)了哪些數(shù)據(jù)，系統(tǒng)都不會(huì)受到損害。增加額外的內(nèi)存芯片會(huì)增加成本 - 但是，一些閃存允許某些扇區(qū)進(jìn)行寫保護(hù)，而允許其他扇區(qū)可寫。

安全啟動(dòng)

安全啟動(dòng)可防止在啟動(dòng)過程中將未經(jīng)授權(quán)的軟件加載到設(shè)備上。這是信任鏈的開始。安全引導(dǎo)從編程到節(jié)點(diǎn)上只讀、非易失性存儲(chǔ)器位置的第一階段引導(dǎo)加載程序開始。此引導(dǎo)加載程序僅驗(yàn)證第二階段引導(dǎo)加載程序的真實(shí)性。第二階段引導(dǎo)加載程序通常更復(fù)雜，可以存儲(chǔ)在可重新編程的閃存中，重復(fù)該過程。6它驗(yàn)證操作系統(tǒng)和加載的應(yīng)用程序是否確實(shí)有效，這些應(yīng)用程序是否確實(shí)來自受信任的源。

具有安全啟動(dòng)和安全固件更新功能的IIoT節(jié)點(diǎn)可確保設(shè)備運(yùn)行授權(quán)代碼，而不是更改或惡意代碼，因?yàn)檫@可以防止永久安裝惡意軟件或代碼。設(shè)備將僅運(yùn)行未經(jīng)修改的代碼或無法啟動(dòng)。

安全啟動(dòng)過程通常依賴于數(shù)字簽名來保護(hù)代碼的真實(shí)性。代碼映像由設(shè)備的 OEM 在制造組裝時(shí)使用 OEM 的私鑰進(jìn)行簽名。然后，節(jié)點(diǎn)使用 OEM 的相應(yīng)公鑰來驗(yàn)證固件映像的簽名。

還可以使用對(duì)稱加密的消息身份驗(yàn)證代碼 （MAC） 保護(hù)代碼，但這需要將私鑰存儲(chǔ)在設(shè)備上，這會(huì)使其面臨風(fēng)險(xiǎn)。但是，使用 MAC 在計(jì)算上更容易。

雖然安全啟動(dòng)可以增強(qiáng)安全性，但它有時(shí)對(duì)最終用戶的限制性太強(qiáng)，因?yàn)樗梢苑乐顾麄兏脑谄湓O(shè)備上運(yùn)行的軟件或運(yùn)行自己的軟件。根據(jù)應(yīng)用程序的不同，用戶可能需要更大的靈活性和配置安全啟動(dòng)的能力，這允許它信任自己的代碼。

安全固件更新（類似于安全啟動(dòng)）驗(yàn)證 OEM 是否已在升級(jí)過程中對(duì)新代碼映像進(jìn)行簽名。如果下載的映像無效，則丟棄這些映像并暫停升級(jí)。只有有效的圖像是可以接受的，并隨后保存到設(shè)備內(nèi)存中。

假設(shè)某個(gè)時(shí)候會(huì)發(fā)現(xiàn)一個(gè)漏洞。應(yīng)該有一個(gè)計(jì)劃，以便在發(fā)現(xiàn)或利用漏洞時(shí)如何解決它們。通常需要有一種方法來允許在設(shè)備上安裝軟件更新和補(bǔ)丁以修復(fù)漏洞。更新過程還需要正確實(shí)施，以免被用作允許任何人在設(shè)備上安裝惡意軟件的攻擊媒介。使設(shè)備可以通過網(wǎng)絡(luò)訪問，僅僅是為了提供修補(bǔ)功能，可能會(huì)帶來比緩解更多的風(fēng)險(xiǎn)。

安全通信

大多數(shù)工程師認(rèn)為安全性是通信協(xié)議，例如SSL / TLS，SSH和IPsec，因?yàn)榘踩ㄐ乓驯惶砑拥皆S多嵌入式設(shè)備中。然而，雖然這是安全威脅的一部分，但其他攻擊媒介提供了新的途徑。許多 IIoT 傳感器節(jié)點(diǎn)在低功耗配置中運(yùn)行，具有低功耗處理器，這些處理器無法支持某些最佳選項(xiàng)，例如 TLS 或 IPsec。安全協(xié)議為構(gòu)建安全設(shè)備提供了良好的起點(diǎn)。7它們旨在防止數(shù)據(jù)包嗅探、中間人攻擊、重放攻擊以及未經(jīng)授權(quán)的嘗試與節(jié)點(diǎn)通信。

小型IIoT邊緣傳感器設(shè)備通常采用無線協(xié)議，如Zigbee，低功耗藍(lán)牙（BLE）以及其他無線和網(wǎng)狀網(wǎng)絡(luò)協(xié)議。這些協(xié)議具有一定程度的內(nèi)置安全性。但是，它相對(duì)較弱。許多漏洞已經(jīng)發(fā)布，并被復(fù)雜的黑客所熟知。小型 IIoT 設(shè)備通常運(yùn)行在不支持 TLS 或 IPSec 的非常低成本、低功耗的處理器上。對(duì)于小型邊緣設(shè)備，DTLS（即通過 UDP 的 TLS）可用于安全通信。

物理安全

物理攻擊針對(duì) IIoT 系統(tǒng)的實(shí)際邊緣硬件節(jié)點(diǎn)或網(wǎng)關(guān)，可能包括前端傳感器的漏洞。這些攻擊通常需要對(duì)系統(tǒng)進(jìn)行物理訪問，但也可能僅涉及僅限制IIoT硬件效率的操作。攻擊者可以篡改節(jié)點(diǎn)，以控制IIoT環(huán)境中的傳感器或其他設(shè)備。然后，他們可以從源中提取機(jī)密數(shù)據(jù)和嵌入式固件代碼。使用惡意節(jié)點(diǎn)注入策略，攻擊者可以將合法節(jié)點(diǎn)之間的惡意節(jié)點(diǎn)物理部署到IIoT網(wǎng)絡(luò)中。8

為了幫助緩解這些攻擊，可以在設(shè)計(jì)階段實(shí)施一些硬件方面的先見之明。通過引線器件、裸露的銅通孔或未使用的連接器對(duì)信號(hào)進(jìn)行簡單的物理探測應(yīng)盡量減少，甚至從設(shè)計(jì)中放棄。應(yīng)刪除詳細(xì)說明組件并向潛在黑客提供其他信息的絲網(wǎng)印刷，除非認(rèn)為該設(shè)計(jì)絕對(duì)必要。雖然它會(huì)增加系統(tǒng)復(fù)雜性，但工業(yè)敷形涂層不僅可以緩沖硬件與元件的接觸，還可以添加一個(gè)額外的步驟來防止直接探測PCB上的電子設(shè)備。

任何嵌入式非易失性存儲(chǔ)器內(nèi)容都應(yīng)在組件內(nèi)進(jìn)行加密和寫保護(hù)。微控制器和DSP器件之間的接口應(yīng)位于PCB上埋設(shè)的走線層內(nèi)。即使可以檢索嵌入式內(nèi)存的內(nèi)容，該數(shù)據(jù)的加密和有效性也應(yīng)使其毫無意義。

制造商通常包括調(diào)試或測試端口。這些通常是串行或JTAG，可用于訪問和控制系統(tǒng)的大部分。確保在生產(chǎn)中禁用或保護(hù)這些端口，因?yàn)椴惶畛湔{(diào)試標(biāo)頭是不夠的，因?yàn)榇_定的個(gè)人可以只填充它們或?qū)⒆约旱倪B接焊接到引腳上。如果需要在生產(chǎn)設(shè)備中保持啟用狀態(tài)，則需要在允許使用這些接口之前進(jìn)行身份驗(yàn)證。它們可以受密碼保護(hù)，但請(qǐng)確保允許用戶設(shè)置強(qiáng)密碼。

隨機(jī)數(shù)生成

加密函數(shù)通常需要某種隨機(jī)數(shù)生成器（RNG）。隨機(jī)數(shù)對(duì)于密鑰生成可能需要是不可預(yù)測的，或者它們可能需要永遠(yuǎn)不重復(fù)。由于缺乏資源和熵，在受約束的嵌入式系統(tǒng)中生成隨機(jī)數(shù)通常是一個(gè)重大挑戰(zhàn)。

許多嵌入式系統(tǒng)都遭受了熵太少的問題。這可能導(dǎo)致災(zāi)難性的中斷，例如臺(tái)灣的國民身份證智能卡。研究人員發(fā)現(xiàn)，由于缺乏熵，許多ID卡從相同的數(shù)字中生成了相關(guān)的密鑰。結(jié)果，盡管使用了強(qiáng)大的RNG，但它們還是能夠被打破。9同樣，在2012年，研究人員發(fā)現(xiàn)，公鑰服務(wù)器上0.38%的RSA密鑰共享弱隨機(jī)數(shù)生成，并且能夠破解它們。10

很難或幾乎不可能驗(yàn)證RNG的強(qiáng)度。RNG設(shè)計(jì)在過去是相當(dāng)臨時(shí)的，并且知之甚少。然而，近年來，魯棒加密隨機(jī)數(shù)生成器的設(shè)計(jì)和形式分析已經(jīng)取得了重大進(jìn)展。

現(xiàn)代，堅(jiān)固的RNG設(shè)計(jì)現(xiàn)在往往有三個(gè)階段。8有一個(gè)熵源提供原始熵，一個(gè)熵提取器使熵均勻分布，以及一個(gè)擴(kuò)展階段以擴(kuò)展少量可用的熵。

第一階段是熵源。這可能是一些物理噪聲源，例如時(shí)鐘抖動(dòng)或熱噪聲。一些處理器，如ADI Blackfin DSP，為硬件提供可用于熵生成的隨機(jī)數(shù)發(fā)生器。

加密的隨機(jī)數(shù)需要具有均勻的統(tǒng)計(jì)分布。所有熵源都有一定程度的偏差，在將其用于加密應(yīng)用程序之前，需要消除這種偏差。這是使用熵提取器完成的，該提取器采用具有高熵的非均勻分布輸入，并生成具有高熵的均勻分布輸出。這是以一些熵?fù)p失為代價(jià)的，因?yàn)殪靥崛∑餍枰嗟撵剌斎?，而不是它可以輸出的熵。因此，需要從熵源收集更多的位，并將其提煉成一個(gè)小的高熵?cái)?shù)，該數(shù)字可用于播種加密安全的偽隨機(jī)數(shù)生成器。11， 12

Exploiting 勘誤表

幾乎所有的IIoT節(jié)點(diǎn)都使用某種形式的嵌入式固件或算法進(jìn)行操作。從功能上講，該固件可以正常運(yùn)行，在執(zhí)行其要求的能力方面沒有明顯的問題。但是，所有軟件都有一定程度的錯(cuò)誤或錯(cuò)誤，允許一小部分可能導(dǎo)致安全問題的異常操作。例如，99.99%無差點(diǎn)的固件很少（如果有的話）會(huì)導(dǎo)致任何操作問題。但是，入侵者可能會(huì)利用這個(gè)小的0.01%的勘誤率來強(qiáng)制節(jié)點(diǎn)的操作在該特定操作模式下100%的時(shí)間失敗。軟件錯(cuò)誤源于復(fù)雜性，這是任何系統(tǒng)做任何有用的事情所必需的。軟件錯(cuò)誤和漏洞基本上存在于所有系統(tǒng)中。

［圖5|利用小勘誤表在 100% 的時(shí)間內(nèi)強(qiáng)制失敗。

安全設(shè)計(jì)

安全性必須從一開始就考慮系統(tǒng)設(shè)計(jì)。它應(yīng)該是設(shè)計(jì)過程的一部分，而不是在項(xiàng)目結(jié)束時(shí)附加的東西。安全性不是關(guān)于添加安全功能;它是關(guān)于管理風(fēng)險(xiǎn)的。安全設(shè)計(jì)方法對(duì)于任何 IIoT 系統(tǒng)開發(fā)都至關(guān)重要。

現(xiàn)有的安全設(shè)計(jì)實(shí)踐仍然適用。使用威脅建模來識(shí)別風(fēng)險(xiǎn)并選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)緩解策略。標(biāo)識(shí)系統(tǒng)的入口點(diǎn)，以便標(biāo)識(shí)系統(tǒng)中風(fēng)險(xiǎn)最高的區(qū)域。大多數(shù)攻擊媒介都是通過外部接口進(jìn)行的，因此請(qǐng)查看設(shè)計(jì)實(shí)現(xiàn)中的安全漏洞。仔細(xì)處理未知數(shù)據(jù)并驗(yàn)證所有輸入 - 驗(yàn)證和安全性不應(yīng)僅限于入口點(diǎn)?？v深防御很重要，這意味著在外層被破壞的情況下需要安全層

許多處理器提供不同級(jí)別的特權(quán)。ARM具有信任區(qū)，ADI黑鰭DSP提供用戶級(jí)執(zhí)行模式和特權(quán)執(zhí)行模式。以盡可能低的權(quán)限級(jí)別執(zhí)行盡可能多的代碼，以將最重要的代碼保持在特權(quán)模式下。IIoT設(shè)備的安全要求必須考慮安全故障的成本、攻擊的可能性、主要攻擊媒介以及實(shí)施安全解決方案的成本。

結(jié)論

其中許多建議彼此沖突，并與系統(tǒng)的其他設(shè)計(jì)目標(biāo)相沖突。提供安全性通常涉及某種權(quán)衡，通常涉及成本，功能或可用性。有些權(quán)衡非常有效且便宜，而另一些權(quán)衡則成本高，影響不大。安全性需要與設(shè)計(jì)的其他需求相平衡，并且應(yīng)該通過安全的設(shè)計(jì)過程在特定應(yīng)用的基礎(chǔ)上確定。

為了幫助保護(hù)IIoT，ADI提供了幾種處理器，這些處理器提供基于硬件的安全增強(qiáng)功能，可以幫助突破邊緣節(jié)點(diǎn)的邊界。ADF7023 RF、低功耗收發(fā)器通過使用具有多種不同調(diào)制方案的ISM頻段提供內(nèi)部AES加密。

ADuCM3029中的嵌入式收發(fā)器提供AES和SHA-256硬件加速、真隨機(jī)數(shù)發(fā)生器以及多密鑰保護(hù)SRAM。ADSP-BF70X Blackfin系列數(shù)字信號(hào)處理器提供嵌入式一次性可編程存儲(chǔ)器，用于安全密鑰存儲(chǔ)和快速安全啟動(dòng)，為系統(tǒng)在入侵后恢復(fù)到已知良好狀態(tài)提供了強(qiáng)有力的保證。

Blackfin DSP中的回滾保護(hù)具有基于硬件的僅增量計(jì)數(shù)器，允許固件更新以在出現(xiàn)漏洞時(shí)修復(fù)漏洞。這與密鑰存儲(chǔ)的不可變性相結(jié)合，提供了創(chuàng)建強(qiáng)大且具有彈性的邊緣節(jié)點(diǎn)的能力。此外，Blackfin DSP還提供加密硬件加速器，基于硬件的真隨機(jī)數(shù)生成器，特權(quán)和非特權(quán)代碼執(zhí)行的分離，MMU以及限制許多DMA通道訪問的能力，以允許以低成本實(shí)現(xiàn)并行和高能效的安全DSP。

審核編輯：郭婷