工业以太网的网络安全

介绍

其他任何地方都没有像工业部门那样明显转向数字化。生产环境不断变化 - 它是网络化的,不同公司部门之间甚至跨越公司边界的沟通也在增加。无论是人还是机器,公司所有参与方之间都会进行频繁的无数数据交换。以前只有单独的机器相互连接,未来的网络将无处不在 - 从单个传感器和执行器到机器和完整系统。由于工业4.0或工业物联网(IIoT)推动的数字化过渡,所有生产参与者都相互联系。以太网和工业以太网越来越多地成为必不可少的通信标准,因为它们比以前的现场总线具有决定性的优势,例如更高的传输速率和更高的可靠性。此外,工业以太网可以将整个通信技术(从传感器到云)整合到一个独特的标准中。它通过实时功能和确定性来补充经典以太网。我们谈到时间敏感网络(TSN),这是在标准化组IEEE 802(时间敏感网络任务组)框架内开发的若干子标准的关联,它定义了具有最低延迟的数据传输机制或高可用性。然而,这些TSN网络的基础是无数的传感器,设备和系统越来越多地配备人工智能,并且将来能够做出自己的决定。这种自主系统以及随之而来的数据量的增加为自动化系统的制造商带来了极大的挑战,特别是在IT和网络安全领域。在未来,隔离良好的机器区域必须是开放的,并且可以与外界进行通信。与纯过程可靠性或生产可用性相比,对网络安全的需求变得越来越重要,并且这些区域彼此强烈依赖。这不是提高网络安全意识的唯一原因。甚至最近的事件,如Stuxnet,Wanna Cry,
然而,由于保密性,完整性和可用性的保护目标,网络安全是一个复杂的问题。只有在无法进行未经授权的信息检索时,才有可能保密。完整性包括数据的正确性(数据完整性)和系统的正确运行(系统完整性)。可用性是指信息技术系统的功能程度; 也就是说,系统是否随时可以使用以及数据处理是否也正确运行。诸如认证和授权之类的进一步保护目标阐明了用户的身份以及他们对安全数据源的访问权限。承诺/不可否认性确保通信参与者不拒绝消息。
因此,网络安全处理不断变化的问题,这在设备,系统和网络的整个生命周期中都是一个问题。随着新的漏洞不断被发现并且发现了新的黑客攻击方法,有必要一次又一次地更新设备和系统,并消除已识别的漏洞。因此,系统必须设计为允许对重要功能进行安全更新,从而得到永久保护。然而,对于这种系统的汽车制造商和开发者来说,在他们的应用中实现不断变化的安全要求是非常困难的,因为这是一个非常广泛的主题领域,因此超出了他们实际工作的范围。因此,在开发的早期阶段与合适的IT和安全专家合作是有意义的。除此以外,
传统上,网络安全被视为一个IT问题,需要实施安全的操作系统,网络和应用程序协议,防火墙和其他网络入侵防御解决方案。但是,由于向数字化过渡,未来计算机必须尽可能智能和自主,从而实现更多功能,更多连接,同时提高数据量。因此,系统风险评估的重要性显着增加。以前某些系统不需要安全或保护,现在它们极易受到可能使其瘫痪的攻击。对于这些有前途的系统的制造商,重要的是仔细检查和评估潜在的脆弱性并采取适当的保护措施。
适当的安全功能的实施应该尽早发生,最好是在系统信号链的开头; 也就是说,在从真实的物理世界向数字世界过渡的过程中。这个时期是所谓的最佳点,它似乎是信号链中最有希望的一点。这一点通常由传感器或致动器形成。这里,编码可信数据的复杂性通常相对较低,这也可以增加基于数据的决策的可信度。但是,如图1所示,这个最佳位置需要高度的硬件标识和数据完整性,以便实现最高级别的数据安全性,从而确保操作系统对安全数据的信心。已经在硬件级别实现身份和完整性 - 即 已经嵌入硅中的保护功能 - 提供了最有希望的方法来产生适当的数据安全性。这就是所谓的信任之根开始的地方。
 
 
 
最佳点:从模拟世界向数字世界过渡的最高安全性
图1.最佳点:从模拟世界向数字世界过渡的最高安全性。

信任的根源

信任的根是一组相关的安全功能,它们将设备中的加密过程控制为一个很大程度上独立的计算单元。在这种情况下,通常通过在顺序链接的步骤中控制硬件和软件组件来生成安全数据传输。如图2所示,各个步骤的顺序确保数据通信按需要进行并且不受伤害。因此,可以假设受到良好保护的应用程序。
 
 
 
信任根:为安全应用程序构建信任的步骤
图2.信任根:为安全应用程序构建信任的步骤。
首先使用您自己的身份或您自己的密钥来保护可靠,无懈可击的应用程序。这里分配和检查设备或人员的访问授权。虽然建立了身份和密钥,但它们仍然是信任根的第一步中最关键的因素,因为该设备仅与密钥保护一样安全。因此,有必要实施其他保护功能,以确保密钥的安全存储并转发给正确的接收者。
为了能够保护设备的实际功能免受未经授权的访问,在启动设备时需要安全启动过程。身份验证和随后的软件解密将确保设备免受攻击和操纵。如果没有安全启动,潜在的攻击者可以相对容易地侵入,操纵和执行容易出错的代码。
安全更新是处理不断变化的应用程序环境和新出现的安全漏洞的重要步骤。一旦发现新的硬件或软件漏洞,即使在攻击造成重大损害之前,也应尽快通过更新设备来纠正这些漏洞。还会执行安全更新以修复任何产品错误或实施产品改进。
为了使可信环境能够执行其他安全服务,例如加密应用程序编程接口(API),是必需的。它还包括保护功能,如加密,身份验证和完整性。
所有这些安全功能应放置在与设备的实际应用程序不同的受保护执行环境中,以确保代码中没有可能导致设备间接损坏的错误。

网络安全是半导体制造商日益增长的问题

像Analog Devices,Inc。(ADI)这样的半导体制造商,是IIoT和工业4.0大趋势的未来证明产品的主要供应商之一,在很长一段时间内一直关注网络安全。为了满足日益增长的安全要求,ADI公司试图在其产品和开发中融入信任根源的概念。目标是能够为他们关注的领域或行业提供适当的抗攻击产品,从而确保最高程度的客户信心并显着提高其应用价值。这主要意味着在与网络连接的地方引入安全性。这主要是指用于通信领域的半导体产品,尤其是工业以太网和TSN组件。此外,在芯片上存在集成系统的任何地方,安全性也是不可避免的; 也就是说,微处理器处理基本功能。
制造商的决定性因素是与可能已经处于项目定义阶段的客户的早期合作。这样可以将最基本的安全要求包含在设计中,从而保护整个信号链。因此,身份已经可以直接嵌入在物理层面上,直接在信号链的传感器节点上,这确保了对数据通信安全性的更大信心。正是出于这个原因,ADI公司为何扩展了其网络安全专业知识并收购了Sypris Electronics的网络安全解决方案(CSS)部门。通过此次收购,创建了一家着名的网络安全高安全技术制造商和安全服务提供商,使ADI公司能够为客户提供高度灵活,可靠的服务。并在未来集成系统级安全解决方案。通过安全密钥生成/管理,安全启动,安全更新,安全内存访问和安全调试,这些所谓的CSS安全解决方案不仅仅是传统的加密技术。它们为经典的加密解决方案提供了完全集成的替代品,并且将来可以轻松实现高度安全的硬件平台,从而显着提高他们为客户提供的产品的价值。
CSS网络安全技术,或者更确切地说是其所有安全功能,通常在独立的基于FPGA的子系统上实现,该子系统与芯片的实际应用功能并行运行。这称为可信执行环境(TEE),如图3所示。
 
 
 
FPGA平台采用集成的基于硬件的加密技术,以单独的TEE形式
图3.采用独立TEE形式的集成基于硬件的加密技术的FPGA平台。
基于FPGA的实现可轻松实现现场设备的软件升级,轻松消除任何潜在的产品漏洞。
与基于软件的加密技术不同,这种基于硬件的解决方案使用专用处理器来计算加密算法和专用存储,以实现安全密钥托管。专用存储器只能通过专用处理器访问。通过使用专用组件,TEE和所有敏感操作可以与系统的其余部分隔离,从而提高加密功能的执行速度,同时显着降低黑客的潜在攻击面。
它可以防止任何未经授权的访问芯片的其余部分,同时通过API接口访问加密功能。结果,可以实现非常高的安全性。

结论

网络安全和保护技术系统免受可能的攻击是向数字化过渡的关键因素,特别是在自动化行业。由于缺乏法规,最重要的是缺乏网络安全知识,许多公司在如何解决这一重要问题上仍存在很大的不确定性。
对其过程的(可接受的)风险的评估只是一个开始,而是一个中心点。但是,网络安全如何进一步锚定在公司及其产品中?最重要的是,制造公司依靠专家的支持和他们的专业知识。
ADI公司长期以来一直致力于解决这一问题,并致力于开发安全产品组合,促进安全解决方案的引入并建立信任,以推动工业4.0和IIoT的推出。
其中包括交钥匙,基于硬件的解决方案的开发,使客户能够轻松地将数据安全性集成到他们的产品中。与基于软件的加密技术相比,半导体制造商具有许多优势,因此越来越多地专注于基于硬件的加密解决方案,以支持尖端技术解决方案并保护其免受不必要的攻击。安全性和可靠性至关重要的大多数敏感应用,例如工业自动化,汽车,能源和关键基础设施市场,都可以提供最高级别的安全性。

用户喜欢...

什么是工业以太网? 它与商用以太网有何不同?

介绍 以太网是家庭和办公环境中众所周知的公认技术。最近,它已经成为工厂应用中移动数据的最热门趋势。然而,工厂车间的环境与家庭和办公室环境完全不同。工厂车间应用还提出了许多...


以太网和工业以太网有什么区别?

工业以太网系统必须比办公室以太网更强大。 以太网,特别是工业以太网最近已成为制造业中的热门行业术语。虽然相似,但它们都具有不同的特性和优点。本文将探讨以太网和工业以太网是...


工业以太网销售超过现场总线

根据HMS工业网络对工业网络市场进行的一系列年度调查中的最新报告,工业以太网首次在工厂自动化安装的新节点数量方面超过了传统的现场总线。2017年,工业以太网占新安装节点的52%(20...


OPC UA,TSN和经典工业以太网系统将在未来发挥什么作用?

合作实现更大的普遍性 OPC UA通过其地址空间形成通用应用程序接口,而TSN为标准以太网增加了实时功能,并实现了千兆位数据速度。因此,通过发布/订阅(发布/订阅)模型组合这两种技术是...