工业以太网的网络安全

介绍

工业行业向数字化时代的发展已成趋势，较之其他 任何领域都没有如此明显。生产环境不断变化—已形成 互连，不同企业部门之间甚至跨越公司边界的通信日益增 加。无论是人还是机器，企业所涉及的所有各方都在活跃 地进行不计其数的多样化数据交换。以前只有个别机器互 连，而未来网络将无处不在—从单个传感器和执行器到机 器和完整系统。工业4.0或工业物联网(IIoT)推动的数字化 转型，使所有生产参与者相互联系起来。以太网和工业以 太网日益成为必不可少的通信标准，因为它们相比于以前 的现场总线具有决定性的优势，例如更大的传输速率和更 高的可靠性。此外，工业以太网提供了将网络中的全部通 信技术（从传感器到云）纳入一个独特标准的可能性。它 利用实时功能和确定性来增强经典以太网。我们所说的时 间敏感网络(TSN)涉及到多个子标准，这些子标准正在标准 化组织IEEE 802（时间敏感网络任务组）的框架内进行开 发，其定义以最低延迟或高可用性进行数据传输的机制。 然而，TSN网络的基础是无数的传感器、设备和系统，它们 越来越多地配备有人工智能，未来将能自行决策。这种自 主系统以及随之而来的数据量增加，给自动化系统制造商 （尤其是在IT和网络安全领域）带来了极大的挑战。

将来，严密隔离的机器区域将不得不开放，使外界可 与之通信。与纯过程可靠性或生产可用性相比，对网络安 全的需求正变得越来越重要，而且这些领域之间具有很强 的依赖关系。网络安全意识增强的原因不止这一个。最近 发生的事件，如震网、Wanna Cry及对德国联邦议院的攻击 等，也极大地提升了网络安全的重要性。

然而，网络安全是一个复杂的问题，它是由保密性、 完整性、可用性等保护目标所决定。只有无法进行未经授 权的信息检索，才有可能实现保密性。完整性包括数据正 确性（数据完整性）和系统正常运行（系统完整性）两方 面。可用性是指信息技术系统发挥功能的程度；也就是 说，系统是否随时可以使用，以及数据处理是否也正常运 行。进一步的保护目标有身份验证和授权等，判明用户身 份及其对安全数据源的访问权限。承诺/不可否认性确保通 信参与者不拒绝消息。

因此，网络安全处理的是不断变化的问题，这在设 备、系统和网络的整个生命周期中都是一个问题。新的 漏洞不断被发现，新的黑客攻击方法不断被找到，故有必 要一次又一次地更新设备和系统，消除已识别的漏洞。因此，系统的设计必须支持对重要功能进 行安全更新，从而受到永久保护。然 而，对于汽车制造商和此类系统的开发 者来说，要在其应用中实施不断变化的 安全要求是非常困难的，因为这是一个 非常广泛的主题领域，超出了其实际工 作的范畴。因此，在开发的早期阶段与 合适的IT和安全专家合作是有意义的。 否则会有风险，未检测到的漏洞可能会 损害业务，这种损害可能远远超过新产 品和技术的潜在好处，在最坏情况下甚 至可能危及企业。

传统上，网络安全被视为一个IT问 题，需要实施安全的操作系统、网络和 应用协议、防火墙及其他防御网络入侵 的解决方案。但是，数字化转型将使得 未来的机器必须尽可能智能和自主，从 而实现更多功能、更多连接，同时提高 数据量。因此，系统风险评估的重要性 显著增加。以前，有些系统不需要安全 或保护，而现在，它们极易受到攻击， 导致其瘫痪。制造此类系统的厂商必须 认真检查和评估潜在漏洞，并采取适当 的保护措施。

 

应尽早实施适当的安全功能，最好 是在系统信号链开始的时候，也就是从 实际的物理世界转向数字世界的时候。 这个期间是所谓的“最有效点”，它似 乎是信号链最有希望的一点。该点通常 由传感器或执行器形成。此时，可信数 据编码的复杂性通常相对较低，这也能 增加基于数据的决策的可信度。然而， 如图1所示，这个最有效点要求高度有 效的硬件身份识别和数据完整性，如此 才能实现最高级别的数据安全性，使得操作系统对数据安全有信心。在硬件级 别实现身份识别和完整性，即将保护特 性嵌入硅片中，是产生适当数据安全性 的最有希望的方法。这就是所谓信任根 开始的地方。

信任根 

信任根是一组相关的安全功能，其 将设备中的加密过程作为一个很大程度 上独立的计算单元加以控制。在这种情 况下，为实现安全数据传输，通常要按 顺序一环套一环地执行一系列步骤，控 制硬件和软件组件。如图2所示，各个 步骤的顺序确保数据通信按照期望无害 地进行。由此便可认为应用受到了良好 的保护。

为使应用可信且无懈可击，首先 要使用自己的身份或密钥。在这里分配 和检查设备或人员的访问授权。虽然身 份和密钥已建立，但它们仍然是信任根 的第一步中最关键的要素，因为设备的 安全性与密钥受到的保护是一样的。为 此，有必要实施额外的保护功能，确保 密钥安全存储并转发给正确的接收者。

为了能够保护设备的 实际功能免受未经授权的访 问，启动设备时需要一个安 全引导过程。身份验证和随 后的软件解密将确保设备免 受攻击和操纵。如果没有安 全引导，潜在攻击者将能相 对容易地侵入、操纵和执行 容易出错的代码。

安全更新是处理不断变化的应用环 境和新出现的安全漏洞的重要步骤。一 旦发现新的硬件或软件漏洞，便应尽快 通过更新设备来加以弥补，避免攻击造 成重大损害。安全更新还用于纠正任何 产品错误或实施产品改进。

为使可信环境能够执行其他安全 服务，例如加密，需要应用编程接口 (API)。它还包括保护特性（如加密）、 身份验证和完整性。

所有这些安全功能都应放在单独 的受保护执行环境中，与设备的实际应 用分开，以确保代码中没有可能导致设 备间接损坏的错误。

网络安全对半导体制造商而 言是一个日益重大的问题

ADI公司这样的半导体制造商是适应 IIoT和工业4.0大趋势的面向未来产品的主 要供应商之一，关注网络安全已经有很 长一段时间。为了满足日益增长的安全 需求，ADI公司试图在其产品和开发中植 入信任根的概念。目标是能为其关注的 领域或行业提供适当的抗攻击产品，从 而确保客户信任度最高，并显著提高其 应用的价值。从根本上说，这意味着要 在所有联网的地方引入安全性。这主要 是指通信领域的半导体产品，尤其是工 业以太网和TSN器件。此外，只要芯片上 存在集成系统，即微处理器处理基本功 能，那么安全性也是必不可少的。

对制造商而言，一个决定性因素 是与可能已处于项目定义阶段的客户及 早展开合作。这样，最基本的安全要求 将能被纳入设计中，从而保护整个信号 链。因此，身份可能直接在信号链的传 感器节点处就已经嵌入物理层面，确保 用户对数据通信的安全性更有信心。出 于这个原因（还有其他原因），A D I公 司扩充了其网络安全专业知识，收购了 Sypris Electronics的网络安全解决方案 (CSS)部门。通过此次收购，一家知名 的高安全性网络安全技术制造商和安全 服务提供商诞生了，这将使ADI公司能够 在未来为其客户提供高度灵活、可靠和 集成的系统级安全解决方案。通过安全 密钥生成/管理、安全引导、安全更新、 安全存储器访问和安全调试，这些所谓 的CSS安全解决方案超越了传统加密技 术。它们针对经典加密解决方案提供了 一种完全集成的替代方案，未来将能支 持轻松实现高度安全的硬件平台，从而 显著提高其向客户提供的产品的价值。

CSS网络安全技术，更确切地说 是其所有安全功能，通常是在独立的 FPGA子系统上实现，该子系统与芯片 的实际应用功能并行运行。这称为可信 执行环境(TEE)，如图3所示。

基于FPGA的实现很容易支持现场 设备的软件升级，轻松消除任何潜在的 产品漏洞。

不同于基于软件的加密技术，这 种基于硬件的解决方案使用专用处理器 来计算加密算法，并使用专用存储来托 管全密钥。专用存储器只能通过专用处 理器访问。通过使用专用组件，TEE和 所有敏感操作可以与系统的其余部分隔 离，从而提高加密功能的执行速度，同 时显著减少黑客的潜在攻击面。

它能防止任何对芯片其余部分的未经 授权的访问，而加密功能通过API接口访 问。如此便能实现极高程度的安全性。

小结

网络安全以及保护技术系统免受可 能的攻击是向数字化转型的关键因素， 尤其是在自动化行业。由于缺乏法规， 最重要的是缺乏网络安全知识，许多公 司在如何解决这一重要问题上仍存在很 大的不确定性。对其流程的（可接受） 风险评估只是开始，但很重要。然而， 如何将网络安全进一步扎根在公司及其 产品当中呢？最重要的是，制造公司依 赖于专家的支持及其专业知识。

ADI公司长时间关注这一问题，致 力于开发安全产品组合，以促进安全解 决方案的引入并建立信任，从而推动工 业4.0和IIoT的发展。

其中包括开发基于硬件的交钥匙解 决方案，使客户能够轻松地将数据安全 性集成到其产品中。与基于软件的加密 技术相比，基于硬件的加密解决方案有 很多优势，因此半导体制造商越来越关 注后者，以支持尖端技术解决方案并保 护其免受攻击。安全性和可靠性对于大 多数敏感应用是至关重要的，例如在工 业自动化、汽车、能源和关键基础设施 市场中就是如此，基于硬件的加密解决 方案可使这些应用达到最高安全水平。

 

 

 

作者：Thomas Brand, ADI公司