工業物聯網(IIoT)作為推動數字經濟與實體經濟深度融合的關鍵路徑,現已成為全球主要經濟體促進經濟高質量發展的共同選擇。據麥肯錫調研報告顯示,工業物聯網在2025年之前每年將產生高達11.1萬億美元的收入。全球知名咨詢公司埃森哲也給出了積極預測,稱到2030年,工業物聯網能夠為全球帶來14.2萬億美元的經濟增長。
在今年的全國兩會上,“工業物聯網”這一關鍵詞被第四次寫入政府工作報告中,充分體現出國家對工業物聯網在推動制造業高質量發展方面發揮更大作用的高度重視。中國信息通信研究院發布的《工業物聯網產業經濟發展報告(2020年)》顯示,2020年,中國工業物聯網產業經濟規模達3.1萬億元,占GDP比重為2.9%,帶動約255萬個新增就業崗位。
安全威脅是真實存在的
面對正在快速發展的工業物聯網,保障其安全性至關重要。因為安全威脅是真實存在的,設備、連接、網絡、數據中心、設備管理,物聯網的每一個環節都有可能遭到攻擊。那么,用戶在部署工業物聯網方案時,會遇到哪些關鍵性的安全挑戰?
企業新舊設備優化
工業物聯網需要面對各種各樣的設備。有的是使用多年的舊設備和系統,有的是在進入物聯網時代后全新推出的設備,它們可能會遍布各地,黑客可以直接對設備發起攻擊,傳統防火墻、IPS等網關類防護設備用處不大。
同時,物聯網的通信協議,諸如ZigBee®、藍牙、NB-IOT、2/3/4/5G等在傳統互聯網應用上并沒有使用到,互聯網安全策略也無法覆蓋到這些協議,因而帶來了新的安全風險。
IT與OT融合的焦慮
物聯網轉型讓工業設備變得更加智能且集成度更高,從而提高了生產制造的效率。隨著數十億設備通過物聯網連接起來,信息技術(IT)和操作技術(OT)融合的時代已經到來。
但工業物聯網對實時性、可靠性和產品監控質量的要求極高。作為工業自動化的骨干系統之一,控制系統如何在保障安全的同時,進行數字化升級,是行業用戶和方案供應商面臨的焦點問題之一。
標準
設備一旦進入網絡,就會面臨各種安全性威脅。目前,網絡攻擊已從針對遠程企業IT云服務器和數據中心轉向傳感器、邊緣節點和網關等本地設施,攻擊媒介也不僅限于TCP/IP網絡和端口。
考慮到在工業物聯網中存在大量有線和無線的標準,所以安全設計不但應該從設計之初貫徹到量產,還需要在系統內部建立多層獨立安全等級(Multiple Independent Levels of Security, MILS)的設計理念——在確保系統靈活性的前提下,針對一個系統的不同層級都提供安全性。
堅決貫徹,而非倉惶補救
如何充分利用芯片級的安全性,實現全面的系統保護?如何在最初的開發環節就把安全要素考慮進去,并貫穿其整個生命周期?在Microchip,我們也對此思考了很多,例如:
· Trust Platform (Trust平臺)
隨著越來越多的設備連接到互聯網,主要的云供應商現在都鼓勵用戶使用安全元件來保護密鑰。Microchip為CryptoAuthentication™ 系列推出的Trust平臺提供了一套軟件和硬件開發工具,該平臺結合了Microchip的安全元件和內部的安全密鑰配置服務。Microchip的配置服務僅在其半導體供應鏈工廠內“裝載”密鑰,這樣一來就消除了密鑰暴露給合同制造商或任何第三方的機會。這種方法也提升了Microchip一直希望達到的加密密鑰、固件和人之間的“空氣間隙”(air gap)隔離。
作為第一個為大眾市場提供隨時可用的安全身份驗證解決方案,Trust平臺由三層組成,提供開箱即用的預配置安全元件或可完全量身定制的安全元件,開發人員可根據個人設計靈活選擇。
該平臺第一層為Trust&GO,提供零接觸預配置安全元件,設備證書已在ATECC608B中預先編程、裝載和鎖定,用于自動云登錄或LoRaWAN®登錄時的身份驗證。與此同時,相應的證書和公鑰以“清單”文件的形式交付,文件可從Microchip直銷網站和授權分銷商處下載。除了節省長達數月的開發時間外,新解決方案還大幅省去其它繁瑣事項,幫助大眾市場客戶輕松進行邊緣設備保護及管理,無需第三方配置服務或證書頒發機構的額外費用。
目前,Microchip已與業界多家云供應商合作,幫助其以更經濟的方式輕松實現基于硬件的安全性,消除之前配置設備時的各種障礙。如需了解更多信息,請訪問Microchip Trust&GO 平臺。
如果客戶有更多定制需求,第二層TrustFLEX不但可靈活地使用客戶選擇的證書頒發機構,同時還可使用預先配置中的使用案例,包括基線安全措施,如傳輸層安全協議(TLS)增強身份驗證(用于使用任何證書鏈連接到任何基于IP的網絡)、LoRaWAN身份驗證、安全啟動、無線(OTA)更新、IP保護、用戶數據保護和密鑰輪換,從而減少了設備定制的復雜性,縮短定制時間,同時無需定制的部件號。針對只需要定制設計的客戶,該平臺的第三層—TrustCUSTOM —可為客戶提供特定的配置功能和自定義憑據設置。
· 守衛無線MCU的安全
隨著物聯網從家庭自動化領域拓展到如暖通空調(HVAC)、車庫門和電風扇等家庭控制領域,以及在建筑和工業自動化領域的加速應用,市場對高度集成、可靠和安全的工業物聯網連接性的需求前所未有地增加。
WFI32E01PC是Microchip采用自有Trust&GO技術的業界首款Wi-Fi®單片機模塊,用以實現獨特的身份驗證功能。其使用的新技術包括頂尖的PIC32單片機內核、豐富的外設支持和成熟的硬件安全平臺。例如Trust&GO平臺采用安全元件技術,為云身份驗證進行預先配置和設置,簡化了網絡身份驗證的過程;模塊符合Wi-Fi聯盟(WFA)規范,并獲得美國聯邦通信委員會(FCC)、加拿大工業部(IC)和歐洲無線電設備指令(RED)三家世界級監管機構的全面認證。
憑借自身的安全專業知識,Microchip為客戶提供設計的安全性,并消除客戶對建立昂貴的內部安全能力的需求。從安全加密到可信執行環境,Microchip通過廣泛的安全解決方案支持并滿足客戶獨特的安全實施需求,以合理的價格提供適當的保護級別。
結語:
其實對包括工業物聯網在內的所有物聯網產品和應用而言,通常就包含三個核心要素:處理器或單片機(“智能”元素)、網絡控制器(“連接”元素)以及確保與云安全通信的方法(“安全”元素),而Microchip的優勢就在于有能力橫跨“云”-“管”-“端”三重領域,為用戶提供完整的解決方案。
換句話說,Microchip既可提供具備高級安全功能的集成方案,也能提供諸如ATECC608B這樣的獨立方案。Microchip的一系列單片機均內置了硬件保護功能,以實現牢不可破的安全性。Microchip強大的安全解決方案使物聯網應用開發人員能夠實現各種安全用例,例如安全啟動,確保僅執行真正的應用程序固件;安全固件升級;通過相互認證實現安全的云連接;安全通信實現消息認證和加密和IP保護等。
除安全芯片外,Microchip還提供軟件示例和配置服務,方便客戶能夠通過軟硬件協同配合,在其嵌入式系統中輕松、順暢地實現安全防護。
安全是物聯網應用的一個重要組成部分。每種物聯網解決方案應該都含有安全相關模塊——特別是在需要確保系統身份安全和傳輸數據安全時。確保物聯網安全不僅要靠相關法規,更重要的是在實踐中從根本上采取負責任的做法,而且應該從產品概念設計階段就把安全納入考慮之中,而不應該是事后的亡羊補牢。
如需了解更多信息,請訪問Microchip CryptoAuthentication™系列推出的Trust平臺。