生命周期管理(LCM)
有人认为,将IIoT安全性与传统物联网安全问题区分开来的一个重要考虑因素在于LCM。Povey表示,LCM在软件更新或更改IIoT设备配置时会有影响。在IIoT环境中,连网设备、传感器和控制系统不会或不应该连接到开放网络中。
因此,某些类型的设备LCM控制层需要成为IIoT设备的一部分,这可以是用于设备报告、配置和管理的复杂软件。但是,IIoT网络中的安全需求会根据系统中的端点而有所不同,因为它可能包含非IP的智能控制器脱机内部网络,和某种类型的保护或与外部网络隔离的设计,并且还可能有IP或非IP的无线设备和传感器。
作为LCM功能的一部分,所有端点设备都需要在工业系统中被管理和控制,这让工厂能在导入、配置和管理端点设备/产品,并加入到内部工厂网络时,能进行控制。
IIoT安全解决方案的高阶目标包含以下:
˙产品端点认证(设备、传感器、控制系统)——端点产品是真的,并非伪造品?提供产品制造商的可追溯性、生产日期和任何其他相关信息。
˙产品端点配置和使用控制——端点的安全管理和配置控制方面,有各种权限和使用模式之控制或限制。
˙端点控制状态的安全控制。
˙端点维护——包括安全的软件更新。控制系统和端点间的安全通讯,以及确保控制系统数据在储存方面的安全性。
˙进阶安全防护——入侵检测和安全监控。
在较低层级启用此端点产品安全的基础,是以下对于端点设备的要求:
˙不可变更的设备身份——设备必须具有不可更改/受保护的身份,必须透过加密方式进行验证。产品能辨识自己并验证出谁是制造者、相关日期和其他信息。
˙不可变更的RoT——除了设备身份之外,还有配置到产品中的RoT。其中包括低阶的安全启动程序(secure boot manager)、认证和非对称密钥组,允许设备支持双边身份验证并启用安全软件更新。RoT的某些部分要求密钥和其他项目应在某种类型的安全储存区域中受到保护,以防止密钥信息从产品中被提取。
˙不可变更的安全性启动程序——某种类型的低阶安全启动程序,可在应用之前,验证设备/产品的所有韧体和配置更新。只有安全启动管理程序才能安装并将低阶的配置更新应用于端点设备/产品。
˙LCM软件/服务——某种类型的低阶LCM控制服务,可以管理端点产品,包括软件更新和配置更改。
设计时,考虑到设备层级的安全性与物联网设备的整个生命周期。(数据源:Secure Thingz)
安全区域(Security enclaves)
Povey表示:“在设备采购方面,受到一些因素影响,例如启用标准机制以推出更新、此更新将如何储存在边缘设备,以及设备和内存资源影响等因素。”
他并补充:“你需要考虑安全区域,以及隐藏秘密和基本密钥的位置,还有如何为设备添加水印。”工程师应该在不考虑芯片商与架构的情况下,在开发环境中将这些因素纳入考虑。一般的产业共识是,安全组件确实需要嵌入到硬件中,以确保其可信任度,因为芯片级加密可以被执行和保护。
GE电力、自动化和控制部门控制和边缘平台总经理Rich Carpenter说:“我们试图从硬件层开始建立RoT,且我们的深度防御(defense-in-depth)机制要求入侵发生时,不会透过系统进行传播。”他还提到,GE使用现成的可信任平台模块(TPM),并采用英特尔和AMD处理器。
英特尔预期将从硬件着手。Schrecker说:“拥有硬件RoT非常重要。硬件身份刻录到系统中,并具有芯片层级的身份,这代表着它可以被追踪,而重要地是能确保芯片不是伪造的,并且能够进行身份验证和更新。”他补充,硬件安全性并不能取代软件安全性,只是提高了安全性。
总之,在设计IIoT设备的安全性时,关键的考虑因素是使设备不可变更(immutable)、能够提供可信任和安全的启动,并在整个生命周期内管理设备安全性,其中还包括OTA软件更新和修补。
在发生攻击的情况下,需要有一种方法可以准确地辨识设备,将其恢复到之前已知的良好状态,然后能够适时在攻击点(point of attack)解决问题。将这些原则考虑在内,是进到下一步—硬 体建置(hardware implementation)的良好开始。
| 
