安全网络的部署连接控制工程解决方案

工业自动化(IA)和楼宇自动化(BA)客户几乎不能容忍由不可靠的控制工程(CE)过程造成的生产停机或责任暴露。对可靠的CE解决方案的价值进行评估，包括对CE运营商的直接价值和避免的成本。随着工业控制系统(ICSs)与企业网络和互联网的集成，强大的安全——一直到设备层面——变得至关重要。

控制工程（CE）行业趋势

过去10年的一个重要的CE行业趋势是对网络解决方案的运动;特别是那些使用与全球Internet集成的连接的人。随着连接成本下降并且连接的能力变得更容易，网络实体数量爆炸，网络化CE解决方案的技术复杂性增加。

电子商务行业向网络化解决方案的发展落后于其他商业领域。这主要是由于两个问题:

1. 需要使用标准化接口，通信协议和数据结构的唯一或专有技术解决方案迁移到唯一或专有技术解决方案
2. 分组交换网络固有的不确定性行为。

第一个问题很大程度上已经解决了。解决方案提供商正在迁移到客户解决方案，以更轻松地与工业标准连接器和处理器集成到客户端的其他设备和网络。

“问题（b）”解决方案可用。统称为时间敏感网络（TSN）[1]的设备和协议的组合使CE应用程序开发人员能够克服数据包交换的非确定性和互联网的复杂性。基本以太网[2]可以提供可预测和保证的端到端延迟，高度限量的延迟波动（抖动），以及极低的数据包丢失。

操作安全控制工程网络

要想运行一个安全可靠的CE网络，需要回答以下三个问题:

1. 如果恶意演员确实获得对网络的访问和可能是设备，硬件可以相应地信任硬件？
2. 如果是的话，即使演员增益访问网络的通信频道，也可以从网络组件执行的特定操作中排除恶意演员？
3. 当放入设备时，可以保护知识产权免受提取或剥削的影响，即恶意演员可能会尝试复制，窃取或购买？

在提出可以回答这些问题的方法之前，请查看为什么要保护网络连接的CE解决方案是有用的。

互联网是一个凌乱的安全生态学。[3]互联网的〜50亿个设备包括巨大的硬件设计和变体，其中包含写入不同纪律和精度标准的软件版本，以及具有广泛动机和目标的演员。设备，程序和交互中的这种巨大可变性为恶意运动员提供了一种膨胀的潜在攻击面，以连接和利用CE解决方案供应商及其客户。

从历史上看，CE网络对供应商错误或恶意因素的抵抗是由于隔离、晦涩和简单。只有少数参与者的孤立网络，必须是有意连接的，可以在很大程度上排除不法分子。包含独特组件、独特软件等的网络，必须设计和测试特定的攻击方法。如果攻击者无法访问网络的设计或组件，这对他们来说是很困难的。

简单的网络可能很容易排除和稳定。在过去的几个攻击者中发现了创建以前没有存在的连接机会所需的时间，能量和资源的动机;设计，测试，并证明攻击可以工作;在诊断和修复方面保持攻击可行。

CE网络设计者、供应商和运营商对网络连接的关注克服了这些历史障碍，并突出了一个相关问题:

• 隔离。行业标准连接的运动削弱了隔离。特定的意图，焦点和设计需要防止标准化网络技术使能的连接。许多受害网络运营商发现他们的独立或空调网络通过他们从未知道的态度连接，以为禁用或想到捍卫反对。
• 默默无闻。组件设计、它们的功能以及如何构建控制它们的软件，对于恶意参与者和合法参与者来说都是可用的。虽然不法分子可能无法购买特定的设备，但只要进行适度的研究，设备的内部组件、设计和软件几乎总是可以发现的。
• 简单。复杂的网络实际上是不可能描述，表征和防御的潜在攻击表面，因为攻击表面不是静态或固定的。当建立时，任何复杂网络的潜在脆弱性都不是精确的知识，并且在整个生命中将不断地改变，主要是不可预测的。
• 不确定的责任。很难找到任何分配的公司官员，以全能考虑部署的CE系统的安全性和安全性，并授权对准资源，以保持系统从不断变化的威胁中得到保护。这些策略通常在企业IT网络中不同地强制执行，而操作控制系统则不同。

鉴于定制与标准化和联网解决方案的不可避免和持续的迁移，是时候审查和采用更好的方法来保护CE系统。

控制工程网络和安全解决方案

应通过采用完整的策略开始整体安全方法，该策略包含安全的过程步骤和依赖可释放的安全处理硬件和软件。我们在这里争论行业标准芯片供应流程的重大变化，并广泛采用和使用可信任执行环境（TEES）。

该策略始于CE解决方案提供商在生产保证测试后，但在初始固件提供(如设置安全相关保险丝或安装生产固件引导加载程序)之前，直接获得“原始”芯片的访问权。以这种方式开始，通过不允许设备制造商访问客户想要保护的知识产权(IP)，就启动了降低威胁的整体方法。

开始保护过程这一早期否认制造站点中的恶意演员可以选择生产重复或克隆固件的选项，以生产原始客户设备的模仿或假冒。

这种程序变化利用了用于基于TEE的安全数字生态学的半导体基础，这些基础已经在生产和交付中。程序更改使能通过赋予CE解决方案供应商能够控制授权固件映像的特定芯片来生成唯一芯片标识符[4]通过使用已经通过现代芯片架构提供的功能[5]。这些功能使得能够生成芯片 - 唯一的标识符和私有加密密钥，安全存储加密的固件图像，并且配置所以芯片标识符和加密密钥是不可变的，不能被伪造或提取。这些功能可以安全地，防止克隆并排除来自CE网络的恶作机。

这种方法可以保护IP，直到建立信任的根源（ROT] [6]和硬件的安全性。ROT是连接设备的基础安全组件。其余的，可以将ROT描述为一组隐式可信的功能系统或设备可以用于确保安全性。在此提议的上下文中，ROT是单个芯片的唯一密钥。这反过来，又使每个设备成为唯一的。

正确使用的是，这个唯一的设备键可以创建设备独特的加密证书。唯一设备标识符和设备唯一证书的组合使得能够验证设备标识和与设备的密码安全通信，而无需整个网络是安全的。

IP未加载到芯片，直到芯片被配置为安全启动，并且配置应用程序验证硬件是真实的，值得信赖的，并且它运行安全。一旦验证了这些条件，在芯片上建立了一个TEE。TEE将包含并保护客户的IP，并为安全可靠的CE解决方案提供加密安全处理环境。

独特的设备密钥还可以通过加密方式保护固件，使其能够在特定的、单独的设备上运行。专有固件或其他信息将不可提取或复制用于任何未经授权的设备。

腐烂和TEE使CE供应商及其客户能够指定或根据在设备级别构建的网络中指定或定制参与，并与其他网络级保护措施分开。授权网络参与者的身份可以与ROT和任务关键应用程序绑定，可以设计为在T恤内运行或使用TEE的使用功能来验证其真实性和安全功能。仔细实施，用户现在可以为三个关键安全问题提供“是”答案，并允许使用当前网络技术部署安全和安全的CE解决方案。这些概念应该被认为是目前的ICS的基础。

Jake Schaffner.，高级战略分析师，Sequitur Labs.；拉里奥康纳尔，营销，营销，销售实验室副总裁。由Chris Vavra，Web Content Manager编辑，控制工程， CFE Media and Technology，cvavra@cfemedia.com.．

在线额外

参考

1在2020年12月28日检索，https://www.belden.com/resources-only-search#q = time%20sissitive%20networking&t=resources-search& sort=relevancy& numberofresults=25&f:facetlanguage=[english]

2 IEEE 802.1和IEEE 802.3

3在2021年1月4日检索，https://www.ahdictionary.com/word/search.html?q=ecology生态学-生物与其环境之间的关系。

4https://www.sequiturlabs.com/secure-software-provisioning-with-emspark/

5例如:ARM TrustZoneTM

信任根:于2021年2月17日检索https://www.psacertized.org/blog/what-is-a-root-of-trust/．版权所有©2021 ARM Limited