克服實施下一代10BASE-T1L現(xiàn)場儀表設(shè)計中的安全挑戰(zhàn)

如本文所述，10BASE-T1L開啟了現(xiàn)場儀表連接的新時代。通過在遠(yuǎn)程和本質(zhì)安全環(huán)境中部署的現(xiàn)場儀表中添加高速以太網(wǎng)，過程工廠正在實現(xiàn)現(xiàn)代化，從而可以訪問新數(shù)據(jù)并解鎖關(guān)鍵見解，從而提高生產(chǎn)率，同時減少能耗和計劃外停機時間。然而，隨著這項技術(shù)的眾多好處，新的網(wǎng)絡(luò)安全挑戰(zhàn)也隨之而來。例如，與傳統(tǒng)的連接手段（如4-20mA電流環(huán)路）相比，IP尋址能力現(xiàn)在從云端一直到邊緣傳感器，不幸的是，10BASE-T1L的實施增加了攻擊面并為攻擊者創(chuàng)造了新的機會。本博客重點介紹了一些新創(chuàng)建的安全漏洞，提供了有關(guān)安全設(shè)計指導(dǎo)，并探討了ADI公司安全解決方案如何幫助現(xiàn)場儀器免受最常見威脅的侵害。

融合10BASE-T1L網(wǎng)絡(luò)面臨的挑戰(zhàn)

第一類漏洞是由于網(wǎng)絡(luò)基礎(chǔ)設(shè)施本身造成的。由于 10BASE-T1L 是以太網(wǎng)型網(wǎng)絡(luò)，因此無需網(wǎng)關(guān)即可連接到更高級別的企業(yè)網(wǎng)絡(luò)。默認(rèn)情況下，現(xiàn)場儀表直接鏈接到整個以太網(wǎng)公司網(wǎng)絡(luò)，因為各種交換機不會在現(xiàn)場設(shè)備和網(wǎng)絡(luò)的其他部分之間帶來任何類型的隔離，而網(wǎng)關(guān)會。因此，每個現(xiàn)場儀器都成為各種惡意軟件的入口門。

保護融合網(wǎng)絡(luò)的三個良好實踐

安全融合網(wǎng)絡(luò)的良好實踐包括：

分區(qū)制

對連接到網(wǎng)絡(luò)的每臺設(shè)備進行身份驗證

確保每臺設(shè)備都值得信賴

分區(qū)包括定義網(wǎng)絡(luò)的子部分并將它們彼此隔離，以便將潛在惡意軟件的影響限制在網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的一部分。IEC 62443 標(biāo)準(zhǔn)建議采用這種做法，但詳細(xì)實施超出了本博客的范圍。

保護網(wǎng)絡(luò)的另一個基本方面是對嘗試連接到網(wǎng)絡(luò)的每個新設(shè)備的身份驗證。它包括在授權(quán)任何網(wǎng)絡(luò)交易之前檢查設(shè)備是否為正版。遠(yuǎn)程對設(shè)備進行身份驗證的現(xiàn)代技術(shù)依賴于公鑰加密和證書，如此處所述。DS28S60和MAXQ1065是ADI安全認(rèn)證IC，功能包括：

即使在功耗和計算資源最受限的設(shè)計中也能實現(xiàn)公鑰加密

安全存儲和管理公鑰加密中使用的密鑰和證書

我們將在本博客中進一步解釋 TLS（傳輸層安全性）協(xié)議如何保護傳輸中的數(shù)據(jù)。TLS 包括我們剛剛描述的設(shè)備身份驗證步驟。

第三，通過確保設(shè)備具有預(yù)期的配置并運行預(yù)期的軟件來實現(xiàn)對設(shè)備的信任 - 沒有不受控制的修改。安全啟動是確?，F(xiàn)場設(shè)備僅執(zhí)行來自可信來源的軟件的必要條件。這是通過驗證固件的數(shù)字簽名來實現(xiàn)的。同樣，公鑰加密是要走的路：固件在受信任的研發(fā)設(shè)施中簽名，并使用ECDSA等非對稱加密算法在現(xiàn)場進一步驗證。如《安全啟動和安全下載基礎(chǔ)：如何保護嵌入式設(shè)備中的固件和數(shù)據(jù)》中所述，DS28S60和MAXQ1065等安全認(rèn)證IC可以有效地滿足這些要求。

更高帶寬 10BASE-T1L 網(wǎng)絡(luò)的挑戰(zhàn)

除了10BASE-T1L網(wǎng)絡(luò)的融合特性帶來的挑戰(zhàn)外，更高的帶寬還會產(chǎn)生第二種潛在的安全漏洞。雖然不可能通過較慢的傳統(tǒng)4-20mA電流環(huán)路將新版本的固件發(fā)送到現(xiàn)場儀器，但可以通過10BASE-T1L實現(xiàn)輕松完成。因此，使用與安全啟動相同的技術(shù)保證升級固件的真實性和完整性絕對至關(guān)重要。配置和參數(shù)化信息同樣可以通過網(wǎng)絡(luò)更新。此數(shù)據(jù)也很敏感，因為流氓參數(shù)可能導(dǎo)致設(shè)備故障。同樣，數(shù)字簽名將有助于保證這些敏感信息的真實性和完整性。

保護寶貴測量數(shù)據(jù)的挑戰(zhàn)

除了增加部署惡意版本固件的風(fēng)險外，10BASE-T1L實施的帶寬增加還允許交換更多的過程數(shù)據(jù)。這些數(shù)據(jù)通常可以作為過程調(diào)節(jié)回路的關(guān)鍵輸入，并負(fù)責(zé)觸發(fā)關(guān)鍵的過程決策。這些數(shù)據(jù)需要得到保護。第一級保護應(yīng)確保數(shù)據(jù)來自受信任的儀器，并且在傳輸過程中未被修改。這可以防止攻擊者通過注入惡意、不受信任的信息來中斷流程。數(shù)據(jù)的數(shù)字簽名保證了真實性和完整性。如本文所述，ECDSA 是一種現(xiàn)代數(shù)字簽名算法。DS28S60和MAXQ1065還設(shè)計用于計算傳感器有效載荷數(shù)據(jù)的ECDSA特征。這些產(chǎn)品將現(xiàn)場儀器的主微控制器從密集的特征碼計算中卸載出來。

圖3.測量數(shù)據(jù)簽名

有時，披露測量數(shù)據(jù)可能會揭示有關(guān)工業(yè)配方的寶貴信息。在這種情況下，解決方案是對收集點和處理單元之間的數(shù)據(jù)進行加密。DS28S60和MAXQ1065可以計算會話密鑰，進一步用作AES加密密鑰。然后，根據(jù)所需的帶寬和延遲：

將會話密鑰和計算 AES 保留在安全 IC 中

將會話密鑰傳輸?shù)綄⑦\行AES加密的微控制器

IEC 62443-4-2要求保護通過網(wǎng)絡(luò)交換的數(shù)據(jù)，如下所示：

必須在所有級別（1 到 4）支持加密數(shù)據(jù)的功能

級別 2 到 3 需要身份驗證和完整性

TLS（傳輸層安全性）可以滿足上述真實性、機密性和完整性要求。TLS 1.2 根據(jù) RFC 5246 進行標(biāo)準(zhǔn)化，TLS 1.3 由 RFC 8446 定義。TLS還兼容Modbus等工業(yè)總線。

MAXQ1065帶有完整的TLS堆棧。如本應(yīng)用筆記所述，安全I(xiàn)C增強了TLS協(xié)議的內(nèi)在安全性，并通過減輕主微控制器的繁重加密計算負(fù)擔(dān)來提高性能。

結(jié)論

本博客討論了DS28S60和MAXQ1065在解決10BASE-T1L現(xiàn)場儀表網(wǎng)絡(luò)設(shè)計中提出的一些關(guān)鍵安全挑戰(zhàn)方面的優(yōu)點。也就是說，它們支持網(wǎng)絡(luò)節(jié)點的安全身份、設(shè)備可信操作和安全傳輸中的數(shù)據(jù)。

另一個需要考慮的挑戰(zhàn)是功率預(yù)算。DS28S60和MAXQ1065為超低功耗器件，待機電流低至100nA，非常適合現(xiàn)場儀表等資源受限環(huán)境。

總體而言，DS28S60和MAXQ1065作為現(xiàn)場儀表安全的“瑞士軍刀”，是10BASE-T1L設(shè)計的完美伴侶。這是這些部分的比較。

審核編輯：郭婷