1.可穿戴设备和传感器技术如何互为对方解决市场制约瓶颈? ;
集微网消息 (记者/Aki) 近年来, 随着人们生活水平的不断提高, 生活条件的不断改善, 人们对于生活质量也愈加关注, 可穿戴设备也在这个时候适时地出现, 市场更是一片火热. 然而经过多年发展, 可穿戴设备虽然不断推陈出新, 但是能够吸引人的产品依然不多. 整个可穿戴设备市场似乎陷入了一种 '高不成, 低不就' 的状态, 产品价值远远不能满足消费者的需求.
是什么在限制可穿戴设备行业的发展? 如果这些问题得不到解决, 可穿戴设备未来依然难以迎来大的增长, 甚至可能真的沦为数据收集的二级入口.
可穿戴设备成长动力不足
根据投中研究院最新公布的《2018可穿戴传感器产业技术报告》显示, 自2016年以来, 全球可穿戴设备出货量与营收规模约以13%的年增长率保持平稳增长, 其营收规模已经达到了近350亿美元/年.
这主要得益于在各大厂商的积极研发下, 可穿戴设备种类不断增加, 产品技术日渐成熟, 用户体验不断提升以及产品价格不断下降. 这些要素都在吸引着消费者不断更新换代购入新的可穿戴设备.
但是值得注意的是, 可穿戴设备市场的增长速度已经与前五年相比略有下降, 后续发展动力更是遇到瓶颈.
这种发展瓶颈主要体现在以下几个方面:
首先, 从全球可穿戴设备品牌的出货量来看. 虽然前五大机构占据50%以上市场份额的大趋势没有改变. 但是与2015年相比, 除小米和三星之外, 苹果, Fitbit等厂商的市场份额均略有下降.
其次, 可穿戴行业整体投资热度下降. 投中研究院公布的数据显示, 从2015年到2017年, 可穿戴行业的投融资笔数已经从145笔下降到77笔, 下降比例高达46%. 投资金额也从47.3亿元下降到了31.2亿元, 下降了34%.
那么造成可穿戴市场发展瓶颈的症结在哪里呢?
可穿戴市场的发展症结是什么?
从可穿戴设备诞生之初, 就是作为智能手机的附属设备出现的, 虽然之后的功能不断变化, 但是对于智能手环, 智能手表这类产品而言, 很多功能依然离不开手机的支持, 甚至于部分功能是智能手机的拓展.
这就使得可穿戴设备本身的定位就是一款非刚需的消费电子产品, AR/VR这类设备更是如此.
投中研究院研究报告指出, 可穿戴设备的市场前景与消费者的使用意愿是分不开的, 对于非刚需性的可穿戴设备而言, 产品的便捷性和功能性已经成为决定消费的主要因素.
由于消费者更倾向于佩戴与手腕, 手臂, 手指, 头部和腰部相关的可穿戴设备, 因此, 我们发现, 2016年, 全球可穿戴设备细分市场产品的市场份额分布情况基本与消费者的佩戴意愿一致. 未来这一趋势也不会改变.
据Gartner预测, 2021年智能手表和智能手环仍将占据较大的市场份额, 头戴显示器的营收规模和出货量份额都将有所增加, 紧随智能手表之后.
这也说明, 如何提高可穿戴设备的便捷性和功能性这两大侧重点, 将会是决定可穿戴设备市场未来市场发展的关键. 这也对可穿戴设备及其相关技术的发展提出了更高的要求, 尤其是在可穿戴设备的核心部件–传感器方面.
传感器与可穿戴设备相辅相成
根据产品不同, 传感器在可穿戴设备中起到的作用也不同. 但是, 不可否认的是, 可穿戴设备的功能和性能均离不开传感器核心技术的支持.
一般来说, 传感器的高度集成与多元化测量, 能够为可穿戴设备集成更多的监测功能; 传感器的新材料开发与应用, 柔性可穿戴传感器的研发能够提高可穿戴设备的易佩戴性; 传感器的功耗降低也能够提升可穿戴设备的续航能力.
可以说, 之前我们提到的决定可穿戴市场发展的便捷性和功能性与传感器这一核心组件都有着千丝万缕的联系.
因此, 投中研究院的报告指出, 传感器能为可穿戴设备带来全新的交互, 创新有趣的应用, 更好的用户体验, 传感器的体积, 质量, 功耗, 可靠性, 稳定性等对可穿戴设备的用户体验, 穿戴舒适度和功耗等有十分重要的影响. 甚至于人机交互体验, 智能传感技术, 柔性电子技术等都离不开传感技术的发展.
而另一方面, 可穿戴设备也对传感器的发展提出了更高的要求.
以可穿戴设备要求的便捷性来说, 这一要求对设备中传感器的信号采集及芯片融合提出了更高的要求, 尤其是在性能, 功耗, 体积及方案的完整性方面都与传统的设备有很大不同, 整体要求也更为苛刻.
目前, 可传感设备对传感器的潜在发展方向主要有以下几点要求:
首先, 高度集成与多元化测量. 可穿戴设备的功能不断增加, 就需要集成更多的传感器, 但是可穿戴设备的体积有限, 如何在保证体积不变的情况下增加传感器呢? 这就要求传感器高度集成, 从而获取更多的细节.
其次, 新材料应用与柔性可穿戴传感器. 由于人体构造的原因, 可穿戴设备如何更好的贴合人类的肢体也是未来需要探索的. 实现柔性可穿戴电子传感器的高分辨率, 高灵敏, 快速响应, 低成本制造和复杂信号检测仍然是一个很大的挑战.
第三, 降低传感器功耗, 增加续航能力. 提高产品续航能力和低能耗产品研发, 关键技术主要在于提高电池能量密度和环境能量获取. 目前看来最可能的解决方案仍然是具有高能量密度的可充电的电化学电池, 它将使传感器在体积最小化的前提下, 具有较长的待机和使用时间. 无线充电则有希望成为下一个可靠的能量来源. 但是, 在电池技术获得新的突破之前, 可穿戴设备只能通过选择备用电池, 降低传感器功耗等途径, 间接的增加设备的续航能力.
最后, 未来可穿戴设备产业的发展需要新应用点的刺激, 用户对产品的深层次信息挖掘功能提出了新的要求, 可穿戴式生物传感器的需求也逐渐上升. 穿戴式生物传感器虽然已经在医学上有重要的应用, 但严格地说它们都还未达到理想自动检测的应用水平. 可以预见, 接下来的几年内, 消费设备将集成更广泛的生物传感器, 如测量血氧量, 血压和血糖水平的光谱传感器, 以及确定出汗水平和pH值 的皮肤电阻感应传感器等.
不难看出, 可穿戴设备市场和传感器市场是两个相辅相成的市场. 可穿戴设备市场目前的发展已经遇到瓶颈, 急需在便捷性和功能性上寻求突破, 这一突破需要传感器的支持才能够实现. 而传感器市场在传统传感器市场逐渐饱和的情况下, 可穿戴市场将会成为下一个新的增长点.
未来, 随着可穿戴设备朝着多功能集成等方向发展, 传感器在高集成, 低功耗以及柔性可穿戴传感器, 生物传感器等市场将会有着巨大的发展机遇. (校对/乐川)
2.感测系统连上线 边缘智能謢IIoT节点安全;
物联网系统攻击事件屡屡登上媒体头条, 不断揭示网络, 边缘节点, 以与门道器存在的安全漏洞. 嵌入式感测系统是工业物联网的重要环节, 一旦联网安全风险便大幅提升, 但节点间的沟通有其必要, 因此, 节点安全的维护便格外重要.
近期Mirai殭尸网络病毒感染超过250万个物联网节点, 利用默认密码从未变更的漏洞, 伺机登入这些执行Telnet服务器的装置. Mirai之后还能发起阻断服务攻击, 使得全球很大比例的服务器网络存取被迫中断. Reaper殭尸网络利用软件存在的防御漏洞藉此将自己传染到这些软件, 攻击超过100万个物联网装置. 一个联网鱼缸就能让黑客入侵到赌场的网络, 趁机窃取10GB的数据. 许多黑客更会利用智能电视从事刺探与监视的活动.
嵌入式传感器系统最近才开始搭载联网功能, 其存取门户也开始曝露在因特网中. 作为工业物联网(IIoT)的一部分, 这些传感器少了网络服务器过去20年在充斥攻击的环境中所经历的演化, 因此业界开始观察到, 1990年代以及更早之前各种常见的攻击, 发生在这些系统上. IIoT系统的生命周期通常比传统计算机还要长, 有些装置在部署后会持续运行数十年之久, 但却不知道何时才会维护.
服务器与PC的构造够复杂, 能执行安全资源供应的动作, 反观IIoT节点其功耗和处理能力通常都偏低, 因此很难腾出耗电预算来执行安全措施. 维安本身就是一种取舍, 而且还须考虑研发成本. 虽然工业物联网的成本一般都高于消费型物联网, 但在进行扩充方面仍会面临成本的挑战. 如果忽视安全, 产品在部署之后可能因遭受攻击面临潜在的冲击, 这些善后成本最终还是会回到用户身上, 无法避免.
传感器与致动器让工业物联网装置能和现实世界进行互动. 网络攻击大多数局限于数据流失, 然而工业物联网入侵攻击手段让黑客比过去更容易渗透到现实世界领域.
这些攻击有可能造成实体的损害. 在工业物联网领域更为显著, 一次故障就可能导致价值数百万美元的工业制程停摆甚至毁坏, 或是导致危及性命的状况.
联网带来攻击风险 节点安全须多考虑
工业物联网装置大多连到某种网络, 通常会是因特网. 然而这样的链接却也让它们曝露在攻击的风险下, 就像流行病一样, 藉由和其他机器的接触发生传染, 使病毒得以散播. 系统和外部世界进行互动的途径, 都可能成为攻击的门路. 攻击者之所以能和系统互动, 都是因为它们有联网的管道. 因此系统设计安全面临的第一个问题就是: 装置是否真的有必要连上网络? 一旦连上网络, 安全风险就会直线攀高.
要保护好系统, 最好的方法就是避免让它连到网络, 或限制仅连到封闭式网络. 许多任务业物联网装置会连上网络, 仅是因为它们具备上网功能, 但上网的背后却没有太多目的. 装置联网获得的利益是否抵得过伴随而来的安全风险? 此外, 任何和这些联网装置有互动的旧系统, 也都会面临风险.
在许多情况下, 有很多网络与节点若是没有和外部链接就能确保安全无虞, 但它们却有必要和旧的既有网络互通并存, 不过这些旧网络本身的安全性却远不及新系统.
这衍生出一个新问题, 这种防御力最弱的安全风险, 超出工业物联网系统能够影响的范围之外. 在这种情况中, 处在网络中的工业物联网系统还必须保护自己.
节点的安全考虑因素
. 机密性:
保护数据不会泄露给未经授权的人士, 例如发动欺骗式攻击的人士.
. 鉴别:
使用数字证书检验两部机器之间的对应身分.
. 安全开机:
ROM开机程序内存放第二阶段启动加载程序的验证数据.
. 安全韧体更新:
只接受制造商授权的程序代码.
. 授权:
只允许真正节点能存取网络.
. 完整性:
保护数据免于被变更.
. 统计:
适当地统计数据, 节点数量, 以及时戳, 有助于防止有人力存取IIoT网络.
. 安全通讯:
各种加密通讯协议能建置于低功耗节点内.
. 可用性:
确保用户只在有需要时进行存取.
. 不可拒绝:
确保真实的通讯要求不能被拒绝.
. 可靠:
即使在充斥干扰的电子环境, 存取作业仍然可靠.
图1 伪冒的节点让网关误以为它是一个已知节点
系统隔离阻恶意软件传播
将各系统彼此隔开, 不仅能减少攻击的门路, 还能限制恶意软件的传播. 有些系统不需要和其他曝露在网络的系统进行链接, 那么这些系统就能被隔离. 针对高风险系统, 可以考虑设定单独隔开或严密监视的网络, 并将该网络和其他网络隔开. 在理想的状况下, 关键系统应和外界完全隔离开来.
联网汽车的信息娱乐系统会让车辆曝露在许多从未见过的新型攻击手法之下. 主引擎控制单元(ECU)和信息娱乐系统完全没有关连, 因此外界应该没有途径透过信息娱乐系统来和ECU进行互动. 虽然一般车辆的设计会用两个CAN总线将最关键的系统和其他部分隔离开来, 但还是有办法透过某些方法进行链接. 外界仍有可能渗透其中一者, 然后再取得另一个系统的控制权. 如果这些网络之间彻底隔离, 被渗透的风险就能从可能致命大幅降低至较低的损坏程度.
机密信息边缘即处理保安全
许多任务业物联网系统会连接到云端服务器, 这些服务器除了会处理从装置送来的信息, 还会管理这些装置. 由于装置数量持续扩增, 云端需要应付如此庞大装置也变得越来越吃力. 于是许多系统开始将处理工作向外移到网络边缘的IIoT装置, 藉以减少送至云端的数据流量.
我们通常将数据看作是资产. 数据经过挖掘后移转, 之后再从庞大的数据集中找出隐藏其中的模式. 不过, 一开始搜集但尚未处理的数据, 通常其用处并不大, 但对于黑客而言, 这些数据却相当有用. 敏感数据会成为黑客的目标, 因而变成一种负担. 搜集来的数据应先加以过滤, 而仅留下有需要的部分, 其余的部分则应该尽速删除. 这种作法不仅能提高安全, 还会增加收集数据的实用性. 重要的是, 须辨识可能具机密性的信息, 并彻底删除或限制其储存量.
在网络边缘立即处理数据, 传送到云端与暴露在云端上的数据其数量就会减少. 边缘产生的数据传送得越多, 就越难保持其机密性. 每多出一个新节点, 就会多出一个数据外流的潜在漏洞, 攻击门路也会随之快速增加.
将敏感的数据局限在网络边缘能限制攻击门路的数量, 机密数据尤其适用. 如果将机密数据围堵在网络边缘节点不外传, 被窃取的可能性就会降低. 举停车位传感器为例, 它在处理影像后会透过一个二进制讯号通报车位已被占用, 而不会回传串流视讯, 如此就不必传送庞大但没有必要的影像数据. 这种作法能减轻接收服务器的负荷, 而且黑客也无法藉由截收视讯的方式进行监视. 类似于消费型物联网系统, 工业物联网系统也必须保存涉及专利以及机密性的信息, 其中包括:
. 专利算法
. 嵌入式韧体
. 顾客信息
. 金融信息
. 资产位置
. 设备使用模式
. 涉及竞争的情报
. 连接至更大规模网络的管道
有些工业物联网装置仍缺乏足够的威力与效能, 无法应付在网络边缘处理数据的需求. 于是另一种拓扑就应运而生, 这就是贴近地面的雾运算(Fog)模式, 其为介于云端与边缘系统之间的模式. 在Fog模式中, 边缘节点会先链接到网关, 这个网关会接收数据并进行一些处理作业, 然后将结果传到云端. 一部网关可能链接多部IIoT装置. 这种网关并不一定要采电池供电方式, 因此在处理电力方面有更高的用电预算, 而其成本也高于资源受限的IIoT装置.
Fog模式虽然是因扩充问题而崛起, 但安全也扮演一定的角色. 网关装置能协助保护脆弱的边缘节点, 这些节点资源过于有限无法自我防护, 但一定程度的保护总胜过完全不设防. 网关可用来协助管理底下的所有节点, 但不是直接管理每个节点. Fog模式也能配合IIoT的事件响应, 同时避免服务受到干扰而中断. 举例来说, 维安作业可透过和网关的互动做出反应, 毋须关掉负责关键任务的生产线.
图2 可能感染工业物联网系统的各种类型恶意代码
资源供应与部署挑战险峻
工业物联网最严峻的挑战中, 包括部署与管理数量极庞大的装置. 广布各处的工业物联网系统, 最为人诟病的, 就是难以布建与设定. 再加上IIoT极长的生命周期, 系统由某个团队布建后, 经过长年的运作, 然后可能转由另一个团队负责支持.
IIoT系统在默认状态下由于验证机制薄弱, 因此安全性欠佳. 正如我们在Mirai强尸网络所看到的情况, 大多数用户从来不会登入到工业物联网装置去设定它们, 甚至根本不知道应该进行设定. 大多数IIoT用户都以为装置拆箱后就能立即上线使用, 系统在默认状态下原本就应安全无虞. 这类应该进行设定但用户从未执行设定的装置, 就从此维持在出厂时的预测状态. 最常见的错误就是防护力极弱的默认密码.
在工业物联网领域, 网络边缘得到最多的关注, 但千万不可忽略云端或是系统中的服务器. 针对服务器常见漏洞进行测试, 像是跨站点的描述指令, SQL注入攻击, 跨站点伪冒等, 另外还得研究API找出漏洞, 确保在服务器上运行的软件都能及时安装修补程序.
在网络上传输的数据必须妥善保护, 否则就可能被拦截并进行恶意的窜改. 应采用如TLS或SSH这类安全译密通讯协议来保护传送数据. 在理想状态下, 数据应受到端对端的全程保护.
工业物联网的边界通常很模糊. IIoT传感器节点通常四处分散在网络的边界. 一般的作法是透过一个固定式网关, 作为进入更大规模工业网络的入口. 针对这些连至网络的装置执行适当的身分验证, 有助于防范恶意第三方窜改传送中的数据.
要保护网络传输数据, 涉及到使用安全通讯协议. 最好的作法应采用已知安全无虞的标准通讯协议. 我们可利用IEEE 802.1AE MACsec在以太网络LAN提供安全机制. 无线局域网络面临的风险比较高, 因为它们更容易被存取且讯号四处传播. WPA2能为遵循IEEE 802.11标准的无线网络提供安全机制. 无线IIoT解决方案通常采用低功耗IEEE 802.15.4标准, 此标准本身就提供全套安全通讯协议. 然而这些都属于Layer 2通讯协议, 而且仅针对局域网络内的传输流量提供保护.
受保护的流量必须转送到LAN以外的环境, 像是透过因特网转送, 因此需要更高层的通讯协议来提供端至端全面覆盖的安全性. 一般都会运用TLS来保护因特网上的流量, 以及提供端对端的安全防护. TLS采用的是TCP技术, 而许多物联网装置则是采用UDP协议进行通讯, 另外常用的还有DTLS(数据元传输层安全), 则是透过UDP协议传送数据. 物联网装置在供电与内存方面受到限制, 但大多数受限制的应用仅需简单的步骤就能建置TLS. 即使条件更为受限的装置, IETF也已着手为其制定名为受限应用通讯协议(CoAP)的新通讯协议.
感测节点建置防护 抵御端点装置安全
保护传送中的数据不仅重要而且必要, 但许多攻击行动却更常锁定端点装置. 连至网络的接口必须加强防御以弥补各种防御缺口. IIoT防御其中一种作法, 是直接在传感器节点装置建构防护机制. 这种方式提供第一层关键防线, 因为装置不再依赖企业防火墙作为其唯一的保护机制. 这对企业行动装置以及部署在偏远位置的IIoT传感器尤其重要.
IIoT装置的安全解决方案必须提供足够的保护, 以抵御各种网络攻击. 这类解决方案除了必须确保装置韧体不会被窜改, 还得能保护装置内储存的数据; 保护传入与传出的通讯; 以及能侦测与回报任何尝试渗透的网络黑客. 而唯一能达成上述目标的方法, 就是在设计初期阶段便纳入安全规画.
对于嵌入式装置而言, 永远不会有万用式的安全解决方案. 市面上的解决方案为OEM厂商提供泛用式框架. 然而, 完整的安全框架必须考虑保护特定装置, 网络, 以及整个系统所需的各项核心功能. 它们必须具备足够的弹性, 除了针对任何特定需求对解决方案进行客制化设计, 同时还要确保纳入关键的安全功能.
写保护模式助系统感染后复原
在医疗领域中, 手术工具的消毒至关重要, 除了让工具能重复使用, 还能避免传播疾病. 高压蒸气灭菌锅是消毒的标准器材, 它在高压环境中透过超高温蒸气快速对手术器具进行消毒, 藉此消灭所有细菌, 让器材回复到良好状态. 外科医生用过的手术刀经过这样的消毒程序后即可重复使用.
系统被渗透之后回复到已知良好状态, 这要比让系统能抵御所有攻击还更为重要. 具备复原能力的系统能快速复原, 并且在充分信心的状态下回复运行.
系统一旦被感染后, 如何要消除感染? 当系统被感染时, 系统的状态会经由一些不明方式被变更. 从远程发动的渗透会掌控处理器, 然后将新的恶意代码置入到系统. 通常恶意代码会窜改或更换韧体, 让系统以不同的方式运作. 一旦发生这种状况, 处理器就不再能被信任.
嵌入式系统通常设计成难以从被渗透的状态进行可靠的复原. 要对系统消毒, 并确定系统彻底无害, 唯一的方法就是将所有非挥发性内存内的数据复制到外部读取装置, 之后再和原始韧体的内容进行比对验证, 如果确定没有被窜改, 再以原始内容写入. 大多数系统的设计, 都无法具备上述的功能.
其中一种保护系统完整性的方法, 就是以机器开关的物理方式为非挥发性内存提供写入保护. 当开关切换至写保护模式, 内存就透过硬件提供物理性的保护. 内存的控制力移出到处理器以外, 如此一来黑客如果无法实体接触到装置就无法从远程将长驻型(Permanent)恶意代码写到内存. 对于只能透过因特网连到装置但却无法实际接触到装置的黑客而言, 上述这种方法能挡掉大多数这类型黑客一段很长的时日. 韧体更新通常很久才会执行一次. 当需要更新韧体时, 用户可以将开关切至允许写入内存模式, 授权更新程序, 当完成更新后马上再切换至写保护模式.
许多装置还会用非挥发性内存来储存需要覆写的数据. 在高度安全的系统中, 会用另一个非挥发性内存芯片来储存数据, 但不会存放程序. 虽然黑客可能会攻入系统, 将恶意数据写入这个内存, 并利用软件的Bug, 因此系统应事先进行彻底分析与测试, 不论内存内存放什么数据, 系统都不会被攻破. 加装额外的内存芯片会提高成本, 不过市面上已有某些闪存允许用户将某些区域设为防止写入, 其余区域仍允许写入数据.
图3 中间人攻击(Man-in-The-Middle)会在节点与网关之间安插一个恶意的存取点(Access Point).
安全开机程序防止未授权软件安装
安全开机能防止未经授权的软件在装置开机程序中被加载到装置. 安全开机是信任链的起点. 安全开机一开始是第一阶段开机程序(Bootloader), 从节点的只读式非挥发性内存启动. 这个开机时序唯一工作就是验证第二阶段开机程序的身分真实性. 第二阶段开机程序通常较为复杂, 可能储存在可覆写闪存, 重复执行开机程序. 它会根据可信任来源验证操作系统与被加载的程序是否有效.
具备安全开机与安全韧体更新功能的IIoT节点, 可确保装置运行经授权的程序代码不会被窜改或注入恶意代码, 这种方式可避免装置被永久置入恶意软件或程序. 装置只会运行未经窜改的程序, 否则就无法开机.
安全开机程序通常依赖数字签名来保护程序代码的真实性. 装置OEM厂商在组装时会使用自己的私有密钥来签署程序代码映像. 程序代码之后再利用OEM厂商的公开密钥验证韧体映像的签章.
另外程序代码还会运用对称式译密机制, 用讯息鉴别码(MAC)来保护程序代码, 不过装置内必须存放私有密钥, 但这也会衍生被窃取的风险. 就运算方面而言, 使用MAC是比较容易的方法.
虽然安全开机能增进安全, 但有时也会对终端用户形成过多限制, 因为它会让用户无法变更在装置上执行的软件, 或是无法执行自己的软件. 依照应用的不同, 用户可能需要更多弹性, 以及能够设定保护开机的方式, 使其能信任自己的程序代码.
安全韧体更新, 类似安全开机, 在升级程序时会验证新程序代码映像是否由OEM厂商签署. 如果下载的映像无效, 程序代码就会被弃置, 升级程序就会中止. 这种更新程序只会接受有效的映像, 通过鉴别的韧体会储存到装置的内存.
假设防御漏洞终究会被发现, 那么事先应拟好计划, 设定好一旦发现或不幸被渗透时该如何解决这些漏洞. 通常需要一个途径让软件更新或修补程序能安装到装置, 藉以修补漏洞. 更新程序需要妥善执行, 避免成为另一个攻击门路, 让黑客藉此将恶意代码装入到装置. 只是为了安装修补程序让外界能透过网络存取装置, 其衍生出的风险往往多过规避掉的风险.
图4 物理写入保护韧体, 仅在执行更新时放行, 这种方法能有效保护装置的完整性.
安全通讯协议防范窃听
大多数工程师将安全联想到通讯协议, 像是SSL/TLS, SSH, 以及IPsec, 因为安全通讯早已被加入到许多嵌入式装置. 然而, 这只是安全威胁的其中一部分, 其他攻击门路还会提供新的渗透途径. 许多IIoT传感器节点会在低功耗组态下运行, 然而这类低功耗处理器并无法支持最佳选项, 像是TLS或IPSec. 对于建构安全装置而言, 安全通讯协议提供一个很好的起点. 它们设计用来防范封包窃听, 中间人攻击, 重送攻击(Replay Attacks), 以及未经授权人士尝试与节点通讯.
小型IIoT边缘传感器装置通常采用如ZigBee, 蓝牙低功耗(BLE), 以及其他无线与网状拓扑的无线网络协议. 这些通讯协议都内建一定程度的安全性, 但相对而言其防护力都偏弱. 许多漏洞都公诸于世, 老练的黑客都了如指掌. 微型IIoT装置通常使用极低成本的低功耗处理器, 而这类处理器并不支持TLS或IPSec. 对于小型边缘装置而言, 在UDP协议上运行TLS的DTLS, 可用来保护通讯.
物理攻击多锁定前端感测
物理攻击锁定的是实际的网络边缘硬件节点或IIoT系统的网关, 这类攻击可能包含入侵前端传感器. 这些攻击通常需要实际接触系统, 但也可能只是限制IIoT硬件的效率. 黑客会窜改节点, 藉以控制传感器或IIoT环境的其他装置. 得手后他们可能取出机密数据, 并从来源端将韧体程序代码写入到系统. 运用注入恶意节点的策略, 黑客可将恶意节点部署在合法节点之中, 混入到IIoT网络内.
为协助防范这些攻击, 许多硬件在设计时间就预作防备. 透过前导装置, 外露铜导孔或未使用接头, 就能让任何人轻松进行实体探测, 这类的设计应尽可能少用甚至完全弃用.
硬件表面上的网版印刷经常会列出组件的详细信息, 让潜在黑客获得更多讯息, 因此若非真的有必要, 否则就应移除. 虽然这会增加系统复杂度, 但符合工业规范的涂层不仅会阻隔硬件与组件的接触, 也会增加额外的步骤, 防止他人直接探测电路板上的电子组件.
任何嵌入式非挥发性内存的内容都应进行加密, 以及对组件内的内容进行覆写保护. 微控制器与DSP装置之间的接口应设在PCB的埋入式电路层内. 即使须要检索嵌入式内存的内容, 经过加密与验证程序的数据, 也会让外流的内容无法被解读.
制造商通常会在硬件加入除错或测试埠. 这些埠通常是串行或JTAG, 能包含; 存取与控制大多数系统. 应确保这些链接埠在生产时关闭功能或加上保护, 因为光是不要预留除错接头(Debug Headers)还不够, 不怕麻烦的人可以自行在针脚焊上链接点. 如果需要在生产装置时保留这些接口, 就须先对这些接口进行验证才允许使用. 它们应设有密码保护, 但也要确保让用户能设定高防护力的密码.
随机数生成挑战多
译密功能通常需要某种类型的随机数生成器(RNG). 需要透过随机随机数让生产的密钥难以预测, 或是永远不会重复. 由于缺少资源与无序状态的熵(Entropy), 因此对于资源有限的嵌入式系统而言, 要生成随机数都会是极大的挑战.
许多嵌入式系统面临熵过低的问题, 这可能会导致灾难性的渗透, 像是台湾国民ID智能卡. 研究人士发现由于缺少无序性, 许多智能卡会从相同数字产生有关连性的密钥. 因此, 尽管有使用强大的随机数生成器, 外界还是能破解密码. 类似的状况, 在2012年, 研究人员发现公开密钥服务器发布的RSA密钥使用防御力过弱的随机数生成器, 导致他人有办法破解密码.
要验证RNG的强度, 其难度很高甚至几乎不可能. 以往的RNG设计都极具特殊性, 外界对其了解甚少. 不过近几年来, 各界对强健译密的随机数生成器的设计以及正式分析, 已经累积相当的进展.
目前健全的RNG设计通常有三个阶段. 包括一个熵来源提供原始熵(Raw Entropy); 一个熵撷取器(Entropy Extractor)让熵呈现均匀分布; 以及扩充阶段, 扩充小量可用的熵.
第一阶段是熵来源, 可能是一些实体噪声来源, 像是频率抖动或热噪声. 某些处理器, 像是ADI Blackfin DSP, 能为硬件提供随机数生成器, 可用来产生熵.
用来译密的随机数必须在统计上呈现均匀的分布. 所有熵来源的偏差(Bias)量必须一致, 而且在进行译密应用之前还必须消除这个偏差. 方法是使用一个熵撷取器, 用高熵(High Entropy)取得非均匀分布的输入, 然后产生高熵的均匀分布输出. 但这种方法的代价是一定程度的熵损失(Entropy Loss), 因为熵撷取器需要熵的输入高过输出. 因此就得从熵来源搜集更多位, 然后萃取出较小的高熵数字, 用来作为种子, 输入到译密安全的虚拟随机数生成器.
利用瑕疵发动渗透
几乎所有IIoT节点都必须配合某种类型的嵌入式韧体或算法一起运行. 就功能上而言, 在执行要求时如果若没有出现明显的问题, 这种韧体就能顺利运行. 但所有软件总是会存在一定的Bug或缺陷, 因此通常会允许小比例的异常运行状况, 但这类状况可能导致安全上的问题. 举例来说, 99.99%无错率的韧体几乎很少会造成任何运行上的问题. 但这个仅0.01%的出错率仍可能被黑客利用, 让特定节点的运作100%完全失效. 许多软件的Bug因复杂度而起, 然而对于任何执行实用任务的系统而言, 复杂是必然的特性. 软件Bug与漏洞在所有系统中都必定存在.
安全必须从系统设计一开始就纳入考虑. 安全应该是设计流程的一部分, 而不是项目最后才进行的工作. 安全不是加入安全功能; 而是在于控管风险. 安全设计方法对于任何IIoT系统开发而言都至关重要.
现有的安全设计策略仍然适用. 运用威胁模型分析找出各种风险, 然后选择适合的风险抑制策略; 找出系统的切入点, 从而发掘系统中的高风险区域. 大多数攻击门路都是透过外部接口, 因此应检讨设计内容发掘出安全漏洞. 同时应审慎处理未知数据与验证所有输入, 验证与安全防护不应局限于切入点. 而深层防御也是至关重要的, 其意味着一旦外部防护层被攻破, 其余每个防护层都有其必要性.
许多处理器提供不同层级的权限. 例如ARM拥有Trustzone以及ADI Blackfin DSP提供用户层级的封闭模式, 以及特权执行模式. 大多数程序代码应尽量以最低权限执行, 藉以让最重要的程序代码以特权模式执行. IIoT装置的安全需求必须考虑到安全失效的善后成本, 像是攻击的可能性, 主要的攻击门路, 以及建置安全解决方案的成本.
图5 利用小缺陷迫使系统100%时间失效
安全设计流程需求多
这些建议中, 有许多不仅彼此冲突, 甚至和系统的其他设计目标相互矛盾. 提供安全通常涉及到某种取舍, 通常是在成本, 功能, 抑或是使用功能之间做取舍. 有些取舍相当有效但代价却甚低, 但有些则是代价高昂但回报甚少. 安全需求实须和设计的其他需求取得平衡点, 在安全设计流程中, 应根据应用的性质做出适合的判断.
为协助保护IIoT, ADI已经推出多款处理器, 提供硬件式安全强化机制, 协助突破边缘节点的功能极限. ADF7023 RF低功耗收发器即提供内部AES加密功能, 能使用ISM频带, 并支持许多不同的调变机制.
ADuCM3029内的嵌入式收发器提供AES与SHA-256硬件加速机制以及一个真实随机数生成器, 并配备有多重同位(Multiparity)保护功能的SRAM内存. ADSP-BF70X Blackfin系列数字信号处理器则针对安全密钥储存以及快速安全开机提供嵌入式一次程序化内存, 提供高度保障, 确保系统在被渗透后仍能回复至已知良好状态.
Blackfin DSP内的回退(Rollback)保护机制配合硬件式的纯递增计数器, 让韧体能够进行升级, 在当出现防御漏洞时可加以修补. 再加上密钥储存的不可改变性, 让用户能建构强固且具回复力的边缘节点. 此外, Blackfin DSP还提供译密硬件加速器; 一个硬件式真实随机数生成器; 隔离的特权与非特权程序代码执行模式, 内存管理单元, 以及能限制DMA信道的存取, 让系统以低成本的平行模式运行省电且安全的DSP.
(本文作者皆任职于ADI) 新电子
3.整合多通讯标准实现机联网 IIoT再创新商业模式
要实现工业现场设备监诊, 进而做到预防性维护, 厂区的通讯基础建设是否完善是一大关键. 若实现该愿景, OEM制造业者能够远程监测销售出的设备, 并在设备停机前预先做好维护保养工作.
设备监诊与预防性维护是工业4.0的重要环节, 也是许多厂商相当看好的市场. 要真正实现该愿景则需要通讯基础建设的协助. 首先, 由于目前工业厂区设备所使用的通讯协议相当多样, 该如何整合会是一大挑战. 若是数据数据希望能够送上云端进行数据分析或是建立人工智能(AI)模型, 许多中小企业主的最大难题是缺乏人力与预算营运自有的私有云架构, 然而对于公有云的信息安全亦有所保留.
恩智浦半导体(NXP)数字网络事业部全球产品经理张嘉恒(图1)指出, 若能有效运用设备监诊解决方案, 对厂商而言不仅能防患设备故障于未然, 进而提升产能稳定度, 更能大大地节省维护成本. 因此网络技术, 处理技术, 用户接口技术和安全性技术缺一不可.
图1 恩智浦数字网络事业部全球产品经理张嘉恒指出, 若能有效运用设备监诊解决方案, 更能大大地节省厂商的维护成本.
因此, 厂商纷纷推出各类工业物联网网关(IIoT Gateway)以做到多通讯协议的整合, 亦遵守国际安全标准以维护信息安全. 而在做到工业设备联网之后, 不仅是制造业者本身能够开创出新的商业模式, 也将有更多业者以管理顾问角度切入, 共同投入工业4.0市场.
多通讯标准整合 生产管理效率提升20%
现场设备监诊之目的在于减少机台设备停机时间, 提高生产效率并提早预测问题. 然而, 在目前的台湾制造业现场之中, 有八成以上的厂商需求是在旧有的机台上导入各式感测设备. 四零四科技(MOXA)亚太区事业处副理林昌翰(图2)说明, 多数厂商的需求是在既有的设备中增加传感器, 透过震动, 温度, 转速, 耗电量等数据与生产效能, 机台健康比对, 利用数据的搜集来找出规律性.
图2 MOXA亚太区事业处副理林昌翰(左)说明, 多数厂商的需求是在既有的设备中增加传感器, 利用数据的搜集来找出规律性. 图中为项目主任王晋声, 图右为项目经理陈建铭.
因此, 目前在推广工业联网的过程中, 最大的导入难题在于机台种类, 品牌太多, 即使是同一品牌不同时期的机台, 都可能是使用不同的通讯标准, 整合非常困难. 新汉智能科技工业物联网智动化整合处副总经理林崇吉指出, 目前无论是制造业主, 整合商或是设备供货商, 最大的挑战皆在于此. 另一方面, 各式各样的PLC, CNC, 机器人以及IPC控制器的整合亦是一大难题.
因此, MOXA便与资策会合作推出变色龙整合系统, 以整合现场机台之通讯协议, 更可以结合中央图控系统, 做到历史数据的储存与分析, 让用户可以了解机台的生产力, 更容易进入工业4.0的领域. 新汉亦推出IAT2000云智化整合系统, 以整合各行业, 品牌的控制设备机台联机标准.
目前在台湾许多传统工厂中, 关于机器设备, 环境监控的作法往往是依赖老师傅的直觉与经验, 因此当设备联网之后并将数据反映在战情室广告牌时, 许多生产单位主管都非常惊讶数据与经验之间的落差. 林崇吉指出, 在传统工厂做到妥善的机台联网之后, 估计厂区的生产与管理效率能够至少提升20%.
IEC62443护公有云资安
在众多的设备联网需求下, 信息安全成为近年来的热门议题. 张嘉恒指出, OT与IT的融合使网络增加了遭受安全威胁的风险. 因此, 需要建立新的屏障来确保系统完整性, 同时保持数据流通共享. 设备制造商首先要保障设备中处理平台的安全性. 恩智浦协助制造商确保系统只执行被许可的软件, 并且与其他系统实现安全链接. 这些系统必须进行安全授权和定期更新, 并防止硬件和软件的篡改.
MOXA整合营销部项目经理陈建铭分享, 许多客户由于对于安全性的考虑, 偏好采用私有云的架构, 然而通常只有规模较大的厂商才有足够的人力成本去维护私有云. 多数中小企业由于此一考虑会选择公有云架构, 却又对于公有云资安的信任度不高.
因此, 系统整合商(SI)已开始遵循像是IEC62443的国际标准规范, 是针对工业的控制系统锁定锁定亦得实施原则. 该标准规范会由三层面考虑: 首先是设备安全功能是否符合要求, 第二是对外的网络架构是否安全, 最后是公司管理上的政策是否安全. 如果考虑这三点, 便能够达到相当的信息安全水平.
数字讯号采集为转型第一步
在工业现场设备的监诊应用上, 传感器的架设也是非常重要的一环. 台湾施耐德电机工业自动化事业部总经理孙志强(图3)认为, 目前带有通讯功能的感测设备成本已与传统感测设备相当接近, 现场设备的导入模式亦已十分成熟, 建议台湾许多中小型制造业者先由此开始导入.
图3 台湾施耐德电机工业自动化事业部总经理孙志强认为, 目前带有通讯功能的感测设备成本已与传统感测设备相当接近.
台湾博世力士乐(Bosch Rexroth)工厂自动化销售协理陈俊隆(图4)亦认为, 转型智能制造第一步必须先让设备机台的讯号数字化. 尽管只是加装一颗传感器, 所搜集到的数字信息皆能够用以分析并回馈到产线中.
图4 台湾博世力士乐(Bosch Rexroth)工厂自动化销售协理陈俊隆认为, 转型智能制造的第一步是让设备机台的讯号数字化. <