1.可穿戴設備和感測器技術如何互為對方解決市場制約瓶頸? ;
集微網消息 (記者/Aki) 近年來, 隨著人們生活水平的不斷提高, 生活條件的不斷改善, 人們對於生活質量也愈加關注, 可穿戴設備也在這個時候適時地出現, 市場更是一片火熱. 然而經過多年發展, 可穿戴設備雖然不斷推陳出新, 但是能夠吸引人的產品依然不多. 整個可穿戴設備市場似乎陷入了一種 '高不成, 低不就' 的狀態, 產品價值遠遠不能滿足消費者的需求.
是什麼在限制可穿戴設備行業的發展? 如果這些問題得不到解決, 可穿戴設備未來依然難以迎來大的增長, 甚至可能真的淪為數據收集的二級入口.
可穿戴設備成長動力不足
根據投中研究院最新公布的《2018可穿戴感測器產業技術報告》顯示, 自2016年以來, 全球可穿戴設備出貨量與營收規模約以13%的年增長率保持平穩增長, 其營收規模已經達到了近350億美元/年.
這主要得益於在各大廠商的積極研發下, 可穿戴設備種類不斷增加, 產品技術日漸成熟, 用戶體驗不斷提升以及產品價格不斷下降. 這些要素都在吸引著消費者不斷更新換代購入新的可穿戴設備.
但是值得注意的是, 可穿戴設備市場的增長速度已經與前五年相比略有下降, 後續發展動力更是遇到瓶頸.
這種發展瓶頸主要體現在以下幾個方面:
首先, 從全球可穿戴設備品牌的出貨量來看. 雖然前五大機構佔據50%以上市場份額的大趨勢沒有改變. 但是與2015年相比, 除小米和三星之外, 蘋果, Fitbit等廠商的市場份額均略有下降.
其次, 可穿戴行業整體投資熱度下降. 投中研究院公布的數據顯示, 從2015年到2017年, 可穿戴行業的投融資筆數已經從145筆下降到77筆, 下降比例高達46%. 投資金額也從47.3億元下降到了31.2億元, 下降了34%.
那麼造成可穿戴市場發展瓶頸的癥結在哪裡呢?
可穿戴市場的發展癥結是什麼?
從可穿戴設備誕生之初, 就是作為智能手機的附屬設備出現的, 雖然之後的功能不斷變化, 但是對於智能手環, 智能手錶這類產品而言, 很多功能依然離不開手機的支援, 甚至於部分功能是智能手機的拓展.
這就使得可穿戴設備本身的定位就是一款非剛需的消費電子產品, AR/VR這類設備更是如此.
投中研究院研究報告指出, 可穿戴設備的市場前景與消費者的使用意願是分不開的, 對於非剛需性的可穿戴設備而言, 產品的便捷性和功能性已經成為決定消費的主要因素.
由於消費者更傾向於佩戴與手腕, 手臂, 手指, 頭部和腰部相關的可穿戴設備, 因此, 我們發現, 2016年, 全球可穿戴設備細分市場產品的市場份額分布情況基本與消費者的佩戴意願一致. 未來這一趨勢也不會改變.
據Gartner預測, 2021年智能手錶和智能手環仍將佔據較大的市場份額, 頭戴顯示器的營收規模和出貨量份額都將有所增加, 緊隨智能手錶之後.
這也說明, 如何提高可穿戴設備的便捷性和功能性這兩大側重點, 將會是決定可穿戴設備市場未來市場發展的關鍵. 這也對可穿戴設備及其相關技術的發展提出了更高的要求, 尤其是在可穿戴設備的核心部件–感測器方面.
感測器與可穿戴設備相輔相成
根據產品不同, 感測器在可穿戴設備中起到的作用也不同. 但是, 不可否認的是, 可穿戴設備的功能和性能均離不開感測器核心技術的支援.
一般來說, 感測器的高度整合與多元化測量, 能夠為可穿戴設備整合更多的監測功能; 感測器的新材料開發與應用, 柔性可穿戴感測器的研發能夠提高可穿戴設備的易佩戴性; 感測器的功耗降低也能夠提升可穿戴設備的續航能力.
可以說, 之前我們提到的決定可穿戴市場發展的便捷性和功能性與感測器這一核心組件都有著千絲萬縷的聯繫.
因此, 投中研究院的報告指出, 感測器能為可穿戴設備帶來全新的交互, 創新有趣的應用, 更好的用戶體驗, 感測器的體積, 質量, 功耗, 可靠性, 穩定性等對可穿戴設備的用戶體驗, 穿戴舒適度和功耗等有十分重要的影響. 甚至於人機交互體驗, 智能感測技術, 柔性電子技術等都離不開感測技術的發展.
而另一方面, 可穿戴設備也對感測器的發展提出了更高的要求.
以可穿戴設備要求的便捷性來說, 這一要求對設備中感測器的訊號採集及晶片融合提出了更高的要求, 尤其是在性能, 功耗, 體積及方案的完整性方面都與傳統的設備有很大不同, 整體要求也更為苛刻.
目前, 可感測設備對感測器的潛在發展方向主要有以下幾點要求:
首先, 高度整合與多元化測量. 可穿戴設備的功能不斷增加, 就需要整合更多的感測器, 但是可穿戴設備的體積有限, 如何在保證體積不變的情況下增加感測器呢? 這就要求感測器高度整合, 從而獲取更多的細節.
其次, 新材料應用與柔性可穿戴感測器. 由於人體構造的原因, 可穿戴設備如何更好的貼合人類的肢體也是未來需要探索的. 實現柔性可穿戴電子感測器的高解析度, 高靈敏, 快速響應, 低成本製造和複雜訊號檢測仍然是一個很大的挑戰.
第三, 降低感測器功耗, 增加續航能力. 提高產品續航能力和低能耗產品研發, 關鍵技術主要在於提高電池能量密度和環境能量獲取. 目前看來最可能的解決方案仍然是具有高能量密度的可充電的電化學電池, 它將使感測器在體積最小化的前提下, 具有較長的待機和使用時間. 無線充電則有希望成為下一個可靠的能量來源. 但是, 在電池技術獲得新的突破之前, 可穿戴設備只能通過選擇備用電池, 降低感測器功耗等途徑, 間接的增加設備的續航能力.
最後, 未來可穿戴設備產業的發展需要新應用點的刺激, 用戶對產品的深層次資訊挖掘功能提出了新的要求, 可穿戴式生物感測器的需求也逐漸上升. 穿戴式生物感測器雖然已經在醫學上有重要的應用, 但嚴格地說它們都還未達到理想自動檢測的應用水平. 可以預見, 接下來的幾年內, 消費設備將整合更廣泛的生物感測器, 如測量血氧量, 血壓和血糖水平的光譜感測器, 以及確定出汗水平和pH值 的皮膚電阻感應感測器等.
不難看出, 可穿戴設備市場和感測器市場是兩個相輔相成的市場. 可穿戴設備市場目前的發展已經遇到瓶頸, 急需在便捷性和功能性上尋求突破, 這一突破需要感測器的支援才能夠實現. 而感測器市場在傳統感測器市場逐漸飽和的情況下, 可穿戴市場將會成為下一個新的增長點.
未來, 隨著可穿戴設備朝著多功能整合等方向發展, 感測器在高整合, 低功耗以及柔性可穿戴感測器, 生物感測器等市場將會有著巨大的發展機遇. (校對/樂川)
2.感測系統連上線 邊緣智能謢IIoT節點安全;
物聯網系統攻擊事件屢屢登上媒體頭條, 不斷揭示網路, 邊緣節點, 以與門道器存在的安全漏洞. 嵌入式感測系統是工業物聯網的重要環節, 一旦聯網安全風險便大幅提升, 但節點間的溝通有其必要, 因此, 節點安全的維護便格外重要.
近期Mirai殭屍網路病毒感染超過250萬個物聯網節點, 利用預設密碼從未變更的漏洞, 伺機登入這些執行Telnet伺服器的裝置. Mirai之後還能發起阻斷服務攻擊, 使得全球很大比例的伺服器網路存取被迫中斷. Reaper殭屍網路利用軟體存在的防禦漏洞藉此將自己傳染到這些軟體, 攻擊超過100萬個物聯網裝置. 一個聯網魚缸就能讓黑客入侵到賭場的網路, 趁機竊取10GB的數據. 許多黑客更會利用智能電視從事刺探與監視的活動.
嵌入式感測器系統最近才開始搭載聯網功能, 其存取門戶也開始曝露在網際網路中. 作為工業物聯網(IIoT)的一部分, 這些感測器少了網路伺服器過去20年在充斥攻擊的環境中所經曆的演化, 因此業界開始觀察到, 1990年代以及更早之前各種常見的攻擊, 發生在這些系統上. IIoT系統的生命周期通常比傳統計算機還要長, 有些裝置在部署後會持續運行數十年之久, 但卻不知道何時才會維護.
伺服器與PC的構造夠複雜, 能執行安全資源供應的動作, 反觀IIoT節點其功耗和處理能力通常都偏低, 因此很難騰出耗電預算來執行安全措施. 維安本身就是一種取捨, 而且還須考慮研發成本. 雖然工業物聯網的成本一般都高於消費型物聯網, 但在進行擴充方面仍會面臨成本的挑戰. 如果忽視安全, 產品在部署之後可能因遭受攻擊面臨潛在的衝擊, 這些善後成本最終還是會回到用戶身上, 無法避免.
感測器與致動器讓工業物聯網裝置能和現實世界進行互動. 網路攻擊大多數局限於數據流失, 然而工業物聯網入侵攻擊手段讓黑客比過去更容易滲透到現實世界領域.
這些攻擊有可能造成實體的損害. 在工業物聯網領域更為顯著, 一次故障就可能導致價值數百萬美元的工業製程停擺甚至毀壞, 或是導致危及性命的狀況.
聯網帶來攻擊風險 節點安全須多考慮
工業物聯網裝置大多連到某種網路, 通常會是網際網路. 然而這樣的連結卻也讓它們曝露在攻擊的風險下, 就像流行病一樣, 藉由和其他機器的接觸發生傳染, 使病毒得以散播. 系統和外部世界進行互動的途徑, 都可能成為攻擊的門路. 攻擊者之所以能和系統互動, 都是因為它們有聯網的管道. 因此系統設計安全面臨的第一個問題就是: 裝置是否真的有必要連上網路? 一旦連上網路, 安全風險就會直線攀高.
要保護好系統, 最好的方法就是避免讓它連到網路, 或限制僅連到封閉式網路. 許多任務業物聯網裝置會連上網路, 僅是因為它們具備上網功能, 但上網的背後卻沒有太多目的. 裝置聯網獲得的利益是否抵得過伴隨而來的安全風險? 此外, 任何和這些聯網裝置有互動的舊系統, 也都會面臨風險.
在許多情況下, 有很多網路與節點若是沒有和外部連結就能確保安全無虞, 但它們卻有必要和舊的既有網路互通並存, 不過這些舊網路本身的安全性卻遠不及新系統.
這衍生出一個新問題, 這種防禦力最弱的安全風險, 超出工業物聯網系統能夠影響的範圍之外. 在這種情況中, 處在網路中的工業物聯網系統還必須保護自己.
節點的安全考慮因素
. 機密性:
保護數據不會泄露給未經授權的人士, 例如發動欺騙式攻擊的人士.
. 鑒別:
使用數字證書檢驗兩部機器之間的對應身分.
. 安全開機:
ROM開機程序記憶體放第二階段啟動載入程序的驗證數據.
. 安全韌體更新:
只接受製造商授權的程式碼.
. 授權:
只允許真正節點能存取網路.
. 完整性:
保護數據免於被變更.
. 統計:
適當地統計數據, 節點數量, 以及時戳, 有助於防止有人力存取IIoT網路.
. 安全通訊:
各種加密通訊協議能建置於低功耗節點內.
. 可用性:
確保用戶只在有需要時進行存取.
. 不可拒絕:
確保真實的通訊要求不能被拒絕.
. 可靠:
即使在充斥幹擾的電子環境, 存取作業仍然可靠.
圖1 偽冒的節點讓網關誤以為它是一個已知節點
系統隔離阻惡意軟體傳播
將各系統彼此隔開, 不僅能減少攻擊的門路, 還能限制惡意軟體的傳播. 有些系統不需要和其他曝露在網路的系統進行連結, 那麼這些系統就能被隔離. 針對高風險系統, 可以考慮設定單獨隔開或嚴密監視的網路, 並將該網路和其他網路隔開. 在理想的狀況下, 關鍵系統應和外界完全隔離開來.
聯網汽車的資訊娛樂系統會讓車輛曝露在許多從未見過的新型攻擊手法之下. 主引擎控制單元(ECU)和資訊娛樂系統完全沒有關連, 因此外界應該沒有途徑透過資訊娛樂系統來和ECU進行互動. 雖然一般車輛的設計會用兩個CAN匯流排將最關鍵的系統和其他部分隔離開來, 但還是有辦法透過某些方法進行連結. 外界仍有可能滲透其中一者, 然後再取得另一個系統的控制權. 如果這些網路之間徹底隔離, 被滲透的風險就能從可能致命大幅降低至較低的損壞程度.
機密資訊邊緣即處理保安全
許多任務業物聯網系統會連接到雲端伺服器, 這些伺服器除了會處理從裝置送來的資訊, 還會管理這些裝置. 由於裝置數量持續擴增, 雲端需要應付如此龐大裝置也變得越來越吃力. 於是許多系統開始將處理工作向外移到網路邊緣的IIoT裝置, 藉以減少送至雲端的數據流量.
我們通常將數據看作是資產. 數據經過挖掘後移轉, 之後再從龐大的數據集中找出隱藏其中的模式. 不過, 一開始搜集但尚未處理的數據, 通常其用處並不大, 但對於黑客而言, 這些數據卻相當有用. 敏感數據會成為黑客的目標, 因而變成一種負擔. 搜集來的數據應先加以過濾, 而僅留下有需要的部分, 其餘的部分則應該儘速刪除. 這種作法不僅能提高安全, 還會增加收集數據的實用性. 重要的是, 須辨識可能具機密性的資訊, 並徹底刪除或限制其儲存量.
在網路邊緣立即處理數據, 傳送到雲端與暴露在雲端上的數據其數量就會減少. 邊緣產生的數據傳送得越多, 就越難保持其機密性. 每多出一個新節點, 就會多出一個數據外流的潛在漏洞, 攻擊門路也會隨之快速增加.
將敏感的數據局限在網路邊緣能限制攻擊門路的數量, 機密數據尤其適用. 如果將機密數據圍堵在網路邊緣節點不外傳, 被竊取的可能性就會降低. 舉停車位感測器為例, 它在處理影像後會透過一個二進位訊號通報車位已被佔用, 而不會回傳串流視訊, 如此就不必傳送龐大但沒有必要的影像數據. 這種作法能減輕接收伺服器的負荷, 而且黑客也無法藉由截收視訊的方式進行監視. 類似於消費型物聯網系統, 工業物聯網系統也必須保存涉及專利以及機密性的資訊, 其中包括:
. 專利演算法
. 嵌入式韌體
. 顧客資訊
. 金融資訊
. 資產位置
. 設備使用模式
. 涉及競爭的情報
. 連接至更大規模網路的管道
有些工業物聯網裝置仍缺乏足夠的威力與效能, 無法應付在網路邊緣處理數據的需求. 於是另一種拓撲就應運而生, 這就是貼近地面的霧運算(Fog)模式, 其為介於雲端與邊緣系統之間的模式. 在Fog模式中, 邊緣節點會先連結到網關, 這個網關會接收數據並進行一些處理作業, 然後將結果傳到雲端. 一部網關可能連結多部IIoT裝置. 這種網關並不一定要采電池供電方式, 因此在處理電力方面有更高的用電預算, 而其成本也高於資源受限的IIoT裝置.
Fog模式雖然是因擴充問題而崛起, 但安全也扮演一定的角色. 網關裝置能協助保護脆弱的邊緣節點, 這些節點資源過於有限無法自我防護, 但一定程度的保護總勝過完全不設防. 網關可用來協助管理底下的所有節點, 但不是直接管理每個節點. Fog模式也能配合IIoT的事件響應, 同時避免服務受到幹擾而中斷. 舉例來說, 維安作業可透過和網關的互動做出反應, 毋須關掉負責關鍵任務的生產線.
圖2 可能感染工業物聯網系統的各種類型惡意代碼
資源供應與部署挑戰險峻
工業物聯網最嚴峻的挑戰中, 包括部署與管理數量極龐大的裝置. 廣布各處的工業物聯網系統, 最為人詬病的, 就是難以布建與設定. 再加上IIoT極長的生命周期, 系統由某個團隊布建後, 經過長年的運作, 然後可能轉由另一個團隊負責支援.
IIoT系統在預設狀態下由於驗證機制薄弱, 因此安全性欠佳. 正如我們在Mirai強屍網路所看到的情況, 大多數用戶從來不會登入到工業物聯網裝置去設定它們, 甚至根本不知道應該進行設定. 大多數IIoT用戶都以為裝置拆箱後就能立即上線使用, 系統在預設狀態下原本就應安全無虞. 這類應該進行設定但用戶從未執行設定的裝置, 就從此維持在出廠時的預測狀態. 最常見的錯誤就是防護力極弱的預設密碼.
在工業物聯網領域, 網路邊緣得到最多的關注, 但千萬不可忽略雲端或是系統中的伺服器. 針對伺服器常見漏洞進行測試, 像是跨站點的描述指令, SQL注入攻擊, 跨站點偽冒等, 另外還得研究API找出漏洞, 確保在伺服器上運行的軟體都能及時安裝修補程序.
在網路上傳輸的數據必須妥善保護, 否則就可能被攔截並進行惡意的竄改. 應採用如TLS或SSH這類安全譯密通訊協議來保護傳送數據. 在理想狀態下, 數據應受到端對端的全程保護.
工業物聯網的邊界通常很模糊. IIoT感測器節點通常四處分散在網路的邊界. 一般的作法是透過一個固定式網關, 作為進入更大規模工業網路的入口. 針對這些連至網路的裝置執行適當的身分驗證, 有助於防範惡意第三方竄改傳送中的數據.
要保護網路傳輸數據, 涉及到使用安全通訊協議. 最好的作法應採用已知安全無虞的標準通訊協議. 我們可利用IEEE 802.1AE MACsec在乙太網絡LAN提供安全機制. 無線區域網路絡面臨的風險比較高, 因為它們更容易被存取且訊號四處傳播. WPA2能為遵循IEEE 802.11標準的無線網路提供安全機制. 無線IIoT解決方案通常採用低功耗IEEE 802.15.4標準, 此標準本身就提供全套安全通訊協議. 然而這些都屬於Layer 2通訊協議, 而且僅針對區域網路絡內的傳輸流量提供保護.
受保護的流量必須轉送到LAN以外的環境, 像是透過網際網路轉送, 因此需要更高層的通訊協議來提供端至端全面覆蓋的安全性. 一般都會運用TLS來保護網際網路上的流量, 以及提供端對端的安全防護. TLS採用的是TCP技術, 而許多物聯網裝置則是採用UDP協議進行通訊, 另外常用的還有DTLS(數據元傳輸層安全), 則是透過UDP協議傳送數據. 物聯網裝置在供電與記憶體方面受到限制, 但大多數受限制的應用僅需簡單的步驟就能建置TLS. 即使條件更為受限的裝置, IETF也已著手為其制定名為受限應用通訊協議(CoAP)的新通訊協議.
感測節點建置防護 抵禦端點裝置安全
保護傳送中的數據不僅重要而且必要, 但許多攻擊行動卻更常鎖定端點裝置. 連至網路的介面必須加強防禦以彌補各種防禦缺口. IIoT防禦其中一種作法, 是直接在感測器節點裝置建構防護機制. 這種方式提供第一層關鍵防線, 因為裝置不再依賴企業防火牆作為其唯一的保護機制. 這對企業行動裝置以及部署在偏遠位置的IIoT感測器尤其重要.
IIoT裝置的安全解決方案必須提供足夠的保護, 以抵禦各種網路攻擊. 這類解決方案除了必須確保裝置韌體不會被竄改, 還得能保護裝置內儲存的數據; 保護傳入與傳出的通訊; 以及能偵測與回報任何嘗試滲透的網路黑客. 而唯一能達成上述目標的方法, 就是在設計初期階段便納入安全規畫.
對於嵌入式裝置而言, 永遠不會有萬用式的安全解決方案. 市面上的解決方案為OEM廠商提供泛用式框架. 然而, 完整的安全框架必須考慮保護特定裝置, 網路, 以及整個系統所需的各項核心功能. 它們必須具備足夠的彈性, 除了針對任何特定需求對解決方案進行客制化設計, 同時還要確保納入關鍵的安全功能.
防寫模式助系統感染後複原
在醫療領域中, 手術工具的消毒至關重要, 除了讓工具能重複使用, 還能避免傳播疾病. 高壓蒸氣滅菌鍋是消毒的標準器材, 它在高壓環境中透過超高溫蒸氣快速對手術器具進行消毒, 藉此消滅所有細菌, 讓器材回複到良好狀態. 外科醫生用過的手術刀經過這樣的消毒程序後即可重複使用.
系統被滲透之後回複到已知良好狀態, 這要比讓系統能抵禦所有攻擊還更為重要. 具備複原能力的系統能快速複原, 並且在充分信心的狀態下回複運行.
系統一旦被感染後, 如何要消除感染? 當系統被感染時, 系統的狀態會經由一些不明方式被變更. 從遠程發動的滲透會掌控處理器, 然後將新的惡意代碼置入到系統. 通常惡意代碼會竄改或更換韌體, 讓系統以不同的方式運作. 一旦發生這種狀況, 處理器就不再能被信任.
嵌入式系統通常設計成難以從被滲透的狀態進行可靠的複原. 要對系統消毒, 並確定系統徹底無害, 唯一的方法就是將所有非揮發性記憶體內的數據複製到外部讀取裝置, 之後再和原始韌體的內容進行比對驗證, 如果確定沒有被竄改, 再以原始內容寫入. 大多數系統的設計, 都無法具備上述的功能.
其中一種保護系統完整性的方法, 就是以機器開關的物理方式為非揮發性記憶體提供寫入保護. 當開關切換至防寫模式, 記憶體就透過硬體提供物理性的保護. 記憶體的控制力移出到處理器以外, 如此一來黑客如果無法實體接觸到裝置就無法從遠程將長駐型(Permanent)惡意代碼寫到記憶體. 對於只能透過網際網路連到裝置但卻無法實際接觸到裝置的黑客而言, 上述這種方法能擋掉大多數這類型黑客一段很長的時日. 韌體更新通常很久才會執行一次. 當需要更新韌體時, 用戶可以將開關切至允許寫入記憶體模式, 授權更新程序, 當完成更新後馬上再切換至防寫模式.
許多裝置還會用非揮發性記憶體來儲存需要覆寫的數據. 在高度安全的系統中, 會用另一個非揮發性記憶體晶片來儲存數據, 但不會存放程序. 雖然黑客可能會攻入系統, 將惡意數據寫入這個記憶體, 並利用軟體的Bug, 因此系統應事先進行徹底分析與測試, 不論記憶體記憶體放什麼數據, 系統都不會被攻破. 加裝額外的記憶體晶片會提高成本, 不過市面上已有某些快閃記憶體允許用戶將某些區域設為防止寫入, 其餘區域仍允許寫入數據.
圖3 中間人攻擊(Man-in-The-Middle)會在節點與網關之間安插一個惡意的存取點(Access Point).
安全開機程序防止未授權軟體安裝
安全開機能防止未經授權的軟體在裝置開機程序中被載入到裝置. 安全開機是信任鏈的起點. 安全開機一開始是第一階段開機程序(Bootloader), 從節點的只讀式非揮發性記憶體啟動. 這個開機時序唯一工作就是驗證第二階段開機程序的身分真實性. 第二階段開機程序通常較為複雜, 可能儲存在可覆寫快閃記憶體, 重複執行開機程序. 它會根據可信任來源驗證作業系統與被載入的程序是否有效.
具備安全開機與安全韌體更新功能的IIoT節點, 可確保裝置運行經授權的程式碼不會被竄改或注入惡意代碼, 這種方式可避免裝置被永久置入惡意軟體或程序. 裝置只會運行未經竄改的程序, 否則就無法開機.
安全開機程序通常依賴數字簽名來保護程式碼的真實性. 裝置OEM廠商在組裝時會使用自己的私有密鑰來簽署程式碼映像. 程式碼之後再利用OEM廠商的公開密鑰驗證韌體映像的簽章.
另外程式碼還會運用對稱式譯密機制, 用訊息鑒別碼(MAC)來保護程式碼, 不過裝置內必須存放私有密鑰, 但這也會衍生被竊取的風險. 就運算方面而言, 使用MAC是比較容易的方法.
雖然安全開機能增進安全, 但有時也會對終端用戶形成過多限制, 因為它會讓用戶無法變更在裝置上執行的軟體, 或是無法執行自己的軟體. 依照應用的不同, 用戶可能需要更多彈性, 以及能夠設定保護開機的方式, 使其能信任自己的程式碼.
安全韌體更新, 類似安全開機, 在升級程序時會驗證新程式碼映像是否由OEM廠商簽署. 如果下載的映像無效, 程式碼就會被棄置, 升級程序就會中止. 這種更新程序只會接受有效的映像, 通過鑒別的韌體會儲存到裝置的記憶體.
假設防禦漏洞終究會被發現, 那麼事先應擬好計劃, 設定好一旦發現或不幸被滲透時該如何解決這些漏洞. 通常需要一個途徑讓軟體更新或修補程序能安裝到裝置, 藉以修補漏洞. 更新程序需要妥善執行, 避免成為另一個攻擊門路, 讓黑客藉此將惡意代碼裝入到裝置. 只是為了安裝修補程序讓外界能透過網路存取裝置, 其衍生出的風險往往多過規避掉的風險.
圖4 物理寫入保護韌體, 僅在執行更新時放行, 這種方法能有效保護裝置的完整性.
安全通訊協議防範竊聽
大多數工程師將安全聯想到通訊協議, 像是SSL/TLS, SSH, 以及IPsec, 因為安全通訊早已被加入到許多嵌入式裝置. 然而, 這隻是安全威脅的其中一部分, 其他攻擊門路還會提供新的滲透途徑. 許多IIoT感測器節點會在低功耗組態下運行, 然而這類低功耗處理器並無法支援最佳選項, 像是TLS或IPSec. 對於建構安全裝置而言, 安全通訊協議提供一個很好的起點. 它們設計用來防範封包竊聽, 中間人攻擊, 重送攻擊(Replay Attacks), 以及未經授權人士嘗試與節點通訊.
小型IIoT邊緣感測器裝置通常採用如ZigBee, 藍芽低功耗(BLE), 以及其他無線與網狀拓撲的無線網路協議. 這些通訊協議都內建一定程度的安全性, 但相對而言其防護力都偏弱. 許多漏洞都公諸於世, 老練的黑客都了如指掌. 微型IIoT裝置通常使用極低成本的低功耗處理器, 而這類處理器並不支援TLS或IPSec. 對於小型邊緣裝置而言, 在UDP協議上運行TLS的DTLS, 可用來保護通訊.
物理攻擊多鎖定前端感測
物理攻擊鎖定的是實際的網路邊緣硬體節點或IIoT系統的網關, 這類攻擊可能包含入侵前端感測器. 這些攻擊通常需要實際接觸系統, 但也可能只是限制IIoT硬體的效率. 黑客會竄改節點, 藉以控制感測器或IIoT環境的其他裝置. 得手後他們可能取出機密數據, 並從來源端將韌體程式碼寫入到系統. 運用注入惡意節點的策略, 黑客可將惡意節點部署在合法節點之中, 混入到IIoT網路內.
為協助防範這些攻擊, 許多硬體在設計時間就預作防備. 透過前導裝置, 外露銅導孔或未使用接頭, 就能讓任何人輕鬆進行實體探測, 這類的設計應儘可能少用甚至完全棄用.
硬體表面上的網版印刷經常會列出組件的詳細資訊, 讓潛在黑客獲得更多訊息, 因此若非真的有必要, 否則就應移除. 雖然這會增加系統複雜度, 但符合工業規範的塗層不僅會阻隔硬體與組件的接觸, 也會增加額外的步驟, 防止他人直接探測電路板上的電子組件.
任何嵌入式非揮發性記憶體的內容都應進行加密, 以及對組件內的內容進行覆防寫. 微控制器與DSP裝置之間的介面應設在PCB的埋入式電路層內. 即使須要檢索嵌入式記憶體的內容, 經過加密與驗證程序的數據, 也會讓外流的內容無法被解讀.
製造商通常會在硬體加入除錯或測試埠. 這些埠通常是串列或JTAG, 能包含; 存取與控制大多數系統. 應確保這些連結埠在生產時關閉功能或加上保護, 因為光是不要預留除錯接頭(Debug Headers)還不夠, 不怕麻煩的人可以自行在針腳焊上連結點. 如果需要在生產裝置時保留這些介面, 就須先對這些介面進行驗證才允許使用. 它們應設有密碼保護, 但也要確保讓用戶能設定高防護力的密碼.
隨機數生成挑戰多
譯密功能通常需要某種類型的隨機數生成器(RNG). 需要透過隨機隨機數讓生產的密鑰難以預測, 或是永遠不會重複. 由於缺少資源與無序狀態的熵(Entropy), 因此對於資源有限的嵌入式系統而言, 要生成隨機數都會是極大的挑戰.
許多嵌入式系統面臨熵過低的問題, 這可能會導致災難性的滲透, 像是台灣國民ID智能卡. 研究人士發現由於缺少無序性, 許多智能卡會從相同數字產生有關連性的密鑰. 因此, 儘管有使用強大的隨機數生成器, 外界還是能破解密碼. 類似的狀況, 在2012年, 研究人員發現公開密鑰伺服器發布的RSA密鑰使用防禦力過弱的隨機數生成器, 導致他人有辦法破解密碼.
要驗證RNG的強度, 其難度很高甚至幾乎不可能. 以往的RNG設計都極具特殊性, 外界對其了解甚少. 不過近幾年來, 各界對強健譯密的隨機數生成器的設計以及正式分析, 已經累積相當的進展.
目前健全的RNG設計通常有三個階段. 包括一個熵來源提供原始熵(Raw Entropy); 一個熵擷取器(Entropy Extractor)讓熵呈現均勻分布; 以及擴充階段, 擴充小量可用的熵.
第一階段是熵來源, 可能是一些實體雜訊來源, 像是頻率抖動或熱雜訊. 某些處理器, 像是ADI Blackfin DSP, 能為硬體提供隨機數生成器, 可用來產生熵.
用來譯密的隨機數必須在統計上呈現均勻的分布. 所有熵來源的偏差(Bias)量必須一致, 而且在進行譯密應用之前還必須消除這個偏差. 方法是使用一個熵擷取器, 用高熵(High Entropy)取得非均勻分布的輸入, 然後產生高熵的均勻分布輸出. 但這種方法的代價是一定程度的熵損失(Entropy Loss), 因為熵擷取器需要熵的輸入高過輸出. 因此就得從熵來源搜集更多位, 然後萃取出較小的高熵數字, 用來作為種子, 輸入到譯密安全的虛擬隨機數生成器.
利用瑕疵發動滲透
幾乎所有IIoT節點都必須配合某種類型的嵌入式韌體或演算法一起運行. 就功能上而言, 在執行要求時如果若沒有出現明顯的問題, 這種韌體就能順利運行. 但所有軟體總是會存在一定的Bug或缺陷, 因此通常會允許小比例的異常運行狀況, 但這類狀況可能導致安全上的問題. 舉例來說, 99.99%無錯率的韌體幾乎很少會造成任何運行上的問題. 但這個僅0.01%的出錯率仍可能被黑客利用, 讓特定節點的運作100%完全失效. 許多軟體的Bug因複雜度而起, 然而對於任何執行實用任務的系統而言, 複雜是必然的特性. 軟體Bug與漏洞在所有系統中都必定存在.
安全必須從系統設計一開始就納入考慮. 安全應該是設計流程的一部分, 而不是項目最後才進行的工作. 安全不是加入安全功能; 而是在於控管風險. 安全設計方法對於任何IIoT系統開發而言都至關重要.
現有的安全設計策略仍然適用. 運用威脅模型分析找出各種風險, 然後選擇適合的風險抑制策略; 找出系統的切入點, 從而發掘系統中的高風險區域. 大多數攻擊門路都是透過外部介面, 因此應檢討設計內容發掘出安全漏洞. 同時應審慎處理未知數據與驗證所有輸入, 驗證與安全防護不應局限於切入點. 而深層防禦也是至關重要的, 其意味著一旦外部防護層被攻破, 其餘每個防護層都有其必要性.
許多處理器提供不同層級的許可權. 例如ARM擁有Trustzone以及ADI Blackfin DSP提供用戶層級的封閉模式, 以及特權執行模式. 大多數程式碼應盡量以最低許可權執行, 藉以讓最重要的程式碼以特權模式執行. IIoT裝置的安全需求必須考慮到安全失效的善後成本, 像是攻擊的可能性, 主要的攻擊門路, 以及建置安全解決方案的成本.
圖5 利用小缺陷迫使系統100%時間失效
安全設計流程需求多
這些建議中, 有許多不僅彼此衝突, 甚至和系統的其他設計目標相互矛盾. 提供安全通常涉及到某種取捨, 通常是在成本, 功能, 抑或是使用功能之間做取捨. 有些取捨相當有效但代價卻甚低, 但有些則是代價高昂但回報甚少. 安全需求實須和設計的其他需求取得平衡點, 在安全設計流程中, 應根據應用的性質做出適合的判斷.
為協助保護IIoT, ADI已經推出多款處理器, 提供硬體式安全強化機制, 協助突破邊緣節點的功能極限. ADF7023 RF低功耗收發器即提供內部AES加密功能, 能使用ISM頻帶, 並支援許多不同的調變機制.
ADuCM3029內的嵌入式收發器提供AES與SHA-256硬體加速機制以及一個真實隨機數生成器, 並配備有多重同位(Multiparity)保護功能的SRAM記憶體. ADSP-BF70X Blackfin系列數字訊號處理器則針對安全密鑰儲存以及快速安全開機提供嵌入式一次程序化記憶體, 提供高度保障, 確保系統在被滲透後仍能回複至已知良好狀態.
Blackfin DSP內的回退(Rollback)保護機制配合硬體式的純遞增計數器, 讓韌體能夠進行升級, 在當出現防禦漏洞時可加以修補. 再加上密鑰儲存的不可改變性, 讓用戶能建構強固且具回複力的邊緣節點. 此外, Blackfin DSP還提供譯密硬體加速器; 一個硬體式真實隨機數生成器; 隔離的特權與非特權程式碼執行模式, 記憶體管理單元, 以及能限制DMA通道的存取, 讓系統以低成本的平行模式運行省電且安全的DSP.
(本文作者皆任職於ADI) 新電子
3.整合多通訊標準實現機聯網 IIoT再創新商業模式
要實現工業現場設備監診, 進而做到預防性維護, 廠區的通訊基礎建設是否完善是一大關鍵. 若實現該願景, OEM製造業者能夠遠程監測銷售出的設備, 並在設備停機前預先做好維護保養工作.
設備監診與預防性維護是工業4.0的重要環節, 也是許多廠商相當看好的市場. 要真正實現該願景則需要通訊基礎建設的協助. 首先, 由於目前工業廠區設備所使用的通訊協議相當多樣, 該如何整合會是一大挑戰. 若是數據數據希望能夠送上雲端進行數據分析或是建立人工智慧(AI)模型, 許多中小企業主的最大難題是缺乏人力與預算營運自有的私有雲架構, 然而對於公有雲的資訊安全亦有所保留.
恩智浦半導體(NXP)數字網路事業部全球產品經理張嘉恒(圖1)指出, 若能有效運用設備監診解決方案, 對廠商而言不僅能防患設備故障於未然, 進而提升產能穩定度, 更能大大地節省維護成本. 因此網路技術, 處理技術, 用戶介面技術和安全性技術缺一不可.
圖1 恩智浦數字網路事業部全球產品經理張嘉恒指出, 若能有效運用設備監診解決方案, 更能大大地節省廠商的維護成本.
因此, 廠商紛紛推出各類工業物聯網網關(IIoT Gateway)以做到多通訊協議的整合, 亦遵守國際安全標準以維護資訊安全. 而在做到工業設備聯網之後, 不僅是製造業者本身能夠開創出新的商業模式, 也將有更多業者以管理顧問角度切入, 共同投入工業4.0市場.
多通訊標準整合 生產管理效率提升20%
現場設備監診之目的在於減少機台設備停機時間, 提高生產效率並提早預測問題. 然而, 在目前的台灣製造業現場之中, 有八成以上的廠商需求是在舊有的機台上導入各式感測設備. 四零四科技(MOXA)亞太區事業處副理林昌翰(圖2)說明, 多數廠商的需求是在既有的設備中增加感測器, 透過震動, 溫度, 轉速, 耗電量等數據與生產效能, 機台健康比對, 利用數據的搜集來找出規律性.
圖2 MOXA亞太區事業處副理林昌翰(左)說明, 多數廠商的需求是在既有的設備中增加感測器, 利用數據的搜集來找出規律性. 圖中為項目主任王晉聲, 圖右為項目經理陳建銘.
因此, 目前在推廣工業聯網的過程中, 最大的導入難題在於機台種類, 品牌太多, 即使是同一品牌不同時期的機台, 都可能是使用不同的通訊標準, 整合非常困難. 新漢智能科技工業物聯網智動化整合處副總經理林崇吉指出, 目前無論是製造業主, 整合商或是設備供貨商, 最大的挑戰皆在於此. 另一方面, 各式各樣的PLC, CNC, 機器人以及IPC控制器的整合亦是一大難題.
因此, MOXA便與資策會合作推出變色龍整合系統, 以整合現場機台之通訊協議, 更可以結合中央圖控系統, 做到曆史數據的儲存與分析, 讓用戶可以了解機台的生產力, 更容易進入工業4.0的領域. 新漢亦推出IAT2000雲智化整合系統, 以整合各行業, 品牌的控制設備機台聯機標準.
目前在台灣許多傳統工廠中, 關於機器設備, 環境監控的作法往往是依賴老師傅的直覺與經驗, 因此當設備聯網之後並將數據反映在戰情室廣告牌時, 許多生產單位主管都非常驚訝數據與經驗之間的落差. 林崇吉指出, 在傳統工廠做到妥善的機台聯網之後, 估計廠區的生產與管理效率能夠至少提升20%.
IEC62443護公有雲資安
在眾多的設備聯網需求下, 資訊安全成為近年來的熱門議題. 張嘉恒指出, OT與IT的融合使網路增加了遭受安全威脅的風險. 因此, 需要建立新的屏障來確保系統完整性, 同時保持數據流通共用. 設備製造商首先要保障設備中處理平台的安全性. 恩智浦協助製造商確保系統只執行被許可的軟體, 並且與其他系統實現安全連結. 這些系統必須進行安全授權和定期更新, 並防止硬體和軟體的篡改.
MOXA整合營銷部項目經理陳建銘分享, 許多客戶由於對於安全性的考慮, 偏好採用私有雲的架構, 然而通常只有規模較大的廠商才有足夠的人力成本去維護私有雲. 多數中小企業由於此一考慮會選擇公有雲架構, 卻又對於公有雲資安的信任度不高.
因此, 系統整合商(SI)已開始遵循像是IEC62443的國際標準規範, 是針對工業的控制系統鎖定鎖定亦得實施原則. 該標準規範會由三層面考慮: 首先是設備安全功能是否符合要求, 第二是對外的網路架構是否安全, 最後是公司管理上的政策是否安全. 如果考慮這三點, 便能夠達到相當的資訊安全水平.
數字訊號採集為轉型第一步
在工業現場設備的監診應用上, 感測器的架設也是非常重要的一環. 台灣施耐德電機工業自動化事業部總經理孫志強(圖3)認為, 目前帶有通訊功能的感測設備成本已與傳統感測設備相當接近, 現場設備的導入模式亦已十分成熟, 建議台灣許多中小型製造業者先由此開始導入.
圖3 台灣施耐德電機工業自動化事業部總經理孫志強認為, 目前帶有通訊功能的感測設備成本已與傳統感測設備相當接近.
台灣博世力士樂(Bosch Rexroth)工廠自動化銷售協理陳俊隆(圖4)亦認為, 轉型智能製造第一步必須先讓設備機台的訊號數字化. 儘管只是加裝一顆感測器, 所搜集到的數字資訊皆能夠用以分析並回饋到產線中.
圖4 台灣博世力士樂(Bosch Rexroth)工廠自動化銷售協理陳俊隆認為, 轉型智能製造的第一步是讓設備機台的訊號數字化. <