驱动工业物联网 (IIoT) 的“恣意衔接”完结了超高速增加,这不只仅只是衔接许多截然不同的设备。这还与跨各种广泛运用搜集、剖析和操作的数据有关。IIoT 概念的要害点在于可以保证设备的安全性,以便可以搜集和同化数据并向其他方位进行传输。
“恣意衔接”这一理念的超高速增加所引发的新缝隙远远快于公司可以施行的安全办法。一般最简单被疏忽的缝隙之一便是资源受限制的硬件渠道,例如,2010 年进犯伊朗核反应堆的震网 (Stuxnet) 病毒就引发了全球范围内的重视。
PFP Cybersecurity 是一家科技公司,其拟定的共同办法能处理许多安全性问题,例如因资源受限制的硬件渠道和网络安全要挟(如震网等病毒)的增加所导致的问题。iVeia 经过充分利用 赛灵思’s Zynq-7000 All Programmable SoC 来协助 PFP Cybersecurity 面向 IIoT 运用施行新颖、高效的算法型网络安全处理方案。与 PFP 的依据 PC 的概念验证比较终究规划在体积和功耗方面均削减或下降了一个数量级。
在讨论咱们两家公司如安在 Zynq SoC 上运用名为 Power Fingerprinting (PFP) 的专有技能来开发和商用化某个 IIoT 网络安全处理方案之前,咱们首先来深化了解一下资源受限硬件渠道不断增加的安全缝隙。
资源受限型硬件渠道的缝隙
因为规范工业操控设备运用资源受限制的嵌入式渠道,因此操控要害基础设施的许多体系几乎没有网络安全性规则。现在,这种体系等级缝隙正被以为是要害基础设施的严重要挟。在要害基础设施环境中,许多体系具有陈腐的处理器,运用仅有硬件,并且不支撑典型网络安全办法所引进的功用降级,它们为侵略留下了后门。最近的一次是在 2014 年 11 月,查询人员发现操控美国电厂、电网、水处理工厂和石油天然气基础设施的体系感染了病毒。[1]
四年前,因为震网病毒感染了伊朗担任运转核离心机的可编程逻辑操控器 (PLC),然后导致了离心机的破坏。[2] 渠道过于死板,就十分简单遭到侵略, PLC 便是其间的模范。PLC 很大程度上由嵌入式 MPU 组成,能主动对工业设备进行操控和监控。企业一般会树立其 PLC 渠道网络,但却趋向于不为任何类型的安全监控或完整性评价供给资源。[3] 一起为了防备零日进犯(zero-day attack)或供货商未意识到的安全缝隙,他们也不会特别频频地去更新这些渠道。[4]
POWER FINGERPRINTING:一种新颖且有用的安全办法
PFP Cybersecurity 开端寻求能处理这类问题的处理方案,其不只是能与现有装置设备高效协作运转的非侵入式处理方案,一起也不需求装置任何重要的设备或发生许多软件更新。。该公司开发的 PFP 技能可作为完整性评价的立异办法。正如人类指纹是个人的仅有标识相同,相同的理念也适用于特定体系或芯片。PFP 运用物理侧通道(例如,功耗)来获取在处理器中全面履行协议栈内部履行状况的相关信息,并且这与渠道或运用无关。PFP 技能将辨认被体系以为正常运转的“指纹”。假如之后获取的某个指纹不匹配,则或许标明某些方面犯错。
这可经过外部监控器来完结,该监控器在物理上与方针处理器别离,并且在网络进犯破坏了方针时能以极高的准确度进行检测。PFP 一起适用于新体系和原有体系,是现有网络安全性处理方案的弥补,并且不需求在方针上装置任何软件或硬件。
PFP 可支撑能捕获通道侧信号的各种传感器,并依靠于核算密集型信号处理算法进行功用抽取,并且依靠机器学习进行分类。能经过各种办法来完结感应侧通道,包括 AC 或 DC 电流或许在方针周围获取电场或磁场改变的电磁 (EM) 传感器。PFP 从捕获的信号中抽取仅有有不同特征,将其与一组基线参阅进行比较并查找误差。基线参阅是“指纹”,可仅有辨认的正常履行方针软件,并且是经过机器学习办法来抽取的。PFP 运用存储的参阅来实时检测未经授权的履行误差。
PFP Cybersecurity 成功开发了概念验证用的监控体系,并运用如下设备对该体系进行了演示:个人核算机 (PC) 、 具有高速模数转化器 (ADC)以及能将 EM 传感器与数据搜集设备(如图 1 中所示)完结接口相连的定制模仿前端。PFP 算法引擎在 PC 上履行,并以从数据搜集设备搜集原始 ADC 数据为切入点。体系的前端处理在规划方面类似于许多多通道数字无线电接收器,即,在 ADC处搜集可用于由多个数字调谐器进行处理(一般称为数字下变频,也可简称 DDC)的宽波段。这些 DDC 可调谐到更广波段中的更窄相关波段,然后对这些波段进行过滤和抽取。此办法能发生高得多的可办理数据带宽以进行后续盯梢处理,并可极大简化体系规划的模仿部分。
功用抽取和分类算法可处理 DDC 的输出,并将其与一组基线参阅进行比较,一切这些都必须进行实时操作才干保证它们察觉到任何侵略。操控算法的并行运转可以确认ADC 采样率及相关波段的处理参数。此进程可在原始 ADC 样本的大型相邻模块上履行许多操作,其间包括快速傅里叶变换 (FFT)。 此办法可依据方针渠道供给接连的 24/7 全天候完整性监控。 假如检测到侵略,FPP 监督器就会经过提示操作人员、将事情数据记录到中心监控站和/或采纳活跃办法来依据特定于运用的战略进行呼应。
依据 PC 的概念验证体系可以发生的超卓的成果,但因为多种原因,无法作为可以在商业上广泛布置可行体系。PC 体系根本包括一个监督器节点,而每一个实际国际的装置都或许需求几百个监督器节点。对算法功用的要求标明 PC 需求具有功用强大的高端处理器。因此,其一般将需求电扇散热、相对大型的机柜以及大功率电源。
为了最大极限下降体系的抗扰性,传感器信号的模数转化应在接近方针的一端进行。方针处理器邻近恰当的物理空间和电源可用性因各个装置的不同而有所差异,并且关于大部分装置而言,PC 的巨细与电源要求过于大型,而无法行得通。虽然 PC 的本钱或许较低,但将其他组件与 PC 进行集成所带来的本钱和杂乱性反而会让导致难以承受的昂扬本钱。更不用说, PC 会使得监督节点本身更简单遭到网络的进犯。
从架构方面而言,一种挑选或许是将一切原始数字信息经过规范网络传输到中心处理器或服务器。但因为 ADC 极高的采样率,支撑如此许多数据所需求的网络基础设施在装置时或许会不可用,并且购买和装置不只杂乱并且本钱过高。
