应用

技术

物联网世界 >> 物联网新闻 >> 物联网热点新闻
企业注册个人注册登录

感测系统是工业物联网重要环节,如何保证安全?

2018-07-17 14:25 新电子

导读:物联网系统攻击事件屡屡登上媒体头条,不断揭示网络、边缘节点、以与门道器存在的安全漏洞。 嵌入式感测系统是工业物联网的重要环节,一旦联网安全风险便大幅提升,但节点间的沟通有其必要,因此,节点安全的维护便格外重要。

   物联网系统攻击事件屡屡登上媒体头条,不断揭示网络、边缘节点、以与门道器存在的安全漏洞。 嵌入式感测系统是工业物联网的重要环节,一旦联网安全风险便大幅提升,但节点间的沟通有其必要,因此,节点安全的维护便格外重要。

  近期Mirai殭尸网络病毒感染超过250万个物联网节点,利用默认密码从未变更的漏洞,伺机登入这些执行Telnet服务器的装置。 Mirai之后还能发起阻断服务攻击,使得全球很大比例的服务器网络存取被迫中断。 Reaper殭尸网络利用软件存在的防御漏洞藉此将自己传染到这些软件,攻击超过100万个物联网装置。 一个联网鱼缸就能让黑客入侵到赌场的网络,趁机窃取10GB的数据。 许多黑客更会利用智能电视从事刺探与监视的活动。

  嵌入式传感器系统最近才开始搭载联网功能,其存取门户也开始曝露在因特网中。 作为工业物联网(IIoT)的一部分,这些传感器少了网络服务器过去20年在充斥攻击的环境中所经历的演化,因此业界开始观察到,1990年代以及更早之前各种常见的攻击,发生在这些系统上。 IIoT系统的生命周期通常比传统计算机还要长,有些装置在部署后会持续运行数十年之久,但却不知道何时才会维护。

  服务器与PC的构造够复杂,能执行安全资源供应的动作,反观IIoT节点其功耗和处理能力通常都偏低,因此很难腾出耗电预算来执行安全措施。 维安本身就是一种取舍,而且还须考虑研发成本。 虽然工业物联网的成本一般都高于消费型物联网,但在进行扩充方面仍会面临成本的挑战。 如果忽视安全,产品在部署之后可能因遭受攻击面临潜在的冲击,这些善后成本最终还是会回到用户身上,无法避免。

  传感器与致动器让工业物联网装置能和现实世界进行互动。 网络攻击大多数局限于数据流失,然而工业物联网入侵攻击手段让黑客比过去更容易渗透到现实世界领域。

  这些攻击有可能造成实体的损害。 在工业物联网领域更为显著,一次故障就可能导致价值数百万美元的工业制程停摆甚至毁坏,或是导致危及性命的状况。

  联网带来攻击风险 节点安全须多考虑

  工业物联网装置大多连到某种网络,通常会是因特网。 然而这样的链接却也让它们曝露在攻击的风险下,就像流行病一样,藉由和其他机器的接触发生传染,使病毒得以散播。 系统和外部世界进行互动的途径,都可能成为攻击的门路。 攻击者之所以能和系统互动,都是因为它们有联网的管道。 因此系统设计安全面临的第一个问题就是:装置是否真的有必要连上网络? 一旦连上网络,安全风险就会直线攀高。

  要保护好系统,最好的方法就是避免让它连到网络,或限制仅连到封闭式网络。 许多任务业物联网装置会连上网络,仅是因为它们具备上网功能,但上网的背后却没有太多目的。 装置联网获得的利益是否抵得过伴随而来的安全风险? 此外,任何和这些联网装置有互动的旧系统,也都会面临风险。

  在许多情况下,有很多网络与节点若是没有和外部链接就能确保安全无虞,但它们却有必要和旧的既有网络互通并存,不过这些旧网络本身的安全性却远不及新系统。

  这衍生出一个新问题,这种防御力最弱的安全风险,超出工业物联网系统能够影响的范围之外。 在这种情况中,处在网络中的工业物联网系统还必须保护自己。

  节点的安全考虑因素

  . 机密性:

  保护数据不会泄露给未经授权的人士,例如发动欺骗式攻击的人士。

  . 鉴别:

  使用数字证书检验两部机器之间的对应身分。

  . 安全开机:

  ROM开机程序内存放第二阶段启动加载程序的验证数据。

  . 安全韧体更新:

  只接受制造商授权的程序代码。

  . 授权:

  只允许真正节点能存取网络。

  . 完整性:

  保护数据免于被变更。

  . 统计:

  适当地统计数据、节点数量、以及时戳,有助于防止有人力存取IIoT网络。

  . 安全通讯:

  各种加密通讯协议能建置于低功耗节点内。

  . 可用性:

  确保用户只在有需要时进行存取。

  . 不可拒绝:

  确保真实的通讯要求不能被拒绝。

  . 可靠:

  即使在充斥干扰的电子环境,存取作业仍然可靠。

  图1 伪冒的节点让网关误以为它是一个已知节点

  系统隔离阻恶意软件传播

  将各系统彼此隔开,不仅能减少攻击的门路,还能限制恶意软件的传播。 有些系统不需要和其他曝露在网络的系统进行链接,那么这些系统就能被隔离。 针对高风险系统,可以考虑设定单独隔开或严密监视的网络,并将该网络和其他网络隔开。 在理想的状况下,关键系统应和外界完全隔离开来。

  联网汽车的信息娱乐系统会让车辆曝露在许多从未见过的新型攻击手法之下。 主引擎控制单元(ECU)和信息娱乐系统完全没有关连,因此外界应该没有途径透过信息娱乐系统来和ECU进行互动。 虽然一般车辆的设计会用两个CAN总线将最关键的系统和其他部分隔离开来,但还是有办法透过某些方法进行链接。 外界仍有可能渗透其中一者,然后再取得另一个系统的控制权。 如果这些网络之间彻底隔离,被渗透的风险就能从可能致命大幅降低至较低的损坏程度。

  机密信息边缘即处理保安全

  许多任务业物联网系统会连接到云端服务器,这些服务器除了会处理从装置送来的信息,还会管理这些装置。 由于装置数量持续扩增,云端需要应付如此庞大装置也变得越来越吃力。 于是许多系统开始将处理工作向外移到网络边缘的IIoT装置,藉以减少送至云端的数据流量。

  我们通常将数据看作是资产。 数据经过挖掘后移转,之后再从庞大的数据集中找出隐藏其中的模式。 不过,一开始搜集但尚未处理的数据,通常其用处并不大,但对于黑客而言,这些数据却相当有用。 敏感数据会成为黑客的目标,因而变成一种负担。 搜集来的数据应先加以过滤,而仅留下有需要的部分,其余的部分则应该尽速删除。 这种作法不仅能提高安全,还会增加收集数据的实用性。 重要的是,须辨识可能具机密性的信息,并彻底删除或限制其储存量。

  在网络边缘立即处理数据,传送到云端与暴露在云端上的数据其数量就会减少。 边缘产生的数据传送得越多,就越难保持其机密性。 每多出一个新节点,就会多出一个数据外流的潜在漏洞,攻击门路也会随之快速增加。

  将敏感的数据局限在网络边缘能限制攻击门路的数量,机密数据尤其适用。 如果将机密数据围堵在网络边缘节点不外传,被窃取的可能性就会降低。 举停车位传感器为例,它在处理影像后会透过一个二进制讯号通报车位已被占用,而不会回传串流视讯,如此就不必传送庞大但没有必要的影像数据。 这种作法能减轻接收服务器的负荷,而且黑客也无法藉由截收视讯的方式进行监视。 类似于消费型物联网系统,工业物联网系统也必须保存涉及专利以及机密性的信息,其中包括:

  . 专利算法

  . 嵌入式韧体

  . 顾客信息

  . 金融信息

  . 资产位置

  . 设备使用模式

  . 涉及竞争的情报

  . 连接至更大规模网络的管道

  有些工业物联网装置仍缺乏足够的威力与效能,无法应付在网络边缘处理数据的需求。 于是另一种拓扑就应运而生,这就是贴近地面的雾运算(Fog)模式,其为介于云端与边缘系统之间的模式。 在Fog模式中,边缘节点会先链接到网关,这个网关会接收数据并进行一些处理作业,然后将结果传到云端。 一部网关可能链接多部IIoT装置。 这种网关并不一定要采电池供电方式,因此在处理电力方面有更高的用电预算,而其成本也高于资源受限的IIoT装置。

  Fog模式虽然是因扩充问题而崛起,但安全也扮演一定的角色。 网关装置能协助保护脆弱的边缘节点,这些节点资源过于有限无法自我防护,但一定程度的保护总胜过完全不设防。 网关可用来协助管理底下的所有节点,但不是直接管理每个节点。 Fog模式也能配合IIoT的事件响应,同时避免服务受到干扰而中断。 举例来说,维安作业可透过和网关的互动做出反应,毋须关掉负责关键任务的生产线。

  图2 可能感染工业物联网系统的各种类型恶意代码

  资源供应与部署挑战险峻

  工业物联网最严峻的挑战中,包括部署与管理数量极庞大的装置。 广布各处的工业物联网系统,最为人诟病的,就是难以布建与设定。 再加上IIoT极长的生命周期,系统由某个团队布建后,经过长年的运作,然后可能转由另一个团队负责支持。

  IIoT系统在默认状态下由于验证机制薄弱,因此安全性欠佳。 正如我们在Mirai强尸网络所看到的情况,大多数用户从来不会登入到工业物联网装置去设定它们,甚至根本不知道应该进行设定。 大多数IIoT用户都以为装置拆箱后就能立即上线使用,系统在默认状态下原本就应安全无虞。 这类应该进行设定但用户从未执行设定的装置,就从此维持在出厂时的预测状态。 最常见的错误就是防护力极弱的默认密码。

  在工业物联网领域,网络边缘得到最多的关注,但千万不可忽略云端或是系统中的服务器。 针对服务器常见漏洞进行测试,像是跨站点的描述指令,SQL注入攻击、跨站点伪冒等,另外还得研究API找出漏洞,确保在服务器上运行的软件都能及时安装修补程序。

  在网络上传输的数据必须妥善保护,否则就可能被拦截并进行恶意的窜改。 应采用如TLS或SSH这类安全译密通讯协议来保护传送数据。 在理想状态下,数据应受到端对端的全程保护。

  工业物联网的边界通常很模糊。 IIoT传感器节点通常四处分散在网络的边界。 一般的作法是透过一个固定式网关,作为进入更大规模工业网络的入口。 针对这些连至网络的装置执行适当的身分验证,有助于防范恶意第三方窜改传送中的数据。

  要保护网络传输数据,涉及到使用安全通讯协议。 最好的作法应采用已知安全无虞的标准通讯协议。 我们可利用IEEE 802.1AE MACsec在以太网络LAN提供安全机制。 无线局域网络面临的风险比较高,因为它们更容易被存取且讯号四处传播。 WPA2能为遵循IEEE 802.11标准的无线网络提供安全机制。 无线IIoT解决方案通常采用低功耗IEEE 802.15.4标准,此标准本身就提供全套安全通讯协议。 然而这些都属于Layer 2通讯协议,而且仅针对局域网络内的传输流量提供保护。

  受保护的流量必须转送到LAN以外的环境,像是透过因特网转送,因此需要更高层的通讯协议来提供端至端全面覆盖的安全性。 一般都会运用TLS来保护因特网上的流量,以及提供端对端的安全防护。 TLS采用的是TCP技术,而许多物联网装置则是采用UDP协议进行通讯,另外常用的还有DTLS(数据元传输层安全),则是透过UDP协议传送数据。 物联网装置在供电与内存方面受到限制,但大多数受限制的应用仅需简单的步骤就能建置TLS。 即使条件更为受限的装置,IETF也已着手为其制定名为受限应用通讯协议(CoAP)的新通讯协议。

  感测节点建置防护 抵御端点装置安全

  保护传送中的数据不仅重要而且必要,但许多攻击行动却更常锁定端点装置。 连至网络的接口必须加强防御以弥补各种防御缺口。 IIoT防御其中一种作法,是直接在传感器节点装置建构防护机制。 这种方式提供第一层关键防线,因为装置不再依赖企业防火墙作为其唯一的保护机制。 这对企业行动装置以及部署在偏远位置的IIoT传感器尤其重要。

  IIoT装置的安全解决方案必须提供足够的保护,以抵御各种网络攻击。 这类解决方案除了必须确保装置韧体不会被窜改,还得能保护装置内储存的数据;保护传入与传出的通讯;以及能侦测与回报任何尝试渗透的网络黑客。 而唯一能达成上述目标的方法,就是在设计初期阶段便纳入安全规画。

  对于嵌入式装置而言,永远不会有万用式的安全解决方案。 市面上的解决方案为OEM厂商提供泛用式框架。 然而,完整的安全框架必须考虑保护特定装置、网络、以及整个系统所需的各项核心功能。 它们必须具备足够的弹性,除了针对任何特定需求对解决方案进行客制化设计,同时还要确保纳入关键的安全功能。

  写保护模式助系统感染后复原

  在医疗领域中,手术工具的消毒至关重要,除了让工具能重复使用,还能避免传播疾病。 高压蒸气灭菌锅是消毒的标准器材,它在高压环境中透过超高温蒸气快速对手术器具进行消毒,藉此消灭所有细菌,让器材回复到良好状态。 外科医生用过的手术刀经过这样的消毒程序后即可重复使用。

  系统被渗透之后回复到已知良好状态,这要比让系统能抵御所有攻击还更为重要。 具备复原能力的系统能快速复原,并且在充分信心的状态下回复运行。

  系统一旦被感染后,如何要消除感染? 当系统被感染时,系统的状态会经由一些不明方式被变更。 从远程发动的渗透会掌控处理器,然后将新的恶意代码置入到系统。 通常恶意代码会窜改或更换韧体,让系统以不同的方式运作。 一旦发生这种状况,处理器就不再能被信任。

  嵌入式系统通常设计成难以从被渗透的状态进行可靠的复原。 要对系统消毒,并确定系统彻底无害,唯一的方法就是将所有非挥发性内存内的数据复制到外部读取装置,之后再和原始韧体的内容进行比对验证,如果确定没有被窜改,再以原始内容写入。 大多数系统的设计,都无法具备上述的功能。

  其中一种保护系统完整性的方法,就是以机器开关的物理方式为非挥发性内存提供写入保护。 当开关切换至写保护模式,内存就透过硬件提供物理性的保护。 内存的控制力移出到处理器以外,如此一来黑客如果无法实体接触到装置就无法从远程将长驻型(Permanent)恶意代码写到内存。 对于只能透过因特网连到装置但却无法实际接触到装置的黑客而言,上述这种方法能挡掉大多数这类型黑客一段很长的时日。 韧体更新通常很久才会执行一次。 当需要更新韧体时,用户可以将开关切至允许写入内存模式,授权更新程序,当完成更新后马上再切换至写保护模式。

  许多装置还会用非挥发性内存来储存需要覆写的数据。 在高度安全的系统中,会用另一个非挥发性内存芯片来储存数据,但不会存放程序。 虽然黑客可能会攻入系统,将恶意数据写入这个内存,并利用软件的Bug,因此系统应事先进行彻底分析与测试,不论内存内存放什么数据,系统都不会被攻破。 加装额外的内存芯片会提高成本,不过市面上已有某些闪存允许用户将某些区域设为防止写入,其余区域仍允许写入数据。

  图3 中间人攻击(Man-in-The-Middle)会在节点与网关之间安插一个恶意的存取点(Access Point)。

  安全开机程序防止未授权软件安装

  安全开机能防止未经授权的软件在装置开机程序中被加载到装置。 安全开机是信任链的起点。 安全开机一开始是第一阶段开机程序(Bootloader),从节点的只读式非挥发性内存启动。 这个开机时序唯一工作就是验证第二阶段开机程序的身分真实性。 第二阶段开机程序通常较为复杂,可能储存在可覆写闪存,重复执行开机程序。 它会根据可信任来源验证操作系统与被加载的程序是否有效。

  具备安全开机与安全韧体更新功能的IIoT节点,可确保装置运行经授权的程序代码不会被窜改或注入恶意代码,这种方式可避免装置被永久置入恶意软件或程序。 装置只会运行未经窜改的程序,否则就无法开机。

  安全开机程序通常依赖数字签名来保护程序代码的真实性。 装置OEM厂商在组装时会使用自己的私有密钥来签署程序代码映像。 程序代码之后再利用OEM厂商的公开密钥验证韧体映像的签章。

  另外程序代码还会运用对称式译密机制,用讯息鉴别码(MAC)来保护程序代码,不过装置内必须存放私有密钥,但这也会衍生被窃取的风险。 就运算方面而言,使用MAC是比较容易的方法。

  虽然安全开机能增进安全,但有时也会对终端用户形成过多限制,因为它会让用户无法变更在装置上执行的软件,或是无法执行自己的软件。 依照应用的不同,用户可能需要更多弹性,以及能够设定保护开机的方式,使其能信任自己的程序代码。

  安全韧体更新,类似安全开机,在升级程序时会验证新程序代码映像是否由OEM厂商签署。 如果下载的映像无效,程序代码就会被弃置,升级程序就会中止。 这种更新程序只会接受有效的映像,通过鉴别的韧体会储存到装置的内存。

  假设防御漏洞终究会被发现,那么事先应拟好计划,设定好一旦发现或不幸被渗透时该如何解决这些漏洞。 通常需要一个途径让软件更新或修补程序能安装到装置,藉以修补漏洞。 更新程序需要妥善执行,避免成为另一个攻击门路,让黑客藉此将恶意代码装入到装置。 只是为了安装修补程序让外界能透过网络存取装置,其衍生出的风险往往多过规避掉的风险。

  图4 物理写入保护韧体,仅在执行更新时放行,这种方法能有效保护装置的完整性。

  安全通讯协议防范窃听

  大多数工程师将安全联想到通讯协议,像是SSL/TLS、SSH、以及IPsec,因为安全通讯早已被加入到许多嵌入式装置。 然而,这只是安全威胁的其中一部分,其他攻击门路还会提供新的渗透途径。 许多IIoT传感器节点会在低功耗组态下运行,然而这类低功耗处理器并无法支持最佳选项,像是TLS或IPSec。 对于建构安全装置而言,安全通讯协议提供一个很好的起点。 它们设计用来防范封包窃听、中间人攻击、重送攻击(Replay Attacks)、以及未经授权人士尝试与节点通讯。

  小型IIoT边缘传感器装置通常采用如ZigBee、蓝牙低功耗(BLE)、以及其他无线与网状拓扑的无线网络协议。 这些通讯协议都内建一定程度的安全性,但相对而言其防护力都偏弱。 许多漏洞都公诸于世,老练的黑客都了如指掌。 微型IIoT装置通常使用极低成本的低功耗处理器,而这类处理器并不支持TLS或IPSec。 对于小型边缘装置而言,在UDP协议上运行TLS的DTLS,可用来保护通讯。

  物理攻击多锁定前端感测

  物理攻击锁定的是实际的网络边缘硬件节点或IIoT系统的网关,这类攻击可能包含入侵前端传感器。 这些攻击通常需要实际接触系统,但也可能只是限制IIoT硬件的效率。 黑客会窜改节点,藉以控制传感器或IIoT环境的其他装置。 得手后他们可能取出机密数据,并从来源端将韧体程序代码写入到系统。 运用注入恶意节点的策略,黑客可将恶意节点部署在合法节点之中,混入到IIoT网络内。

  为协助防范这些攻击,许多硬件在设计时间就预作防备。 透过前导装置、外露铜导孔或未使用接头,就能让任何人轻松进行实体探测,这类的设计应尽可能少用甚至完全弃用。

  硬件表面上的网版印刷经常会列出组件的详细信息,让潜在黑客获得更多讯息,因此若非真的有必要,否则就应移除。 虽然这会增加系统复杂度,但符合工业规范的涂层不仅会阻隔硬件与组件的接触,也会增加额外的步骤,防止他人直接探测电路板上的电子组件。

  任何嵌入式非挥发性内存的内容都应进行加密,以及对组件内的内容进行覆写保护。 微控制器与DSP装置之间的接口应设在PCB的埋入式电路层内。 即使须要检索嵌入式内存的内容,经过加密与验证程序的数据,也会让外流的内容无法被解读。

  制造商通常会在硬件加入除错或测试埠。 这些埠通常是串行或JTAG,能包含;存取与控制大多数系统。 应确保这些链接埠在生产时关闭功能或加上保护,因为光是不要预留除错接头(Debug Headers)还不够,不怕麻烦的人可以自行在针脚焊上链接点。 如果需要在生产装置时保留这些接口,就须先对这些接口进行验证才允许使用。 它们应设有密码保护,但也要确保让用户能设定高防护力的密码。

  随机数生成挑战多

  译密功能通常需要某种类型的随机数生成器(RNG)。 需要透过随机随机数让生产的密钥难以预测,或是永远不会重复。 由于缺少资源与无序状态的熵(Entropy),因此对于资源有限的嵌入式系统而言,要生成随机数都会是极大的挑战。

  许多嵌入式系统面临熵过低的问题,这可能会导致灾难性的渗透,像是台湾国民ID智能卡。 研究人士发现由于缺少无序性,许多智能卡会从相同数字产生有关连性的密钥。 因此,尽管有使用强大的随机数生成器,外界还是能破解密码。 类似的状况,在2012年,研究人员发现公开密钥服务器发布的RSA密钥使用防御力过弱的随机数生成器,导致他人有办法破解密码。

  要验证RNG的强度,其难度很高甚至几乎不可能。 以往的RNG设计都极具特殊性,外界对其了解甚少。 不过近几年来,各界对强健译密的随机数生成器的设计以及正式分析,已经累积相当的进展。

  目前健全的RNG设计通常有三个阶段。 包括一个熵来源提供原始熵(Raw Entropy);一个熵撷取器(Entropy Extractor)让熵呈现均匀分布;以及扩充阶段,扩充小量可用的熵。

  第一阶段是熵来源,可能是一些实体噪声来源,像是频率抖动或热噪声。 某些处理器,像是ADI Blackfin DSP,能为硬件提供随机数生成器,可用来产生熵。

  用来译密的随机数必须在统计上呈现均匀的分布。 所有熵来源的偏差(Bias)量必须一致,而且在进行译密应用之前还必须消除这个偏差。 方法是使用一个熵撷取器,用高熵(High Entropy)取得非均匀分布的输入,然后产生高熵的均匀分布输出。 但这种方法的代价是一定程度的熵损失(Entropy Loss),因为熵撷取器需要熵的输入高过输出。 因此就得从熵来源搜集更多位,然后萃取出较小的高熵数字,用来作为种子,输入到译密安全的虚拟随机数生成器。

  利用瑕疵发动渗透

  几乎所有IIoT节点都必须配合某种类型的嵌入式韧体或算法一起运行。 就功能上而言,在执行要求时如果若没有出现明显的问题,这种韧体就能顺利运行。 但所有软件总是会存在一定的Bug或缺陷,因此通常会允许小比例的异常运行状况,但这类状况可能导致安全上的问题。 举例来说,99.99%无错率的韧体几乎很少会造成任何运行上的问题。 但这个仅0.01%的出错率仍可能被黑客利用,让特定节点的运作100%完全失效。 许多软件的Bug因复杂度而起,然而对于任何执行实用任务的系统而言,复杂是必然的特性。 软件Bug与漏洞在所有系统中都必定存在。

  安全必须从系统设计一开始就纳入考虑。 安全应该是设计流程的一部分,而不是项目最后才进行的工作。 安全不是加入安全功能;而是在于控管风险。 安全设计方法对于任何IIoT系统开发而言都至关重要。

  现有的安全设计策略仍然适用。 运用威胁模型分析找出各种风险,然后选择适合的风险抑制策略;找出系统的切入点,从而发掘系统中的高风险区域。 大多数攻击门路都是透过外部接口,因此应检讨设计内容发掘出安全漏洞。 同时应审慎处理未知数据与验证所有输入,验证与安全防护不应局限于切入点。 而深层防御也是至关重要的,其意味着一旦外部防护层被攻破,其余每个防护层都有其必要性。

  许多处理器提供不同层级的权限。 例如ARM拥有Trustzone以及ADI Blackfin DSP提供用户层级的封闭模式,以及特权执行模式。 大多数程序代码应尽量以最低权限执行,藉以让最重要的程序代码以特权模式执行。 IIoT装置的安全需求必须考虑到安全失效的善后成本,像是攻击的可能性、主要的攻击门路,以及建置安全解决方案的成本。

  图5 利用小缺陷迫使系统100%时间失效

  安全设计流程需求多

  这些建议中,有许多不仅彼此冲突,甚至和系统的其他设计目标相互矛盾。 提供安全通常涉及到某种取舍,通常是在成本、功能、抑或是使用功能之间做取舍。 有些取舍相当有效但代价却甚低,但有些则是代价高昂但回报甚少。 安全需求实须和设计的其他需求取得平衡点,在安全设计流程中,应根据应用的性质做出适合的判断。

  为协助保护IIoT,ADI已经推出多款处理器,提供硬件式安全强化机制,协助突破边缘节点的功能极限。 ADF7023 RF低功耗收发器即提供内部AES加密功能,能使用ISM频带,并支持许多不同的调变机制。

  ADuCM3029内的嵌入式收发器提供AES与SHA-256硬件加速机制以及一个真实随机数生成器,并配备有多重同位(Multiparity)保护功能的SRAM内存。 ADSP-BF70X Blackfin系列数字信号处理器则针对安全密钥储存以及快速安全开机提供嵌入式一次程序化内存,提供高度保障,确保系统在被渗透后仍能回复至已知良好状态。

  Blackfin DSP内的回退(Rollback)保护机制配合硬件式的纯递增计数器,让韧体能够进行升级,在当出现防御漏洞时可加以修补。 再加上密钥储存的不可改变性,让用户能建构强固且具回复力的边缘节点。 此外,Blackfin DSP还提供译密硬件加速器;一个硬件式真实随机数生成器;隔离的特权与非特权程序代码执行模式、内存管理单元,以及能限制DMA信道的存取,让系统以低成本的平行模式运行省电且安全的DSP。