针对工业4.0的安全软件基础

在设计、开发和部署具有互操作性、安全且可靠的工业互联网时，几乎每个工业领域中的工程组织机构都不缺少指南。

特别是工业互联网联盟(IIC)和工业4.0工作小组都制订有相应的指南和建议，分别是工业互联网参考架构(IIRA)和工业4.0参考架构模型(RAMI 4.0)。鉴于这些文件内容的相似性，两种框架之间必然存在相同和重复的内容，这在有关两大组织之间合作的现场讨论中就有所反应。

两大机构都承认，强大的安全性是工业物联网的基本要求。事实上，IIC最近推出了工业互联网安全框架(IISF)来提供这方面的指导，并且随着两大组织不断深入的合作，在许多领域达成一致，安全已经被公认为是一个关键问题。

安全挑战可以被看作是一个虚拟的生产工厂，对系统的基础设施有许多要求。传感器向操作人员提供了接近实时地校对有关他们所有资产的位置、方位、速度、温度、压力、锁定状态和振动等数据的能力。诚然在更高的安全等级，可以根据这些数据的变化或不同的生产要求对过程工厂设置甚至固件进行远程更新。生产数字和盈利能力呈现出不同的商业类型面临的安全问题；敏感信息要与传感器的工程数据分开。

图1显示了RAMI 4.0是如何将这方面的考虑抽象为三维矩阵的，这三维矩阵分别是层次、生命周期与价值流以及层级。

图1：针对工业4.0的参考架构模型(RAMI 4.0)。

Life cycle & value stream: 生命周期&价值流
Hierarchy levels: 层次结构
Layers: 层级
Business: 业务；
functional: 功能；
information: 信息；
communication: 通信；
integration: 集成；
asset: 资产
Type: 类型；
instance: 实例；
development: 设计；
maintenance/usage: 维护/使用；
production: 生产
Connected world: 互联世界；
enterprise: 企业；
work centers: 工作中心；
station: 站；
control device: 控制设备；
field device: 现场设备；
product: 产品

这与IIC IIRA模型中描述的“功能域”和“观点”不谋而合(图2)。

图2：IIC功能域和观点描述。

为了理解如何为两种机制更好地提供安全基础，最好是说明这两种抽象结果代表了以前各自为政的信息技术(IT)和操作技术(OT)的融合。传统的操作技术包含借助隔离形成的内在安全性，而信息技术安全专注于保护企业资产。将这二者结合在一起将暴露出这两种系统的安全问题，这是因为融合相当于提供了一种潜在的方式访问各自不在意的地方。

因此很明显，不管两种架构之间存在什么样的差异和相似性，两个域彼此之间的隔离是任何一致性实现的一个重要特性。尤其是数据的划分很重要，目的是使数据只能给知情的一方访问。
设计用于控制和限制访问信息的安全中间件解决方案显然在这样的系统中扮演着潜在的角色。但在复杂的软件层次中它们只是其中一个组件，如果它们是在不安全的基础设施上实现的，那么它们提供的任何保护会立即失效。值得争论的是，信息技术领域中流行的复杂且单一的软件栈由于具有固有的大攻击面，在应用到操作技术领域时不能提供要求的安全等级。换句话说，任何可行解决方案的实现层都要求安全且不可绕行的基础来支持中间件提供的隔离。

也许关键点是，数据是使得IIoT成功且安全工作的助推器。这意味着系统中固有的价值是在端点创造的——不管是会计的数据库还是传感器的温度读数。

为了不牺牲这些不同的数据源，IIoT的基础需要向操作技术(OT)提供确定的安全性、弹性和可靠性等级，而且必须提升受保护的隐私和安全等级，用以保护结合起来的信息技术(IT)侧。相反，信息技术侧需要确保改进的弹性和安全等级，以便匹配其在隐私、安全和可靠性方面的良好记录。

如果所有这些互连系统都是从头开始设计的，并且设计时很注意这种连接性，那么所有这些目的都是可以达到的。很明显这不是实用性主张！更好的建议是通过基于隔离内核的网关来保护端点自身。

隔离内核

虽然这种方法基于的理论对工业领域来说也许还比较新，但在其它领域已经是非常成熟了。隔离内核用来保护政府通信系统中的机密信息已经有近10年的时间了，所以非常值得借鉴这种学术性理论的成功之道。

隔离内核的概念最早是John Rushby在1981年提出来的，他认为，“应该将硬件和软件结合在一起，以便在一组公共的物理资源上实现多种功能，并且不发生有害的相互干扰。”这种方法的优点是如此令人信服，以致于隔离内核原理形成了多等级独立安全(MILS)计划的基础。

同样，还在30年前，Saltzer和Schroeder就建议“系统的每个程序和每个用户都应该使用完成任务所必需的最小特权进行操作”。这种简单而又常用的“最小特权”方法在重要性不同的应用彼此相近运行时变得势在必行。

因此隔离内核和最小特权的概念是模块化优势的核心，前者重点在资源，后者重点在系统功能——这是Levin、Irvine和Nguyen的论文“隔离内核中的最小特权”中强调的一个要点，在论文中他们提出了这两个概念的融合。

图3：在隔离内核块上叠加最小特权原理可以在项目之前和资源之前形成精细的流程控制粒度。

Exported resources: 输出资源
Internal resources: 内部资源
Block A: 块A
Subject: 项目
Resource: 资源
Separation kernel security function: 隔离内核安全功能

图4给出了叠加在隔离内核“块”上的最小特权“项目”(主动的，可执行的实体)和“资源”，并显示了对项目之前和资源之前的流程控制粒度的支持。

图4：简化隔离内核的实际应用。

Plant facing: 工厂面对
Cloud facing: 云端面对
Inter-VM communication: VM间通信
Separation Kernel: 隔离内核

硬件虚拟化

虽然隔离内核和最小特权原理早已有之，但早期的实现企图依赖于软件虚拟化层，这通常会导致性能不稳，并且不支持实时应用。是虚拟化在企业领域中不可阻挡的流行使得硅片设计公司(包括Intel,AMD和ARM)不断地增加单片CPU上的内核数量，并实现对硬件虚拟化的先进支持。从那时起，隔离内核才从只是一种纯理论想法转变成一种真正实用的方法。

市场上有几种嵌入式管理产品似乎在修改的操作系统架构基础上达到了类似的目标。然而，为了使隔离内核的安全证书达到最优化，必须部署最小特权理论来尽量减小受信任的计算群(TCB)及攻击面，从而优化网关提供的保护。

隔离内核的实用性

考虑到实用性方面，以用来产生生产数据的机床为例(图5)。这些数据后面是要通过云端与待命的工厂工程师共享的。本例中云端面对的项目可能是一个通用的操作系统，比如Windows或Linux。也许这种操作系统容易受到自称黑客者的攻击。但重要的是这些黑客不能访问工厂面对的项目——也许是一个实时操作系统(RTOS)或裸金属应用——即使云端面对的项目受到威胁。遵照最小特权原理实现的隔离内核具有几个关键属性，可以在这种场合得到最优的结果。

快速
为了获得接近固有的性能，隔离内核需要引入尽可能少的开销，并最大程度地发挥硬件的虚拟化功能。

轻量型
通过确保诸如驱动程序、I/O和过程管理等操作系统功能由项目所接管，隔离内核将变得非常轻，并且不容易受到攻击。

实用性

隔离内核通过向项目提交“虚拟母板”来支持传统软件的复用，从而使得这些项目的安装和运行像固有的一样。

安全
静态配置可以确保隔离内核在完成搭建和部署后不再变化，并具有最佳的小攻击面。

物联网端点

我们很容易了解如何利用在相当简单的机床例子(图4)中建立的原理来保护物联网端点。图5说明了任意数量的数据源和信息技术世界之间的接口是如何受到基于隔离内核的物联网网关保护的。

图5：利用隔离内核保护物联网端点。

在这种场合中，工厂面对的“受信任项目”原理经过扩展可以支持以下服务：平台配置管理，监视与分析，支持闲时数据(DAR)和移动数据(DIM)的裸金属安全服务(比如加密)。安全启动技术确保了网关在启动时不会比运行时更容易受到攻击。

本文小结

工业互联网联盟(IIC)和工业4.0工作组分别以工业互联网参考架构(IIRA)和工业4.0参考架构模型(RAMI 4.0)的形式制订了指南和建议。鉴于这些文档的类似性，它们之间有重叠也是很自然的事。

图6：物联网端点面临的IISF威胁和缺陷。

这两家机构都承认，强大的安全性是工业物联网的基本要求。事实上，IIC最近推出的工业互联网安全框架(IISF)就是用来提供这方面指南的。同时随着两家机构合作的深入开展，并在许多领域达成了一致意见，安全已经被认为是一个关键问题。

设计用于控制和限制访问信息的安全中间件解决方案显然在这样的系统中扮演着潜在的角色。但它们在复杂的软件层次中只代表了其中一个组件，如果它们是在不安全的基础设施上实现的，它们提供的任何保护将立即失效。

数据是使得IIoT成功且安全工作的助推器。这意味着系统中固有的价值是在端点创造的，因此确保它们尽可能的安全是合理的想法。

基于已被验证的隔离内核技术开发的物联网网关为基于IIRA或RAMI 4.0的一致性解决方案提供了理想的基础，因为它具有安全证书，使用效率高，更实际点说，能够支持传统软件。