在设计、开发和部署具有互操作性、安全且可靠的工业因特网时，几乎每个工业领域中的工程组织机构都不缺少指导方针。

特别是工业因特网联盟(IIC)和工业4.0工作小组都制订相应的指南和建议，分别是工业因特网参考架构(IIRA)和工业4.0参考架构模型(RAMI 4.0)。鉴于这些档案内容的相似性，两种架构之间必然存在相同和重复的内容，这在针对两大组织之间共同合作的现场讨论中即可反映出来。

两大机构都坦承，强大的安全性是工业物联网(IIoT)的基本要求。事实上，IIC最近推出了工业因特网安全架构(IISF)，提供在这方面的指导原则，同时，随着两大组织不断深入合作而在许多领域达成一致，安全已经被公认为是一个关键问题。

安全挑战可以被视为在一个虚拟的生产工厂中，对系统的基础设施存在许多要求。传感器为操作人员提供了接近实时校勘有关其所有资产的各种位置、方位、速度、温度、压力、锁定状态和振动等数据的能力。

在更高的安全层级，可以根据这些数据的变化或不同的生产要求，对工艺工厂设置或甚至固件进行远程更新。而生产数字和获利能力更显示出不同商业类型面临安全问题；敏感信息必须要与传感器的工程数据分开。

图1显示RAMI 4.0如何将这方面的考虑归纳为3D矩阵——由不同的分层、生命周期与价值流程，以及层次结构共同组组成。

图1：工业4.0的参考架构模型(RAMI 4.0)

这与IIC IIRA模型中描述的“功能域”和“观点”不谋而合(图2)。

图2：IIC功能域和观点描述

为了理解如何为两种机制更有效地提供安全基础，最好的方式是说明这两种归纳结果代表了传统上各自为政的信息技术(IT)和操作技术(OT)的融合。传统的OT包含利用隔离形成的内建安全性，而IT安全专注于保护企业资产。将二者结合在一起时，将会暴露出两种系统的安全问题，因为融合相当于提供了一种潜在的方式存取各自较疏忽之处。

因此，很显然地，不管两种架构之间存在什么样的差异和相似性，两个域彼此之间的隔离是任何兼容性建置的一个重要特性。尤其是数据的划分极其重要，目的在于让数据只保留给知情的一方存取。

专为控制和限制存取信息的安全中介固件解决方案，显然在这样的系统中扮演着潜在的角色。但他们只是复杂软件阶层中的一个组件，如果建置在不够安全的基础设施上，那么它们所提供的任何保护会立即失效。值得争论的是，IT领域中盛行的复杂、单一软件堆栈由于原本具有较大的攻击面，在应用到OT领域时将无法提供需要的安全等级。换句话说，建置任何可行的解决方案都需要安全且无需绕行的基础，以支持中间件提供的隔离作用。

也许关键点是，数据是使得IIoT成功且安全工作的推手。这意味着系统中固有的价值是在端点创造的——无论是会计的数据库还是传感器的温度读数。因此，确保它们尽可能安全是十分合理的想法。

为了不牺牲这些不同的数据源，IIoT的基础必须为OT提供确定的安全性、弹性和可靠性，而且必须提升受保护的隐私和安全等级，以保护整合方案的IT侧。相反地，IT侧必须确保改善弹性和安全等级，以搭配其在隐私性、安全性和可靠性等方面的良好记录。

如果所有这些互连系统都从头开始设计，而且设计时考虑到这种连接性，那么所有的目的都可以达成。但很显然这并不是实用性主张！更好的建议是透过基于隔离核心的网关来保护端点本身。

隔离核心

虽然这种方法所根据的原则对于工业领域来说还比较新，但在其它领域已经非常成熟了。隔离核心用于保护政府通讯系统的机密信息已经有近10年的时间了，所以非常值得借鉴这种学术性理论的成功之道。

隔离核心的概念最早是John Rushby在1981年提出来的，他认为，“应该将硬件和软件结合在一起，以便在共同的实体资源上实现多种功能，而不至于发生有害的相互干扰。”这种方法的优点确实令人信服，以致于隔离核心的原则形成了多级独立安全(MILS)计划的基础。

同样地，在30年前，Saltzer和Schroeder就建议“系统的每个程序和每个用户都应该使用完成任务所需的最小权限进行操作”。这种简单而又常用的“最小权限”(least privilege)原则在重要性不同的应用彼此紧密执行时变得势在必行。

因此，隔离核心和最小权限的概念着重于模块化的优势，前者重点在于资源，后者则强调系统功能——这是Levin、Irvine和Nguyen在其“隔离核心中的最小权限”一文中提出这两个概念融合时所强调的要点。

图3：在隔离核心模块上迭加最小权限原则，可根据主体与资源精确地形成流程控制

图4显示在隔离核心“区块”(block)上迭加最小特权“主体”(主动的、可执行的实体)和“资源”，显示可根据主体与资源支持流程控制。

图4：简化隔离核心的实际应用

硬件虚拟化

虽然隔离核心和最小权限的原则早已建立，但早期的建置试图依赖于软件虚拟化层，这通常会导致性能不稳，而且无法支持实时应用。虚拟化曾经在企业领域的流行之势不可挡，使得芯片设计公司(包括Intel、AMD和ARM)不断地增加每个CPU上的核心数量，并在硬件中建置对于虚拟化的先进支持。从那时起，隔离核心才从只是一种纯理论想法转变成一种真正实用的方法。

市场上有几种嵌入式虚拟机管理程序(hypervisor)产品，致力于在修订后的操作系统(OS)架构上达到类似的目标。然而，为了使隔离核心的安全认证达到优化，必须部署最小权限原则，以尽量减小受信赖运算基础(TCB)及其表面攻击，从而优化网关提供的保护。

隔离核心的实用性

考虑到实用性，以用于产生生产数据的机床为例(图5)。这些数据必须透过云端与待命的工厂工程师共享。在此例中的云端面主体可能是一个通用的操作系统，例如Windows或Linux。也许这种操作系统容易受到自称黑客者的攻击。但重要的是黑客不能存取工厂面的主体——也许是一个实时操作系统(RTOS)或裸金属应用——即使云端面的主体受到威胁。依照最小权限原则建置的隔离核心具有几个关键属性，可以在这种场合得到优化的结果。

快速　为了获得接近原有的性能，隔离核心必须导入尽可能少的开销，并尽量发挥硬件的虚拟化功能。

轻量　确保诸如驱动程序、I/O和流程管理等操作系统功能由项目所接管，隔离核心将变得非常轻量，而且较不容易受到攻击。

实用　隔离核心将透过向主体提交“虚拟主板”以支持传统软件的重复利用，从而使这些主体的安装和执行像原有的一样。

安全　静态分配可以确保隔离核心在完成搭建和部署后不再变化，并具有最佳的小攻击面。

物联网端点

我们很容易就能了解如何在简单的机床范例(图4)中建立原则，而这也可应用于保护IoT端点。图5说明了任意数量的数据源和IT世界之间的接口如何受到基于隔离核心的IoT网关保护。

图5：利用隔离核心保护IoT端点

在这种场合中，工厂面对“受信任主体”的原则可进一步扩展，以支持平台配置管理、监测与分析等服务，以及支持闲时数据(DAR)和移动数据(DIM)的裸金属安全服务(如加密)。安全启动技术确保了网关在启动时不至于较执行时更易于受到攻击。

图6：IoT端点面临的IISF威胁和弱点

此外，利用经验证的隔离核心技术，所开发的IoT网关可为基于IIRA或RAMI 4.0的兼容性解决方案提供了理想的基础，因为它具有安全认证、使用效率高，更实际的是，它能够支持传统软件。

关注最前沿的电子设计资讯，请关注“电子工程专辑微信公众号”。