0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

克服实施下一代10BASE-T1L现场仪表设计中的安全挑战

星星科技指导员 来源:ADI 作者:Christophe Tremlet 2023-06-27 10:37 次阅读

如本文所述,10BASE-T1L开启了现场仪表连接的新时代。通过在远程和本质安全环境中部署的现场仪表中添加高速以太网,过程工厂正在实现现代化,从而可以访问新数据并解锁关键见解,从而提高生产率,同时减少能耗和计划外停机时间。然而,随着这项技术的众多好处,新的网络安全挑战也随之而来。例如,与传统的连接手段(如4-20mA电流环路)相比,IP寻址能力现在从云端一直到边缘传感器,不幸的是,10BASE-T1L的实施增加了攻击面并为攻击者创造了新的机会。本博客重点介绍了一些新创建的安全漏洞,提供了有关安全设计指导,并探讨了ADI公司安全解决方案如何帮助现场仪器免受最常见威胁的侵害。

融合10BASE-T1L网络面临的挑战

第一类漏洞是由于网络基础设施本身造成的。由于 10BASE-T1L 是以太网型网络,因此无需网关即可连接到更高级别的企业网络。默认情况下,现场仪表直接链接到整个以太网公司网络,因为各种交换机不会在现场设备和网络的其他部分之间带来任何类型的隔离,而网关会。因此,每个现场仪器都成为各种恶意软件的入口门。

保护融合网络的三个良好实践

安全融合网络的良好实践包括:

分区制

对连接到网络的每台设备进行身份验证

确保每台设备都值得信赖

分区包括定义网络的子部分并将它们彼此隔离,以便将潜在恶意软件的影响限制在网络基础结构的一部分。IEC 62443 标准建议采用这种做法,但详细实施超出了本博客的范围。

保护网络的另一个基本方面是对尝试连接到网络的每个新设备的身份验证。它包括在授权任何网络交易之前检查设备是否为正版。远程对设备进行身份验证的现代技术依赖于公钥加密和证书,如此处所述。DS28S60和MAXQ1065是ADI安全认证IC,功能包括:

即使在功耗和计算资源最受限的设计中也能实现公钥加密

安全存储和管理公钥加密中使用的密钥和证书

我们将在本博客中进一步解释 TLS(传输层安全性)协议如何保护传输中的数据。TLS 包括我们刚刚描述的设备身份验证步骤。

第三,通过确保设备具有预期的配置并运行预期的软件来实现对设备的信任 - 没有不受控制的修改。安全启动是确保现场设备仅执行来自可信来源的软件的必要条件。这是通过验证固件的数字签名来实现的。同样,公钥加密是要走的路:固件在受信任的研发设施中签名,并使用ECDSA等非对称加密算法在现场进一步验证。如《安全启动和安全下载基础:如何保护嵌入式设备中的固件和数据》中所述,DS28S60和MAXQ1065等安全认证IC可以有效地满足这些要求。

更高带宽 10BASE-T1L 网络的挑战

除了10BASE-T1L网络的融合特性带来的挑战外,更高的带宽还会产生第二种潜在的安全漏洞。虽然不可能通过较慢的传统4-20mA电流环路将新版本的固件发送到现场仪器,但可以通过10BASE-T1L实现轻松完成。因此,使用与安全启动相同的技术保证升级固件的真实性和完整性绝对至关重要。配置和参数信息同样可以通过网络更新。此数据也很敏感,因为流氓参数可能导致设备故障。同样,数字签名将有助于保证这些敏感信息的真实性和完整性。

保护宝贵测量数据的挑战

除了增加部署恶意版本固件的风险外,10BASE-T1L实施的带宽增加还允许交换更多的过程数据。这些数据通常可以作为过程调节回路的关键输入,并负责触发关键的过程决策。这些数据需要得到保护。第一级保护应确保数据来自受信任的仪器,并且在传输过程中未被修改。这可以防止攻击者通过注入恶意、不受信任的信息来中断流程。数据的数字签名保证了真实性和完整性。如本文所述,ECDSA 是一种现代数字签名算法。DS28S60和MAXQ1065还设计用于计算传感器有效载荷数据的ECDSA特征。这些产品将现场仪器的主微控制器从密集的特征码计算中卸载出来。

wKgZomSaUySAEqx9AACPirWtd7w035.png

图3.测量数据签名

有时,披露测量数据可能会揭示有关工业配方的宝贵信息。在这种情况下,解决方案是对收集点和处理单元之间的数据进行加密。DS28S60和MAXQ1065可以计算会话密钥,进一步用作AES加密密钥。然后,根据所需的带宽和延迟:

将会话密钥和计算 AES 保留在安全 IC 中

将会话密钥传输到将运行AES加密的微控制器

IEC 62443-4-2要求保护通过网络交换的数据,如下所示:

必须在所有级别(1 到 4)支持加密数据的功能

级别 2 到 3 需要身份验证和完整性

TLS(传输层安全性)可以满足上述真实性、机密性和完整性要求。TLS 1.2 根据 RFC 5246 进行标准化,TLS 1.3 由 RFC 8446 定义。TLS还兼容Modbus等工业总线。

MAXQ1065带有完整的TLS堆栈。如本应用笔记所述,安全IC增强了TLS协议的内在安全性,并通过减轻主微控制器的繁重加密计算负担来提高性能。

结论

本博客讨论了DS28S60和MAXQ1065在解决10BASE-T1L现场仪表网络设计中提出的一些关键安全挑战方面的优点。也就是说,它们支持网络节点的安全身份、设备可信操作和安全传输中的数据。

另一个需要考虑的挑战是功率预算。DS28S60和MAXQ1065为超低功耗器件,待机电流低至100nA,非常适合现场仪表等资源受限环境。

总体而言,DS28S60和MAXQ1065作为现场仪表安全的“瑞士军刀”,是10BASE-T1L设计的完美伴侣。这是这些部分的比较。

审核编辑:郭婷

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 传感器
    +关注

    关注

    2550

    文章

    51046

    浏览量

    753142
  • 嵌入式
    +关注

    关注

    5082

    文章

    19111

    浏览量

    304872
  • 以太网
    +关注

    关注

    40

    文章

    5419

    浏览量

    171628
收藏 人收藏

    评论

    相关推荐

    工业以太网标准10BASE-T1L的最佳PHY是什么呢?

    ”、“我想知道它与 4-20mA 和现场总线的比较”、“我想了解使用 10BASE-T1L 构建系统所需的 PHY 的信息”。本文将介绍 10BASE-T1L10BASE-T1L
    的头像 发表于 12-11 16:12 2282次阅读

    新的10BASE-T1L标准有哪些变化?

    本文介绍了10BASE-T1L的基础知识,并展示了与选择各种应用适用连接器相关的产品。通过数据线实现各种互连设备的电力传输在10BASE-T1L也发挥着至关重要的作用。
    发表于 02-25 11:58 4458次阅读
    新的<b class='flag-5'>10BASE-T1L</b>标准有哪些变化?

    ADIN1100: Robust, Industrial, Low Power 10BASE-T1L Ethernet PHY Preliminary Data Sheet

    ADIN1100: Robust, Industrial, Low Power 10BASE-T1L Ethernet PHY Preliminary Data Sheet
    发表于 01-29 12:23 6次下载
    ADIN1100: Robust, Industrial, Low Power <b class='flag-5'>10BASE-T1L</b> Ethernet PHY Preliminary Data Sheet

    ADI推出完整10BASE-T1L以太网解决方案

    近日,ADI推出款完整的 10BASE-T1L 以太网解决方案,用于楼宇自动化网络。借助联网的数字自动化设备,可实现从采暖通风、空调到居住舒适度的整体楼宇管理。
    的头像 发表于 05-09 16:06 2023次阅读

    10BASE-T1L MAC-PHY如何简化低功耗处理器以太网连接

    本文介绍如何使用 10BASE-T1L MAC-PHY 连接到更多数量的低功耗现场或边缘设备。它还将详细介绍何时使用 MAC-PHY 与 10BASE-T1L PHY 以及这些系统如何满足未来以太网连接制造和建筑安装的要求。
    的头像 发表于 12-12 17:13 1928次阅读

    10BASE-T1L:将大数据分析的范围扩展到工厂网络的边缘

      802.3cg标准,也称为10BASE-T1L,是种工业以太网网络物理层。它提供了种打破在工厂或加工厂执行线服务的基本操作设备(传感器、阀门、执行器和控制器)与企业数据(新智
    的头像 发表于 12-13 14:54 1247次阅读

    10BASE-T1L标准有什么变化吗

    本文介绍了10BASE-T1L的基础知识,并展示了相应的产品,这些产品也与为各种应用选择合适的连接器有关。通过数据线传输各种连接设备的电力在10BASE-T1L也起着重要作用。
    的头像 发表于 12-14 15:31 1091次阅读

    通过10BASE-T1L连接实现现场无缝以太网

    10BASE-T1L 是新的以太网物理层标准 (IEEE 802.3cg-2019),于 2019 年 11 月 7 日在 IEEE 内获得批准。它将通过与现场级设备(传感器和执行器)的无缝以太网连接,显著提高工厂运营效率,从而极大地改变过程自动化行业。
    的头像 发表于 12-19 15:38 2240次阅读
    通过<b class='flag-5'>10BASE-T1L</b>连接实现<b class='flag-5'>现场</b>无缝以太网

    10BASE-T1L:将大数据分析范围扩大到工厂网络边缘

    802.3cg标准也称为10BASE-T1L,是种工业以太网网络协议。通过该协议,可以打破在工厂执行线服务的基本操作设备(传感器、阀、执行器和控件)与实现新智能工厂智能的企业数据、比特和字节库
    的头像 发表于 06-15 16:21 831次阅读

    10BASE-T1L使智能现场仪表供电变得无痛

    本博客说明了为什么这些设备正在突破这种传统模拟接口可实现的界限。它还建议使用10BASE-T1L工业以太网MAC-PHY来克服这些限制,并大幅提高传感器将过程信息传送给控制器的数据速率。
    的头像 发表于 06-27 11:22 820次阅读
    <b class='flag-5'>10BASE-T1L</b>使智能<b class='flag-5'>现场</b><b class='flag-5'>仪表</b>供电变得无痛

    如何设计便于部署的10BASE-T1L单对以太网状态监测振动传感器

    由IEEE制定的新型单对以太网(SPE)或10BASE-T1L物理层标准,为传输设备运行状况信息实施状态监测(CbM)应用提供了新的连接解决方案。
    的头像 发表于 07-12 11:13 879次阅读
    如何设计便于部署的<b class='flag-5'>10BASE-T1L</b>单对以太网状态监测振动传感器

    单对以太网:如何实现10Base-T1L

    单对以太网:如何实现10Base-T1L
    的头像 发表于 08-16 16:26 1068次阅读
    单对以太网:如何实现<b class='flag-5'>10Base-T1L</b>

    ADIN2111:低复杂度,2-端以太太网开关,内装10BASE-T1L物理物理物理数据表 ADI

    电子发烧友网为你提供ADI(ADI)ADIN2111:低复杂度,2-端以太太网开关,内装10BASE-T1L物理物理物理数据表相关产品参数、数据手册,更有ADIN2111:低复杂度,2-端以太太网
    发表于 10-10 19:21
    ADIN2111:低复杂度,2-端以太太网开关,内装<b class='flag-5'>10BASE-T1L</b>物理物理物理数据表 ADI

    单对以太网:如何实现 10Base-T1L

    单对以太网:如何实现 10Base-T1L
    的头像 发表于 12-06 15:50 587次阅读
    单对以太网:如何实现 <b class='flag-5'>10Base-T1L</b>

    10BASE-T1L楼宇控制器如何助力实现可持续楼宇管理系统

    本文重点介绍在楼宇管理系统(BMSs)中使用以太网直接数字控制器(DDCs)(也称为楼宇控制器)的好处,并说明如何将10BASE-T1L协议融合到典型的BMS架构10BASE-T1L的数据传输
    的头像 发表于 01-03 08:23 715次阅读
    <b class='flag-5'>10BASE-T1L</b>楼宇控制器如何助力实现可持续楼宇管理系统