Зачем осциллографу поддержка криптографии?

lv54qejcclu8s07kw3sgjlbiroc.jpeg
Осциллограф Rohde & Schwarz RTO2044 с поддержкой Ethernet и LXI

В июне 2019 года некоммерческий Консорциум LXI (LAN eXtensions for Instruments) выбрал GlobalSign в качестве «провайдера идентификации» для устройств, совместимых со стандартом LXI, а фирменную IoT Identity Platform сделали практически интегральной частью протокола безопасности. Что это значит для свободного стандарта LXI? И зачем вообще контрольно-измерительной технике цифровые сертификаты?
Для начала, пара слов о самом стандарте LXI.


LXI (LAN eXtensions for Instruments) — отраслевой стандарт для контрольно-измерительных приборов. Как написано на официальном сайте, он разработан консорциумом ведущих производителей и пользователей контрольно-измерительного оборудования, созданным в сентябре 2004 года. Сейчас он насчитывает уже более 50 членов. В консорциум входят ведущие компании отрасли, включая основателей — Agilent Technologies и других производителей как Tektronix, Rohde&Schwarz, Keithley Instruments, Racal Instruments и Yokogawa.

Спецификация LXI основана на хорошо отработанном стандарте Ethernet и описывает взаимодействие любых приборов LXI, вне зависимости от производителя, что снимает проблемы, связанные с совместимостью устройств. Оборудование с поддержкой LXI — это высокие скорости ввода/вывода, отсутствие крейтов и интерфейсных кабелей и современное программное обеспечение, что определяет эффективность стандарта.

На официальном сайте так описываются отличия от предшественников: «В отличие от VXI и PXI, которые жёстко ограничены размерами крейтов, стандарт LXI содержит лишь рекомендации придерживаться спецификаций IEC. Модули в ширину или половину ширины стандартной стойки удобны для размещения плат и функциональны без необходимости использования крейтов. Интерфейс LXI позволяет соединять настольные устройства с фронтальной панелью, стоечные модули без панели, отдельные измерительные устройства, в том числе встроенные, настольные и настенные. Стандарт LXI отличается от PXI и VXI тем, что каждый модуль или устройство системы имеет собственый блок питания, охлаждение, систему запуска, защиту от помех и интерфейс Ethernet. Таким образом, отдельные модули оборудования LXI могут быть использованы независимо от системы.

Интерфейс LXI является логичной заменой интерфейсов GPIB. Стандарт Ethernet опирается на мощь компьютерной индустрии и превзошёл возможности GPIB. Использование пакетной передачи в режиме точка-точка или бродкастинга в сочетании с высокой скоростью передачи данных и гибкостью в выборе среды передачи предопределяют выбор LAN в качестве сети передачи для устройств будущего».

Для передачи сообщений о событиях стандарт LXI предусматривает специальные сообщения в сети (LXI Event Messages) поверх протоколов UDP (широковещательные) или TCP (адресные). Для них зарезервированы multicast IP адрес 224.0.23.159 и порт сервера 5044. LXI Event Messages делятся на три группы: определяемые стандартом, определяемые разработчиком прибора и определяемые инсталлятором системы (пользователем).


На первый взгляд кажется, что криптография не имеет отношения к работе контрольно-измерительной техники. Но если посмотреть на картину в целом, то ситуация выглядит иначе. Современный осциллограф или любой другой прибор уже не работает в офлайне, а подключается к сети и обменивается пакетами с ПК как сетевое устройство. Устройства IoT — одна из точек входа для потенциальной хакерской атаки. Под видом такого устройства злоумышленники могут передавать на компьютер произвольные пакеты. Поэтому главные задачи — надёжная идентификация устройств и обеспечение аутентичности их трафика.

Осознавая это, консорциум LXI сначала сформировал рабочую группу по безопасности (Security Working Group) для обзора внутренней политики и рассмотрения стандартов других организаций, таких как NIST, UL CAP, IIC Industrial Internet Consortium и OWASP, которые имеют отношение к кибербезопасности для промышленных тестовых систем. Они определили и исследовали потенциальных поставщиков безопасности, чтобы найти правильное сочетание технологий и опыта. Наконец, рабочая группа прислушалась к мнению членов консорциума.

После исследования консорциум и выбрал GlobalSign в качестве «провайдера идентификации» (device identity provider-of-choice). GlobalSign отвечает за защиту всех устройств, совместимых с LXI, а платформа IoT Identity Platform на основе PKI интегрирована как часть протокола безопасности.

«Для организации по стандартизации, выбор правильного решения для обеспечения безопасности имел решающее значение для поддержания нашей репутации в качестве передового опыта и надёжности, — сказал Стив Шинк, председатель правления Консорциума LXI. — GlobalSign тесно сотрудничал с рабочей группой по безопасности, чтобы определить наши проблемы, предложить решения, а затем реализовать наше видение соответствующим образом».

Члены Консорциума LXI выпускают более 4000 продуктов более чем 300 семейств. Предложенное решение защищает сертифицированное оборудование и веб-серверы во всей цепочке, от производственного этапа до развёртывания в сети клиента.

Решение, которое обеспечивает уникальную идентификацию в сети устройств, не имеющих полного доменного имени (FQDN), разработано вместе с технологическим партнёром beame.io. Он специализируется на криптографических системах для уникальной идентификации и назначения необходимых FQDN, которые позволяют инициализировать идентификацию устройств на каждом устройстве.

IoT Identity Platform — гибкая и масштабируемая платформа нового поколения от GlobalSign, которая позволяет управлять учётными данными миллиардов различных типов IoT-устройств. Платформа IoT Identify поддерживает полный жизненный цикл идентификации устройства, начиная от первоначальной инициализации (как существующих устройств, так и развертываемых с нуля) до продолжительного обслуживания и окончательного вывода из эксплуатации устройства IoT или передачи прав собственности на него. Система предполагает присвоение каждому устройству/конечной точке уникального идентификатора, чтобы проходить онлайн-авторизацию на протяжении всего срока службы, подтверждая свою подлинность и целостность, тем самым надёжно взаимодействуя с другими устройствами, службами и пользователями.

zx00pckouzmbkmeyjpor2tmgw1k.png


Безопасность интернета вещей начинается с PKI
Сегодня у вас есть возможность присоединиться к множеству разработчиков в сфере интернета вещей, которые заботятся о безопасности своих устройств. Вы всегда можете связаться с нами: info-ru@globalsign.com, +7 499–678–2210.

© Habrahabr.ru