数据框架与安全管理

尽管NFC连接具有安全方面的优势，但是在我们上面描述的解决方案中也存在安全隐患，从保密角度来看那就是有可能造成数据滥用。而机器硬件方面的故障也可能造成安全问题。当我们在工业4.0中将软件和硬件结合起来之后，之前被严格隔离的两个世界在横向和纵向都紧密联系在一起了。通用数据使得数据保护变得尤为重要。数据库的产生和应用沟通带来的连接，让我们不得不在数据保护和技术安全方面进行新的思考，这是我们在开发阶段就必须关注的问题。我们除了要能对产品进行明确的认证外，同时还要提供方便客户的安全理念、安全结构和安全标准。

以硬件为基础的数据保护是在RFID领域中一再被提及的话题，尽管这在自动化工业中并不常见。RFID能够提供的防盗版保护要优于光学解决方案（参见5.2.1小节）。尽管如此，在进行无线电传播和使用RFID系统时仍然有可能对数据安全造成攻击。我们下面的描述主要局限在硬件方面，尤其是传输器，因为软件方面的传输并不是RFID特有的。

在使用时，两个RFID界面的使用者和客户分别被定义为系统经营者和使用者。这种区别只存在于NFC接口被客户使用，而不只是为了内部的可追踪性而使用。当手机作为只读器时，客户安全性会受到威胁。竞争者或其他的攻击者，如带有恐怖袭击背景的攻击者可以通过NFC界面在感应器内：

• 窃听，如通过窃听感应器的参数设定和由此测量出的数据来侦查创新性的生产流程。

• 施行破坏行为，如设定一个破坏生产的感应器参数值。

窃听——在通过应答器和只读器产生的通信的基础上，窃听与任何运用无线电技术的方法一样，通过电感耦合是可能实现的。首先NFC上的受限的只读距离可视为对自动化工业应用足够的被动的数据保护。原因在于较短的距离不能无缘无故地为了支付系统而使用。在使用蓝牙时，仅高一点的值就可以导致较少的数据保护。

在HF上对读写距离的扩展是不可能的，因为能量调制和负载调制范围会相应变大。为了增大能量值，直径和只读器的电流会增大，相应的应答器电感耦合信号的电平会下降，由只读器的电流产生的噪声在电感耦合值的频率范围内也会变大。因此NFC应答器的值最大可以扩展大约1m。因为指定的应答器被动并且不能无损坏地进入。通过应答器增大只读器的电流或是拉长天线是不能增大识读值的。

然而作为保护NFC的较短的读写距离会因为定向的窃听距离的扩大而失效。窃听的人必须能够无错误地解码收到的信号，才能远距离成功窃听RFID系统，并且收到寄来的信息。Finkenzeller算出，借助同步的振幅的调制和解调以及适应信号可使过滤器对应答器的窃听范围达到7m。从理论上讲，对只读器的窃听只能在80m以内完全没有打扰的环境下进行。实际上最多可达到8.3m。因为只有窃听的人可以在电感耦合的情况下窃听，所以间谍在极少出现的客户的识读过程中无法数周或数月地完成这种费时的步骤。

一次破坏可以通过对应答器的破坏来完成。对应答器的硬件保护一直多于对界面的硬件保护，如应答器可以通过硬件的防护在任何时候都奏效。只有UHF应答器能被屏蔽。对应答器读写信号的干扰和阻碍会对易福门有限责任公司的客户造成很大伤害。但这种伤害会被忽略。

最大的危险在于应答器的仿真和克隆，参数会被改变或者应答器被复制。带有可移植的只读器的破坏设备可以放在客户距离易福门有限责任公司的设备1m的地方，并在合适的位置摆放。这种被称为Leech或者Mole的设备可以把已读数据传送到Ghost或者Proxy。这两种设备可以作为应答器在破坏器的只读设备上奏效。破坏器可以用继电器假装只读器，应答器继续在只读器的范围内。继电器可随意扩展破坏只读器的数值。一次破坏行动是无法辨认的。

对中继站的袭击可以通过对NFC数据转换的核实和解码来阻止。例如进入系统、票务系统和支付系统以及办公室证明，想阻止窃听行为和破坏行为只能通过：

•密码对应答器和只读器的验证。

•密码控制检验数据的可信性、融入性和一次性。

RFID界面中3个32位的密码中的每一个密码和32位IC密码对ST微电子芯片的64个部分访问可以允许亿万的组合。一台普通的计算机在1s之内可以解锁这些组合。假如客户对密码保护有较高的要求，客户可以运用元ID来匿名，也可以控制密码保护自己。

在解决ST方面，一个根据ISO/IEC9798-2互相的对称的验证是可行的。验证时的IC密码有一个相同的密钥。客户的软件也能识别这个密钥。借助密钥只读器和应答器可以通过对加密的随机数字完成一个相互的验证。密钥自己不能被传输。但是在卖给大部分客户的某些软件上会出现很大可能性，密钥很常见并且易复制，以至于作为中继攻击的安全保护的验证会失效。

在非对称认证中每个转发器都有自己的加密密钥。这个加密密钥可以避免由得知密钥而进行的蓄意破坏活动。在转发器的生产过程中会用到非对称认证过程的序列号。这个序列号可借助其元ID（Meta-ID）计算出密钥。而这个元ID则用于激活转发器。客户可以通过型号铭牌上的信息借助元ID成功激活转发器。为了预防中继攻击（Relay-Attacke），设备必须能够通视。尽管必要的光连接必须考虑到其弱点，但是对于在智能手机上安装的普通近距离无线通信来说，5cm的有效范围要求并不高。(www.xing528.com)

在ST芯片和分散存储器上共有四种密码方式，这些方式可以通过非对称认证和开放式主密钥来实现。这两种方式与电子邮件所使用的良好隐私密码法（Pretty Good Privacy，PGP）作用相似。举例来说，转发器的共同主密钥可以作为I²C密码来储存。此外，ifc公司的客户还可以分配到一个专属密钥。共同的主密钥可以把信息译成密码，而单独密钥则破译密码。在EEPROM中，一个有密码保护的存储区被用作共同主密钥的信息加密，也被用作客户转发器的信息加密。它还被用作易福门有限责任公司转发器的信息加密。客户密钥可以被储存在客户所用手机的安全元件上，如SIM卡。像分组密码这样的方式在转换器的加密算法中非常有用。如果需要一个更安全的密码保护，那么上述加密协议的转换器硬件和软件（传感应用App）就包含在内。然而本文范例并未将这种可能性考虑在内。

产品数据等所有不可更改的生产商数据会被备份存储在为易福门有限责任公司服务的加密存储区。在客户方看来，所有数据都要备份。作为总控密钥的I²C密码拥有唯一更改所有存储区防护的可能性。上述的加密程序符合一种分级的密钥理念。该密钥理念的劣势在于应答器芯片的固定切分存储器也许会导致宝贵的存储区空间的浪费。在工业4.0领域内要促进涉及加密文件的标准化。

在EEPROM存储区域的利用方面必须要注意除了安全问题之外和单片机ATmega64的连接问题。这样才能执行在单片机内存储数据和由客户提供的通过RFID提供的新数据之间的优先性选择。其中一个最大的困难在于定时问题，即RFID识别芯片何时应该将在运行过程中给定设备电源的情况下I²C总线在EEPROM双界面存储的数据交付给单片机进行下一步处理。当这个NFC端口在一个给定电源网关的情况下扮演第二总控角色时，这个定时问题会更加凸显。

这里解决方案会被原型化地简化。在5.3.1小节中所建议的易福门有限责任公司数据链接的解决方案不能够得到充分的检测。因此可以认定，这台设备在生产中以及生产供应中不依赖于电力供应。如此一来，访问信息和参数信息在没有电力供应的时候不会被传递给单片机，而是被存储在EEPROM中。一旦AC5225在客户方被通电，在EEPROM中储存的数据会被使用。在有电力供应时，储存在RFID芯片的EEPROM中的数据被认为是不相关的。

当数据在网络上被共享时，软件也会出现不同的数据安全问题：

• 收集到的数据本身可以得出关于人事与现有订货情况的结论，因此这与联邦数据保护法相关并且在网外与竞争相关。

• 数据的可用性会成为一个容量系数，如工作系统。

这些安全问题的解决方案在生产中是重要的，因为病毒扫描程序、安全软件更新和防火墙，如生产所要求的那样，可使数据的可用性“实时”成为泡影。为了防止进一步的损失而关闭IT系统，出于相同的原因在生产中不在考虑之列。

“通过设计来实现安全”被看作是解决的方法：

• 数据的间隔尺度应该还是在工作系统的数据库上被粗糙化并在含义上有所缩短，这样一来，在危险的网络运输途中会被暴露的数据将明显减少。

• 使用权利应可以被尽可能广泛地详细化。

• 一个普通的使用动作的记录与一个快速的异常识别应对内置的安全性做出补充。

虽然上文列出了一些应对办法，但信息安全对于工业4.0仍然是一个无法解决的问题，还需要大量的研究。

甚至对于所收集的数据的合法保护，法律上也没有明确规范。只有在一个数据库需要巨大投资或者包含个人信息的情况下，该数据库才会按照著作权法或联邦数据保护法受到保护。在价值创造网络中，对于数据保护应在保密协议或在网络条约中以单独协定的形式加以补充规定，而其遵守与否可通过控制权和举证责任要求来检查，对违规者可要求其赔偿或对其进行违约处罚。