购物车中还没有商品,赶紧选购吧!
如今,世界上有100亿个物联网节点连接到互联网上,达到十多年前的十倍,这一趋势将继续增加。这种增长也给攻击者带来了更多的机会。据估计,网络攻击造成的年成本从几百亿到几万亿美元不等,而且这个数字还在上升。因此,安全考虑对于继续成功拓展物联网至关重要,而物联网安全始于物联网节点的安全。
没有公司希望自己的名字出现在被打破,客户数据被盗等新闻中。此外,联网设备还需要遵守日益严格的政府法规,如FDA对医疗设备的规定、美国/欧盟对工业4.0关键基础设施的网络安全要求以及汽车行业的一些新标准。这些要求旨在促进高安全性的实现,但并没有明确强制使用基于硬件的安全措施。然而,物联网节点通常是大量的成本优化设备,这给安全性和成本之间的平衡带来了巨大的挑战。
利用信任根创建安全节点。
我们如何设计一个经济、高效、安全的物联网节点?从信任根(也称为安全元件)开始,建立一个安全的物联网节点,是一个负担得起的小型集成电路,旨在为节点应用程序处理器提供可靠的安全相关服务。相关功能示例包括数据加密(保护机密信息)和数字签名(保证信息的真实性和完整性)。信任根的最终目标是确保用于数据加密或数字签名的密钥得到保护,以防止泄露。
信任根的概念保证了安全相关服务信息的真实性和完整性
信任根的另一个关键功能是,由于安全指导机制的存在,它支持可信信息的交换。安全指导确保所有物联网节点设备都在运行合法的固件,因此这些设备可以按预期运行,不会因其功能的恶意变化而受到攻击。
安全IC面临的最大挑战是抵御物理攻击,如直接探测和所谓的侧信道攻击。
物理不可克隆功能(PUF)
不幸的是,通用微控制器中常用的存储技术(即EEPROM或闪存)并不安全,因为直接检测会试图监控微电路的内部结构。使用扫描电子显微镜(SEM),攻击者可以直接监控存储器的内容,而无需高成本。为了降低这一风险,半导体行业开发了物理不可克隆功能(PUF)技术。PUF用于从微电路的固有物理属性中导出唯一的密钥。这些因芯片而异的属性很难直接检测,因此很难通过直接检测提取生成的密钥。在某些情况下,PUF派生密钥加密信任根内存储器的其余部分,以保护存储在设备上的所有其他密钥和凭证。
PUF技术可以降低微电路直接检测的风险。
侧信道攻击的成本甚至更低,而且更具侵入性。这种攻击使用了以下事实:电子电路经常通过电源、无线电或热辐射泄漏处理数据的相关数字签名。当电路使用密钥解密数据时,通过测量信号和处理数据之间的微妙相关性,可以在适度和复杂的统计分析后成功地猜测密钥的值。显然,信任的根是为了使用各种对策来防止这些数据泄露而设计的。
毛刺攻击是另一种非侵入性攻击,其中攻击者试图利用这个机会破坏芯片的执行流。这通常是通过在芯片的电源或其他引脚上注入电脉冲或通过电磁脉冲来实现的。这种毛刺会对微电路中的信号或寄存器值造成一定的内部损坏,并可能导致跳过授权和其他有害结果,允许不受控制地访问应该受到限制的信息。同样,信任根对此类漏洞也有明确的保护机制,如误差检测。
使用安全IC的应用示例。
如图3所示,胰岛素泵由控制设备远程驱动,显然显示了基于硬件的信任根在此类安全应用中的优势。该应用程序存在明显的安全风险,攻击者可能会向胰岛素泵发送流氓命令,从而威胁患者的生命。该系统中使用的协议是一个简单的查询/响应身份验证协议:
1.为了准备发送命令,控制设备要求胰岛素泵发出质询。
2.胰岛素泵采用随机数R质询请求者。
3.控制设备使用其私钥签署命令、随机数R和一些固定填充。该操作由控制设备的信任根完成。
4.胰岛素泵将验证签名是否正确,收到的随机数是否与之前发出的随机数相同,以避免无意义地重5.新发送有效命令。该操作由胰岛素泵的信任根IC完成。
胰岛素泵认证是信任根应用的简化示例
除了每个命令都需要使用新的随机数外,该协议的安全性还取决于控制设备在授权命令中使用的私钥的保密性,以及胰岛素泵中授权公钥的完整性。如果这些密钥存储在普通的微控制器中,攻击者可以提取或操作它们,并制造假的控制设备或泵。在这种情况下,信任根IC使得更难伪造仪表设备或泵、操作凭证或篡改通信协议。此外,验证系统中不同设备运行的固件也是确保整体安全的关键。破解的胰岛素泵固件可能通过传入命令的验证,并接受未经验证的请求。
对于任何物联网应用程序,只要其网络节点采用远程控制或测量和报告敏感值,就可以很容易地从上述应用程序转移。
专用安全IC的优点
一般来说,良好的节点设备设计将使攻击者攻击设备的成本远高于潜在的回报。基于特殊安全IC的架构具有许多优点:
物联网安全是一场永无止境的战斗。虽然各种攻击手段不断升级,但与此同时,安全IC供应商也在不断加强对策,因此攻击安全IC的成本仍然很高。升级安全IC可以提高网络设备的安全性,对整体设备设计和成本影响不大。
将关键功能集中在与应用处理器分离的强大防篡改物理环境中,可以更容易地确保安全评估法律法规的合规性。这种隔离也使得攻击者更难利用设备应用处理器中的漏洞,很难完全发现和消除。
如果供应商尽快调试安全IC,则更容易确保物联网节点在其整个生命周期中的安全。使用此方法时,无需与合同制造商共享关键信息,可实现安全的个性化过程和OTA更新。重建和克隆也变得更加困难;由于安全IC无法克隆,物联网节点设备无法克隆。
选择合适的应用微控制器是一项艰巨的任务,因为我们必须找到特性、成本和上市时间之间的最佳平衡。最合适的微控制器可能没有足够的安全特性,因此使用外部垂直安全IC是最灵活、影响小的设备保护方法。
结论。
随着合规要求的不断加强和源源不断的远程大规模攻击,必须注意暴露物联网系统的安全性。典型的网络系统中有许多组件,安全设计必须是第一步。虽然保护边缘的物联网节点并不是唯一的步骤,但它是非常必要的。
