讓物聯(lián)網(wǎng)設(shè)備更安全
在任何嵌入式設(shè)計中實現(xiàn)安全功能都是一項艱巨任務(wù)。每天都有關(guān)于黑客竊取敏感信息或由于客戶信息受到破壞而導(dǎo)致網(wǎng)站無法運作的新聞,這些足以使開發(fā)人員夜不能寐。安全威脅狀況在不斷變化,攻擊向量(attack vector)和黑客也在不斷發(fā)展。這些新聞不僅僅限于消費性技術(shù)中之脆弱度。
2020年末,一家半導(dǎo)體供貨商全部生產(chǎn)能力被黑客綁架勒索,這是一個發(fā)生在非常接近促進(jìn)安全最佳實踐行業(yè)的事件。攻擊者或許認(rèn)為,以個人消費者為目標(biāo)只會產(chǎn)生少量贖金,而以大型企業(yè)和組織為目標(biāo)則可以帶來數(shù)量更大回報,因為目標(biāo)對象通常希望避免任何負(fù)面新聞。當(dāng)下,在諸如工業(yè)物聯(lián)網(wǎng)(IIoT)之類操作技術(shù)(OT)領(lǐng)域,開發(fā)人員面臨著巨大壓力,要求他們?yōu)槠湓O(shè)計所有內(nèi)容實施最高安全等級防護(hù)。
如圖1所示,網(wǎng)絡(luò)攻擊已從針對遠(yuǎn)程企業(yè)IT云端服務(wù)器和數(shù)據(jù)中心轉(zhuǎn)向傳感器、邊緣節(jié)點和網(wǎng)關(guān)等本地設(shè)施,這種趨勢顯示攻擊向量發(fā)生了變化。例如,對網(wǎng)絡(luò)邊緣溫度傳感器節(jié)點瀏覽攻擊不僅會危害該單個設(shè)備,還能夠提供從傳感器攻擊更廣泛基礎(chǔ)架構(gòu)之機會。
圖1 : 攻擊向量從遠(yuǎn)程到本地變化格局。(來源:Silicon Labs)
管制環(huán)境也在發(fā)生變化,美國和歐洲最近立法為消費和工業(yè)設(shè)備制定了基本架構(gòu)。
在美國,諸如NIST.IR 8259之類聯(lián)邦立法正在準(zhǔn)備規(guī)定安全性問題和建議,以克服針對IoT設(shè)備安全性脆弱度。一旦這些立法得到批準(zhǔn),NIST標(biāo)準(zhǔn)將成 為國際公認(rèn)ISO IoT設(shè)備安全規(guī)格。美國幾個州在滿足NIST.IR 8259要求層面已經(jīng)非常超前。圖2僅突出顯示該立法將要解決的一些基本安全原則問題。
圖2 : 用于物聯(lián)網(wǎng)設(shè)備安全的NIST.IR 8259標(biāo)準(zhǔn)架構(gòu)。(來源:Silicon Labs)
歐洲標(biāo)準(zhǔn)組織ETSI也正在起草類似管制法規(guī)TS 103645。已經(jīng)批準(zhǔn)的歐洲標(biāo)準(zhǔn)EN 303 645,以及名為「消費性物聯(lián)網(wǎng)網(wǎng)絡(luò)安全(Cybersecurity for Consumer Internet of Things)」將得到歐洲各國和澳大利亞等其他國家廣泛采用。
本文將討論實現(xiàn)更強大IoT設(shè)備安全性步驟,并解釋嵌入式安全性背后的不同概念,以及如何針對嵌入式設(shè)備安全性實施一致且包容性途徑。
發(fā)現(xiàn)設(shè)備脆弱度
對于嵌入式開發(fā)人員,其安全要求眾所周知。但是,要實現(xiàn)這些安全性之必要步驟則比較困難且復(fù)雜。在嵌入式設(shè)備相對獨立時,這可能要容易很多。如今,網(wǎng)絡(luò)無處不在,每個物聯(lián)網(wǎng)設(shè)備都容易受到攻擊。而且,往往攻擊者更有經(jīng)驗,攻擊向量也不僅限于TCP/IP網(wǎng)絡(luò)和端口。嵌入式設(shè)備每個層面都可能具有潛在攻擊面。了解潛在攻擊面有助于確定應(yīng)該使用何種防護(hù)方法。
圖1將本地攻擊分為針對IoT設(shè)備軟件或硬件,攻擊類型或許更復(fù)雜,例如差動功率分析(DPA),也可以透過獲得對設(shè)備JTAG埠物理瀏覽,并用惡意代碼對其進(jìn)行重新程序而使攻擊變得更加直接。差動功率分析需要實時偵測設(shè)備功耗,以確定設(shè)備可能正在做什么。隨著時間積累,能夠建立一種數(shù)字影像,確定嵌入式處理器可能正在做什么。
加密功能特別耗費計算資源和大量功率,黑客能夠識別出頻繁數(shù)字加密和解密任務(wù)操作。一旦知曉處理器操作,黑客就可以使用故障處理使其強制進(jìn)入故障狀態(tài),同時會使緩存器和端口可瀏覽。黑客使用的其他攻擊技術(shù)包括篡改系統(tǒng)時鐘,在周邊引腳上引入錯誤訊號以及將電源電壓降低,使處理器運作變得更不穩(wěn)定,從而可能暴露隱蔽密鑰并鎖定埠。
使設(shè)備更安全
在審查IoT設(shè)備中實施安全體系時,工程團(tuán)隊可能會發(fā)現(xiàn)安全物聯(lián)網(wǎng)(Internet of Secure Things;IoXT)等行業(yè)架構(gòu)是一個很好的起始點。安全物聯(lián)網(wǎng)是一個行業(yè)主導(dǎo)計劃,旨在使嵌入式開發(fā)人員更輕松實施保護(hù)物聯(lián)網(wǎng)設(shè)備安全程序任務(wù)。 IoXT已建立了涵蓋物聯(lián)網(wǎng)安全性、可升級性和透明度的八項原則架構(gòu),工程師在設(shè)計物聯(lián)網(wǎng)設(shè)備時可以遵循這些原則。
安全物聯(lián)網(wǎng)八項原則
1.禁止通用密碼:設(shè)備使用唯一默認(rèn)密碼,而不是通用密碼,以使黑客無法廣泛控制數(shù)百個設(shè)備。
2.保護(hù)每個接口:在使用過程中,無論目的如何,都應(yīng)對所有接口進(jìn)行加密和認(rèn)證。
3.使用經(jīng)過驗證的加密方法:建議使用行業(yè)認(rèn)可開放式加密標(biāo)準(zhǔn)和算法。
4.預(yù)設(shè)情況下安全性:產(chǎn)品出廠發(fā)運時應(yīng)啟用最高級別安全性。
5.已簽名軟件更新:應(yīng)該對無線軟件更新進(jìn)行簽名,以便接收設(shè)備可以在應(yīng)用更新之前對其進(jìn)行身份驗證。
6.自動軟件更新:設(shè)備應(yīng)自動進(jìn)行經(jīng)過身份驗證之軟件更新,以維護(hù)最新安全補丁程序,而不是將更新任務(wù)留給消費者。
7.脆弱度報告方案:產(chǎn)品制造商應(yīng)為用戶提供一種報告潛在安全問題方法,以加快更新速度。
8.安全到期日:與保修計劃一樣,安全條款也應(yīng)在某個時候到期。制造商可以提供擴展支持方案,以幫助順延連續(xù)安全支持和更新成本。
實施全面安全措施
伴隨物聯(lián)網(wǎng)安全格局快速變化,物聯(lián)網(wǎng)產(chǎn)品工程團(tuán)隊也在努力與不斷增長的安全功能保持同步,能夠滿足此需求的一個平臺是Silicon Labs開發(fā)的Secure Vault,它使用硬件和軟件功能組合在SoC中提供全面安全子系統(tǒng)。Silicon Labs第一個整合有Secure Vault的組件是多協(xié)議無線SoC EFM32MG21B。
Secure Vault已獲行業(yè)安全組織PSA Certified和IoXt聯(lián)盟(ioXt Alliance)認(rèn)證。PSA Certified Level 2認(rèn)證基于與Arm共同創(chuàng)建安全標(biāo)準(zhǔn)架構(gòu)。
Secure Vault SoC在設(shè)備中整合了所有期望安全功能,例如真正隨機數(shù)生成器、加密引擎、信任根和安全啟動功能。 Secure Vault透過增強安全啟動、DPA對策、防篡改檢測、安全密鑰管理和安全證明等特性進(jìn)一步加強安全功能。
在Secure Vault中,所有安全功能都位于安全元素子系統(tǒng)中,請參見圖3。
圖3 : Silicon Labs Secure Vault安全元素子系統(tǒng)。(來源:Silicon Labs)
黑客通常使用的一種攻擊方法是干擾啟動代碼,用看似正常但實際運作卻完全不同的指令替換代碼,將數(shù)據(jù)重新定向到其他服務(wù)器。 Secure Vault采用增強啟動過程,其中同時使用應(yīng)用微控制器和安全元素微控制器,并結(jié)合信任根和安全加載程序功能,僅僅執(zhí)行受信任之應(yīng)用程序代碼,參見圖4。
圖4 : 使用Silicon Labs Secure Vault之安全啟動。(來源:Silicon Labs)
另一種黑客攻擊方法試圖將已安裝韌件(firmware)轉(zhuǎn)返(rollback)到具有安全脆弱度之先前版本。這樣,黑客就可以破壞設(shè)備,從而利用其中安全脆弱度。借助Secure Vault,防轉(zhuǎn)返預(yù)防措施透過使用數(shù)字簽名韌件來驗證是否需要更新,參見圖5。
圖5 : Secure Vault防轉(zhuǎn)返對策使用數(shù)字簽名對韌件更新進(jìn)行身份驗證。(來源:Silicon Labs)
某些系統(tǒng)以前使用可公共瀏覽唯一ID(UID)來標(biāo)識單個IoT設(shè)備。對于開發(fā)人員而言,此類UID使偽造產(chǎn)品相較容易,從而使產(chǎn)品真實性受到質(zhì)疑。透過使用Secure Vault,可以生成唯一ECC密鑰/公用密鑰對,并且密鑰安全存儲在芯片上。應(yīng)用可以請求設(shè)備證書,但是任何響應(yīng)需要使用設(shè)備密鑰簽名,而不是隨證書一起發(fā)送,參見圖6。
圖6 : 采用Secure Vault進(jìn)行安全認(rèn)證過程。(來源:Silicon Labs)
結(jié)論
對于當(dāng)下開發(fā)的每個嵌入式設(shè)備,都需要至關(guān)重要且強大安全性支持。物聯(lián)網(wǎng)設(shè)備中黑客攻擊威脅格局日益嚴(yán)重,要求從設(shè)備出廠發(fā)運開始就需要發(fā)揮其全面安全性。使用Secure Vault,可以確保產(chǎn)品開發(fā)團(tuán)隊及其客戶從一開始就具有防范可擴展軟件攻擊之強大保護(hù)體系。
(本文作者Simon Holt任職于貿(mào)澤電子)
評論