如今,世界上有100億個物聯(lián)網(wǎng)節(jié)點連接到互聯(lián)網(wǎng)上,達到十多年前的十倍,這一趨勢將繼續(xù)增加。這種增長也給攻擊者帶來了更多的機會。據(jù)估計,網(wǎng)絡(luò)攻擊造成的年成本從幾百億到幾萬億美元不等,而且這個數(shù)字還在上升。因此,安全考慮對于繼續(xù)成功拓展物聯(lián)網(wǎng)至關(guān)重要,而物聯(lián)網(wǎng)安全始于物聯(lián)網(wǎng)節(jié)點的安全。
沒有公司希望自己的名字出現(xiàn)在被打破,客戶數(shù)據(jù)被盜等新聞中。此外,聯(lián)網(wǎng)設(shè)備還需要遵守日益嚴(yán)格的政府法規(guī),如FDA對醫(yī)療設(shè)備的規(guī)定、美國/歐盟對工業(yè)4.0關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全要求以及汽車行業(yè)的一些新標(biāo)準(zhǔn)。這些要求旨在促進高安全性的實現(xiàn),但并沒有明確強制使用基于硬件的安全措施。然而,物聯(lián)網(wǎng)節(jié)點通常是大量的成本優(yōu)化設(shè)備,這給安全性和成本之間的平衡帶來了巨大的挑戰(zhàn)。
利用信任根創(chuàng)建安全節(jié)點。
我們?nèi)绾卧O(shè)計一個經(jīng)濟、高效、安全的物聯(lián)網(wǎng)節(jié)點?從信任根(也稱為安全元件)開始,建立一個安全的物聯(lián)網(wǎng)節(jié)點,是一個負擔(dān)得起的小型集成電路,旨在為節(jié)點應(yīng)用程序處理器提供可靠的安全相關(guān)服務(wù)。相關(guān)功能示例包括數(shù)據(jù)加密(保護機密信息)和數(shù)字簽名(保證信息的真實性和完整性)。信任根的最終目標(biāo)是確保用于數(shù)據(jù)加密或數(shù)字簽名的密鑰得到保護,以防止泄露。
信任根的概念保證了安全相關(guān)服務(wù)信息的真實性和完整性
信任根的另一個關(guān)鍵功能是,由于安全指導(dǎo)機制的存在,它支持可信信息的交換。安全指導(dǎo)確保所有物聯(lián)網(wǎng)節(jié)點設(shè)備都在運行合法的固件,因此這些設(shè)備可以按預(yù)期運行,不會因其功能的惡意變化而受到攻擊。
安全IC面臨的最大挑戰(zhàn)是抵御物理攻擊,如直接探測和所謂的側(cè)信道攻擊。
物理不可克隆功能(PUF)
不幸的是,通用微控制器中常用的存儲技術(shù)(即EEPROM或閃存)并不安全,因為直接檢測會試圖監(jiān)控微電路的內(nèi)部結(jié)構(gòu)。使用掃描電子顯微鏡(SEM),攻擊者可以直接監(jiān)控存儲器的內(nèi)容,而無需高成本。為了降低這一風(fēng)險,半導(dǎo)體行業(yè)開發(fā)了物理不可克隆功能(PUF)技術(shù)。PUF用于從微電路的固有物理屬性中導(dǎo)出唯一的密鑰。這些因芯片而異的屬性很難直接檢測,因此很難通過直接檢測提取生成的密鑰。在某些情況下,PUF派生密鑰加密信任根內(nèi)存儲器的其余部分,以保護存儲在設(shè)備上的所有其他密鑰和憑證。
PUF技術(shù)可以降低微電路直接檢測的風(fēng)險。
側(cè)信道攻擊的成本甚至更低,而且更具侵入性。這種攻擊使用了以下事實:電子電路經(jīng)常通過電源、無線電或熱輻射泄漏處理數(shù)據(jù)的相關(guān)數(shù)字簽名。當(dāng)電路使用密鑰解密數(shù)據(jù)時,通過測量信號和處理數(shù)據(jù)之間的微妙相關(guān)性,可以在適度和復(fù)雜的統(tǒng)計分析后成功地猜測密鑰的值。顯然,信任的根是為了使用各種對策來防止這些數(shù)據(jù)泄露而設(shè)計的。
毛刺攻擊是另一種非侵入性攻擊,其中攻擊者試圖利用這個機會破壞芯片的執(zhí)行流。這通常是通過在芯片的電源或其他引腳上注入電脈沖或通過電磁脈沖來實現(xiàn)的。這種毛刺會對微電路中的信號或寄存器值造成一定的內(nèi)部損壞,并可能導(dǎo)致跳過授權(quán)和其他有害結(jié)果,允許不受控制地訪問應(yīng)該受到限制的信息。同樣,信任根對此類漏洞也有明確的保護機制,如誤差檢測。
使用安全IC的應(yīng)用示例。
如圖3所示,胰島素泵由控制設(shè)備遠程驅(qū)動,顯然顯示了基于硬件的信任根在此類安全應(yīng)用中的優(yōu)勢。該應(yīng)用程序存在明顯的安全風(fēng)險,攻擊者可能會向胰島素泵發(fā)送流氓命令,從而威脅患者的生命。該系統(tǒng)中使用的協(xié)議是一個簡單的查詢/響應(yīng)身份驗證協(xié)議:
1.為了準(zhǔn)備發(fā)送命令,控制設(shè)備要求胰島素泵發(fā)出質(zhì)詢。
2.胰島素泵采用隨機數(shù)R質(zhì)詢請求者。
3.控制設(shè)備使用其私鑰簽署命令、隨機數(shù)R和一些固定填充。該操作由控制設(shè)備的信任根完成。
4.胰島素泵將驗證簽名是否正確,收到的隨機數(shù)是否與之前發(fā)出的隨機數(shù)相同,以避免無意義地重5.新發(fā)送有效命令。該操作由胰島素泵的信任根IC完成。
胰島素泵認證是信任根應(yīng)用的簡化示例
除了每個命令都需要使用新的隨機數(shù)外,該協(xié)議的安全性還取決于控制設(shè)備在授權(quán)命令中使用的私鑰的保密性,以及胰島素泵中授權(quán)公鑰的完整性。如果這些密鑰存儲在普通的微控制器中,攻擊者可以提取或操作它們,并制造假的控制設(shè)備或泵。在這種情況下,信任根IC使得更難偽造儀表設(shè)備或泵、操作憑證或篡改通信協(xié)議。此外,驗證系統(tǒng)中不同設(shè)備運行的固件也是確保整體安全的關(guān)鍵。破解的胰島素泵固件可能通過傳入命令的驗證,并接受未經(jīng)驗證的請求。
對于任何物聯(lián)網(wǎng)應(yīng)用程序,只要其網(wǎng)絡(luò)節(jié)點采用遠程控制或測量和報告敏感值,就可以很容易地從上述應(yīng)用程序轉(zhuǎn)移。
專用安全IC的優(yōu)點
一般來說,良好的節(jié)點設(shè)備設(shè)計將使攻擊者攻擊設(shè)備的成本遠高于潛在的回報?;谔厥獍踩?/span>IC的架構(gòu)具有許多優(yōu)點:
物聯(lián)網(wǎng)安全是一場永無止境的戰(zhàn)斗。雖然各種攻擊手段不斷升級,但與此同時,安全IC供應(yīng)商也在不斷加強對策,因此攻擊安全IC的成本仍然很高。升級安全IC可以提高網(wǎng)絡(luò)設(shè)備的安全性,對整體設(shè)備設(shè)計和成本影響不大。
將關(guān)鍵功能集中在與應(yīng)用處理器分離的強大防篡改物理環(huán)境中,可以更容易地確保安全評估法律法規(guī)的合規(guī)性。這種隔離也使得攻擊者更難利用設(shè)備應(yīng)用處理器中的漏洞,很難完全發(fā)現(xiàn)和消除。
如果供應(yīng)商盡快調(diào)試安全IC,則更容易確保物聯(lián)網(wǎng)節(jié)點在其整個生命周期中的安全。使用此方法時,無需與合同制造商共享關(guān)鍵信息,可實現(xiàn)安全的個性化過程和OTA更新。重建和克隆也變得更加困難;由于安全IC無法克隆,物聯(lián)網(wǎng)節(jié)點設(shè)備無法克隆。
選擇合適的應(yīng)用微控制器是一項艱巨的任務(wù),因為我們必須找到特性、成本和上市時間之間的最佳平衡。最合適的微控制器可能沒有足夠的安全特性,因此使用外部垂直安全IC是最靈活、影響小的設(shè)備保護方法。
結(jié)論。
隨著合規(guī)要求的不斷加強和源源不斷的遠程大規(guī)模攻擊,必須注意暴露物聯(lián)網(wǎng)系統(tǒng)的安全性。典型的網(wǎng)絡(luò)系統(tǒng)中有許多組件,安全設(shè)計必須是第一步。雖然保護邊緣的物聯(lián)網(wǎng)節(jié)點并不是唯一的步驟,但它是非常必要的。