IoT（物联网）设备安全性设计原则探讨.docx

《IoT（物联网）设备安全性设计原则探讨.docx》由会员分享，可在线阅读，更多相关《IoT（物联网）设备安全性设计原则探讨.docx（7页珍藏版）》请在课桌文档上搜索。

1、对于当今开发的每个嵌入式设备，都需要至关重要的强大安全性支持。物联网设备中的黑客攻击威胁格局日益严重，要求从设备的出厂发运开始就需要发挥其全面的安全性。本文将讨论实现更强大I。T设备安全性的步骤，并解释嵌入式安全性背后的不同概念，以及如何针对嵌入式设备安全性实施一致且包罗万象的方法。弓I言“在任何嵌入式设计中实现安全功能都是一项艰巨的任务。每天都有关于黑客窃取敏感信息或由于客户信息受到破坏而导致站点无法运行的新闻，这些足以使开发人员夜不能寐。安全威胁形势在不断变化，攻击媒介(attackvector)和黑客也在不断发展。这些新闻不仅仅限于消费类技术中的漏洞。2020年末，一家半导体供应商的全部

2、生产能力被黑客绑架勒索，这是一个发生在非常接近促进安全最佳实践行业的事件。攻击者或许认为，以个人消费者为目标只会产生少量赎金，而以大型企业和组织为目标则可以带来数量更大的回报，因为目标对象通常希望避免任何负面新闻。如今，在诸如工业物联网(UoT)之类的操作技术(OT)领域，开发人员面临着巨大压力，要求他们为其设计的所有内容实施最高安全等级防护。如图1所示，网络攻击已从针对远程企业IT云服务器和数据中心转向传感器、边缘节点和网关等本地设施，这种趋势表明攻击媒介发生了变化。例如，对网络边缘温度传感器节点的访问攻击不仅会危害该单个设备，还能够提供从传感器攻击更广泛基础架构的机会。RemoteAtta

3、cks(throughtheInternet)Historicallyhackersattackedonlyfromthecloudandfocusedonsolelyondataservers.1.ocalAttacks(Hands*OnAccess)rPivotAttacks/areagrowingattackvectoragainstIoT.Endnodesareattackedlocallyandthenusedtoattackhigherlevelserversfortheirmorevaluabledata.1.ogicalAttacksPhysicalAttacks(ontheS

4、oftware)(ontheHardware)图1：攻击媒介从远程到本地的变化格局。监管环境也在发生变化，美国和欧洲最近的立法为消费和工业设备制定了基本框架。在美国，诸如NIST.IR8259之类的联邦立法正在准备规定安全性问题和建议，以克服针对IoT设备的安全性漏洞。一旦这些立法得到批准，NIST标准将成为国际公认的ISOIoT设备安全规范。美国的几个州在满足NIST.IR8259的要求方面已经非常超前。图2仅突出显示了该立法将要解决的一些基本安全原则问题。图2：ConcernFederalRequirementDeviceIdentificationTheIoTdevicecanbeuni

5、quelyidentifiedlogicallyandphysically.DeviceConfigurationTheIoTdevice,ssoftwareandfirmwareconfigurationcanbechanged,andsuchchangescanbeperformedbyauthorizedentitiesonly.DataProtectionTheIoTdevicecanprotectthedataitstoresandtransmitsfromunauthorizedaccessandmodification.1.ogicalAccesstoInterfacesTheI

6、oTdevicecanlimitlogicalaccesstoitslocalandnetworkinterfacestoauthorizedentitiesonly.SoftwareandFirmwareUpdateTheIoTdevice,ssoftwareandfirmwarecanbeupdatedbyauthorizedentitiesonlyusingasecureandconfigurablemechanism.CybersecurityEvent1.oggingTheIoTdevicecanlogcybersecurityeventsandmakethelogsaccessib

7、letoauthorizedentitiesonly.用于物联网设备安全的N1ST.IR8259标准框架。欧洲的标准组织ETSl也正在开发类似的监管法规TS103645o已经批准的欧洲标准EN303645,以及名为“消费类物联网网络安全(CybersecurityforconsumerInternetofThings),4得到欧洲各国和澳大利亚等其他国家广泛采用。本文将讨论实现更强大IoT设备安全性的步骤，并解释嵌入式安全性背后的不同概念，以及如何针对嵌入式设备安全性实施一致且包罗万象的方法。发现设备漏洞对于嵌入式开发人员，其安全要求众所周知。但是，要实现这些安全性的必要步骤则比较困难且复杂。

8、当嵌入式设备相对独立时，这可能要容易得多。但如今，网络无处不在，使每个物联网设备都容易受到攻击。而且，往往攻击者更有经验，攻击媒介也不仅限于TCP/IP网络和端口。嵌入式设备的每个方面都可能具有潜在的攻击面。了解可能的攻击面有助于确定应该使用哪种防护方法。图1将本地攻击分为针对IOT设备的软件或硬件，攻击的类型或许更复杂，例如差分功率分析(DPA),也可以通过获得对设备JTAG端口的物理访问，并用恶意代码对其进行重新编程而使攻击变得更加直接。差分功率分析需要实时侦测设备的功耗，以确定设备可能正在做什么。随着时间的积累，能够建立一种数字图像，确定嵌入式处理器可能正在做什么。加密功能特别耗费计算资

9、源和大量功率，黑客能够识别出频繁的数字加密和解密任务操作。一旦了解了处理器的操作，对手就可以使用故障处理将其强制进入故障状态，同时会使寄存器和端口可访问。对手使用的其他攻击技术包括篡改系统时钟，在外围引脚上引入错误信号以及将电源电压降低，使处理器运行变得更不稳定，从而可能暴露隐蔽的密钥和锁定端口。保护您的设备在审查要在IoT设备中实施的安全机制时，工程团队可能会发现安全物联网(InternetofSecureThings,IoXT)等行业框架是一个很好的起点。安全物联网是一个行业主导的计划，旨在使嵌入式开发人员更轻松地实施保护物联网设备安全的编程任务。IoXT已建立了涵盖物联网安全性、可升级性

10、和透明度的八项原则框架，工程师在设计物联网设备时可以遵循这些原则。安全物联网八项原则1 .禁止通用密码：设备使用唯一的默认密码，而不是通用密码，以使对手无法广泛控制数百个设备。2 .保护每个接口：在使用过程中，无论其目的如何，都应对所有接口进行加密和认证。3 .使用经过验证的加密方法：建议使用行业认可的开放式加密标准和算法。4 .默认情况下的安全性：产品出厂发运时应启用最高级别的安全性。5 .已签名软件的更新：应该对无线软件更新进行签名，以便接收设备可以在应用更新之前对其进行身份验证。6 .自动软件更新：设备应自动进行经过身份验证的软件更新，以维护最新的安全补丁程序，而不是将更新任务留给消费者

11、。7 .漏洞报告方案：产品制造商应为用户提供一种报告潜在安全问题的方法,以加快更新速度。8 .安全到期日：与保修计划一样，安全条款也应在某个时候到期。制造商可以提供扩展的支持方案，以帮助顺延连续的安全支持和更新的成本。实施全面的安全措施随着物联网安全格局的快速变化，物联网产品工程团队也在努力与不断增长的所需安全功能保持同步，能够满足此需求的一个平台是SiIiCOn1.abS开发的SecureVault,它使用硬件和软件功能的组合在SoC中提供全面的安全子系统。Silicon1.abs第一个集成有SecureVault的器件是多协议无线SoCEFM32MG21BoSecureVault已获得行业

12、安全组织PSACertified和ioXt联盟CioXtAlliance)的认证。PSACertified1.evel2认证基于与Arm共同创建的安全标准框架。SecureVaultSoC在设备中集成了期望的所有安全功能，例如真正的随机数生成器、加密引擎、信任根和安全启动功能。SecureVault通过增强的安全启动、DPA对策、防篡改检测、安全密钥管理和安全证明等特性进一步加强安全功能。图3：Silicon1.absSecureVault的安全元素子系统。黑客通常使用的一种攻击方法是干扰启动代码，用看似正常但实际运行却完全不同的指令替换代码，将数据重新定向到其他服务器。SeCUreVaUlt

13、采用增强的引导过程，其中同时使用应用微控制器和安全元素微控制器，并结合信任根和安全加载程序功能，仅仅执行受信任的应用程序代码，参见图5。SecureElementMCUApplicationMCUImmutablememory,checksecureelementbootloadercode(SEB),canupdateSEBcodeChecksecondstagebootloadercode(SSB),canupdateSSBcodeCheckapplicationcode,canupdateapplicationcodeExecutetrustedapplicationcodeagains

14、timmutablememoryandthroughfullchainoftrust图4：使用Silicon1.absSecureVault的安全启动。另一种黑客攻击方法试图将已安装的固件回退(rollback)到具有安全漏洞的先前版本。这样，黑客就可以破坏设备，从而利用其中的安全漏洞。借助SecureVault,防回退预防措施通过使用数字签名的固件来验证是否需要更新，参见图6。Failure图5：SecureVault的防回退对策使用数字签名对固件更新进行身份验证。某些系统以前使用可公共访问的唯一ID(UID)来标识单个IOT设备。对于开发人员而言，此类UID有助于伪造产品，从而使产品的真实

15、性受到质疑。通过使用SeCUreVaU13可以生成唯一的ECC密钥/公用密钥对，并且密钥可以安全地存储在芯片上。应用程序可以请求设备的证书，但是任何响应需要使用设备的密钥签名，而不是随证书一起发送，参见图7。RequestDeviceCertificate图6：使用SecureVault进行安全认证的过程。结论对于当今开发的每个嵌入式设备，都需要至关重要的强大安全性支持。物联网设备中的黑客攻击威胁格局日益严重，要求从设备的出厂发运开始就需要发挥其全面的安全性。使用SecureVault,可以确保产品开发团队及其客户从一开始就具有防范可扩展软件攻击的强大保护机制。附：面向IOT物联网的架构设计参

16、考随着云计算、边缘计算与物联网技术愈发成熟，数据的产生与处理已然来到一个新的时代。数据基础设施正在从云原生(CIoUd-NatiVe)向面向物联网(IOT-Oriented)架构演进。基于此，我们总结了面向物联网(IoT-Oriented)架构的设计原则和功能特点。面向物联网架构设计原则移动计算优先随着计算芯片持续分化出面向各种计算负载特征的专用协处理器，如GPU、DPU等，到苹果公司最新设计的Ml芯片的UnifiedMemory,以及大数据产业链的SchemaonWrite到SchemaonReadET1.到E1.To其中都蕴含了相同的架构设计思想:减少数据搬移，减少数据拷贝，优先移动计算而

17、非移动数据。在物联网场景中，移动计算优先设计原则的优势体现在：在数据量持续快速攀升、计算负载相应指数级增长的情况下，通过移动计算可以分散计算负载，提高整体计算能力；物联网时代强调决策的实时性。通过移动计算提高决策的效率，可降低端到端系统时延；端到端高可用的需求日益增长，通过分布式架构将计算移动到数据本地节点中，避免集中计算的单点故障，同时降低了数据传输与数据复制对整体系统的压力，实现整体系统的高可用；数据流可重用数据在信息层面的复制成本极低，但数据在搬移和存储层面的成本随着数据量越来越大，变得愈发显著。新一代数据基础设施的重要原则已经是:尽可能减少数据搬移、拷贝和重复计算。因此，在全球范围内的

18、新一代数据基础设施的设计哲学中已经开始看到:数据可重用。结合物联网产业发展现状及未来趋势，进一步发展出数据流可重用的原则：数据流即服务多用户多场景共享一个数据源物化数据流作为应用交互接口全场景可适配随着协处理器与专用计算芯片的寒武纪大爆发，异构计算环境成为软件设计中不可缺少的考虑因素之一。此外，由于历史原因，物联网产业中各个企业中的操作系统、服务器硬件设备、传输用网络协议、工业通信协议、存储目标和存储设备等均有很大差异。基于全球上万家企业，提出全场景可适配原则：云边端各式处理器各种操作系统均可部署、可协同，异构设备统一接入；从P1.C、工业网关，到MQTT、TCP、QUIC等网络协议均可适配；

19、持久化数据可适配各类存储介质包括新一代的NVMe等。分布式云原生随着全行业对低时延的要求越来越高，企业从快速上云到开始重新思考云边协同，再到试图用统一的模型来同时管理云和边，已经经历了三次对如何发挥云计算模型价值的尝试。但业界大多只是知道分布式云的概念，对真正分布式云的开发理念的探索较少。基于产业发展趋势，定义了分布式云原生的软件开发理念与设计哲学：去中心化的分布式系统，Peer-to-Peer的网络拓扑；用户的感知应当是更快更稳定的云计算，分布式调度复杂度藏于基础软件中；各类软件的计算负载、通信负载、存储负载均可在分布式云中自由调度。面向物联网架构设计特点持续稳定的海量超高并发连接传统IT系

20、统与移动互联网主要由系统与系统，系统与移动终端产生数据连接，万级以上并发连接系统比较少。面向传统IT和互联网场景设计的基础架构软件在适应大并发连接系统的建设与维护成本非常高。物联网场景下数据源主要以智能设备、感知设备为主，终端数量远远大于传统IT与互联网场景。如智能家居、车联网等场景下的平台连接数量普遍超过十万，大型平台可以达到百万级甚至千万级水平。这就要求面向物联网场景的基础架构软件具备在相对成本较低的情况下适应海量设备同时接入并保持稳定连接的能力。全链路端到端双向多QoS支持传统IT和互联网系统主要通过企业内网、企业专网或宽带移动网络连接。而物联网时代为了适应不同设备密度与连接成本，需要实

21、现固网与移动网络并存、宽带与窄带混合，从单一网络到分布式跨地域混合网络接入的演进。对于物联网系统则需要适配各类网络，实现端到端数据打通能力。由于接入网络复杂度提高，网络稳定性下降，需要物联网系统在传输层与应用层协议中提供相关的保障。如物联网长连接场景中常用的MQTT协议提供了消息质量(QoS)的定义，包括消息最多传递一次、至少传递一次和仅传递一次三种级别，可以在不同业务需求与成本需求中选择消息质量级别。随着业务模式的不断丰富，物联网业务从单向的设备数据采集，逐渐演化成设备与系统、设备与设备、设备与人的双向交互。从ToC的智能家居场景的用户与智能设备的互动，到产业互联网中工业生产设备的数据采集与

22、远程控制、车路协同中的车辆驾驶系统与路边感知设备的互联互动，都需要物联网基础软件有能力打通数据的双向通道。超低延时的有状态流式处理与分析从业务需求看:大量关键业务，如车路协同、工业生产监控等，对数据处理与系统响应的时效性要求非常高，且设备数据往往是有状态的。从数据类型看:不同于传统IT与互联网系统中大部分数据以时间离散型的业务查询与交易数据为主，物联网数据由主要由设备产生，以时间连续数据流为主的数据类型占比逐渐增加o这就需要物联网系统与软件提供更强的流数据的处理能力。数据流虚拟化与Schema级多租户企业级物联网平台系统中，大量原始流数据会被不同业务系统实时消费与分析，为不同业务目的提供数据价值。不同业务应用视角不同，对流数据的读取分析方式也不同。目前大量企业采用数据复制的方式为不同业务视角提供数据模型与分析模型，造成组织内数据激增。而且数据复制过程需要损耗大量时间，对于实时性要求高的物联网场景往往无法提供有时效性的分析结果。在同时考虑原始数据重用性和时效性方面，基于数据流虚拟化以及Schema级的多租户方案就显得异常重要。Schema级的多租户为不同业务视角定义流数据模型，保证了不同业务对数据需求的分离;同时采用虚拟流的方式避免了原始数据的复制，保证了业务的时效性的同时也降低了原始数据的复制存储成本。