近年來數(shù)字安全發(fā)生了許多變化,隨著物聯(lián)網(wǎng)(IoT)發(fā)展時(shí)間的推移,我們的心態(tài)和社會(huì)對(duì)“安全”的要求已經(jīng)發(fā)生了巨大的轉(zhuǎn)變。
例如,采用ATM機(jī)提取個(gè)人現(xiàn)金,過去您所信任用來進(jìn)行現(xiàn)金交易的唯一地點(diǎn)是本地銀行;現(xiàn)在,通過自動(dòng)取款機(jī)和移動(dòng)銀行應(yīng)用程序方式反而更常見。
事實(shí)上,今天的ATM機(jī)甚至已經(jīng)有些過時(shí)了,因?yàn)榇蠖鄶?shù)人都在使用移動(dòng)支付或其他在線轉(zhuǎn)賬系統(tǒng)。你可以用Apple Pay登錄商店的POS系統(tǒng),將你的信用卡信息保存在大多數(shù)電子商務(wù)網(wǎng)站上,并通過優(yōu)步或Lyft向你剛剛認(rèn)識(shí)的陌生司機(jī)支付預(yù)先批準(zhǔn)的費(fèi)用。
令人驚訝的是,我們對(duì)這些系統(tǒng)和數(shù)字安全的信任發(fā)展得如此之快!消費(fèi)者對(duì)網(wǎng)站和應(yīng)用程序的信任正在互聯(lián)領(lǐng)域發(fā)生著同樣的變化。圍繞安全日益增長的需求現(xiàn)在正從網(wǎng)絡(luò)(云)安全擴(kuò)展到硬件級(jí)別(硅)。這就是嵌入式安全性出現(xiàn)的地方,它為企業(yè)和消費(fèi)者提供了信任的關(guān)鍵環(huán)節(jié)。
什么是嵌入式安全?
嵌入式安全也被稱為“設(shè)備安全”,可以歸結(jié)為兩個(gè)主要方面——確保信息的完整性和保密性。
完整性—如何知道接收到的數(shù)據(jù)來自可信的地方,如何知道數(shù)據(jù)本身是真實(shí)的?
保密性—如何保護(hù)您自己的數(shù)據(jù)、知識(shí)產(chǎn)權(quán)和這些秘密的安全機(jī)制(密鑰)?
嵌入式安全可以幫助防范真正的威脅。以下是一些常見的類別:
分布式拒絕服務(wù)(DDoS)攻擊—最常見的攻擊之一,設(shè)備和IP地址被劫持,然后淹沒其他網(wǎng)絡(luò)服務(wù)器,直至臨時(shí)關(guān)閉。
偽造—包括未經(jīng)授權(quán)的復(fù)制和使用新的未經(jīng)授權(quán)的固件鏡像覆蓋現(xiàn)有產(chǎn)品固件。
篡改—可能包括物理篡改以提取密鑰,如不正確的儀表讀數(shù)。另一方面,它也可能涉及電子方式。一些設(shè)備可以釋放電磁輻射,解鎖某些型號(hào)的電子門鎖。
上面只是幾個(gè)例子。這些威脅是真實(shí)存在的,而且只會(huì)繼續(xù)增長和演變。幸運(yùn)的是,您的硅和軟件供應(yīng)商可以幫助您解決許多安全方面的挑戰(zhàn)。如下圖所示,在創(chuàng)建設(shè)備時(shí),設(shè)備安全性是與云安全性、協(xié)議安全性和制造安全性一起工作的方面。
嵌入式安全的演變對(duì)企業(yè)意味著什么?
希望在未來10年甚至更長時(shí)間內(nèi)保持可持續(xù)發(fā)展的企業(yè),應(yīng)該評(píng)估自己的產(chǎn)品、系統(tǒng)和威脅。目標(biāo)是評(píng)估安全性破壞的成本與實(shí)現(xiàn)安全性解決方案或屏障的成本。人們常說,在數(shù)字安全領(lǐng)域沒有“一刀切”的解決方案。不過,讓我們來討論一些可以在設(shè)備中使用的解決方案。
開發(fā)人員的最佳實(shí)踐第一個(gè)解決方案不是一個(gè)產(chǎn)品或特性——它只是在產(chǎn)品開發(fā)的一開始就采取正確的決策和預(yù)防措施。不需要額外的硬件或軟件,您可以采取許多步驟。這里有一些建議的做法,供開發(fā)人員遵循:
檢查安全問題的代碼,比如緩沖區(qū)溢出和不受控制的輸入數(shù)據(jù)
使用第三方來測試你的設(shè)備
鎖調(diào)試接口
使用內(nèi)置的協(xié)議安全性
內(nèi)存機(jī)制中的保護(hù)層除了通過開發(fā)人員實(shí)踐之外,特定的硬件和軟件特性也可以提供幫助。內(nèi)存保護(hù)單元(MPU)是一個(gè)常見的示例,它可以使嵌入式內(nèi)存中的受保護(hù)區(qū)域限制攻擊的影響。其他集成電路也有安全管理單元(SMU),提供更靈活和更細(xì)粒度的保護(hù),映射到微控制器外圍設(shè)備。
最新的ARMv8架構(gòu)合并了TrustZone,它具有MPU的優(yōu)點(diǎn),而沒有功耗和延遲的開銷。在Arm的網(wǎng)站上閱讀更多關(guān)于TrustZone的信息。
內(nèi)置硬件加速器加密和密鑰生成
加密和密鑰生成也是常見的安全解決方案。幾乎所有的物聯(lián)網(wǎng)應(yīng)用程序都應(yīng)該使用某種形式的加密技術(shù)來進(jìn)行加密數(shù)據(jù)傳輸。設(shè)備可能包括內(nèi)置的硬件模塊,而不是在軟件中進(jìn)行加密,從而簡化了這一過程并提高了設(shè)備的性能。幾乎所有的微控制器(MCU)現(xiàn)在都包括用于加密函數(shù)(如AES和SHA函數(shù))的硬件加速器。
許多MCU還包括隨機(jī)數(shù)生成器(RNG),用于生成安全密鑰。RNG提供了更高的魯棒性,然后做為真正的隨機(jī)數(shù)生成器(TRNG)。
除了密鑰生成之外,其他硬件加速器,如循環(huán)冗余檢查(CRC)可以幫助進(jìn)行代碼錯(cuò)誤檢測。CRC可以幫助維護(hù)設(shè)備某些方面的數(shù)據(jù)完整性。
調(diào)試和維護(hù)
如果嵌入式設(shè)備是一個(gè)房子,調(diào)試端口將是前門。它是設(shè)備的必要部分——用于開發(fā)、產(chǎn)品創(chuàng)建和返回單元的故障分析。然而,就像打開一個(gè)家庭,它需要適當(dāng)?shù)谋Wo(hù),防止不適當(dāng)?shù)臑E用。
在保護(hù)調(diào)試端口時(shí)有許多選項(xiàng):
什么都不做(解鎖調(diào)試端口) —千萬不要這樣做,一個(gè)解鎖的調(diào)試端口將毫無疑問地降低安全級(jí)別
永久鎖—安全性好,但無法進(jìn)行故障分析(FA)
內(nèi)存擦除解鎖—保護(hù)數(shù)據(jù),但打開設(shè)備的新/假惡意軟件
鎖定全球密碼保護(hù)端口,直到密碼泄漏,在這一點(diǎn)上整個(gè)物聯(lián)網(wǎng)設(shè)備艦隊(duì)受到危害
獨(dú)特的設(shè)備密碼鎖—安全性好,但制造難度大
鎖與非對(duì)稱密鑰—最高的安全性,最靈活的FA
找到正確的解決方案
正如您所看到的,在安全性方面有很多東西需要學(xué)習(xí)。不要被這些術(shù)語和潛在的威脅嚇倒或壓垮。它們可能不適用于您和您的系統(tǒng)。評(píng)估您自己的需求是第一步。找出哪些威脅適用于您的應(yīng)用程序。將這些威脅和這些威脅的成本與實(shí)現(xiàn)嵌入式安全解決方案的成本進(jìn)行權(quán)衡。
最重要的是,與不同的供應(yīng)商合作,看看他們是否有合適的解決方案。更多的安全特性正在被添加和集成。這些供應(yīng)商可以提供廣泛的觀察和見解來指導(dǎo)您。然后,當(dāng)需要實(shí)現(xiàn)安全層時(shí),他們可以使用正確的硬件、軟件、庫、示例和工具來簡化這個(gè)過程。
例如,Silicon Labs(亦稱芯科科技)的Wireless GeckoSeries 1設(shè)備為藍(lán)牙、802.15.4 mesh和專用無線應(yīng)用程序提供內(nèi)置硬件安全性。安全特性包括內(nèi)存保護(hù)、錯(cuò)誤代碼檢測和糾正、密碼加速器和調(diào)試控制。這些功能提供了大量的威脅保護(hù)。該公司的新一代Wireless Gecko Series 2的產(chǎn)品組合提供了更多的安全功能,如額外的加密加速器,安全啟動(dòng)與根信任和安全加載器(RTSL),安全調(diào)試與鎖/解鎖,從Arm的TrustZone。
圍繞嵌入式安全性的討論越來越多,但這只是冰山一角。對(duì)芯片和云安全的需求正在迅速增長。技術(shù)提供商越快提供低成本、易于部署的解決方案,聯(lián)網(wǎng)的東西就會(huì)越快達(dá)到安全支付應(yīng)用程序的標(biāo)準(zhǔn)。然后,我們可以信任我們的無線門鎖、監(jiān)控家庭的IP攝像頭,以及存儲(chǔ)秘密和個(gè)人數(shù)據(jù)的企業(yè)設(shè)備。
-
物聯(lián)網(wǎng)
+關(guān)注
關(guān)注
2899文章
43799瀏覽量
369175 -
嵌入式安全
+關(guān)注
關(guān)注
0文章
25瀏覽量
10888
原文標(biāo)題:【IoT知識(shí)庫】嵌入式物聯(lián)網(wǎng)安全將何去何從?
文章出處:【微信號(hào):SiliconLabs,微信公眾號(hào):Silicon Labs】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論