加纳Assmy - Fotolia
物联网的嵌入式安全在于芯片
保护资源受限设备的安全并非易事。芯片制造商和密码学专家正在把物联网的嵌入式安全问题掌握在自己手中。
人们对物联网安全的愤怒,主要体现在当所有的“东西”攻击我们的网络时,等待我们的灾难,因为所有这些设备都很容易受到攻击,通常是分布式拒绝服务和其他攻击的理想平台。这种关于天启的特殊理论几乎完全是通过引用来支持的去年秋天的Mirai僵尸网络这些网络摄像头在很大程度上被侵入,因为它们是在开放的互联网上,使用的是默认管理员密码。
如果您可以通过运行对开放的Linux telnet服务器的扫描来构建自己的僵尸网络,那么您显然还处在新手错误的时代。扔在10博官网物联网网关这样就关闭了端口23,网络似乎又恢复了正常状态。但是,除了防傻瓜的网络摄像头和阻止来自灯泡和烤面包机的攻击流量之外,还有一个根本的安全问题:物联网供应商如何阻止恶意篡改软件——以及由此产生的行为——对可能是高度敏感设备的行为?
的微控制器运行的物联网设备需要足够的智能,才能在执行前识别可疑数据或指令。这取决于设备连接到虚拟局域网的范围有多广?到物理上隔离的网络?网络吗?——关于风险的严重性,该设备需要设备上的嵌入式安全,可以验证软件的真实性和完整性(阅读:从我们认为的来源,并没有被其他人改变)。
配套芯片证券投资要有风险
物联网的嵌入式安全问题是芯片制造商和加密专家的领域,他们正试图开发出相对于风险而言具有经济意义的技术。
如果你能在信用卡中内置加密技术,你怎么能不把加密技术内置到有无线电和网络的东西中呢?你绝对买得起。 史蒂夫·汉娜英飞凌科技高级负责人
这些产品必须在电力消耗和处理负载的约束下工作。在植入的医疗设备、远程天气传感器或地面振动探测器中,电池可能很少被替换。
今天的软件验证和身份验证主要依赖于公钥基础设施(PKI)加密和证书计划。使用私钥,供应商签署他的数据或他的可执行文件。因为任何窃取私钥的人都可以签署可执行代码,然后由电子设备成功验证,所以该密钥必须保持安全。使用相应的受信任的公钥(因为它是由我们假定可以信任的证书颁发机构签名的),终端设备根据证书验证该签名,并通过扩展验证文件的起源和完整性。
艾伦·格劳(Alan Grau)是图标实验室(Icon Labs)的总裁,这家芯片软件公司现在提供将这一方案应用于资源极其有限的微控制器的服务。格劳说:“在设备上储存某种密钥是安全的基础。”“如果你想提供数据保护,你必须能够加密它。如果您想提供安全引导功能,就必须存储密钥、证书和签名,不能被篡改。所以,比起CPU的处理能力,这更关乎一些硬件安全元素。”
硬件安全模块是可以安全地生成、存储和使用成对密钥的防篡改设备。的一个子集硬件安全模块是TPM (Trusted Platform Module),一种基于硬件的信任根,提供基本服务,如强标识、安全存储和完整性度量。
利用tpm实现物联网的嵌入式安全性
Steve Hanna是英飞凌技术公司(Infineon Technologies)的高级负责人,该公司的半导体产品包括tpm。作为Internet Engineering Task Force的Security Area Directorate的成员,他参与了TPM标准的建立。“你会在高端工业或嵌入式设备中发现TPM芯片,”他说。“而且因为它们是基于标准的,具有不同安全级别的tpm将在相同的api中工作。”
Grau表示,各种低成本选项为低风险应用提供了TPM功能的子集。密码学可以在软件或支持的加密芯片中完成,也可以在芯片本身上集成到系统中。
即使是信用卡上的安全芯片,这种资源非常少的设备(例如,只有4,000字节的存储),也有一些内置的硬件安全和加密。“如果你能在你的信用卡中内置密码,”汉娜问道,“你怎么能不把密码内置到一个有无线电和网络的东西中呢?”你绝对买得起。”
在品牌的闸门下,Icon Labs提供了一个工具包,用于实现物联网的嵌入式安全性,包括安全引导、加密通信、端点防火墙和相互机器对机器的身份验证基于一个私有的可执行PKI认证机构。它还提供了自己的可嵌入PKI客户机。在自己的新闻稿Icon Labs表示,即使是最小的物联网设备,它也能生成密钥、创建证书签名请求并从证书颁发机构检索已签名的证书。
大大小小的物联网应用的嵌入式安全性
Icon Labs将物联网设备划分为不同的类别,表明处理器的份量和安全工具的选择对每个设备都有意义。
例如,在低端,你有非常小的无线个域网,蓝牙和近场通信物联网设备通常使用8位和16位微控制器。这是你们的恒温器、可穿戴设备、低带宽传感器和其他设备。根据可用资源的不同,可以使用嵌入式防火墙甚至应用程序数据加密。至少,所有类都需要策略管理和事件报告,并具有管理系统监督和更新的能力。
在高端领域,在诊断成像机和卫星天线领域,需要处理多核、32位和64位微处理器,它们能够运行Linux或其他操作系统,以及各种防御工具,包括安全引导和入侵检测。
英飞凌的汉娜坚持认为,任何联网设备,无论多么微不足道,都需要一定程度的嵌入式安全,以防止它成为感染的切入点或“堡垒”。“对于非常低端的设备,即使是最简单的8位处理器本身可能无法执行任何加密,但如果它与安全芯片配对,安全芯片可以为它执行加密,”汉纳说。“它也可以处理所有的安全协议。”
遥控更新
汉娜还指出物联网设备在验证其代码的完整性时,仍然必须提供定期的远程更新,因为bug总是在部署后出现。在低级设备中,您可能不需要太多的加密方法,只需要通过验证签名来验证更新来自制造商。打印机、游戏机和电视都有这种功能。
当您进入更复杂的设备和更高的赌注,如工业应用和汽车,您会发现一个TPM,如英飞凌的Optiga TPM。TPM是在英飞凌16位微控制器上实现的标准设备,它不仅提供身份验证和安全通信,而且还能够随着时间的推移使用新的加密算法和功能更新芯片本身。
分离硬件模块的一种补充方法是将执行引导、核心操作系统和安全功能的代码分离到它自己不可触及的内存空间中。这些被称为可信执行环境;芯片设计公司Arm Ltd.的产品名为TrustZone。(部门许可其TrustZone技术适用于英飞凌等集成电路制造商。)汉娜表示,高端设备同时使用TrustZone和硬件安全芯片。
TrustZone为他们提供了一个运行安全代码的好地方,比如一个(传输层安全)实现,一些安全通信协议,然后在安全芯片上处理密码;他把嵌入式安全芯片的作用比作门窗紧锁的房子里的保险柜。
这类芯片的例子包括Arm的TrustZone CryptoCell系列,它是硬件和软件嵌入式的安全子系统,安装在芯片上的一个系统上。CryptoCell模块与具有TrustZone架构扩展的处理器协同工作,但也可以与没有TrustZone架构扩展的处理器一起使用,如Arm的Cortex-R。CryptoCell包括高效的硬件加密引擎、随机数生成器、信任根和密钥管理功能、安全引导、安全调试、生命周期管理和策略实施功能。
假设物联网应用可以测量铁路轨道开关的运动范围,汉纳表示,工业tpm在每个传感器上都有意义。尽管他不能公布价格数据,但与人工更换受损传感器的成本相比,tpm的成本是很容易证明的。故障或网络渗透的风险也可能证明这是合理的,特别是如果传感器与铁路信号交通共享一个网络。
“没人会让你支付赎金来维持生活”
现在考虑一下智能灯泡的低得多的风险,它可以测量周围的光线,或者可能感知房间里的人数。汉娜指出:“没有人会为了让你保持清醒而让你支付赎金,”但他们可能会把它作为一个切入点,去接触更大的猎物。他说,减轻这种风险的方法是把灯泡放在门后面只让灯泡和它自己的控制系统对话。“现在,我们可以采用一种非常简单的安全解决方案,只需要求灯泡和控制系统相互验证自己。”
为此,一个低端的嵌入式安全芯片就足够了。你甚至可以在微控制器中运行TrustZone。
Grau说,Arm过去只在相当高端的a级处理器上支持TrustZone,但它刚刚在其新推出的32位低端架构ARMv8-M上支持TrustZone。包括模拟设备、微芯片技术、NXP Semiconductors、Nuvoton Technology、瑞萨电子、Silicon Labs和意法半导体在内的芯片供应商已经宣布了他们对该设计的授权。用它生产的第一块芯片,Cortex-M33,只有十分之一平方毫米;2016年10月发布的超低功耗Cortex-M23比它小75%。针对医疗监测设备和包装跟踪标签,它甚至可以操作收获能量,没有电池。
