无码亚洲国产一区二区三区电影_O久久精品国产99国产精品亚洲_曰韩精品无码一区二区视频_国产日产韩产麻豆_国产最新精品自在自线亚洲

物聯(lián)網(wǎng)中嵌入式安全的方向在哪里？

2021-05-11

物聯(lián)網(wǎng)中嵌入式安全的方向在哪里？

如果您考慮一下近年來數(shù)字安全發(fā)展了多少，那就太令人驚訝了。隨著時(shí)間的流逝，我們對“安全”的觀念和社會(huì)接受度發(fā)生了巨大變化。

例如，在采用自動(dòng)取款機(jī)進(jìn)行個(gè)人現(xiàn)金提取之前，您唯一可以信任的進(jìn)行現(xiàn)金交易的地方就是您當(dāng)?shù)氐你y行。在銀行，您溝通的距離是您和玻璃保護(hù)的銀行柜員之間的四英尺高的空氣?，F(xiàn)在，不僅經(jīng)常去銀行進(jìn)行實(shí)物旅行，而且ATM和移動(dòng)銀行應(yīng)用程序也很普遍。

實(shí)際上，今天，自動(dòng)提款機(jī)現(xiàn)在已經(jīng)過時(shí)了，因?yàn)榇蠖鄶?shù)人都在“ Paypal-ing”或使用其他在線傳輸系統(tǒng)。您可以使用ApplePay?輕按雜貨店的銷售點(diǎn)（POS）系統(tǒng)，將信用卡信息保存在大多數(shù)電子商務(wù)網(wǎng)站上，并預(yù)先核準(zhǔn)付款給您剛剛通過Uber或Lyft認(rèn)識的未知駕駛員。

令人驚訝的是，我們對這些系統(tǒng)和數(shù)字安全性的信任度發(fā)展得如此之快！

消費(fèi)者對網(wǎng)站和應(yīng)用程序信任度的相同演變現(xiàn)在正在發(fā)生在關(guān)聯(lián)事物領(lǐng)域。現(xiàn)在，圍繞安全性日益增長的必要性已從網(wǎng)絡(luò)（云）安全性擴(kuò)展到硬件級別（硅）。這就是嵌入式安全的故事所在，它是授予企業(yè)和消費(fèi)者信任的關(guān)鍵鏈接。

什么是嵌入式安全性？

嵌入式安全性也稱為“設(shè)備安全性”，可以歸結(jié)為兩個(gè)主要方面–確保完整性和機(jī)密性。

完整性–您如何知道所接收的數(shù)據(jù)來自受信任的位置，以及如何知道數(shù)據(jù)本身是真實(shí)的？

機(jī)密性–您如何保護(hù)自己的數(shù)據(jù)，知識產(chǎn)權(quán)以及這些機(jī)密的安全機(jī)制（密鑰）？

嵌入式安全性可以幫助抵御真正的威脅。這里僅僅是少數(shù)：

分布式拒絕服務(wù)（DDoS）攻擊–最常見的攻擊之一，其中的設(shè)備和IP地址被劫持，然后泛洪其他網(wǎng)絡(luò)服務(wù)器，直至?xí)簳r(shí)關(guān)閉。

偽造品–包括未經(jīng)授權(quán)的重復(fù)和用新的未經(jīng)授權(quán)的固件映像覆蓋現(xiàn)有產(chǎn)品固件。

篡改–這可能包括物理篡改以提取密鑰或產(chǎn)生期望的結(jié)果，例如錯(cuò)誤的儀表讀數(shù)。另一方面，它也可能涉及電子產(chǎn)品。某些設(shè)備會(huì)發(fā)出電磁輻射，從而將某些型號的電子門鎖解鎖。

這些只是幾個(gè)例子。這些威脅是真實(shí)的，并且只會(huì)繼續(xù)增長和發(fā)展。

幸運(yùn)的是，您的芯片和軟件供應(yīng)商可以幫助您應(yīng)對許多安全挑戰(zhàn)。如圖1所示，設(shè)備安全性是在創(chuàng)建設(shè)備時(shí)與云安全性，協(xié)議安全性和制造安全性一起工作的一個(gè)方面。

這種演變對企業(yè)意味著什么？

希望在未來十年及以后保持可持續(xù)發(fā)展的企業(yè)應(yīng)該評估自己的產(chǎn)品，系統(tǒng)和威脅。目的是評估安全漏洞的成本與實(shí)施安全解決方案或障礙的成本。通常說數(shù)字安全中沒有“一刀切”的解決方案。但是，讓我們討論可以在設(shè)備中使用的一些解決方案。

設(shè)備安全解決方案概述

開發(fā)人員最佳做法

第一個(gè)解決方案不是產(chǎn)品或功能-只是從一開始就在產(chǎn)品開發(fā)中采取正確的決策和預(yù)防措施。沒有額外的硬件或軟件，您可以執(zhí)行許多步驟。這是開發(fā)人員可以遵循的一些推薦做法：

查看安全性問題的代碼，例如緩沖區(qū)溢出和不受管制的輸入數(shù)據(jù)

使用第三方來測試您的設(shè)備

鎖定調(diào)試接口

使用內(nèi)置協(xié)議安全性

內(nèi)存中的保護(hù)層

除了推薦的開發(fā)人員做法外，特定的硬件和軟件功能也可以提供幫助。內(nèi)存保護(hù)單元（MPU）是一個(gè)常見的示例，可以使嵌入式內(nèi)存中的受保護(hù)區(qū)域限制攻擊的影響。其他IC還具有安全管理單元（SMU），提供了更靈活，更細(xì)粒度的保護(hù)，可映射到微控制器外圍設(shè)備。

最新的ARMv8架構(gòu)集成了TrustZone，它具有MPU的優(yōu)點(diǎn)，而沒有功耗和延遲的開銷。在Arm的網(wǎng)站上了解有關(guān)TrustZone的更多信息。

圖2 – Arm的TrustZone中的四種內(nèi)存類型

內(nèi)置硬件加速器，用于加密和密鑰生成

加密和密鑰生成也是常見的安全解決方案。幾乎所有的物聯(lián)網(wǎng)（IoT）應(yīng)用程序都應(yīng)使用某種形式的加密技術(shù)來進(jìn)行加密的數(shù)據(jù)傳輸。設(shè)備可能不包含軟件加密功能，而是包括內(nèi)置的硬件模塊，可以簡化此過程并提高設(shè)備性能?，F(xiàn)在，幾乎所有的微控制器（MCU）都包括用于加密功能（如AES和SHA哈希功能）的硬件加速器。

許多MCU還包括用于生成安全密鑰的隨機(jī)數(shù)生成器（RNG）。RNG的超集提供了更高的魯棒性或“熵”，因此被視為真隨機(jī)數(shù)生成器（TRNG）。

除了密鑰生成之外，其他硬件加速器（例如循環(huán)冗余校驗(yàn)（CRC））也可以幫助檢測代碼錯(cuò)誤。CRC可以幫助您維護(hù)設(shè)備某些方面的數(shù)據(jù)完整性。

調(diào)試與維護(hù)

如果嵌入式設(shè)備是房屋，則調(diào)試端口將是前門。它是設(shè)備的必要組成部分–用于開發(fā)，產(chǎn)品創(chuàng)建以及退回設(shè)備的故障分析。但是，就像開放房屋一樣，也需要適當(dāng)保護(hù)其免受不當(dāng)使用的侵害。

保護(hù)調(diào)試端口時(shí)有很多選項(xiàng)：

不執(zhí)行任何操作（解鎖的調(diào)試端口）–不要執(zhí)行此操作！解鎖的調(diào)試端口無疑提供了低水平的安全性

永久鎖定–良好的安全性，但是不可能進(jìn)行故障分析（FA）

解鎖時(shí)清除內(nèi)存–保護(hù)數(shù)據(jù)，但使設(shè)備接觸到新的/偽造的惡意軟件

使用全局密碼鎖定–受保護(hù)的端口，直到密碼泄漏為止，這時(shí)整個(gè)IoT設(shè)備都將受到威脅

使用唯一的設(shè)備密碼進(jìn)行鎖定–安全性高，但制造難度大

使用非對稱鑰匙鎖–最高的安全性，對于FA最靈活

圖3 –密碼調(diào)試解鎖如何工作

信任的根源

到目前為止，以上這些解決方案都很棒，但是如果軟件實(shí)現(xiàn)遭到破壞怎么辦？很快就會(huì)變成“狐貍守護(hù)雞舍”的情況。

為避免這種情況，有益的是根據(jù)信任根（RoT）驗(yàn)證設(shè)備的內(nèi)容。信任根不是指一個(gè)特定的產(chǎn)品或?qū)崿F(xiàn)，而是一個(gè)可以被幾種不同的實(shí)現(xiàn)所滿足的概念。

在嵌入式設(shè)備中，這可以通過存儲在ROM或其他不可變存儲器中的代碼和加密密鑰來實(shí)現(xiàn)。安全元件（SE）可以在隔離的硬件中執(zhí)行此過程。安全元件既有連接到MCU的獨(dú)立（外部）芯片封裝，也有內(nèi)置的單片（管芯）元件。仍然首選片上實(shí)施方案，因?yàn)樗鼈兛商峁└呒墑e的安全性并有助于降低系統(tǒng)成本。

安全密鑰存儲

保護(hù)系統(tǒng)私鑰的保密性至關(guān)重要。這就需要安全密鑰存儲，然后再保護(hù)其他秘密，例如知識產(chǎn)權(quán)和私有數(shù)據(jù)。

使用安全元素（SE）是存儲私鑰的絕佳方法。它提供了訪問受限的隔離且不變的存儲位置。

此外，可以使用硬件保護(hù)的最后一層（物理上不可克隆的功能（PUF））來實(shí)現(xiàn)授予對此密鑰的訪問權(quán)限。PUF充當(dāng)MCU的唯一門級指紋，僅在上電引導(dǎo)序列期間處于活動(dòng)狀態(tài)。PUF本質(zhì)上的獨(dú)特性和易變性使PUF成為一種高級方式，可以僅通過設(shè)備訪問私鑰，同時(shí)又可以安全地限制其私密性。這是設(shè)備安全領(lǐng)域中一項(xiàng)真正創(chuàng)新且經(jīng)過驗(yàn)證的技術(shù)。

DPA對策和篡改檢測

前面的示例都是針對網(wǎng)絡(luò)/軟件攻擊的出色解決方案，這些攻擊通常源自遠(yuǎn)程位置。如果黑客在設(shè)備的物理范圍內(nèi)怎么辦？一些黑客可以通過簡單地監(jiān)視密鑰交換過程中電源電壓的波動(dòng)來竊取設(shè)備密鑰。此技術(shù)稱為差分功率分析（DPA）。

這就是DPA對策的幫助。一些嵌入式設(shè)備可以通過有意地隨機(jī)化功率波形來抵消DPA測量。如果使用DPA對策解決方案，則僅用幾分鐘就可以破解沒有DPA對策的產(chǎn)品。

除對策外，某些設(shè)備還可以檢測溫度或電壓的異常變化，然后向主機(jī)中斷處理程序發(fā)出警報(bào)。這稱為篡改檢測，是DPA對策之外的獨(dú)特功能。這兩個(gè)功能一起可以在保護(hù)有價(jià)值的信息并駐留在人們可以物理訪問的地方的產(chǎn)品中增加更高的安全性。

尋找正確的解決方案 

如您所見，關(guān)于安全性，有很多東西要學(xué)習(xí)。不要被所有這些術(shù)語和潛在威脅所嚇倒或不知所措。它們可能不適用于您和您的系統(tǒng)。評估自己的需求是第一步。找出哪些威脅適用于您的應(yīng)用程序。權(quán)衡威脅和這些威脅的成本與實(shí)施嵌入式安全解決方案的成本之間的關(guān)系。

圖4 –權(quán)衡攻擊成本與安全成本

最重要的是，與各種供應(yīng)商合作，看他們是否有合適的解決方案。更多安全功能正在添加和集成。這些供應(yīng)商可以提供廣泛的觀察和見識，以指導(dǎo)您。然后，當(dāng)需要實(shí)施安全層時(shí)，他們可以使用正確的硬件，軟件，庫，示例和工具來簡化該過程。

例如，Silicon Labs的Series 1 Wireless Gecko設(shè)備為藍(lán)牙，802.15.4網(wǎng)格和專有無線應(yīng)用程序提供了內(nèi)置的硬件安全性。安全功能包括內(nèi)存保護(hù)，錯(cuò)誤代碼檢測和糾正，密碼加速器以及調(diào)試控制。這些功能提供了大量的威脅防護(hù)。該公司的新系列2產(chǎn)品組合提供了更多安全功能，例如附加的加密加速器，具有信任根和安全加載程序（RTSL）的安全啟動(dòng)，具有鎖定/解鎖功能的安全調(diào)試以及Arm的TrustZone。

圖5 –具有高級安全功能的Silicon Labs系列2模塊的示例

圍繞嵌入式安全性的這種日益增長的討論只是冰山一角。硅到云安全性的需求正在迅速增長。技術(shù)提供商更快地提供具有成本效益的，易于部署的解決方案，連接的事物越早滿足安全支付應(yīng)用程序的標(biāo)準(zhǔn)。然后，我們可以信任我們的無線門鎖，監(jiān)視我們的家庭和家庭的IP攝像機(jī)以及托管機(jī)密和個(gè)人數(shù)據(jù)的企業(yè)設(shè)備。