还必须构建一个安全无忧的可信任的物联网,安全启动和安全更新等机制

日期:2020-06-21 20:31:52 来源:互联网 编辑:小优 阅读人数:365

家居、汽车、移动通信设备和支付中使用的IoT(物联网)设备开始在健康保健和工业领域普及。这数十亿台互联设备(预计到2025年将有750亿台物联网设备)将成为的首要目标。因此,我们不仅要努力构建物联网,还必须构建一个安全无忧的可信任的物联网。

最近一些众所周知的攻击(包括Mirai、Meltdown/Spectre、Roca、Heartbleed和Rowhammer)打击了人们对未来物联网的信心。这些攻击的潜在影响不但是经济上的,也可能危及生命,因为物联网设备不仅能感知环境,还能在环境中进行物理操作。例如:物联网设备可根据血糖仪的血糖浓度测量值作用于人体的胰岛素泵。

物联网

数十亿台互联设备使人们面临着安全性和隐私性方面的严峻。这些设备均配备了传感器和致动器:可作用于真实的物质世界。例如:“智能”胰岛素泵就是一种物联网设备,在满足特定条件的情况下,它可以在预先确定的特定范围内自主决定向患者体内注射胰岛素;在其他情况下,注射胰岛素的请求可能来自物联网网络中的监测器。如果成功了这些胰岛素泵的正常功能,结果将是致命的。必须通过安全性确保阻止的恶意计划,而安全性是要确保无论是否成功,任何故障都不会导致危及生命的情况出现;隐私性则确保不是每个人都可以公开访问这数十亿设备处理的数据。

另一个示例就是未来的自动驾驶汽车:如果成功地远程控制了线控驱动功能,他们就能够在不恰当的时刻改变车辆的行驶方向。这些设备都是半自动化操作的。注册、配置和初始化之后,它们与终端用户之间的交互越少越好:这就是智能化物联网设备易用性体验的一部分。

因此,设备所感知的数据以及根据数据做出的决策都必须可靠。在设备的整个使用期限内都必须确保这一点。设备的使用期限是不可预测的,一些物联网设备可使用10年以上。技术在不断改进;每天都会出现新的攻击。这些攻击如今覆盖了“本地”与“远程”以及“逻辑”与“物理”攻击矩阵的四个象限。

还必须构建一个安全无忧的可信任的物联网,安全启动和安全更新等机制(图1)

四象限安全威胁矩阵

本地攻击是通过实际接近设备来执行的,而远程攻击则以通过网络连接发送命令的方式来执行。通过执行本地攻击而获取的知识,可能导致发起未来的远程攻击。虽然远程攻击可能需要掌握大量专业知识,但它可以实现攻击自动化,由并不掌握技术的攻击者大规模执行。这意味着远程攻击是可扩展的。

远程攻击可能从一部设备发起,并在短时间内影响到数百万部目标设备。对设备、互联网服务或组织的逻辑攻击是通过利用中的弱点来执行的,此类弱点主要存在于软件中。它们的执行方式是访问标准接口,包括有线和无线接口。逻辑攻击可以实现自动化,无需具备很多技术能力,即可大规模发起攻击。

物理攻击是在设备运行过程中,利用已知或习得的物理特征,突破关键的安全防线(例如:加密密钥)从而对设备发起攻击。远程物理攻击是在软件中实现的,例如,在过去数年内,Rowhammer、Meltdown/Spectre、缓存攻击、电源域控制器远程攻击已经兴起。

这就是说,我们今天设计的设备预计已经能够承受未来10年以上的未知攻击。这是一项非常艰巨的,也意味着,所有物联网设备都必须能够在其使用期限内执行安全认证更新。

安全无忧的可信物联网之路

从物联网转向安全无忧的信任互联网必须坚持以下原则:“通过设计确保数据安全性”“通过设计确保人身安全”以及“通过设计确保隐私性”这些相互配合便可实现“信任互联网”这个最终目标。

“通过设计确保数据安全性”意味着“安全性”是一种属性,它整合在的所有部件和子部件的所有特性之中。也就是说,从构想新物联网设备的“第一天”就考虑了“安全性”安全性是以数据的机密性、完整性和真实性为基础,亦可用于数据的处理。这意味着,存在运行时监测、安全启动和安全更新等机制。此外,还存在可以发现攻击(记住,不存在100%安全的)并触发必要恢复机制的检测机制。

弹性是另一个安全支柱。这就是在此背景之下“通过设计确保人身安全”出现的原因所在。无论攻击者对设备或造成了多大的,都必须确保设备或的运行不会造成生命或财产威胁。“通过设计确保数据安全性”和“通过设计确保人身安全”意味着,设备、或解决方案供应商必须通过外部实验室和认证机构来客观地评估所实现的安全性和安全水平。像恩智浦这样的公司都具有对适用于政府和支付解决方案的产品进行通用标准认证的经验。但物联网设备安全认证的前景正在发生变化:业界采用并认可的现有方案被认为不适用于新兴的物联网生态。为帮助提高行业标准,在GlobalPlatform的支持下,恩智浦和STMicroelectronics等其他公司提议采用新认证计划—“物联网平台安全评估计划”SESIP该认证不仅秉承了成熟可靠的通用标准方案的一些特性,还可以经济有效地应用于所有物联网设备。

“通过设计确保数据安全性”的另一个重要特性就是硬件和软件安全性都要考虑,因为很明显,目前并没有一种方法可实现基于软件的物联网安全性,能够满足当前和未来安全期望。

需要注意的是,所实现的安全性和隐私性必须与详细的风险和威胁分析结果相匹配。这些分析必须根据要保护的价值对附加功能的成本进行可靠评估。

交付和后续工作

交付安全和保护隐私的产品不仅仅要满足数据表上的核查清单,还要采用成熟可靠的方法来架构、设计、实现、制造、供应和分配产品。此外,还必须进行产品生命终结。

仅仅“安全可靠的”产品已经不再可能了。透明性和安全事故快速响应团队必须对产品提供持续支持。

还必须构建一个安全无忧的可信任的物联网,安全启动和安全更新等机制(图2)

图2展示了恩智浦半导体的不同物联网架构方法。

图2中,通过组合多个功能级别不同的产品可实现安全性目标:MCU周围的紧凑型节点预计具有安全启动和安全更新功能;MCU和MPU周围的边缘节点预计具有可靠的多核子例如:高端汽车网关使用处理器集成车辆对基础设施通信V2X;除篡改检测、软件和硬件隔离、硬件安全存储和硬件加密加速,预计还包括针对高端计算密集型移动设备的通信或多核应用程序处理功能。高端MCU和MPU的硬件防篡改安全特性可与安全性高的分立嵌入式安全元件互补。外部安全元件最好直接连接至传感器和致动器,以确保传感的真实性,且只有在命令是真实的情况下,才会操作致动器。图5为安全特性概述。

此外,基于RFID的标记产品有助于部署安全物流链,以防止仿冒和克隆。

在制造设备的设计导入阶段,还需要将信任配置服务和云加载服务集成到MCU和MPU中,这样不仅可以在非特定安全环境中进行设备,还可以将其集成至安全中。

图3为智能门锁的艺术效果图,而图4为确保其安全的架构草图。

还必须构建一个安全无忧的可信任的物联网,安全启动和安全更新等机制(图3)

还必须构建一个安全无忧的可信任的物联网,安全启动和安全更新等机制(图4)

还必须构建一个安全无忧的可信任的物联网,安全启动和安全更新等机制(图5)

嵌入式行业必须继续提高标准,并采用与行业标准和最佳实践一致的整体安全方法,从而推动信任互联网的发展。

本文相关词条概念解析:

攻击

攻击,词语,其意是指发动总攻击。

安全性

安全性(security)为防止把计算机内的机密文件泄露给无关的用户,必须采取某种安全保密措施,这些措施的有效程序如何就称为计算机系统的安全性或保密性。结构在正常施工和正常使用条件下,承受可能出现的各种作用的能力,以及在偶然事件发生时和发生后,仍保持必要的整体稳定性的能力.安全范围(marginofsafety):在临床上,有时也用药物的最小有效量和最小中毒量之间的距离表示药物的安全性,称安全范围.其距离愈大愈安全,但为了保证临床用药的安全。

网友评论
相关文章
1丨李克强,让它成为遏制疫情蔓延的安全岛,德国确诊首例新型冠状病毒感染病例,2丨天津启动战时机制,成立疫情医疗救治总医院

1丨李克强,让它成为遏制疫情蔓延的安全岛,德国确诊首例新型冠状病毒感染病例,2丨天津启动战时机制,成立疫情医疗救治总医院

1丨李克强,让它成为遏制疫情蔓延的安全岛,德国确诊首例新型冠状病毒感染病例,2丨天津启动战时机制,成立疫情医疗救治总医院[详情]

可信云企业级SaaS服务评估从数据安全

可信云企业级SaaS服务评估从数据安全

可信云企业级SaaS服务评估从数据安全[详情]

美国通过安全可信电信网络法案,华为和中兴设备将被移除和替换

美国通过安全可信电信网络法案,华为和中兴设备将被移除和替换

美国通过安全可信电信网络法案,华为和中兴设备将被移除和替换[详情]

网站地图    Copyright     2016-2018  资讯网   All rights reserved.