• <tr id='351mgZ'><strong id='351mgZ'></strong><small id='351mgZ'></small><button id='351mgZ'></button><li id='351mgZ'><noscript id='351mgZ'><big id='351mgZ'></big><dt id='351mgZ'></dt></noscript></li></tr><ol id='351mgZ'><option id='351mgZ'><table id='351mgZ'><blockquote id='351mgZ'><tbody id='351mgZ'></tbody></blockquote></table></option></ol><u id='351mgZ'></u><kbd id='351mgZ'><kbd id='351mgZ'></kbd></kbd>

    <code id='351mgZ'><strong id='351mgZ'></strong></code>

    <fieldset id='351mgZ'></fieldset>
          <span id='351mgZ'></span>

              <ins id='351mgZ'></ins>
              <acronym id='351mgZ'><em id='351mgZ'></em><td id='351mgZ'><div id='351mgZ'></div></td></acronym><address id='351mgZ'><big id='351mgZ'><big id='351mgZ'></big><legend id='351mgZ'></legend></big></address>

              <i id='351mgZ'><div id='351mgZ'><ins id='351mgZ'></ins></div></i>
              <i id='351mgZ'></i>
            1. <dl id='351mgZ'></dl>
              1. <blockquote id='351mgZ'><q id='351mgZ'><noscript id='351mgZ'></noscript><dt id='351mgZ'></dt></q></blockquote><noframes id='351mgZ'><i id='351mgZ'></i>

                云服务:防护嵌入式安全的有效手←段

                2020-05-06 10:06:23分类:云服务端▆开发5355

                  网络连接一方面能够为嵌入式系统带来巨大好处,另一方面却可能∑ 威胁到设备及设备所构建的物联网应用的完整性。然而,这一难题现在可以通过智能设计技术解决。只要使用了正确的基础架构,联网嵌入式和物联网设备就可以利用在线服务确保长期安全地保护网络,即使个别节点在♂某一时刻遭受攻击。实现所需安全级别是一项极为复杂的工作,幸运的是,市场上涌□ 现出多种有效解决方案,如:Microsoft的Azure Sphere及其嵌入式Pluton安全子系统,可提供一整套措施和工具来应对不同威胁。

                  1 实现物联网安全的硬件基础

                  物联网设备安全的一个基本要求是保护系』统的完整性,这就要求●设备的防御措施必须能够防止非授权的修改和入侵。黑客极端狡猾,他们会利用所发现的任一漏洞来尝试攻击系统★。OEM厂商则可利用层次化安全策略¤来增强其系统『对网络攻击的抵御能力。例如,缓冲区溢出常常被黑客用来对系@统实施渗透入侵,其攻击原理则是利用了内存数据布局。过大的网络数据包可被黑客加∮以利用,将攻击代码存储在分配给网络♀缓冲区的内存空间之外,之后目标系统便会无意中执行这些攻击代码。从黑客的角度来看,这为他们提供了一≡个上传可执行镜像文件◥的机会。一旦设备重〓启,便会执行新的♀镜像文件,如此,黑客就获得了系统的完全控制权,能够窃取机密信息及其他有价值的数据。

                  安全启动机制可确保仅运行授权方提供的可◥执行文件,从而防止≡各类攻击。实施安全启动机制的一个基本要求是将非易失性内存区域在制造后设置为只读区。这一㊣区域包含引导加载程序代码,可强制处理器检查加载到系统中的启动镜像↑的完整性。若完》整性检查失败,则设备只有获得有效的启动镜像后才能开启。

                  校验和是进行完整性检查的最简单机制。然而,它并〒不会检查启动镜像的来源。如果黑客知道如何根据制№造商ID或本该保密的类似共享代码来构造虚假的启动镜像,那么仍有可能成功通过完整性检查。为此,用户需要实现更有效的完@ 整性检查:通过确保使用本地存储⊙的唯一ID生成的哈希∏数,对加载到闪存中供下次启动╱使用的代码进行签名,从而将制造商ID与设备自身ID相结合。为了防止可』能用于窃取此ID的攻击,设备还需具备一个硬件信任根。
                 

                云服务:防护嵌入式安全的有效手段
                 

                  2 硬件信任根

                  硬件信任根是︻用于运行安全敏感操作的受★保护区域,这些操作可防御∑物理篡改和远程攻击。为了实现『此类防护,信任根部署了一个安全处理器,该处理器对片上代码和数据内存具有唯一的访问权。加密密钥和其▲他安全数据都存储在这〓些区域中,且信任根配置为不允许从外部访问这些内容。安全处理器通常借助加密处理器来加快操作速度,同时利用真随机数≡生成器(TRNG)来生成在信任根之外运行的软件和系统,以确↓定它们是否有权访问系统资源。Pluton安〓全子系统就是硬件信任根的一个示例,该子系统是Azure Sphere模块部署的核心部分,可通过e络盟购买。

                  有了硬件信々任根,设备不仅能保护自身及▲其发送的所有数据的安全,还可以证明自身是向网络中其他节点(无论是云中其他物联网设备还是服务器)发送可信数据的合法设备。这有助于进●一步提高设备的安全性,因为设备可以拒绝与没☉有可接受凭证的任何联网设备↑进行交互。这首先就减少了设备遭受缓冲区溢出和类似攻击的可能性。Pluton还加强了系统内部的安全性,以控制那些◥可能受到攻击的外围设备的操作。处理器内的〒防火墙可防止对敏感功能的未授权访问←,以及企图利用虚假外设来控制系统的攻︼击行为。

                  认证是软件或远程设备用以证明ξ 其身份或⌒真实性的机制。通常,这种认证是根据基于公钥基础设施卐(PKI)机制的协议来进行的。PKI机制中,消息使用公钥进行加密,因为公钥可以自由分发而不破坏协议,而相应的私钥才能解密消∩息。因此,此类私钥将存储在硬件信任根◆的安全内存中,且通常在制造过程中进行加载。

                  3 通信安全

                  当设备想要建立通信或证明其身份时,它将使用协议通过一个或多个私钥生成证书◢和签名。签名和认证协议将︼真随机数生成器(TRNG)生成的随机数与私钥相结★合,以创建诸如会话秘⌒钥之类的值,这些值有效期短且使用一次就会被丢弃,以避免黑客拦截消息并重构秘钥实施所谓的重ζ放攻击。一旦创建,PKI协议可确保只在需Ψ 要的安全区域内访问私钥。

                  若使用Azure Sphere,两个主私钥则是由设备本身搭载的Pluton子系统在制造过程中生成,其之后甚至连软件也无法直接读取。可以说,私钥→的所有信息均由Pluton子系统▃内的加密处理器创建,这就克服了众多系统存在的一个重要缺陷,它们的私↓钥往往是在外部生成并导入设备,无疑增加了被拦截的风险。

                  尽管任何设备都可以生成私钥并进行内部存储,但必须Ψ确定设备首次出现在网络中时其密钥是否合法有∞效。Azure Sphere可通过生成匹配的公钥来解决这一问题:一个用于认证,另一个用于用户定义安↙全服务。这些公钥在设备制造阶段即提供给Microsoft Azure云服务使【用。同时,使用PKI机制生成的数字证书也会存储☉在设备中,这些数字证书可用于验证来自Azure服务器的消息。

                  当Azure Sphere设备连接到云时,它会根据存储在安全内「存中的Azure创建的证书Ψ来核验消息,从而验证服务器的身份。在此过程中,设备自身需要向服务器进行身份验证,这项工作可使用㊣ 远程认证协议完成。Azure Sphere系统不仅︽验证设备,还会验证设备▆运行的代码。它根据安全启动过程中发现的代码序列的加密哈希数来创建会话密钥并执行这一操作。这些值采用由ω板载加密处理器生成的私∩钥签名进行认证。由于Azure服务可以根据设备在其数据库中保存的公钥生成相应的公钥,因此,它可以使用授权固件来验证所启动的设备身份。

                  运用云服务进行设备身份◣认证还具备其□ 他多个好处:例如,在Azure Sphere环境下,若设备被证实可靠且软件运行无误,该设备就可获取一个证书。该证书可与设备自身存储的凭证一起提交给其他在线服务和设备以证实其身份信◆息。该证书的有效期仅ζ约一天,有助于降低设备遭受潜在攻击的风险。这也意味着,若设备需维持与物联网※服务之间的连接,设备必须定∞期证实其健康状况。这种防护级别是单机系统无法实现的,它们一旦遭受物理攻¤击损害,若不进行手动维护检查将无法修复。

                  若设备未通过安全启动过程,客户端设备将无法获得证书,也就无法作为卐一个合法有效且经认证的系※统运行,这样一来,设备将被切断与物联网系统的连接,且其运行方式将无法有效防御黑客攻击。此外,若身份认证失败,也有方法∑ 可以用来改变不利情况,即将设备连接到↙Azure服务,以下载并安装经认证的最新启动镜像。这就为设备提供了更高级别的防护,可防止黑客利用旧版认证固件的漏洞实施攻击。

                  实际上,网络连接支持已成为许多嵌入式系统设计人员的一项实际需」求。尽管存在一些威胁风险,但却完全可控。通过Azure Sphere等平台,网络连接能够提供较非联网设备更稳健可靠的解〖决方案。

                上一篇:下一篇: