【東網集萃?推廣】新東網Doone COS系列產品為物聯網系統保駕護航
發布時間: 2016-04-18 10:35:53
我們正處于一個聯系日益密切的世界,從機器、汽車到家用電器,越來越多的個人和物理設備源源不斷地加入到互聯網當中。物聯網(IOT)正在從集中式結構變為由分散的智能設備組成的復雜網絡。這種轉變有望帶來全新的服務和商業機會,并將大大改變我們的工作,生活和溝通方式,但是這些變革也將帶來新的挑戰,就是安全。
物聯網的構建需要基于眾多的半導體技術,涉及電源管理設備、傳感器和微處理器。不同應用的性能和安全要求差別很大,但有一點是不變的,那就是:智能家庭、車聯網和工業4.0 工廠能否取得成功,這將取決于用戶對其穩固性、易用性和故障安全特性有無信心。
通過物聯網傳輸的敏感數據量越大,數據和身份信息盜用、設備操縱、數據偽造、IP盜用甚至服務器/網絡被操縱的風險就越大。近期媒體曝光了一系列針對物聯網設備的攻擊事件,例如遠程控制高速行駛的汽車,遙控家庭中的微波爐等,這些攻擊將會對人們的財產乃至生命造成嚴重的威脅。這些攻擊也說明,單獨依靠軟件是不能夠保證IOT系統的安全的。攻擊者可以繞過安全軟件的防范機制遠程控制物理設備。
對此,最優的方式就是軟件和硬件配合,即使軟件層被攻破,硬件層——安全芯片還可以提供堅實的保護。安全芯片可以采用加密,防攻擊檢測等手段來保護代碼和數據的安全存貯,軟件關鍵代碼也可以安全運行于芯片上。這種軟硬結合的方案已廣泛應用于可信計算、手機中的安全元件以及智能電網等領域。
眾多嵌入式系統方案中,大都是采用主MCU+ 嵌入式操作系統方式,其安全功能由軟件加密機制實現。這就缺少一個有效的安全信任錨(Hardware Root of Trust (HRoT))。獨立安全元件(secure element )做為信任錨,已廣泛應用于個人電腦、服務器、手機、各類智能卡中。
那么安全芯片在物聯網系統中,具體會起到哪些安全防護的作用呢?
一、認證
認證是指有效識別網絡中的用戶、計算機、設備和機器,保證僅有授權用戶和未被操縱的設備能夠獲得訪問權的過程。認證過程通常使用用戶名和密碼,但這種方式不夠安全,需要頻繁更換密碼,并且也不適用于無人值守的設備。為了保障物聯網能夠進行安全通信,就需要采用更可靠的加密機制。同時,隨著嵌入式系統對防范偽造、固件篡改和非法訪問的安全需求不斷提高,采用強大的加密措施是滿足其需求的唯一辦法。
安全芯片可作為密鑰和算法憑證的安全載體,起到認證模塊的作用。
使用安全芯片的優勢:
提供穩固的設備和網絡安全性;
為工業自動化和智能家庭等安全敏感市場創造新的商業機會;
避免因為認證薄弱而發生關鍵數據外泄;
強大的防偽造和防篡改功能;
降低服務欺詐和盜用的風險,確保只有獲得授權并付費的設備能夠使用服務。
二、安全通訊
在通常的物聯網架構中,設備和系統跨越多種網絡而互連。這些網絡往往采用了不同的標準和專有協議,在功能上非常強大,但也會把系統暴露于各種風險之下,例如消息竊聽和偽造。為了防范這些潛在的威脅,物聯網設備和系統需要具備安全通信的能力。
多數安全通信協議(如 TLS 和 DTLS)開始時都會對通信各方進行認證,然后創建一個會話密鑰,以保護各方之間消息的機密性和完整性。為了減少密鑰部署的復雜度,安全性不高的協議常常省去加密步驟以改善性能。如何降低密鑰管理復雜度是安全通信的關鍵。
以攝像頭為例,當網絡高清監控攝像機越來越普及時,安全也成為首要關注的問題。網絡攝像機更像是一場直播秀,之所以要對攝像機進行加密,就必須確保未經授權的人員無法看到或篡改數據,應用在不同領域的攝像機必須使用不同的加密技術。
監控攝像機通常采用最常用的是SSL/TLS加密技術,SSL私有密鑰可以被安全地存儲在智能卡芯片中,該芯片密鑰數據永遠不會被讀取出來,防止有人惡意獲取敏感數據。
三、數據加密存儲和安全性保護
連接到物聯網的設備常常將敏感的用戶數據,例如聯系人、旅行偏好、喜愛的電影或播放列表等,存放在本地。很多用戶擔心這種數據可能會被不法分子通過物聯網獲取或操縱。那么對數據進行加密以保護其完整性和機密性,可以減輕人們對數據失密的恐懼。
除了個人用戶數據以外,設備制造商和服務提供商也會把數據存儲在設備上,包括產品設計、業務計劃、使用統計、賬單和付款記錄、解密密鑰、授權碼、關鍵參數和日志等。其中一些數據必須保密(如媒體解密密鑰),很多數據需要完整性保護(如賬單日志)。
數據保密和完整性保護的挑戰在于如何安全地存儲密鑰。如果攻擊者設法讀出了密鑰,那么解密數據將是輕而易舉的事。如果密鑰等憑據的存儲區域不夠安全,完整性保護也將是形同虛設。
如圖所示,安全芯片接收到數據,對數據進行加密后存儲到芯片內部或外部。當芯片接收到解密請求,則對數據進行解密和處理。優勢在于:
1.提升企業、消費者和政府級別的設備安全性,滿足所有加密設備對防篡改密鑰存儲的現行;
2.讓客戶和服務提供商高枕無憂,因為即使設備落入壞人之手,數據也無法訪問;
3.個人數據得到妥善保護,最終用戶得以放心。
閩公網安備 35010202001006號