物聯(lián)網(wǎng)設(shè)備安全性:挑戰(zhàn)和解決方案
任何連接到互聯(lián)網(wǎng)的東西都可能在某一時候面臨攻擊。攻擊者可能會試圖遠(yuǎn)程破壞物聯(lián)網(wǎng)設(shè)備,以竊取數(shù)據(jù),進行 DDoS 攻擊,或試圖破壞網(wǎng)絡(luò)的其余部分。物聯(lián)網(wǎng)安全需要一種涵蓋從設(shè)計、開發(fā)到部署和維護的整個設(shè)備生命周期的集成方法。
物聯(lián)網(wǎng)設(shè)備的安全性是客戶和設(shè)備制造商的主要關(guān)注點。為確保兩臺設(shè)備之間的安全通信,需要保護兩個關(guān)鍵區(qū)域。第一個是兩個設(shè)備之間的通道和在這些通道內(nèi)流動的數(shù)據(jù)。這些數(shù)據(jù)由 Thread、藍牙等通信協(xié)議予以處理。第二個是設(shè)備本身的安全性,這屬于開發(fā)人員的責(zé)任。
目前已有若干標(biāo)準(zhǔn)和框架可為物聯(lián)網(wǎng)安全提供指南和最佳實踐,例如物聯(lián)網(wǎng)安全基金會、NIST 網(wǎng)絡(luò)安全框架、ISO/IEC27000 系列和《OWASP 物聯(lián)網(wǎng) 10 大安全漏洞》等。然而,沒有任何一種通用標(biāo)準(zhǔn)可適用于所有物聯(lián)網(wǎng)設(shè)備,因為不同的設(shè)備具有不同的安全要求和挑戰(zhàn),具體取決于其用例、功能和環(huán)境。
因此,物聯(lián)網(wǎng)設(shè)備制造商和開發(fā)人員需要采用和實施與其特定設(shè)備最相關(guān)且最合適的標(biāo)準(zhǔn)和框架,并跟上物聯(lián)網(wǎng)安全領(lǐng)域的新興趨勢和技術(shù)。
雖然物聯(lián)網(wǎng)設(shè)備中的安全威脅風(fēng)險較低,但其他威脅可能產(chǎn)生很大的影響,并造成相當(dāng)大的損害。
讓我們深入了解最常見的物聯(lián)網(wǎng)安全威脅。
未經(jīng)授權(quán)的訪問
最常見的安全威脅之一是未經(jīng)授權(quán)的訪問。黑客可以通過弱密碼和其他漏洞訪問物聯(lián)網(wǎng)設(shè)備,使他們能夠控制設(shè)備或竊取個人信息。這可能包括訪問設(shè)備的攝像頭或麥克風(fēng),或使用設(shè)備發(fā)起 DDoS 攻擊。
數(shù)據(jù)泄露
物聯(lián)網(wǎng)設(shè)備的另一個常見安全威脅是數(shù)據(jù)泄露,當(dāng)攻擊者從設(shè)備或其網(wǎng)絡(luò)獲取敏感或機密數(shù)據(jù)時就會發(fā)生數(shù)據(jù)泄露。這可能會損害數(shù)據(jù)的隱私性和完整性,并使設(shè)備或用戶面臨身份盜用、欺詐或勒索等威脅。
惡意軟件攻擊
物聯(lián)網(wǎng)設(shè)備的第三個常見安全威脅是惡意軟件攻擊,即惡意軟件在受害者的系統(tǒng)上執(zhí)行未經(jīng)授權(quán)的操作,這可能會損害設(shè)備的功能和可靠性,并對設(shè)備或其網(wǎng)絡(luò)造成損壞、中斷或破壞。
分布式拒絕服務(wù)攻擊
物聯(lián)網(wǎng)設(shè)備的另一個安全威脅是拒絕服務(wù)攻擊,也就是 DDoS,這種攻擊以網(wǎng)絡(luò)資源和服務(wù)器的可用性為目標(biāo),通過使用大量的各種物聯(lián)網(wǎng)設(shè)備從不同位置訪問通信介質(zhì)發(fā)起攻擊,這使得檢測起來更加困難。因此,分析和防止 DDoS 是一個很重要的研究領(lǐng)域。
物理篡改
這是另一種威脅,攻擊者會以物理方式訪問、更改或損壞設(shè)備或其組件。這種攻擊會損害物聯(lián)網(wǎng)設(shè)備的完整性、功能和機密性。這可能會影響設(shè)備的安全性和功能,并使攻擊者能夠訪問、操作或銷毀設(shè)備或其數(shù)據(jù)。
Silicon Labs 如何應(yīng)對物聯(lián)網(wǎng)安全挑戰(zhàn)
安全問題通常會涉及數(shù)據(jù)泄露、惡意軟件攻擊、拒絕服務(wù)攻擊等。然而,物聯(lián)網(wǎng)設(shè)備更容易遭受一些其他類型的攻擊。它們可能是類似于攻擊者試圖在您的設(shè)備上運行未經(jīng)授權(quán)的代碼或者試圖執(zhí)行產(chǎn)品偽造等簡單的攻擊,或者像差分功耗分析攻擊等復(fù)雜的攻擊。
Silicon Labs 通過 Secure Vault? 來解決這些問題。Silicon Labs 的 Secure Vault 是一種高級安全功能套件,旨在保護物聯(lián)網(wǎng) (IoT) 設(shè)備免受不斷變化的威脅。
Silicon Labs 是一家領(lǐng)先的物聯(lián)網(wǎng)設(shè)備硅芯片、軟件和解決方案提供商,專注于為更智能、互聯(lián)程度更高的世界提供安全可靠的連接。它提供了一整套強大且全面的物聯(lián)網(wǎng)安全產(chǎn)品和服務(wù),其產(chǎn)品和服務(wù)具有安全啟動、安全調(diào)試、安全密鑰管理和安全身份等功能。
讓我們看看常見的安全對策,它們可以幫助保護終端設(shè)備的密鑰和私鑰,并確保實現(xiàn)一個完全安全的生態(tài)系統(tǒng)。
Secure Vault Mid 功能將保護終端設(shè)備免受邏輯攻擊向量的攻擊。一些應(yīng)用程序還需要防止物理攻擊向量,它們需要具備 Secure Vault High 功能,例如安全密鑰管理和篡改保護。希望保護其設(shè)備免受產(chǎn)品假冒以及設(shè)備克隆的設(shè)備制造商應(yīng)考慮投資于安全身份,這使調(diào)試管理器能夠在允許設(shè)備加入智能物聯(lián)網(wǎng)網(wǎng)絡(luò)之前對其身份進行驗證。
安全密鑰管理
有多種方法可以安全地存儲密鑰。一種方法是創(chuàng)建非常昂貴的內(nèi)存單元,這些內(nèi)存單元將嵌入安全子系統(tǒng)之中。從硅晶片區(qū)域的角度來看,這些記憶單元代價高昂,始終會讓決策者格外關(guān)心:我們在芯片中用了多少?最終,從來沒有足夠的單元,一些關(guān)鍵材料最終以未經(jīng)加密的明文形式存儲在標(biāo)準(zhǔn)內(nèi)存中。用于安全密鑰存儲的另一種方法是使用物理不可復(fù)制功能 (PUF) 創(chuàng)建特定于設(shè)備的密鑰加密密鑰,并將所有關(guān)鍵材料以加密密鑰 BLOB 的形式存儲在標(biāo)準(zhǔn)存儲器中。這種做法的額外好處是,可為您提供近乎無限的安全密鑰存儲。
物理不可復(fù)制功能 (PUF)
PUF 是一種嵌入集成電路 (IC) 的物理結(jié)構(gòu),由于其獨特的微尺度或納米尺度特性源于固有的深亞微米制造工藝變種,因此很難對其進行復(fù)制。靜態(tài)隨機存取存儲器 (SRAM) PUF 是基于可用標(biāo)準(zhǔn)組件的最知名 PUF。
其他攻擊向量
攻擊者嘗試在我們的設(shè)備上運行其未經(jīng)授權(quán)的代碼的威脅始終存在,在允許應(yīng)用程序代碼在設(shè)備上運行之前,安全啟動會對代碼上的簽名進行驗證,以此來解決此問題。這是基于 ROM 的信任根,并將該信任根作為驗證序列的安全錨。我們還可以通過鎖定調(diào)試端口和啟用 DPA 對策來防止未經(jīng)授權(quán)訪問設(shè)備,以防通過側(cè)信道攻擊解鎖設(shè)備。
安全性是物聯(lián)網(wǎng)設(shè)備中一個非常有趣的領(lǐng)域,因為人們永遠(yuǎn)無法確保對設(shè)備進行 100% 的防護。就像洋蔥的層數(shù)越多就越難以剝開一樣,我們在設(shè)備中創(chuàng)建的層數(shù)越多,攻擊者訪問信息的嘗試就越困難、越昂貴。在 Silicon Labs,我們遵循按設(shè)計確保安全的理念,這意味著從設(shè)計、開發(fā)到部署和維護的每一階段,安全均已嵌入并集成到設(shè)備的整個生命周期之中。
關(guān)注我們
