如今,全球已有 100 億物聯網節點 連接入網,達到十多年前的 10 倍之多,而且該趨勢還將繼續有增無減。這種增長也為攻擊者帶來了更多的可趁之機。據估計,網絡攻擊導致的年度成本從幾百億到上萬億美元不等,而且這個數字還在不斷上升。因此,安全因素目前對于繼續成功擴展物聯網至關重要。而物聯網安全則始于物聯網節點的安全。
沒有公司希望自己的名稱出現在 “已被攻破,客戶數據被盜”之類的消息中。此外,聯網設備還需遵守日益嚴格的政府法規,例如FDA(美國食品藥品監督管理局)對醫療設備的規定、美國/ 歐盟對工業4.0 關鍵基礎設施的網絡安全要求,以及汽車行業的一些新興標準。這些要求旨在推動實現高安全性,但并沒有明確地強制要求使用基于硬件的安全措施。然而,物聯網節點通常是大批量的成本優化型設備,這給安全性和成本之間的平衡帶來了重重挑戰。
使用 “信任根”打造安全節點
我們如何設計經濟高效且安全的物聯網節點?打造安全物聯網節點從 “信任根”(也稱為“安全元件”)開始,這是一種經濟實惠的小型集成電路,設計用來為節點應用處理器提供值得信賴的安全相關服務。相關功能示例包括數據加密(用于保護機密信息)和數字簽名(用于確保信息真實性和完整性)。信任根的最終目標是確保用于數據加密或數字簽名的密鑰受到保護,防止遭到泄露。
信任根的另一項關鍵功能是,由于存在安全引導機制,因此支持對可信信息進行交換。安全引導確保所有物聯網節點設備都在運行正版固件,因此這些設備能按預期運行,并且不會因其功能被惡意更改而受到攻擊。 “信任根”安全IC 面臨的最大挑戰是抵御直接探測和所謂的側信道攻擊等物理攻擊,如圖1。
圖 1 “信任根”概念確保安全相關服務的信息真實性和完整性
物理不可克隆功能 (PUF)
不幸的是,由于直接探測會試圖監視微電路的內部結構,因此通用微控制器中常用的存儲器技術(即 EEPROM或閃存)并不安全。利用掃描電子顯微鏡(SEM),攻擊者無需很高成本,即可直接監視存儲器的內容。為了降低此風險,半導體行業開發了“物理不可克隆功能”(PUF) 技術。PUF 用來從微電路的固有物理屬性中導出唯一密鑰。這些因芯片而異的屬性很難直接探測,因此難以通過直接探測提取生成的密鑰。在一些情況下,PUF派生密鑰會對信任根內部存儲器的其余部分進行加密,從而保護設備上存儲的所有其他密鑰和憑據。
側信道攻擊的成本甚至更低,侵入性也更小。這類攻擊利用以下事實:電子電路往往會通過電源、無線電或熱輻射等方式泄漏所處理數據的相關數字簽名。當電路使用密鑰對數據解密時,利用所測信號和所處理數據之間的微妙相關性,在經過適度復雜的統計分析后就有可能成功猜測出密鑰的值。很明顯,信任根就是為使用各種對策來防止此類數據泄漏而設計。
毛刺攻擊是另一類非侵入性攻擊,其中攻擊者試圖借機破壞芯片的執行流。這一般通過在芯片的電源或其他引腳上注入電脈沖,或通過電磁脈沖來實現。這種毛刺會對微電路中的信號或寄存器值造成一定的內部破壞,并且可能會導致 “跳過授權”等有害結果,從而允許不受控制地訪問本應受到限制的信息。同樣,信任根針對此類漏洞具有明確的保護機制,例如誤差檢測等。
圖 2 PUF技術可降低微電路遭到直接探測的風險
使用安全 IC的應用示例
如圖 3 所示,胰島素泵由控制設備遠程驅動,從中可明顯看出基于硬件的“信任根”在此類安全應用中的優勢。此應用中存在明顯的安全風險,攻擊者可能會向胰島素泵發送流氓命令,從而對患者的生命造成威脅。此系統中使用的協議是一個簡單的質詢/ 響應身份驗證協議:
1)控制設備請求胰島素泵發出質詢,以準備發送命令。
2)胰島素泵使用隨機數R 質詢請求者。
3)控制設備使用其私鑰對命令、隨機數R 和某些固定填充進行簽名。此操作由控制設備的“信任根”來完成。
4)胰島素泵會驗證簽名是否正確,以及收到的隨機數與之前發出的隨機數是否相同,以避免無意義地重新發送有效命令。此操作由胰島素泵的“信任根”IC 來完成。
除了每次發送命令都需要使用新的隨機數外,該協議的安全性還依賴于控制設備在授權命令時所用私鑰的保密性,以及胰島素泵中驗證授權所用公鑰的完整性。如果這些密鑰存儲在普通微控制器中,攻擊者可能會將其提取出來或進行操縱,并制造出假冒的控制設備或泵機。在本例中, “信任根”IC 使得偽造儀表設備或泵機、操縱憑據或篡改通信協議變得更加困難。此外,對此系統中不同設備運行的固件進行驗證也是確保整體安全性的關鍵。被破解的胰島素泵固件可能會越過傳入命令的驗證并接受未經驗證的請求。
對于任何物聯網應用,只要其網絡節點采用遠程控制或用來測量和報告敏感值,則都可以由上述應用進行輕松轉置。
圖 3 胰島素泵認證是信任根應用的一個簡化示例
專用安全 IC的優勢
總體而言,良好的節點設備設計將會使攻擊者攻擊設備的成本遠高于潛在回報。基于專用安全 IC 的架構具有很多優勢:
1)物聯網安全是一場永無休止的戰斗。雖然各種攻擊手段不斷升級,但與此同時,安全IC 供應商也在不斷加強其應對措施,因此對安全IC 的攻擊成本仍然極高。升級安全IC 可以提高聯網設備的安全性,而對整體設備設計和成本幾乎沒有影響。
2)將關鍵功能集中在與應用處理器分離的強大、防篡改物理環境中,可以在評估法規遵從性時更輕松地“保證安全”。這種隔離還使得攻擊者更加難以利用設備應用處理器中的漏洞,這些漏洞很難完全發現和消除。
3)如果供應商對安全IC 及早進行調試,則更容易保障物聯網節點在其整個生命周期內的安全性。使用這種方法時無需與合同制造商共享關鍵信息,并且可實現安全的個性化流程和OTA 更新。重構和克隆也變得更加困難;由于安全IC 不可克隆,因此物聯網節點設備也不可克隆。
4)選擇合適的應用微控制器是一項艱巨的任務,因為必須找到特性與成本和上市時間之間的最佳權衡。最合適的微控制器可能并不具備足夠的安全特性,因此,使用外部分立式安全IC 是最靈活且影響較小的設備保護方法。
結束語
隨著不斷加強的合規性要求和層出不窮的遠程大規模攻擊,重視暴露物聯網系統的安全性勢在必行。典型的聯網系統中有許多組件,而安全性的設計必須是第一步。雖然保護邊緣的物聯網節點并不是唯一的步驟,但卻非常必要。
注: 本文來源于《電子產品世界》雜志 2023年2月期 ,作者: Stéphane di Vito,Robert Muchsel,Don Loomis(亞德諾半導體)。如有侵權,請聯系本站及時處理。
本文引用地址:http://www.eepw.com.cn/article/202302/443444.htm
18938670059