安全的物联网设备:需要对设备及其连接进行验证

最新更新时间:2022-08-04来源: EEWORLD作者: 贸泽电子特约撰稿人 Jon Gabay关键字:安全  物联网  验证 手机看文章 扫描二维码
随时随地手机看文章

简介


随着越来越多的设备连接到全球可访问的互联网,人们对安全、保护和隐私问题越来越关注。如今几乎所有设备都具有网络连接能力,如手机、笔记本电脑、台式机、电视、家庭接口和医疗设备等。即便是军事系统也非常依赖物联网,因为互联网能够帮助把船舶、飞机、坦克、无人机、士兵可穿戴设备和基地连接在一起,以提高作战效率。


到目前为止,即便是日常消费者也非常熟悉密码、人(相对于机器人)身份识别、机器(IP 和 MAC 地址)识别和位置识别(通过 GPS 或蜂窝定位)。机器对机器的通信要多于人与人之间的通信,这意味着身份识别验证技术会有所不同。就像任何互联设备一样,其中居心叵测的玩家可能会对人员和财产造成很大损害。


随着军事、政府、公民、应答者和关键基础设施的互连在线,越来越重要的一点是,机器设备也需要验证它们正在与谁通信,并确认这种通信是安全的。


虽然加密和身份验证技术变得更加严密,但它仍可能是一场猫捉老鼠的游戏。在一个保障措施失去作用后,新的防护会被强加。


作为 IoT 中的经常用户、设施主管或 IoT 设备设计人员,了解 IoT 身份验证的基础知识对于保护您自己、您的产品设计或您的机构安全至关重要。


安全的涵义


互联网从来就没有被设计成一个安全的网络。它最初是是政府研究机构和大学之间的信息共享平台,借助于传输控制协议/互联网协议 (TCP/IP),使用数据有效载荷,通过嵌入封装器(wrapper)以控制路由源和目的地,直至发展至今。数据可以采用多条路径,甚至不按次序到达,需要重新组装。包括密码在内的信令协议通常不会加密或加扰,访问网络意味着可以访问该网络上的任何设备。


互联网实际上是扩大了威胁,因为无论有线还是无线网络都可能会受到入侵,IP 和 MAC 地址可能会被盗取。借助高速 5G 连接,可以非常快速地窃取大量数据。


我们有正当理由去担心,受到影响的不仅仅是一个车库开门器、Portal、Echo 或 Alexa,随着我们的物联网和网络连接不断扩展,正常的生活可能会因干扰很快停止重要的服务、网络甚至医疗设备都有可能受到损害。


物联网需要保护访问安全


进入数据流的方式有很多种。物联网设备特别容易受到攻击,因为它们通常是隐藏的无线节点,可能会受到本地干扰和欺骗。“Palo Alto Networks 的 2020 年物联网安全威胁报告”等一些研究表明,98% 的物联网流量是未加密的,这可使得现场设备便宜且易于制造。


例如,一个较为老练的入侵者可以通过在车道上进行干扰和欺骗来控制您的警报系统、摄像头信号和 Wi-Fi系统。


为了对抗本地或端点入侵,请尽可能使用各种加密技术,许多设备都提供加密选项。除了更改密码和登录名之外,还可以交替使用加密方法。查看设备提供的登录历史记录也很有帮助,如果发生未经授权的登录尝试,对这些登录的审查可以提醒您更多的警觉。


不幸的是,有很多方法可以进入数据流网络。当有人控制无线路由器、接入点、中心局交换机和路由器、有线到无线链路传输或国际漏斗路由器(international funnel router)时,就会发生非本地入侵。这些攻击被称为“中间人”攻击,其中利用的是设备制造商为执法和情报服务留下的后门。


侵入通信数据流是威胁安全的最直接方式。数据的发送和接收路径通过重新定向而被截获和操纵,一旦进入数据流,匿名垃圾邮件、DDoS 攻击和恶意软件都可能导致设备被劫持。如果入侵者能够足够聪明地模仿固件升级来让他们的代码进行控制,那么恶意软件就会侵入。


现代方法和技术


单向或对称式身份验证是在出现提示时提供用户名和密码以进入各种系统的简单过程,这样做能够在网络连接的一端对用户进行身份验证,但其中一个问题是用户名和密码信息会被收集并存储在许多位置和不同设备中,使得这种技术虽然方便,但对于任何真正的安全性来说相对无效。


通过双向身份验证,在用户名和密码要求基础上又增加了一层。通信中的两个节点需要验证他们拥有的东西。这可能是另一个码头发出的临时密码,甚至是生物特征指纹。


三向身份验证增加了更多的障碍和验证请求。其中的约束越多,用户所需的流程就越长,这可以阻止许多对时间敏感的应用和用户。公钥加密身份验证方法比用户名和密码更安全,并且可以更有弹性地抵御暴力攻击。


加密密钥是 SSH 等协议中事实上的身份验证模式,已广泛用于物联网设备。共享秘密身份验证是对称的,通过安全通信共享私人数据。如果没有拦截到“中间人”攻击,该技术则很有效。与集中式身份验证相比,分散式访问和控制会使中间人攻击更难执行。但必须注意,需要安全通信才能建立安全传输。


就一个设施而言,生物识别技术是人工参与设备的一种选择。指纹识别、视网膜扫描和面部识别都是在访问敏感数据时可能需要的所有其他保护层。然而,这些方法对于机器的身份验证不可行。机器必须依赖加密的私钥和公钥。


公钥会被广泛使用并且通常是安全的,第三方权威机构和公司都可以是数字密钥证书或身份证书的权威认证机构。通过在证书上运行诸如 RSA 之类的算法来验证凭据,可以生成唯一的十六进制字符串。单个证书可以组合为一个链并传输,直到它们到达受信任的全局服务器。


与任何新兴技术一样,相关标准和惯例由委员会提出,以确保他们所监管的任何事物都处在可靠和安全环境。由全球信任证书认证机构颁发和控制的 X.509 数字证书在 IETF RFC5280 规范中标准化并证明所有权,颁发者验证真实性,并使用只允许与证书所有者通信的密钥。


非对称公钥密码系统增加了更高级别的安全性,用以阻止那些可能有办法将自己侵入数据流,但没有实时破解密钥能力的人。由于所有数据都暴露给链上的嗅探器(sniffer),因此可以对其进行恢复和后处理,直到确定密钥为止。虽然可能不允许实时控制和访问,但这确实意味着所有数据不是神圣的,网络中传输的任何数据都可以通过足够的计算密集型资源被破坏。


在物联网设备中添加硬件可以减少处理要求和验证时间。使用可信平台模块 (TPM) 方法,可以将芯片或模块添加到 IoT 设备中,以存储特定设备的密钥进行身份验证。如果您将流程资源投入到任务中,TPM 可以在没有特殊硬件情况下实现,这可以包含在 IoT 设备正在运行的固件或软件之中。对于无法完全信任的客户端而言,独立的 IoT 设备可以为使用共享访问签名 (SAS) 令牌、统一资源标识符 (URI),在这种情况下,可以访问有限的功能子集,以确保敌对势力无法完全接管物联网设备。


无论采用何种策略,目标都是在不透露密钥内容的情况下证明拥有密钥。这能够验证每个端点、设备和远程主机内存完整性以及固件或软件篡改情况。这通常使用相关固件块或软件的校验或 CRC 来执行。


量子困境


随着量子计算世界的升温,企业、政府甚至个人现在都有可能拥有和使用量子计算机来几乎实时破解加密并造成损害。美国政府正在研究区块链的风险以及与量子计算机构成的威胁等有关漏洞。


虽然在恒温器中加入区块链保护是不可行的,但对于高安全性站点它被认为是一种有效选择。剩下的问题是使用量子计算机破解有多容易。


当一个数字字符串的多个状态可以同时出现时,可以使用 Shor等算法可非常快速地分解分母。密码学的核心是使用来自可靠随机数生成源的真实随机数能力。在大多数情况下,使用的是伪随机数生成器,因为生成有效的随机数非常困难。


如果知道在伪随机字符串中使用了多少位,即能够显著减少破解代码所需的处理。可以检查导致生成密钥的顺序攻击,以大大减少处理时间,并使用统计算法更快地破解代码。


使用量子技术进行加密和保护并非不可能。随着科学家们学习如何以更高的稳定性和持久性纠缠光子和电子,未来量子编码将能够使每个端点知道是否有人在观察或篡改数据流。虽然这对于政府研究机构和大学以外的任何人来说似乎都遥不可及,但中国已经展示了用于中继站无人机关键通信的长量子安全链,可以快速部署并在需要时改变位置。


结论


对于设备的端点用户,许多设备都采用加密,可经常使用并不断切换。此外,可使用各种数字和字母组合定期更改密码。绝对不能使用可预测,并在新密码上使用相同的前缀或后缀。这同样适用于本地和云服务。此外,需要为您的有线或无线路由器设置名称和密码以及加密。


对于设施经理和安全主管,需要通过可靠的信任根 (RoT)来设置和使用安全引导。由于远程和分布式软件更新可通过网络启动进行,因此安全的设备启动是在开始阶段保护 IoT 设备的绝佳方式。可靠的信任根可以使用强化的硬件模块来执行验证(固件测量、运行时状态分析、身份报告等)。


可靠的信任根还可以帮助保护和使存储更加安全,这涵盖了阻止访问的敏感数据区域。此外,如果在初始化过程中出现软件故障或错误,信任根可以设置安全状态。


作为物联网设备的设计者,需要了解已有的技术,以达到实现互操作性目的。这对于有线和无线链路可能有所不同,无线链路需要可靠的传输安全和后续协议 (TSL/SSL)、互联网协议安全 (IPsec) 和私有预共享密钥 (PPSK)。除了 IPS 安全性之外,有线链路还需要防火墙。


作为设计师,了解未来将要出现的技术也很重要。一项值得关注的技术是全同态加密 (FHE)。这种技术允许对密码文本进行多次加法和乘法运算,同时仍然提供有效的结果。使用 HFE,您可以在不解密数据的情况下处理数据,从而消除数据被盗取的风险。


我们未来会有更多的选择和机会,但请记住,如果可以访问数据流,则没有什么是完全安全的。单个人可能是优先级非常低的目标,但更大的目标一旦受到损害,就会影响到我们,尤其是在国际动荡时期。物联网世界可能正在快速发展,但这并不意味着它是安全的,我们必须保持警惕,并不断制定有效的解决方案来应对不可预知的情况。


关键字:安全  物联网  验证 编辑:张工 引用地址:http://news.eeworld.com.cn/IoT/ic618184.html

上一篇:中国安全运营最佳实践
下一篇:最后一页

推荐阅读

新思科技推动产业革新 为智能网联车系好“安全带”
万物互联,安全先行,尤其是在智能汽车等直接关系到用户信息和人身安全的领域。智能网联汽车产业应从产品设计之初就将软件安全考虑纳入产品需求中,并贯穿于产品的全生命周期。新思科技(Synopsys)应邀参加第十届互联网安全大会(ISC 2022),并在8月1日举办的车联网安全创新发展论坛发表主题演讲,聚焦车联网软件安全,探讨如何推动智能网联车产业革新。ISC 2022于7月30日至8月2日在北京举行。大会由中国互联网协会、中国网络空间安全协会、中国信息通信研究院、中国中小企业协会、中国企业联合会、全国工商联大数据运维(网络安全)委员会、中国通信企业协会、中国软件行业协会、中国企业家协会和360互联网安全中心共同主办,是亚太地区乃至全球规格
发表于 2022-08-01
新思科技推动产业革新 为智能网联车系好“<font color='red'>安全</font>带”
让电动车摆脱低速安全问题的AVAS
在汽车电动化带来的绿色出行潮流下,不少安全问题也引起了人们的关注,这里说的不仅仅是自动驾驶,还有声音上的安全问题。市面上大部分电动车、混动汽车和插电式混动汽车几乎是无声的,只有当其速度达到20km/h左右,产生的风噪和道路噪声才能被人耳所听到,如果在低速行驶下没有车辆声音报警系统的话,行人很难发现从身边驶过的电动车。因此,低速行驶提示音系统(AVAS)成了不少汽车厂商和政策制定者考虑的问题。主动声音设计的重要性对于汽车厂商来说,汽车低速警示音这类系统也可以作为品牌形象的一个表达,就像各个车厂的喇叭、声浪或是手机厂商的铃声一样。但作为一项安全性的声学设计,需要考虑的方面还有很多,无论是分贝、频率等等,如何做到行人警示程度最高才是AVA
发表于 2022-08-01
让电动车摆脱低速<font color='red'>安全</font>问题的AVAS
特斯拉Autopilot到底安不安全
“人们关注的重点一直是创新,而不是安全”2017年购买特斯拉Model S时,罗宾·吉乌拉(Robin Geoulla)其实有些顾虑,他对这辆车的自动驾驶技术有些怀疑。“完全依赖它,让它自己驾驶,有点可怕,你懂的。”罗宾这样对一名美国调查人员描述其对特斯拉Autopilot系统的最初感受。2018年1月,发表上述感慨几天前,罗宾那辆Model S在Autopilot启动状态下,撞上一辆停在加州州际公路上的消防车后部。随着时间推移,罗宾改变了对Autopilot的怀疑态度。他发现,一般情况下,Autopilot在跟踪前面车辆时基本可靠,但当面对阳光直射或前面车辆突然改变车道,Autopilot系统似乎就会出现混乱状况。在接受美国国家运
发表于 2022-07-29
特斯拉Autopilot到底安不<font color='red'>安全</font>?
澜起科技:让数据传输更高效 让数据运算更安全
澜起科技:让数据传输更高效 让数据运算更安全展位号:1A018公司介绍:澜起科技成立于2004年,是国际领先的数据处理及互连芯片设计公司,致力于为云计算和人工智能领域提供高性能、低功耗的芯片解决方案,目前公司拥有互连类芯片和津逮®服务器平台两大产品线。作为科创板首批上市企业,澜起科技于2019年7月登陆上海证券交易所,股票代码为688008。公司总部设在上海,并在昆山、北京、西安、澳门及美国、韩国等地设有分支机构。2022年8月12 -14日,第十届中国电子信息博览会将在深圳会展中心举行,澜起科技将携第三代津逮® CPU及其服务器平台、CXL 内存扩展控制器芯片、PCIe Retimer芯片、DDR5内存接口及配套芯片等精彩亮相本次
发表于 2022-07-29
澜起科技:让数据传输更高效 让数据运算更<font color='red'>安全</font>
德赛西威通过ISO/SAE 21434汽车网络安全流程认证
近日,德赛西威通过ISO/SAE 21434汽车网络安全流程认证。国际知名认证机构TÜV南德意志集团为德赛西威颁发了证书,这也是TÜV南德大中华区颁发的首张ISO/SAE 21434 汽车网络安全流程认证证书。充分证明德赛西威的产品全生命周期符合 ISO/SAE 21434这一全球性标准的技术要求,高度践行对OEM持续性的网络安全承诺。标志着德赛西威在汽车电子移动出行产品的安全保障能力方面处于行业领先地位。作为当前汽车网络安全领域最重要的国际标准之一,ISO/SAE 21434提供了一套完整的方法论,对企业管理方面提出了网络安全相关的整体要求,同时在汽车产品开发流程方面也提出了网络安全的细化要求,使企业在其产品的全生命周期中分阶段地
发表于 2022-07-28
研华与SGS、捞王签署战略合作协议 共同守护食品安全
7月27日,全球物联网厂商研华科技携手SGS通标标准技术服务有限公司(以下简称SGS)、捞王锅物料理(以下简称捞王)举办的“守护食品安全 打造硬‘食’力,共话物联网数字转型升级之路”论坛在上海圆满落下帷幕。本次会议重点围绕“食品安全、标准化、数字化”的餐饮精髓展开,数字化IoT餐饮厨房解决方案以及智慧厨房SSD认证标准。汉堡王、哥老官、早安巴黎、桂冠食品等数十家品牌,中国连锁餐饮协会、上海台协连锁加盟工委会、上海台协饮食工委会等领导都莅临交流。在现场,研华科技与SGS、捞王三方签署了战略合作联盟协议,共同合作推广餐食厨房SSD(Safety食品安全, Standard标准化, Digitalization数字化)认证标准及解决方案,
发表于 2022-07-27
研华与SGS、捞王签署战略合作协议 共同守护食品<font color='red'>安全</font>
小广播
换一换 更多 相关热搜器件
电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2022 EEWORLD.com.cn, Inc. All rights reserved