物聯網安全分析
我們日常使用的許多東西正在變得智慧化並且都連入了網際網路。物聯網(IoT)將改善我們的生活,它幫助我們實現健康和健身目標、減少資源消耗、提高生產力、追蹤並確保資產安全。許多嵌入式開發人員意識到IoT的潛在好處並積極開發各種應用程式,範圍涉及家庭連線裝置、可穿戴和家庭安全系統等。然而,風險與收益並存。沒有人希望設計的應用程式容易受到攻擊或資料易遭竊取。引人注目的黑客攻擊會對品牌形象造成嚴重影響並失去客戶信任,最糟糕的是,它會減緩或永久性減少人們使用IoT。
IoT通常被稱為一場工業革命。可連線裝置的數量將在未來幾年內快速增長。如果跟蹤IoT的分析師之間有何爭議的話,那便是到底會有幾十億的可連線裝置。物聯網對社會的經濟價值預估為4至11萬億美元。在加速可連線裝置產品上市的競賽中,實現適當的安全措施會帶來一些麻煩,因為這會增加元器件成本、開發工作量和設計複雜度。
同時,適當的安全措施對某些產業來說並非至關重要。然而採取適當的安全措施是避免受到攻擊的關鍵。供應商的產品受到攻擊後,重大的安全和隱私問題以及負面報導可能會暫時或永久性減緩人們使用IoT。即使是在家庭和日常生活中的簡單裝置,許多消費者也對連線安全保持懷疑,一些研究人員和業界觀察人士更認為IoT安全災難必將發生。實際上,最近有很多高調曝光的攻擊廣受關注,因此有人認為這個災難已經來臨。請點選“閱讀原文”觀看完整的“物聯網安全分析”文章。
量子密碼學攻擊
當前IoT的安全狀況類似於量子密碼學,這通常指量子金鑰分配。與其他金鑰分配方案不同,量子密碼學承諾在物理定律的基礎上保證絕對安全性。而相比之下,大多數金鑰分配方案依賴於大數因式分解或離散對數問題計算複雜性的假設。儘管量子密碼學於1984年被發現,但直到2000年商業加密系統才被引進市場。量子密碼系統依賴於單個光子,搭建量子密碼系統很複雜,不過上市時間才是本質問題。2010年,第一個徹底打破量子密碼學系統的安全漏洞被公諸於眾。從理論上講,量子密碼學是不可能被破壞的,但實際上,並未考慮系統設計過程中的邊測和漏洞。
此外,有趣的是,直到組建專門的小組去破壞這些系統之前漏洞都未被發現。在組建該專門小組之前,整個產業都在關注如何使量子密碼學系統更穩健和如何使這些系統上市。量子密碼學類似事件給我們上了重要一課。最值得注意的是,它表明安全是一個持續不斷的發展過程,需要多學科方案來預測潛在的攻擊。當工程團隊試圖使某些事情變得像量子密碼系統一樣複雜時,他們可能也會弄不明白攻擊者是如何侵入系統的。整個過程相互矛盾。因此,需要將質量保證和安全團隊從搭建安全系統的工程團隊中分離出來。
另一個關鍵點是,量子密碼學系統受到攻擊肯定會暫時(如果不是永久地)降低該技術的市場接受度和對該技術的信任度。因此,如果產業能夠在前期階段對安全投入更多,那麼儘管這會使上市時間更長、成本更高,但最終也會大有裨益。
IoT安全分析
目前,IoT安全所必需的技術已經存在。但是缺乏如何實施這項技術的知識通常是大多數安全漏洞的根本原因。然而,一個“安全”的IoT裝置並不能確保能夠實現一個安全的系統。雖然如此,開發人員至少應當意識到以下型別的安全。
硬體安全
安全的IoT裝置具有許多安全特性。首先,它使用對稱密碼來執行安全啟動和安全引導載入或空中(OTA)韌體更新。安全的IoT裝置還使用硬體加密加速器,它們更快、更節能,並且更不易受到邊通道分析攻擊。
在安全的IoT裝置中,除錯埠是禁用的。如果在某些時候需要重新開啟除錯埠(例如需要遠端儲存器存取或由於其他原因),就要通過一個使用公開金鑰認證的認證質詢響應方案來實現。雖然安全啟動和引導載入可防止攻擊者修改程式儲存器,但安全的IoT裝置能夠進一步限制對於程式儲存器的訪問讀取。這通常意味著裝置具有內部儲存器或內建快閃記憶體。在使用外部儲存器的情況下,這也意味著外部儲存器的內容需被簽名和加密。
軟體安全
為了確保在安全的IoT裝置上執行的軟體能進一步加強安全性,必須在關鍵部分進行硬體化。這意味著它可以阻止跳過單條指令。例如,安全啟動簽名檢查或密碼簽名檢查。這種方法可確保即使攻擊者能夠使處理器跳過一條指令,那麼也不會產生關鍵性的安全後果。此外,為了避免程式碼中的安全問題或第三方庫引起系統範圍的存取,可採用ARMv8M的TrustZone對不同庫進行分割槽管理。
相關文章
- 物聯網安全
- 物聯網作業系統安全性分析作業系統
- 物聯網安全痛點
- 物聯網安全迫在眉睫 如何讓物聯網攻不可破?
- 暢想物聯網安全未來,幾維安全讓萬物互聯更安全
- 物聯網安全創新聯合實驗室:2019物聯網終端安全白皮書(附下載)
- 分析|什麼是物聯網路卡
- 物聯網發展現狀分析
- 五大物聯網網路安全錯誤
- Ubuntu Core 給物聯網提供更多安全支援Ubuntu
- 物聯網裝置殭屍網路趨勢分析
- 解決工業物聯網的安全漏洞
- 物聯網在公共安全中的應用
- 智慧物聯時代 如何守護網路安全?
- 物聯網如何解決安全防護問題?
- 思科收購了物聯網安全管理公司 Sentryo
- Nozomi:2021上半年物聯網安全報告
- 物聯網攻擊的攔路虎:阿里雲重磅推出物聯網安全運營中心Link SOC阿里
- 萬物互聯助推數字化轉型 物聯網安全將何去何從?
- 劍指物聯網安全,揭秘首個物聯網攻擊組織-FreakOut of KekSec
- 三種型別的物聯網平臺分析型別
- 分析三種型別的物聯網平臺型別
- 物聯網協議之MQTT原始碼分析(二)協議MQQT原始碼
- 物聯網協議之MQTT原始碼分析(一)協議MQQT原始碼
- 物聯網概述
- NB物聯網路卡與物聯網路卡的區別
- 綠盟科技《2019物聯網安全年報》釋出
- 為什麼實施物聯網安全非常困難
- MQTT 安全解析:構建可靠的物聯網系統MQQT
- 保護物聯網安全有哪些實用方法呢?
- 朱易翔 | 物聯網安全任重而道遠
- 2020物聯網安全年報|漏洞從被公開到利用不到24小時,物聯網安全已蔓延到個人財產安全
- 物聯網中的預測分析:當IoTDA遇上ModelArts
- “物聯網”與“聯網物”,到底有什麼差異?
- 物聯網與工業物聯網:有什麼區別?
- 【無源物聯網】物聯網的下一個風口?
- 物聯網路卡、物聯網語音卡你能分清嗎?
- 物聯網是什麼意思?物聯網概念是什麼?