e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

边缘智能:边缘节点安全性

2018/12/14    来源:电子产品世界    作者:Ian Beavers Erik MacLean      
关键字:边缘智能  边缘节点  安全  
本文介绍了边缘计算带来的安全问题,以及工业物联网中的雾模型和相关配置问题、安全问题及解决思路。

8 端点安全性

    虽然保护传输中的数据很有必要,但攻击更多是针对端点。面向网络的接口需要强化以消除漏洞。保障工业物联网安全的一种方法是直接在传感器节点设备中设置防护,这就提供了第一个关键的安全层,设备不再依赖企业防火墙作为其唯一的保护。这对移动式企业设备和部署在远程位置的工业物联网传感器尤其重要。

    工业物联网设备的安全解决方案必须防范各种各样的网络攻击。它必须确保设备固件没有被篡改,能够保护设备中存储的数据,能够保护入站和出站通信,并且必须能够检测和报告任何网络攻击企图。这只有通过在设计的早期阶段纳入安全性才能实现。

9 高压灭菌器与自动机

    系统受损之后将其恢复到已知良好状态的能力,比让它对所有攻击免疫更重要。弹性系统可以快速恢复并很有把握地恢复运作。

    一旦系统受到感染,如何对其消毒?当一个系统受到感染时,病毒即以某种未知方式改变系统状态,远程攻击会控制处理器,向系统注入新的恶意代码。通常,固件会以某种方式被修改或替换为恶意软件,导致系统表现异常。一旦发生这种情况,就不能再信任处理器。

    嵌入式系统的设计常常较为特别,难以可靠地从受损状态中恢复。通常,净化系统和验证系统是否干净的唯一办法是将所有非易失性存储器直接转存至外部读取器,然后对照原始固件进行验证,如果原始固件有改变,则用原始固件替换。大多数系统的设计不支持这种做法。

    一种保护系统完整性的方法是用机械开关实现对非易失性存储器的物理写保护。当该开关设置为写保护时,存储器受到硬件的物理保护。存储器控制权转移到处理器域之外,要在物理上不接入设备的情况下将永久恶意软件远程安装到存储器中是不可能的。这样就把潜在攻击者名单从世界上任何拥有互联网连接的人缩减为只有那些可以长时间对设备进行物理访问的人。固件更新通常是很罕见的事情,当固件需要更新时,用户可以将开关设置为写使能以授权更新存储器,在更新完成后再次对设备设置写保护。

    许多设备还使用非易失性存储器来存储写访问所需的数据。在高安全性系统中,可以使用单独的非易失性存储器芯片来存储数据(但不存储软件)。攻击者仍可以通过向该存储器写入恶意数据并利用软件漏洞来危害某些系统,因此应彻底分析和测试系统,无论该存储器存储什么数据,系统都不会受到影响。增加额外存储器芯片会增加成本,但有些闪存允许某些扇区设置写保护,而其他扇区仍能写入。

10 安全引导

    安全引导可防止引导过程中将未经授权的软件加载到设备上。它是信任链的起点。安全引导从节点上只读非易失性存储器位置编程的第一阶段引导加载程序开始。此引导加载程序仅验证第二阶段引导加载程序的真实性。第二阶段引导加载程序往往比较复杂,可存储在可重新编程的闪存中。重复此过程,验证操作系统和加载的应用程序是否确实来自可信来源。

    拥有安全引导和安全固件更新功能的工业物联网节点,可确保设备运行的是授权代码,而非篡改的或恶意代码,从而防止永久安装恶意软件或代码。设备要么仅运行未修改的代码,要么无法完成引导。

    安全引导过程通常依靠数字签名来保护代码的真实性。代码映像由原始设备制造商在制造组装时利用原始设备制造商的私钥进行签名。然后,节点利用原始设备制造商的相应公钥验证固件映像的签名。

固件受物理写保护(执行更新时除外)是保护设备完整性的有效方法

图4 固件受物理写保护(执行更新时除外)是保护设备完整性的有效方法

    代码还可以利用对称加密的消息认证码(MAC)加以保护,但这需要将私钥存储在设备上,因而有风险。不过,使用MAC在计算上更容易。

    安全引导虽然可以增强安全性,但对于最终用户来说,有时会太受限制,因为它能阻止用户更改设备上运行的软件或运行自己的软件。根据应用程序的不同,用户可能需要更多的灵活性和配置安全引导的能力,从而允许其信任自己的代码。

    安全固件更新与安全引导相似,用于在升级过程中验证新代码映像已由原始设备制造商签名。如果下载的映像无效,则会丢弃文件并停止升级。只有有效的映像才会被接受,并且随后保存到设备存储器中。

11 安全通信

    大多数工程师将安全性视为通信协议,如SSL/TLS、SSH和IPsec等,原因是许多嵌入式设备增加了安全通信。然而,尽管这是安全威胁的一部分,但其他攻击途径提出了新的挑战。许多工业物联网传感器节点以低功耗配置运行,使用一些不能支持某些最佳选项(如TLS或IPsec)的较低功耗处理器。安全协议为构建安全设备提供了一个很好的出发点。安全协议的设计目的是防范数据包嗅探、中间人攻击、重放攻击和未经授权与节点通信的企图。

    小型工业物联网边缘传感器设备通常采用无线协议,如Zigbee、Bluetooth®低功耗(BLE)以及其他无线网状网络协议。这些协议具有一定的内置安全性,但是安全性相对较弱。许多可以利用漏洞的方法已经公开,老练的黑客已经熟知。小型工业物联网设备通常使用成本非常低、功耗较低且不支持TLS或IPSec的处理器。对于小型边缘设备,可以使用DTLS(基于UDP的TLS)来实现安全通信。

12 物理安全性

    物理攻击针对的是工业物联网系统的实际边缘硬件节点或网关,可以包括针对前端传感器的破坏。这些攻击常常需要从物理上接触系统,但也可能只是限制工业物联网硬件效能的操作。攻击者可以篡改节点,以控制工业物联网环境中的传感器或其他设备。然后,他们可以从源头提取机密数据和嵌入固件代码。利用恶意节点注入策略,攻击者可以将恶意节点部署在工业物联网网络的合法节点之间。

    为了应对此类攻击,在设计阶段可以提前做一些硬件考虑。在使用带引脚的器件对信号进行物理探测的时候,在设计中应尽量减少裸露的铜过孔或未使用的连接器。应当移除可为潜在黑客提供额外信息的详细元器件丝印,除非认为它是设计绝对需要的。虽然可能会增加系统复杂性,但工业保形涂层不仅可以减轻自然力对硬件的影响,还能增加额外的步骤来防止对PCB上的电子元件进行直接探测。

    器件内部的任何嵌入式非易失性存储器内容都应该加密并设置写保护。微控制器和DSP器件之间的接口应该位于PCB的内层走线。即便嵌入式存储器的内容被获取,数据的加密和验证机制也会使其变得毫无意义。

    制造商常常使用调试或测试端口。这些端口通常是串行或JTAG,可用来访问并控制大部分系统。在生产中,应确保这些端口在功能上被禁用或受到保护,因为仅仅不配备调试接头是不够的,顽固分子可以自行配备或焊接到引脚上。如果需要在生产设备中启用这些接口,使用之前应进行身份验证。可以用密码加以保护,但务必要让用户能够设置强密码。

责任编辑:程玥
本文来源于互联网,e-works本着传播知识、有益学习和研究的目的进行的转载,为网友免费提供,并已尽力标明作者与出处,如有著作权人或出版方提出异议,本站将立即删除。如果您对文章转载有任何疑问请告之我们,以便我们及时纠正。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐