電子發(fā)燒友網(wǎng)>電子資料下載>電子資料>使用安全硬件保護(hù)物聯(lián)網(wǎng)

使用安全硬件保護(hù)物聯(lián)網(wǎng)

2388714 2022-11-28 | pdf | 195.65KB | 次下載 | 免費(fèi)

資料介紹

需要保護(hù)物聯(lián)網(wǎng) (IoT) 免受各種形式的濫用。其中不僅包括金融欺詐和知識(shí)產(chǎn)權(quán)盜竊等熟悉的威脅，還包括對(duì)實(shí)物資產(chǎn)的破壞。預(yù)計(jì)未來幾年將加入物聯(lián)網(wǎng)的數(shù)十億聯(lián)網(wǎng)設(shè)備中的許多設(shè)備將與交通信號(hào)或街道照明、工業(yè)控制、發(fā)電等重要過程的安全機(jī)制、智能電網(wǎng)管理、家庭能源和安全等系統(tǒng)相關(guān)聯(lián)，或互聯(lián)汽車。攻擊者可能試圖禁用或接管此類設(shè)備，可能旨在造成廣泛的破壞和不便，或者通過造成尷尬、名譽(yù)損害甚至人身傷害來攻擊特定的個(gè)人或組織。此類漏洞利用可能只是出于娛樂、個(gè)人原因、商業(yè)利益、需要保護(hù)物聯(lián)網(wǎng) (IoT) 免受各種形式的濫用。其中不僅包括金融欺詐和知識(shí)產(chǎn)權(quán)盜竊等熟悉的威脅，還包括對(duì)實(shí)物資產(chǎn)的破壞。預(yù)計(jì)未來幾年將加入物聯(lián)網(wǎng)的數(shù)十億聯(lián)網(wǎng)設(shè)備中的許多設(shè)備將與交通信號(hào)或街道照明、工業(yè)控制、發(fā)電等重要過程的安全機(jī)制、智能電網(wǎng)管理、家庭能源和安全等系統(tǒng)相關(guān)聯(lián)，或互聯(lián)汽車。攻擊者可能試圖禁用或接管此類設(shè)備，可能旨在造成廣泛的破壞和不便，或者通過造成尷尬、名譽(yù)損害甚至人身傷害來攻擊特定的個(gè)人或組織。此類漏洞利用可能只是出于娛樂、個(gè)人原因、商業(yè)利益、物聯(lián)網(wǎng)設(shè)備的安全威脅物聯(lián)網(wǎng)設(shè)備的安全威脅物聯(lián)網(wǎng)設(shè)備旨在自主運(yùn)行。許多人長(zhǎng)時(shí)間無人看管，有時(shí)甚至整個(gè)生命周期都無人看管。網(wǎng)絡(luò)連接使設(shè)備容易受到遠(yuǎn)程攻擊，遠(yuǎn)程攻擊幾乎可以從任何地理位置快速發(fā)起，而無需克服物理障礙，例如柵欄、上鎖的外殼或保安人員。攻擊可以針對(duì)設(shè)備本身，或?qū)⑵溆米髟L問連接到同一網(wǎng)絡(luò)的其他資產(chǎn)的手段，例如包含帳戶持有人信息或知識(shí)產(chǎn)權(quán)的數(shù)據(jù)存儲(chǔ)。物聯(lián)網(wǎng)設(shè)備旨在自主運(yùn)行。許多人長(zhǎng)時(shí)間無人看管，有時(shí)甚至整個(gè)生命周期都無人看管。網(wǎng)絡(luò)連接使設(shè)備容易受到遠(yuǎn)程攻擊，遠(yuǎn)程攻擊幾乎可以從任何地理位置快速發(fā)起，而無需克服物理障礙，例如柵欄、上鎖的外殼或保安人員。攻擊可以針對(duì)設(shè)備本身，或?qū)⑵溆米髟L問連接到同一網(wǎng)絡(luò)的其他資產(chǎn)的手段，例如包含帳戶持有人信息或知識(shí)產(chǎn)權(quán)的數(shù)據(jù)存儲(chǔ)。另一方面，物聯(lián)網(wǎng)端點(diǎn)通常需要是簡(jiǎn)單、低成本、低功耗的設(shè)備，旨在使用最少的資源完成其預(yù)期任務(wù)。因此，無法獲得實(shí)施復(fù)雜安全性所需的處理能力和能量。與臺(tái)式計(jì)算機(jī)等機(jī)器的情況不同，通常沒有人在場(chǎng)輸入用戶名和密碼等憑證作為身份驗(yàn)證，從而允許設(shè)備啟動(dòng)和建立連接。但是，該設(shè)備必須能夠抵御各種類型的攻擊，并能夠自我驗(yàn)證并自動(dòng)向網(wǎng)絡(luò)上的其他設(shè)備提供其憑據(jù)。另一方面，物聯(lián)網(wǎng)端點(diǎn)通常需要是簡(jiǎn)單、低成本、低功耗的設(shè)備，旨在使用最少的資源完成其預(yù)期任務(wù)。因此，無法獲得實(shí)施復(fù)雜安全性所需的處理能力和能量。與臺(tái)式計(jì)算機(jī)等機(jī)器的情況不同，通常沒有人在場(chǎng)輸入用戶名和密碼等憑證作為身份驗(yàn)證，從而允許設(shè)備啟動(dòng)和建立連接。但是，該設(shè)備必須能夠抵御各種類型的攻擊，并能夠自我驗(yàn)證并自動(dòng)向網(wǎng)絡(luò)上的其他設(shè)備提供其憑據(jù)。如果設(shè)備無法執(zhí)行這些功能，攻擊者可能會(huì)擦除或禁用應(yīng)用程序軟件、更改代碼或用流氓軟件替換合法應(yīng)用程序。或者，他們可能會(huì)嘗試竊聽數(shù)據(jù)交換。需要采用一系列安全原則和技術(shù)來幫助克服這些威脅，但所有這些都需要在小型且資源受限的嵌入式系統(tǒng)中可用。除了既定的安全措施，例如最小化聯(lián)網(wǎng)設(shè)備的訪問權(quán)限、適當(dāng)?shù)姆阑饓土髁勘O(jiān)控；其中包括軟件的數(shù)字簽名、使用安全密鑰的數(shù)據(jù)加密以及為連接的設(shè)備建立強(qiáng)大的身份。如果設(shè)備無法執(zhí)行這些功能，攻擊者可能會(huì)擦除或禁用應(yīng)用程序軟件、更改代碼或用流氓軟件替換合法應(yīng)用程序。或者，他們可能會(huì)嘗試竊聽數(shù)據(jù)交換。需要采用一系列安全原則和技術(shù)來幫助克服這些威脅，但所有這些都需要在小型且資源受限的嵌入式系統(tǒng)中可用。除了既定的安全措施，例如最小化聯(lián)網(wǎng)設(shè)備的訪問權(quán)限、適當(dāng)?shù)姆阑饓土髁勘O(jiān)控；其中包括軟件的數(shù)字簽名、使用安全密鑰的數(shù)據(jù)加密以及為連接的設(shè)備建立強(qiáng)大的身份。驗(yàn)證軟件真實(shí)性驗(yàn)證軟件真實(shí)性數(shù)字簽名提供了一種驗(yàn)證軟件的方法，以驗(yàn)證其來源并防止未經(jīng)授權(quán)的更改。軟件發(fā)行商可以獨(dú)立簽署軟件，也可以在第三方證書頒發(fā)機(jī)構(gòu) (CA) 的支持下簽署軟件，該機(jī)構(gòu)提供簽署實(shí)用程序、證書和密鑰管理等服務(wù)。數(shù)字簽名提供了一種驗(yàn)證軟件的方法，以驗(yàn)證其來源并防止未經(jīng)授權(quán)的更改。軟件發(fā)行商可以獨(dú)立簽署軟件，也可以在第三方證書頒發(fā)機(jī)構(gòu) (CA) 的支持下簽署軟件，該機(jī)構(gòu)提供簽署實(shí)用程序、證書和密鑰管理等服務(wù)。為了對(duì)軟件進(jìn)行數(shù)字簽名，發(fā)布者使用散列算法創(chuàng)建代碼散列。散列僅在一個(gè)方向上起作用，這可以防止黑客對(duì)過程進(jìn)行逆向工程以從偽造代碼生成相同的散列。然后使用分配給發(fā)布者的私鑰對(duì)散列進(jìn)行加密。代碼、其加密哈希和發(fā)布者的簽名證書一起分發(fā)。