為物聯(lián)網(wǎng)系統(tǒng)提供服務(wù)器端基礎(chǔ)架構(gòu)，構(gòu)建設(shè)備安全方案

2016年秋季，黑客招募了數(shù)十萬臺(tái)嵌入式設(shè)備，形成惡意僵尸網(wǎng)絡(luò)。他們的Mirai惡意軟件感染了寬帶路由器，讓僵尸網(wǎng)絡(luò)的運(yùn)營(yíng)商在分布式拒絕服務(wù)（DDoS）攻擊中使用它們。這是對(duì)新興物聯(lián)網(wǎng)（IoT）行業(yè)的警醒 - 展示了黑客如何為自己的目的使用網(wǎng)絡(luò)智能設(shè)備。

雖然Mirai攻擊主要集中在消費(fèi)設(shè)備上，但對(duì)工業(yè)的影響物聯(lián)網(wǎng)是嚴(yán)肅的。如果沒有對(duì)策，工業(yè)工廠就有可能成為類似大規(guī)模襲擊的犧牲品。風(fēng)險(xiǎn)從生產(chǎn)損失到連接機(jī)械的嚴(yán)重?fù)p壞。安全專家的分析表明，遭受黑客攻擊的設(shè)備制造商犯了相對(duì)簡(jiǎn)單的錯(cuò)誤。在Mirai攻擊的情況下，路由器中很少有人防止黑客登錄并向他們上傳新固件。

物聯(lián)網(wǎng)安全基金會(huì)（IoTSF）等團(tuán)體發(fā)布了旨在保護(hù)的建議反對(duì)類似的攻擊。 IoTSF確定了可以防范Mirai的措施。它們包括確保訪問代碼或密碼對(duì)于每個(gè)單元是唯一的并且不在一組設(shè)備之間共享的需要。即使黑客能夠發(fā)現(xiàn)一個(gè)密碼，他們也無法使用相同的訪問憑據(jù)登錄其他人。進(jìn)一步的建議是，設(shè)備應(yīng)該防止加載到?jīng)]有受信任提供商進(jìn)行數(shù)字簽名的固件。

雖然答案是擁有每個(gè)單元獨(dú)有的憑據(jù)，但這可能很困難從物流的角度來管理。如果每個(gè)設(shè)備都需要由專業(yè)安裝人員單獨(dú)配置，則IIoT系統(tǒng)的部署成本非常高。這也是一種增加風(fēng)險(xiǎn)的策略，因?yàn)樵S多設(shè)備可能需要由一小群人配置 - 使其成為工業(yè)間諜和社會(huì)工程攻擊的主要目標(biāo)。

圖1：適用于IIoT實(shí)現(xiàn)的證書層次結(jié)構(gòu)。

安裝唯一密鑰的點(diǎn)也是一個(gè)問題。該程序應(yīng)在制造供應(yīng)鏈的早期進(jìn)行。這避免了通過網(wǎng)絡(luò)傳輸密鑰的需要，這是安全性的主要風(fēng)險(xiǎn)，特別是如果攻擊者知道何時(shí)正在建立網(wǎng)絡(luò)。鑒于工業(yè)項(xiàng)目的性質(zhì)，不能排除對(duì)私鑰傳輸?shù)墓簟?/p>

在將傳感器節(jié)點(diǎn)或IIoT設(shè)備視為系統(tǒng)的可信部分之前，需要執(zhí)行幾個(gè)步驟。第一步是將其注冊(cè)到網(wǎng)絡(luò)中。也就是說，它需要自己獨(dú)特的網(wǎng)絡(luò)地址和與服務(wù)器通信的方式 - 很可能是本地網(wǎng)關(guān)或路由器，便于訪問更廣泛的物聯(lián)網(wǎng)。

為了便于使用，可以支持注冊(cè)通過近場(chǎng)通信（NFC） - 使用管理單元（可以是智能手機(jī)或平板電腦）輕觸設(shè)備，將所需的網(wǎng)絡(luò)數(shù)據(jù)發(fā)送到設(shè)備。然后，該單元將自己配置為在已被授予訪問權(quán)限的網(wǎng)絡(luò)上進(jìn)行通話。但這并不能使它成為值得信賴的設(shè)備。在配置和身份驗(yàn)證完成之前，其他網(wǎng)絡(luò)設(shè)備不應(yīng)該信任其數(shù)據(jù)。

設(shè)備需要被網(wǎng)絡(luò)上的其他計(jì)算機(jī)信任，反之亦然。這保證了設(shè)備在向服務(wù)器或網(wǎng)關(guān)發(fā)送數(shù)據(jù)時(shí)，它正在處理真實(shí)的機(jī)器而不是冒名頂替的機(jī)器。如果遠(yuǎn)程服務(wù)器發(fā)送固件更新，則需要根據(jù)數(shù)字證書檢查它們，以確保每次更新都是合法的，而不是黑客企圖破壞設(shè)備的目的。

圖2：用于在原型制作和制造過程中存放設(shè)備特定證書的協(xié)議。

數(shù)字證書的交換為建立信任進(jìn)行提供了基礎(chǔ)。 PKI是一種經(jīng)過充分驗(yàn)證的框架，用于執(zhí)行高效安全的IIoT操作所需的相互認(rèn)證。它使構(gòu)建信任供應(yīng)鏈成為可能，確保當(dāng)具有適當(dāng)證書的設(shè)備出現(xiàn)在網(wǎng)絡(luò)上時(shí)，它將被認(rèn)為是值得信賴的。

例如，X.509標(biāo)準(zhǔn)利用PKI將公鑰與證書所有者的身份相關(guān)聯(lián)。使用公鑰，訪問證書的任何人都可以檢查它是否與證書中的簽名匹配。如果沒有辦法驗(yàn)證證書的身份是否合法，證書本身是不夠的。為了被信任，任何聯(lián)網(wǎng)設(shè)備的身份必須是可由第三方驗(yàn)證的更大信任鏈的一部分。 X.509可以構(gòu)建這樣的信任鏈，如Web瀏覽器使用的TLS安全機(jī)制所示。

在X.509下，鏈的末尾應(yīng)該是提供的證書由受信任的根證書頒發(fā)機(jī)構(gòu)。從此根證書，可以創(chuàng)建具有自己的公鑰和頒發(fā)者簽名的證書，該簽名引用根。然后可以從樹結(jié)構(gòu)中的這些衍生證書生成進(jìn)一步的證書。通過每個(gè)證書上的頒發(fā)者的專有名稱，客戶端可以在層次結(jié)構(gòu)的更上方獲取證書的公鑰，以檢查證書的簽名是否合法。

圖3：用于實(shí)現(xiàn)分層證書部署的原型設(shè)置。

在IIoT設(shè)備供應(yīng)中，三層層次結(jié)構(gòu)是一個(gè)合適的選擇。設(shè)備信任鏈的根證書頒發(fā)機(jī)構(gòu)可以位于制造商中。為設(shè)備的每個(gè)應(yīng)用程序或客戶提供基于該根文檔的證書。最后，每個(gè)設(shè)備的證書都來自應(yīng)用程序證書。這創(chuàng)建了一個(gè)信任鏈，以可管理和安全的方式為所有IIoT設(shè)備提供唯一的證書。

然后需要一種在IIoT設(shè)備上安裝唯一證書的機(jī)制。安全存儲(chǔ)有許多硬件要求，這些要求很難在標(biāo)準(zhǔn)微控制器和存儲(chǔ)器組合上實(shí)現(xiàn)。還存在何時(shí)以及如何將證書編程到IIoT設(shè)備中的問題，特別是在當(dāng)今使用的復(fù)雜制造供應(yīng)鏈中。外包可能意味著將私鑰交付給沒有強(qiáng)大安全保障的設(shè)施。

Microchip ATECC508A提供了解決問題的方法。 ATECC508A加密元件使用Elliptic Curve Diffie-Hellman（ECDH）加密和密鑰交換系統(tǒng)。與傳統(tǒng)的RSA密鑰系統(tǒng)相比，這提供了高安全性和更少的處理開銷，因此延長(zhǎng)了電池壽命。除ECDH外，ATECC508A還具有內(nèi)置的ECDSA符號(hào)驗(yàn)證功能，可提供高度安全的非對(duì)稱認(rèn)證。 ATECC508A采用加密對(duì)策來防范黑客可以訪問硬件的攻擊。

除了作為針對(duì)受限嵌入式系統(tǒng)優(yōu)化的安全加密協(xié)處理器之外，它還受到制造基礎(chǔ)設(shè)施的支持。能夠安全地插入唯一密鑰和證書。創(chuàng)建應(yīng)用程序或客戶證書并將其存儲(chǔ)在Microchip安全生產(chǎn)線上，并在每個(gè)ATECC508A編程時(shí)根據(jù)需要?jiǎng)?chuàng)建設(shè)備證書。編程完成后，ATECC508A只需放置在目標(biāo)PCB上，通過I 2 C與主機(jī)微控制器配合執(zhí)行認(rèn)證功能。

使用A的一個(gè)重要好處在IIoT設(shè)備上預(yù)加載的設(shè)備（如ATECC508A）是由處理相互身份驗(yàn)證和配置的基礎(chǔ)架構(gòu)支持的。 Microchip正在與Amazon Web Services（AWS）合作，為物聯(lián)網(wǎng)系統(tǒng)提供服務(wù)器端基礎(chǔ)架構(gòu)。 Microchip使用AWS注冊(cè)客戶特定的生產(chǎn)證書，以確保當(dāng)設(shè)備向云宣布其存在時(shí)，它將被識(shí)別為有效請(qǐng)求。此時(shí)發(fā)生相互認(rèn)證握手，允許設(shè)備構(gòu)成IIoT系統(tǒng)的一部分。相反，來自AWS應(yīng)用程序的更新和請(qǐng)求以及相應(yīng)的數(shù)字簽名可以被認(rèn)為是合法的。為了便于進(jìn)行原型設(shè)計(jì)，ATECC508A的AT88CKECC開發(fā)套件提供了USB加密狗，其中包含作為根證書和中間證書頒發(fā)機(jī)構(gòu)的自簽名證書。

結(jié)論

安全專業(yè)人員同意這種獨(dú)特的憑證，最好是基于已知的安全方案，如PKI，可以很好地防御大規(guī)模攻擊。將云服務(wù)和高效硬件（例如ATECC508A和AWS提供的硬件）結(jié)合在一起的基礎(chǔ)架構(gòu)，可以按照IIoT項(xiàng)目所需的規(guī)模實(shí)施必要的安全性。