全国服务热线:18037802868

广西新闻中心 PRODUCT DISPLAY

广西硬件信任锚确保智能家居安全

来源: 发布时间:2020-02-28 19413 次浏览

来源:一卡通世界    

  1. 智能互联家居

  随着物联网应用的快速发展,近年来我们的家居环境已经发生了翻天覆地的变化。现今,典型的家庭网络环境由路由器/网关组成,很多家用电器利用诸如Wi-Fi、BLE和ZigBee等无线通信协议连接至互联网。这类家庭网络如下图所示:

  例如,像温控器等智能传感器需要连接至互联网,支持数据记录和远程控制。诸如智能扬声器等语音助手将语音命令发送至云端,IP摄像头需要连接至互联网,实现实时监控。甚至门锁也已经发展到具有联网功能,支持远程监控和远程开门。另外,诸如空调、洗衣机、电饭煲和冰箱等家用电器也正在具备远程访问可能性,为屋主带来更大便利。

  从安全角度来看,网络中智能设备数量大幅增加,导致潜在的攻击入口增多。所有这些智能设备极少与人类直接互动。同时,这些智能设备均具备内置智能,可以收集数据和信息,基于编程算法做出决策,而且很多情况下它们需要具备与家庭网关或云服务器进行数据通信的能力。终端用户主要通过外部控制台或智能手机控制或监控这些设备。因为这些设备均独立运行,所以,如果出现安全漏洞,终端用户极少有办法检测和预防这些问题发生并采取纠正行动。

  其次,无线连接解决方案不仅限于目前智能家居环境使用的Wi-Fi。诸如蓝牙、ZigBee和Z-Wave等连接解决方案已经得到迅速发展和应用。随着通过各种无线连接解决方案连接的互联设备数量不断增加,智能家居设备受攻击的范围大大扩展,而且攻击事件的数量也在不断地上升。

  最后但同样重要的是,大部分智能家居设备基于配备装有实时操作系统(RTOS)的各种单片机运行。这类配置的安全等级随供应商的不同而有所不同。同时,这些设备经常需要进行现场固件升级,这成为另一个存在高风险的潜在攻击入口,因为如果没有充分的保护机制,恶意软件可能在固件升级期间插入。近期在美国和德国发生的互联设备遭受分布式拒绝服务(DDOS)攻击的事件,很好地证明了互联家居设备中固件保护的重要性。

  对于家居设备制造商来说,了解面临的威胁和目前可提供的保护机制至关重要。

  2. 智能家居面临的主要安全威胁

  我们可以将智能家居应用面临的安全威胁大致分为四类。这些安全威胁的识别方法如下:

  虚假设备身份

  大部分智能家居设备均具有某种形式的设备标识符,比如唯一ID或证书。然而,如果没有密码保护,一旦攻击者了解标识符的生成过程,唯一标识符很容易被克隆。一旦唯一标识符在未经授权情况下被克隆,攻击者能够通过克隆设备立即访问网络,而且可以发动后续攻击。比如,攻击者可以窃取关键信息,滥用网络带宽,或者插入恶意软件或病毒。另一方面,验证服务器身份同样重要。如果家居设备连接至恶意服务器,关键用户数据可能被窃取,或者导致更糟糕的情况——整个家庭网络被攻击。

  窃取数据

  智能家居环境使用的大部分通信接口均基于无线技术,比如蓝牙、ZigBee和Wi-Fi等。尽管大部分这些无线技术具有某种形式的安全保护机制,但是由于存在用例限制,这些保护机制不够可靠。比如,蓝牙配对通常依赖简单的密码。这增加了通过通信接口窃取关键和敏感用户数据的风险。通过利用密钥加密通信数据,保护数据机密性和完整性,也是一种常见做法。密钥保护对防止盗窃和提取数据具有很重要的意义。

  例如,针对三年前的一次真实攻击事件,Context Security的专家证明了某些智能灯泡存在安全漏洞。这些LED灯泡连接至基于Wi-Fi___33的电路板。专家发现,当这些灯泡在网状网络(基于6LoWPAN技术)中彼此“交谈”时,报文中包含用户名和密码。由于基本的预共享密钥从未改变,所有白帽子们要获得访问权限所要做的是建立一个类似的电路板,模拟其中一个智能灯泡请求加入网络。这使他们能窃取证书,并最终控制网络上所有灯具。他们报告称,如果控制了近30米范围内智能灯泡,潜在的攻击者可以轻松访问私人住宅或企业。他们还表示,更糟糕的是,这类攻击不会被该网络所有者发现。

  数据操纵

  除了窃取数据的风险,关键数据可能被恶意操纵篡改。因此,保护数据完整性是确保智能家居环境安全的另一个重要方面。像账单信息、敏感配置数据或资源使用情况等关键信息不能被交换或存储为被操纵值。

  恶意软件感染

  获得网络访问权限后一种典型的攻击方式就是安装恶意软件。这样,安装恶意软件的设备会成为新一级攻击的来源。一些主要电信网络近期发生的案例就是这类攻击的典型例子。一旦互联家居设备被攻击并安装恶意软件,这些设备可能被添加到僵尸网络,并开始发动DDoS攻击。结果,很多家居设备(不仅仅是计算机)成为潜在的DDoS攻击来源。这类智能家居设备(比如,智能摄像机、家用路由器等)的数量比联网计算机的数量要多得多。因此,僵尸网络DDoS攻击造成损失的规模和速度也要严重的多。

  3.基本安全基石

  上文提到的智能家居环境存在的安全威胁可以通过三个基本的安全方面得到解决:通过加密敏感数据确保“机密性”;通过利用密码报文验证码功能或数字签名保护数据确保“完整性”;通过利用强大的密码验证机制确保“真实性”。

  密钥是这三大安全基石的核心。这些密钥用于加密/解密,计算CMAC和为强大的密码验证方案提供支持。如果攻击者设法窃取或克隆这些密钥,那么这些安全基石(“机密性”、“完整性”和“真实性”)不再被执行,因为攻击者现在能够成功窃取和/或篡改通信数据,并将自己伪装成真正的设备。

  因此,通过使用防篡改硬件信任锚保护这些密钥至关重要。

  4.硬件信任锚确保智能家居安全

  安全身份地建立有赖于密钥和利用密钥的加密过程。密钥是保护智能家居系统所需要的一整套安全措施的信任根。基于硬件的安全解决方案具有保护安全身份所需要的可靠安全等级,而且提供比基于纯软件的配置更高的信任程度。

  纯软件解决方案通常有共同的弱点,比如软件缺陷或恶意软件攻击。通常,读取和改写软件相对简单,这反过来也可能导致攻击者轻松提取密钥。相比之下,基于硬件的安全解决方案可以用于存储访问数据和密钥,达到与存储机密文件相同的安全等级。

  谈到网络安全,没有万能解决方案。通常有效的方法是采用深度防御——在各层构建安全对策,包括设备层、软件层、应用层、处理层和用户教育层。

  在设备和硬件层,采用防篡改硬件信任锚补充软件安全配置,可谓两全其美之策。硬件信任锚可以安全存储密钥,同时提供强大的信任等级,支持软件安全配置。通过实现软件应用和密钥的空间分离,建立一道经济划算且高效的屏障,预防在感染恶意软件的情形下泄露密钥和证书。

  根据上文探讨的智能家居面临的安全威胁,包括虚假设备、窃取数据、数据操纵和恶意软件攻击,硬件信任锚应该解决四个用例——身份验证、安全通信、安全数据存储和保护完整性,以及安全固件升级。

  5. 硬件信任锚如何满足最重要的用例需求

  本节我们将介绍英飞凌的OPTIGA™系列产品如何充分满足这些用例需求。

  用例1:身份验证

  身份验证是这样一个过程:验证网络中用户、计算机、设备和机器的身份,限制非授权人员访问禁止操作的设备。硬件安全可以通过安全存储设备的证书(密钥或密码)支持身份验证。英飞凌已经研发出广泛的OPTIGA™产品系列。该系列产品在硬件设备中建立信任根,支持对设备和系统进行安全身份验证。例如,OPTIGA™ Trust B和OPTIGA™ Trust E可以用于单向身份验证,实现品牌和配件保护;OPTIGA™ Trust X和OPTIGA™ Trust TPM可以用于双向身份验证。

  用例2:安全通信

  在典型的嵌入式系统架构中,设备和系统利用各种标准和专有协议在异构网络中实现互联。为防止通信数据被窃取或通信报文被篡改,必须确保这些系统之间的通信安全。例如,确保语言助手和云端之间的通信安全,对于保护用户隐私十分重要。同时,保护这些密钥,确保建立安全通信至关重要。英飞凌的OPTIGA™系列(比如,OPTIGA™ Trust X和OPTIGA™ TPM)能够通过保护通信协议中使用的密钥和证书,以及支持密码操作,确保通信安全。

  用例3:存储数据加密和保护数据完整性

  嵌入式设备通常存储着敏感用户数据。可以通过加密或签名保护这些数据的完整性和机密性,而其中的挑战在于安全存储密钥。如果攻击者设法读出密钥,则数据可能很容易被解密。英飞凌的OPTIGA™ Trust X和OPTIGA™ TPM系列产品通过加密数据和安全地存储密钥克服了这一挑战。OPTIGA™ Trust X和OPTIGA™ TPM系列产品还支持软件和硬件完整性检查,检测固件是否被篡改或者是否感染恶意软件。

  用例4:安全固件升级

  嵌入式系统中的软件和固件通常需要定期升级推出新功能或修补现有安全漏洞。然而,同时保护软件及被更新的系统可能极具挑战性。受软件保护的固件升级仅在当软件被读取、分析或篡改,影响升级或系统时处于危险中。这一挑战可以通过结合使用安全硬件克服,因为可以通过采用英飞凌的OPTIGA™ Trust X和OPTIGA™ TPM产品确保验证和解密固件的密钥安全。另外,比如防止固件版本回滚等关于安全固件升级的更多安全策略可以通过采用飞凌的OPTIGA™ Trust X和OPTIGA™ TPM产品得到安全强化。

  6.结论

  随着物联网和智能家居的出现,互联设备越来越多。由于这些智能设备能够运行应用的源代码,而且大部分智能设备是在没有任何安全连接措施的情况下连接至互联网,它们很可能被攻击。这些智能设备可能成为恶意黑客入侵系统窃取、篡改机密信息(比如,密码)或甚至插入恶意软件的入口。

  在大多数情况下,用户并不知道他们购买的产品的漏洞和潜在安全风险(比如,DDoS攻击)。因此,设备制造商在产品设计环节加入安全措施势在必行。

  本文重点介绍了四种主要的攻击场景,包括虚假设备、窃取数据、数据操纵和恶意软件攻击,以及如何通过使用硬件信任锚更好地满足这四个用例需求,包括身份验证、安全通信、安全数据存储和保护数据完整性,以及安全固件升级。

  除了操作系统或软件中的其他安全措施,硬件信任锚为系统提供了安全基础。嵌入式设备制造商可以通过采用这样一个专业设备减少创建安全基础的工作,同时仍能确保系统高度安全。