【導(dǎo)讀】邊緣節(jié)點(diǎn)是物聯(lián)網(wǎng)中最脆弱的點(diǎn),我們很容易將它們視為對(duì)黑客毫無(wú)價(jià)值的孤立的嵌入式系統(tǒng)。尤其是,考慮到成本在家庭市場(chǎng)中非常重要,廠商會(huì)把握每一個(gè)節(jié)省成本的機(jī)會(huì)。但是安全性不可忽略,所有邊緣節(jié)點(diǎn)都必須和網(wǎng)絡(luò)中的任何節(jié)點(diǎn)一樣,保證安全。
設(shè)想一下,您的配偶收到了一束來(lái)自于您的鮮花,但實(shí)際上并不是您送的。然后你們發(fā)現(xiàn)自己的信用卡信息被盜,現(xiàn)在面臨著欺詐指控。鮮花上的便條上簡(jiǎn)單地寫(xiě)著“快樂(lè)”兩個(gè)字,表達(dá)的卻是騙子此時(shí)此刻的心情。
這是一個(gè)真實(shí)的故事。全球各地的零售店都發(fā)生過(guò)數(shù)據(jù)外泄事件,包括美國(guó)著名的零售商:如Home Depot和Target。Target數(shù)據(jù)泄露,是因?yàn)橐粋€(gè)外形美觀的恒溫器。這個(gè)處于云端系統(tǒng)的恒溫器是一個(gè)簡(jiǎn)單的節(jié)點(diǎn)設(shè)備,遭到了遠(yuǎn)程侵入。
假設(shè)您在這個(gè)遭受了黑客攻擊的零售店,有家廠商正在向您推薦一款更加美觀的恒溫器。他們想和您合作,讓您銷(xiāo)售這款產(chǎn)品,并將其連接到您的云端設(shè)備。您可能有興趣與他們合作,直到他們告訴您,他們沒(méi)有植入安全性。因?yàn)?,畢竟它只是一款恒溫器,?huì)出什么事情呢?
如果您知道會(huì)出什么事情,并且您對(duì)此曾有過(guò)陰影,那么您就會(huì)拒絕這筆生意。而那家恒溫器廠商也會(huì)得到一個(gè)教訓(xùn):不植入安全性雖然能夠節(jié)省成本,但很可能沒(méi)辦法賣(mài)出產(chǎn)品。
安全兩步走
安全性包含很多組件,它們都涉及證書(shū)以及其它擁有信任鏈并依賴唯一的器件私有密鑰(從它導(dǎo)出一個(gè)公共密鑰)的可信工件的交換。在一個(gè)邊緣節(jié)點(diǎn)上實(shí)施一個(gè)安全策略包含兩個(gè)步驟 :配置和調(diào)試。
配置為原始器件分配一個(gè)用于安全目的的標(biāo)識(shí),包括加載一個(gè)唯一的私有密鑰以及最終使用所需的任何其它證書(shū)或工件。配置使器件合法和可信。
配置良好的器件中固有的可信度源于一個(gè)“可信根”,它支撐著信任鏈中的所有實(shí)體??尚鸥梢杂扇魏稳松?,而且非常重要的是,它會(huì)得到無(wú)條件的信任。因此,為了使這種信任可信,買(mǎi)家和網(wǎng)絡(luò)管理者應(yīng)該知道這個(gè)根是誰(shuí)。
一家知名但聲譽(yù)岌岌可危的大公司可以創(chuàng)建自己的可信根,而一家小型的初創(chuàng)或創(chuàng)客公司卻很有可能做不到。這并不是因?yàn)樾」静恢档眯刨?,而是因?yàn)樗鼈儧](méi)有名氣,必須找到其他人為它們擔(dān)保。
這就是威瑞信這樣的證書(shū)管理機(jī)構(gòu)(CA)存在的原因。它們的職責(zé)就是得到其它公司的信任,并為它們擔(dān)保。因此,大公司可以簽署自己的密鑰,小公司也能擁有由一家CA簽署的密鑰。
配置的目的就是讓器件做好使用準(zhǔn)備,但它卻讓器件處于一種通用狀態(tài)。調(diào)試(或稱 “取得所有權(quán)”)是第二個(gè)安全步驟,在購(gòu)買(mǎi)器件后實(shí)施。此項(xiàng)工作是讓完成預(yù)先配置的器件接入一個(gè)網(wǎng)絡(luò),通常涉及某個(gè)網(wǎng)絡(luò)提供商的賬戶以及驗(yàn)證步驟,比如手機(jī)提交的密碼。調(diào)試這個(gè)步驟將器件從一個(gè)通用器件轉(zhuǎn)變?yōu)橐粋€(gè)與特定網(wǎng)絡(luò)中的特定用戶關(guān)聯(lián)在一起的器件。
配置工作在器件制造期間或者測(cè)試期間完成,而調(diào)試工作由網(wǎng)絡(luò)提供商和最終用戶管理。調(diào)試的成功與否取決于配置是否合理,傳統(tǒng)的配置技術(shù)會(huì)帶來(lái)高額的成本,并遺留安全漏洞。
配置問(wèn)題
配置一個(gè)器件的最低要求是一個(gè)簽名密鑰。這個(gè)密鑰最終將需要在調(diào)試期間得到某個(gè)網(wǎng)絡(luò)的認(rèn)可和接受。配置是在一個(gè)硬件安全模塊(HSM)的協(xié)助下完成的,該模塊負(fù)責(zé)在一個(gè)可查找的流程中保護(hù)密鑰的加載。
配置時(shí)不能使用任意密鑰。如果真是如此,制造商就可輕松制造出多于訂購(gòu)數(shù)量的器件(即所謂的“過(guò)度制造”),并在灰色市場(chǎng)中出售多余的器件。為了防止這種情況出現(xiàn),制造過(guò)程必須對(duì)所有密鑰進(jìn)行分配。接受某個(gè)器件的網(wǎng)絡(luò)必須確認(rèn)該器件是合法的,因此,網(wǎng)絡(luò)必須知道制造期間分配了哪些密鑰,只有這些密鑰才被允許接入網(wǎng)絡(luò)。
這意味著必須對(duì)密鑰數(shù)據(jù)庫(kù)進(jìn)行維護(hù)。該數(shù)據(jù)庫(kù)構(gòu)建于器件制造期間,供網(wǎng)絡(luò)運(yùn)營(yíng)商用于在器件調(diào)試期間驗(yàn)證密鑰。維護(hù)和管理這個(gè)數(shù)據(jù)庫(kù)不僅麻煩,而且會(huì)增加成本。更糟糕的是,它還成為網(wǎng)絡(luò)中的一個(gè)受攻擊點(diǎn)。如果該數(shù)據(jù)庫(kù)遭到入侵,所有密鑰都將被泄露。
此外,雖然這個(gè)過(guò)程能夠防止過(guò)度制造,但卻不能防止克隆??寺∈侵甘褂靡粋€(gè)密鑰制造出多個(gè)器件。其中一個(gè)器件在合法市場(chǎng)中出售,克隆的器件則在灰色市場(chǎng)中出售。
小公司需要通過(guò)CA獲得簽名密鑰,這會(huì)增加每個(gè)器件的BOM成本。而且,大公司能夠通過(guò)大量訂單降低器件或系統(tǒng)的HSM成本,但僅配置較少器件的小公司卻面臨著巨大的成本問(wèn)題。
圖1 :傳統(tǒng)上,器件或系統(tǒng)是在大容量測(cè)試儀或小容量HSM上進(jìn)行配置的。密鑰記錄于一個(gè)數(shù)據(jù)庫(kù)中,網(wǎng)絡(luò)在調(diào)試期間與該數(shù)據(jù)庫(kù)進(jìn)行協(xié)商。
如果密鑰存儲(chǔ)在邊緣節(jié)點(diǎn)設(shè)備的閃存中,那些意志堅(jiān)定的黑客就有可能找到并破 解這個(gè)密鑰。這雖然不是配置過(guò)程本身造成的結(jié)果,但卻凸顯了傳統(tǒng)配置方法的缺點(diǎn)。
為了應(yīng)對(duì)這些挑戰(zhàn),一種新的配置方法已經(jīng)出現(xiàn),它能夠以更低的成本帶來(lái)更高的安全性。
成本更低、安全性更高的配置方法
這種新的配置方法基于最新的芯片,后者唯一的目的就是充當(dāng)密鑰、證書(shū)和其它安全機(jī)密的可信守護(hù)者。此類芯片將使用一個(gè)私有密鑰進(jìn)行配置(理想的情況是內(nèi)部生成該密鑰),但這個(gè)密鑰永遠(yuǎn)不會(huì)被芯片泄露出去。實(shí)際上,當(dāng)需要一個(gè)密鑰時(shí),器件將生成一個(gè)公共密鑰或其它安全工件,從私有密鑰導(dǎo)出,但卻不同于私有密鑰。
首先,這能夠防止克隆。此類系統(tǒng)中的密鑰由一個(gè)單獨(dú)的芯片控制,而不是由閃存等商用芯片控制。如果需要制造1000個(gè)系統(tǒng) ,那么就將不多不少地提供1000個(gè)安全芯片,不給克隆版本留下任何多余的芯片。
這些器件還能存儲(chǔ)證書(shū)等安全要素,而且還能以一種不透明的方式提供密鑰及證書(shū)生成和存儲(chǔ)功能,從而減輕系統(tǒng)處理器的負(fù)擔(dān)。
可信平臺(tái)模塊(TPM)就是支持這些安全功能的硬件的典型例子。但是基于TPM的器件通常不能滿足市場(chǎng)對(duì)低成本物聯(lián)網(wǎng)邊緣節(jié)點(diǎn)提出的成本要求。
Atmel ATECC508是一個(gè)低成本的例子。與Atmel的TPM器件一樣,該器件在配置期間被觸發(fā)時(shí)在內(nèi)部創(chuàng)建自己的私有密鑰,這個(gè)私有密鑰不能被任何人讀取,從而讓克隆變得完全不可能。這還意味著不需要任何數(shù)據(jù)庫(kù),從而節(jié)省了維護(hù)時(shí)間和精力,并且消除了數(shù)據(jù)庫(kù)這個(gè)安全風(fēng)險(xiǎn)。
如果器件較多,Atmel可以在測(cè)試服務(wù)期間預(yù)先配置這些器件。此外,系統(tǒng)制造商還可以使用它們的測(cè)試儀進(jìn)行配置。如果器件較少,Atmel提供一個(gè)
工具包,系統(tǒng)設(shè)計(jì)公司可以使用它配置原型和首次運(yùn)行的器件。這節(jié)省了購(gòu)買(mǎi)HSM的成本。該工具包可讓用戶選擇自我簽名,或者獲得CA證書(shū),將其用作每個(gè)器件的信任鏈的基礎(chǔ),從而無(wú)需為每個(gè)器件購(gòu)買(mǎi)一個(gè)單獨(dú)的證書(shū)。
圖2: 大量器件可以在測(cè)試期間由Atmel這樣的器件制造商或授權(quán)組裝廠預(yù)先配置。少量器件可以使用Atmel的工具包進(jìn)行配置,無(wú)需購(gòu)買(mǎi)HSM 。
使用一個(gè)專用的安全芯片有助于消除安全漏洞,并降低配置成本。它可以通過(guò)消除克隆和密鑰數(shù)據(jù)庫(kù)這個(gè)黑客攻擊目標(biāo),從而提高安全性。無(wú)需維護(hù)密鑰數(shù)據(jù)庫(kù),也無(wú)需為每個(gè)器件購(gòu)買(mǎi)一個(gè)密鑰,因此能夠降低成本。
更高的安全性和更低的成本,這一組合使得廠商更加愿意并更能承受為物聯(lián)網(wǎng)邊緣節(jié)點(diǎn)增添安全性??紤]到針對(duì)邊緣節(jié)點(diǎn)的日益嚴(yán)厲的審查,尤其是來(lái)自網(wǎng)絡(luò)管理者的審查,這種安全性將成為所有邊緣節(jié)點(diǎn)實(shí)現(xiàn)熱銷(xiāo)以及物聯(lián)網(wǎng)不斷拓展的必要條件。