當今社會的很多商業(yè)行為,如通信、金融交易及娛樂在很大程度上依賴于互聯(lián)網(wǎng)。隨著越來越多的設(shè)備連接到物聯(lián)網(wǎng)(IoT)中,對互聯(lián)網(wǎng)的依賴性將不斷增加。如果設(shè)備不安全,這種依賴將導(dǎo)致互聯(lián)網(wǎng)存在重大的安全漏洞,并使設(shè)備遭到攻擊和破壞。
目前,很多正在使用的物聯(lián)網(wǎng)設(shè)備,根據(jù)不同的應(yīng)用范圍將持續(xù)使用。例如,公用事業(yè)使用的儀表幾乎不會更換;通信基礎(chǔ)設(shè)施的設(shè)計使用年限為50年;電力傳輸系統(tǒng)使用壽命在30年以上;住宅、辦公室、工業(yè)建筑和其他建筑物可以每10年裝修一次以便長期使用。如果這些系統(tǒng)不安全,在威脅增加時,它們很快會被拋棄。
為增加用戶對智能設(shè)備的投資信心,保護設(shè)備免遭破壞,安全成為所有新型設(shè)備的基本要求。在未來的幾年中,將有500億個物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng),其中很大一部分是使用微控制器和資源有限的微處理器。幸運的是,與大型設(shè)備相比,這些小型設(shè)備更容易保護,不易受同類型威脅的攻擊,因此更安全。但并不意味著安全很容易實現(xiàn),只是如果能正確利用MCU和小型MPU的特性,開發(fā)安全的設(shè)備不困難而已。本文的后續(xù)部分將討論如何保護物聯(lián)網(wǎng)中的小型設(shè)備。
物聯(lián)網(wǎng)安全特征
為了充分保護MCU或小型MPU,下列安全功能通常是必須的,當然,并不是每個系統(tǒng)都必須具備所有功能。使用標準信息技術(shù)實現(xiàn)安全解決方案是嵌入式MCU和MPU產(chǎn)品安全機制的核心。
這些安全協(xié)議包括:TLS、IPSec/VPN、SSH、SFTP、安全啟動和自動回退、過濾、HTTPS、SNMPv3、安全的無線連接、加密和解密、加密文件系統(tǒng)、DTLS(用于UDP安全)和安全電子郵件。其中TLS、IPSec/VPN、HTTPS、安全的無線連接及DTLS意味著安全的通信連接,SFTP提供了安全的文件傳輸,SSH提供了安全的遠程訪問,而安全電子郵件提供了基于加密連接的郵件服務(wù)。支持自動回退的安全啟動程序(Bootloacler)確保系統(tǒng)不被破壞,SNMPv3、數(shù)據(jù)加密和加密文件系統(tǒng)通過加密來保護本地數(shù)據(jù)或傳輸?shù)狡渌麢C器的數(shù)據(jù),過濾實際上是起到防火墻的功能,用于阻止不受歡迎的訪問。各種協(xié)議將在系統(tǒng)安全一節(jié)之后討論。
系統(tǒng)安全
只有系統(tǒng)中最薄弱的連接或組件都可靠時,整個系統(tǒng)才是安全的。為保證系統(tǒng)的安全,其所有的通信通道、文件傳輸、數(shù)據(jù)存儲和系統(tǒng)更新方式都必須是安全的。在系統(tǒng)支持動態(tài)加載、可執(zhí)行文件修改及其他復(fù)雜功能時,實現(xiàn)系統(tǒng)安全是非常困難的。
想象一下這些場景:
①入侵者通過電子郵件、FTP或其他方式將文件傳入設(shè)備。
②文件動態(tài)加載運行時,會破壞其他可執(zhí)行文件,然后需要清理現(xiàn)場并刪除自己。
③如果病毒很新,系統(tǒng)不認識該病毒,它將獲準進入,從而感染系統(tǒng)。
考慮另外一種情況,在不安全或者沒有正確安全設(shè)計的通信連接中,有可能會讀取少量的數(shù)據(jù),還可能會在數(shù)據(jù)流中添加新的數(shù)據(jù),并破壞正在接收數(shù)據(jù)的系統(tǒng)。通過互聯(lián)網(wǎng)加載不安全的鏡像文件到設(shè)備就是這種情況的一個實例。當新加載的鏡像文件運行時,如果該文件可以正確訪問系統(tǒng),則這個不安全的鏡像文件將接管整個系統(tǒng)。還有一種情況,設(shè)備的關(guān)鍵數(shù)據(jù)會被竊取。只有數(shù)據(jù)被加密或保存在安全文件系統(tǒng)中,才可能從設(shè)備中恢復(fù)加密的數(shù)據(jù)。
為了確保系統(tǒng)安全,最好的方式是考慮如何訪問設(shè)備信息。通常,良好的安全系統(tǒng)要求:你知道的(密碼),你擁有的(借記卡或可穿戴式設(shè)備)和你是誰(虹膜掃描設(shè)備)。
對小型設(shè)備來說,這些安全措施過頭了。但是如果系統(tǒng)有非常高的安全要求,可以通過間接方式來實現(xiàn),只要確保系統(tǒng)的各個組件都是安全的。通過與服務(wù)器的安全交互,服務(wù)器可以安全地訪問設(shè)備,安全設(shè)備接口可以運行在大型設(shè)備上,也可以用于小型設(shè)備。
安全系統(tǒng)的另一個關(guān)鍵要素是分層安全,假設(shè)一些人只需要訪問系統(tǒng)的一部分,好的設(shè)計原則采用分層安全機制。這種情況下,如果沒有重要的工作,入侵者僅能訪問一部分系統(tǒng)。一個實例是使用兩個防火墻級聯(lián)來保護服務(wù)器,這樣,一個防火墻的漏洞可以被第二個防火墻隔離。
圖1是提供了安全功能的軟件概述。后面將針對前面列出的場景,討論如何使用這些軟件來保護系統(tǒng)。
通信安全
通信安全協(xié)議確保機器到機器間的通信安全,有一個可以依賴的信任等級,以建立安全通信。
TLS及其前身SSL是為TCP套接字流和需按順序交付的流連接提供通信安全最常用的方式。DTLS是一個新協(xié)議,提供可靠的UDP傳輸和基于TLS的數(shù)據(jù)包傳輸,TLS和DTLS協(xié)議是面向應(yīng)用到應(yīng)用間的通信。
IPSec或虛擬專用網(wǎng)絡(luò)(VPN)在TCP協(xié)議棧的基礎(chǔ)上使用虛擬鏈路安全技術(shù),設(shè)置比較困難,但它允許應(yīng)用通過鏈路通信,即使應(yīng)用沒有提供安全保護。通常情況下,由于設(shè)置困難,并且很多人認為NSA(國家安全局)參與開發(fā)的算法不安全,導(dǎo)致它沒有被廣泛使用。
HTTPS是建立在TLS上的安全網(wǎng)絡(luò)服務(wù)器訪問協(xié)議,它提供了安全的應(yīng)用訪問,通過與SSH相同的方式,為遠程用戶提供安全的模擬終端訪問。
安全的無線連接確保無線信息不會被收集,數(shù)據(jù)不會被其他人通過天線獲取。
安全電子郵件用于確保數(shù)據(jù)不會通過電子郵件直接傳輸。一種方式是在郵件發(fā)送之前加密數(shù)據(jù),另一種更簡單更通用的方案是在加密連接中提供郵件服務(wù),以確保管理郵件的服務(wù)器接收的所有郵件數(shù)據(jù)都是安全的。
基于SNMPv3的安全文件傳輸
使用加密和解密程序保護數(shù)據(jù)時,SNMPv3用于加密數(shù)據(jù)。如果所有的數(shù)據(jù)都很重要,可以使用文件加密,盡管文件加密方式會降低性能。
過濾和防火墻
防火墻通過過濾網(wǎng)絡(luò)服務(wù)器發(fā)送的所有數(shù)據(jù)包,拒絕未授權(quán)的訪問。通過過濾,設(shè)計者可以確保只有真正的用戶才能訪問系統(tǒng),阻止非法訪問,以保證系統(tǒng)安全。這些過濾規(guī)則需要在設(shè)備上配置,過濾功能通常需要結(jié)合SSH或SNMPv3使用。
安全啟動
安全啟動是安全系統(tǒng)的重要組成部分(圖2),支持固件更新并通過安全的方式實現(xiàn)更新非常重要。固件更新可以刪除所有工廠固件,并通過自動回退(fall back)機制增強該功能。通過自動回退,如果新的固件(可能損壞)導(dǎo)致啟動失敗,可以使用舊的安全版本重新啟動系統(tǒng),這是分層安全機制的部分功能。
通過解釋器或其他方式加載的程序運行時,可能破壞系統(tǒng)。Unison的操作系統(tǒng)在底層提供了額外的安全啟動功能來保護系統(tǒng),該功能使得系統(tǒng)很難被攻擊。
系統(tǒng)安全的考慮
MCU或資源有限的MPU如果需要應(yīng)用很多協(xié)議來實現(xiàn)安全目的,一個參考實例是Unison的操作系統(tǒng),它是一個小型的POSIX實時操作系統(tǒng),以非常小的代碼尺寸提供了安全功能。
Unison系統(tǒng)使用了安全通信協(xié)議,目標設(shè)備的所有應(yīng)用都是安全的。這些應(yīng)用包括手機應(yīng)用、面向小型網(wǎng)絡(luò)服務(wù)器的安全Web訪問等。類似緩沖區(qū)溢出之類的攻擊是不可能出現(xiàn)的,因為Unison系統(tǒng)在運行時占用很少的資源,禁止任何不合理的資源占用,還可以使用安全無線連接,但要使用VPN。
可以使用SFTP將文件傳輸?shù)较到y(tǒng),該機制保證數(shù)據(jù)在傳輸時不被破壞,對安全系統(tǒng)更新非常重要。在TCP服務(wù)器前端增加過濾處理,可以確保只處理授權(quán)的請求和更新,防止設(shè)備被入侵,極大提高了安全性。此外,還可以使用終端通過SSH協(xié)議遠程配置設(shè)備,與使用網(wǎng)絡(luò)服務(wù)器相比,使用腳本的方法更可靠,這種配置方式確保了配置設(shè)備也是安全的。此時,設(shè)備接收和發(fā)送的數(shù)據(jù)是安全的,任何更改或配置是可靠的,授權(quán)的應(yīng)用和用戶可以使用設(shè)備的數(shù)據(jù)和功能。
如果設(shè)備被偷了,怎么辦?為了防止這種情況發(fā)生,可以加密設(shè)備存儲的數(shù)據(jù),不使用本地數(shù)據(jù)而使用加密文件系統(tǒng),這將確保設(shè)備的關(guān)鍵數(shù)據(jù)是安全的。如果用戶的設(shè)備有密碼,通常這被認為是合適的安全措施,還可以使用其他安全措施,如增加指紋掃描、虹膜掃描、掌紋和其他功能給設(shè)備或?qū)⑵溥B接到安全工作站,以增加設(shè)備的可靠性。
前面列出的安全場景,除了程序執(zhí)行時,可能破壞系統(tǒng)安全的情況都考慮過了。對MCU或一些MPU來說,程序是一個運行在Flash中的單個映像文件,在這種情況下,由于整個映像在Flash中運行,并且如果啟動機制和刷新機制是安全的,不可能添加任何東西到系統(tǒng)中,因此入侵者不能加入新的代碼。在使用Unison時,該功能是可以實現(xiàn)的,因此Uni son使整個系統(tǒng)非常安全。
但如果系統(tǒng)中有解釋器,Unison不能保證整個系統(tǒng)是安全的。解釋程序可以在MCU或MPU上自由運行,不受限制地更改系統(tǒng)映像,除非建立了安全機制,例如使用了內(nèi)存管理單元(MMU)。
結(jié)語
通過使用標準IT安全協(xié)議、安全啟動及限制解釋器,可以完全保護MCU和小的MPU系統(tǒng)。安全不應(yīng)該事后考慮或位于操作系統(tǒng)之上,而應(yīng)該集成到系統(tǒng)中,作為一個功能單元測試,以實現(xiàn)真正的系統(tǒng)安全。
