嵌入式帶來的安全隱患

 

隨著嵌入式網絡設備成本的下降，現在它們已經無處不在了。但是，這種快速擴散的一個隱藏成本是：這些設備可能缺乏安全性，因此可能被攻擊。如果沒有做好安全措施
，設備可能會泄露視頻、圖像或音頻等私人信息，或者成為僵屍網絡的一部分，在全球範圍造成嚴重破壞。

 

01 邊緣計算概括

 

邊緣計算是一種將集中式計算資源轉移到更靠近數據源所在地的範式。它具有多個優勢，包括：

 

●   可斷網工作

●   響應速度更快

●   各級計算需求之間的平衡得到了改善

 

圖1：邊緣計算架構圖顯示了雲基礎設施與邊緣聯網設備之間的關係

（圖源：貿澤電子）

 

如圖1所示
，雲基礎設施管理邊緣設備。物聯網（IoT）設備通過邊緣設備（如邊緣網關）連接到雲，以盡量縮小全局通信範圍。

 

說明性圖表顯示了一個框
，左側的雲基礎設施連接到中間的雲內的互聯網。然後邊緣設備連接到右側的互聯網，3個物聯網設備連接到邊緣設備。

 

根據總部位於德國的統計數據庫公司Statista估計
，2018年，全球共有230億台連接到物聯網的設備，專家預計，到2025年，這一數字將增至750億台。針對物聯網設備的Mirai惡意軟件在2016年(nian)中(zhong)斷(duan)了(le)數(shu)百(bai)萬(wan)人(ren)的(de)互(hu)聯(lian)網(wang)訪(fang)問(wen)，說(shuo)明(ming)這(zhe)些(xie)設(she)備(bei)需(xu)要(yao)更(geng)好(hao)的(de)安(an)全(quan)性(xing)。事(shi)實(shi)上(shang)，當(dang)攻(gong)擊(ji)者(zhe)發(fa)現(xian)某(mou)個(ge)特(te)定(ding)設(she)備(bei)的(de)漏(lou)洞(dong)時(shi)
，就(jiu)可(ke)以(yi)將(jiang)該(gai)漏(lou)洞(dong)大(da)規(gui)模(mo)應(ying)用(yong)於(yu)其(qi)他(ta)相(xiang)同(tong)設(she)備(bei)。

 

隨sui著zhe越yue來lai越yue多duo的de設she備bei擴kuo散san到dao邊bian緣yuan，這zhe些xie設she備bei的de風feng險xian也ye隨sui之zhi增zeng加jia。聯lian網wang設she備bei是shi攻gong擊ji者zhe的de共gong同tong目mu標biao，他ta們men可ke以yi利li用yong這zhe些xie設she備bei引yin起qi關guan注zhu
，或huo者zhe更geng常chang見jian地di擴kuo展zhan僵jiang屍shi網wang絡luo。下xia麵mian，我wo們men就jiu來lai探tan討tao一yi些xie保bao護hu邊bian緣yuan計ji算suan設she備bei的de方fang法fa。

 

02 保護設備

 

yaotantaoshebeibinglijietadeloudongshiruhebeiliyongde

，womenxiankanyixiashenmejiaozuogongjimian。shebeidegongjimianshizhigongjizhekeyichangshiliyongqigongjishebeihuocongshebeizhongtiqushujudesuoyoudian。gongjimiankebaokuo：

 

●   與設備對接的網絡端口

●   串行端口

●   用於升級設備的固件更新過程

●   物理設備本身

 

03 攻擊途徑（Attack Vector）

 

gongjimiandaibiaozheshebeicunzaidefengxian
，shianquanfangyudezhongdian。yinci，baohushebeijiushiyigelijieshebeikenengcunzaidegongjitujingbingbaohutamenyijianshaogongjimiandeguocheng。

 

常見的攻擊途徑通常包括：

 

●   接口

●   協議

●   服務

 

圖2：該圖顯示了一個簡單邊緣設備的潛在攻擊途徑。

（圖源：貿澤電子）

 

從圖2我們可以看到，一些攻擊途徑來自於網絡或本地接口、設備上運行的固件周圍的各種麵
，甚至物理包本身。下麵我們來探討一些攻擊途徑以及如何保護它們。

 

04 通信

 

攻擊接口或協議是一個多層次的問題。與雲端通信本身存在安全性問題
，包括數據安全性以及通過一個或多個協議（如HTTP）訪問設備的安全性。

 

傳輸層安全性（TLS）yingbaohuyushebeidesuoyoulaihuitongxin。zhezhongleixingdejiamixieyibaokuoshenfenyanzheng
，yiquebaoshuangfangdouqingchutamenzaiyushuitongxin，yijisuoyoushujudejiami，yibimianqietinggongji。zheduiyutongguogonggongwangluo（如互聯網）與遠程雲通信的邊緣設備而言是理想選擇。

 

考慮到數據在IPwangluoshangdeyidongsudu，weilegaoxiaoguanlishenfenyanzhengheshujujiamiyujiemi，bixujinxingyingjianjiasu。juyouyingjianjiamijiasugongnengdechuliqibaohanweishixianchuanshucenganquanxing（TLS）而進行的片上加密加速，可確保與遠程係統的安全通信。

 

使用Kerberos等協議進行身份驗證可以確保客戶機和服務器安全地標識自己。Kerberos依賴於對稱密鑰加密或公鑰加密，這兩種加密都可以使用包含加密引擎的處理器來加速。

 

05 協議端口

 

與網絡接口一起使用的協議端口是聯網設備上最普遍的攻擊途徑之一。這些端口使對設備的協議訪問暴露於風險之中。例如，web接口通常通過端口80而暴露
，因此向攻擊者提供有關可攻擊的漏洞類型的信息。

 

保(bao)護(hu)這(zhe)些(xie)端(duan)口(kou)的(de)最(zui)簡(jian)單(dan)方(fang)法(fa)之(zhi)一(yi)是(shi)使(shi)用(yong)防(fang)火(huo)牆(qiang)。防(fang)火(huo)牆(qiang)是(shi)設(she)備(bei)上(shang)的(de)應(ying)用(yong)程(cheng)序(xu)，您(nin)可(ke)以(yi)將(jiang)其(qi)配(pei)置(zhi)為(wei)限(xian)製(zhi)對(dui)端(duan)口(kou)的(de)訪(fang)問(wen)，從(cong)而(er)保(bao)護(hu)端(duan)口(kou)。例(li)如(ru)，防(fang)火(huo)牆(qiang)可(ke)以(yi)規(gui)定(ding)禁(jin)止(zhi)訪(fang)問(wen)指(zhi)定(ding)端(duan)口(kou)（預定義的受信任主機除外）。這樣可以限製對端口的訪問，有助於避免利用協議漏洞的常見攻擊
，如緩衝區溢出攻擊。

 

06 固件更新

 

邊(bian)緣(yuan)設(she)備(bei)正(zheng)在(zai)變(bian)得(de)越(yue)來(lai)越(yue)複(fu)雜(za)
，執(zhi)行(xing)著(zhe)比(bi)前(qian)幾(ji)代(dai)更(geng)先(xian)進(jin)的(de)功(gong)能(neng)，包(bao)括(kuo)機(ji)器(qi)學(xue)習(xi)應(ying)用(yong)程(cheng)序(xu)。伴(ban)隨(sui)著(zhe)這(zhe)種(zhong)複(fu)雜(za)性(xing)
，需(xu)要(yao)修(xiu)複(fu)問(wen)題(ti)並(bing)發(fa)布(bu)設(she)備(bei)更(geng)新(xin)。但(dan)是(shi)
，固(gu)件(jian)更(geng)新(xin)過(guo)程(cheng)會(hui)產(chan)生(sheng)攻(gong)擊(ji)途(tu)徑(jing)。通(tong)過(guo)在(zai)邊(bian)緣(yuan)安(an)全(quan)計(ji)劃(hua)中(zhong)對(dui)固(gu)件(jian)更(geng)新(xin)實(shi)施(shi)安(an)全(quan)措(cuo)施(shi)，可(ke)以(yi)減(jian)輕(qing)攻(gong)擊(ji)者(zhe)帶(dai)來(lai)的(de)風(feng)險(xian)。

 

代dai碼ma簽qian名ming是shi一yi種zhong常chang用yong的de安an全quan方fang法fa，用yong於yu避bi免mian惡e意yi代dai碼ma進jin入ru設she備bei。這zhe需xu要yao使shi用yong加jia密mi散san列lie函han數shu對dui固gu件jian映ying像xiang進jin行xing數shu字zi簽qian名ming。加jia密mi散san列lie函han數shu可ke在zai固gu件jian更geng新xin過guo程cheng之zhi前qian在zai設she備bei上shang使shi用yong
，以yi確que保bao代dai碼ma是shi真zhen實shi的de，並bing且qie在zai簽qian名ming後hou未wei被bei更geng改gai。

 

已yi簽qian名ming的de代dai碼ma也ye可ke以yi在zai引yin導dao時shi使shi用yong
，以yi確que保bao本ben地di存cun儲chu設she備bei中zhong的de固gu件jian沒mei有you被bei更geng改gai。這zhe包bao括kuo兩liang種zhong攻gong擊ji途tu徑jing，一yi是shi利li用yong設she備bei的de更geng新xin過guo程cheng，試shi圖tu使shi用yong存cun在zai漏lou洞dong的de圖tu像xiang更geng新xin設she備bei
，二er是shi保bao護hu設she備bei，使shi其qi不bu受shou強qiang製zhi塞sai入ru本ben地di存cun儲chu設she備bei的de圖tu像xiang的de影ying響xiang。

 

使用可信平台模塊（TPM）也頗有好處。TPM是一個安全加密處理器，專門用於安全功能，通常包括哈希生成、密鑰存儲
、哈希和加密加速以及其他多種功能。

 

07 物理安全措施

 

防fang篡cuan改gai設she計ji可ke以yi幫bang助zhu檢jian測ce設she備bei是shi否fou已yi被bei物wu理li打da開kai或huo以yi某mou種zhong方fang式shi受shou到dao損sun害hai。這zhe還hai包bao括kuo盡jin可ke能neng減jian少shao外wai部bu信xin號hao，以yi限xian製zhi攻gong擊ji者zhe監jian視shi其qi控kong製zhi的de設she備bei和he發fa現xian漏lou洞dong的de方fang式shi。攻gong擊ji者zhe可ke能neng試shi圖tu監jian視shi總zong線xian信xin號hao以yi識shi別bie安an全quan信xin息xi，並bing且qie在zai極ji端duan情qing況kuang下xia
，可ke能neng會hui對dui設she備bei施shi加jia溫wen度du變bian化hua、更改時鍾信號，甚至通過使用輻射來誘發錯誤。搞清楚潛在攻擊者用來了解您的設備的方法將有助於打造更安全的產品。

 

08 從何處了解更多信息

 

suizhedangjinwangluozhandebuduanfazhan

，gerenheguojiakeyiyougezhongdongjilaixunqiuliyongshebeiloudong，bianyuananquanshiyichangmanchangerjiannandezhandou。danshi，caiquxiandaianquancuoshibingzaichanpinkaifazhichujiukaolvanquanwenti，jiangdadayouzhuyuquebaoshebeideanquanxing。jizaofenxishebeidegongjimianjiangyouzhuyuquedingbazhuyilijizhongzaihechu，yibiankaifagenganquandeshebei。ninkeyizaimaozeanquanbokelejiegengduoxiangqing。

 

來源：貿澤電子，原創：M. Tim Jones  

 

 

免責聲明：本文為轉載文章
，轉載此文目的在於傳遞更多信息，版權歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權問題，請聯係小編進行處理。

 

推薦閱讀：

 

矽晶體管創新還有可能嗎？意法半導體超結MDmesh案例研究