在线观看www成人影院-在线观看www日本免费网站-在线观看www视频-在线观看操-欧美18在线-欧美1级

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

如何為云應用提供安全通信

電子工程師 ? 來源:陳翠 ? 2019-05-01 22:11 ? 次閱讀

大規模的惡意網絡攻擊正變得越來越常見,這無論是對政府機構還是私營企業都造成巨大影響。隨著時間的推移,這些網絡攻擊變得越來越復雜,因此也更難以緩解。其中最引人注目的一個例子是WannaCry,一個勒索軟件設法攻擊了超過20萬臺計算機,造成巨大的破壞以及數億美元的損失,也許更多!

未來生產系統中將有數百億個物聯網節點通過公共互聯網連接到云,為了保護敏感數據免受未經授權第三方的訪問和竊取,確保物聯網強大的安全性將至關重要。然而,由于物聯網節點通常位于網絡邊緣,現有的加密機制需要依賴太多資源以致于在這種環境下無法實施。因此,這意味著需要采用更合適的輕工作量或零工作量(zero-touch)配置方案。

在制造階段將安全密鑰直接嵌入到器件中被證明是一種非常有效的保護手段,同時仍然能夠尊重這些運行規范。本文中貿澤電子介紹了Microchip的ATECC608A專用安全IC如何通過Google Cloud IoT核心服務用于硬件身份驗證,同時還可以降低整體物料清單成本和功耗水平,而只需要很少的軟件開銷。

隨著越來越多的物聯網節點部署在生產系統,這些節點仍然使用公共互聯網與云通信,因而為通信和身份驗證提供強大而有彈性的安全性至關重要,這對于保護系統免受攻擊和保護數據安全非常必要。

由于部署的網絡邊緣節點數量可能會達到數萬個,因此輕工作量或零工作量配置是一個起碼的要求。在制造階段將安全密鑰構建到器件中是滿足安全性和易配置性的極其有效方式。

本文中,我們將介紹Microchip ATECC608A以及如何通過Google Cloud IoT核心服務來實現基于硬件的身份驗證。

IIoT中極其重要的安全性

近年來,對工業和商業系統的惡意攻擊數量和頻率均有所增加,這些可能是出于犯罪目的,也可能是政府網絡戰策略的一部分。惡意網絡攻擊變得越來越復雜,并且會損害大量設備。最近的一些網絡攻擊例子包括:

·2010年:Stuxnet蠕蟲據稱對伊朗的核加工廠造成了重大損害。

·2014年:廣泛使用的OpenSSL安全軟件中發現有Heartbleed病毒,并被用于竊取來自多個系統的信息。盡管該漏洞在2014年已得到修復,但仍有許多未修補且易受攻擊的系統。

·2016年:Mirai惡意軟件將大量監控攝像頭和路由器等在線設備轉變為“僵尸網絡(botnets)”,用于發動分布式拒絕服務(DDoS)攻擊。

·2017年:據估計,WannaCry勒索軟件影響了150個國家/地區的20多萬臺計算機,造成的總損失據信達到數億或者數十億美元。

·2018年:萬豪連鎖酒店發現攻擊者入侵他們4年的客戶預訂數據庫,這使得大約5億人的個人信息面臨被盜取風險。

在工業環境中,對單個IoT節點的惡意訪問也具有足夠大的破壞性。更大的風險是,這使攻擊者能夠盜取通信身份,從而致使無限數量的設備受到攻擊。此類安全漏洞可能會損害您的客戶、您自己的收入和聲譽。

私鑰和公鑰

互聯網上幾乎所有安全通信都依賴于公鑰加密。這種加密方式使用一對加密密鑰:一個密鑰是公開的,任何人都可以使用;而另一個密鑰則被所有者秘密保持。用任一密鑰加密的消息只能用此一對加密密鑰中的另一個解密。

以這種方式加密數據需要復雜的計算,因此通常僅應用于短消息。

有幾種數學技術用于執行公鑰加密。最早的方法是基于這樣一個事實,即大整數因子分解比從主要因子產生大整數要困難得多,這是由Ron Rivest、Adi Shamir和Leonard Adleman發明的RSA算法的基礎。其他加密系統使用了離散對數(discrete logarithms),最近的一些技術則使用了橢圓曲線(elliptic curves)。

橢圓曲線加密(ECC)比其他替代方案具有更高的安全性。自RSA加密發明以來,已經開發了各種對其攻擊的方法,這些攻擊方法與日益增大的可用計算能力相結合,意味著必須使用比過去更長的密鑰來提供相同級別的安全性。然而,在ECC的情況下,即使經過三十年的研究,仍然沒有發現可以很容易破解ECC的捷徑。

因此,使用ECC可以采用較小的密鑰來獲得相同級別的安全性,這意味著可以使用IoT節點中功能較弱的處理器來完成安全加密。使用ECC可節省時間、功耗和計算資源,其他的挑戰是如何確保公鑰實際上為正確的人或實體所擁有,而通常的方法是使用受信任的證書機構(CA),這些是生成密鑰對的組織機構。通過使用自己的私鑰對其進行簽名,能夠向所有者提供私鑰,并證明公鑰的所有權。有相對較少數量的根證書機構能夠提供可由其他人用來生成和簽署中間證書的密鑰,從而創建了一個“信任鏈”。

信任鏈不僅必須包括通信鏈路兩端的系統,還必須包括硬件和軟件供應商。

您可以通過多種方式來使用公鑰加密:

·任何人都可以使用公鑰對信息進行加密,但只有收件人才能使用相應的私鑰讀取信息。

·發件人可以使用其私鑰對信息進行簽名(例如,通過附加信息的加密副本),然后,任何人都可以使用發件人的公鑰來解密簽名,從而對簽名進行身份驗證(實際上,哈希函數(hash function)用于生成表示信息文本的數字,然后將此哈希加密為簽名)。

·還可以使用數字簽名驗證信息的完整性。如果解密的簽名與明文不匹配,則表明該信息已被篡改。

·兩個人可以使用私鑰和另一個人的公鑰獨立生成共享密鑰,該技術被稱為Diffie-Hellman密鑰交換,以紀念發明人。然后,共享密鑰可用于加密和解密兩人之間的信息。這需要較少的計算,因此可用于較長的信息。

您可以使用這些技術來保護通信,并在安裝之前驗證軟件更新是否來源可靠。

在所有這些用例中,我們可以看到保護私鑰對于系統的安全性至關重要。

管理物聯網系統中的安全性

強大的身份驗證和數據加密是物聯網安全通信的核心,要求IoT節點具有安全、唯一且可信的身份,這可以通過使用公鑰加密來提供。

但是,管理IoT節點私鑰卻存在一些挑戰。例如,私鑰通常存儲在微控制器存儲器中某處,這意味著獲得系統訪問權限的人將能夠讀取密鑰。操作系統或應用軟件中的漏洞經常被用來獲取訪問權限。雖然可以安裝軟件更新來修復安全漏洞,但是一旦更新公布,就會讓全世界都知道這些漏洞。

由于需要進行全面測試并避免停機,因此可能需要數月才能更新工業系統中的嵌入式軟件,這可能使系統仍然在比較脆弱時為惡意攻擊者留下重要的窗口機會。

另一個潛在的弱點是人的因素。 人們可能會不小心,選擇捷徑,或者被試圖提取有關系統關鍵信息的人操縱或說服。

因此,為了保護私鑰安全,需要滿足以下目標:

·切勿將私鑰存儲在微控制器存儲器中

·將私鑰隔離,使其不能通過軟件直接訪問

·保護私鑰,使其不受他人訪問

實現這些目標的理想解決方案是采用專用安全器件,以便授權和加密都是在安全硬件中進行,并且永遠不會暴露私鑰。這種器件的一個范例是Microchip的ATECC608A。

Microchip ATECC608A

Microchip ATECC608A(見圖1)是一種支持多種加密算法的加密協處理器,它可以在安全硬件中存儲多達16個私鑰或證書,密鑰永遠不會在外部暴露。

圖1:ATECC608A加密協處理器。(來源:Microchip)

該器件支持橢圓曲線Diffie-Hellman(ECDH)密鑰交換和橢圓曲線數字簽名算法(ECDSA),也可為AES-128和SHA-256等其他算法提供硬件支持。

ATECC608A專為物聯網市場而設計,具有功耗低、成本低、軟件占用空間小等優勢,即使是小型微控制器也可以使用。CryptoAuthLib庫使其能夠獨立于任何特定的微控制器,并且通過使用標準JSON WebToken(JWT)進行身份驗證使其與軟件安全堆棧無關。

制造生產時會生成證書和密鑰,并將其存儲在芯片上的安全硬件中,從而能夠提供零工作量配置。密鑰永遠不會被制造設備或人員所看到,這些密鑰還有防篡改保護,即使可以物理訪問硬件,也能夠防止讀取密鑰。

Microchip已與Google合作,使用ATECC608A能夠提供集成的云身份驗證流程。

Google Cloud IoTCore

Google在可擴展的全球通信、數據存儲和分析方面擁有豐富的經驗,使其成為物聯網云服務的理想提供商。

Cloud IoT Core是一種用于安全連接和管理物聯網設備的服務,無論是幾個還是幾百萬個節點都可以適用。它可以使連接的設備傳輸數據,并由Google Cloud Platform進行處理,參見圖2。這種服務以完全透明的方式在世界任何地方提供,因而能夠實時分析和可視化物聯網數據,生成的建議可減少停機時間和提高生產率。

可以使用ATECC608A進行身份驗證并與Cloud IoT Core進行安全通信,該過程總結如下:

1.從所選證書機構獲取根證書。

2.然后,創建由根證書簽名的OEM證書

3.與Microchip的秘密交換能夠在安全的制造環境中在器件上創建器件證書,進行證書簽名。

4.然后,可以將器件的公鑰上傳到您的Google IoTCore帳戶,從而實現安全的身份驗證和通信。

為了執行認證,微控制器使用ATECC608A通過ECDSA對令牌進行簽名。在微控制器和協處理器之間不傳輸機密信息。

圖2:使用ATECC608A進行Cloud IoT Core認證。(來源:Microchip)

簽名的令牌然后傳遞給Cloud IoT Core的設備管理功能,該功能使用先前存儲的公鑰來驗證簽名,同時驗證節點,從而實現安全通信。

有關這些內容的更多信息,請參閱Microchip網站上的文章:Why harden your IoT Security with the ATECC608A for Google Cloud IoT Core?(為何要使用支持Google Cloud IoT Core 的ATECC608A來加強您的IoT安全性?)

結論

我們時常被提醒維護連接系統安全的重要性,公鑰加密在實施必要的安全協議時可以發揮重大作用。

ATECC608A加密協處理器解決了IoT節點中管理私鑰的許多問題,它與任何類型的微控制器兼容,并能夠與Google IoT Cloud Core無縫集成。

ATECC608A只增加了系統幾美分的成本,但卻能夠顯著提高系統的安全性,能夠以非常小的代價避免成為下一個惡意攻擊目標和新聞話題

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • IIoT
    +關注

    關注

    3

    文章

    234

    瀏覽量

    26081
收藏 人收藏

    評論

    相關推薦

    何為M2M通信技術?

    何為M2M通信技術?  M2M,即Machine-to-Machine,M2M通信技術就是機器對機器通信技術的簡稱,是指在傳統的機器上通過安裝傳感器、控制器等來賦予機器以“智能”的屬性
    發表于 08-28 16:45

    直擊物聯網安全問題:機智與斗象科技建物聯網安全實驗室

    開發和服務商,全棧式物聯網平臺服務領導者,國內第一個智能硬件自助開發PaaS及物聯網SaaS服務平臺。公司擁有完整的技術研發團隊、安全團隊和人工智能團隊,為開發者和企業提供
    發表于 12-30 14:25

    計算的數據安全與加密技術

    對外提供與普通服務器密碼機一致的密鑰管理和密碼運算服務(支持SM1/SM2/SM3/SM4算法)。同時,服務器密碼機采用安全隔離技術,保障各VSM之間密鑰的安全隔離。密鑰管理服務現有
    發表于 11-06 14:54

    阿里推出內部操作透明化服務 為用戶提供全棧數據保護體系

    與用戶相關的操作日志對用戶可見。阿里還為用戶提供了可靠的全鏈路數據加密,且密鑰僅為用戶所有,并完全可控,進一步保護用戶數據安全。此外,阿里還發布了基于云原生
    發表于 09-29 15:27

    服務器安全嗎?服務器有哪些優勢?

    安全問題,所以遲遲不敢選擇。那么,服務器安全嗎?服務器有哪些優勢?下面就讓摩杜帶大家一起來了解一下。
    發表于 03-27 14:31

    請問如何為數字應用提供模擬方案?

    請問如何為數字應用提供模擬方案?
    發表于 04-20 06:04

    什么是計算

    、存儲和網絡服務。PaaS 提供了開發環境和應用程序部署服務,包括數據庫、開發工具和應用程序服務。SaaS 則提供了各種類型的軟件服務,包括電子郵件、客戶關系管理和教育軟件等。計算的安全
    發表于 04-21 10:45

    何為通信電源系統選擇整流模塊

    何為通信電源系統選擇整流模塊 1引言 為一個通信電源系統選擇整流模塊要考慮很多因素。過去,大的壟斷性的電信
    發表于 07-18 14:03 ?2097次閱讀
    如<b class='flag-5'>何為</b><b class='flag-5'>通信</b>電源系統選擇整流模塊

    華為順利通過TISAX認證,為汽車行業上提供更多安全保障

    極高保護要求和數據保護標簽,是目前唯一國內數據中心完成TISAX認證的服務商。這表明華為獲得了為汽車行業提供服務的重要資質,可以為汽車行業客戶
    的頭像 發表于 12-29 14:16 ?2691次閱讀
    華為<b class='flag-5'>云</b>順利通過TISAX認證,為汽車行業上<b class='flag-5'>云</b><b class='flag-5'>提供</b>更多<b class='flag-5'>安全</b>保障

    北鯤何為企業提供混合解決方案

    如今,許多云廠商都擁有專門設計用于幫助企業部署和管理混合環境的框架。例如,亞馬遜公司提供AWS Outposts和EKS Anywhere。谷歌公司提供Anthos。微軟公司提供Az
    發表于 10-28 10:01 ?618次閱讀
    北鯤<b class='flag-5'>云</b>如<b class='flag-5'>何為</b>企業<b class='flag-5'>提供</b>混合<b class='flag-5'>云</b>解決方案

    安全嗎?華為網站安全解決方案為企業提供全棧安全防護

    經受網絡攻擊時,都會面臨巨大的資產損失,嚴重者甚至有可能就此破產。針對這一現狀,不少企業開始牽手業內領先的服務廠商華為,希望通過它提供的網站安全解決方案來保護企業更好的運營發展。那
    的頭像 發表于 10-16 13:35 ?432次閱讀

    通信是什么?

    通信服務的一種;通信主要面向企業通信市場,是在
    發表于 05-10 15:54 ?2606次閱讀

    華為云云耀服務器 L 實例,如何為企業提供安全可靠的計算服務

    計算是當今時代的技術引擎,越來越多的中小企業和開發者希望利用計算的技術和服務,提升自身的業務效率和創新能力。但是,市面上的服務器產品卻讓用戶們感到擔憂和不安:數據安全如何保障?服
    的頭像 發表于 08-23 23:10 ?320次閱讀
    華為云云耀<b class='flag-5'>云</b>服務器 L 實例,如<b class='flag-5'>何為</b>企業<b class='flag-5'>提供</b><b class='flag-5'>安全</b>可靠的<b class='flag-5'>云</b>計算服務

    什么是TWI 如何為I2C通信配置TWI

    電子發燒友網站提供《什么是TWI 如何為I2C通信配置TWI.pdf》資料免費下載
    發表于 09-25 10:07 ?0次下載
    什么是TWI 如<b class='flag-5'>何為</b>I2C<b class='flag-5'>通信</b>配置TWI

    曙光上業務提供堅實有力的數據安全保障

    安全自律公約》起草工作,并在業務開展全流程中貫徹公約相關要求。曙光高度重視計算安全建設,已完成從安全技術體系、
    的頭像 發表于 09-23 09:52 ?762次閱讀
    主站蜘蛛池模板: 丁香激情六月| 午夜精品久久久久久久第一页| 一本高清在线| 天天谢天天干| 亚洲va国产va天堂va久久| 免费在线观看一区二区| 劳拉淫欲护士bd字幕| 在线视频亚洲欧美| 4438成人成人高清视频| 日韩高清成人毛片不卡| 欧美人与牲动交xxxx| 免费在线观看黄| 午夜黄色毛片| bt天堂资源在线种子| 国产午夜人做人视频羞羞| 国产免费一级高清淫曰本片| 藏经阁在线| 深夜国产成人福利在线观看女同| 全亚洲最大的777io影院| 新版天堂资源在线官网8| 丁香婷婷六月天| 黄色天天影视| 成人高清毛片a| 午夜精品视频在线观看美女| 免费午夜网站| 另类激情亚洲| 丁香激情五月| 91九色蝌蚪在线| 成年人三级视频| 亚欧色视频在线观看免费| 色多多免费观看在线| 熟妇毛片| 久久观看视频| 狠狠色丁香婷婷综合小时婷婷| 91老色批网站免费看| 伊人网在线视频| sihu国产午夜精品一区二区三区| 天天爱夜夜爽| 高清xxx| 亚洲图片 欧美色图| 免费人成激情视频在线观看冫|