中文 英语

安全硬件设计

过去的大多数攻击都集中在获得对软件的访问,但崩溃和幽灵永远改变了这一点。

受欢迎程度

埃德·斯珀林和凯文·福格蒂著

网络罪犯开始瞄准硬件的弱点来控制设备,而不是把硬件作为获取软件的跳板。

2017年谷歌Project Zero(2018年1月公开)发现了Spectre和Meltdown,这一转变突显了攻击者的复杂程度显著提高。英特尔(Intel)、AMD、IBM和Arm近几个月来一直在努力弄清楚,到底需要多少性能和功率才能防止这些攻击。

业内人士表示,对于大多数应用来说,影响是微不足道的。然而,在云计算中,关闭这个安全漏洞可能会使总性能降低多达10%。这是一个很重要的问题,因为与大多数公司数据中心不同的是,它们的服务器利用率高达50%左右,云计算的整体目标是通过动态扩展计算资源来最大化效率。10%的性能损失意味着需要额外的时间和周期来补偿这种损失。

所有主要的处理器供应商都通过补丁和大量信息解决了这些安全漏洞。英特尔写了18个独立的笔记就此主题而言。最近一个白皮书,ARM标记的缓存定时侧通道作为“无法从设计的处理器中无法访问的信息”源的源头。公司指出这只是可能的,如果恶意软件在本地运行。


图1:硬件目标和解决方案。资料来源:兰姆斯

不过,针对硬件的恶意软件的发现凸显了一个更大的问题。芯片的使用寿命应该更长——就汽车和工业应用而言,最长可达15年。在许多情况下,它们还有望与前几代芯片向后兼容。因此,如果硬件成为攻击的载体,将需要全新的安全方法来维护系统的完整性。

这并不能帮助设计的复杂性迅速上升。持续的设备扩展迫使芯片制造商采取非凡的措施来最大化性能,包括添加多个功率域、复杂路由、多级缓存和多个片上加速器。此外,芯片还内置了大量额外的电路,以弥补多种模式和工艺变化带来的问题。所有这些都为网络攻击提供了更多的机会,加剧了人们对安全的担忧,即使是在那些被认为已经足够好的地方。

该公司产品管理高级总监本•莱文(Ben Levine)表示:“事情越复杂,就越难保证安全。Rambus安全。“现代的标量CPU是为性能而设计的,而不是安全。硬件的问题在于它可能不是你可以在软件上修补的东西。你需要一种不同的方法,即在设计硬件时考虑到安全性,而不是针对其他内容进行优化。”

安全与安全
这已经采取了工业和汽车市场的新相关性,其中违规可能具有安全影响。但在这两个市场中特别困难,因为许多这些系统是一次性的,定制的解决方案。

“确保工业物联网设备可靠运行的‘已验证使用’概念将只起部分作用,因为单个传感、处理和执行任务需要特定的解决方案,”该公司设计方法论部门负责人Roland Jancke表示Fraunhofer eas。“这是一个”批量“,作为设计,测试和维护的关键挑战。IOT平台是一种克服这个问题的方法。但仍然,生产量将比消费电子产品规模小。因此,系统的开发过程,以确保功能安全根据标准IEC61508.对于安全关键的工业应用是强制性的。类似的安全标准也将被制定出来,并在不久的将来发布。”

目前正在开发不同的方法,部分是基于企业为解决方案付费的意愿。不同的公司,从边缘到云都有很大的不同。由于没有系统的方法从安全的角度来比较不同的设备,对一台设备收取额外的安全费用使得它很难与具有类似功能的低价设备竞争。

风险通常随着公司生成的数据的体积和价值而上升。“有很多数据的一些更大的公司开始将其视为开展业务成本,”在此技术的IoT业务解决方案副总裁Rajeev Rajan说。“成本也取决于您所在的地理位置。欧洲的控制权超过了世界其他地方,因此这是在那里做生意的重要组成部分。”

相同的想法在涉及多个设备时适用于边缘,但增加成本仍然是各个设备的关注。“我们相信您需要在Edge Eta Ceo Ceo Ceo Gopal Rahgavan说的机器学习。“你必须在边缘学习,这是无人监督的学习。但是你可以随着时间的推移拿起模式。你可能无法说出问题是什么,但你至少可以说些什么并不自然,或者已经习惯了什么。可以在边缘非常有效地使用并缩放。“

因此,虽然设备本身可能易受攻击,但是在这些设备之间实现了一个步骤的安全性。

“必须确保不同供应商的IOT设备之间的可信通信,”Fraunhofer的Jancke说。“与此同时,如果设备是电池供电或使用能量收集,则设备的身份验证不得增加太多的功耗开销。此外,Lifetime将来是未来的关键设计参数,用于IIT设备,其中预期使用场景是验证是否满足可靠性目标的关键输入。所有这些额外的要求都可以防止IIT设备在今天广泛应用于行业,但在解决时会允许巨大的市场。“

IIoT担忧
工业机构添加了自己的一组唯一问题,因为用于IIOT设备的大量硬件平台和操作环境使互操作性困难。其中许多实现是一次性设计,通常涉及已经运营数十年的改装系统。

大多数都在某种程度上建立在Arm Cortex微控制器或知识产权虽然是如此重大定制,以实现一个项目所需的特定任务,他们被设计为不同供应商的芯片组中的互操作性几乎没有相似或机会,“业务开发总监Rob Coombs表示手臂物联网设备IP业务。几乎所有的Arm微控制器IP都包含某种程度的安全性——或者至少是使安全引导、加密、认证或功能齐全的PKI证书管理成为可能的布线。自2002年以来,Arm IP一直拥有一个值得信赖的执行环境和安全生态系统,无论是用于传感器和其他低功耗设备的资源受限的微控制器,还是更高功能的硬件。

然而,这并不意味着同样的安全性同样地运作到处都是。有一件事,不是每个人都使用这些设备中存在的安全性,而不是选择使用它的每个人都将平均使用它。对于另一个,并非所有实现都相同。BARR GROUP,嵌入式系统咨询和培训公司的2018年调查指出,通过技术提供商持始终失败,以开发凝聚力社区或实施良好的安全性。但即使具有更一致和更好的安全性,它仍然不会消除每个潜在问题。


图2:嵌入式系统硬件和软件架构的多样性。来源:巴尔集团

英飞凌技术公司的高级主管Steve Hanna表示:“我不想把太多的责任归咎于运营技术(OT)方面,但如果我们回到几年前的OT环境,网络的意义就大不相同了。”“你的工厂真的是一个独立的环境。除了总部,和其他地方没有什么联系。而且它没有像商业网络那样的协议或交叉连接,而多亏了物联网,现在它肯定有了。”

运营技术人员通常认为没有人会使用像互联网这样有固有缺陷的网络或连接。因此,他们往往没有意识到,由于没有假设潜在的漏洞,他们错过了漏洞,或者没有意识到终端用户和技术提供商需要共同努力,以锁定他们刚刚引入的潜在威胁。

“安全是一件广泛的事情”,CTO在实时创新中表示Gerardo Pardo说。“你的团队中的某人想要用WiFi网络上运行JavaScript的iPad监控石油船只,你不太确定?您可以建立一个高性能车辆,转向器不起作用,或者没有传输。然后你的表现不高,你很脆弱。但有时候你必须挖掘几层,以发现这一点,“Pardo说。

其他事宜
没有关于如何提高安全性的信息不足。互联网行业联盟(IIC),NIST,IEC,ISO,信任安全组,思科,IBM,戴尔专注的指导方针EdgeX铸造,欧洲工业4.0,对象管理组和IEEE。事实上,有如此多的信息,它是压倒性的。

“我对工业物联网安全性的评估?”工业互联网联盟(Industrial Internet Consortium)执行董事、目标管理集团(Object Management Group)主席兼首席执行官理查德·索利(Richard Soley)说。“我见过的几乎所有工业物联网的实施都假设你会在它们周围建一堵墙,它们不需要额外的安全措施,因为周边可以防止任何威胁。这是无稽之谈。在消费者互联网上,80%的入侵都涉及到破坏安全的范围内的东西,无论是恶意软件、钓鱼电话,还是你不应该信任的内部人员。”

但是,当涉及到安全时,人们所能的限制似乎是一个限制。

“这不是我们没有标准或指导方针,”英飞凌的汉娜说。“我们有太多两者。我们没有的是一种巩固最好的方法,并从安全公司获得参与,例如,帮助创建其他领域共同的综合标准和支持面料。“

这说起来容易做起来难,特别是在工业物联网一次性安全实现的情况下。

“One challenge, from a security analysis perspective, is that it’s difficult to verify that security is working as intended because the same architecture that hides security information doesn’t make it easy to verify,” said Atul Prakash, a University of Michigan professor of electrical engineering and computer science who led a team that cracked and then记录2016年智能家居安全性疲软.Prakash为IoT设备写了一个信息流控制系统和它们的上下文权限应用程序。他也想出了如何欺骗AI的操控自动驾驶汽车在停车标志上贴上贴纸。“你显然不想离开安全的部分暴露,但已经有担忧在供应链方面的芯片业务应使我们想知道如果我们知道每一个补的芯片来自哪里,他们是否运行正确的代码,以及是否固件已经受到威胁。”

有必要有多少安全性?
那么对于特定的应用程序,什么样的安全性是最好的呢?“当你决定把在一个芯片,你可能会产生数十亿美元,一分钱的区别是大不了的所以你必须非常小心你投入它,而不是是否添加安全或是否现在就做,但安全多少,“说Asaf德系,Rambus的物联网安全产品副总裁。“但每个供应商的硬件都不一样。即使你只看信任的根源,每个都有不同的实现方式,设备中不同的内存限制,也许不是所有的软件都在那里,或者它没有完全实现。”

据阿什肯纳兹说,安全服务甚至需要三样东西来启动:

•能够访问并激活由硅供应商嵌入的安全性;
•API或其他方法以允许PAA或其他云服务链接和控制设备;
•一个有数据概述如何处理其他两个步骤的数据库——尽可能广泛地覆盖组成物联网的混乱设备和芯片组。

云服务 - 或任何应用程序提供控件,必须能够与其控件的设备通信,请将这些设备与未经授权的设备进行通信,以减少承包Mirai或其他恶意软件的机会,并建立数据库常见的行为用作模板并quash任何异常活动。

“他们是非常基本的操作 - 醒来,衡量某些东西,将其送到云端,去睡觉,”Ashnkenazi说。“你必须知道要期待什么,所以你可以识别什么时候发生一些问题,”阿什凯齐说。“这不是魔法。这是很多艰苦的工作。没有某种服务,一些公司无法知道他们的设备在哪里或连接的内容。我们有一家公司向我们推出,已部署了1,000个设备,但3,000人已连接到该服务。这就是为什么你需要强大的身份验证并知道哪个设备正在连接,并且它尚未受到损害。“

但真正需要多少安全性?没有明确的指导方针,在实施中肯定没有一致性。微软在Azure领域的公告领域描述了由许多开发伙伴的规格构建的微控制器。在内部是一个单芯臂Cortex-A7,一对ARM MCU,WiFi的Andes核心,另一个核心是Microsoft设计的富豪安全功能的一部分。该芯片能够完整的基于PKI证书的管理和身份验证,以及使用定制版本的Linux直接连接Azure。

大部分物联网/ IIoT设备运行更温和的硅,然而,趋势严重对单芯皮层M微控制器已经成为高功能的物联网处理器即使没有额外的资源可能会运行一个高级操作系统、高级分析师说迈克姆林利集团。Demler表示,只要有合适的api和软件,客户可以使用Arm的PSA获得同样级别的安全,而且与Azure的连接将是可选的,而不是必需的。

Arm的嵌入式物联网设备平台操作系统支持更广泛的芯片,支持操作系统、网关、设备管理连接和api,允许与第三方集成,如Centri,该公司在10月份宣布其物联网高级安全将运行在mbed上。它还连接到谷歌云物联网核心,谷歌云平台版的微软Azure领域;它于2017年9月宣布,支持已从ARM,英特尔的支持,Marvell.,恩智浦,Realtek,Sierra无线和其他芯片制造商。

结论
安全性需要从一开始就要将安全部位到设备中的想法产生了很大的意义。的problem is that it isn’t always possible in many applications, such as retrofitted industrial operations, or in applications where there are too many use cases, a growing level of complexity that is compounded by third-party parts and a far-flung supply chain, or where security adds to the cost or performance of a device.

但是,还有清楚的是,安全性现在是一个超越软件或固件的系统问题。硬件现在是攻击表面的一部分,并且这将使设计能够承受最初设计后攻击次数的芯片更难。攻击者正在变得更聪明,此时,任何东西似乎都是可能的目标。

有关的故事
不完美的硅,近乎完美的安全性
物理上不可分类的功能(PUF)似乎量身定制为物联网安全。
技术讲座:HW安全
如何在Meltdown和Spectre的阴影下最小化硬件攻击的风险。
谁对安全负责?
专家在桌子上,第三部分:如何管理安全成本;密码的值;无关紧要和真正的威胁。
工业物联网安全威胁上升
数据的价值上升,越来越复杂的驾驶感或紧迫性。
谁对安全负责?
the Table的专家,第2部分:污染供应链的廉价组件,对平台和认证的需求,以及尝试防未来设备的徒劳。
技术讲座:HW安全
如何在Meltdown和Spectre的阴影下最小化硬件攻击的风险。
如何保护网络边缘
违规风险正在增长,潜在的损失也是如此。



1评论

fabtex 说:

伟大的博客,感谢分享和保持摇摆

发表评论


(注意:此名称将公开显示)