衆所周知,物聯網(IoT)裝置預計将無處不在。這些由半導體驅動的裝置将推動每一個可想象的過程實作智能化。從簡單的開燈到門診護理或工廠控制等更複雜的過程,通過傳感、處理和雲連接配接,物聯網裝置将大幅提高工作效率。應用場景多種多樣,它們的發展前景和影響力也将不可估量。
然而,互聯裝置的日益“智能化”也帶來了安全挑戰。例如,傳統的照明控制相對原始,它是一個帶有實體開關的電源電路。要對開關進行操作則需要實體上接觸并操作開關。要避免未經授權的使用,隻需要對開關進行簡單的實體保護。現在考慮将照明控制看作是物聯網裝置的智能化身。光傳感器、距離傳感器、邏輯控制(通常在微控制器中實作)以及雲應用無線連接配接取代了傳統的實體開關。在智能化過程中,照明開關被轉換成一個通過網絡與應用伺服器一起工作的嵌入式用戶端。保護智能照明開關是以變得更加複雜。這種複雜性的提高将給所有物聯網裝置設計人員帶來挑戰。好消息是,帶有安全保護的微控制器能夠顯著提高物聯網裝置的安全性,加快設計周期。
本文中的案例研究介紹了如何确定網絡攝像頭物聯網裝置的安全要求。顧名思義,這種裝置已經實作互聯,并廣泛應用于衆多應用,從簡單的家庭網絡攝像頭到複雜的工業系統,不一而足。通過定義對網絡攝像頭的相關威脅并确定防禦這些威脅的安全目标,進而制定了該裝置的安全要求。本文介紹了基于Arm®技術的賽普拉斯PSoC® 6 MCU,是能夠滿足上述要求的可用解決方案。該方法同樣适用于其他物聯網裝置。
物聯網裝置安全性分析
保護物聯網裝置的想法可能令人望而生畏。初步研究很快揭示了有關密碼學、威脅、安全目标和其他幾個主題的大量知識。面對鋪天蓋地的資訊,物聯網裝置設計人員通常會問的第一個問題是:“我如何判斷所需安全性要達到哪種水準?”,緊接着是“我該從哪裡入手?”
Arm提供了平台安全架構(PSA),幫助設計人員快速入門。通過利用PSA的一整套威脅模型和安全性分析、硬體和固件架構規範以及可信固件M參考實作,物聯網設計師能夠快速且輕松地實作安全設計。
通過使用雙Arm Cortex®-M核心,結合可配置的記憶體和外設保護單元,賽普拉斯PSoC 6 MCU實作了PSA定義的最高保護級别。本文将PSA網絡攝像頭威脅模型和安全性分析(TMSA)應用于PSoC 6 MCU,示範如何針對網絡攝像頭應用進行安全性評估。
任何攻擊的目标都是擷取物聯網裝置的資料并以某種方式加以利用。如圖1所示,分析過程的第一步是識别物聯網裝置處理的資料資産及其安全屬性。
圖1:設計安全的物聯網裝置時的分析過程
接下來的步驟是識别針對這些資産的威脅,定義抵禦這些威脅的安全目标,并确定需求以滿足安全目标。通過滿足這些要求,基于微控制器的設計可為安全目标提供支援,并最終保留資産的安全屬性。最後,應該對設計進行評估,以判定設計是否達到安全目标。通常情況下,這類評估會利用應用于設計的威脅模型來評估裝置的攻擊防禦能力。
資料資産
每個物聯網裝置的價值都建立在資料之上,以及如何對這些資料進行管理。資料資産在嵌入式系統中有多種表現形式。例如,固件定義裝置的行為。其他示例包括用于控制裝置的唯一ID、密碼和加密密鑰。此外,還有物聯網裝置生成的資料,例如來自網絡攝像頭的圖像資料或來自傳感器的環境資料。無論其形式如何,每種資料資産都具有各自的安全屬性。安全屬性是系統所依賴的資料資産的固有特性,是系統信任該資料資産的基礎。機密性、完整性和真實性是三種常見的安全屬性。
機密性
機密性指的是主動或被動保密或私有的狀态。
機密性要求隻有授權人員才能夠讀取資料資産。換言之,它是機密或私有的。密碼是具有機密性安全屬性的資料資産的常見示例。其他示例可能包括物聯網裝置生成的個人資料,如心率資料或位置資訊。
完整性
完整性指的是完整且不可分割的狀态
完整性要求資料資産在使用或傳輸時保持不變。完整性通常與建立引用的資料(如啟動固件)相關聯。啟動固件確定MCU配置為應用可執行的已知初始狀态。對啟動固件進行更改可能會影響該初始狀态,并存在操作或安全風險。
真實性
真實的性質(毫無争議的來源;不是副本;真實的)
真實性要求隻有受信任的參與者才能建立資料資産的目前狀态。當與完整性相結合時,真實性便能夠建立信任,是以它是安全物聯網裝置的關鍵基石。在先前的啟動固件示例中,數字簽名可用于在更新固件時對真實性和完整性進行評估,以確定僅使用可信固件。
全面識别物聯網裝置中的資料資産至關重要,因為每個後續步驟都依賴于此步驟。舉例來說,網絡攝像頭将具備以下資料資産:
每種資料資産都将具備與其相關聯的安全屬性。
威脅
威脅旨在破壞資料資産的安全屬性并将其用于未經授權的目的。為了識别威脅,必須對物聯網裝置中資料的使用進行評估。例如,證書可用于通路物聯網裝置的網絡。如果證書的機密性受到損害,則未經授權的參與者就可以使用它們來通路網絡。這種攻擊稱為冒充攻擊。通過系統地評估每種資料,可以建立潛在威脅清單。
此外,網絡攝像頭可能面臨以下對其資料資産的威脅:
安全目标
通過識别威脅,可以定義安全目标。安全目标是在應用級别定義的,本質上提供了實作需求。一些安全目标可以作為可信應用(TA)實作,它們在安全的MCU提供的隔離執行環境中執行。隔離執行環境全面保護TA及其使用/處理的資料。物聯網裝置應用本身在不安全的執行環境中運作,并通過使用處理器間通信(IPC)通道的API與隔離執行環境中的TA進行通信。TA則利用硬體中的可用資源(如加密加速器和安全記憶體)來為目标提供支援。
繼續此示例,前面确定的威脅可以通過以下安全目标進行防禦:
- 通路控制:物聯網裝置對試圖通路資料資産的所有參與者(人或機器)進行身份驗證。防止在未經授權的情況下通路資料。防禦欺騙和惡意軟體威脅,即攻擊者對固件進行修改或安裝過時的缺陷版本。
- 安全存儲:物聯網裝置維護資料資産的機密性(根據需要)和完整性。防禦篡改威脅。
- 固件真實性:物聯網裝置在啟動和更新之前對固件的真實性進行驗證。防禦惡意軟體威脅。
- 通信:物聯網裝置對遠端伺服器進行身份驗證,提供機密性(根據需要),并維護交換資料的完整性。防禦中間人攻擊(MitM)威脅。
- 安全狀态:即使固件完整性和真實性驗證失敗,仍確定裝置保持安全狀态。防禦惡意軟體和篡改威脅。
安全需求
在這一方面,分析提供了資料資産、威脅和安全目标的邏輯連接配接模型。根據這張圖,可以編譯出安全MCU所需的功能或特性清單。當然,這個清單也可以用作特定物聯網裝置應用解決方案的實作标準。
生命周期至關重要
請注意,安全目标的要求可能會根據物聯網裝置的生命周期階段(設計、制造、庫存、最終使用和終止)而變化,也應予以考慮。
現在可以對這個示例進行分析:
每種資料資産都将具備與其相關聯的安全屬性:
注釋:
- 在隔離執行環境中理想地以TA形式實作
- C = 機密性,I = 完整性,A = 真實性
- SEF = 安全元件功能
- Dead = 非操作狀态下的安全MCU
選擇正确的MCU
通過分析,以下是MCU所需安全功能的總結:
可信應用的隔離執行環境:雖然前面的分析側重于安全資料資産,但每個物聯網裝置也有包含非安全資料資産的非安全任務/應用。MCU應提供一種強大的方法,對非安全處理和安全處理進行隔離。這一概念機場類似:登機區是安全且隔離的。隻允許通過身份驗證的個人在安全區域内進行操作(如登機)。MCU必須在非安全和安全的執行環境之間提供強大的、基于硬體的隔離。
安全元件功能:在隔離執行環境中,要存儲資料資産,需要完成進一步的隔離,如對安全性至關重要的加密密鑰。繼續與機場進行類比,每名乘客都持有有效證件。MCU必須為信任根存儲和相關安全服務提供進一步隔離。
加密:首選帶有專用硬體加速器塊和受控通路的MCU。加速器塊有助于提高性能。加速器塊的通路控制(隔離)有助于防止未經授權的程式通路,確定加密密鑰保持在安全的環境中。
數字簽名:資料資産的真實性和完整性可以通過使用數字簽名算法(如ECDSA和RSA)進行評估。MCU固件是數字簽名最常見的用例。MCU應提供基于硬體的散列和簽名支援,以便在加載之前對固件鏡像進行評估。
eFuses:對于保障設計的安全來說,不可變資料資産至關重要。它們通常用作系統行為的參考。典型示例包括生命周期名稱、唯一辨別符(UID)、制造商編号以及在物聯網裝置的生命周期中持續存在的其他參考。
結論
本文提出了一種分析方法,用于确定安全物聯網裝置的需求。通過建立模型,将資料資産、其面臨的威脅以及防禦這些威脅的安全目标邏輯連接配接,可以導出一個需求清單,該清單可以用作解決方案的實作标準。
絕大多數物聯網裝置将建立在基于MCU的嵌入式系統上。這種發展機遇将催生出一類新型MCU,它們可提供安全特性和功能,用來維護資料資産的安全屬性。賽普拉斯的PSoC 6安全MCU是此類新型MCU的先驅之一。PSoC 6 MCU架構專為物聯網裝置應用而設計,提供了能夠延長電池使用壽命的超低功耗、高效的處理能力,以及可支援安全目标的硬體安全功能:
隔離執行環境:通過采用硬體隔離技術,PSoC 6安全MCU将安全操作與非安全操作隔離開來:
- 可配置保護單元用于隔離記憶體、加密和外設
- 在Arm Cortex-M4和Cortex-M0+核心之間提供處理器間通信(IPC)通道,為基于API的獨立互動提供支援
- 理想适用于支援物聯網裝置安全目标的可信應用
內建安全元件功能:PSoC 6中的硬體隔離技術支援獨立的密鑰存儲和加密操作,除了隔離執行環境以外,還提供安全元件功能。
- 理想适用于安全密鑰存儲
- 支援預安裝信任根,友善使用信任鍊來錨定安全啟動
隔離硬體加速加密操作:包括AES、3DES、RSA、ECC、SHA-256和SHA-512以及真随機數發生器(TNRG)。
生命周期管理:在發生安全錯誤(如固件散列檢查失敗)時,基于eFuse的生命周期管理功能有助于確定安全行為。
圖2:PSoC 6安全MCU提供三級隔離
随着低成本、易于設計且友善使用的無線雲連接配接日益普及,物聯網裝置也将實作爆炸性增長。嵌入式系統發送和接收資料的能力是實作智能化的基本推動因素。不幸的是,這種能力也給物聯網裝置産生的高價值資料帶來了巨大威脅。資料越有價值,物聯網裝置就越需要具備安全功能以為這些資料提供保護。諸如賽普拉斯的PSoC 6 MCU這樣的安全MCU解決了安全物聯網裝置的相關需求。
作者簡介:
Jack Ogawa,賽普拉斯半導體公司微控制器業務部進階營銷總監;
Berenice Mann,Arm架構與技術集團進階營銷員
更多技術文章,請點選了解更多