走出家用物聯(lián)網(wǎng)設備網(wǎng)絡安全設計中的傳統(tǒng)路徑依賴
所屬分類:電子論文 閱讀次 時間:2020-04-14 16:25 本文摘要:摘要:Q/CVC00282019《智能家電(IoT設備�、互聯(lián)設備)網(wǎng)絡安全評價及測試規(guī)范》標準針對當前市場上物聯(lián)網(wǎng)設備網(wǎng)絡安全現(xiàn)狀,規(guī)定了不同等級的安全要求�����,對提升家用物聯(lián)網(wǎng)產品網(wǎng)絡應用規(guī)范具有重要作用��。本文從Q/CVC00282019標準中選取了數(shù)個技術要點來剖析編制
摘要:Q/CVC0028—2019《智能家電(IoT設備����、互聯(lián)設備)網(wǎng)絡安全評價及測試規(guī)范》標準針對當前市場上物聯(lián)網(wǎng)設備網(wǎng)絡安全現(xiàn)狀��,規(guī)定了不同等級的安全要求��,對提升家用物聯(lián)網(wǎng)產品網(wǎng)絡應用規(guī)范具有重要作用�����。本文從Q/CVC0028—2019標準中選取了數(shù)個技術要點來剖析編制思路和應用實踐,對家電企業(yè)在產品設計過程中如何通過該標準改進和提升就可避免陷入傳統(tǒng)產品設計的路徑依賴進行研究����。本文中還攫取數(shù)項常見網(wǎng)絡安全缺陷問題,解讀Q/CVC0028—2019標準的架構及其背后的技術脈絡�����。
關鍵詞:網(wǎng)絡安全;物聯(lián)網(wǎng)設備;標準;加密;身份驗證
引言
傳統(tǒng)家電制造商在物聯(lián)網(wǎng)家電設計時容易存在兩個慣有思路:一是重視電氣安全��,忽視網(wǎng)絡安全;二是認為網(wǎng)絡安全等級越高��,產品成本越高�����。在這樣的思路指導下�����,智能家電產品設計暴露出了很多安全隱患��。雖然網(wǎng)絡安全問題只是困擾家用物聯(lián)網(wǎng)(IoT)產品的眾多問題中的一個����,但加密它們收到的用戶隱私數(shù)據(jù),并抵御網(wǎng)絡攻擊是最基本的要求�。如何在有限的資源條件下,保證設備在使用過程中的網(wǎng)絡安全�����,是所有生產企業(yè)都要面對的問題�����。在深入研究智能家電的網(wǎng)絡安全問題之前���,必須考慮網(wǎng)絡安全漏洞的來源��。從廣義上講�,物聯(lián)網(wǎng)設備中的大多數(shù)漏洞可以分為三大類:應用漏洞��、實現(xiàn)漏洞和設計漏洞�����。
1)應用漏洞應用漏洞是指用戶在日常使用過程中產生的漏洞���。該類漏洞與用戶在操作或安裝設備時引入的問題有關����,來源于用戶未能正確安裝和使用安全功能。常見的例子包括不更改默認密碼����,使用簡單密碼和不啟用安全功能。這類漏洞屬于用戶使用習慣問題����,并非產品固有漏洞缺陷。
2)實現(xiàn)漏洞實現(xiàn)漏洞是指制造商使用的技術所帶來的固有缺陷���,比如編碼錯誤�,緩沖區(qū)溢出等����。其他例子包括不正確地使用隨機數(shù)生成器��,導致生成容易猜測的安全密鑰�。遵循科學的軟件開發(fā)流程,使用應用程序加強軟件開發(fā)生命周期的管理����,以及遵守軟件安全測試標準����,可以幫助識別和解決實現(xiàn)漏洞�����。
3)設計漏洞設計漏洞源于在開發(fā)設備時未能周全考慮采用適當?shù)陌踩胧�����,使產品留下設計缺陷�����,比如使用硬編碼密碼�����,沒有用戶身份驗證的控制接口�,以及在通信時以明文形式發(fā)送密碼和其他敏感信息。具體到智能家電的常見例子還有沒使用安全引導的設備或允許未經(jīng)驗證的遠程固件更新的設備�����。這些漏洞問題并非是無解的難題,Q/CVC0028-2019標準作為一個通用標準�,從中可以找到很多答案。Q/CVC0028-2019標準以簡明的方式規(guī)定了三類設備的29種要求及其測試方法�����,對于指導企業(yè)迅速降低網(wǎng)絡安全風險具有重要的意義�����,能夠幫助傳統(tǒng)家電企業(yè)在設計智能產品時��,跳出固有的設計思路�,適應物聯(lián)時代新戰(zhàn)場。
1密碼和身份驗證要求
在所有用戶能夠控制設備之前都必須對其進行身份驗證�����,以防止對設備進行匿名更改��,從而降低風險���。密碼仍然是許多設備上的默認身份驗證方法��。在系統(tǒng)中規(guī)定不允許使用默認密碼,并且設備強制使用強密碼,是目前通行的一種選擇���。因此��,根據(jù)Q/CVC0028-2019中5.2條款的要求��,無論使用何種密碼機制�����,使設備的初始密碼唯一�����,不與其他同型號設備重復;在初次使用時�����,設備內置的安全機制要求用戶生成新的密碼;在生成新的密碼后���,初始密碼應失效等原則,在不增加產品成本的條件下����,均可極大提高產品的身份驗證門檻�。當然��,根據(jù)設備的性質和可用的接口���,在成本可接受的范圍內����,使用RFID或生物特征識別進行身份驗證未嘗不是更好的選擇����。
2傳輸數(shù)據(jù)加密要求
物聯(lián)網(wǎng)設備的通信機制因設備而異,可能包括從低功耗藍牙和ZigBee到WiFi��、蜂窩數(shù)據(jù)和以太網(wǎng)的無線協(xié)議����。不管傳輸機制和通信協(xié)議如何,確保通信安全包含了設備端和傳輸過程兩個方面的范疇�。首先,設備識別是安全通訊的基石�,可以防止偽冒設備進入網(wǎng)絡。確保物聯(lián)網(wǎng)設備的真實性對于整個物聯(lián)網(wǎng)系統(tǒng)的安全至關重要����。如果網(wǎng)絡中的一個設備的身份是偽造的�,那么它的行為很可能不可知�����。它可能竊取數(shù)據(jù)��,中斷操作或遠程攻擊�,而系統(tǒng)甚至不知它是不偽造的����。其次,使用安全協(xié)議進行通訊是保障物聯(lián)網(wǎng)的基本要求���。安全協(xié)議確保交換的數(shù)據(jù)和命令是加密的���,不能被截取、偽造或操縱����。
安全協(xié)議能夠使用強身份驗證來防止未經(jīng)授權的設備向物聯(lián)網(wǎng)設備發(fā)送控制命令�;谝蕴W(wǎng)的常見安全協(xié)議是TLS(TransportLayerSecurity,傳輸層安全協(xié)議�����,它取代了SSL——SecureSocketLayer安全套接字層)、DTLS(DatagramTransportLayerSecurity�����,數(shù)據(jù)報傳輸層安全協(xié)議��,非常適合于資源有限的設備使用)和SSH(SecureShell�����,安全殼協(xié)議)��。
特別對于允許通過網(wǎng)絡進行遠程訪問的設備��,絕對需要基于證書的身份驗證協(xié)議來進行安全的遠程身份驗證��。當設備使用這些協(xié)議進行通信時��,它們首先相互驗證�,然后再共享命令或數(shù)據(jù)。它們通過使用證書驗證另一方的身份來處理身份驗證����。雖然Zigbee或低功耗藍牙可能在協(xié)議中內置了加密協(xié)議���,但它們的漏洞也在使用中不斷被發(fā)現(xiàn)。因此��,只要條件允許�����,舊的�、不安全的協(xié)議應替換為更新的����、更安全的協(xié)議。Q/CVC0028—2019中對軟件升級和傳輸數(shù)據(jù)加密均作了要求����,制造商可以比照這些要求,評估自身產品的通訊安全性�。
3啟動安全保護要求
為了確保設備僅執(zhí)行受信任方提供的代碼,設備應能使用加密代碼簽名技術來保證引導過程的完整性�����。在具有安全引導的設備中��,引導加載程序在加載之前計算加載文件的加密安全哈希碼,將這個哈希值與存儲的哈希值進行比較�����,引導確保只安裝和執(zhí)行經(jīng)批準和授權的軟件��,以確保文件是真實的原文件���。
存儲散列值的公鑰簽名可防止惡意第三方欺騙軟件���,并確保只有來自可信任方的軟件才會被執(zhí)行。當軟件更新或升級時��,同樣需進行安全引導��。Q/CVC0028—2019中規(guī)定��,如果設備提供多個引導配置���,設備置于安全引導配置中時應能正常啟動該設備���。此外,物聯(lián)網(wǎng)設備可以在下載新固件映像之前使用設備到設備的身份驗證方法來對升級服務進行身份驗證,從而增加了額外的保護措施��。
4數(shù)字簽名的生成及驗證要求
一般地�����,物聯(lián)網(wǎng)設備使用實時操作系統(tǒng)與云端系統(tǒng)����,網(wǎng)關和其它物聯(lián)網(wǎng)設備進行通訊。系統(tǒng)和網(wǎng)絡運營商應能夠識別它們網(wǎng)絡中的設備��。當一個設備被聯(lián)入網(wǎng)絡或系統(tǒng)中時�����,確保它的真實性是很關鍵性的工作����。黑客和假冒設備的威脅應通過一系列的驗證工作來杜絕��。因此身份標識對于安全通信和防止假冒設備的攻擊是必要的���。使用PKI(公鑰基礎設施)進行基于數(shù)字證書的身份驗證是一種經(jīng)濟可行的方法��,它可跨多個網(wǎng)域設置設備標識����,非常適合于目前尚未形成完整體系的家電物聯(lián)網(wǎng)。
數(shù)字證書消除了基于密碼的身份驗證和其他弱身份驗證機制的固有問題�����,能夠給用戶提供強大而有效的認證����。設備還可以可靠地驗證其他合法設備,防止與惡意設備和未經(jīng)授權的系統(tǒng)進行未經(jīng)授權的通信���。如果設備沒有有效的證書���,則不允許該設備進入網(wǎng)絡。盡管造假者可能會仿造設備固件來制造克隆設備�,但他們不能復制有效的證書。證書對于由證書頒發(fā)機構簽名的每個設備都是唯一的����。足夠的技術難度使得造假者無法偽造證書,因此能夠阻止造假者將其偽冒設備注冊為正品�。
基于PKI技術的管理過程允許設備安全地自動地請求新證書�、驗證證書并識別證書何時被吊銷�����。證書頒發(fā)機構還提供自動化證書鏈支持��,以確保所有證書都得到正確驗證�����。從在制造過程中將證書妥善地裝入設備開始�����,設備標識就在設備的整個生命周期中發(fā)揮作用�����。當設備開始啟用并安裝在網(wǎng)絡上時�����,它們將經(jīng)歷一個添加的過程����。設備啟用時,首先使用在制造過程中安裝的證書自動驗證這些證書����,然后頒發(fā)新的證書以供在網(wǎng)絡上使用。設備退役后�,可以吊銷證書。
如果設備缺少有效的證書��,則不允許它進入網(wǎng)絡���。盡管造假者可以竊取設備固件來制造克隆設備�����,但他們不能復制證書����。證書對每個設備都是唯一的���,偽造者無法繞過證書頒發(fā)機構或復制PKI系統(tǒng)來生成證書���,也就無法把自己的設備冒充為正品。數(shù)字簽名的生成及驗證測試程序可以通過Q/CVC0028-2019中8.14的方法進行測試評定���。
5靜態(tài)數(shù)據(jù)加密要求
智能物聯(lián)網(wǎng)設備儲存了大量用戶隱私數(shù)據(jù)�����,許多大型數(shù)據(jù)泄露的事件都是由于從被盜或廢棄設備中恢復的數(shù)據(jù)造成的����。因此設備應具備用于加密存儲在設備中的數(shù)據(jù)的有效機制,加密設備上存儲的任何敏感數(shù)據(jù)���。安全協(xié)議在數(shù)據(jù)通過網(wǎng)絡傳輸時保護數(shù)據(jù)��,靜態(tài)數(shù)據(jù)加密技術對數(shù)據(jù)存儲在設備上時提供保護�。得益于技術的發(fā)展�,有多種加密算法可以選擇,比如將設備配置為支持使用帶有128位密鑰的AES加密文件��,只有以具有足夠權限的用戶身份登錄����,才能將設備配置為具有使用加密文件系統(tǒng)或文件的加密機制���,能夠使用帶有密鑰保護的文件�����。
6超越本版標準的遠期要求
除了在Q/CVC0028-2019標準中列出的安全評價要求���,還有一些在當前消費級家用產品市場未廣泛應用的技術方案�����,這些方案試水新的領域��,前瞻性地提升了物聯(lián)網(wǎng)設備網(wǎng)絡安全��������;谟布陌踩荑存儲雖然將使產品成本上升,但無疑能夠帶來更高級別的網(wǎng)絡安全性��。這種新的物聯(lián)網(wǎng)硬件模塊一般包括一個可信平臺模塊�����,提供安全密鑰存儲并提供保護的內存和實現(xiàn)加速加解密的硬件��。硬件安全模塊支持的候選對象有PUFs(PhysicallyUnclonableFunctions,物理上不可克隆的函數(shù))���,安全協(xié)處理器和可信執(zhí)行環(huán)境(如ARM的信任區(qū))�。PUFs使用隨機模式來區(qū)分芯片�,并創(chuàng)建一個唯一的隨機數(shù)。隨機數(shù)用于為設備ID和加密密鑰設定初始碼��,從而創(chuàng)建硬件信任根�����。
安全協(xié)處理器是物理上獨立的芯片��,提供私鑰的真正隔離��。即使黑客破壞了物聯(lián)網(wǎng)設備的主處理器���,私鑰的物理隔離能夠防止它們被發(fā)現(xiàn)�����?尚艌(zhí)行環(huán)境是一種安全芯片,它使用真正的隨機數(shù)生成器來安全地生成加密密鑰����。它還能使用芯片上的密鑰執(zhí)行加密功能。然而��,這種強大的功能的代價是高昂的價格成本�����,所以它們目前只出現(xiàn)在高端的物聯(lián)網(wǎng)設備���。隨著集成芯片工藝的升級�����,在芯片上劃分出信任區(qū)是一種單芯片級的硬件解決方案����,它將執(zhí)行空間分隔成安全和不安全的區(qū)域����,兩個區(qū)域進行了隔離,確保不安全的應用程序無法訪問關鍵性的安全信息��,杜絕了非法篡改。
當然也有一些芯片供應商提供另一個物理上獨立的芯片����,用于保護和管理用于身份驗證和加密處理的數(shù)字密鑰。這種芯片元件的成本低于硬件安全模塊���,因此非常適合成本敏感的物聯(lián)網(wǎng)設備����。雖然這些技術尚未編制入當前版本的Q/CVC0028標準條款����,但足以供我們窺視未來的技術發(fā)展方向。隨著這些技術的普及���,也將推動標準隨之更新迭代�。當然現(xiàn)今市場上的消費級物聯(lián)網(wǎng)設備普遍還缺少保護存儲密鑰的硬件設備��,在這種情況下���,保護私鑰的方法仍然以使用前文所述的基于軟件的存儲方法為主流��。這仍不失為現(xiàn)階段的一種妥協(xié)�����。
結語
基于成本因素的考慮��,當前消費型物聯(lián)網(wǎng)設備小至電池供電的無線傳感器��,大至復雜的帶有網(wǎng)關的大型家電�����,多少都會在存儲和算力方面有所掣肘����。這與傳統(tǒng)家電產品低價競爭的策略具有相同的發(fā)展思路���。但是所有物聯(lián)網(wǎng)設備都需要安全性����,無論它們有多小或看起來微不足道��。很多情況下��,工程師可能選擇降低安全要求來加快上市時間�����,比如使用硬編碼密碼,忽視有可利用的后門的安全漏洞�。但其實一些基本的安全配置就能夠有效確保物聯(lián)網(wǎng)設備的安全。Q/CVC0028-2019標準值得智能市場的多方入局者參照應用����。
參考文獻:
[1]RFC4253,TheSecureShell(SSH)TransportLayerProtocol[S].
[2]RFC5246,TheTransportLayerSecurity(TLS)ProtocolVersion1.2[S].
[3]RFC5280,InternetX.509PublicKeyInfrastructureCertificateandCertificateRevocationList(CRL)Profile[S].
[4]RFC6071,IPSecurity(IPsec)andInternetKeyExchange[S].
[5]RFC6347,DatagramTransportLayerSecurityVersion1.2[S].
物聯(lián)網(wǎng)方向評職知識:物聯(lián)網(wǎng)應用方面怎么在sci期刊發(fā)表
首先作者需要提高物聯(lián)網(wǎng)應用論文的創(chuàng)新性和邏輯性,論文需要有很新穎�,很系統(tǒng),很深入的觀念����,要有自己的論點和能闡明自己觀點的數(shù)據(jù),文章組織要有科學性�,數(shù)據(jù)鏈條要有邏輯性,統(tǒng)計分析要有嚴謹性�。嚴密的數(shù)據(jù)統(tǒng)計分析是文章立據(jù)的基礎,也需要采用國際通用的分析方法����,什么樣的分析可以用檢驗,什么樣的樣本需要用單因素方差分析以及分析是否有顯著性差異等等��,都要弄清楚�。
轉載請注明來自發(fā)表學術論文網(wǎng):http://m.liangshanbai.cn/dzlw/22444.html
