色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

為物聯網系統提供服務器端基礎架構,構建設備安全方案

電子設計 ? 來源:郭婷 ? 作者:電子設計 ? 2019-04-01 08:02 ? 次閱讀

2016年秋季,黑客招募了數十萬臺嵌入式設備,形成惡意僵尸網絡。他們的Mirai惡意軟件感染了寬帶路由器,讓僵尸網絡的運營商在分布式拒絕服務(DDoS)攻擊中使用它們。這是對新興物聯網IoT)行業的警醒 - 展示了黑客如何為自己的目的使用網絡智能設備。

雖然Mirai攻擊主要集中在消費設備上,但對工業的影響物聯網是嚴肅的。如果沒有對策,工業工廠就有可能成為類似大規模襲擊的犧牲品。風險從生產損失到連接機械的嚴重損壞。安全專家的分析表明,遭受黑客攻擊的設備制造商犯了相對簡單的錯誤。在Mirai攻擊的情況下,路由器中很少有人防止黑客登錄并向他們上傳新固件。

物聯網安全基金會(IoTSF)等團體發布了旨在保護的建議反對類似的攻擊。 IoTSF確定了可以防范Mirai的措施。它們包括確保訪問代碼或密碼對于每個單元是唯一的并且不在一組設備之間共享的需要。即使黑客能夠發現一個密碼,他們也無法使用相同的訪問憑據登錄其他人。進一步的建議是,設備應該防止加載到沒有受信任提供商進行數字簽名的固件。

雖然答案是擁有每個單元獨有的憑據,但這可能很困難從物流的角度來管理。如果每個設備都需要由專業安裝人員單獨配置,則IIoT系統的部署成本非常高。這也是一種增加風險的策略,因為許多設備可能需要由一小群人配置 - 使其成為工業間諜和社會工程攻擊的主要目標。

為物聯網系統提供服務器端基礎架構,構建設備安全方案

圖1:適用于IIoT實現的證書層次結構。

安裝唯一密鑰的點也是一個問題。該程序應在制造供應鏈的早期進行。這避免了通過網絡傳輸密鑰的需要,這是安全性的主要風險,特別是如果攻擊者知道何時正在建立網絡。鑒于工業項目的性質,不能排除對私鑰傳輸的攻擊。

在將傳感器節點或IIoT設備視為系統的可信部分之前,需要執行幾個步驟。第一步是將其注冊到網絡中。也就是說,它需要自己獨特的網絡地址和與服務器通信的方式 - 很可能是本地網關或路由器,便于訪問更廣泛的物聯網。

為了便于使用,可以支持注冊通過近場通信(NFC) - 使用管理單元(可以是智能手機或平板電腦)輕觸設備,將所需的網絡數據發送到設備。然后,該單元將自己配置為在已被授予訪問權限的網絡上進行通話。但這并不能使它成為值得信賴的設備。在配置和身份驗證完成之前,其他網絡設備不應該信任其數據。

設備需要被網絡上的其他計算機信任,反之亦然。這保證了設備在向服務器或網關發送數據時,它正在處理真實的機器而不是冒名頂替的機器。如果遠程服務器發送固件更新,則需要根據數字證書檢查它們,以確保每次更新都是合法的,而不是黑客企圖破壞設備的目的。

為物聯網系統提供服務器端基礎架構,構建設備安全方案

圖2:用于在原型制作和制造過程中存放設備特定證書的協議。

數字證書的交換為建立信任進行提供了基礎。 PKI是一種經過充分驗證的框架,用于執行高效安全的IIoT操作所需的相互認證。它使構建信任供應鏈成為可能,確保當具有適當證書的設備出現在網絡上時,它將被認為是值得信賴的。

例如,X.509標準利用PKI將公鑰與證書所有者的身份相關聯。使用公鑰,訪問證書的任何人都可以檢查它是否與證書中的簽名匹配。如果沒有辦法驗證證書的身份是否合法,證書本身是不夠的。為了被信任,任何聯網設備的身份必須是可由第三方驗證的更大信任鏈的一部分。 X.509可以構建這樣的信任鏈,如Web瀏覽器使用的TLS安全機制所示。

在X.509下,鏈的末尾應該是提供的證書由受信任的根證書頒發機構。從此根證書,可以創建具有自己的公鑰和頒發者簽名的證書,該簽名引用根。然后可以從樹結構中的這些衍生證書生成進一步的證書。通過每個證書上的頒發者的專有名稱,客戶端可以在層次結構的更上方獲取證書的公鑰,以檢查證書的簽名是否合法。

圖3:用于實現分層證書部署的原型設置。

在IIoT設備供應中,三層層次結構是一個合適的選擇。設備信任鏈的根證書頒發機構可以位于制造商中。為設備的每個應用程序或客戶提供基于該根文檔的證書。最后,每個設備的證書都來自應用程序證書。這創建了一個信任鏈,以可管理和安全的方式為所有IIoT設備提供唯一的證書。

然后需要一種在IIoT設備上安裝唯一證書的機制。安全存儲有許多硬件要求,這些要求很難在標準微控制器和存儲器組合上實現。還存在何時以及如何將證書編程到IIoT設備中的問題,特別是在當今使用的復雜制造供應鏈中。外包可能意味著將私鑰交付給沒有強大安全保障的設施。

Microchip ATECC508A提供了解決問題的方法。 ATECC508A加密元件使用Elliptic Curve Diffie-Hellman(ECDH)加密和密鑰交換系統。與傳統的RSA密鑰系統相比,這提供了高安全性和更少的處理開銷,因此延長了電池壽命。除ECDH外,ATECC508A還具有內置的ECDSA符號驗證功能,可提供高度安全的非對稱認證。 ATECC508A采用加密對策來防范黑客可以訪問硬件的攻擊。

除了作為針對受限嵌入式系統優化的安全加密協處理器之外,它還受到制造基礎設施的支持。能夠安全地插入唯一密鑰和證書。創建應用程序或客戶證書并將其存儲在Microchip安全生產線上,并在每個ATECC508A編程時根據需要創建設備證書。編程完成后,ATECC508A只需放置在目標PCB上,通過I 2 C與主機微控制器配合執行認證功能。

使用A的一個重要好處在IIoT設備上預加載的設備(如ATECC508A)是由處理相互身份驗證和配置的基礎架構支持的。 Microchip正在與Amazon Web Services(AWS)合作,為物聯網系統提供服務器端基礎架構。 Microchip使用AWS注冊客戶特定的生產證書,以確保當設備向云宣布其存在時,它將被識別為有效請求。此時發生相互認證握手,允許設備構成IIoT系統的一部分。相反,來自AWS應用程序的更新和請求以及相應的數字簽名可以被認為是合法的。為了便于進行原型設計,ATECC508A的AT88CKECC開發套件提供了USB加密狗,其中包含作為根證書和中間證書頒發機構的自簽名證書。

結論

安全專業人員同意這種獨特的憑證,最好是基于已知的安全方案,如PKI,可以很好地防御大規模攻擊。將云服務和高效硬件(例如ATECC508A和AWS提供的硬件)結合在一起的基礎架構,可以按照IIoT項目所需的規模實施必要的安全性。

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 嵌入式
    +關注

    關注

    5082

    文章

    19107

    瀏覽量

    304835
  • 物聯網
    +關注

    關注

    2909

    文章

    44567

    瀏覽量

    372820
  • 路由器
    +關注

    關注

    22

    文章

    3728

    瀏覽量

    113706
收藏 人收藏

    評論

    相關推薦

    PC訪問服務器 并讀取服務器端的數據 怎么寫啊?

    PC訪問服務器并讀取服務器端的數據 怎么寫啊? 需要訪問數據庫嗎?聽說還要服務器那邊的用戶名和密碼才能訪問數據庫不需要兩臺pc機的通信的程序 求大神。。。。。
    發表于 07-27 09:00

    聯網時代百億設備大爆發 世界安全該如何守護?

    、物流等行業提供完整的解決方案。   國外公司,如PFP CyberSecurity在云平臺上部署了SaaS服務,以檢測聯網
    發表于 12-10 14:34

    【南京】ZTECLAA 中興克拉 誠聘服務器端開發工程師/web前端開發工程師 需求緊急

    的背景和支持,期待您的加入。服務器端開發工程師常駐地:南京崗位職責:1.負責聯網服務器端的需求分析與方案設計;2.負責
    發表于 07-13 00:08

    如何保障聯網設備安全

    聯網時代,智能家居,共享設備聯網設備安全和云
    發表于 09-07 10:36

    請問gprs與服務器通信,服務器端的程序怎么寫?

    大家好,最近在做sim808芯片的gprs與服務器通信,用的是阿里云的服務器,請問一下服務器端的程序改怎么寫?用VB嗎?有沒有相關的教程可以推薦一下,謝謝。
    發表于 04-17 23:22

    聯網不僅僅是連接設備和無縫通信

    的中間件。系統使用:基于Sitara? AM437x 處理的工業網關作為控制板基于云的存儲(使用AWS或開源聯網
    發表于 07-25 04:45

    聯網安全技術提高區塊鏈應用數據的可信度

    簡介: 聯網設備可信上鏈 聯網設備可信上鏈
    發表于 11-07 16:34

    如何構建安全聯網架構

    構建基于 MCU 安全聯網系統《中國電子報》(2019 MCU 專題)2019年11月8日中國軟件行業協會嵌入式
    發表于 11-03 06:36

    設計一個片上系統-安全聯網創建一個系統設備

    本指南適用于系統設計人員,可能使用Arm Flexible access。我們假設您希望安全聯網
    發表于 08-02 09:33

    新唐工業計算機/服務器安全智聯升級方案

    壓力,如何提供高質量的產品及客制化服務,用以提升產品單價。另外、如何有效縮減產品開發時間,及早讓產品上市,正是提升投資回報的關鍵。 新唐工業計算機/服務器安全智聯升級
    發表于 08-25 08:07

    服務器端腳本與動態網頁設計,下載

    服務器端腳本與動態網頁設計 1. 了解服務器端腳本和動態網頁的有關概念 ; 2. 了解ASP、PHP的基本語法和基本功能 ; 3. 熟練掌握JSP的基本語法和基本
    發表于 04-28 16:44 ?0次下載

    淘寶商品推廣系統服務器端軟件的設計與實現

    本文基于淘寶商品推廣系統服務器端軟件的設計與實現的目的,通過對淘寶商品推廣系統服務器端軟件中的各個模塊進行分析的方法,結合實際工作需求,從基礎理論出發,得出淘寶商品推廣
    發表于 12-24 15:43 ?12次下載

    JAVA教程之TCP服務器端

    JAVA教程之TCP服務器端,很好的JAVA的資料,快來學習吧
    發表于 04-11 17:28 ?10次下載

    機載航電系統地面試驗模擬服務器端的研究與實現_沈科宇

    機載航電系統地面試驗模擬服務器端的研究與實現_沈科宇
    發表于 03-19 11:31 ?0次下載

    服務器端發票識別api接口

    服務器端發票識別api接口可實現發票OCR識別本地化部署:基于企業集團內網構建的本地化發票識別服務,網絡更穩定、響應更快速、數據更安全
    發表于 06-01 10:53 ?2678次閱讀
    主站蜘蛛池模板: 纯h超级大尺度小黄文| 精品国产乱码久久久久久免费| 亚洲地址一地址二地址三| 美国特级成人毛片| 国产精品福利片| a级男女性高爱潮高清试看| 午夜福利92看看电影80| 欧美日韩无套内射另类| 精品高潮呻吟99AV无码视频| 国产 有码 无码 电影| 0951影音在线| 亚洲熟妇色自偷自拍另类| 丝瓜视频在线免费| 欧美末成年videos丨| 久久久亚洲国产精品主播| 国产人妻久久久精品麻豆| 成 人 动漫3d 在线看| 18禁黄久久久AAA片| 亚洲三级视频在线| 婷婷六月激情综合一区| 青娱乐在线一区| 嫩草成人国产精品| 麻豆AV久久AV盛宴AV| 九九精品视频在线播放| 国产免费久久精品国产传媒| 岛国大片在线观看免费版| 澳大利亚剧满足在线观看| 3344永久在线观看视频免费| 亚洲欧美中文字幕网站大全| 午夜AV国产欧美亚洲高清在线| 日韩免费精品视频| 欧美午夜a级精美理论片| 牛牛在线1视频| 男女疯狂一边摸一边做羞羞视频| 快播成电影人网址| 久久视热频国只有精品| 久久精品免费观看久久| 久久66热在线视频精品| 久草色在线| 快穿之H啪肉| 麻豆一二三四区乱码|