互联世界中安全的紧迫性

连接性实现了强大的创收能力……从数据遥测和运行时分析到有效地预测和维护需求。制造商将其产品连接到Internet的原因有很多，无论是工业机器、医疗设备、消费品、甚至是汽车。

专门针对当今的汽车，它们在代码和连接性上的运行与在电力或汽油上的运行一样多，尤其是在推出新的安全和事故预防功能时。此外，许多汽车制造商现在可以远程更新软件来修复漏洞，甚至升级功能。

想象一下一个世界，您的汽车的零售价值实际上随着时间的增长而增长–现在已经成为现实。它还使制造商能够更快地对安全漏洞，市场需求甚至自然灾害做出响应。

2017年，特斯拉向其S型和X型汽车发送了空中更新，以扩大最大电池容量和续驶里程，这使得车主可以在飓风``艾尔玛''（Irma）袭击佛罗里达州时在疏散区外再行驶30英里。

这些是我们期望从车辆获得的功能类型。问题就变成了–我们如何确保我们确保这些“驾驶数据中心”免受互联网上潜伏的风险和威胁的侵害？我们才刚刚开始解决这是一个复杂的挑战。

设备安全性很难

对于连接的所有好处而言，当然存在挑战。让我们分解一些很难保护这些连接设备的核心原因。

1个

他们是有吸引力的目标

首先，联网车辆和物联网设备是黑客极具吸引力的目标。这是因为许多供应商未在其连接的产品中纳入足够的安全控制措施，这是由普遍缺乏网络安全专业知识以及紧密的产品交付时限和利润驱动的。

与企业网络中运行的服务器和设备不同，IoT设备通常直接交付给消费者，而对其运行所在的网络或环境没有任何控制。这使它们成为僵尸网络，加密矿工和接管攻击的有吸引力的目标。

他们有设计约束

为了将产品推向市场，更快的开发生命周期和功能交付通常优先于安全性。与传统设备相比，在典型的IoT设备中运行的硬件和计算能力也更少，因此，嵌入安全性成为选择的问题，而不是必要的问题。例如，在嵌入式起搏器或胰岛素泵设备中，不能选择运行基于软件的笨重代理。

加密和身份验证也是如此。取决于您所制造的设备，硬件限制可能意味着使用椭圆曲线密码术（ECC）代替RSA更有意义。对于某些设备，非对称加密可能需要太多处理能力，因此对称密钥是唯一的选择。这些是我们与客户进行的对话类型，旨在找到最适合安全性而又不影响上市时间的对话。

供应链很复杂

参与产品的设计、开发、构建和交付的不同供应商的数量是多年合作的结果，但是在安全性方面，每个人都需要站在同一战线上。

协调是关键。但是，确保安全在不受信任的远程制造环境中正确处理是整个行业仍在努力解决的问题。在许多情况下，这会导致供应商之间存储，处理或共享加密密钥的安全性不佳，从而导致密钥被盗或受损。

他们很难修补和更新

设备更新的能力至关重要，不仅要启用新功能，而且更重要的是要修复突发且不可预测的漏洞或故障（例如：弱密码、软件错误、恶意软件等）。许多供应商在没有充分计划和测试软件以及安全更新机制的情况下将连接的产品推向市场。

空中（OTA）软件和固件更新必须安全有效地交付。最近的事件突出表明，从代码质量检查和安全的代码签名过程，到安全地保护用于签名代码的私钥，都需要保护软件供应链。您还需要确保设备可以验证签名，以确保仅授权代码可以在其上运行，而不是被另一个签名欺骗的恶意软件。

另一个考虑因素是网络不可靠。例如，如果在软件更新期间汽车在冬季进入隧道或在车库中离线放置，那么当该车辆恢复在线状态时，如何确保已安装更新？

设计和产品寿命长

这些设备中的许多设备在进入市场之前都需要花费数年的时间进行设计，测试和制造。与“设计安全”方法相比，在游戏后期添加安全性要困难得多且成本更高。另一方面，从设计到报废（EOL）的物联网设备生命周期可以从几天延长到20多年以上（想想现代汽车）。

安全性不是一成不变的。当今市场上的许多物联网产品将不再具有用于保护设备和加密敏感数据的加密算法的有效性。制造商和硬件供应商，尤其是汽车行业的制造商和硬件供应商，需要为最终大规模轮换或更换整个车队的钥匙和证书做出计划。

互联汽车威胁

汽车行业是基于Internet的威胁如何影响最终用户（又名驾驶员）的隐私和安全的主要示例。安全研究人员已多次证明，利用现代车辆中的关联漏洞不仅是可行的，而且是切实可行的。

这些威胁的一些示例包括：

• 车辆操作威胁：来自互连系统的数据/警报操纵，或远程激活驾驶员功能（例如制动或加速）。

  
  

• 远程启动威胁：受破坏的数字钥匙扣（即由于弱加密）使黑客能够获得对车辆的授权访问。

  
  

• 数据隐私威胁：中间人攻击会破坏个人数据，车辆位置，旅行历史记录等的传输。

  
  

• 电子控制单元（ECU）威胁：恶意固件更新充当“特洛伊木马”，使黑客能够模仿信任并远程访问车辆控制系统。

  
  

• 信息娱乐和远程诊断威胁：通过链接的移动设备或更改来自车辆诊断系统的信息进行的远程攻击。

要确保下一代联网车辆和物联网设备的安全，就需要一种新方法，其重点是在整个设备生命周期中通过设计和加密敏捷性来确保安全性。

保护物联网堆栈

那么，我们如何应对这些挑战？保护连接的设备涉及许多不同的安全层，安全性应从IoT堆栈和连接的生态系统的高级体系结构开始。

边缘设备

考虑一下物联网设备及其中的组件，例如电子控制单元（ECU）和聚合和传输数据的网关。对于初学者，每个设备都应具有唯一的，受信任的身份，该身份不得与其他设备重复或共享。

• 设备身份：通过在制造或设备供应过程中嵌入基于PKI的受信任非对称密钥对来供应唯一的“数字身份”。理想情况下，应在设备上生成私钥（称为“设备上密钥生成”或“ ODKG”）。

  
  

• 固件签名：确保对无线（OTA）固件更新进行签名，并在诸如Thales SafeNet HSM之类的硬件安全模块（HSM）中保护代码签名密钥和证书。

  
  

• 安全启动：与固件验证结合使用，以确保仅在验证设备中的信任状态之后启动设备。

管理平台

确定了如何在设备级别嵌入安全性之后，接下来需要考虑如何在管理和后端操作级别确保安全性。无论是动力涡轮机还是胰岛素泵，收集、监控和分析数据的需求真正推动了物联网的价值，但这一层的安全性至关重要。

• 设备身份验证：数十年来，TLS已用于保护Internet的安全，使其成为通过Wi-Fi、蓝牙或5G网络等连接启用身份验证或相互身份验证（mTLS）的理想之选。

  
  

• 数据加密：非对称加密不会涵盖所有内容。对称密钥应用于加密和保护设备上以及数据库或云服务中的静态数据。在某些情况下，由于硬件限制，可能无法选择数字证书，但应始终使用对称密钥来保护数据。

物联网运营

如果您已正确加密数据并建立了安全连接，则可以确保数据的端到端保护，并允许基于信任在操作级别解密和访问该数据。

Thales +Keyfactor：物联网安全设计

当我们着眼于为IoT设备设计安全架构时，首先要了解您需要创建哪些身份，如何提供身份以及支持该身份的基础结构。

端到端的安全方法应包括支持向工厂现场和现场组件大量发放受信任的密钥和证书的能力，通过其生命周期管理这些身份以及安全的软件/固件签名过程的能力。

Thales和Keyfactor共同提供了支持复杂环境（例如汽车和医疗设备供应链）中的这些要求所需的基础结构和工具。

• 托管的PKI即服务：私有根、高可用性PKI作为服务从云端交付，并通过Thales Cloud HSM内置了发行和根CA保护。您还可以利用现有的本地PKI和HSM。

  
  

• 物联网身份管理：从发行、供应、替换和吊销到加密密钥和数字证书的端到端管理。

  
  

• 安全签名：集中和安全的固件签名工作流程，以将可信的OTA更新交付给终端设备-由安全的Thales HSM支持，以确保代码签名密钥不被盗用或滥用。

  
  

• 生态系统集成：API和插件集成，可与现有的本地HSM、加密库、云平台和IoT应用程序集成。

揽阁信息基于Thales的安全产品，为众多最终客户和产品研发及制作合作伙伴提供了定制化的解决方案，解决客户在使用和管理过程中的各种痛点、难点问题。如果您需要相关的产品介绍和解决方案咨询，请随时与我们联系。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Thales提前完成收购Imperva交易

• 经验教训：2023年全球网络安全的五个要点

• 数据安全的未来是什么

• 简化密钥和证书的审核和修复

• 机器学习如何加速并提高敏感数据分类的准确性