0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

不安全世界中的边缘安全

符筹荣 2022-12-29 10:02 次阅读

随着嵌入式网络设备成本的下降——以Raspberry Pi为例——它们变得无处不在。但是,这种扩散的隐性成本是这些设备可能缺乏安全性,因此会被利用。如果不在安全方面进行投资,设备可能会泄露私人信息(例如视频、图像或音频),或者成为在全球范围内造成严重破坏的僵尸网络的一部分。

边缘计算简而言之

边缘计算是将集中式计算资源转移到更靠近数据源的范例。这会产生许多好处,包括:

断线操作

更快的响应时间

改进了整个范围内计算需求的平衡

如图 1所示,云基础设施管理边缘设备。物联网 (IoT) 设备通过边缘设备(例如边缘网关)连接到云,以最大限度地减少全球通信

pYYBAGOrgreAUvqYAAAVTbJrFaE909.png

图1:边缘计算架构图显示了云基础设施与边缘连接设备的关系。(来源:作者)

总部位于德国的统计数据库公司 Statista 估计,2018 年全球有 230 亿台联网的物联网设备,专家预计到 2025 年这一数字将增长到 750 亿。Mirai 恶意软件以物联网设备为目标,扰乱了数百万人的互联网访问2016 年的人,说明了这些设备需要更好的安全性。事实上,当攻击者发现特定设备的漏洞利用时,攻击者可以将漏洞利用集中应用于其他相同的设备。

随着越来越多的设备扩散到边缘,这些设备的风险也随之增加。连接的设备是攻击者的常见目标,他们可能会利用这些设备引起注意,或者更常见的是,扩大僵尸网络。让我们探索保护边缘计算设备的方法。

保护设备

要查看设备并了解它是如何被利用的,我们会查看所谓的攻击面。设备的攻击面表示攻击者可以尝试利用设备或从设备中提取数据的所有点。此攻击面可能包括:

连接到设备的网络端口

串口

用于升级设备的固件更新过程

物理设备本身

攻击向量

攻击面定义了设备暴露于世界的范围,成为安全防御的重点。保护设备就是了解设备可能的攻击向量并保护它们以减少攻击面的过程。

常见的攻击向量通常包括:

接口

协议

服务

从图 2中,我们可以看到来自接口(网络或本地)的一些攻击向量,包括设备上运行的固件周围的各种表面,甚至是物理包本身。现在让我们探讨其中的一些向量以及如何保护它们。

poYBAGOrgrmAdWXKAAAMtF1HkL8790.png

图 2:该图显示了简单边缘设备的潜在攻击向量。(来源:作者)

沟通

攻击接口或协议是一个多层次的问题。存在与云通信本身的安全性——包括数据安全性——以及通过一种或多种协议(如 HTTP)访问设备的安全性。

传输层安全性 (TLS) 应保护进出设备的所有通信。这种类型的加密协议涵盖身份验证——以确保双方都可以具体说明他们正在与谁通信——以及对所有数据进行加密以避免窃听攻击。这非常适合通过互联网等公共网络与远程云通信的边缘设备。

鉴于数据在 IP 网络上的移动速度,硬件加速是必须的,以便有效地管理身份验证和数据加密和解密。TI EK-TM4C129EXL等具有硬件加密加速的处理器包括用于 TLS 的片上加密加速,确保与远程系统的安全通信。

使用 Kerberos 等协议进行身份验证可以确保客户端和服务器安全地识别自己。Kerberos 依赖于对称密钥加密或公钥加密,两者都可以使用包含加密引擎的处理器进行加速。

协议端口

与网络接口一起使用的协议端口构成了互联网连接设备上最大的攻击媒介之一。这些端口公开了对设备的协议访问——例如,Web 界面通常通过端口 80 公开——因此向攻击者提供了有关尝试利用类型的信息。

保护这些端口的最简单方法之一是使用防火墙。防火墙是设备上的一个应用程序,您可以配置它来限制对端口的访问以保护它们。例如,防火墙可以包括禁止访问除预定义的受信任主机之外的给定端口的规则。这会限制对端口的访问,并有助于避免使用缓冲区溢出等协议漏洞利用的常见攻击。

固件更新

边缘设备变得越来越复杂,执行比前几代更高级的功能,包括机器学习应用程序。由于这种复杂性,需要解决问题并发布设备更新。但是,固件更新过程会创建一个攻击向量。通过在边缘安全计划中实施固件更新的安全措施,您可以减轻攻击者带来的风险。

代码签名是一种常用的安全方法,用于防止恶意代码进入设备。这需要使用加密散列对固件映像进行数字签名,该散列可以在固件更新过程之前在设备上使用,以确保代码是真实的并且自签名过程以来未被更改。

签名代码也可以在启动时使用,以确保本地存储设备中的固件没有被更改。这包括两个攻击向量,尝试使用设备的更新过程使用被利用的图像更新设备,并保护设备免受强制进入本地存储设备的图像。

设备中使用的处理器在这里很有用,特别是如果它实现了用于哈希生成和检查的安全加密引擎。一个示例是Microchip CEC1302,它包括加密高级加密标准 (AES) 和哈希引擎。

使用可信平台模块 (TPM) 也是有益的。TPM 是专用于安全功能的安全加密处理器,通常包括散列生成、密钥存储、散列和加密加速以及各种其他功能。一个示例是Microchip AT97SC3205T,它在 8 位微控制器的上下文中实现了 TPM。

物理安全措施

创建防篡改设计有助于检测设备是否已被物理打开或以某种方式受到损害。这还包括尽可能减少外部信号,以限制攻击者监控其拥有的设备和识别漏洞的方式。攻击者可能会尝试监视总线信号以识别安全信息,在极端情况下,可能会对设备应用温度变化、更改时钟信号,甚至通过使用辐射引发错误。了解有动机的攻击者将用来了解您的设备的方法将有助于构建更安全的产品

在哪里了解更多

鉴于当今网络战的现状和过多的动机,个人和国家必须利用设备边缘安全是一场艰苦的战斗。但是,实施现代安全实践并在产品开发之初就考虑安全性将大大有助于确保您的设备安全。对设备攻击面的早期分析有助于确定应将注意力集中在何处,以创建更安全的设备。您可以在Mouser Security 博客上了解更多信息。

审核编辑黄昊宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 边缘计算
    +关注

    关注

    22

    文章

    3092

    浏览量

    48969
收藏 人收藏

    评论

    相关推荐

    对称加密技术有哪些常见的安全漏洞?

    信道攻击等,通过破坏对称性质进行信息窃取或修改。 不安全参数: 采用不安全的参数,如弱的加密算法、过短的密钥长度或IV值等,可能导致加密强度不足。 熵源不足: 采用弱随机数生成器,缺乏足够的熵来产生密钥,这可能导致密钥
    的头像 发表于 12-16 13:59 99次阅读

    SFTP协议的安全性分析

    基于SSH(Secure Shell)协议的文件传输协议,它提供了一种安全、可靠的文件传输方式。 SFTP协议概述 SFTP协议是一种网络协议,用于在不安全的网络环境安全地传输文件。
    的头像 发表于 11-13 14:10 604次阅读

    P2Link——高效保障企业数据安全

    P2Link在远程访问过程中提供了端到端加密,将企业数据封装在加密隧道传输,确保数据不会在传输过程中被拦截或篡改。即使数据经过不安全的公共网络,也能保持其完整性和机密性。
    的头像 发表于 11-06 10:44 202次阅读

    物联网系统的安全漏洞分析

    设备制造商的安全意识不足 许多物联网设备制造商在设计和生产过程,往往忽视了安全问题,导致设备存在先天性的安全漏洞。这些漏洞可能包括弱密码、未加密的数据传输、
    的头像 发表于 10-29 13:37 376次阅读

    DTU如何运用VPN加密技术提升数据传输安全

    VPN加密技术来提升DTU数据传输的安全性。▍DTU与VPN加密技术的结合DTU在数据传输过程,常常需要面对网络不安全因素,如数据被窃取、篡改等。而VPN加密
    的头像 发表于 07-04 14:53 462次阅读
    DTU如何运用VPN加密技术提升数据传输<b class='flag-5'>安全</b>?

    海康威视应急指挥解决方案助力企业拧紧生产“安全阀”

    管理能力 对人的不安全行为、物的不安全状态、 环境的不安全因素进行多方面监测 让安全风险更早、更快、更及时地被发现 ↓ “看见”一丝微弱电光 让电力隐患发现早一步 在电力行业,输电、变
    的头像 发表于 06-26 16:26 1150次阅读

    新能源汽车不安全?新能源汽车测试之方案篇——充电桩综合测试

    、节能减排、保护环境等多方面的优点,成为世界汽车产业的发展方向。 安全性问题 在新能源汽车的发展安全性问题备受关注。其中,电池作为新能源汽车的核心组件之一,其
    的头像 发表于 06-11 14:50 420次阅读
    新能源汽车<b class='flag-5'>不安全</b>?新能源汽车测试之方案篇——充电桩综合测试

    AI边缘盒子在安全生产领域的应用

    安全的同时,也减少了因突发事故导致的生产中断和经济损失。2.环境监测AI边缘盒子可以连接各种传感器或其他边缘设备,对环境参数进行监测。例如,在化工厂,它可以监测气
    的头像 发表于 05-14 10:54 513次阅读
    AI<b class='flag-5'>边缘</b>盒子在<b class='flag-5'>安全</b>生产领域的应用

    STM32启动文件栈大小根据什么设置的呢?

    大神们,STM32启动文件栈大小根据什么设置的呢?我每次都是设置一个大概,但是这样总感觉不安全有没有高手指点一二,感激不尽。
    发表于 04-24 08:01

    AI边缘盒子助力安全生产相关等场景

    如何助力安全生产,并介绍其在工业监控、环境监测、设备维护、人员安全和智能预警等安全生产相关场景的应用。什么是AI边缘盒子?简单来说,AI
    的头像 发表于 03-28 15:30 739次阅读
    AI<b class='flag-5'>边缘</b>盒子助力<b class='flag-5'>安全</b>生产相关等场景

    车载激光雷达到底安不安全

    激光雷达(LiDAR)作为智能驾驶系统的核心传感器,其三维环境重建能力为车辆提供了丰富而精确的环境信息,主动发光,不受黑夜光照条件影响的特性
    的头像 发表于 03-08 09:41 2549次阅读
    车载激光雷达到底安<b class='flag-5'>不安全</b>?

    物联网边缘设备安全:IIoT安全的硬件解决方案

    IIoT环境存在的安全漏洞可能会给犯罪分子以可乘之机,终将导致企业机密泄露或敏感数据丢失,比如产品制造蓝图或关键业务信息等。
    发表于 02-28 09:25 750次阅读
    物联网<b class='flag-5'>边缘</b>设备<b class='flag-5'>安全</b>:IIoT<b class='flag-5'>安全</b>的硬件解决方案

    如何使用PSoC 61进行安全启动?

    我们知道所有关于安全启动的文档都是基于 PSoC 62、63 或 64 的。 因为安全启动机制包括 M0+ 和 M4。 我们想知道如何使用 PSoC 61 进行安全启动。(\"PSoC
    发表于 01-30 07:51

    边缘计算盒子护航企业安全生产,边缘设备提高安全生产监管效率

    为助力企业安全生产,实现本地设备智能管理与降本增效“两手抓”,不少智慧工地、煤矿安全、危化品管理等安全生产场景下开始着重部署智能边缘分析设备——远景达AI
    的头像 发表于 01-04 15:42 396次阅读
    <b class='flag-5'>边缘</b>计算盒子护航企业<b class='flag-5'>安全</b>生产,<b class='flag-5'>边缘</b>设备提高<b class='flag-5'>安全</b>生产监管效率

    煤矿安全生产预警系统

    智慧华盛恒辉煤矿安全生产预警系统是一种针对煤矿生产过程安全隐患进行监测和预警的系统。 该系统通过计算机视觉技术,对煤矿生产过程的人的不安全
    的头像 发表于 01-03 13:35 752次阅读