商业物联网以及保护软件更新的意义
物联网(iot)的急剧增长使我们达到了承诺的“互联世界”现在成为现实的地步。随着基础设施的到位,企业正在寻找基于连接设备网络提供有价值服务的方法,增强现有产品并创建新产品。
安全性是这个新世界的关键,特别是在提供必要的软件更新以使基于物联网的服务处于最前沿方面。本文介绍了软件更新的过程以及硬件技术在确保高级别安全性方面的价值。
新服务和安全性需求
虽然物联网硬件具有价值,但大部分令人兴奋的事情来自已经部署的数十亿个物联网节点以及尚未进入我们的智能家居和智能工厂的数十亿个物联网节点可以提供的服务。
现有企业和以物联网为重点的初创企业都在迅速开发新服务,以赢得新客户并为现有客户增加价值,其目标是通过为最终用户提供不断增长的利益来发展盈利业务。
为了实现通过现有硬件提供新服务并通过持续更新保持已安装服务的相关性的双重目标,持续需要远程更新已连接设备的软件。因此,物联网设备必须能够接受对其软件(包括固件)的无线(ota)更新。向设备开放更新带来了新的机会和新功能,但也意味着如果设备没有得到适当的保护,它们就容易受到恶意干扰。
软件更新不仅对于添加功能和服务至关重要,而且对于修复错误和漏洞也至关重要。正如今天的pc和手机必须更新以保持适当的安全性一样,物联网设备也是如此。这些更新必须自动、安全、可靠地进行,以便设备继续满足消费者和企业的需求。
受保护的软件更新
执行软件更新可能与脑部手术一样具有挑战性。一个错误的举动可能会对患者造成致命伤害(在物联网系统的情况下,失败的更新可能会致命地破坏设备)。当恶意攻击的风险被添加到组合中时,提供安全可靠的更新过程的重要性怎么强调都不为过。下面介绍了安全创建和安装软件更新的有效过程。
物联网软件更新依靠广播流程同时访问多个设备。
典型的安全软件更新过程如图 1 所示。它分为两个阶段:准备(步骤a和b)和执行(步骤1至4)。
在步骤 a 中,设备供应商获取用于更新的软件映像,并将元数据添加到该映像以生成软件更新数据集。元数据对于安全性至关重要,因为它包括数字签名或类似机制,设备将使用这些签名或机制将授权更新(由制造商或服务提供商颁发)与恶意或其他未经授权的更新区分开来。元数据还可能包括用于标识更新和防止回滚的版本号、文件列表和其他字段。
在步骤 b 中,软件更新数据集广播到目标连接的设备,或在服务器上提供给这些设备。在此过程中,攻击者可能会尝试阻止该过程以防止更新,或尝试更改传输中的更新以损坏更新。攻击者还可能复制更新并对其进行逆向工程,以查找弱点或窃取固件或密钥等知识产权。必须针对此类攻击采取对策,包括保护更新完整性的数字签名和保护更新机密性的加密。
执行阶段从步骤 1 开始,远程设备在其中下载软件更新数据集。将软件更新下载到设备后,可以在本地触发安装。根据设备配置,可以自动或手动触发安装。
在步骤 2 中,将检查下载的更新的真实性和完整性,确认更新来自授权源(例如,使用数字签名)。此时还将完成更新的解密。完成这些检查后,新软件即可安装。
在步骤 3 中,将安装此更新。使用的确切步骤将因设备的设计而异。在所有情况下,更新过程都应设计为从电源故障和其他问题中恢复。
在步骤 4 中,将激活已安装的更新。简单的设备可能只是重新启动以激活新软件。关键设备可能能够无缝过渡到新软件,而不会出现任何服务缺口。弹性系统旨在检测新软件中的故障并自动恢复。
硬件安全
尽管有结构化的方法和广泛的测试,但所有软件都有可能被发现和利用的弱点。这些漏洞可能允许攻击者运行自己的代码或发现存储在设备上的机密。因此,安全专家建议所有关键功能都应在安全的硬件中实现。这种方法对于确保ota更新的安全性特别有价值。适当保护的硬件允许安全地存储代码和数据,并且可以包括加密以及检测篡改和试图操纵代码或数据的能力。
虽然当系统中包含安全硬件时,安全更新过程没有太大区别,但有几个额外的步骤,如图 2 所示。
添加硬件安全性时,更新更安全。
软件更新数据集的生成、广播和下载方式与之前相同,因此此处省略上图中的步骤 a、b 和 1。设备上的更新过程发生了变化,因为安全关键功能从mcu外包给单独的安全ic。
安全 ic 不是仅使用软件来检查更新,而是用于验证更新上的数字签名并解密更新。安全ic提供受保护的密钥存储和片上签名验证。这解决了几个潜在的漏洞,例如设备上正在替换的设备供应商的公钥或篡改验证算法的风险。安全密钥存储还用于存储用于解码软件映像的任何加密的解密密钥。该密钥特别敏感,因此必须小心保护。
基于硬件的安全性还允许在解密的软件上执行最终哈希,作为安全ic中的封装功能,以在触发安装之前确认更新完整性。
用于安全软件更新的英飞凌 optiga 硬件
英飞凌的optiga系列展示了硬件安全ic的功能。这种易于集成、可扩展的交钥匙解决方案简化了开发安全物联网解决方案的过程。凭借英飞凌30年的安全专业知识,optiga器件建立了基于硬件的信任根,由三个关键的安全关键功能(身份验证、加密和完整性)提供支持。
optiga系列包括多个器件,例如用于嵌入式系统的专用加密解决方案,用于高价值商品的高端交钥匙安全控制器,用于嵌入式系统的可编程信任锚,以及用于保护嵌入式网络中设备和系统的完整性和真实性的可信平台模块(tpm)。
optiga trust x专门针对工业自动化、智能家居、消费类设备、医疗设备等中的物联网安全性进行了优化,支持安全的软件更新,并保护物联网设备的真实性、完整性和机密性。
总结
物联网将触及每个人业务和个人生活的许多方面,并将随着企业设计出向客户提供服务的新方法而继续快速增长。数十亿个物联网节点中的每一个都是恶意方的潜在攻击点,从而产生数据泄露,未经授权控制机器或更糟的风险。
因此,安全性必须成为参与物联网设计的任何人的首要议程。虽然纯软件解决方案提供了一定程度的保护,但当基于硬件安全性的坚实基础(如英飞凌的 optiga 产品)时,安全性效果最佳。以硬件安全为可靠基础,物联网设备设计人员能够将安全性提升到另一个层次,从而提高客户满意度和安全性,同时确保设备在未来几年内继续正常运行。
数字式时间继电器的延时方法和调节时间方法
典型CE测试期间的传导发射回路
拉绳位移传感器温度产生漂移及安装
联手华为发布业界第一份云网融合白皮书 天翼云助力企业数字化转型
硬件光追才是好光追,联发科让手游的画质终于不再“假”
商业物联网以及保护软件更新的意义
智慧隧道门禁系统集成施工专家
日立推出石英玻璃数据永久存储技术
iPad的回归之路:新款iPad的前世今生,iPad系列由繁入简引人深思
苏州能讯高能半导体有限公司4英寸氮化镓芯片产线建成 总投资3亿元
中兴通讯依靠Pre5G助力比利时Telenet创下欧洲最快网速
浪潮信息八路服务器创SAP SD评测最高性能
显示器上不了高刷新率是怎么回事 显示器上不了高刷新率的解决方案
移动端VIN码识别技术,本地扫描识别解析车辆信息
国际巨头退出通用照明市场,未来LED照明路在何方?
增强可穿戴设备性能,连接技术与时俱进
拼多多正式上线“多多钱包”
中交兴路为中小微货运经营者打造全链贯通数字化解决方案
张剑辉:打通储能产品全生命周期数据 提升电站资产价值
NS6332系列同步降压电源管理芯片的简介
安全性是这个新世界的关键,特别是在提供必要的软件更新以使基于物联网的服务处于最前沿方面。本文介绍了软件更新的过程以及硬件技术在确保高级别安全性方面的价值。
新服务和安全性需求
虽然物联网硬件具有价值,但大部分令人兴奋的事情来自已经部署的数十亿个物联网节点以及尚未进入我们的智能家居和智能工厂的数十亿个物联网节点可以提供的服务。
现有企业和以物联网为重点的初创企业都在迅速开发新服务,以赢得新客户并为现有客户增加价值,其目标是通过为最终用户提供不断增长的利益来发展盈利业务。
为了实现通过现有硬件提供新服务并通过持续更新保持已安装服务的相关性的双重目标,持续需要远程更新已连接设备的软件。因此,物联网设备必须能够接受对其软件(包括固件)的无线(ota)更新。向设备开放更新带来了新的机会和新功能,但也意味着如果设备没有得到适当的保护,它们就容易受到恶意干扰。
软件更新不仅对于添加功能和服务至关重要,而且对于修复错误和漏洞也至关重要。正如今天的pc和手机必须更新以保持适当的安全性一样,物联网设备也是如此。这些更新必须自动、安全、可靠地进行,以便设备继续满足消费者和企业的需求。
受保护的软件更新
执行软件更新可能与脑部手术一样具有挑战性。一个错误的举动可能会对患者造成致命伤害(在物联网系统的情况下,失败的更新可能会致命地破坏设备)。当恶意攻击的风险被添加到组合中时,提供安全可靠的更新过程的重要性怎么强调都不为过。下面介绍了安全创建和安装软件更新的有效过程。
物联网软件更新依靠广播流程同时访问多个设备。
典型的安全软件更新过程如图 1 所示。它分为两个阶段:准备(步骤a和b)和执行(步骤1至4)。
在步骤 a 中,设备供应商获取用于更新的软件映像,并将元数据添加到该映像以生成软件更新数据集。元数据对于安全性至关重要,因为它包括数字签名或类似机制,设备将使用这些签名或机制将授权更新(由制造商或服务提供商颁发)与恶意或其他未经授权的更新区分开来。元数据还可能包括用于标识更新和防止回滚的版本号、文件列表和其他字段。
在步骤 b 中,软件更新数据集广播到目标连接的设备,或在服务器上提供给这些设备。在此过程中,攻击者可能会尝试阻止该过程以防止更新,或尝试更改传输中的更新以损坏更新。攻击者还可能复制更新并对其进行逆向工程,以查找弱点或窃取固件或密钥等知识产权。必须针对此类攻击采取对策,包括保护更新完整性的数字签名和保护更新机密性的加密。
执行阶段从步骤 1 开始,远程设备在其中下载软件更新数据集。将软件更新下载到设备后,可以在本地触发安装。根据设备配置,可以自动或手动触发安装。
在步骤 2 中,将检查下载的更新的真实性和完整性,确认更新来自授权源(例如,使用数字签名)。此时还将完成更新的解密。完成这些检查后,新软件即可安装。
在步骤 3 中,将安装此更新。使用的确切步骤将因设备的设计而异。在所有情况下,更新过程都应设计为从电源故障和其他问题中恢复。
在步骤 4 中,将激活已安装的更新。简单的设备可能只是重新启动以激活新软件。关键设备可能能够无缝过渡到新软件,而不会出现任何服务缺口。弹性系统旨在检测新软件中的故障并自动恢复。
硬件安全
尽管有结构化的方法和广泛的测试,但所有软件都有可能被发现和利用的弱点。这些漏洞可能允许攻击者运行自己的代码或发现存储在设备上的机密。因此,安全专家建议所有关键功能都应在安全的硬件中实现。这种方法对于确保ota更新的安全性特别有价值。适当保护的硬件允许安全地存储代码和数据,并且可以包括加密以及检测篡改和试图操纵代码或数据的能力。
虽然当系统中包含安全硬件时,安全更新过程没有太大区别,但有几个额外的步骤,如图 2 所示。
添加硬件安全性时,更新更安全。
软件更新数据集的生成、广播和下载方式与之前相同,因此此处省略上图中的步骤 a、b 和 1。设备上的更新过程发生了变化,因为安全关键功能从mcu外包给单独的安全ic。
安全 ic 不是仅使用软件来检查更新,而是用于验证更新上的数字签名并解密更新。安全ic提供受保护的密钥存储和片上签名验证。这解决了几个潜在的漏洞,例如设备上正在替换的设备供应商的公钥或篡改验证算法的风险。安全密钥存储还用于存储用于解码软件映像的任何加密的解密密钥。该密钥特别敏感,因此必须小心保护。
基于硬件的安全性还允许在解密的软件上执行最终哈希,作为安全ic中的封装功能,以在触发安装之前确认更新完整性。
用于安全软件更新的英飞凌 optiga 硬件
英飞凌的optiga系列展示了硬件安全ic的功能。这种易于集成、可扩展的交钥匙解决方案简化了开发安全物联网解决方案的过程。凭借英飞凌30年的安全专业知识,optiga器件建立了基于硬件的信任根,由三个关键的安全关键功能(身份验证、加密和完整性)提供支持。
optiga系列包括多个器件,例如用于嵌入式系统的专用加密解决方案,用于高价值商品的高端交钥匙安全控制器,用于嵌入式系统的可编程信任锚,以及用于保护嵌入式网络中设备和系统的完整性和真实性的可信平台模块(tpm)。
optiga trust x专门针对工业自动化、智能家居、消费类设备、医疗设备等中的物联网安全性进行了优化,支持安全的软件更新,并保护物联网设备的真实性、完整性和机密性。
总结
物联网将触及每个人业务和个人生活的许多方面,并将随着企业设计出向客户提供服务的新方法而继续快速增长。数十亿个物联网节点中的每一个都是恶意方的潜在攻击点,从而产生数据泄露,未经授权控制机器或更糟的风险。
因此,安全性必须成为参与物联网设计的任何人的首要议程。虽然纯软件解决方案提供了一定程度的保护,但当基于硬件安全性的坚实基础(如英飞凌的 optiga 产品)时,安全性效果最佳。以硬件安全为可靠基础,物联网设备设计人员能够将安全性提升到另一个层次,从而提高客户满意度和安全性,同时确保设备在未来几年内继续正常运行。
数字式时间继电器的延时方法和调节时间方法
典型CE测试期间的传导发射回路
拉绳位移传感器温度产生漂移及安装
联手华为发布业界第一份云网融合白皮书 天翼云助力企业数字化转型
硬件光追才是好光追,联发科让手游的画质终于不再“假”
商业物联网以及保护软件更新的意义
智慧隧道门禁系统集成施工专家
日立推出石英玻璃数据永久存储技术
iPad的回归之路:新款iPad的前世今生,iPad系列由繁入简引人深思
苏州能讯高能半导体有限公司4英寸氮化镓芯片产线建成 总投资3亿元
中兴通讯依靠Pre5G助力比利时Telenet创下欧洲最快网速
浪潮信息八路服务器创SAP SD评测最高性能
显示器上不了高刷新率是怎么回事 显示器上不了高刷新率的解决方案
移动端VIN码识别技术,本地扫描识别解析车辆信息
国际巨头退出通用照明市场,未来LED照明路在何方?
增强可穿戴设备性能,连接技术与时俱进
拼多多正式上线“多多钱包”
中交兴路为中小微货运经营者打造全链贯通数字化解决方案
张剑辉:打通储能产品全生命周期数据 提升电站资产价值
NS6332系列同步降压电源管理芯片的简介