不專(zhuān)業(yè),只做簡(jiǎn)單科普
先說(shuō)說(shuō)被進(jìn)攻的手段
- 1.明文直接獲取剔蹋,
- 2.身份信息仿冒旅薄,
- 3.硬件破解
由于當(dāng)前嵌入式設(shè)備的種類(lèi)很多,導(dǎo)致攻擊的門(mén)檻其實(shí)不是很高泣崩,但是造成的危害卻可能會(huì)很大少梁,例如涉及人身安全的設(shè)備(心臟起搏器等),保障設(shè)備(公用充電樁等)
防護(hù)手段
- 1.數(shù)據(jù)加密
主要為全鏈路的秘鑰配置律想,可以軟件加密(類(lèi)似偽隨機(jī)數(shù)猎莲,由軟件生成,安全級(jí)別低)技即;也可以硬件加密(需要外接設(shè)備著洼,安全級(jí)別高,逐漸會(huì)普及)
加密是很復(fù)雜,很多維的概念身笤,簡(jiǎn)單描述幾對(duì)豹悬,秘鑰會(huì)隨時(shí)間變化而變化。
對(duì)稱(chēng)加密:一個(gè)秘鑰同時(shí)可以加密和解密液荸,算法公開(kāi)瞻佛,計(jì)算量小,加密速度快娇钱,效率高伤柄,但是一旦一方被破解,另一方也不再安全
非對(duì)稱(chēng)加密:成對(duì)的秘鑰文搂,加密解密時(shí)間長(zhǎng)适刀,效率低,但是安全性更好煤蹭,需要事先同步秘鑰 - 2.鏈路保護(hù)
主要是針對(duì)數(shù)據(jù)收發(fā)部分笔喉,例如與通信模組傳輸指令攜帶敏感數(shù)據(jù)的時(shí)候,要對(duì)指令進(jìn)行加密硝皂,或者對(duì)硬件電路進(jìn)行一定的修改常挚,添加一定的加密模塊實(shí)現(xiàn)該目的 - 3.內(nèi)核隔離
需要代碼部分做處理,這個(gè)不是很了解 - 4.行為記錄稽物,確認(rèn)
這個(gè)是對(duì)設(shè)備信息進(jìn)行統(tǒng)計(jì)的一個(gè)后續(xù)任務(wù)奄毡,分析數(shù)據(jù)是否正常,分析設(shè)備是否正常姨裸,不過(guò)感覺(jué)數(shù)據(jù)收集方面是比較敏感的
設(shè)備連接配置
架構(gòu)1
嵌入式設(shè)備<-->服務(wù)器<-->安全服務(wù)器
- 通信流程
1.上行數(shù)據(jù)
嵌入式設(shè)備自己經(jīng)過(guò)加密后秧倾,通過(guò)多種協(xié)議(也可能是多種通道,中間連接的其他設(shè)備未列舉傀缩,可能是wifi,也可能是各種運(yùn)營(yíng)商农猬,總之就是一個(gè)完整的數(shù)據(jù)通道)將數(shù)據(jù)傳到服務(wù)器赡艰,此時(shí)的數(shù)據(jù)仍是加密狀態(tài),再將數(shù)據(jù)傳輸?shù)桨踩?wù)器進(jìn)行解密后斤葱,再發(fā)回給服務(wù)器進(jìn)行處理慷垮,
2.下行數(shù)據(jù)
服務(wù)器將數(shù)據(jù)先發(fā)給安全服務(wù)器進(jìn)行加密,然后安全服務(wù)器將加密過(guò)的數(shù)據(jù)發(fā)還給服務(wù)器揍堕,再經(jīng)過(guò)數(shù)據(jù)鏈路發(fā)給嵌入式設(shè)備
3.初始數(shù)據(jù)
最開(kāi)始的秘鑰灌裝需要安全服務(wù)器和嵌入式設(shè)備的產(chǎn)線(xiàn)工具做一定的處理
架構(gòu)2
嵌入式設(shè)備<-->運(yùn)營(yíng)商(安全服務(wù)器)<-->服務(wù)器
運(yùn)營(yíng)商(例如移動(dòng)的Onenet)承擔(dān)了一定安全部分的工作料身,不過(guò)由于運(yùn)營(yíng)商與服務(wù)器的交互通常是HTTPS協(xié)議,此處如果有更高的安全需求可以再考慮其他的加密手段
- 通信流程
1.上行數(shù)據(jù)
嵌入式設(shè)備內(nèi)部加密后衩茸,上傳到運(yùn)營(yíng)商芹血,運(yùn)營(yíng)商服務(wù)器經(jīng)過(guò)解密后,直接將報(bào)文發(fā)還給服務(wù)器
2.下行數(shù)據(jù)
服務(wù)器將數(shù)據(jù)發(fā)給運(yùn)營(yíng)商后,運(yùn)營(yíng)商內(nèi)部會(huì)自己對(duì)數(shù)據(jù)進(jìn)行加密幔烛,再發(fā)給嵌入式設(shè)備進(jìn)行解密啃擦,分析和處理,
