0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

使用配套安全IC保护连接设备中的TLS

星星科技指导员 来源:Maxim 作者:Christine Young 2022-05-25 09:04 次阅读

传输层安全 (TLS) 协议在保护互联网上智能连接设备的通信方面发挥着重要作用。它可以帮助防止窃听和篡改传输中的数据。当然,要使 TLS 协议有效,密钥和证书必须保持未公开、未修改并存储在设备中,以便它们可以用于执行协议。然而,保护 TLS 实施可能具有挑战性,特别是对于在野外部署的物联网IoT) 设备。

Maxim 安全专家 Stephane di Vito 认为,配套的安全 IC 提供了一种相对简单且经济实惠的方式来保护连接的嵌入式系统中的 TLS 实施。作为奖励,安全 IC 还可以减轻主应用处理器的负担。di Vito 本月早些时候在圣何塞举行的嵌入式系统会议上提出了自己的观点,他在会上概述了 TLS 并解释了如何将安全 IC 集成到嵌入式设计中。

了解 TLS 协议

TLS 协议包括两个主要阶段:握手和安全应用程序数据交换。这一切都始于握手阶段。在这里,有一个协议属性的协商,在此期间客户端向服务器提出它可以支持的算法列表。同时,服务器也有一个支持的算法列表。然后,服务器将选择受支持的最安全的匹配算法。接下来,是时候证明身份了。在此步骤中,服务器必须始终使用公钥基础设施 (PKI) 来证明其身份,该基础设施使用公钥加密。正如 di Vito 解释的那样,公钥密码学的工作原理是这样的:

Alice 拥有一对密钥 (PubKa, PrivKa)

Alice 使用 PrivKa 签署消息(没有其他人可以这样做)

Alice 向 Bob 发送消息和 PubKa

Bob 使用 PubKa 验证 Alice 的消息

要使此过程起作用,公钥所有权必须经过认证机构的认证。公钥连同该密钥所有者的身份可以密封在证书中,然后用于身份验证。与对服务器进行身份验证的方式相同,PKI 也对客户端进行身份验证。一旦双方的身份得到证实,就该为 TLS 会话创建密钥了。正如 di Vito 所指出的,在两端创建密钥有不同的方法:

使用预共享密钥是最简单的方法,包括在设备和服务器中初步交换密钥。由于此方法不使用证书,因此它被认为是一个非常轻量级的 TLS 版本。

旧的备用是使用客户端公钥的 RSA 加密,尽管这种方法对于小型嵌入式设备并不理想,因为它确实需要大量资源

更先进的方法是 ECDH(E) + ECDSA,它的密钥大小更轻,比 RSA 快得多。使用 256 位的椭圆曲线密钥,此方法与 RSA 3072 密钥一样安全。

di Vito 说,一旦密钥到位,您就可以进入应用层并安全地交换数据。在安全交换阶段,强制执行协商的算法和密钥。交换的数据经过身份验证和加密。

如果不受保护,智能家居控制系统等联网设备可能会成为进入更大网络的途径。

配套安全 IC 如何提供帮助:加密、存储和实施

密码学并非没有一些关键的安全问题。例如,易受攻击的密码库可能会受到时序、简单功率分析 (SPA) 和差分功率分析 (DPA) 攻击。低质量的随机数可能会生成弱密钥。但是,di Vito 认为,通过纯软件实现来解决这些问题并不是答案。他强调,例如,软件方法仍然可能成为远程定时攻击或回归的受害者。相比之下,使用配套的安全 IC 可提供更高级别的保护,他说。

配套的安全 IC 可为密码学提供多种优势:

高质量真实、基于硬件的随机数生成

功率分析电阻

防止定时攻击

重建应用软件时没有倒退的风险

密钥和证书的安全存储至关重要,但这里仅使用软件的方法也有弱点。客户端私钥可以从存储中提取并克隆。然后,可以使用相同的身份创建其他设备。如果会话密钥暴露,网络犯罪分子可以监视 TLS 通信和/或伪造消息。还有一种危险,即受损的认证可能会授权证书。

配套的安全 IC 在提供安全存储的同时具有多种优势:

防篡改、加密证书和密钥存储。“一个非常坚定的黑客。..。..必须物理攻击芯片,移除硬件安全性,下载内存。这很复杂。此外,内存通常是加密的。很难篡改这种 IC,”di Vito 说。

无法提取的密钥和私钥,导致终端设备不可克隆

通过严格的访问控制不会滥用密钥

在实施 TLS 时,如果使用了错误的服务器/客户端配置,或者跳过了服务器证书验证,则可能会出现问题。配套的安全 IC 通过以下方式缓解这些问题:

减轻应用程序微处理器的复杂性和繁重的 CPU 负载

提供高度健壮的命令集

减少 TLS 配置

伴随的安全性降低了整体复杂性并隔离了关键功能。di Vito 解释说,如果固件出现问题,其他部分将保持安全。其中一些 IC 甚至可以评估主应用处理器上固件的完整性;如果固件不是正版,那么 IC 将不会使用客户端私钥对服务器进行身份验证。“安全就像洋葱,除了气味。它是一组层,层数越多越好。如果剥洋葱的时间太长,攻击者要么放弃,要么代价高昂。没有防弹解决方案……通过添加层和层,您可以提高安全级别,”di Vito 说。

Maxim 的 DeepCover® 嵌入式安全产品组合包括 MAXQ1061,可用作具有成本效益的配套安全 IC,用于安全存储、数字签名、加密、安全启动和保护 TLS 实现。

审核编辑:郭婷

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 处理器
    +关注

    关注

    68

    文章

    19286

    浏览量

    229854
  • cpu
    cpu
    +关注

    关注

    68

    文章

    10863

    浏览量

    211786
  • 服务器
    +关注

    关注

    12

    文章

    9164

    浏览量

    85430
收藏 人收藏

    评论

    相关推荐

    恒讯科技分析:IPSec与SSL/TLS相比,安全性如何?

    IPSec和SSL/TLS都是用于保护网络通信安全的协议,但它们在实现方式、安全性侧重点、兼容性以及使用场景上存在一些显著的区别。1、安全
    的头像 发表于 10-23 15:08 334次阅读
    恒讯科技分析:IPSec与SSL/<b class='flag-5'>TLS</b>相比,<b class='flag-5'>安全</b>性如何?

    过电压电路保护的意义到底是什么

    的电源适配器,一般要使用过压保护元件。 4、通信设备,通信场所对防雷浪涌有一定的要求,在这些设备中使用过压保护、过流
    发表于 06-21 16:12

    储能还有必要单独装过流保护IC吗?

    的正常运行。   这种芯片的工作原理比较简单,通常过流保护IC会有一个预设的电流阈值,当电路的电流超过这个安全值时,过流保护
    的头像 发表于 05-14 01:10 2313次阅读

    谷歌Chrome浏览器抗量子加密算法被指破坏TLS握手,导致部分网站无法被访问

    谷歌自去年8月起便开始测试后量子安全TLS密钥封装机制,通过采用TLS 1.3及QUIC连接的Kyber768抗量子密钥协商算法,以提升ChromeTLS流量的
    的头像 发表于 04-30 14:22 578次阅读

    什么是TLS加密?TLS加密的功能特点

    TLS(Transport Layer Security)是一种用于在网络通信中提供安全性的标准协议,旨在保障客户端(如web浏览器、移动应用程序等)与服务器(如web服务器、API服务器等)之间
    的头像 发表于 04-03 13:49 651次阅读

    鉴源实验室丨TLS协议基本原理与Wireshark分析

    TLS作为一种通用的安全通信协议,为车辆通信提供了可靠的安全保护
    的头像 发表于 03-27 13:25 1744次阅读
    鉴源实验室丨<b class='flag-5'>TLS</b>协议基本原理与Wireshark分析

    TLS协议基本原理与Wireshark分析

    传输层安全协议(TLS)是一种加密通信协议,用于确保在网络上的数据传输过程安全性和隐私保护TLS
    发表于 02-28 10:26 2136次阅读
    <b class='flag-5'>TLS</b>协议基本原理与Wireshark分析

    瑞萨RA家族 RA AWS MQTT/TLS连接解决方案-蜂窝应用说明

    电子发烧友网站提供《瑞萨RA家族 RA AWS MQTT/TLS连接解决方案-蜂窝应用说明.pdf》资料免费下载
    发表于 02-19 11:00 0次下载
    瑞萨RA家族  RA AWS MQTT/<b class='flag-5'>TLS</b>云<b class='flag-5'>连接</b>解决方案-蜂窝应用说明

    环境试验设备安全保护系统都有哪些?

    环境试验设备是用于模拟各种环境条件,进行产品性能测试和环境适应性测试的设备。在使用环境试验设备时,安全保护系统是至关重要的,它可以保障
    的头像 发表于 01-30 10:26 456次阅读
    环境试验<b class='flag-5'>设备</b>的<b class='flag-5'>安全</b><b class='flag-5'>保护</b>系统都有哪些?

    微软宣布Azure账户取消TLS1.0和1.1支持

    此举涉及到所有现有的及新创建的Azure账户。为确保业务不受影响,IT之家强烈推荐各用户尽早在2024年10月31日前完成TLS1.2的升级,并删除对TLS1.0和1.1的依赖性。实践表明,TLS1.0和1.1无法充分
    的头像 发表于 01-11 11:47 572次阅读

    Nordic nRF7002配套IC产品介绍

    Nordic Semiconductor 的 nRF7002 Wi-Fi 6 配套 IC 是一款高度集成的 IC,旨在将 Wi-Fi 6 连接集成到各种应用
    的头像 发表于 01-11 09:23 836次阅读

    RA AWS MQTT/TLS连接解决方案-Wi-Fi DA16600

    电子发烧友网站提供《RA AWS MQTT/TLS连接解决方案-Wi-Fi DA16600.pdf》资料免费下载
    发表于 01-03 10:00 0次下载
    RA AWS MQTT/<b class='flag-5'>TLS</b>云<b class='flag-5'>连接</b>解决方案-Wi-Fi DA16600

    RAMQTT/TLS Azure云连接解决方案-细胞应用项目

    电子发烧友网站提供《RAMQTT/TLS Azure云连接解决方案-细胞应用项目.pdf》资料免费下载
    发表于 01-03 09:55 0次下载
    RAMQTT/<b class='flag-5'>TLS</b> Azure云<b class='flag-5'>连接</b>解决方案-细胞应用项目

    RA MQTT/TLS Azure云连接解决方案-以太网

    电子发烧友网站提供《RA MQTT/TLS Azure云连接解决方案-以太网.pdf》资料免费下载
    发表于 01-03 09:54 0次下载
    RA MQTT/<b class='flag-5'>TLS</b> Azure云<b class='flag-5'>连接</b>解决方案-以太网

    瑞萨RA家族RA AWS MQTT/TLS连接解决方案-以太网

    电子发烧友网站提供《瑞萨RA家族RA AWS MQTT/TLS连接解决方案-以太网.pdf》资料免费下载
    发表于 01-03 09:52 0次下载
    瑞萨RA家族RA AWS MQTT/<b class='flag-5'>TLS</b>云<b class='flag-5'>连接</b>解决方案-以太网