为物联网系统提供服务器端基础架构，构建设备安全方案

2016年秋季，黑客招募了数十万台嵌入式设备，形成恶意僵尸网络。他们的Mirai恶意软件感染了宽带路由器，让僵尸网络的运营商在分布式拒绝服务（DDoS）攻击中使用它们。这是对新兴物联网（IoT）行业的警醒 - 展示了黑客如何为自己的目的使用网络智能设备。

虽然Mirai攻击主要集中在消费设备上，但对工业的影响物联网是严肃的。如果没有对策，工业工厂就有可能成为类似大规模袭击的牺牲品。风险从生产损失到连接机械的严重损坏。安全专家的分析表明，遭受黑客攻击的设备制造商犯了相对简单的错误。在Mirai攻击的情况下，路由器中很少有人防止黑客登录并向他们上传新固件。

物联网安全基金会（IoTSF）等团体发布了旨在保护的建议反对类似的攻击。 IoTSF确定了可以防范Mirai的措施。它们包括确保访问代码或密码对于每个单元是唯一的并且不在一组设备之间共享的需要。即使黑客能够发现一个密码，他们也无法使用相同的访问凭据登录其他人。进一步的建议是，设备应该防止加载到没有受信任提供商进行数字签名的固件。

虽然答案是拥有每个单元独有的凭据，但这可能很困难从物流的角度来管理。如果每个设备都需要由专业安装人员单独配置，则IIoT系统的部署成本非常高。这也是一种增加风险的策略，因为许多设备可能需要由一小群人配置 - 使其成为工业间谍和社会工程攻击的主要目标。

图1：适用于IIoT实现的证书层次结构。

安装唯一密钥的点也是一个问题。该程序应在制造供应链的早期进行。这避免了通过网络传输密钥的需要，这是安全性的主要风险，特别是如果攻击者知道何时正在建立网络。鉴于工业项目的性质，不能排除对私钥传输的攻击。

在将传感器节点或IIoT设备视为系统的可信部分之前，需要执行几个步骤。第一步是将其注册到网络中。也就是说，它需要自己独特的网络地址和与服务器通信的方式 - 很可能是本地网关或路由器，便于访问更广泛的物联网。

为了便于使用，可以支持注册通过近场通信（NFC） - 使用管理单元（可以是智能手机或平板电脑）轻触设备，将所需的网络数据发送到设备。然后，该单元将自己配置为在已被授予访问权限的网络上进行通话。但这并不能使它成为值得信赖的设备。在配置和身份验证完成之前，其他网络设备不应该信任其数据。

设备需要被网络上的其他计算机信任，反之亦然。这保证了设备在向服务器或网关发送数据时，它正在处理真实的机器而不是冒名顶替的机器。如果远程服务器发送固件更新，则需要根据数字证书检查它们，以确保每次更新都是合法的，而不是黑客企图破坏设备的目的。

图2：用于在原型制作和制造过程中存放设备特定证书的协议。

数字证书的交换为建立信任进行提供了基础。 PKI是一种经过充分验证的框架，用于执行高效安全的IIoT操作所需的相互认证。它使构建信任供应链成为可能，确保当具有适当证书的设备出现在网络上时，它将被认为是值得信赖的。

例如，X.509标准利用PKI将公钥与证书所有者的身份相关联。使用公钥，访问证书的任何人都可以检查它是否与证书中的签名匹配。如果没有办法验证证书的身份是否合法，证书本身是不够的。为了被信任，任何联网设备的身份必须是可由第三方验证的更大信任链的一部分。 X.509可以构建这样的信任链，如Web浏览器使用的TLS安全机制所示。

在X.509下，链的末尾应该是提供的证书由受信任的根证书颁发机构。从此根证书，可以创建具有自己的公钥和颁发者签名的证书，该签名引用根。然后可以从树结构中的这些衍生证书生成进一步的证书。通过每个证书上的颁发者的专有名称，客户端可以在层次结构的更上方获取证书的公钥，以检查证书的签名是否合法。

图3：用于实现分层证书部署的原型设置。

在IIoT设备供应中，三层层次结构是一个合适的选择。设备信任链的根证书颁发机构可以位于制造商中。为设备的每个应用程序或客户提供基于该根文档的证书。最后，每个设备的证书都来自应用程序证书。这创建了一个信任链，以可管理和安全的方式为所有IIoT设备提供唯一的证书。

然后需要一种在IIoT设备上安装唯一证书的机制。安全存储有许多硬件要求，这些要求很难在标准微控制器和存储器组合上实现。还存在何时以及如何将证书编程到IIoT设备中的问题，特别是在当今使用的复杂制造供应链中。外包可能意味着将私钥交付给没有强大安全保障的设施。

Microchip ATECC508A提供了解决问题的方法。 ATECC508A加密元件使用Elliptic Curve Diffie-Hellman（ECDH）加密和密钥交换系统。与传统的RSA密钥系统相比，这提供了高安全性和更少的处理开销，因此延长了电池寿命。除ECDH外，ATECC508A还具有内置的ECDSA符号验证功能，可提供高度安全的非对称认证。 ATECC508A采用加密对策来防范黑客可以访问硬件的攻击。

除了作为针对受限嵌入式系统优化的安全加密协处理器之外，它还受到制造基础设施的支持。能够安全地插入唯一密钥和证书。创建应用程序或客户证书并将其存储在Microchip安全生产线上，并在每个ATECC508A编程时根据需要创建设备证书。编程完成后，ATECC508A只需放置在目标PCB上，通过I 2 C与主机微控制器配合执行认证功能。

使用A的一个重要好处在IIoT设备上预加载的设备（如ATECC508A）是由处理相互身份验证和配置的基础架构支持的。 Microchip正在与Amazon Web Services（AWS）合作，为物联网系统提供服务器端基础架构。 Microchip使用AWS注册客户特定的生产证书，以确保当设备向云宣布其存在时，它将被识别为有效请求。此时发生相互认证握手，允许设备构成IIoT系统的一部分。相反，来自AWS应用程序的更新和请求以及相应的数字签名可以被认为是合法的。为了便于进行原型设计，ATECC508A的AT88CKECC开发套件提供了USB加密狗，其中包含作为根证书和中间证书颁发机构的自签名证书。

结论

安全专业人员同意这种独特的凭证，最好是基于已知的安全方案，如PKI，可以很好地防御大规模攻击。将云服务和高效硬件（例如ATECC508A和AWS提供的硬件）结合在一起的基础架构，可以按照IIoT项目所需的规模实施必要的安全性。