为IIoT提供高效与安全的配置---凯利讯半导体

　　在2016年秋天，黑客们招募了成千上万的嵌入式设备来形成恶意的僵尸网络。他们的Mirai恶意软件感染了宽带路由器，让僵尸网络的运营商在分布式拒绝服务(DDoS)攻击中使用它们。这是对新兴物联网(物联网)行业的一次警醒，显示出黑客们如何利用联网的智能设备来实现自己的目的。

　　尽管Mirai攻击的重点是消费设备，但对工业物联网的影响是严重的。没有对策，工业工厂就有可能成为类似大规模袭击的受害者。这些风险包括从生产损失到连接机械的严重损坏。安全专家的分析显示，那些被黑客攻击的设备制造商犯了相对简单的错误。在Mirai攻击的情况下，在路由器上几乎没有保护，防止黑客登录并上传新的固件给他们。

　　IoT安全基金会(IoTSF)等组织已经发布了旨在防止类似袭击的建议。IoTSF确定了可以保护Mirai的措施。它们包括确保每个单元的访问代码或密码是唯一的，并且不在一组设备*享。即使黑客能够发现一个密码，他们也不能使用相同的访问凭证登录到其他人。另一项建议是，设备应该保护那些没有被信任的提供者进行数字签名的固件。

　　尽管答案是每个单元都有独特的凭证，但是从后勤的角度来看，这可能很难管理。如果每个设备都需要由专家安装程序单独配置，那么部署IIoT系统将变得非常昂贵。这也是一种增加风险的策略，因为许多设备可能需要由一小群人来配置——这使他们成为工业间谍和社会工程攻击的主要目标。

　　适用于IIoT实现的证书层次结构。

　　图1:适合于IIoT实现的证书层次结构。

　　安装唯一键的点也是一个问题。该过程应该在制造供应链的早期发生。这就避免了在网络上传输**的需要，这是安全的主要风险，尤其是当攻击者知道网络正在建立的时候。鉴于工业项目的性质，不能排除对私人**转移的攻击。

　　安装一个传感器节点或IIoT设备需要几个步骤才能被认为是系统的可信部分。第一步是将其注册到网络中。也就是说，它需要自己独特的网络地址和与服务器通信的方式——很可能是一个本地网关或路由器，方便访问更广泛的物联网。

　　为了便于使用，可以通过近场通信(NFC)来支持注册，使用一个管理单元(可能是智能手机或平板电脑)，将所需的网络数据发送到设备上。然后，该单元将自己配置到它所访问的网络上。但这并不能使它成为值得信赖的设备。在准备和身份验证完成之前，其他网络设备不应该信任其数据。

　　该设备需要被网络上的其他机器所信任，而反向需要是正确的。该设备保证当它将数据发送到服务器或网关时，它是在处理一台真实的机器而不是冒名顶替者。如果固件更新是由远程服务器发送的，他们需要对数字证书进行检查，以确保每个更新都是合法的，而不是黑客企图破坏设备的目的。

　　用于存放设备特定证书的协议图像。

　　图2:在原型设计和制造过程中用于存储设备特定证书的协议。

　　数字证书的交换为建立信任提供了基础。PKI是一个经过良好验证的框架，用于执行高效和安全的IIoT操作所需的相互身份验证。它使建立一个信任的供应链成为可能，确保当一个具有适当证书的设备出现在网络上时，它将被认为是值得信任的。

　　X。以509标准为例，利用PKI将公钥与证书所有者的身份相关联。使用公钥，任何访问证书的人都可以检查它是否匹配证书中的签名。如果没有一种方法来验证证书的身份是合法的，那么证书本身是不够的。为了被信任，任何网络设备的身份必须是一个更大的信任链的一部分，可以由第三方来验证。X。509使构建这样的信任链成为可能，正如在web浏览器所使用的TLS安全机制中可以看到的那样。

　　在X。链的末端应该是由受信任的根证书颁发机构提供的证书。从这个根证书中，可以创建具有自己的公钥和发行方签名的证书，该签名是指根目录。然后，可以从树结构中的这些派生证书生成进一步的证书。通过每个证书上的发布者的专有名称，客户端可以获得证书的公钥，以进一步检查证书的签名是否合法。

　　用于实现分层证书部署的原型设置。

　　图3:实现分层证书部署的原型设置。

　　在IIoT设备供应中，三层结构是一个合适的选择。对设备的信任链的根证书颁发机构可以位于制造商内部。设备的每个应用程序或客户都有一个基于该根文档的证书。最后，每个设备都有来自应用程序证书的证书。这将创建一个信任链，它以可管理和安全的方式向所有IIoT设备交付独特的证书。

　　接下来需要的是在IIoT设备上安装唯一证书的机制。对于安全存储有许多硬件需求，在标准的微控制器和内存组合中很难实现。还有一个问题是，证书在何时以及如何被编程到IIoT设备中，尤其是在如今使用的复杂的制造供应链中。外包可能意味着将私人**交付给没有强大安全保障的设施。

　　微芯片ATECC508A提供了解决这个问题的方法。ATECC508A crypto元素使用椭圆曲线Diffie-Hellman (ECDH) crypto和**交换系统。与传统的RSA**系统相比，这提供了更高的安全性，处理开销更少，因此电池寿命也更长。除了ECDH, ATECC508A还内置了ECDSA信号验证功能，以提供高度安全的非对称身份验证。ATECC508A采用加密的反措施来防止黑客攻击硬件。

　　它是一种安全的加密协同处理器，为受约束的嵌入式系统优化，它由一个能够安全地插入唯一**和证书的制造基础设施支持。当每个ATECC508A被编程时，应用程序或客户证书被创建并存储在Microchip安全生产线上，并根据需要创建设备证书。一旦编程，ATECC508A就需要放在目标PCB上，在那里它与主机上的微控制器协同工作，以执行身份验证功能。

　　使用预加载设备(如IIoT设备上的ATECC508A)的一个重要好处是，它由处理相互身份验证和供应的基础设施支持。Microchip正在与Amazon Web Services (AWS)合作，为物联网系统提供服务器端基础设施。Microchip通过AWS注册用户特定的生产证书，以确保当设备向云显示其存在时，它将被确认为有效请求。在这一点上，相互认证的握手发生了，允许设备组成了IIoT系统的一部分。来自AWS应用程序的更新和请求与适当的数字签名相反，可以被认为是合法的。为了便于原型化，ATECC508A的AT88CKECC开发工具包提供了带有自签名证书的USB接口，它充当根和中间证书颁发机构。

　　结论

　　安全专家同意，独特的凭证，最好是基于一个已知的安全计划，如PKI，提供了一个良好的防御来抵御大规模攻击。集成了云服务和高效硬件(如ATECC508A和AWS提供的)的基础设施，使得在IIoT项目所需的规模上实现必要的安全性成为可能。