對(duì)應(yīng)的物聯(lián)網(wǎng)安全需求:設(shè)備保護(hù)和資產(chǎn)管理、攻擊檢測(cè)和防御�。通過(guò)代碼簽名可以保護(hù)設(shè)備不受攻擊,保證所有運(yùn)行的代碼都是被授權(quán)的����,保證惡意代碼在一個(gè)正常代碼被加載之后不會(huì)覆蓋正常代碼���,保證代碼在簽名之后不會(huì)被篡改�。相較于互聯(lián)網(wǎng)�����,物聯(lián)網(wǎng)中的代碼簽名技術(shù)不僅可以應(yīng)用在應(yīng)用級(jí)別,還可以應(yīng)用在固件級(jí)別���,所有的重要設(shè)備�,包括傳感器、交換機(jī)等都要保證所有在上面運(yùn)行的代碼都經(jīng)過(guò)簽名����,沒(méi)有被簽名的代碼不能運(yùn)行���。由于物聯(lián)網(wǎng)中的一些嵌入式設(shè)備資源受限��,其處理器能力����,通信能力,存儲(chǔ)空間有限����,所以需要建立一套適合物聯(lián)網(wǎng)自身特點(diǎn)的��、綜合考慮安全性����、效率和性能的代碼簽名機(jī)制。白盒密碼對(duì)應(yīng)的物聯(lián)網(wǎng)安全需求:設(shè)備保護(hù)和資產(chǎn)管理���。物聯(lián)網(wǎng)感知設(shè)備的系統(tǒng)安全����、數(shù)據(jù)訪問(wèn)和信息通信通常都需要加密保護(hù)。但由于感知設(shè)備常常散布在無(wú)人區(qū)域或者不安全的物理環(huán)境中�,這些節(jié)點(diǎn)很可能會(huì)遭到物理上的破壞或者俘獲。如果攻擊者俘獲了一個(gè)節(jié)點(diǎn)設(shè)備,就可以對(duì)設(shè)備進(jìn)行白盒攻擊����。傳統(tǒng)的密碼算法在白盒攻擊環(huán)境中不能安全使用,甚至顯得極度脆弱���,密鑰成為任何使用密碼技術(shù)實(shí)施保護(hù)系統(tǒng)的單一故障點(diǎn)。在當(dāng)前的攻擊手段中����,很容易通過(guò)對(duì)二進(jìn)制文件的反匯編�����、靜態(tài)分析����,對(duì)運(yùn)行環(huán)境的控制結(jié)合使用控制CPU斷點(diǎn)�、觀測(cè)寄存器�����、內(nèi)存分析等來(lái)獲取密碼。在已有的案例中我們看到���,在未受保護(hù)的軟件中���,密鑰提取攻擊通?��?梢栽趲讉€(gè)小時(shí)內(nèi)成功提取以文字?jǐn)?shù)據(jù)陣列方式存放的密鑰代碼。白盒密碼算法[2]是一種新的密碼算法����, 它與傳統(tǒng)密碼算法的不同點(diǎn)是能夠抵抗白盒攻擊環(huán)境下的攻擊。白盒密碼使得密鑰信息可充分隱藏��、防止窺探�,因此確保了在感知設(shè)備中安全地應(yīng)用原有密碼系統(tǒng)����,極大提升了安全性�����。白盒密碼作為一個(gè)新興的安全應(yīng)用技術(shù)�����,能普遍應(yīng)用在各個(gè)行業(yè)領(lǐng)域��、應(yīng)用在各個(gè)技術(shù)實(shí)現(xiàn)層面�。例如,HCE云支付、車聯(lián)網(wǎng)�,在端點(diǎn)(手機(jī)終端��、車載終端)層面實(shí)現(xiàn)密鑰與敏感數(shù)據(jù)的安全保護(hù);在云計(jì)算上�,可對(duì)云上的軟件使用白盒密碼����,保證在云這個(gè)共享資源池上��,進(jìn)行加解密運(yùn)算時(shí)用戶需要保密的信息不會(huì)被泄露�����。over-the air (OTA)對(duì)應(yīng)的物聯(lián)網(wǎng)安全需求:設(shè)備保護(hù)和資產(chǎn)管理����。空中下載技術(shù)(over-the air��,OTA)���,最初是運(yùn)營(yíng)商通過(guò)移動(dòng)通信網(wǎng)絡(luò)(GSM或者CDMA)的空中接口對(duì)SIM卡數(shù)據(jù)以及應(yīng)用進(jìn)行遠(yuǎn)程管理的技術(shù)�,后來(lái)逐漸擴(kuò)展到固件升級(jí),軟件安全等方面����。隨著技術(shù)的發(fā)展�,物聯(lián)網(wǎng)設(shè)備中總會(huì)出現(xiàn)脆弱性�,所以設(shè)備在銷售之后���,需要持續(xù)的打補(bǔ)丁����。而物聯(lián)網(wǎng)的設(shè)備往往數(shù)量巨大���,如果花費(fèi)人力去人工更新每個(gè)設(shè)備是不現(xiàn)實(shí)的,所以O(shè)TA技術(shù)在設(shè)備銷售之前應(yīng)該被植入到物聯(lián)網(wǎng)設(shè)備之中�����。深度包檢測(cè) (DPI) 技術(shù)對(duì)應(yīng)的物聯(lián)網(wǎng)安全需求:攻擊檢測(cè)和防御���。互聯(lián)網(wǎng)環(huán)境中通常使用防火墻來(lái)監(jiān)視網(wǎng)絡(luò)上的安全風(fēng)險(xiǎn)����,但是這樣的防火墻針對(duì)的是TCP/IP協(xié)議�����,而物聯(lián)網(wǎng)環(huán)境中的網(wǎng)絡(luò)協(xié)議通常不同于傳統(tǒng)的TCP/IP協(xié)議�,如工控中的Modbus協(xié)議等�,這使得控制整個(gè)網(wǎng)絡(luò)風(fēng)險(xiǎn)的能力大打折扣����。因此���,需要開(kāi)發(fā)能夠識(shí)別特定網(wǎng)絡(luò)協(xié)議的防火墻,與之相對(duì)應(yīng)的技術(shù)則為深度包檢測(cè)技術(shù)��。 7/12 首頁(yè) 上一頁(yè) 5 6 7 8 9 10 下一頁(yè) 尾頁(yè)
