智能互连的物联网边缘节点的真正安全

存、电源以及预算维持在有限范围内。本文的目的是确定边缘节点的关键安全策略，说明密钥在所有安全解决方案中发挥的核心作用，并勾勒出成功的密钥管理技术。

安全身份的级联裨益

一旦某个节点或设备被确认为是"可信的"，便可充分获得无数的其它好处。包括安全通信、生态系统控制和安全存储。

图2.通过身份验证的节点可以获得的众多好处。

正如您所看到的，一旦可以验证物联网设备与自称相符，您就可以获得只可在可信、安全的环境中才能拥有的好处。

边缘节点的隐患：什么可能出错？

在讨论解决方案之前，我们需要更好地了解边缘节点存在哪些隐患，以便提供有效的保护。这其中包含两个方面：识别攻击者侵害节点的方法和了解这种攻击的后果。

攻击模式

有四种方法来侵入边缘节点：通过网络、通过外部端口、通过毗邻攻击（有时被称为"旁路攻击"），以及直接侵入设备。

网络攻击。只有网络的入口得到最好的保护才能算是安全的。处在密切监控下却毫无保护的节点不再能够幸免：Shodan1等网络工具可以查找网络、识别出所有未受保护的节点。虽然TLS保护可以发挥巨大作用，但是边缘节点的TLS实现缺陷、加密算法未充分使用随机数、未监测出的恶意软件、黑客专家发起的猛烈协议攻击，甚至是最近发现的FREAK2攻击等协议本身的弱点都可能导致细微的漏洞。即使在受到全面保护的网络中，攻击者也可以通过伪造固件更新并以其编写的代码替换合法代码的方式来入侵防御薄弱的边缘节点。

端口攻击。（有线或无线的）网络端口可能是小型基础边缘节点上唯一可用的连接。然而，复杂的边缘节点可能配有插入不同传感器的模块端口、USB或其它端口，甚至是无线端口来连接一些配件、耗材（如墨盒），或是用于测试和调试设备。每种端口均提供了一个接入边缘节点的机会。攻击可能通过一个未使用的端口，或者一个可以被拆卸并更换为设计用于实现攻击的其它硬件的配件来实施。与网络端口不同，没有既定的标准来保护这些端口。

毗邻攻击。不连接任何边缘节点也可能发生复杂攻击。通过在无保护装置上进行电源线窃听，或是测量信号发送或振动，可以提取出密钥信息。利用制造功率波动等非法行为或故障可以把设备置于无记录非安全的状态下。

物理攻击。最后，坚定的攻击者可能会拆卸边缘节点来探查其（有/无电源的）内部电路，甚至取出并逆向处理芯片来获取嵌入式存储器的内容。

全面的安全保护必须防范所有这些攻击模式。

后果

当然，我们只看护那些我们认为有价值的东西。简单的传感器节点对于攻击者来说似乎没什么价值，但是成功攻击的后果却可以把整个网络和连接到该网络的所有东西都置于危险境地。

通过突破边缘节点，甚至是网络的安全漏洞，攻击者可以获得其安全性应受到保护的所有秘密，特别是实现安全性所需的密钥。一旦获取了钥匙，便可突破包括加密和消息认证在内的所有其它安全保护。

一旦攻击者控制了边缘节点，他或她就可以在不引发任何警报的情况下改变网络节点的行为。对于其它的服务器而言，被控制的边缘节点仍然是一个"可信"的实体，于是继续主动向其泄露秘密而丝毫没有发觉它们已经落入坏人之手。

这种泄密会削弱消费者对其财务、医疗，身份及其它数据的隐私和安全的信心。同时（在美国）还可能违反美国联邦贸易委员会（FTC）对于贸易问题、美国医治保险携带和责任法案（HIPAA）/美国食品药品监督管理局（FDA）对于医疗保健应用，或美国证券交易委员会（SEC）/联邦存款保险公司（FDIC）对于金融交易的规定。对空域控制和道路交通系统等网络、电网、飞机和汽车的攻击还可能影响公共安全，部分不安全会造成工业运作的不可靠。

密钥加密形成良好安全性的基础

有很多种协议和方法可以解决各种安全问题，而所有这些均以一种或另一种方式使用了加密"密钥"。密钥类似于密码，但有两个关键不同：

●密码归可以控制和随意改变它们的用户所有。相反，密钥是系统固有的一部分，密钥的某些方面必须保秘，用户并不知道其安全事务中涉及的秘密或私钥。

●密码往往很短，只有十几个字左右。相比之下，钥匙长而神秘，只能由计算机而不是人类来读取。

密钥可能是永久性的也可能是暂时性的，这意味着可以为特定的交易或通信生成、然后销毁密钥。在大多数情况下，密钥是系统中的秘密。为保证这些系统的安全通信，必须在创建系统时插入预先共享的密钥，或在部署之后实地进行安全的密钥交换。一旦获知对方的密钥，系统可以使用它们来验证消息或作为加密和解密算法的输入。由于多台终端设备可能拥有相同