账号:
密码:
智动化 / 文章 /

运用软硬体整合成效保护网路设备安全
[作者 英飛凌科技提供]   2021年06月15日 星期二 浏览人次: [2637]

为满足当今商业、工业和政府网路的信任度与安全性要求,本文叙述英飞凌和Mocana如何整合可信赖平台模组硬体和软体,并采用TCG技术,进而实现保护网路设备的安全性,以及接下来所需展开的相关步骤。


电脑、伺服器及其操作人员一度是攻击者的主要目标。如今,由於网路连线性和对网路的依赖性不断增强,网路设备进而成为常见的网路攻击目标。因此, 那些不受保护的路由器、交换机、防火墙、闸道和无线连接点便成为了攻击者的目标。


可信赖运算组织(TCG)在《使用TCG技术保护网路设备安全指南》中,介绍架构师和设计人员对这些设备进行保护的方法[1]。尽管这份TCG档提供了理论依据,但要实现这种保护,还需要付出更多的努力。英飞凌的OPTIGA 可信赖平台模组(TPM)硬体和Mocana TrustPoint 软体采用TCG档中介绍的技术,实现了增强版的保护,旨在保护网路设备的安全性。本文叙述为满足当今商业、工业和政府网路的信任度与安全性要求,接下来所需展开的步骤。


可信赖标准

可信赖运算组织由运算、网路、软体和其他安全专家组成,近二十年来致力於开发开放性标准。其初始标准是基於一个被称为「可信赖平台模组(TPM)」的硬体元素。TPM提供了基於硬体的信任根,比单纯的软体方法更具抗攻击性。如今,随着最新的TPM 2.0规范的推出,TPM已支持五种不同的形式,其中最常见的是专用硬体式安全晶片。


TPM 和网路设备

TCG TPM 2.0 於2016年发布,现已成为国际标准(ISO / IEC 11889)。得益於英飞凌等领先的半导体供应商提供了符合 TCG规范的TPM,制造商和用户可以在电脑、存放装置(自加密驱动器)、云端服务和网路(包括网路设备)中实现这种信任。所有TPM都支持相同的基本命令集,尽管或多或少都存在一些差别。


OPTIGA TPM

英飞凌根据客户需求,提供了具有各种介面、温度范围和各个版本的TPM。这些专用产品最与众不同的一点是,它们能够满足消费者、工业和汽车设备等不同应用的需求。另外,它们在品质水准、使用寿命和温度范围上各有不同,旨在满足目标应用的特殊要求。


对於构建网路设备的人们来说,扩大温度范围和延长产品的使用寿命特别重要,这是因为搭设在户外的路由器或其他网路设备可能会面对极端的温度,而更换它们又可能会造成问题。


此外,所有 OPTIGA TPM 均经过TPM测试套件的测试,旨在实现高度相容的操作和互通性。英飞凌OPTIGA TPM已通过国际通用准则评估保证级(CC EAL)4+认证。它包括6 KB用户可浏览的非易失性记忆体,以及椭圆曲线加密演算法(ECC-256)和RSA2K加密演算法,其私密金钥存储在安全的硬体中。如图1所示,英飞凌还提供了具有其他安全功能的OPTIGA产品,包括Trust B、E、X和P,旨在满足各种系统信任要求。



图1 : 英飞凌针对网路、伺服器和联网设备的不同应用,推出了各种OPTIGA 微控制器(MCU)。(注:TRX 表示通讯功能)
图1 : 英飞凌针对网路、伺服器和联网设备的不同应用,推出了各种OPTIGA 微控制器(MCU)。(注:TRX 表示通讯功能)

英飞凌TPM的另一个不同之处,在於其拥有直接叁与TCG规范设计的专家支援、由训练有素的支援工程师组成的全球网路,以及十多个不同的技术合作夥伴(Mocana为其中之一)。那些在印度、台湾及在全球其他地区开展工程活动的客户,将能通过本地专家解决可能发生的问题,其中英飞凌负责硬体方面,Mocana则负责处理软体方面的问题。


TCG 网路设备指南

凭藉TCG TPM 2.0规范提供的硬体基础,TCG的网路设备小组制定《使用TCG技术保护网路设备安全指南》,旨在应对由不受保护的路由器、交换机、防火墙、闸道和无线接入点所构成的迅速蔓延的网路威胁。该规范定义了主要应用示例,包括浏览、身份和完整性证明(即健康检查)以及其他八个应用示例,并说明与其相应的工作方法。此外,该指南确定了构建模组,并就用例提出技术建议,针对各个用例的实现方法提供详细资讯。


Mocana 解决方案

本文提及的Mocana 解决方案,包括TrustPoint 设备安全软体堆叠和 TrustCenter 设备安全服务:Mocana TrustPoint 设备安全软体和TrustCenter安全管理平台根据TCG网路设备指南文件定义的通用体系结构,利用TPM内建的密码功能,提供网路设备的保护工具。Mocana TrustPoint支援TCG TPM 2.0规范,可为开发人员提供原始程式码、二进位档案、示例代码以及一组简单的应用程式设计发展介面(API),使他们能够利用TPM功能来制定可信赖的解决方案。Mocana端点安全软体具有以下主要功能,可支援TPM 2.0:


· 整合TPM金钥的Mocana传输协定栈(传输层安全性(TLS),安全外壳(SSH)和网际网路协议安全性(IPsec))


· 在本地(裸机)平台上运行的应用程式可以通过本地执行模式使用TPM


· 在容器(例如Docker或LXC)或虚拟机器(VM)环境中运行的应用程式可以通过远端执行模式浏览TPM


· 支援认证可迁移金钥(CMK)功能,以迁移TPM金钥


· 支持带有TPM quote的平台证明


· 支援符合TCG的硬体、韧体甚至虚拟TPM


如图 2所示,从基於硬体或韧体的TPM信任根派生的受信任设备标识为符合NIST 800-63B验证器保证等级(AAL)3(即此类验证器保证的最高级别)的数位身份验证提供了身份证明。此外,此验证级别还支持通过CMS证书管理(CMC)和安全传输注册(EST)的机密拥有证明。与Mocana TrustCenter服务相整合後,便能基於多因素可信资讯自动进行安全的设备注册。



图2 : Mocana’s TrustCenter 平台和TrustPoint 设备软体简化了诸多TPM 功能的应用。
图2 : Mocana’s TrustCenter 平台和TrustPoint 设备软体简化了诸多TPM 功能的应用。

网路设备漏洞

出於多种原因考虑,人们需要利用可信硬体,对路由器和其他网路设备进行更加安全的保护。让人惊讶的是,一些设备制造商已使用Mocana软体并且设备具备TPM,却没能发挥出该软体的优势。就此,对问题及其解决方案有了更好的理解後,应该可以改变这一点。由於各种各样的原因,现有的很多网路设备本身并不可信。


从记录显示,有不少设备在抵达客户所在地时已经受损供应链的某个环节出了问题。其原因包括:设备在运输途中遭到篡改、为仿冒品或灰色市场(假冒)产品,抑或是被转售并已被感染的设备。据报导,市面上有无数的假冒路由器和其他无法辨别真伪的设备[2]。对此,凭藉TPM,使用者就能认证产品的真实性,并辨别已装韧体和硬体的版本。


为防止供应链受损,美国对联邦和非联邦系统与组织发布了供应链安全性指南[3-4]。这些文件通常针对的是电脑设备,不过,也涵盖有关路由器、防火墙和入侵检测系统的特定资讯,以防这些系统受损。一旦投入使用,这类攻击通常会针对路由器、交换机和防火墙(通常是企业网路中受信任的元件)发起,旨在破坏其韧体完整性,这些攻击可能导致它们无法安全地传输资料。而一旦这些韧体受损,攻击者便可趁虚而入,闯入各种敏感对话和资料通讯的中间。不仅仅是窃听,入侵者还可以在不被发现的情况下更改对话。


例如,笔记型电脑启动时,它会与动态主机设定通讯协定(DHCP)伺服器进行通讯,以获取其网际网路协议(IP)地址和网域名称系统(DNS)伺服器位址,然後尝试与网路上的其他电脑连接,来下载韧体和软体更新,或是浏览电子邮件。如果联网路由器或交换机遭到破坏,攻击者便能将这些查询重新定向到自己的伺服器上的电脑,并充当中间人。而他们还可以传递恶意讯息来接管电脑,并安装按键记录器或其他类型的恶意软体。威胁远远不止这些。当今复杂的船舶、潜艇、岸上或飞机系统可能出现大量的切换和路由。因此,政府机构不仅需要关注假冒中间人的攻击,还要担心这些系统可能在关键时刻遭到破坏。


此外,商业企业和工业组织也是常见的攻击目标。对安全、国家经济安全、国家公共卫生和安全至关重要的16个关键基础设施都有可能遭受这种威胁[5]。如今的工业控制系统通常基於乙太网或传统网路(如Modbus)上的传输控制协议/网际网路协定(TCP/IP),但仍然在使用交换机和路由器。未能得到适当保护的旧设备是最大的问题所在。


攻击交换机或路由器是一种复杂的攻击方法,可悄无声息地攻击工业控制系统(ICS)或相关电源。一些较大的ICS和电源制造商发现,他们的系统已经彻底被其他产品破坏,这些产品看似相同、甚至难以从视觉和电气角度区分。只有对平台功能进行深入分析,才能发现可能造成严重破坏的恶意程式码。


ICS和电源通常被看作是工业网路安全的一环,一旦它们处於边缘状态,便可损坏或停用工业网路的功能,遭到非法浏览,从而导致典型的控制系统故障。


保护网路设备

TCG的网路设备指南解决了上述及其他问题。本文介绍11种不同的应用示例:


· 设备身份识别*


· 安全的零接触配置


· 机密保护


· 配置资料保护


· 远端设备管理*


· 软体清单


· 网路设备的完整性证明(健康检查)*


· 复合网路设备


· 完整性保护日志


· 鸨产


· 取消配置


本文仅重点介绍部分关键应用示例,亦即上文标注的星号内容。


设备身份识别

英飞凌和Mocana携手合作,共同利用TPM技术处理设备身份识别和其他用例问题,从而提供与获取和使用背书密钥创建信任链相关的存储与操作机制。图3显示网路设备的金钥和凭证。图中的三层身份识别,一层用於 TPM、一层用於平台(IDevID),还有一层用於本地身份识别(LDevID),旨在用於确认设备是否正确制造、是否安装在特定位置/设施,是否获得了所有人的授权。



图3 : TPM 保护网路设备中的金钥和凭证
图3 : TPM 保护网路设备中的金钥和凭证

首先,在TPM内,英飞凌在每个OPTIGA TPM 内都安装了背书金钥(EK)和EK证书。英飞凌出厂的每个OPTIGA TPM都有一个单独的背书私密金钥、一个单独的背书公开金钥和一个由英飞凌签署的个人EK证书,因此,可按照这一信任链来确认TPM是否有效。


接下来,利用平台制造商的凭据来证明指定TPM已安装在特定类型的路由器或交换机中,有时可能还有序列号。这些凭据包括初始认证金钥(IAK)和初始设备标识(IDevID)。将设备交付给客户时,管理员可以选择安装公司凭证,如本地设备标识(LDevID)、本地认证金钥(LAK)和相应的证书。


借助这些证书和凭证,客户可以轻松地验证该路由器或交换机是否来自特定的供应商、是否为特定的型号以及序号,以及实际采购的设备是否可用於客户特定设施,若是,则可信。反之,如果是来自同一供应商的二手产品,历史记录不明,则不具备可信任基础。根据TCG规范,结合三层身份识别(TPM、平台和本地所有者/营运商)来提供信任链和监管链,可让使用者对设备的来源充满信心。


使用独特的方法为设备建立身份,还能解决其他问题,例如许多联网设备都使用了过时的用户名和密码验证技术。实际上,许多设备都带有预设的预设使用者名和密码。考虑到这些预设资讯是用於管理配置的,因此有时消除它们十分困难。而建立唯一的加密身份则可实现所有连接的相互认证和安全通讯。


虽然提供这些凭证看似简单,但实作起来通常却不容易,这主要是因为对凭证授权(CA)或硬体安全模组(HSM)提供的传统证书工具并不了解,也不容易使用。而Mocana软体可实现的原因,在於利用TPM 2.0广泛的金钥生成和金钥操作,支援储存和签署层次结构以及RSA和ECC金钥。此外,它还可以利用TPM生成的密钥对来提供数位凭证,从而确定容器、应用程式、资料和通讯的完整性。


解决其他身份问题

在信任链中,所有权转移是一个挑战。比如,有一家公司将组装好的一台全新设备出售给另一家公司,然後该公司将其安装到最终产品(如飞机)中,後者安装在底板上,机身上提供证书这些全都是所有权转移。当前,仍然没有一种无需证书或加密签名和背书,就能有效验证这些元素之间转移的方法。而设备身份验证金钥和证书可以应对这种情况。


网路设备与个人电脑相反,使用者无需使用设备运行时代表使用者的唯一金钥和凭据。网路设备本身就具有一个或多个身份,可验证其他设备,而没有设定专门的操作用户。不过,即便没有键盘使用者的概念,也存在许多用例,即在信任流中利用附加证书来实现特殊功能,例如报告分析、实现唯读功能以及在本地平台将唯读与读写分离。它们可以是多层的,比如一组用户能够更新韧体,另一组用户能够更新操作环境、第三组用户能够更新某些应用程式空间功能或配置功能。


信任链中还有其他使用多层证书的情况,旨在为平台的整体信任度增加可观的价值。在这种情况下,平台将对外部用户进行身份验证。对此,外部用户的金钥并不是握手的一部分,而是外部用户或管理员的证书。这也说明了图3所显示的才是最重要的凭证。这些凭证允许平台向他人自证身份或向他人进行证明,而非平台用於验证外部各方的凭证。


远端设备管理

网路设备通常通过命令列、图形化使用者介面(GUI)或软体定义网路(SDN)等自动化方法进行远端系统管理。其中,身份验证和安全通讯是最基本的安全要求。值得厌幸的是,Mocana 软体和英飞凌TPM 硬体不但可以使用主流的传输层安全性(TLS)协定,还可以使用安全外壳(SSH)、网际网路协定安全性(IPsec)以及其他协定来设置安全通讯。通过Mocana软体创建的会话将使用平台的设备身份识别功能进行身份验证,甚至进行加密。


一旦实现了设备身份验证和安全通讯,就可以通过安全协定对设备进行远端系统管理。另外,还有很多其他安全操作可供执行,比如验证设备是否为假冒品、是否应当安装在此位置以及是否已被篡改。


远端证明

使用远端证明,设备将能实证本身正在运行的软体,以便从远端方进行验证。如图4所示,Mocana的端点安全软体和英飞凌的TPM实现一个远端「审核人」服务,来确定设备或设备(平台)上运行的容器化应用程式的完整性可信等级。远程证明过程如下:使用加密杂凑值测量设备上的软体。然後这些测量被扩展至TPM的平台配置暂存器(PCR),并在此安全储存。远端方希??获得证明时,它便会将向设备发送质询。设备上的软体将此质询发送给TPM,TPM会产生一个「引用(Quote)」,即质询和当前PCR值的??本,且由TPM持有的证明身份金钥(AIK)签名。随後,引用、受信任的CA颁发的AIK证书及提供设备载入软体的完整性日志将一起被发回服务器。接着,审核人会验证这些内容,以确定能否接受设备上的软体。在本地证明方面,可使用一个被称作「sealing」的技术进行,并且可以以相同方式验证设备配置。



图4 : 凭藉TPM 2.0远程证明,Mocana 端点安全软体实现了容器化应用程式的可信度。
图4 : 凭藉TPM 2.0远程证明,Mocana 端点安全软体实现了容器化应用程式的可信度。

兼具安全性和信任度

由於不受保护的网路设备为攻击者提供了新目标,因此,防止这类攻击是资讯技术(IT)、网路和安全专家以及企业管理层的工作重点。


无动於衷会带来严重的後果。英飞凌和Mocana的共同努力,让标准化保护的实现变得更简单。英飞凌的OPTIGA TPM MCU 为网路、伺服器和联网设备带来新的硬体安全性,通过它与Mocana的TrustPoint 设备安全软体和TrustCenter 安全管理平台互相结合,所得到的工具能够发挥TPM的内建加密功能,以及直接提供的在地硬体和软体支援,从而实现重要的网路设备保护。


基於可信计算组织标准,英飞凌和Mocana提供易於实施的信任和安全解决方案,可以直接处理网路安全威胁;从而帮助各个企业和基础设施免遭持续且难以察觉的感染和抵御各种攻击。


(本文作者Steve Hanna为英飞??科技数位安全解决方案资深主管,Dean Weber为Mocana技术长)


叁考资料


[1] https://trustedcomputinggroup.org/resource/tcg-guidance-securing-network-equipment/


[2] https://www.infoworld.com/article/2653167/fbi-worried-as-dod-sold-counterfeit-cisco-gear.html


[3] SP 800-161,联邦资讯系统和组织供应链风险管理指南


https://csrc.nist.gov/publications/detail/sp/800-161/final


[4] SP 800-171 版本1 非联邦资讯系统和组织的受控非机密资讯的保护


https://csrc.nist.gov/publications/detail/sp/800-171/rev-1/final


[5] https://www.dhs.gov/critical-infrastructure-sectors


相关文章
透过压力及应变管理强化高精度倾斜/角度感测性能
高效能MCU促进产业快速改变
功率半导体━马达变频器内的关键元件
车辆中的小型电气驱动器:在发展自动驾驶过程中提升便利性
解决功率密度挑战
comments powered by Disqus
  相关新闻
» 康隹特虚拟展台提供即时互动资讯交流
» 投注地方社会叁与 宏正获新北市颁发绩优企业志工团队奖
» 施耐德电机与中国生产力中心合力推动台湾成为亚洲高阶制造中心
» The Imaging Source Asia 兆镁新迁移新址事项
» 环控场域防线 宇瞻打造照护安全智慧物联网
  相关产品
» 德承推出新款高效低功耗强固型工业电脑━DI-1100系列
» 宇瞻发表新世代112层BiCS5 3D TLC工业用记忆卡
» 艾讯新款1.8寸无风扇嵌入式主机板强化AIoT应用领域
» 凌华推出基於NVIDIA Jetson AGX Xavier之轨道交通专用AI平台
» 英飞凌针对Matter智慧家庭标准提供软体支援加速新品上市


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2021 远播信息股份有限公司版权所有 Powered by O3
地址:台北市中山北路三段29号11楼 / 电话 (02)2585-5526 / E-Mail: webmaster@hope.com.tw