跳至主要内容

RESCURE:物联网生命周期的安全解决方案

RESCURE财团,由以下公司组成 理工学院内在ID, 随着 埃因霍温科技大学(TU / e)旨在满足跨物联网(IoT)设备生命周期的安全解决方案的需求。 财团提供的解决方案使用SRAM物理不可克隆功能(PUF)技术结合最新的加密技术和安全协议来解决此生命周期中的安全漏洞。

物联网发展迅速,其安全风险也在增加。 即使快速浏览一下,物联网设备频繁部署且安全实施失败的事实也很明显 NIST的国家漏洞数据库。 该数据库包括具有以下内容的设备实例: 隐藏性差 or 重复 秘密钥匙 不当 - 要么 缺席 –身份验证,以及 无人看管的软件更新管道,仅列举一些已知存在于现场设备中的安全性问题。

IoT违规的后果可能很严重,因为IoT设备通常用于对安全至关重要的应用中,例如运输系统,智能电网和供水系统。 破坏单个设备,甚至看似微不足道的设备,都可能破坏完整的基础架构,侵犯数百万人的隐私并泄露机密数据。 由于IoT设备通常在广泛的不受信任的环境中自主运行,因此很难快速检测到攻击,并且物理上访问设备进行维修非常昂贵。

保护物联网设备非常复杂。 它不仅必须在现场得到保护,而且在整个复杂而漫长的生命周期中也必须得到保护。 物联网设备生命周期的各个阶段涉及具有各种安全需求的各方。 在这些多样化的参与者中,通常没有一方具有任何动机,专门知识甚至完全能够完全注意安全的能力。

抢救

RESCURE是由欧盟和EUREKA计划资助的项目 欧洲之星 (拨款:E11897,项目期限:2018年2020月至XNUMX年XNUMX月)。 该项目的目标,包括公司 理工学院内在ID, 随着 埃因霍温科技大学(TU / e)一直致力于提供一个灵活的框架,该框架允许在设备的整个生命周期中更新IoT设备的安全性。

RESCURE通过使用基于SRAM PUF技术的低成本解决方案在现有IoT设备上改进安全性来实现这一目标。 SRAM晶体管制造中的微小不可控制的变化会导致SRAM启动行为,这对于每个单独的芯片都是唯一的。 SRAM PUF技术使用SRAM启动数据作为微控制器单元(MCU)的“硅指纹”,通过从硅指纹中获得设备根密钥,将SRAM的这一独特属性转变为不可克隆的设备身份。 该根密钥永远不会存储在设备上,而是仅在需要时才生成。

通过这种密钥生成和存储方法获得的主要优点是:

  • 高安全性,因为没有在外部对根密钥进行编程,并且从不存储
  • 低成本,因为不需要昂贵的受保护的内存或其他安全硬件
  • 高度的灵活性,甚至可以在部署的设备上改进此安全性

完整设备生命周期的安全性

使用该技术,RESCURE创建了其安全架构的有效原型,该架构在整个生命周期中保护IoT设备:

  • 制造–制造商需要确保每个设备都有唯一的标识。 此身份通常用于使用公共密钥基础结构(PKI)安全地连接到云服务。 这些设备还需要安全存储敏感数据,例如物联网测量数据和有价值的软件IP。

在RESCURE安全体系结构中,在制造阶段在设备上注册了SRAM PUF,从而可以创建设备唯一的密钥。 其中包括用于建立安全云连接的公共/私有密钥对,以及用于保护设备上所有有价值的数据和IP的对称密钥。 这些秘密密钥仅在运行时可用,并且永远不会存储在设备上,因此永远不会被窃取。 每个设备的硅指纹都是唯一的; 并且由于密钥是从该唯一指纹派生的,因此不可能将密钥从一个设备复制到另一设备。

制造的设备售出后,通常出售给服务提供商(例如能源供应商或铁路运营商),然后将其放在现场。 这些服务提供商处理物联网生命周期的下一阶段:

  • 设置和配对–生成的公用/专用密钥对用于获取设备唯一证书。 使用这些证书,设备将通过云认证,并在设备和云之间建立可信的PKI连接。
  • 操作–如果仅在从设备到云的途中对数据进行加密,则可以在数据到达服务提供商之前在云中对其进行解密。 为了确保数据在到达目的地之前一直保持加密状态,将生成另一个密钥对,以将端到端加密从IoT设备应用于服务提供商的云。 此外,设备在运行期间会加密所有敏感数据。
  • 更新–加密密钥还用于为无线更新提供加密和身份验证,因此攻击者无法再安装恶意更新或拦截传输中的更新。
  • 寿命终止– RESCURE原型的所有敏感密钥材料都可以归零,这意味着设备的整个身份(包括其所有权利和授权)都可以删除。
  • 翻新–设备清零后,可以使用全新的身份重新注册。 但是,旧的身份和相应的密钥将永远消失。 这样,可以安全地将物联网设备硬件重新用于新用途。

有关RESCURE及其用于保护IoT设备的解决方案的更多信息,请查看 我们的视频。 另外,有关该项目的两篇论文最近在科学会议上被接受,并将在 阿根廷比索2020 WISI研讨会WISEC 2020.

视频制作

救援演示

发表评论

您的电子邮件地址将不会被公开。 必填 *

回到顶部