本文探讨了零信任安全模型在物联网领域的应用,强调了设备身份验证、持续检测和动态授权的重要性。物理不可克隆函数PUF作为一种高效的身份验证手段,为解决物联网终端的轻量级和安全性问题提供了新的解决方案。华太集团下的普安信科技正在研发自主知识产权的PUF芯片技术,提升物联网设备的身份保障和安全性。
零信任是一种安全模型,基于访问主体身份、网络环境、终端状态等信任要素对所有用户进行持续验证和动态授权。近年来,零信任成为安全圈持续火热的技术之一。2021年5月,美国总统签署了行政命令,强制要求政府部门全面迈向零信任架构。
随着物联网行业的快速发展,安全事件也逐年增加,其中大多数攻击都与物联网设备的粗放管理相关,而管理恰好是零信任的优势所在。在物联网场景下,零信任架构可以提供基于设备身份的细粒度访问控制,收缩物联网的暴露面,避免大面积的网络攻击风险
物联网设备常常用于采集数据和远程控制。物联网设备的种类很多,摄像头、温度传感器、智能水表等等都是物联网设备。由于物联网终端数量庞大、种类繁多,安全防护能力不高,因此大部分攻击都是从物联网终端发起的。回顾近年发生的物联网安全事件,也印证了这一点。物联网终端的安全问题大概包括以下几方面:
性能受限,很少升级或修复漏洞。低功耗设备受现场充电限制,为减低功耗牺牲安全,采用简单的通信协议,有的设备甚至没有考虑升级、修复漏洞,给攻击者可乘之机,导致整个物联网系统面临威胁。设备庞杂,难以统一管控。多厂家、多种类的物联网设备,难以执行统一的安全规范,甚至连统一的ID都难以做到。无人值守设备风险。很多物联网设备部署在公开场所,给黑客进行攻击提供便利,利用分散各地的节点渗透到整个网络,威胁核心业务系统。
零信任理念与物联网场景是非常契合。零信任应用于物联网,面临的挑战是在有限的条件下,实现设备身份和权限的管控,零信任架构关键技术能力如下:1、设备认证。身份认证是零信任的基础,当设备接人网络时,需要对设备的身份和可信等级进行验证,确定设备的等级权限,避免攻击者伪造设备接人网络。2、持续检测。通过对设备的持续检测,避免非法设备的接人,例如对系统安全配置检测、异常进程检测、高危端口检测,一旦发现设备偏离安全基线,立即对设备进行隔离。3、动态授权。支持对异常设备的分析和动态授权。
零信任的精髓是“持续验证,永不信任”,构建身份安全基石,进行统一身份化管理,建立以身份为中心的访问控制机制。因此,每个物联网设备都必须有唯一的身份标识,以便零信任系统进行认证,甄别非法设备。目前大多数设备采取MAC地址,或者综合品牌、型号、IP地址、协议等信息,生成设备ID,作为身份标识,这种方式容易被攻击者窃取,进行身份仿冒。
物理不可克隆函数PUF (Physically Unclonable Function),利用芯片的在制造过程中随机生成的微小物理参数差异,经过放大数字化后形成的挑战-响应(输入-输出)函数关系。对于一个PUF组件,挑战与响应基于芯片独特的硅结构形成,因此无法预测建模,具有不可篡改、不可克隆的特性,是一种高效低耗快速的信息安全原语,具有不可估量的应用前景。
身份是零信任架构的基础,必须保证身份的真实性、唯一性,不能被仿制、篡改及冒用,否则导致身份认证功能失效,让零信任系统形同虚设。通过物理不可克隆函数PUF的挑战-响应关系,动态生成响应,利用响应与设备ID关联,从而保证设备ID不可复制、不可窃取,让身份可靠可信。
“持续验证”是零信任的核心理念,系统设定入侵行为是必然会发生的,只有对设备持续认证安全等级及行为评估,才能及时发现异常,快速采取隔离等措施,避免风险扩散。持续认证带来的问题是持续增加了设备认证开销,对于计算、功耗、成本受限的物联网终端不能采取复杂的传统身份认证方式,而PUF的CRP对轻量级认证方式,从减少计算依赖角度带来认证轻量化,从PUF不可克隆性角度却带来安全性加固。
零信任架构应用对物联网安全来说是一个新课题,物理不可克隆函数PUF为零信任的基础“身份”以及核心功能“持续认证”,提供了一种经济型和可靠性俱佳的选择。北京普安信科技有限公司为华太集团下属企业,华太集团是具有国际先进水平的射频功放器件供应商。普安信整合集团雄厚的模数芯片研制能力,专注于发展芯片“指纹”识别技术,构建完整自主知识产权,实现物理不可克隆PUF芯片量产;通过单元架构、阶段增益偏置SGB、抗噪声及模糊纠错等技术创新,让PUF稳定性及可靠性具有领先水平,具备输出海量CRP对的能力,可以提供丰富的强PUF应用。
扫一扫
547
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
