摘要
如今,由於萬物互聯的普及,網絡連接性和對網絡的依賴性不斷增強,網絡設備進而成為常見的網絡攻擊目標。因此,那些不受保護的路由器、交換機、防火牆、網關和無線訪問點等IoT設備便成為了攻擊者的目標。利用TPM(Trust Platform Module,可信平台模組)搭配軟體可以有效地保護網絡設備免受攻擊。保護措施的依據是可信計算組織(TCG)在公開文件《使用TCG技術保護網絡設備安全的指南》,在後面文獻參考鏈接可以查閱。
TPM 和網絡設備
TCG TPM 2.0 於2016年發布,現已成為國際標準(ISO / IEC 11889)。得益於英飛凌等領先的半導體供應商提供了符合TCG規範的TPM,製造商和用戶可以在計算機、存儲設備(自加密驅動器)、雲服務和網絡(包括網絡設備)中實現這種信任。所有TPM都支持相同的基本命令集,儘管或多或少都存在一些差別。
英飛凌推出的TPM,按通信接口分,有I2C,LPC和SPI三種,按TPM版本規範分有TPM1.2和TPM2.0,常見的型號有SLB 9670/SLB9672(SPI,TPM2.0),SLB 9665(LPC,TPM2.0),SLB 9645(I2C,TPM1.2)。英飛凌根據客戶需求,提供了具有各種接口、溫度範圍和各個版本的TPM。這些專用產品最與眾不同的一點是,它們能夠滿足消費者、工業和汽車設備等不同應用的需求。另外,它們在質量水平、使用壽命和溫度範圍上各有不同,旨在滿足目標應用的特殊要求,此外,所有 OPTIGA™ TPM 均經過TPM測試套件的測試,旨在實現高度兼容的操作和互操作性。英飛凌OPTIGA™ TPM已通過國際通用準則評估保證級(CC EAL)4+認證。它包括6 KB用戶可訪問的非易失性存儲器,以及橢圓曲線加密算法(ECC-256)和RSA2K加密算法,其私鑰存儲在安全的硬體中。
如今,由於萬物互聯的普及,網絡連接性和對網絡的依賴性不斷增強,網絡設備進而成為常見的網絡攻擊目標。因此,那些不受保護的路由器、交換機、防火牆、網關和無線訪問點等IoT設備便成為了攻擊者的目標。利用TPM(Trust Platform Module,可信平台模組)搭配軟體可以有效地保護網絡設備免受攻擊。保護措施的依據是可信計算組織(TCG)在公開文件《使用TCG技術保護網絡設備安全的指南》,在後面文獻參考鏈接可以查閱。
TPM 和網絡設備
TCG TPM 2.0 於2016年發布,現已成為國際標準(ISO / IEC 11889)。得益於英飛凌等領先的半導體供應商提供了符合TCG規範的TPM,製造商和用戶可以在計算機、存儲設備(自加密驅動器)、雲服務和網絡(包括網絡設備)中實現這種信任。所有TPM都支持相同的基本命令集,儘管或多或少都存在一些差別。
英飛凌推出的TPM,按通信接口分,有I2C,LPC和SPI三種,按TPM版本規範分有TPM1.2和TPM2.0,常見的型號有SLB 9670/SLB9672(SPI,TPM2.0),SLB 9665(LPC,TPM2.0),SLB 9645(I2C,TPM1.2)。英飛凌根據客戶需求,提供了具有各種接口、溫度範圍和各個版本的TPM。這些專用產品最與眾不同的一點是,它們能夠滿足消費者、工業和汽車設備等不同應用的需求。另外,它們在質量水平、使用壽命和溫度範圍上各有不同,旨在滿足目標應用的特殊要求,此外,所有 OPTIGA™ TPM 均經過TPM測試套件的測試,旨在實現高度兼容的操作和互操作性。英飛凌OPTIGA™ TPM已通過國際通用準則評估保證級(CC EAL)4+認證。它包括6 KB用戶可訪問的非易失性存儲器,以及橢圓曲線加密算法(ECC-256)和RSA2K加密算法,其私鑰存儲在安全的硬體中。
圖1 Infineon TPM主要產品
除此之外,英飛凌還提供了具有其他安全功能的OPTIGA™產品(TrustB、E、X/M和P),旨在滿足各種系統信任要求。
英飛凌TPM另一個不同之處在於,它們擁有直接參與TCG規範設計的專家支持、由訓練有素的支持工程師組成的全球網絡以及十多個不同的技術合作夥伴(Mocana就是其中之一)。那些在印度、台灣以及在全球其他地區開展工程活動的客戶,將能通過本地專家解決可能發生的問題,其中英飛凌負責硬體方面,合作夥伴負責處理軟體方面的問題。
圖2 英飛凌安全晶片在IoT設備中的應用
英飛凌TPM與Mocana安全軟體搭配後,能實現以下功能:
› 集成TPM密鑰的Mocana傳輸協議棧(傳輸層安全性(TLS),安全外殼(SSH)和網際網路協議安全性(IPsec))
› 在本地(裸機)平台上運行的應用程序可以通過本地執行模式使用TPM
› 在容器(例如Docker或LXC)或虛擬機(VM)環境中運行的應用程序可以通過遠程執行模式訪問TPM
› 支持認證可遷移密鑰(CMK)功能,以遷移TPM密鑰
› 支持帶有TPM quote的平台證明
› 支持符合TCG的硬體、固件甚至虛擬TPM
圖3 Mocana的設備軟體簡化了諸多 TPM 功能的應用。
如圖 3所示,從基於硬體或固件的TPM信任根派生的受信任設備標識為符合NIST 800-63B驗證器保證等級(AAL)3(即此類驗證器保證的最高級別)的數字身份驗證提供了身份證明。此外,此驗證級別還支持通過CMS證書管理(CMC)和安全傳輸註冊(EST)的機密擁有證明。與Mocana TrustCenter™服務相整合後,便能基於多因素可信信息自動進行安全的設備註冊。
網絡設備的漏洞及保護
由於各種各樣的原因,現有的很多網絡設備本身並不可信。記錄表明,有不少設備在抵達客戶所在地時已經受損——供應鏈的某個環節出了問題。其原因包括:設備在運輸途中遭到篡改、為仿冒品或灰色市場(假冒)產品,抑或是被轉售並已被感染的設備。據報道,市面上有無數的假冒路由器和其他無法辨別真偽的設備[2]。對此,憑藉TPM,用戶就能確認產品的真實性,並辨別已裝固件和硬體的版本。一些攻擊通常會針對路由器、交換機和防火牆(通常是企業網絡中受信任的組件)發起,旨在破壞其固件完整性,這些攻擊可能導致它們無法安全地傳輸數據。而一旦這些固件受損,攻擊者便可趁虛而入,闖入各種敏感對話和數據通信的中間。不僅僅是竊聽,入侵者還可以在不被發現的情況下更改對話。
TCG的網絡設備指南解決了上述及其它問題。
› 設備身份識別
› 安全的零接觸配置
› 機密保護
› 配置數據保護
› 遠程設備管理
› 軟體清單
› 網絡設備的完整性證明(健康檢查)
› 複合網絡設備
› 完整性保護日誌
› 熵產
› 取消配置
下面僅介紹 設備身份識別,遠程設備管理和網絡設備的完整性證明,其它部分請參考TCG文檔
設備身份識別
英飛凌和Mocana攜手合作,共同利用TPM技術處理設備身份識別和其他用例問題,從而提供與獲取和使用背書密鑰創建信任鏈相關的存儲與操作機制。圖3顯示了網絡設備的密鑰和憑證。圖中的三層身份識別,一層用於TPM、一層用於平台(IDevID),還有一層用於本地身份識別(LDevID),旨在用於確認設備是否正確製造、是否安裝在特定位置/設施,是否獲得了所有人的授權。
圖4 TPM 保護網絡設備中的密鑰和憑證
首先,在TPM內,英飛凌在每個 OPTIGA™ TPM 內都安裝了背書密鑰(EK)和EK證書。英飛凌出廠的每個OPTIGA™ TPM 都有一個單獨的背書私鑰、一個單獨的背書公鑰和一個由英飛凌簽署的個人EK證書,因此,可按照這一信任鏈來確認TPM是否有效。接下來,利用平台製造商的憑據,來證明指定TPM已安裝在特定類型的路由器或交換機中,有時可能還有序列號。這些憑據包括初始認證密鑰(IAK)和初始設備標識(IDevID)。將設備交付給客戶時,管理員可以(非必要)安裝公司憑證,如本地設備標識(LDevID)、本地認證密鑰(LAK)和相應的證書。
藉助這些證書和憑證,客戶可以輕鬆地驗證該路由器或交換機是否來自特定的供應商、是否為特定的型號以及序列號,以及實際採購的設備是否可用於客戶特定設施,若是,則可信。反之,如果是來自同一供應商的二手產品,歷史記錄不明的話,則不具備可信基礎。根據TCG規範,結合三層身份識別(TPM、平台和本地所有者/運營商),來提供信任鏈和監管鏈,可讓用戶對設備的來源充滿信心。
使用獨一無二的方法為設備建立身份,還能解決其它問題。例如,許多聯網設備都使用了過時的用戶名和密碼驗證技術。實際上,許多設備都帶有預設的默認用戶名和密碼。考慮到這些默認信息是用於管理配置的,因此有時,消除它們十分困難。而建立唯一的加密身份則可實現所有連接的相互認證和安全通信。雖然提供這些憑證看似簡單,但實操起來通常卻不容易,這主要是因為對證書頒發機構(CA)或硬體安全模塊(HSM)提供的傳統證書工具並不了解,也不容易使用。而Mocana軟體卻可輕鬆實現這一點。它利用TPM 2.0廣泛的密鑰生成和密鑰操作,支持存儲和簽署層次結構以及RSA和ECC密鑰。此外,它還可以利用TPM生成的密鑰對來提供數字證書,從而確定容器、應用程序、數據和通信的完整性。
遠程設備管理
網絡設備通常通過命令行、GUI(圖形用戶界面)或SDN(軟體定義網絡)等自動化方法進行遠程管理。其中,身份驗證和安全通信是最基本的安全要求。值得慶幸的是,Mocana 軟體和英飛凌 TPM 硬體不但可以使用主流的TLS(傳輸層安全性)協議,還可以使用SSH(安全外殼)、IPsec(網際網路協議安全性)以及其他協議來設置安全通信。通過Mocana軟體創建的會話將使用平台的設備身份識別功能進行身份驗證,甚至進行加密。一旦實現了設備身份驗證和安全通信,就可以通過安全協議對設備進行遠程管理。另外,還有很多其它安全操作可供執行,比如驗證設備是否為假冒品、是否應當安裝在此位置以及是否已被篡改
遠程證明
使用遠程證明,設備將能證實(證明)自己正在運行的軟體,以便遠程方進行驗證。如圖 4所示,Mocana的端點安全軟體和英飛凌的TPM實現了一個遠程“審核人”(一項特殊服務),來確定設備或設備(平台)上運行的容器化應用程序的完整性可信等級。其過程如下:
使用加密哈希值測量設備上的軟體。然後這些測量被擴展至TPM的平台配置寄存器(PCR),並在此安全儲存。遠程方希望獲得證明時,它便會將向設備發送質詢。設備上的軟體將此質詢發送給TPM,TPM會產生一個“Quote(引用)”,即質詢和當前PCR值的副本,且由TPM持有的證明身份密鑰(AIK)簽名。隨後,引用、受信任的CA頒發的AIK證書以及提供了設備加載軟體的完整性日誌將一起被發回服務器。接著,審核人會驗證這些內容,以確定能否接受設備上的軟體。在本地證明方面,可使用一個被稱作“sealing”的技術進行,並且可以以相同方式驗證設備配置。
圖5 憑藉 TPM 2.0 遠程證明,Mocana 端點安全軟體實現了容器化應用程序的可信度。
參考資料
博文大部分內容轉載自英飛凌生態圈博文:https://ecosystem.infineon.cn/knowledge/knowledge-detail-176.html
其參考資料如下
[1] 使用TCG技術保護網絡設備安全的指南
[2] InfoWorld參考信息
[3] SP 800-161,聯邦信息系統和組織供應鏈風險管理指南
[4] SP 800-171 版本1 非聯邦信息系統和組織的受控非機密信息的保護
[5] CISA
英飛凌TPM安全方案代理商聯繫人
PM:
Martin Zhang;手機:+86 186 8899 9157;Email:martinzhang@sac.com.hk;
FAE:
Anky Huang;手機:+86 132 4471 7159;Email:anky.huang@sac.com.hk;
評論