2-12566-贯穿设备整个生命周期的嵌入式安全 - IAR - Nicholas Zheng.pdf

1、贯穿设备整个生命周期的嵌入式安全贯穿设备整个生命周期的嵌入式安全IAR 中国郑文灏议程 不断增长的物联网安全威胁消费类物联网产品安全标准和实践启用嵌入式安全总结不断增长的物联网安全威胁安全性是物联网普及的主要障碍145%的安全问题阻碍了物联网的普及2如果安全问题得到解决，70%以上的人会购买更多的物联网设备1不到4%的新物联网设备具有足够的安全性3350 万个网络安全职位空缺4快速增长的互联设备市场正面临着重大的安全挑战，这些挑战包括IP盗窃、伪造和生产过剩，以及数据盗窃和可能危及生命的破坏等攻击。不断增长的物联网安全威胁1:https:/ 3:https:/cybilportal.org/w

2、p-content/uploads/2019/10/GFCE-GGP-IoT.pdf 4:https:/ 消费类物联网产品安全标准和实践EuropeGDPR 实际罚款2000万欧元或全球收入的4%UK Government(DCMS)公布了13条安全实务守则。3年内立法执行，并处以GDPR类型的罚款ETSI 重申英国 DCMS 准则，EN 303 645 安全标准EU(ENISA)150项基线建议，ENISA在在24个月内实施罚款标准个月内实施罚款标准North AmericaCalifornia-通过物联网安全法。自 2020 年 1 月 1 日起生效USA-NIST不断发展的网络安全法案（

3、NIST IR 8259）AsiaSingapore 政府公开概述了其物联网安全方法（2018年）Japan 内政部定义了物联网设备法。日本政府与CCDS（互联消费者设备安全委员会）合作开发最佳实践Korea 科学和信息通信技术部以及互联网与安全局认证China 网络安全法（2017）、密码法（2020）、个人信息保护法（2021）、数据安全法（2021）当今全球物联网安全标准和立法https:/assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/773867/Code_

4、of_Practice_for_Consumer_IoT_Security_October_2018.pdf物联网产品13个最佳安全实践1.No default passwords（不使用默认密码）挑战-默认密码容易受到简单的社交攻击“您的设备有问题，需要升级-您能否点击重置按钮”一旦设备进入默认出厂模式，攻击者就会获得控制权 解决方案:所有设备都应使用设备唯一的加密密码进行设计和制造，甚至最好使用PKI证书（公钥基础设施）要求创建使用具有标识、吊销能力和生命周期的非对称密码和 PKI 证书的应用程序和设备 要求制造和生产与密钥管理系统绑定，并支持注入唯一的设备证书2.Implement a

5、vulnerability disclosure policy（实施漏洞披露策略）挑战 您的产品将受到安全威胁 您准备好了吗？您如何向客户传达您的产品存在漏洞 您如何确保您的品牌不会因漏洞而受到损害 您支持您的产品多长时间（2 年、5 年、10 年.？）解决方案:向您的客户明确产品支持的使用寿命 假设你的产品会有漏洞它是生活的一部分 确保有明确的升级和披露流程 确保设备可以由客户修补和管理3.Keep software updated（保持软件更新）挑战-即使在发货后，您的公司也要对设备负责 解决方案:对于大多数公司来说，这是一个巨大的“附加值”现在可以直接接触到最终客户，并且可以营销和销售额

6、外的服务。安全和更新是产品的一部分-不是成本4.Securely store credentials and security-sensitive data（安全存储凭据和敏感数据）质询-任何凭据都应安全地存储在服务和设备上。不接受设备软件中的硬编码凭据 解决方案:利用目标设备中提供的安全硬件 调试端口锁定 禁用 JTAG 接口 安全内存管理（例如Arm TrustZone）管理对机密数据的访问 密钥签名、验证、哈希算法 安全的软件更新5.Communicate securely（安全通信）挑战-安全敏感数据（包括任何远程管理和控制）应：传输中加密 应安全地管理所有密钥 解决方案:最新且稳定可