Главная » Советы

Проблемы с интернетом

Советы

Какие же проблемы должны быть решены?

Сложность персонализации подключенных устройств

Независимо от области применения и используемой схемы защиты, всегда наступает такой момент, когда устройству, подключаемому к другому устройству или удаленному серверу, необходим кто-то, кто внесет в память устройства уникальные идентификаторы либо ключи доступа. Это и называется персонализацией устройства. И она несет за собой определенные сложности, которые всегда приходится решать либо производителю оборудования, либо уже его конечному потребителю (рис. 1).

Для пояснения приведем простой наглядный пример, а именно — подключение Wi-Fi-принтера в домашнюю сеть. В какой-то момент для того, чтобы пользователи сети могли использовать один и тот же ключ доступа, вам нужно будет вручную подсоединить принтер к Wi-Fi-роутеру. Неважно, будете вы это делать с помощью беспроводной связи или через USB-кабель, но в принтер нужно будет ввести ключ. В этом случае задачу персонализации решаете вы, как конечный пользователь, а не производитель принтера.

То же самое происходит и в бизнесе, только в больших масштабах. Для примера возьмем систему сигнализации, входящую в комплекс автоматизации здания. Она состоит из центрального сервера и нескольких периферийных устройств, соединенных локально с помощью радиочастотной связи, и могла быть приобретена как в комплекте, так и в виде ее отдельных частей. И тогда либо производителю, либо продавцу, либо организации–конечному пользователю самостоятельно нужно будет связать все эти периферийные устройства с центральным сервером, который, в свою очередь, зарегистрировать на сервере удаленной мониторинговой службы (например, охранной компании).

Во всех этих случаях кто-то должен взять на себя расходы по решению задачи персонализации и процессу подключения, будь то производитель устройства, поставщик услуг или конечный пользователь с собственным опытом подключения уже готового к использованию оборудования.

Сложность этих процессов часто делает их слабым звеном в безопасности сетей. Как часто вы обновляете свой ключ доступа к домашней Wi-Fi-сети? Возможно, никогда, так как это слишком хлопотно. Как часто AES-ключ (Advanced Encryption Standard — усовершенствованный стандарт шифрования) обновляется в ваших многочисленных системах? Скорее всего, не слишком часто, а то и никогда, и по тем же причинам.

Работа сетей и их безопасность: важность комплексного решения

Канальная и сетевая безопасность в настоящее время обеспечивается различными коммуникационными и сетевыми технологиями на различных уровнях, наборами протоколов, такими как IPsec для IP, WPA 802.11, 802.15.4, Bluetooth, и т.?д. Однако они не должны рассматриваться, как средство для обеспечения комплексной конечной безопасности соединений. Действительно, иметь защищенное посредством WPA соединение Wi-Fi в локальном маршрутизаторе, безусловно, недостаточно для того, чтобы обеспечить в частном порядке соединение HTTP на отдаленном сервере, поскольку ключи большинства локальных сетей вряд ли когда-либо обновляются по причинам, перечисленным выше.

Ниже показан пример достаточно обычной ситуации, когда данные с сенсора или исполнительного механизма, прежде чем достигнут нужного сервера, транслируются через много сетей разного типа, принадлежащих большому количеству поставщиков услуг (рис. 2).

На каждом звене передачи безопасность этого конкретного участка обеспечивается протоколами, а что происходит до или после него — неизвестно, это «тайна за семью печатями». Вследствие этого данные расшифровываются и снова зашифровываются шлюзами безопасности на каждом участке. Как известно, уровень безопасности всей системы определяется уровнем безопасности самого слабого звена. Поэтому ситуация с комплексной безопасностью находится в зависимости от безопасности, обеспеченной несколькими провайдерами и производителями шлюзов, и остается полностью на их совести, что и является слабым звеном всей системы безопасности.

В случае, если данные передаются по межсетевому протоколу IP непрерывно, есть возможность их так называемого «туннелирования» на пути от устройства к серверу. Однако это единственное исключение в данной схеме, которое приблизительно соответствует понятию комплексной конечной безопасности.

Дополнительный уровень комплексной безопасности на маршруте «устройство–сервер» решает следующие задачи:

  • ?аутентификация устройства на сервере;
  • ?аутентификация сервера на устройстве;
  • ?создание ключа безопасности сеанса связи;
  • ?целостность данных;
  • ?конфиденциальность данных, если требуется.

Комплексная безопасность за пределами мира протокола IPv6

Неужели наш рассказ на этом и закончится? Конечно, нет! Мы ищем способ внедрения дополнительного уровня комплексной безопасности, обозначенного на рисунке зеленым цветом, чтобы он устанавливался поверх систем безопасности остальных участков соединения (рис. 6).

Если у нас есть хотя бы один участок, где не поддерживается стандарт IP, пусть маломощный, с низкой скоростью передачи данных, то он будет являться препятствием для передачи данных по всему пути (мы не забываем, что если IP поддерживается на всем маршруте, как показано выше, то никакой проблемы нет).

Мы предлагаем простое решение: если существующий сигнал IP TLS (рис.7) не может преодолеть это препятствие из-за большого объема данных, мы создаем адаптированный вариант TLS, который включает в себя:

  • ?использование криптографических алгоритмов с более короткими ключами (ECC), а не алгоритмов с длинными ключами (RSA);
  • ?сертификаты меньшего размера;
  • ?увеличенный срок действия ключа сеанса;
  • ?возможность сенсора проверять сертификат сервера офлайн, если требуется;
  • ?безопасный и простой способ персонализировать и хранить сертификаты вместе с ключами сеанса непосредственно на устройстве или сенсоре;
  • ?услуги центра сертификации по выпуску и проверке заказанных сертификатов.

Такой вариант TLS должен выполнять такие же функции, как и исходный:

  • ?взаимная аутентификация;
  • ?простое и автоматизированное выделение ресурсов сенсору или устройству в удаленном приложении;
  • ?механизмы отзыва сенсора или устройства из удаленного приложения;
  • ?обеспечение создания AES ключа сеанса и безопасного обмена с соблюдением при этом целостности и шифрования сообщения.

Хотя многие микропроцессоры могут похвастаться энергоэффективной криптографической начинкой, они не решают реальные проблемы: кто-то должен персонализировать их в какой-то момент, и это создает определенные неудобства. Они не защищены, и закрытые ключи могут быть считаны из их памяти или вычислены по динамическому изменению тока питания или даже по электромагнитному излучению.

Вот почему чипы карт Visa и SIM-карт не используют микроконтроллеры со стандартным ядром типа Cortex-M. И вот почему такие элементы безопасности необходимы.

Эти элементы представляют собой миниатюрные компоненты, соединяющие периферийные устройства с принимающими микроконтроллерами или микропроцессорами, и отвечают за персонализированные сертификаты; безопасное размещение закрытых ключей; управление криптографическими элементами (рис. 8).

Если говорить кратко, все это является частью общего решения по обеспечению безопасной персонализации. Некоторые итоги в части персонализации подсоединенного устройства.

Наша исходная задача состояла в том, чтобы снизить стоимость и уменьшить сложность персонализации и обеспечения ресурсами устройств, сенсоров, машин и механизмов, которые подсоединены к локальным или удаленным серверам. С помощью изменения технологий, упомянутых выше, мы теперь обладаем полным набором решений:

  • ?TLS или им подобные стеки и API (Application Programming Interface — интерфейс программирования приложений), осуществляющие взаимную аутентификацию, распределение и обновление ключей сеанса;
  • ?элементы безопасности, способные принимать сертификаты и управлять исходными функциями TLS;
  • ?обеспечение безопасности в процессе персонализации — элементы защиты перед производством устройства, что исключает необходимость персонализации самого устройства;
  • ?Услуги центра сертификации по выпуску и проверке заказанных сертификатов в течение всего 15?летнего срока службы подсоединенного устройства.

0
Понравилась статья? Поделиться с друзьями:
Вам также может быть интересно
Советы 0
Как заинтересовать девушку
Как заинтересовать девушку Рубрика: Соблазнение   ·  На чтение: 7 мин   ·  Прочитали:
Советы 0
Почему вымерли динозавры
Почему исчезли динозавры Науке до сих пор доподлинно неизвестно, почему 65 млн лет назад
Советы 0
Где взять кредит с плохой кредитной историей
Вопрос относительно того, где взять кредит с плохой кредитной историей, зачастую возникает уже после
Советы 0
Почему небо голубое
В статье можно узнать простое объяснение голубого (с оттенками) цвета неба. Ведь вопрос на
Советы 0
Что будет если отсканировать зеркало
Предположений на этот счёт в интернете очень много. Фантазёры выдвигают версию, что отсканировав  зеркало,
Советы 0
Где взять кредит
Далеко не всегда денег хватает на крупные приобретения: вроде автомобиля или бытовой техники. Брать