。在我们这个日益紧密相连的时代里,从医疗到农业,再到智能城市,物联网(IoT)设备的广泛部署强调了坚固网络安全措施的重要性。物联网及其工业界的快速扩张揭露了安全实施方面的脆弱点,安全启动过程显得尤为关键。设想一下,如果一个工业物联网(IIoT)设备在被篡改的代码上启动,那么更上层的保护措施就会失去效力。本文旨在探讨安全启动在工业物联网安全中的必要性。
安全启动:在物联网设备开机的那一刻确保其安全
安全启动是一个关键过程,它确保从设备开机那一刻起,只有经过制造商验证的正版软件才能在设备上运行。缺少安全启动,恶意攻击者就有机会在设备上加载自定义的操作系统或假冒的软件,或者在启动过程的不同阶段介入,窃取敏感信息。
借助于 i.MX 处理器及其高保证启动(HAB)功能,加之 SE050 的支持,Ewon Cosy+ 远程访问网关能够提供全面的安全启动序列,确保只执行经 Ewon 签名的代码。
高保证启动
这一机制依托于称为签名的非对称加密算法,通过私钥离线对图像数据进行签名。之后,这一经签名的图像数据在 i.MX 处理器上使用相应的公钥进行验证。
感谢电子可编程保险丝(eFuses)技术,这些公钥一经编程便无法更改,从而确保了安全性。
安全启动如何工作?
实现安全启动需要满足两个先决条件:
- Ewon 的私钥需要对相关元素进行签名。
- 用于验证这些签名的公钥的哈希版本(SHA256 SRK)需要被写入 eFuses。
在设备启动时,不可篡改的 bootROM 代码会检查 eFuses 的状态,确保仅通过安全启动方式进行。随后,bootROM 检索启动加载程序及其签名和签名所用的公钥。它计算公钥的哈希值,并与 eFuses 中烧录的哈希版本(SHA256 SRK)进行对比,以确认是否可以进行签名验证。
只有在公钥相匹配的情况下,系统才会进行签名检查。如果签名验证通过,启动加载程序随即被加载。启动加载程序采取同样的流程加载签名的 Linux 系统,并最终运行经过签名的 Ewon 应用程序。
安全启动和信任链
上文描述的一系列验证构成了所谓的“信任链”。这个链条的任何中断,也就是任何一处签名验证的失败,都会导致启动过程中止。
这一过程再次证明,Ewon Cosy+ 远程访问网关实施了连最先进的硬件安全措施。