在线观看www成人影院-在线观看www日本免费网站-在线观看www视频-在线观看操-欧美18在线-欧美1级

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

開發(fā)智能鎖中提高安全性的13個關(guān)鍵方法

物聯(lián)網(wǎng)芯片 ? 來源:物聯(lián)網(wǎng)芯片 ? 作者:物聯(lián)網(wǎng)芯片 ? 2019-07-12 11:32 ? 次閱讀
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

隨著智能家居物聯(lián)網(wǎng)生態(tài)逐步普及,更多的傳統(tǒng)設(shè)備物聯(lián)網(wǎng)化呈現(xiàn)急劇增長趨勢,智能鎖就是一個很好的例子,智能鎖鎖可以提供一些典型的功能比如:遠(yuǎn)程解鎖,智能手機集成,高級身份驗證方法等。但作為一個個人安防設(shè)備,安全是消費者最為關(guān)注的問題,現(xiàn)在我們就來看看一個優(yōu)秀智能鎖開發(fā)者如何來從開發(fā)角度來提高安全性。

最近安全實驗室RISCURE在一些智能鎖設(shè)備中設(shè)備中分析了內(nèi)部,反向設(shè)計了固件和相應(yīng)的智能手機應(yīng)用程序,并嘗試了幾次攻擊,看看鎖是否可能受到損害。總結(jié)如下:

(1)可以使用外部設(shè)備上的物理攻擊打開第一個鎖,通過一些練習(xí),這個鎖可以在幾分鐘內(nèi)被打開。

(2)可以對無線通信協(xié)議使用加密攻擊來打開第二個鎖,使得門在一小時內(nèi)被遠(yuǎn)程打開而不用鎖或門使用物理的方式。

(3)第三把鎖被充分保護,以抵御測試者的攻擊。但是也發(fā)現(xiàn)了這一點上的副作用:鎖容易受到拒絕服務(wù)的攻擊,阻止合法用戶解鎖。。

這些研究結(jié)果表明,智能鎖可以帶來新的風(fēng)險,應(yīng)該更強調(diào)智能鎖在發(fā)展過程中的安全。根據(jù)分析,結(jié)合在評估安全嵌入式設(shè)備方面擁有豐富的經(jīng)驗,這里總結(jié)了以下,對智能鎖開發(fā)人員提供了13條建議。

1:正確使用密碼學(xué)

許多智能鎖依賴于加密算法來驗證用戶并保持身份驗證標(biāo)記保密。雖然一般來說,標(biāo)準(zhǔn)的加密算法是被認(rèn)為非常安全,它們的實施和組合方式通常決定了實際情況安全級別。

避免使用專有的加密協(xié)議

密碼專家對標(biāo)準(zhǔn)加密算法和協(xié)議進(jìn)行了廣泛的審查和研究。這些標(biāo)準(zhǔn)的算法安全性已經(jīng)非常成熟且經(jīng)過大量驗證,但是一些開發(fā)人員卻通過構(gòu)建新的加密算法或以不設(shè)計使用的方式組合現(xiàn)有加密算法。但效果往往適得其反,但在許多情況下,由于算法的不成熟,設(shè)備往往更容易受到攻擊。

使用高強度的隨機數(shù)生成器

對于安全通信,身份驗證和設(shè)備密鑰生成,使用高熵隨機數(shù)至關(guān)重要。確保用于加密目的的隨機數(shù)是從高質(zhì)量的隨機數(shù)發(fā)生器獲得的,也就是要做到真隨機性。比如時間或者其他可預(yù)測的值作為種子的偽隨機數(shù)是很容易被黑的。

不要在所有設(shè)備上存儲相同的秘密

如果在其他設(shè)備中也發(fā)現(xiàn)了涉及預(yù)共享密鑰的鎖密碼,主要風(fēng)險是它很容易受到攻擊而且不需要攻擊者在現(xiàn)場,一般采用一鎖一密的方式是最佳的。

不要使用弱密鑰生成或派生

如果根據(jù)攻擊者已知的可預(yù)測數(shù)據(jù)或生成密鑰,那么攻擊者可以直接確認(rèn)密鑰。

安全地存放和運輸鑰匙

許多開發(fā)人員聲稱具備強大的加密技術(shù),但重要的是確保保存在硬件中的密鑰不能輕易被讀取,也要確保無線通信信道或云端系統(tǒng)中的漏洞不被旁路攻擊或者竊聽。

2:關(guān)閉測試和調(diào)試功能

在開發(fā)嵌入式設(shè)備時,開發(fā)人員通常使用調(diào)試接口,測試功能或“后門”來支持他們的開發(fā)過程。在構(gòu)建生產(chǎn)版本時,盡可能地關(guān)閉這些調(diào)試機制,因為它們對于想攻擊該設(shè)備的人來說也非常有用。,測試者已經(jīng)在智能鎖上使用這些接口來獲取內(nèi)部存儲器的固件和運行時間。這顯著減少了反向工程和理解固件所需的時間。

在某些情況下,開發(fā)人員選擇使邏輯上無法訪問測試功能。但是,我們建議從代碼庫中完全刪除此功能的執(zhí)行,因為一些邏輯攻擊可以重新啟用測試功能。此外,保持測試功能通常會導(dǎo)致調(diào)試字符串仍然包含在固件中并被引用。這會導(dǎo)致固件上的逆向工程的可能性。

3:安全更新機制

與任何其他軟件產(chǎn)品一樣,智能鎖上運行的固件可能包含錯誤和漏洞。嵌入式設(shè)備通常支持固件升級,通常使用從網(wǎng)上下載的映像。安全地實施此更新機制非常重要。我們推薦:

(1)·正確驗證更新映像。例如,通過在對新固件編程之前驗證加密簽名。·

(2)防止固件降級,因為這會帶來重新引入漏洞的風(fēng)險。

(3)確保未經(jīng)所有者同意,無法從外部調(diào)用軟件更新機制。

除了真實性之外,還應(yīng)考慮固件的機密性。輕松訪問固件,例如,當(dāng)它可以從互聯(lián)網(wǎng)上下載時,簡化了反向工程過程。

4:防止外部設(shè)備的影響

不要信任來自在惡劣環(huán)境中運行的設(shè)備或接口的命令。這包括通過無線通信信道發(fā)送的命令以及外部設(shè)備比如安裝在門外的按鍵所發(fā)送的命令。由于攻擊者已經(jīng)(或通過一些努力可以獲得)控制這些外部設(shè)備,命令可以很容易地監(jiān)控,復(fù)制或修改。

如果外部鍵盤對用戶進(jìn)行身份驗證,則此外部按鍵應(yīng)僅發(fā)送認(rèn)證數(shù)據(jù)到內(nèi)部單元,或者它應(yīng)該執(zhí)行到內(nèi)部單元的安全通道并實施防篡改。無論如何,請確保他人難以添加竊聽裝備到外部設(shè)備。

5:實施緩和中繼攻擊

假設(shè)智能鎖在其密鑰(例如,移動電話)非常接近時自動打開。在這種情況下,攻擊者可以使用另一個通信通頻道來縮短智能鎖和所有者智能手機之間的距離并打開鎖。這種中繼攻擊可以看作是一種中間人攻擊,其中通信沒有被修改。我們建議實施針對此類攻擊的緩解措施; 例如,通過要求所有者的故意行動(例如,按下按鈕以打開門)或?qū)νㄐ偶訌妵?yán)格的時間要求。

6:使用安全編碼實踐

許多軟件漏洞都是由不安全的編碼實踐引起的,例如數(shù)據(jù)長度的內(nèi)存副本來自不受信任來源。這可能導(dǎo)致緩沖區(qū)溢出,從而成功利用智能鎖。我們建議實施安全編碼實踐,例如正確的輸入驗證,安全的默認(rèn)返回值和深度防御(即實現(xiàn)多層安全機制)。

7:防止異常活動

在被分析的智能鎖上,我們進(jìn)行了多次攻擊,包括成功和不成功,這將被智能鎖內(nèi)的軟件所識別如果它可以監(jiān)視異常活動的話,通常,暴力攻擊(例如,暴力輸入PIN)或加密攻擊需要對智能鎖發(fā)送大量的請求以實現(xiàn)破解的目標(biāo)。

我們建議監(jiān)控通信異常活動并采取適當(dāng)措施。例如,限制對智能鎖的請求數(shù)并通知所有者。請注意實施這些應(yīng)對措施不得導(dǎo)致拒絕服務(wù)(DOS)攻擊的可能性。例如,在十次嘗試失敗后仍保持門關(guān)閉也會阻止智能鎖的合法用戶進(jìn)門。

8:實施適當(dāng)?shù)某蜂N支持

在某些情況下,打開智能鎖的密鑰可能會受到損害或丟失,例如當(dāng)帶有智能鎖密鑰的智能手機被盜時。另一個例子是攻擊者試圖出售使用過的鎖,同時仍然持有有效的解鎖標(biāo)記。為了防止未經(jīng)身份驗證的訪問,智能鎖的開發(fā)人員應(yīng)該提供撤銷可能受到攻擊的密鑰的功能。我們建議確保撤銷機制不僅依賴于密鑰設(shè)備來刪除標(biāo)記,而且還主動對鎖進(jìn)行干涉來 確保以前有效的密鑰被刪除或被列入黑名單。

9:防止物理攻擊

當(dāng)智能鎖還包括外部單元在惡劣環(huán)境中操作時,必須考慮對該外部單元的半侵入性和侵入性攻擊。特別是如果外部單元發(fā)送對內(nèi)部單元的“機密”消息,可以將外部單元物理地改變?yōu)槌掷m(xù)發(fā)送“機密”消息。在沒有其他漏洞的情況下,攻擊者可能會嘗試執(zhí)行更高級的攻擊例如故障注入或側(cè)通道分析。

故障注入攻擊旨在通過引入環(huán)境異常來干擾目標(biāo)的正常操作,如電壓尖峰或電磁脈沖。干擾可能導(dǎo)致目標(biāo)跳過執(zhí)行某些代碼,或執(zhí)行完全不同的代碼 - 從而達(dá)到繞過身份驗證的最終目標(biāo)。這些攻擊特別適合帶外部單元的鎖,攻擊者通常可以控制電源。

側(cè)信道攻擊使用來自電子電路的泄漏來恢復(fù)秘密信息。例如,攻擊者可能能夠測量芯片的功耗或電磁輻射來恢復(fù)加密算法中使用的密鑰,利用執(zhí)行的漏洞而不是算法本身的弱點。

甚至內(nèi)部單元也可能被側(cè)通道分析或故障注入所攻擊。有一個最近的例子表明,長距離邊通道可能攻擊到混合信號芯片所發(fā)射的無線電信號。像這樣的芯片通常在智能鎖中找到。因此,我們建議,組件在惡劣環(huán)境中運行時受到故障注入和側(cè)通道分析攻擊時,應(yīng)采取應(yīng)對措施。

10:拒絕服務(wù)攻擊

與網(wǎng)上的服務(wù)器類似,智能鎖可能會在使用拒絕服務(wù)(DoS)攻擊的時候遭受攻擊,攻擊者試圖阻止合法請求來打開門。攻擊者的目標(biāo)可能是為了破壞某個品牌的聲譽。攻擊可能是由以下原因引起的:導(dǎo)致某種內(nèi)存損壞的無效命令。故意保持連接打開(例如,藍(lán)牙Wi-Fi)。中止(惡意)固件升級嘗試。我們建議考慮這些類型的攻擊,并確保任何外部請求經(jīng)過適當(dāng)?shù)尿炞C和處理。

11:對于“鑰匙”的攻擊

對于智能鎖,傳統(tǒng)密鑰由數(shù)字版本取代。這可能是按鍵,智能卡,RFID標(biāo)簽或智能手機。特別是當(dāng)密鑰在智能設(shè)備上使用時,例如智能手機,必須考慮此設(shè)備的攻擊。第三方應(yīng)用程序可能會嘗試訪問身份驗證令牌或鑰匙打開門。此外,攻擊者可能會創(chuàng)建一個請求身份驗證令牌的假鎖。智能手機可能會認(rèn)為鎖是一個合法的,并泄露秘密信息。

我們建議在鎖和密鑰之間實現(xiàn)相互身份驗證(雙向認(rèn)證)。

12:保障后端系統(tǒng)

許多智能鎖使用在云端運行的后端系統(tǒng)來保持客戶端更新和管理密鑰或令牌。因此,后端系統(tǒng)的安全性就像鎖本身安全一樣重要。對后端系統(tǒng)的攻擊甚至可以更好地擴展,并允許攻擊者獲得對大量鎖的控制。對保護后端系統(tǒng)的不同方法的詳細(xì)分析超出了本文的目的。我們建議考慮適當(dāng)?shù)陌踩珯C制。這意味著在很大程度上取決于系統(tǒng)的架構(gòu)。

13:這不僅僅是打開門

智能鎖不僅應(yīng)該保護門。考慮用戶的隱私也很重要。作為一個例如,竊賊使用郵件堆積作為居民休假的指標(biāo)。在一個鎖中我們已經(jīng)確定了可能通過展示等效數(shù)字來發(fā)現(xiàn)最后一次使用鎖是什么時候。這項檢查可以快速執(zhí)行,一個竊賊可以開車和周圍掃描智能鎖幾天,并同時建立一個所有房屋的哪些鎖一直沒被使用的示意圖。由于此信息對于鎖的所有者不可見,因此他們不知道并且不會采取任何對策。

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • 智能安防
    +關(guān)注

    關(guān)注

    13

    文章

    652

    瀏覽量

    58211
  • 智能鎖
    +關(guān)注

    關(guān)注

    18

    文章

    1091

    瀏覽量

    40244

原文標(biāo)題:開發(fā)智能鎖中提高安全性的13個關(guān)鍵方法

文章出處:【微信號:iotbanks,微信公眾號:iotbanks】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

收藏 人收藏
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

    評論

    相關(guān)推薦
    熱點推薦

    聯(lián)世界,智啟萬家,華普微藍(lán)牙智能解決方案

    隨著智能家居的快速發(fā)展,智能門鎖正成為家庭安防的關(guān)鍵入口設(shè)備。華普微依托自主研發(fā)的低功耗藍(lán)牙BLE芯片和模組,為智能門鎖廠商提供一整套高集成度、低功耗、
    的頭像 發(fā)表于 06-26 15:46 ?129次閱讀
    <b class='flag-5'>鎖</b>聯(lián)世界,智啟萬家,華普微藍(lán)牙<b class='flag-5'>智能</b><b class='flag-5'>鎖</b>解決方案

    低功耗藍(lán)牙智能門鎖應(yīng)用

    、公寓:可實現(xiàn)酒店,公寓門鎖智能化管理,客人可通過手機APP進(jìn)行開鎖、關(guān)等操作,提高入住體驗。 3、辦公場所:通過手機APP設(shè)置不同辦公區(qū)域門鎖的權(quán)限,防止非法人員進(jìn)入辦公區(qū)域,提高安全性
    發(fā)表于 06-25 09:47

    高安全低功耗MCU:機器人控制系統(tǒng)的智能化與可靠提升

    。在機器人不斷向更復(fù)雜、更智能的方向發(fā)展的當(dāng)下,對控制系統(tǒng)的性能要求也在成倍提升。高安全性和低功耗成為了機器人控制系統(tǒng)中至關(guān)重要的兩關(guān)鍵指標(biāo)。廈門國科安芯科技有限公司推出的基于32位
    的頭像 發(fā)表于 04-20 15:13 ?341次閱讀

    如何提高嵌入式代碼質(zhì)量?

    嵌入式系統(tǒng)的發(fā)展已經(jīng)深刻地影響了我們?nèi)粘I畹姆椒矫婷妫瑥?b class='flag-5'>智能家居到汽車控制系統(tǒng),再到醫(yī)療設(shè)備和工業(yè)自動化等領(lǐng)域,嵌入式系統(tǒng)無處不在。嵌入式軟件的質(zhì)量直接關(guān)系到系統(tǒng)的安全性、穩(wěn)定性和性能。因此,提高
    發(fā)表于 01-15 10:48

    電池的安全性測試項目有哪些?

    選擇更加安全可靠的電池產(chǎn)品,也能提高對電池安全性的信任。在電池技術(shù)日益進(jìn)步的今天,安全性測試仍將是確保電池產(chǎn)品質(zhì)量和用戶安全的重要保障。
    的頭像 發(fā)表于 12-06 09:55 ?2065次閱讀
    電池的<b class='flag-5'>安全性</b>測試項目有哪些?

    在電氣安裝中通過負(fù)載箱實現(xiàn)最大效率和安全性

    在電氣安裝中,負(fù)載箱是一種常用的設(shè)備,主要用于模擬實際的電力負(fù)載,以便進(jìn)行各種電氣設(shè)備的測試和調(diào)試。通過負(fù)載箱,可以實現(xiàn)最大效率和安全性,從而提高電氣設(shè)備的運行性能和使用壽命。 負(fù)載箱可以實現(xiàn)最大
    發(fā)表于 11-20 15:24

    使用國產(chǎn)光耦合器提高安全性和效率

    隨著電子系統(tǒng)互連日益增強,保障敏感電路免受高壓部分影響的需求變得尤為關(guān)鍵。國產(chǎn)光耦合器提供了一種可靠的解決方案,能夠有效實現(xiàn)電氣隔離、浪涌保護及信號完整改進(jìn)。本文將深入探討國產(chǎn)光耦合器的核心
    的頭像 發(fā)表于 11-08 15:17 ?393次閱讀

    socket編程的安全性考慮

    在Socket編程中,安全性是一至關(guān)重要的考慮因素。以下是一些關(guān)鍵安全性考慮和措施: 1. 數(shù)據(jù)加密 使用TLS/SSL協(xié)議 :TLS/SSL(傳輸層
    的頭像 發(fā)表于 11-01 16:46 ?737次閱讀

    UWB模塊的安全性評估

    UWB(超寬帶)模塊的安全性評估是一復(fù)雜而關(guān)鍵的過程,涉及多個方面,包括技術(shù)特性、加密機制、抗干擾能力、物理層安全等。以下是對UWB模塊安全性
    的頭像 發(fā)表于 10-31 14:17 ?822次閱讀

    智能系統(tǒng)的安全性分析

    智能系統(tǒng)的安全性分析是一至關(guān)重要的過程,它涉及多個層面和維度,以確保系統(tǒng)在各種情況下都能保持安全、穩(wěn)定和可靠。以下是對智能系統(tǒng)
    的頭像 發(fā)表于 10-29 09:56 ?739次閱讀

    固態(tài)電池的安全性分析

    解決的關(guān)鍵問題。 1. 固態(tài)電池的基本原理 固態(tài)電池與傳統(tǒng)的鋰離子電池的主要區(qū)別在于其電解質(zhì)。固態(tài)電池使用固態(tài)電解質(zhì)代替液態(tài)電解質(zhì),這可以提高電池的熱穩(wěn)定性和機械穩(wěn)定性,從而提高安全性。固態(tài)電解質(zhì)通常由無機材料如氧化
    的頭像 發(fā)表于 10-28 09:23 ?2286次閱讀

    云計算安全性如何保障

    云計算的安全性是一復(fù)雜而多維的問題,涉及多個層面和多種技術(shù)手段。為了保障云計算的安全性,需要采取一系列綜合措施,以下是具體的保障方法: 一、數(shù)據(jù)加密 數(shù)據(jù)加密是保護云計算
    的頭像 發(fā)表于 10-24 09:14 ?872次閱讀

    在跨境電商中,如何確保網(wǎng)絡(luò)節(jié)點的安全性和合規(guī)

    在跨境電商中,確保網(wǎng)絡(luò)節(jié)點的安全性和合規(guī)是至關(guān)重要的。以下是一些關(guān)鍵措施: 1、數(shù)據(jù)保護:加強數(shù)據(jù)保護是提高安全性的重要方面。這包括確保所有敏感數(shù)據(jù)都通過加密傳輸,并在存儲時進(jìn)行加密
    的頭像 發(fā)表于 09-25 13:45 ?1145次閱讀

    智能化病房管理,提高安全性和工作效率

    智能醫(yī)院是指通過信息技術(shù)和智能家居產(chǎn)品,在不同階段實現(xiàn)數(shù)字化、智能化、智能化系統(tǒng)的管理方法,從而提高
    的頭像 發(fā)表于 08-30 14:57 ?476次閱讀

    請問DM平臺訪問安全性如何控制?

    DM平臺訪問安全性如何控制?
    發(fā)表于 07-25 06:10
    主站蜘蛛池模板: 国产自在自线午夜精品视频 | 男人的j桶女人的j视频 | 五月婷婷色视频 | 成人在色线视频在线观看免费大全 | 久久久精品久久久久久久久久久 | 免费爱爱网| 视频网站在线 | 手机在线观看你懂得 | 毛片在线播放网址 | 失禁h啪肉尿出来高h男男 | 久久mimi色| 78m-78模成视频在线 | 复古毛片 | 国产在线视欧美亚综合 | 全部免费特黄特色大片视频 | 成人a区 | 成人免费看黄页网址大全 | 你懂的网站在线播放 | 视频一区二区免费 | 免费看欧美一级片 | 色成网| 日操夜干 | 五月天婷婷色图 | 琪琪午夜伦埋大全影院 | 天天做天天爱夜夜爽毛片毛片 | 在线观看精品国产入口 | 国产亚洲午夜精品a一区二区 | aaaaa级毛片免费视频 | 久久亚洲精品国产精品婷婷 | 欧美性白人极品1819hd | 在线看逼| 男啪女色黄无遮挡免费视频 | 精品国产乱码久久久久久浪潮 | 色一情一乱一乱91av | 久久综合九色综合98一99久久99久 | 亚洲欧美日韩色图 | 午夜性| 精品一区二区三区三区 | 日本高清免费aaaaa大片视频 | 亚洲欧美日韩在线观看你懂的 | 亚洲高清中文字幕一区二区三区 |