越來越多的物聯(lián)網(wǎng)設備正淪為DDoS的盤中餐,隱私逐漸成為網(wǎng)絡交互的重要組成部分,在勒索軟件和各種流氓軟件隨處可見的今天,很多攻擊手段卻變得難以被探測,因此物聯(lián)網(wǎng)的加密措施至關重要。
當物聯(lián)網(wǎng)時代的傳感器變得無處不在,黑客利用IP攝像頭等端口尋找到的潛在目標類型五花八門,例如會盯上一些沒有密碼或弱密碼的網(wǎng)絡打印機。更可怕的是,這些威脅很難讓人感知到,這些攻擊的特點是規(guī)模小,可以逃過安全網(wǎng)絡的監(jiān)控,直接進入到系統(tǒng)后端,但不會在短期內造成嚴重影響。不過一旦把時間線拉長,這些漏洞就會演變成為多維攻擊造成更嚴重的后果。
此時,物聯(lián)網(wǎng)加密就格外關鍵了。如果是從硬件入手,可以考慮使用專用IC或專有安全部件的處理器,通過加密芯片實現(xiàn)密碼運算,其加解密、信息驗證等流程是針對密碼攻擊專門優(yōu)化過的,密鑰和終端關鍵參數(shù)也被保存在硬件內部。當寫入存儲分區(qū)時,只有將加密芯片、專有電子鑰匙、存儲介質同時解綁才能使用,缺一不可。換句話說,要是存儲器脫離了加密芯片和電子鑰匙,使用者在終端上是無法獲得任何數(shù)據(jù)的。
其原理在于,專有安全IC中的電路模塊包括非易失性存儲器、篡改檢測、隨機數(shù)生成器等,并且具備物理不可仿制功能,后者特性使得密鑰等敏感數(shù)據(jù)難以被入侵或被反向追蹤。通常,如果有人想對系統(tǒng)進行破解,會選擇反匯編的方式,而上述方案就堵死了這種方法。
此前,亞馬遜曾與微芯科技聯(lián)合開發(fā)了一款加密芯片來對抗網(wǎng)絡攻擊,試圖在設備端到云端兩側施加保護措施。簡要來說,該芯片在物聯(lián)網(wǎng)設備與AWS之間構建了端到端的身份驗證體系,任何命令在響應前都要經(jīng)過用戶端和云服務的雙重認證,而身份也是基于密鑰創(chuàng)建的。不同于由原始制造商生成密鑰,這款芯片可以自行創(chuàng)建密鑰,然后交由亞馬遜驗證,好處是統(tǒng)一管理強化了控制權。
除了硬件加密,算法加密也是常被用到的安全手段。相信安全人員對于哈希函數(shù)并不陌生,其單向不可逆的特性使得對方難以從哈希值來推斷出原始密碼。當存有密碼信息的哈希值放進數(shù)據(jù)庫后,用戶在登錄系統(tǒng)時可以比對輸入值是否與庫中的哈希值相同。然而,難破解不等于無解,字典攻擊和暴力攻擊是常用于攻破哈希算法的手段,人們能做的只是降低系統(tǒng)被攻擊的頻率和效率。
當哈希值被用于驗證提交的密碼時,如果通過彩虹表的方式對可能出現(xiàn)的文本逐個排查,同時記錄相應輸出,理論上就可以得出攜帶哈希值的反向參數(shù),這時候黑客再借助哈希值密碼表進行對比,最終將這些哈希值轉換為最初的密碼是有可能的。需要注意的是,彩虹表只有在全部密碼以同樣的方式進行哈希加密時才有效。順著這個思路,如果將哈希值隨機化或重復哈希是不是就能避免被攻擊呢?
這時候就有了“加鹽”的概念,通俗理解就是在密碼串中混進隨機字符來做哈希加密,這些字符就是鹽值,可以被加在原始數(shù)據(jù)的前面或后面。用戶為了檢驗密碼需要儲存鹽值,后者一般會與哈希密碼置于同一個數(shù)據(jù)庫中,或直接被融入到哈希字符中。由于鹽值可以讓密碼變得足夠長且是隨機的,因此哈希計算所得出的任意兩個哈希值不會有相同的鹽出現(xiàn),這種隨機遍歷性讓彩虹表和反向查表法失去了效果。
無論是硬件加密還是軟件加密,亦或是異常行為檢測、代碼簽名、DPI檢測、白盒密碼……核心都是為了讓物聯(lián)網(wǎng)環(huán)境更加安全。而隨著量子計算等新型交互方式的到來,網(wǎng)絡加密的復雜性也勢必會隨之增加。
當前位置: