历史上的今天
今天是:2024年11月13日(星期三)
2020年11月13日 | IoXt提出八大嵌入式设备安全倡议
2020-11-13 来源:EEWORLD
本文节选自Silicon Labs官方博客
在执行有效的安全防护时,嵌入式开发工程师面临着许多挑战。需要了解受保护的内容、威胁情况和要保护的特定攻击载体。
随着越来越多的产品连接起来,主要的攻击来自于互联网,现在整个嵌入式系统都受到不断变化的威胁,所以保护嵌入式设备将成为必然选项。
开发人员可以使用一些技术来简化保护系统的任务。IoXt联盟是一个由多家公司合作,共同主导提出了八项安全倡议。
原则1–不设置通用初始密码
通常,大容量的消费类设备都使用相同的默认密码。通常情况下,用户希望快速部署新设备,因此许多用户不会更改默认密码。为每一个新设备提供一个唯一的工厂编程密码是简单的第一步,使对手更难获得访问或控制权限,尤其是数百个设备部署时。
原则2–安全接口
任何基于微控制器的设备都有许多接口和端口,可以本地或远程访问。主应用程序将在操作和通信期间使用这些端口中的一些。但是,其余部分(尤其是作为外部通信接口的功能)必须是安全的。同样,任何IC-to-IC接口(例如,微控制器和显示控制器之间)必须安全。建议在使用期间对所有接口进行加密和身份验证。
原则3——经验证的加密技术
在一个开放和可互操作技术的世界中,使用业界公认的、开放的和经过验证的密码标准是至关重要的。不建议使用封闭的专有密码算法。开放密码标准的使用鼓励了所有开发人员、工程师和利益相关者的参与,这样就可以不断地对他们进行针对新的安全威胁的潜在漏洞的评估。
原则4——默认安全防护
至关重要的是,当消费者购买新设备时,它已经设置了最高的安全级别。如果一个产品没有配置或者配置了最低的安全选项,那么他就有可能被破解。消费者开箱即用的安全体验应该是启用了所有可能的安全措施。开发人员不应让消费者在默认情况下不受保护。
原则5–软件签名更新
消费者可以通过加密方式自动更新家庭设备,这样,黑客就不能用恶意代码更新设备。
原则6–自动应用软件更新
消费者不应该成为自己设备的管理员,面对是否更新产品软件。如果需要进行更新,应该自动部署和实现。此外,更新应该在不影响设备运行的时候应用。例如,智能联网洗衣机在使用过程中不应进行更新。
原则7–漏洞报告计划
消费者在嵌入式智能家居设备遇到问题时不确定该联系谁。它被入侵了吗?是否存在应报告的新漏洞?这一原则保证,产品制造商将创造一种手段,让客户可以报告问题,并传达他们对产品安全的担忧。
原则8–安全质保日
与产品保修一样,产品保修在购买后有一个有效期,安全更新的有效期也应确定并告知消费者。继续支持具有安全更新的产品涉及持续的工程成本,因此消费者需要能够在购买时做出明智的决定。制造商还可以选择提供延长保修期等举措。
史海拾趣
|
在数控机床发展的最初阶段,其机械结构与通用机床相比没有多大的变化,只是在自动变速、刀架和工作台自动转位和手柄操作等方面作些改变。随着数控技术的发展,考虑到它的控制方式和使用特点,才对机床的生产率、加工精度和寿命提出了更高的要求。数 ...… 查看全部问答> |
|
各位朋友,在制作各种电压检测的产品中,少不了电压取样和比较,常用的比较多,老板为了降成本,所以目前的电压比较器都不能用,(成本原因)要求比较器灵敏度在2mV以下,工作电流小于0.5mA以下,工作电压3-20V,要求成本不超过0.1元人民币,目前国 ...… 查看全部问答> |
|
高密度电源的工艺设计(看看什么叫牛!140mm*44mm*90mm做到5000W) 高密度电源的工艺设计(看看什么叫牛!140mm*44mm*90mm做到5000W) 在网上看到“斜阳古道”大哥发了篇“高密度电源的工艺设计”,看了之后简直是叹服!拿出来与大家分享。在网上找了半天也没找到原理图什么的, ...… 查看全部问答> |
|
最近公司里两台热辊里的温度传感器出现一个偏高(实测126℃),一个偏低(实测121℃),后来把两个温度传感器交换了一下,两个传感器都变成了123℃,可能是什么原因?温度传感器后面有个放大器。… 查看全部问答> |
|
在51单片机中放置一串十几字节的数据,掉电以后数据不丢失,上电以后可以再次读出这个数据, 请问这个数据放在哪里的呢? 怎样用C或者汇编来放这些数据呢? 还有就是怎样对它进行读写?… 查看全部问答> |
|
大侠们好。 最近做有关MPEG4编解码的项目,用的是Intel PXA270处理器。现在发现编码程序的代码中 mp4emblk.c里ippiCopyBlock_8x8_8u和ippiReconBlock_8x8这两个函数不能够链接。也就是说Intel IPP库里面没有这两个函数。 我下的IPP版本是5.0的。 ...… 查看全部问答> |