對于連接事物來說，互聯(lián)網(wǎng)是一個非常危險的地方。那些安全性不足的人是黑客獲得網(wǎng)絡(luò)訪問權(quán)限的主要目標(biāo)。為了在物聯(lián)網(wǎng)（IoT）和工業(yè)控制系統(tǒng)應(yīng)用中實(shí)現(xiàn)更強(qiáng)的安全性，Mocana最近推出了Mocana TPM 2.0（TrustPoint物聯(lián)網(wǎng)端點(diǎn)安全性），以提供最高水平的物聯(lián)網(wǎng)設(shè)備保證。

使用可信計(jì)算組（TCG）的可信平臺模塊（TPM）2.0標(biāo)準(zhǔn)，Mocana的客戶可以保護(hù)物聯(lián)網(wǎng)設(shè)備的存儲、通信、應(yīng)用程序、更新和容器。（請參閱圖 1。通過支持 TPM 2.0，Mocana 獲得了基于硬件的安全性的所有好處，該安全性于 2009 年被國際標(biāo)準(zhǔn)化組織 （ISO） 和國際電工委員會 （IEC） 標(biāo)準(zhǔn)化為 ISO/IEC 11889。

圖 1.通過支持TPM 2.0，Mocana提供了一個物聯(lián)網(wǎng)安全系統(tǒng)，可以保護(hù)設(shè)備和網(wǎng)關(guān)，同時減少攻擊面。

TPM 是一個專用的微控制器，旨在通過集成的加密密鑰來保護(hù)硬件。Mocana安全軟件通過使用此加密技術(shù)來保護(hù)設(shè)備。Mocana 端點(diǎn)安全軟件對 TPM 2.0 的支持的主要功能包括：

與 TPM 密鑰集成的莫卡納傳輸協(xié)議棧（傳輸層安全性 （TLS）、安全外殼 （SSH） 和互聯(lián)網(wǎng)協(xié)議安全 （IPsec/IKE））

在本機(jī)（裸機(jī)）平臺上運(yùn)行的應(yīng)用程序可以通過本地執(zhí)行模式使用 TPM

在容器（例如 Docker、LXC）或虛擬機(jī) （VM） 環(huán)境中運(yùn)行的應(yīng)用程序可以通過遠(yuǎn)程執(zhí)行模式訪問 TPM

支持認(rèn)證可遷移密鑰 （CMK） 功能以遷移 TPM 密鑰

支持使用 TPM 引用進(jìn)行平臺證明

支持硬件、固件甚至虛擬 TPM（符合 TCG 標(biāo)準(zhǔn)）

憑借其對 TPM 2.0 TCG 規(guī)范的全面支持，Mocana 軟件為應(yīng)用程序開發(fā)人員提供了一組簡單的應(yīng)用程序編程接口 （API），以利用 TPM 功能構(gòu)建受信任的解決方案。這種方法的多供應(yīng)商支持英飛凌、意法半導(dǎo)體和新唐科技的TCG兼容TPM。此外，視窗上的應(yīng)用程序可以利用與位鎖定器共存的 TPM 2.0 功能。通過利用 TPM 2.0 中廣泛的密鑰生成和密鑰操作，該軟件支持存儲和認(rèn)可層次結(jié)構(gòu)以及 RSA 和橢圓曲線加密 （ECC） 密鑰。

具體安全示例

如圖 2 所示，從基于硬件或固件的 TPM 信任根派生的受信任設(shè)備標(biāo)識為數(shù)字身份驗(yàn)證提供了標(biāo)識證明。此方法符合 NIST 800-63B AAL3（最高級別的身份驗(yàn)證保證），并支持 CMS 證書管理 （CMC） 和安全傳輸注冊 （EST） 的機(jī)密擁有證明。它與 Mocana 信任中心服務(wù)集成，可基于多因素可信工件實(shí)現(xiàn)自動化安全設(shè)備注冊。

圖 2.安全性的系統(tǒng)方法從通過 TPM 2.0 進(jìn)行標(biāo)識校對開始。

安全存儲是通過使用 TPM 2.0 密鑰包裝加密密鑰的加密文件或文件夾來保護(hù)數(shù)據(jù)來實(shí)現(xiàn)的。終結(jié)點(diǎn)軟件提供使用 TPM 上的平臺配置寄存器 （PCR） 將加密綁定到設(shè)備狀態(tài)的功能。（請參閱圖 3。

圖 3.對于安全存儲，TrustPoint 物聯(lián)網(wǎng)安全性支持使用經(jīng)過認(rèn)證的 TPM 密鑰對靜態(tài)數(shù)據(jù)進(jìn)行加密。

莫卡納傳輸協(xié)議棧、TLS、SSH 和 IPsec/IKE 可與 TPM 2.0 集成，以實(shí)現(xiàn)安全密鑰存儲和受限訪問。對于安全傳輸，圖 4 顯示了使用受 TPM 保護(hù)的關(guān)聯(lián)私鑰保護(hù)的加密技術(shù)的應(yīng)用程序使用情況。借助此軟件，支持 OpenSSL 的應(yīng)用程序可以使用 TPM 2.0 集成的 OpenSSL 連接器無縫遷移到莫卡納堆棧，以實(shí)現(xiàn)安全通信。

圖 4.在聯(lián)網(wǎng)設(shè)備中實(shí)施安全傳輸，以實(shí)現(xiàn)受限訪問和安全通信。

對于遠(yuǎn)程證明，安全軟件使遠(yuǎn)程服務(wù)（驗(yàn)證程序）能夠確定另一個系統(tǒng)上目標(biāo)平臺完整性的信任級別。驗(yàn)證程序根據(jù) TPM 使用證書頒發(fā)機(jī)構(gòu) （CA） 認(rèn)證的密鑰進(jìn)行簽名，信任本地證明是準(zhǔn)確的。（請參閱圖 5。感興趣的測量擴(kuò)展到 TPM 中的平臺配置寄存器 （PCR）。使用受信任的 CA 頒發(fā)的證明標(biāo)識密鑰 （AIK） 憑據(jù)來證明 TPM 引用。對使用 TPM 密鑰的支持還可確保在更新固件之前信任設(shè)備。

圖 5.Mocana端點(diǎn)安全軟件使用遠(yuǎn)程證明確保容器化應(yīng)用程序的可信度。

安全的東西

通過支持TPM 2.0，Mocana的端到端網(wǎng)絡(luò)安全系統(tǒng)提供開發(fā)，制造，運(yùn)輸和設(shè)備激活安全性以及安全更新和管理，以確保設(shè)備在物聯(lián)網(wǎng)產(chǎn)品的整個生命周期內(nèi)的可信度。這種安全級別符合網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，因?yàn)樗壳笆菨M足美國NIST AAL3要求的唯一解決方案。

審核編輯：郭婷