對于連接事物來說，互聯(lián)網(wǎng)是一個非常危險的地方。那些安全性不足的人是黑客獲得網(wǎng)絡(luò)訪問權(quán)限的主要目標。為了在物聯(lián)網(wǎng)（IoT）和工業(yè)控制系統(tǒng)應(yīng)用中實現(xiàn)更強的安全性，Mocana最近推出了Mocana TPM 2.0（TrustPoint物聯(lián)網(wǎng)端點安全性），以提供最高水平的物聯(lián)網(wǎng)設(shè)備保證。

使用可信計算組（TCG）的可信平臺模塊（TPM）2.0標準，Mocana的客戶可以保護物聯(lián)網(wǎng)設(shè)備的存儲、通信、應(yīng)用程序、更新和容器。（請參閱圖 1。通過支持 TPM 2.0，Mocana 獲得了基于硬件的安全性的所有好處，該安全性于 2009 年被國際標準化組織 （ISO） 和國際電工委員會 （IEC） 標準化為 ISO/IEC 11889。

圖 1.通過支持TPM 2.0，Mocana提供了一個物聯(lián)網(wǎng)安全系統(tǒng)，可以保護設(shè)備和網(wǎng)關(guān)，同時減少攻擊面。

TPM 是一個專用的微控制器，旨在通過集成的加密密鑰來保護硬件。Mocana安全軟件通過使用此加密技術(shù)來保護設(shè)備。Mocana 端點安全軟件對 TPM 2.0 的支持的主要功能包括：

與 TPM 密鑰集成的莫卡納傳輸協(xié)議棧（傳輸層安全性 （TLS）、安全外殼 （SSH） 和互聯(lián)網(wǎng)協(xié)議安全 （IPsec/IKE））

在本機（裸機）平臺上運行的應(yīng)用程序可以通過本地執(zhí)行模式使用 TPM

在容器（例如 Docker、LXC）或虛擬機 （VM） 環(huán)境中運行的應(yīng)用程序可以通過遠程執(zhí)行模式訪問 TPM

支持認證可遷移密鑰 （CMK） 功能以遷移 TPM 密鑰

支持使用 TPM 引用進行平臺證明

支持硬件、固件甚至虛擬 TPM（符合 TCG 標準）

憑借其對 TPM 2.0 TCG 規(guī)范的全面支持，Mocana 軟件為應(yīng)用程序開發(fā)人員提供了一組簡單的應(yīng)用程序編程接口 （API），以利用 TPM 功能構(gòu)建受信任的解決方案。這種方法的多供應(yīng)商支持英飛凌、意法半導(dǎo)體和新唐科技的TCG兼容TPM。此外，視窗上的應(yīng)用程序可以利用與位鎖定器共存的 TPM 2.0 功能。通過利用 TPM 2.0 中廣泛的密鑰生成和密鑰操作，該軟件支持存儲和認可層次結(jié)構(gòu)以及 RSA 和橢圓曲線加密 （ECC） 密鑰。

具體安全示例

如圖 2 所示，從基于硬件或固件的 TPM 信任根派生的受信任設(shè)備標識為數(shù)字身份驗證提供了標識證明。此方法符合 NIST 800-63B AAL3（最高級別的身份驗證保證），并支持 CMS 證書管理 （CMC） 和安全傳輸注冊 （EST） 的機密擁有證明。它與 Mocana 信任中心服務(wù)集成，可基于多因素可信工件實現(xiàn)自動化安全設(shè)備注冊。

圖 2.安全性的系統(tǒng)方法從通過 TPM 2.0 進行標識校對開始。

安全存儲是通過使用 TPM 2.0 密鑰包裝加密密鑰的加密文件或文件夾來保護數(shù)據(jù)來實現(xiàn)的。終結(jié)點軟件提供使用 TPM 上的平臺配置寄存器 （PCR） 將加密綁定到設(shè)備狀態(tài)的功能。（請參閱圖 3。

圖 3.對于安全存儲，TrustPoint 物聯(lián)網(wǎng)安全性支持使用經(jīng)過認證的 TPM 密鑰對靜態(tài)數(shù)據(jù)進行加密。

莫卡納傳輸協(xié)議棧、TLS、SSH 和 IPsec/IKE 可與 TPM 2.0 集成，以實現(xiàn)安全密鑰存儲和受限訪問。對于安全傳輸，圖 4 顯示了使用受 TPM 保護的關(guān)聯(lián)私鑰保護的加密技術(shù)的應(yīng)用程序使用情況。借助此軟件，支持 OpenSSL 的應(yīng)用程序可以使用 TPM 2.0 集成的 OpenSSL 連接器無縫遷移到莫卡納堆棧，以實現(xiàn)安全通信。

圖 4.在聯(lián)網(wǎng)設(shè)備中實施安全傳輸，以實現(xiàn)受限訪問和安全通信。

對于遠程證明，安全軟件使遠程服務(wù)（驗證程序）能夠確定另一個系統(tǒng)上目標平臺完整性的信任級別。驗證程序根據(jù) TPM 使用證書頒發(fā)機構(gòu) （CA） 認證的密鑰進行簽名，信任本地證明是準確的。（請參閱圖 5。感興趣的測量擴展到 TPM 中的平臺配置寄存器 （PCR）。使用受信任的 CA 頒發(fā)的證明標識密鑰 （AIK） 憑據(jù)來證明 TPM 引用。對使用 TPM 密鑰的支持還可確保在更新固件之前信任設(shè)備。

圖 5.Mocana端點安全軟件使用遠程證明確保容器化應(yīng)用程序的可信度。

安全的東西

通過支持TPM 2.0，Mocana的端到端網(wǎng)絡(luò)安全系統(tǒng)提供開發(fā)，制造，運輸和設(shè)備激活安全性以及安全更新和管理，以確保設(shè)備在物聯(lián)網(wǎng)產(chǎn)品的整個生命周期內(nèi)的可信度。這種安全級別符合網(wǎng)絡(luò)安全標準，因為它目前是滿足美國NIST AAL3要求的唯一解決方案。

審核編輯：郭婷