構建一個(gè)安全可信的物聯(lián)網(wǎng)世界

家居、汽車(chē)、移動(dòng)通信設備和支付系統中使用的IoT（物聯(lián)網(wǎng)）設備開(kāi)始在健康保健和工業(yè)領(lǐng)域普及。這數十億臺互聯(lián)設備（預計到2025年將有750億臺物聯(lián)網(wǎng)設備）將成為黑客的首要目標。因此，我們不僅要努力構建物聯(lián)網(wǎng)，還必須構建一個(gè)安全無(wú)憂(yōu)的可信任的物聯(lián)網(wǎng)。

最近一些眾所周知的攻擊（包括Mirai、Meltdown/Spectre、Roca、Heartbleed和Rowhammer）打擊了人們對未來(lái)物聯(lián)網(wǎng)的信心。這些攻擊的潛在影響不但是經(jīng)濟上的，也可能危及生命，因為物聯(lián)網(wǎng)設備不僅能感知環(huán)境，還能在環(huán)境中進(jìn)行物理操作。例如：物聯(lián)網(wǎng)設備可根據血糖儀的血糖濃度測量值作用于人體的胰島素泵。

物聯(lián)網(wǎng)挑戰

數十億臺互聯(lián)設備使人們面臨著(zhù)安全性和隱私性方面的嚴峻挑戰。這些設備均配備了傳感器和致動(dòng)器：可作用于真實(shí)的物質(zhì)世界。例如：“智能”胰島素泵就是一種物聯(lián)網(wǎng)設備，在滿(mǎn)足特定條件的情況下，它可以在預先確定的特定范圍內自主決定向患者體內注射胰島素；在其他情況下，注射胰島素的請求可能來(lái)自物聯(lián)網(wǎng)網(wǎng)絡(luò )中的監測器。如果黑客成功破壞了這些胰島素泵的正常功能，結果將是致命的。必須通過(guò)安全性確保阻止黑客的惡意計劃，而安全性是要確保無(wú)論黑客是否成功，任何故障都不會(huì )導致危及生命的情況出現；隱私性則確保不是每個(gè)人都可以公開(kāi)訪(fǎng)問(wèn)這數十億設備處理的數據。

另一個(gè)示例就是未來(lái)的自動(dòng)駕駛汽車(chē)：如果黑客成功地遠程控制了線(xiàn)控驅動(dòng)功能，他們就能夠在不恰當的時(shí)刻改變車(chē)輛的行駛方向。這些設備都是半自動(dòng)化操作的。注冊、配置和初始化之后，它們與終端用戶(hù)之間的交互越少越好：這就是智能化物聯(lián)網(wǎng)設備易用性體驗的一部分。

因此，設備所感知的數據以及根據數據做出的決策都必須可靠。在設備的整個(gè)使用期限內都必須確保這一點(diǎn)。設備的使用期限是不可預測的，一些物聯(lián)網(wǎng)設備可使用10年以上。黑客技術(shù)在不斷改進(jìn)；每天都會(huì )出現新的攻擊。這些攻擊如今覆蓋了“本地”與“遠程”以及“邏輯”與“物理”攻擊矩陣的四個(gè)象限。

{a} 

 

{c} 

1sngrj7 

圖2展示了恩智浦半導體的不同物聯(lián)網(wǎng)架構方法。

四象限安全威脅矩陣

本地攻擊 是通過(guò)實(shí)際接近設備來(lái)執行的，而遠程攻擊則以通過(guò)網(wǎng)絡(luò )連接發(fā)送命令的方式來(lái)執行。通過(guò)執行本地攻擊而獲取的知識，可能導致發(fā)起未來(lái)的遠程攻擊。雖然開(kāi)發(fā)遠程攻擊可能需要掌握大量專(zhuān)業(yè)知識，但它可以實(shí)現攻擊自動(dòng)化，由并不掌握技術(shù)的攻擊者大規模執行。這意味著(zhù)遠程攻擊是可擴展的。

遠程攻擊 可能從一部設備發(fā)起，并在短時(shí)間內影響到數百萬(wàn)部目標設備。對設備、互聯(lián)網(wǎng)服務(wù)或組織的邏輯攻擊是通過(guò)利用系統中的弱點(diǎn)來(lái)執行的，此類(lèi)弱點(diǎn)主要存在于軟件中。它們的執行方式是訪(fǎng)問(wèn)標準接口，包括有線(xiàn)和無(wú)線(xiàn)接口。邏輯攻擊可以實(shí)現自動(dòng)化，無(wú)需具備很多技術(shù)能力，即可大規模發(fā)起攻擊。

物理攻擊 是在設備運行過(guò)程中，利用已知或習得的物理特征，突破關(guān)鍵的安全防線(xiàn)（例如：加密密鑰），從而對設備發(fā)起黑客攻擊。遠程物理攻擊是在軟件中實(shí)現的，例如，在過(guò)去數年內，Rowhammer、Meltdown/Spectre、緩存攻擊、電源域控制器遠程攻擊已經(jīng)興起。

這就是說(shuō)，我們今天設計的設備預計已經(jīng)能夠承受未來(lái)10年以上的未知攻擊。這是一項非常艱巨的挑戰，也意味著(zhù)，所有物聯(lián)網(wǎng)設備都必須能夠在其使用期限內執行安全認證更新。  

圖3智能鎖

安全無(wú)憂(yōu)的可信物聯(lián)網(wǎng)之路

從物聯(lián)網(wǎng)轉向安全無(wú)憂(yōu)的信任互聯(lián)網(wǎng)必須堅持以下原則： “通過(guò)設計確保數據安全性” 、 “通過(guò)設計確保人身安全” 以及 “通過(guò)設計確保隱私性” ，這些相互配合便可實(shí)現“信任互聯(lián)網(wǎng)”這個(gè)最終目標。

“通過(guò)設計確保數據安全性” 意味著(zhù)“安全性”是一種系統屬性，它整合在系統的所有部件和子部件的所有特性之中。也就是說(shuō)，從構想新物聯(lián)網(wǎng)設備的“第一天”就考慮了“安全性”。安全性是以數據的機密性、完整性和真實(shí)性為基礎，亦可用于數據的處理。這意味著(zhù)，存在運行時(shí)監測、安全啟動(dòng)和安全更新等機制。此外，還存在可以發(fā)現攻擊（記住，不存在100%安全的系統）并觸發(fā)必要恢復機制的檢測機制。

彈性是另一個(gè)安全支柱。這就是在此背景之下“通過(guò)設計確保人身安全”出現的原因所在。無(wú)論攻擊者對設備或系統造成了多大的破壞，都必須確保設備或系統的運行不會(huì )造成生命或財產(chǎn)威脅?！巴ㄟ^(guò)設計確保數據安全性”和“通過(guò)設計確保人身安全”意味著(zhù)，設備、系統或解決方案供應商必須通過(guò)外部測試實(shí)驗室和認證機構來(lái)客觀(guān)地評估所實(shí)現的安全性和安全水平。像恩智浦這樣的公司都具有對適用于政府和支付解決方案的產(chǎn)品進(jìn)行通用標準認證的經(jīng)驗。但物聯(lián)網(wǎng)設備安全認證的前景正在發(fā)生變化：業(yè)界采用并認可的現有方案被認為不適用于新興的物聯(lián)網(wǎng)生態(tài)系統。為幫助提高行業(yè)標準，在GlobalPlatform^?的支持下，恩智浦和STMicroelectronics等其他公司提議采用新認證計劃 — “物聯(lián)網(wǎng)平臺安全評估計劃”( SESIP )。該認證不僅秉承了成熟可靠的通用標準方案的一些特性，還可以經(jīng)濟有效地應用于所有物聯(lián)網(wǎng)設備。

“通過(guò)設計確保數據安全性” 的另一個(gè)重要特性就是硬件和軟件安全性都要考慮，因為很明顯，目前并沒(méi)有一種方法可實(shí)現基于軟件的物聯(lián)網(wǎng)安全性，能夠滿(mǎn)足當前和未來(lái)系統安全期望。

“通過(guò)設計確保隱私性” 是指產(chǎn)品/系統/解決方案采用保護隱私的設計。除此之外，在強制性或適當的情況下，保證用戶(hù)及其個(gè)人數據的匿名性和不可追溯性?！半[私性”開(kāi)始備受關(guān)注：世界許多地方開(kāi)始實(shí)施新法律法規，比如歐洲的GDPR。其目的是為了保護包括物聯(lián)網(wǎng)設備在內的終端用戶(hù)的隱私。

需要注意的是，所實(shí)現的安全性和隱私性必須與詳細的風(fēng)險和威脅分析結果相匹配。這些分析必須根據要保護的價(jià)值對附加功能的成本進(jìn)行可靠評估。

圖4智能鎖安全生物識別技術(shù)架構

交付和后續工作

交付安全和保護隱私的產(chǎn)品不僅僅要滿(mǎn)足數據表上的核查清單，還要采用成熟可靠的方法來(lái)架構、設計、實(shí)現、制造、測試、供應和分配產(chǎn)品。此外，還必須進(jìn)行產(chǎn)品生命終結管理。

僅僅銷(xiāo)售“安全可靠的”產(chǎn)品已經(jīng)不再可能了。透明性和安全事故快速響應團隊必須對產(chǎn)品提供持續支持。

圖2中，通過(guò)組合多個(gè)功能級別不同的產(chǎn)品可實(shí)現安全性目標：MCU周?chē)木o湊型節點(diǎn)預計具有安全啟動(dòng)和安全更新功能；MCU和MPU周?chē)倪吘壒濣c(diǎn)預計具有可靠的多核子系統（例如：高端汽車(chē)網(wǎng)關(guān)使用處理器集成車(chē)輛對基礎設施通信(V2X)）；除篡改檢測、軟件和硬件隔離、硬件安全存儲和硬件加密加速，預計還包括針對高端計算密集型移動(dòng)設備的通信或多核應用程序處理功能。高端MCU和MPU的硬件防篡改安全特性可與安全性高的分立嵌入式安全元件互補。外部安全元件最好直接連接至傳感器和致動(dòng)器，以確保傳感的真實(shí)性，且只有在命令是真實(shí)的情況下，才會(huì )操作致動(dòng)器。圖5為安全特性概述。

此外，基于RFID的標記產(chǎn)品有助于部署安全物流鏈，以防止仿冒和克隆。

在制造設備的設計導入階段，還需要將信任配置服務(wù)和云加載服務(wù)集成到MCU和MPU中，這樣不僅可以在非特定安全環(huán)境中進(jìn)行設備開(kāi)發(fā)，還可以將其集成至安全系統中。

圖3為智能門(mén)鎖的藝術(shù)效果圖，而圖4為確保其安全的架構草圖。

嵌入式行業(yè)必須繼續提高標準，并采用與行業(yè)標準和最佳實(shí)踐一致的整體安全方法，從而推動(dòng)信任互聯(lián)網(wǎng)的發(fā)展。

圖5：通過(guò)設計工具箱確保安全

關(guān)于作者

Marc Vauclair是恩智浦半導體公司的高級安全系統架構師，擁有超過(guò)35年的研發(fā)經(jīng)驗，主要負責嵌入式系統的創(chuàng )新安全架構。恩智浦為物聯(lián)網(wǎng)、工業(yè)和汽車(chē)市場(chǎng)提供安全解決方案組合，并加入了安全標準化機構和聯(lián)盟，以促進(jìn)安全無(wú)憂(yōu)的網(wǎng)絡(luò )安全世界。關(guān)于該話(huà)題的更多信息，請參閱 從物聯(lián)網(wǎng)到信任互聯(lián)網(wǎng) 。