在互聯(lián)的生態(tài)系統(tǒng)中，網(wǎng)絡(luò)攻擊的后果往往出乎我們的意料。2015 年烏克蘭電網(wǎng)發(fā)生安全漏洞期間，數(shù)十萬人斷電數(shù)小時。攻擊者不僅可以關(guān)閉斷路器，還可以遠(yuǎn)程訪問公用事業(yè)公司的監(jiān)控和數(shù)據(jù)采集 (SCADA) 系統(tǒng)，從控制系統(tǒng)中清除硬盤，甚至感染關(guān)鍵子系統(tǒng)的固件。惡意固件更新是不可逆的。因此，唯一的選擇是完全替換這些子系統(tǒng)。

諸如此類的攻擊迫使我們超越傳統(tǒng)的網(wǎng)絡(luò)安全方法進(jìn)行思考。由于網(wǎng)絡(luò)連接，物聯(lián)網(wǎng) (IoT) 設(shè)備和傳感器極易受到遠(yuǎn)程啟動的攻擊，這些攻擊對關(guān)鍵基礎(chǔ)設(shè)施、醫(yī)療保健系統(tǒng)、金融系統(tǒng)以及個人隱私和安全構(gòu)成嚴(yán)重威脅。表 1總結(jié)了跨越物聯(lián)網(wǎng)堆棧的可能威脅。

表 1：IoT 端點表的威脅和漏洞。（來源：實用工業(yè)物聯(lián)網(wǎng)安全，Packt Publishers）

為了保護(hù)傳統(tǒng)計算，采用基于軟件的控制可能是可行的。但物聯(lián)網(wǎng)需要更強(qiáng)大的安全基礎(chǔ)。

物聯(lián)網(wǎng)運營需要萬無一失的安全性

在物聯(lián)網(wǎng)用例中，運行時要求和威脅與傳統(tǒng) IT 設(shè)置有很大不同。

保護(hù)數(shù)據(jù)和設(shè)備身份

當(dāng)“事物”進(jìn)行通信時，除了保護(hù)數(shù)據(jù)的隱私和完整性之外，正確識別數(shù)據(jù)的來源和接收者也至關(guān)重要。設(shè)備身份保護(hù)需要具備以下特性，這就需要基于硬件的安全設(shè)計：

安全操作系統(tǒng)

啟動完整性

密鑰和秘密的安全存儲

壽命長，不間斷

無論是安全攝像頭、裝配帶還是工業(yè)機(jī)器人，嵌入式系統(tǒng)和工業(yè)設(shè)備都有望在最少的人為干預(yù)下不間斷地運行多年。可靠性、安全性、效率和生產(chǎn)力是這些系統(tǒng)的關(guān)鍵期望。在維護(hù)停機(jī)期間，操作員在應(yīng)用可能會影響其可靠操作的軟件更新時非常謹(jǐn)慎。

資源受限系統(tǒng)

連接的微控制器、傳感器和執(zhí)行器的內(nèi)存和 CPU 占用空間很小。電源可用性和連接帶寬也受到限制。在這種情況下，全棧軟件安全性不是一種選擇。此外，由于直接暴露于物理攻擊和惡劣的環(huán)境條件，硬件必須是防篡改的。片上系統(tǒng) (SoC) 設(shè)計、加密加速器和安全協(xié)處理器是資源受限場景中更可行的選擇。

更新難以執(zhí)行

嵌入式設(shè)備（例如，水力發(fā)電大壩中連接的渦輪機(jī)）通常放置在偏遠(yuǎn)地區(qū)，可訪問性可能具有挑戰(zhàn)性。維護(hù)可用性窗口很少，機(jī)器維護(hù)比定期軟件更新更關(guān)心可靠性。所有這些都使得更新難以應(yīng)用，這在許多仍在 Windows XP 上運行的工業(yè)系統(tǒng)中很明顯。

加強(qiáng)對復(fù)雜威脅的防御

連接設(shè)備的安全策略包括：

引導(dǎo)和固件更新完整性

隔離安全代碼和密鑰，以及

防止物理篡改和遠(yuǎn)程攻擊

硬件中的安全操作系統(tǒng)和運行時環(huán)境極大地減少了 Windows 和其他流行軟件平臺中的通用漏洞利用。

在硬件中嵌入安全性

要保護(hù)連接的設(shè)備，第一步是建立信任錨。信任根 (RoT) 確定設(shè)備可獲得的最高信任級別。對 RoT 的妥協(xié)會損害對整個系統(tǒng)的信任。傳統(tǒng)計算機(jī)主要依賴基于軟件的信任錨。但是，可以證明基于硬件的防篡改信任根 (RoT) 在更高比例的攻擊場景中表現(xiàn)可靠。

硬件安全組件

可以在同一微處理器或?qū)Ｓ冒踩幚砥髦薪⑿湃螀^(qū)。許多新設(shè)備包括現(xiàn)場可編程門陣列 (FPGA)。FPGA 可在現(xiàn)場重新編程。這是升級 IoT 設(shè)備固件時的主要優(yōu)勢。FPGA 單元還可能包括一個 CPU 協(xié)處理器來執(zhí)行與安全相關(guān)的內(nèi)務(wù)管理功能。

外形小巧的加密加速器是嵌入加密功能的理想選擇。硬件安全模塊 (HSM) 在同一硬件平臺中提供安全功能的物理隔離。在 ISO 和 TCG 標(biāo)準(zhǔn)中定義的 TPM 通常是嵌入在主板中的安全芯片。

HSM 和 TPM可以提供強(qiáng)大的防篡改、加密密鑰存儲、使用硬件隨機(jī)數(shù)生成器 (RNG) 的密鑰生成、強(qiáng)大的身份驗證、啟動完整性保護(hù)和固件完整性測量。

設(shè)備包含許多秘密，例如密碼、共享秘密和數(shù)據(jù)加密密鑰，這些秘密也需要保護(hù)。未經(jīng)授權(quán)泄露這些密鑰可能會危及該設(shè)備，并可能危及更廣泛的生態(tài)系統(tǒng)（例如，IoT 僵尸網(wǎng)絡(luò)）。

存儲在 TPM 中的秘密可以通過物理、軟件或網(wǎng)絡(luò)接口提供重要保護(hù)，防止丟失。然而，TPM 加密引擎的有限能力可能會影響擴(kuò)展環(huán)境中的簽名吞吐量——尤其是對于高端端點，例如服務(wù)器、路由器和網(wǎng)關(guān)。

一種可能的解決方案是將密鑰保留在 TPM 的加密存儲中，但在使用時釋放它們以訪問平臺軟件或高吞吐量加密引擎。這種機(jī)制是可信計算架構(gòu)（稱為“密封”）的一部分。密鑰（或其他機(jī)密）存儲在設(shè)備的文件系統(tǒng)中的加密文件中，只有在滿足一組預(yù)定義的條件時才能使用從 TPM 發(fā)布的密鑰解密。

在產(chǎn)品開發(fā)期間，還值得考慮是否應(yīng)將安全性應(yīng)用于嵌入式或可移動外形。例如，在移動手機(jī)的情況下，可移動的安全元件可以簡化將存儲的憑據(jù)從一個設(shè)備移植到另一個設(shè)備的過程。對于許多物聯(lián)網(wǎng)應(yīng)用（例如，聯(lián)網(wǎng)車輛中的遠(yuǎn)程信息處理或信息娛樂模塊），嵌入式安全元件更為合適。

結(jié)論

隨著每年數(shù)以百萬計的連接設(shè)備進(jìn)入市場，上市時間壓力以及節(jié)省空間和成本的壓力是巨大的。此外，物聯(lián)網(wǎng)特有的安全標(biāo)準(zhǔn)尚未固化。這些因素通常會導(dǎo)致安全設(shè)計較弱。越來越多的黑客報告的物聯(lián)網(wǎng)攻擊、漏洞和利用凸顯了加強(qiáng)物聯(lián)網(wǎng)安全開發(fā)生命周期的必要性。

系統(tǒng)設(shè)計人員可以利用來自三星、英飛凌、Microchip 等供應(yīng)商的硬件安全組件和平臺，除了信任區(qū)技術(shù)外，它們還提供安全啟動、安全密鑰存儲和芯片級防篡改功能。

Sravani Bhattacharjee 擔(dān)任數(shù)據(jù)通信技術(shù)專家已有 20 多年。她是《實用工業(yè)物聯(lián)網(wǎng)安全》一書的作者，這是第一本關(guān)于工業(yè)物聯(lián)網(wǎng)安全的書籍。直到 2014 年，作為思科的技術(shù)領(lǐng)導(dǎo)者，Sravani 領(lǐng)導(dǎo)了多個企業(yè)云/數(shù)據(jù)中心解決方案的架構(gòu)規(guī)劃和產(chǎn)品路線圖。作為 Irecamedia.com 的負(fù)責(zé)人，Sravani 目前與工業(yè)物聯(lián)網(wǎng)創(chuàng)新者合作，通過制作各種編輯和技術(shù)營銷內(nèi)容來推動意識和業(yè)務(wù)決策。Sravani 擁有電子工程碩士學(xué)位。她是 IEEE 物聯(lián)網(wǎng)分會的成員、作家和演講者。

審核編輯黃宇