任何連接到互聯(lián)網(wǎng)的東西都可能在某一時(shí)候面臨攻擊。攻擊者可能會(huì)試圖遠(yuǎn)程破壞物聯(lián)網(wǎng)設(shè)備，以竊取數(shù)據(jù)，進(jìn)行 DDoS 攻擊，或試圖破壞網(wǎng)絡(luò)的其余部分。物聯(lián)網(wǎng)安全需要一種涵蓋從設(shè)計(jì)、開發(fā)到部署和維護(hù)的整個(gè)設(shè)備生命周期的集成方法。

物聯(lián)網(wǎng)設(shè)備的安全性是客戶和設(shè)備制造商的主要關(guān)注點(diǎn)。為確保兩臺(tái)設(shè)備之間的安全通信，需要保護(hù)兩個(gè)關(guān)鍵區(qū)域。第一個(gè)是兩個(gè)設(shè)備之間的通道和在這些通道內(nèi)流動(dòng)的數(shù)據(jù)。這些數(shù)據(jù)由 Thread、藍(lán)牙等通信協(xié)議予以處理。第二個(gè)是設(shè)備本身的安全性，這屬于開發(fā)人員的責(zé)任。

目前已有若干標(biāo)準(zhǔn)和框架可為物聯(lián)網(wǎng)安全提供指南和最佳實(shí)踐，例如物聯(lián)網(wǎng)安全基金會(huì)、NIST網(wǎng)絡(luò)安全框架、ISO/IEC27000 系列和《OWASP 物聯(lián)網(wǎng) 10 大安全漏洞》等。然而，沒有任何一種通用標(biāo)準(zhǔn)可適用于所有物聯(lián)網(wǎng)設(shè)備，因?yàn)椴煌脑O(shè)備具有不同的安全要求和挑戰(zhàn)，具體取決于其用例、功能和環(huán)境。

因此，物聯(lián)網(wǎng)設(shè)備制造商和開發(fā)人員需要采用和實(shí)施與其特定設(shè)備最相關(guān)且最合適的標(biāo)準(zhǔn)和框架，并跟上物聯(lián)網(wǎng)安全領(lǐng)域的新興趨勢(shì)和技術(shù)。

雖然物聯(lián)網(wǎng)設(shè)備中的安全威脅風(fēng)險(xiǎn)較低，但其他威脅可能產(chǎn)生很大的影響，并造成相當(dāng)大的損害。讓我們深入了解最常見的物聯(lián)網(wǎng)安全威脅：

未經(jīng)授權(quán)的訪問

最常見的安全威脅之一是未經(jīng)授權(quán)的訪問。黑客可以通過(guò)弱密碼和其他漏洞訪問物聯(lián)網(wǎng)設(shè)備，使他們能夠控制設(shè)備或竊取個(gè)人信息。這可能包括訪問設(shè)備的攝像頭或麥克風(fēng)，或使用設(shè)備發(fā)起 DDoS 攻擊。

數(shù)據(jù)泄露

物聯(lián)網(wǎng)設(shè)備的另一個(gè)常見安全威脅是數(shù)據(jù)泄露，當(dāng)攻擊者從設(shè)備或其網(wǎng)絡(luò)獲取敏感或機(jī)密數(shù)據(jù)時(shí)就會(huì)發(fā)生數(shù)據(jù)泄露。這可能會(huì)損害數(shù)據(jù)的隱私性和完整性，并使設(shè)備或用戶面臨身份盜用、欺詐或勒索等威脅。

惡意軟件攻擊

物聯(lián)網(wǎng)設(shè)備的第三個(gè)常見安全威脅是惡意軟件攻擊，即惡意軟件在受害者的系統(tǒng)上執(zhí)行未經(jīng)授權(quán)的操作，這可能會(huì)損害設(shè)備的功能和可靠性，并對(duì)設(shè)備或其網(wǎng)絡(luò)造成損壞、中斷或破壞。

分布式拒絕服務(wù)攻擊

物聯(lián)網(wǎng)設(shè)備的另一個(gè)安全威脅是拒絕服務(wù)攻擊，也就是 DDoS，這種攻擊以網(wǎng)絡(luò)資源和服務(wù)器的可用性為目標(biāo)，通過(guò)使用大量的各種物聯(lián)網(wǎng)設(shè)備從不同位置訪問通信介質(zhì)發(fā)起攻擊，這使得檢測(cè)起來(lái)更加困難。因此，分析和防止 DDoS 是一個(gè)很重要的研究領(lǐng)域。

物理篡改

這是另一種威脅，攻擊者會(huì)以物理方式訪問、更改或損壞設(shè)備或其組件。這種攻擊會(huì)損害物聯(lián)網(wǎng)設(shè)備的完整性、功能和機(jī)密性。這可能會(huì)影響設(shè)備的安全性和功能，并使攻擊者能夠訪問、操作或銷毀設(shè)備或其數(shù)據(jù)。

芯科科技如何應(yīng)對(duì)物聯(lián)網(wǎng)安全挑戰(zhàn)

安全問題通常會(huì)涉及數(shù)據(jù)泄露、惡意軟件攻擊、拒絕服務(wù)攻擊等。然而，物聯(lián)網(wǎng)設(shè)備更容易遭受一些其他類型的攻擊。它們可能是類似于攻擊者試圖在您的設(shè)備上運(yùn)行未經(jīng)授權(quán)的代碼或者試圖執(zhí)行產(chǎn)品偽造等簡(jiǎn)單的攻擊，或者像差分功耗分析攻擊等復(fù)雜的攻擊。

芯科科技通過(guò) Secure Vault 來(lái)解決這些問題。SiliconLabs 的 Secure Vault 是一種高級(jí)安全功能套件，旨在保護(hù)物聯(lián)網(wǎng) (IoT) 設(shè)備免受不斷變化的威脅。

芯科科技是一家領(lǐng)先的物聯(lián)網(wǎng)設(shè)備硅芯片、軟件和解決方案提供商，專注于為更智能、互聯(lián)程度更高的世界提供安全可靠的連接。它提供了一整套強(qiáng)大且全面的物聯(lián)網(wǎng)安全產(chǎn)品和服務(wù)，其產(chǎn)品和服務(wù)具有安全啟動(dòng)、安全調(diào)試、安全密鑰管理和安全身份等功能。

讓我們看看常見的安全對(duì)策，它們可以幫助保護(hù)終端設(shè)備的密鑰和私鑰，并確保實(shí)現(xiàn)一個(gè)完全安全的生態(tài)系統(tǒng)。

Secure Vault Mid 功能將保護(hù)終端設(shè)備免受邏輯攻擊向量的攻擊。一些應(yīng)用程序還需要防止物理攻擊向量，它們需要具備 Secure Vault High 功能，例如安全密鑰管理和篡改保護(hù)。希望保護(hù)其設(shè)備免受產(chǎn)品假冒以及設(shè)備克隆的設(shè)備制造商應(yīng)考慮投資于安全身份，這使調(diào)試管理器能夠在允許設(shè)備加入智能物聯(lián)網(wǎng)網(wǎng)絡(luò)之前對(duì)其身份進(jìn)行驗(yàn)證。

安全密鑰管理

有多種方法可以安全地存儲(chǔ)密鑰。一種方法是創(chuàng)建非常昂貴的內(nèi)存單元，這些內(nèi)存單元將嵌入安全子系統(tǒng)之中。從硅晶片區(qū)域的角度來(lái)看，這些記憶單元代價(jià)高昂，始終會(huì)讓決策者格外關(guān)心：我們?cè)谛酒杏昧硕嗌?最終，從來(lái)沒有足夠的單元，一些關(guān)鍵材料最終以未經(jīng)加密的明文形式存儲(chǔ)在標(biāo)準(zhǔn)內(nèi)存中。用于安全密鑰存儲(chǔ)的另一種方法是使用物理不可復(fù)制功能 (PUF) 創(chuàng)建特定于設(shè)備的密鑰加密密鑰，并將所有關(guān)鍵材料以加密密鑰 BLOB 的形式存儲(chǔ)在標(biāo)準(zhǔn)存儲(chǔ)器中。這種做法的額外好處是，可為您提供近乎無(wú)限的安全密鑰存儲(chǔ)。

物理不可復(fù)制功能 (PUF)

PUF 是一種嵌入集成電路 (IC) 的物理結(jié)構(gòu)，由于其獨(dú)特的微尺度或納米尺度特性源于固有的深亞微米制造工藝變種，因此很難對(duì)其進(jìn)行復(fù)制。靜態(tài)隨機(jī)存取存儲(chǔ)器 (SRAM) PUF 是基于可用標(biāo)準(zhǔn)組件的最知名 PUF。

其他攻擊向量

攻擊者嘗試在我們的設(shè)備上運(yùn)行其未經(jīng)授權(quán)的代碼的威脅始終存在，在允許應(yīng)用程序代碼在設(shè)備上運(yùn)行之前，安全啟動(dòng)會(huì)對(duì)代碼上的簽名進(jìn)行驗(yàn)證，以此來(lái)解決此問題。這是基于 ROM 的信任根，并將該信任根作為驗(yàn)證序列的安全錨。我們還可以通過(guò)鎖定調(diào)試端口和啟用 DPA 對(duì)策來(lái)防止未經(jīng)授權(quán)訪問設(shè)備，以防通過(guò)側(cè)信道攻擊解鎖設(shè)備。

安全性是物聯(lián)網(wǎng)設(shè)備中一個(gè)非常有趣的領(lǐng)域，因?yàn)槿藗冇肋h(yuǎn)無(wú)法確保對(duì)設(shè)備進(jìn)行 100% 的防護(hù)。就像洋蔥的層數(shù)越多就越難以剝開一樣，我們?cè)谠O(shè)備中創(chuàng)建的層數(shù)越多，攻擊者訪問信息的嘗試就越困難、越昂貴。在芯科科技，我們遵循按設(shè)計(jì)確保安全的理念，這意味著從設(shè)計(jì)、開發(fā)到部署和維護(hù)的每一階段，安全均已嵌入并集成到設(shè)備的整個(gè)生命周期之中。