物聯(lián)網(wǎng)范圍隨著時代的進步和發(fā)展還在持續(xù)擴大，達到工業(yè)、企業(yè)小到家庭、個人。物聯(lián)網(wǎng)的安全性成了大家關注的問題，科技越加進步，同時安全的風險也隨之高漲。如何保障保障物聯(lián)網(wǎng)的安全，又該如何防止危險的入侵。

　　隨著物聯(lián)網(wǎng)范圍不斷擴大，甚至將企業(yè)、工業(yè)和公營事業(yè)應用涵蓋在內(nèi)，物聯(lián)網(wǎng)安全性不足的風險也隨之高漲。但想要擴展，甚至為社會帶來好處前，勢必得先保障物聯(lián)網(wǎng)的安全。否則，風險過高，相關產(chǎn)業(yè)也不會貿(mào)然投入。

　　基于安全性問題不斷升溫，美國國土安全部（DHS）為解決物聯(lián)網(wǎng)安全性的挑戰(zhàn)，在2016年11月列出了以下六大原則：

　　˙于設計時間整合安全性

　　˙加強安全性更新與弱點管理

　　˙以經(jīng)過實證的安全性做法為基礎

　　˙依潛在沖擊決定安全措施的優(yōu)先級

　　˙提升物聯(lián)網(wǎng)透明性

　　˙聯(lián)機時小心謹慎

　　上述原則是相當實用的架構，能讓OEM廠商及使用者認識處理器及搭配軟件所實作的信任架構。以先前多個產(chǎn)品世代為例，可信任架構能幫助設計師打造出更安全的物聯(lián)網(wǎng)裝置，用戶也能從連網(wǎng)系統(tǒng)中獲得眾多好處。

　　路由器可遏止惡意入侵

　　整體產(chǎn)業(yè)顯然未將安全性整合至設計時間，2016年的大規(guī)模攻擊事件，就是利用連網(wǎng)裝置的硬件接線默認密碼和開放式網(wǎng)絡服務。遭入侵不只是因為裝置安全性不足，更是因為物聯(lián)網(wǎng)內(nèi)沒有其余的減緩措施。

　　位在局域網(wǎng)絡或互聯(lián)網(wǎng)邊緣的路由器，尤其適合用來遏止這類惡意行為，此種做法將物聯(lián)網(wǎng)的保全工作托付給ISP，因此難以順利推行，即使ISP不是物聯(lián)網(wǎng)攻擊的目標，卻也間接受到波及。隨著越來越多物聯(lián)網(wǎng)轉移到成本更高的無線連結，ISP也許會更樂意加強其邊際安全性。

　　對網(wǎng)絡設備公司和處理器供貨商而言，此類安全性做法早已司空見慣，像是依封包的數(shù)據(jù)開始部分過濾封包， 或是套用深層封包檢驗（DPI），甚至是使用IPsec或SSL，多是利用這些通訊協(xié)議的驗證機制來保護其傳輸?shù)臄?shù)據(jù)。視處理器效能及網(wǎng)絡速度而定，也許能加快這些功能的運作。

　　另一種偏離這類安全性做法的方式，則是用戶／實體行為分析（UEBA）。此技術進一步延伸經(jīng)常用來追蹤端點及其通訊的DPI，以及基本的啟發(fā)式技巧，利用機器學習方式，從監(jiān)控封包的巨量數(shù)據(jù)集合中學習，來找出異常的網(wǎng)絡流量，判斷是否為失控的物聯(lián)網(wǎng)裝置、數(shù)據(jù)外泄，或內(nèi)賊引發(fā)的金融詐騙事件。從客戶的現(xiàn)場端，UEBA可透過通用型處理器在軟件內(nèi)實作，未來則能卸除到專用的機器學習處理器。

　　責任感較強的物聯(lián)網(wǎng)開發(fā)人員會在設計時間實作安全性，但他們必須改用不同的方式來選擇處理器，必須將安全性，特別是平臺安全性，視為選擇組件時的首要條件。

　　除了網(wǎng)絡安全性功能，處理器實作平臺信任功能，進一步延伸ARM CPU的基本可信賴執(zhí)行環(huán)境（TEE）功能。此類平臺信任方法能在裝置整個使用壽命期間提供安全保護，包括裝置的制造、投入運行、運作、更新和除役等階段，還有從開機到關機的整個循環(huán)。

　　如此一來，設計人員便能打造出可保護自身完整性的系統(tǒng)，依美國國土安全部的建言，也就是使用「整合安全性功能，以強化裝置本身保護能力與完整性的硬件」。

　　安全性更新與弱點管理

　　毫無疑問地，安全性更新與弱點管理同樣是物聯(lián)網(wǎng)產(chǎn)業(yè)的弱項。對一般使用者而言，安全性與自身最主要的關聯(lián)在于：裝置或數(shù)據(jù)控制權會被黑客奪走嗎？

　　雖然智能手機在這方面跟物聯(lián)網(wǎng)裝置一樣脆弱，但智能手機已不斷加強其安全性。FBI在2016年曾費勁心力想要從iPhone擷取數(shù)據(jù)，但Apple讓FBI的任務難上加難。

　　然而，Apple采用的技術，裝置與物聯(lián)網(wǎng)基礎架構的開發(fā)人員同樣也能取得。可信賴平臺確保只有OEM簽核的程序代碼可啟動裝置。此外，還能保護程序代碼區(qū)塊及儲存于裝置內(nèi)的數(shù)據(jù)，為OEM提供建構區(qū)塊，限制能于裝置執(zhí)行的程序代碼，就像iPhone只能執(zhí)行通過Apple審核的程序代碼，并透過其應用程序商店下載。

　　從理想層面來看，物聯(lián)網(wǎng)裝置應以可信賴平臺為基礎，且出貨時須為零弱點。然而實際上，所有裝置都包含錯誤，而多數(shù)都能透過軟件修正。經(jīng)由可信賴平臺，搭配安全布建與更新工具，即使韌體存在過多錯誤，也能利用儲存在芯片內(nèi)的特殊加密密鑰來進行更新。其做法是安裝新的韌體與密鑰，同時使舊密鑰失效，如此黑客便無法將裝置回復為先前有效的韌體映像檔。

　　在安全性更新與弱點管理這個議題下，國土安全部提出一個模糊但引人發(fā)想的建議：擬定停產(chǎn)策略。裝置是否應在使用一段時間或收到OEM的訊號后自我除役？這種做法當然可行，只要使用前面提到的安全開機或更新程序：OEM可在廠內(nèi)設定裝置程序，讓裝置于特定時間后停機，或是推送更新，命令裝置自我終結。

　　重復使用經(jīng)過實證的安全性做法

　　大部分的技術供貨商，一向鼓勵客戶善加利用整合至產(chǎn)品內(nèi)的各項安全功能，亦即“以經(jīng)過實證的安全性做法為基礎”。透過大量的文件記錄和客戶支持服務，OEM將能妥善利用這些功能。

　　另外，需要自定義功能的客戶也能利用咨詢服務，相關廠商亦協(xié)助進行系統(tǒng)驗證，確認系統(tǒng)符合DHS、NIST和開放網(wǎng)絡軟件安全計劃（Open Web Application Security Project）等組織所建議的最佳實務。

　　技術供貨商皆認為善加利用處理器平臺的信任功能，應是物聯(lián)網(wǎng)設計人員的首要之務，有鑒于其影響力之大。只要能防止未經(jīng)授權的程序代碼執(zhí)行，許多弱點便會消失。

　　透明性：透明性可讓物聯(lián)網(wǎng)相關產(chǎn)業(yè)準確評估可信賴度。物聯(lián)網(wǎng)系統(tǒng)用戶必須了解潛藏在系統(tǒng)內(nèi)的弱點，而開發(fā)人員則必須了解軟硬件組件的潛在弱點。即使是沒有已知弱點可供檢視的情況下，取得對安全性開發(fā)流程的能見度，亦有助于正確評估風險。

　　DHS報告對透明性的討論主要著重于物聯(lián)網(wǎng)的供應鏈，并特別點出仰賴低成本、容易取得的軟硬件解決方案的風險。技術供貨商在物聯(lián)網(wǎng)裝置的供應鏈中扮演關鍵連結角色，可協(xié)助OEM提升透明性。在產(chǎn)品使用壽命初期，定義安全制造模式，能讓OEM毋需依賴保密機制，即可加載已簽核的程序代碼。

　　透過此模式將獨特唯一的ID與Salt燒入每一塊芯片，再將這些信息提供給OEM及其ODM外包制造商，如圖一所示。OEM會產(chǎn)生自己的Salt，技術供貨商并不會知道OEM的秘密，而OEM將之托付給供貨商的處理器來保護。畢竟，擁有透明性，并不表示得分享所有信息。

　　圖一 ： 安全分布式制造模式提供透明化的安全性。

　　對ODM來說，處理器可在Slat上自行產(chǎn)生一組獨特唯一的公有-私人密鑰組。芯片可以輸出公有密鑰，但無法輸出私人密鑰。OEM可利用公有密鑰簽核程序代碼，再交由ODM燒入裝置。

　　一到現(xiàn)場使用后，處理器會讓裝置在開機時驗證程序代碼，并向OEM查證，確保裝置未被復制。同樣的機制也適用于安全韌體更新與裝置除役?？偨Y來說，處理器能讓裝置在整個使用壽命期間保持透明性與完整性。

　　同時，技術供貨商亦明確載明處理器的安全宣告，包括哪些功能超出安全范圍，如此，物聯(lián)網(wǎng)相關產(chǎn)業(yè)便能評估其可信賴度。

　　謹慎聯(lián)機 確保物聯(lián)網(wǎng)裝置不受駭

　　物聯(lián)網(wǎng)產(chǎn)業(yè)另一項缺失，就是未小心謹慎地將裝置連接到互聯(lián)網(wǎng)。很明顯地，設備遭駭可說就是裝置未正確連接所導致，因為這些裝置最常發(fā)生意外存取。誰能想到，Target的信用卡終端機竟能經(jīng)由營造服務公司遠程訪問？誰能想到，客戶保全攝影機上的互聯(lián)網(wǎng)Telnet端口會暴露于風險之中？

　　如先前所述，客戶現(xiàn)場端或互聯(lián)網(wǎng)邊緣的路由器正好位居絕佳的位置，適合用來監(jiān)控流量、設立網(wǎng)絡防火墻、偵測入侵，還有分析用戶／實體的行為。如圖二所示，路由器可作為物聯(lián)網(wǎng)裝置的安全代理，設計更為出色或擁有更多功能的路由器，甚至可代替裝置執(zhí)行一些工作。

　　圖二 ： 謹慎的聯(lián)機示意圖：安全網(wǎng)關有助于保護終端節(jié)點

　　路由器及設計更優(yōu)異且不受局限的物聯(lián)網(wǎng)裝置也可部署SSL或IPsec，以用來進行驗證、拒絕未授權的網(wǎng)絡裝置聯(lián)機。

　　保護物聯(lián)網(wǎng)安全的工具隨手可得，是否要采用全取決于OEM，另外網(wǎng)絡設備公司和ISP也需要提供更高一層的安全性，幫助較無相關措施的OEM防止裝置遭駭。