物聯(lián)網(wǎng)范圍隨著時(shí)代的進(jìn)步和發(fā)展還在持續(xù)擴(kuò)大，達(dá)到工業(yè)、企業(yè)小到家庭、個(gè)人。物聯(lián)網(wǎng)的安全性成了大家關(guān)注的問(wèn)題，科技越加進(jìn)步，同時(shí)安全的風(fēng)險(xiǎn)也隨之高漲。如何保障保障物聯(lián)網(wǎng)的安全，又該如何防止危險(xiǎn)的入侵。

　　隨著物聯(lián)網(wǎng)范圍不斷擴(kuò)大，甚至將企業(yè)、工業(yè)和公營(yíng)事業(yè)應(yīng)用涵蓋在內(nèi)，物聯(lián)網(wǎng)安全性不足的風(fēng)險(xiǎn)也隨之高漲。但想要擴(kuò)展，甚至為社會(huì)帶來(lái)好處前，勢(shì)必得先保障物聯(lián)網(wǎng)的安全。否則，風(fēng)險(xiǎn)過(guò)高，相關(guān)產(chǎn)業(yè)也不會(huì)貿(mào)然投入。

　　基于安全性問(wèn)題不斷升溫，美國(guó)國(guó)土安全部（DHS）為解決物聯(lián)網(wǎng)安全性的挑戰(zhàn)，在2016年11月列出了以下六大原則：

　　˙于設(shè)計(jì)時(shí)間整合安全性

　　˙加強(qiáng)安全性更新與弱點(diǎn)管理

　　˙以經(jīng)過(guò)實(shí)證的安全性做法為基礎(chǔ)

　　˙依潛在沖擊決定安全措施的優(yōu)先級(jí)

　　˙提升物聯(lián)網(wǎng)透明性

　　˙聯(lián)機(jī)時(shí)小心謹(jǐn)慎

　　上述原則是相當(dāng)實(shí)用的架構(gòu)，能讓OEM廠商及使用者認(rèn)識(shí)處理器及搭配軟件所實(shí)作的信任架構(gòu)。以先前多個(gè)產(chǎn)品世代為例，可信任架構(gòu)能幫助設(shè)計(jì)師打造出更安全的物聯(lián)網(wǎng)裝置，用戶也能從連網(wǎng)系統(tǒng)中獲得眾多好處。

　　路由器可遏止惡意入侵

　　整體產(chǎn)業(yè)顯然未將安全性整合至設(shè)計(jì)時(shí)間，2016年的大規(guī)模攻擊事件，就是利用連網(wǎng)裝置的硬件接線默認(rèn)密碼和開(kāi)放式網(wǎng)絡(luò)服務(wù)。遭入侵不只是因?yàn)檠b置安全性不足，更是因?yàn)槲锫?lián)網(wǎng)內(nèi)沒(méi)有其余的減緩措施。

　　位在局域網(wǎng)絡(luò)或互聯(lián)網(wǎng)邊緣的路由器，尤其適合用來(lái)遏止這類惡意行為，此種做法將物聯(lián)網(wǎng)的保全工作托付給ISP，因此難以順利推行，即使ISP不是物聯(lián)網(wǎng)攻擊的目標(biāo)，卻也間接受到波及。隨著越來(lái)越多物聯(lián)網(wǎng)轉(zhuǎn)移到成本更高的無(wú)線連結(jié)，ISP也許會(huì)更樂(lè)意加強(qiáng)其邊際安全性。

　　對(duì)網(wǎng)絡(luò)設(shè)備公司和處理器供貨商而言，此類安全性做法早已司空見(jiàn)慣，像是依封包的數(shù)據(jù)開(kāi)始部分過(guò)濾封包， 或是套用深層封包檢驗(yàn)（DPI），甚至是使用IPsec或SSL，多是利用這些通訊協(xié)議的驗(yàn)證機(jī)制來(lái)保護(hù)其傳輸?shù)臄?shù)據(jù)。視處理器效能及網(wǎng)絡(luò)速度而定，也許能加快這些功能的運(yùn)作。

　　另一種偏離這類安全性做法的方式，則是用戶／實(shí)體行為分析（UEBA）。此技術(shù)進(jìn)一步延伸經(jīng)常用來(lái)追蹤端點(diǎn)及其通訊的DPI，以及基本的啟發(fā)式技巧，利用機(jī)器學(xué)習(xí)方式，從監(jiān)控封包的巨量數(shù)據(jù)集合中學(xué)習(xí)，來(lái)找出異常的網(wǎng)絡(luò)流量，判斷是否為失控的物聯(lián)網(wǎng)裝置、數(shù)據(jù)外泄，或內(nèi)賊引發(fā)的金融詐騙事件。從客戶的現(xiàn)場(chǎng)端，UEBA可透過(guò)通用型處理器在軟件內(nèi)實(shí)作，未來(lái)則能卸除到專用的機(jī)器學(xué)習(xí)處理器。

　　責(zé)任感較強(qiáng)的物聯(lián)網(wǎng)開(kāi)發(fā)人員會(huì)在設(shè)計(jì)時(shí)間實(shí)作安全性，但他們必須改用不同的方式來(lái)選擇處理器，必須將安全性，特別是平臺(tái)安全性，視為選擇組件時(shí)的首要條件。

　　除了網(wǎng)絡(luò)安全性功能，處理器實(shí)作平臺(tái)信任功能，進(jìn)一步延伸ARM CPU的基本可信賴執(zhí)行環(huán)境（TEE）功能。此類平臺(tái)信任方法能在裝置整個(gè)使用壽命期間提供安全保護(hù)，包括裝置的制造、投入運(yùn)行、運(yùn)作、更新和除役等階段，還有從開(kāi)機(jī)到關(guān)機(jī)的整個(gè)循環(huán)。

　　如此一來(lái)，設(shè)計(jì)人員便能打造出可保護(hù)自身完整性的系統(tǒng)，依美國(guó)國(guó)土安全部的建言，也就是使用「整合安全性功能，以強(qiáng)化裝置本身保護(hù)能力與完整性的硬件」。

　　安全性更新與弱點(diǎn)管理

　　毫無(wú)疑問(wèn)地，安全性更新與弱點(diǎn)管理同樣是物聯(lián)網(wǎng)產(chǎn)業(yè)的弱項(xiàng)。對(duì)一般使用者而言，安全性與自身最主要的關(guān)聯(lián)在于：裝置或數(shù)據(jù)控制權(quán)會(huì)被黑客奪走嗎？

　　雖然智能手機(jī)在這方面跟物聯(lián)網(wǎng)裝置一樣脆弱，但智能手機(jī)已不斷加強(qiáng)其安全性。FBI在2016年曾費(fèi)勁心力想要從iPhone擷取數(shù)據(jù)，但Apple讓FBI的任務(wù)難上加難。

　　然而，Apple采用的技術(shù)，裝置與物聯(lián)網(wǎng)基礎(chǔ)架構(gòu)的開(kāi)發(fā)人員同樣也能取得?？尚刨嚻脚_(tái)確保只有OEM簽核的程序代碼可啟動(dòng)裝置。此外，還能保護(hù)程序代碼區(qū)塊及儲(chǔ)存于裝置內(nèi)的數(shù)據(jù)，為OEM提供建構(gòu)區(qū)塊，限制能于裝置執(zhí)行的程序代碼，就像iPhone只能執(zhí)行通過(guò)Apple審核的程序代碼，并透過(guò)其應(yīng)用程序商店下載。

　　從理想層面來(lái)看，物聯(lián)網(wǎng)裝置應(yīng)以可信賴平臺(tái)為基礎(chǔ)，且出貨時(shí)須為零弱點(diǎn)。然而實(shí)際上，所有裝置都包含錯(cuò)誤，而多數(shù)都能透過(guò)軟件修正。經(jīng)由可信賴平臺(tái)，搭配安全布建與更新工具，即使韌體存在過(guò)多錯(cuò)誤，也能利用儲(chǔ)存在芯片內(nèi)的特殊加密密鑰來(lái)進(jìn)行更新。其做法是安裝新的韌體與密鑰，同時(shí)使舊密鑰失效，如此黑客便無(wú)法將裝置回復(fù)為先前有效的韌體映像檔。

　　在安全性更新與弱點(diǎn)管理這個(gè)議題下，國(guó)土安全部提出一個(gè)模糊但引人發(fā)想的建議：擬定停產(chǎn)策略。裝置是否應(yīng)在使用一段時(shí)間或收到OEM的訊號(hào)后自我除役？這種做法當(dāng)然可行，只要使用前面提到的安全開(kāi)機(jī)或更新程序：OEM可在廠內(nèi)設(shè)定裝置程序，讓裝置于特定時(shí)間后停機(jī)，或是推送更新，命令裝置自我終結(jié)。

　　重復(fù)使用經(jīng)過(guò)實(shí)證的安全性做法

　　大部分的技術(shù)供貨商，一向鼓勵(lì)客戶善加利用整合至產(chǎn)品內(nèi)的各項(xiàng)安全功能，亦即“以經(jīng)過(guò)實(shí)證的安全性做法為基礎(chǔ)”。透過(guò)大量的文件記錄和客戶支持服務(wù)，OEM將能妥善利用這些功能。

　　另外，需要自定義功能的客戶也能利用咨詢服務(wù)，相關(guān)廠商亦協(xié)助進(jìn)行系統(tǒng)驗(yàn)證，確認(rèn)系統(tǒng)符合DHS、NIST和開(kāi)放網(wǎng)絡(luò)軟件安全計(jì)劃（Open Web Application Security Project）等組織所建議的最佳實(shí)務(wù)。

　　技術(shù)供貨商皆認(rèn)為善加利用處理器平臺(tái)的信任功能，應(yīng)是物聯(lián)網(wǎng)設(shè)計(jì)人員的首要之務(wù)，有鑒于其影響力之大。只要能防止未經(jīng)授權(quán)的程序代碼執(zhí)行，許多弱點(diǎn)便會(huì)消失。

　　透明性：透明性可讓物聯(lián)網(wǎng)相關(guān)產(chǎn)業(yè)準(zhǔn)確評(píng)估可信賴度。物聯(lián)網(wǎng)系統(tǒng)用戶必須了解潛藏在系統(tǒng)內(nèi)的弱點(diǎn)，而開(kāi)發(fā)人員則必須了解軟硬件組件的潛在弱點(diǎn)。即使是沒(méi)有已知弱點(diǎn)可供檢視的情況下，取得對(duì)安全性開(kāi)發(fā)流程的能見(jiàn)度，亦有助于正確評(píng)估風(fēng)險(xiǎn)。

　　DHS報(bào)告對(duì)透明性的討論主要著重于物聯(lián)網(wǎng)的供應(yīng)鏈，并特別點(diǎn)出仰賴低成本、容易取得的軟硬件解決方案的風(fēng)險(xiǎn)。技術(shù)供貨商在物聯(lián)網(wǎng)裝置的供應(yīng)鏈中扮演關(guān)鍵連結(jié)角色，可協(xié)助OEM提升透明性。在產(chǎn)品使用壽命初期，定義安全制造模式，能讓OEM毋需依賴保密機(jī)制，即可加載已簽核的程序代碼。

　　透過(guò)此模式將獨(dú)特唯一的ID與Salt燒入每一塊芯片，再將這些信息提供給OEM及其ODM外包制造商，如圖一所示。OEM會(huì)產(chǎn)生自己的Salt，技術(shù)供貨商并不會(huì)知道OEM的秘密，而OEM將之托付給供貨商的處理器來(lái)保護(hù)。畢竟，擁有透明性，并不表示得分享所有信息。

　　圖一 ： 安全分布式制造模式提供透明化的安全性。

　　對(duì)ODM來(lái)說(shuō)，處理器可在Slat上自行產(chǎn)生一組獨(dú)特唯一的公有-私人密鑰組。芯片可以輸出公有密鑰，但無(wú)法輸出私人密鑰。OEM可利用公有密鑰簽核程序代碼，再交由ODM燒入裝置。

　　一到現(xiàn)場(chǎng)使用后，處理器會(huì)讓裝置在開(kāi)機(jī)時(shí)驗(yàn)證程序代碼，并向OEM查證，確保裝置未被復(fù)制。同樣的機(jī)制也適用于安全韌體更新與裝置除役?？偨Y(jié)來(lái)說(shuō)，處理器能讓裝置在整個(gè)使用壽命期間保持透明性與完整性。

　　同時(shí)，技術(shù)供貨商亦明確載明處理器的安全宣告，包括哪些功能超出安全范圍，如此，物聯(lián)網(wǎng)相關(guān)產(chǎn)業(yè)便能評(píng)估其可信賴度。

　　謹(jǐn)慎聯(lián)機(jī) 確保物聯(lián)網(wǎng)裝置不受駭

　　物聯(lián)網(wǎng)產(chǎn)業(yè)另一項(xiàng)缺失，就是未小心謹(jǐn)慎地將裝置連接到互聯(lián)網(wǎng)。很明顯地，設(shè)備遭駭可說(shuō)就是裝置未正確連接所導(dǎo)致，因?yàn)檫@些裝置最常發(fā)生意外存取。誰(shuí)能想到，Target的信用卡終端機(jī)竟能經(jīng)由營(yíng)造服務(wù)公司遠(yuǎn)程訪問(wèn)？誰(shuí)能想到，客戶保全攝影機(jī)上的互聯(lián)網(wǎng)Telnet端口會(huì)暴露于風(fēng)險(xiǎn)之中？

　　如先前所述，客戶現(xiàn)場(chǎng)端或互聯(lián)網(wǎng)邊緣的路由器正好位居絕佳的位置，適合用來(lái)監(jiān)控流量、設(shè)立網(wǎng)絡(luò)防火墻、偵測(cè)入侵，還有分析用戶／實(shí)體的行為。如圖二所示，路由器可作為物聯(lián)網(wǎng)裝置的安全代理，設(shè)計(jì)更為出色或擁有更多功能的路由器，甚至可代替裝置執(zhí)行一些工作。

　　圖二 ： 謹(jǐn)慎的聯(lián)機(jī)示意圖：安全網(wǎng)關(guān)有助于保護(hù)終端節(jié)點(diǎn)

　　路由器及設(shè)計(jì)更優(yōu)異且不受局限的物聯(lián)網(wǎng)裝置也可部署SSL或IPsec，以用來(lái)進(jìn)行驗(yàn)證、拒絕未授權(quán)的網(wǎng)絡(luò)裝置聯(lián)機(jī)。

　　保護(hù)物聯(lián)網(wǎng)安全的工具隨手可得，是否要采用全取決于OEM，另外網(wǎng)絡(luò)設(shè)備公司和ISP也需要提供更高一層的安全性，幫助較無(wú)相關(guān)措施的OEM防止裝置遭駭。