保護(hù)物聯(lián)網(wǎng) （IoT） 設(shè)備安全是每個(gè)人的首要任務(wù)——至少看起來(lái)如此。無(wú)論你往哪里看，都會(huì)有一個(gè)關(guān)于更多受損設(shè)備的新故事，再次提醒每個(gè)人問(wèn)題的嚴(yán)重性。對(duì)于如何正確保護(hù)此類設(shè)備，似乎還有很多困惑。顯然，這不能通過(guò) PC 時(shí)代的做法來(lái)實(shí)現(xiàn)。物聯(lián)網(wǎng)設(shè)備沒(méi)有防病毒 （AV） 軟件解決方案，除非設(shè)備具有強(qiáng)大的處理器和足夠的內(nèi)存，當(dāng)然，絕大多數(shù)都沒(méi)有。在后 PC 時(shí)代，安全實(shí)踐也必須發(fā)展。

后 PC 時(shí)代的安全必須是設(shè)備的基礎(chǔ)，并且必須在設(shè)計(jì)中進(jìn)行。它需要以隔離和保護(hù)關(guān)鍵信息、數(shù)據(jù)和代碼的方式來(lái)完成。它的設(shè)計(jì)和實(shí)施還應(yīng)考慮到設(shè)備所在的系統(tǒng)。

但究竟什么是基礎(chǔ)安全？

基礎(chǔ)安全不是一些抽象的概念。相反，它涉及特定技術(shù)和流程的實(shí)施，例如硬件信任根、安全啟動(dòng)、硬件加密、驗(yàn)證其他設(shè)備和應(yīng)用程序的能力以及受信任的補(bǔ)救措施。其中，安全啟動(dòng)過(guò)程可能是最關(guān)鍵的。

安全啟動(dòng)：基礎(chǔ)知識(shí)和優(yōu)勢(shì)

實(shí)施安全啟動(dòng)過(guò)程對(duì)于設(shè)備在其整個(gè)生命周期內(nèi)的完整性至關(guān)重要，原因很簡(jiǎn)單，受感染的啟動(dòng)過(guò)程允許黑客注入惡意軟件或完全替換固件，從而使整個(gè)連接系統(tǒng)易受攻擊。安全啟動(dòng)過(guò)程還通過(guò)提供必要的信任程度，使其他安全功能成為可能。實(shí)際上，安全啟動(dòng)過(guò)程對(duì)于在整個(gè)系統(tǒng)中擴(kuò)展信任根至關(guān)重要。

簡(jiǎn)而言之，安全啟動(dòng)過(guò)程可防止在設(shè)備上電時(shí)執(zhí)行未經(jīng)授權(quán)的代碼，并防止暴露嵌入式啟動(dòng)代碼和軟件 IP。可以通過(guò)許多不同的方式來(lái)完成安全引導(dǎo)過(guò)程，包括使用數(shù)字簽名的二進(jìn)制文件、安全和受信任的引導(dǎo)加載程序、引導(dǎo)文件加密和安全微處理器。

雖然大多數(shù)安全啟動(dòng)聲明都圍繞數(shù)字簽名的啟動(dòng)文件，但除非這些簽名可以使用某種不可變的信任根進(jìn)行驗(yàn)證，否則它并不安全。在這里，我們不打算深入研究安全啟動(dòng)的機(jī)制，而是安排設(shè)備設(shè)計(jì)人員在實(shí)施安全啟動(dòng)過(guò)程時(shí)必須考慮的因素。這些包括：

保護(hù) IP –不保護(hù)公司知識(shí)產(chǎn)權(quán)（代碼）的安全啟動(dòng)過(guò)程不會(huì)提供真正的商業(yè)利益。但是，如果實(shí)施得當(dāng)，可以保護(hù)諸如專有算法之類的軟件 IP 免受黑客攻擊。

受信任的修復(fù)——在設(shè)備出現(xiàn)故障或受損的情況下安全修復(fù)的能力是一項(xiàng)關(guān)鍵能力，它依賴于安全啟動(dòng)過(guò)程，該過(guò)程檢查使用信任根啟動(dòng)的固件映像的有效性。

安全固件更新——驗(yàn)證旨在替換現(xiàn)有固件映像的傳入有效負(fù)載對(duì)于在整個(gè)系統(tǒng)生命周期內(nèi)保持設(shè)備完整性至關(guān)重要。有效載荷的來(lái)源和有效載荷本身必須在應(yīng)用之前進(jìn)行驗(yàn)證，并且通過(guò)正確實(shí)施的安全引導(dǎo)過(guò)程，驗(yàn)證失敗會(huì)導(dǎo)致安全回滾到已知的已驗(yàn)證映像。

與云資源的安全連接——安全啟動(dòng)過(guò)程可確保設(shè)備在每次嘗試通過(guò)使用嵌入式密鑰和證書(shū)進(jìn)行連接時(shí)都通過(guò)云進(jìn)行身份驗(yàn)證。

使用 TrustZone 和 TEE 實(shí)施安全啟動(dòng)

ARM 的 TrustZone 技術(shù)特別適合支持安全啟動(dòng)過(guò)程。如果應(yīng)用程序使用配備 ARM TrustZone 的設(shè)備，從最近發(fā)布的 Cortex-M23 和 -M33 微控制器 （MCU） 到 Cortex-A 級(jí)應(yīng)用處理器，該設(shè)備包含兩個(gè)操作系統(tǒng) （OS） – 可信執(zhí)行環(huán)境 （TEE） ），這是一個(gè)安全操作系統(tǒng)，可管理對(duì)設(shè)備安全區(qū)域的訪問(wèn)，以及執(zhí)行主要應(yīng)用程序的豐富操作系統(tǒng)或豐富執(zhí)行環(huán)境 （REE）。

TEE 在安全引導(dǎo)過(guò)程中起著關(guān)鍵作用，因?yàn)?TEE 在初始 ROM 引導(dǎo)之后但在 REE 之前引導(dǎo)。事實(shí)上，TEE 可以將 REE 作為引導(dǎo)序列的一部分進(jìn)行引導(dǎo)，這樣做可以驗(yàn)證 REE 映像，以便在必要時(shí)采取補(bǔ)救措施。

ARM提供了許多資源來(lái)說(shuō)明 TrustZone for IoT 的用途。自從 ARM 最近通過(guò)一組擴(kuò)展將該技術(shù)提供給基于 MCU 的設(shè)備以來(lái)，人們對(duì) TrustZone 的興趣一直在穩(wěn)步增長(zhǎng)（更多信息請(qǐng)參見(jiàn)文章“使用 ARM TrustZone for v8-M 保護(hù)邊緣”）。

安全啟動(dòng)：策略，而不是復(fù)選框

總而言之，安全啟動(dòng)對(duì)于在設(shè)備的整個(gè)生命周期內(nèi)保持設(shè)備完整性至關(guān)重要。重要的是設(shè)備架構(gòu)師和應(yīng)用程序設(shè)計(jì)人員在定義安全啟動(dòng)過(guò)程之前列出所有安全注意事項(xiàng)。畢竟，安全是一種策略，而不是復(fù)選框。

審核編輯：郭婷