在互聯(lián)的生態(tài)系統(tǒng)中，網(wǎng)絡攻擊的后果往往出乎我們的意料。2015 年烏克蘭電網(wǎng)發(fā)生安全漏洞期間，數(shù)十萬人斷電數(shù)小時。攻擊者不僅可以關閉斷路器，還可以遠程訪問公用事業(yè)公司的監(jiān)控和數(shù)據(jù)采集 (SCADA) 系統(tǒng)，從控制系統(tǒng)中清除硬盤，甚至感染關鍵子系統(tǒng)的固件。惡意固件更新是不可逆的。因此，唯一的選擇是完全替換這些子系統(tǒng)。

諸如此類的攻擊迫使我們超越傳統(tǒng)的網(wǎng)絡安全方法進行思考。由于網(wǎng)絡連接，物聯(lián)網(wǎng) (IoT) 設備和傳感器極易受到遠程啟動的攻擊，這些攻擊對關鍵基礎設施、醫(yī)療保健系統(tǒng)、金融系統(tǒng)以及個人隱私和安全構成嚴重威脅。表 1總結了跨越物聯(lián)網(wǎng)堆棧的可能威脅。

表 1：IoT 端點表的威脅和漏洞。（來源：實用工業(yè)物聯(lián)網(wǎng)安全，Packt Publishers）

為了保護傳統(tǒng)計算，采用基于軟件的控制可能是可行的。但物聯(lián)網(wǎng)需要更強大的安全基礎。

物聯(lián)網(wǎng)運營需要萬無一失的安全性

在物聯(lián)網(wǎng)用例中，運行時要求和威脅與傳統(tǒng) IT 設置有很大不同。

保護數(shù)據(jù)和設備身份

當“事物”進行通信時，除了保護數(shù)據(jù)的隱私和完整性之外，正確識別數(shù)據(jù)的來源和接收者也至關重要。設備身份保護需要具備以下特性，這就需要基于硬件的安全設計：

安全操作系統(tǒng)

啟動完整性

密鑰和秘密的安全存儲

壽命長，不間斷

無論是安全攝像頭、裝配帶還是工業(yè)機器人，嵌入式系統(tǒng)和工業(yè)設備都有望在最少的人為干預下不間斷地運行多年。可靠性、安全性、效率和生產(chǎn)力是這些系統(tǒng)的關鍵期望。在維護停機期間，操作員在應用可能會影響其可靠操作的軟件更新時非常謹慎。

資源受限系統(tǒng)

連接的微控制器、傳感器和執(zhí)行器的內存和 CPU 占用空間很小。電源可用性和連接帶寬也受到限制。在這種情況下，全棧軟件安全性不是一種選擇。此外，由于直接暴露于物理攻擊和惡劣的環(huán)境條件，硬件必須是防篡改的。片上系統(tǒng) (SoC) 設計、加密加速器和安全協(xié)處理器是資源受限場景中更可行的選擇。

更新難以執(zhí)行

嵌入式設備（例如，水力發(fā)電大壩中連接的渦輪機）通常放置在偏遠地區(qū)，可訪問性可能具有挑戰(zhàn)性。維護可用性窗口很少，機器維護比定期軟件更新更關心可靠性。所有這些都使得更新難以應用，這在許多仍在 Windows XP 上運行的工業(yè)系統(tǒng)中很明顯。

加強對復雜威脅的防御

連接設備的安全策略包括：

引導和固件更新完整性

隔離安全代碼和密鑰，以及

防止物理篡改和遠程攻擊

硬件中的安全操作系統(tǒng)和運行時環(huán)境極大地減少了 Windows 和其他流行軟件平臺中的通用漏洞利用。

在硬件中嵌入安全性

要保護連接的設備，第一步是建立信任錨。信任根 (RoT) 確定設備可獲得的最高信任級別。對 RoT 的妥協(xié)會損害對整個系統(tǒng)的信任。傳統(tǒng)計算機主要依賴基于軟件的信任錨。但是，可以證明基于硬件的防篡改信任根 (RoT) 在更高比例的攻擊場景中表現(xiàn)可靠。

硬件安全組件

可以在同一微處理器或專用安全處理器中建立信任區(qū)。許多新設備包括現(xiàn)場可編程門陣列 (FPGA)。FPGA 可在現(xiàn)場重新編程。這是升級 IoT 設備固件時的主要優(yōu)勢。FPGA 單元還可能包括一個 CPU 協(xié)處理器來執(zhí)行與安全相關的內務管理功能。

外形小巧的加密加速器是嵌入加密功能的理想選擇。硬件安全模塊 (HSM) 在同一硬件平臺中提供安全功能的物理隔離。在 ISO 和 TCG 標準中定義的 TPM 通常是嵌入在主板中的安全芯片。

HSM 和 TPM可以提供強大的防篡改、加密密鑰存儲、使用硬件隨機數(shù)生成器 (RNG) 的密鑰生成、強大的身份驗證、啟動完整性保護和固件完整性測量。

設備包含許多秘密，例如密碼、共享秘密和數(shù)據(jù)加密密鑰，這些秘密也需要保護。未經(jīng)授權泄露這些密鑰可能會危及該設備，并可能危及更廣泛的生態(tài)系統(tǒng)（例如，IoT 僵尸網(wǎng)絡）。

存儲在 TPM 中的秘密可以通過物理、軟件或網(wǎng)絡接口提供重要保護，防止丟失。然而，TPM 加密引擎的有限能力可能會影響擴展環(huán)境中的簽名吞吐量——尤其是對于高端端點，例如服務器、路由器和網(wǎng)關。

一種可能的解決方案是將密鑰保留在 TPM 的加密存儲中，但在使用時釋放它們以訪問平臺軟件或高吞吐量加密引擎。這種機制是可信計算架構（稱為“密封”）的一部分。密鑰（或其他機密）存儲在設備的文件系統(tǒng)中的加密文件中，只有在滿足一組預定義的條件時才能使用從 TPM 發(fā)布的密鑰解密。

在產(chǎn)品開發(fā)期間，還值得考慮是否應將安全性應用于嵌入式或可移動外形。例如，在移動手機的情況下，可移動的安全元件可以簡化將存儲的憑據(jù)從一個設備移植到另一個設備的過程。對于許多物聯(lián)網(wǎng)應用（例如，聯(lián)網(wǎng)車輛中的遠程信息處理或信息娛樂模塊），嵌入式安全元件更為合適。

結論

隨著每年數(shù)以百萬計的連接設備進入市場，上市時間壓力以及節(jié)省空間和成本的壓力是巨大的。此外，物聯(lián)網(wǎng)特有的安全標準尚未固化。這些因素通常會導致安全設計較弱。越來越多的黑客報告的物聯(lián)網(wǎng)攻擊、漏洞和利用凸顯了加強物聯(lián)網(wǎng)安全開發(fā)生命周期的必要性。

系統(tǒng)設計人員可以利用來自三星、英飛凌、Microchip 等供應商的硬件安全組件和平臺，除了信任區(qū)技術外，它們還提供安全啟動、安全密鑰存儲和芯片級防篡改功能。

Sravani Bhattacharjee 擔任數(shù)據(jù)通信技術專家已有 20 多年。她是《實用工業(yè)物聯(lián)網(wǎng)安全》一書的作者，這是第一本關于工業(yè)物聯(lián)網(wǎng)安全的書籍。直到 2014 年，作為思科的技術領導者，Sravani 領導了多個企業(yè)云/數(shù)據(jù)中心解決方案的架構規(guī)劃和產(chǎn)品路線圖。作為 Irecamedia.com 的負責人，Sravani 目前與工業(yè)物聯(lián)網(wǎng)創(chuàng)新者合作，通過制作各種編輯和技術營銷內容來推動意識和業(yè)務決策。Sravani 擁有電子工程碩士學位。她是 IEEE 物聯(lián)網(wǎng)分會的成員、作家和演講者。

審核編輯黃宇