在電子設(shè)計中，安全性至關(guān)重要，對于復(fù)雜、資源受限、高度連通的物聯(lián)網(wǎng)（IoT）而言，更是如此。實現(xiàn)物聯(lián)網(wǎng)安全需要依靠成熟的安全原則并警惕不斷變化的威脅，而設(shè)計工程師將產(chǎn)品推向市場時面臨一些物聯(lián)網(wǎng)安全挑戰(zhàn)。

　　物聯(lián)網(wǎng)面臨安全威脅

　　物聯(lián)網(wǎng)目前正逐漸融入大多數(shù)工業(yè)和商業(yè)運營體系中，包括公共設(shè)施、重要的基礎(chǔ)設(shè)施、交通、金融、零售和醫(yī)療。物聯(lián)網(wǎng)設(shè)備能夠感知和測量物理世界，收集人類的各種活動數(shù)據(jù)，促進了智能、自動化、自主命令和控制技術(shù)的廣泛部署。通過無處不在的物聯(lián)網(wǎng)互連智能設(shè)備，企業(yè)能夠創(chuàng)造出真正革命性的技術(shù)，從而改善未來人類社會和經(jīng)濟生活的方方面面。然而，幾乎每個星期都有主流媒體報道數(shù)字安全性的漏洞問題，通常是消費者信用卡信息被盜或使用不當(dāng)而造成損失，與每天發(fā)生的成千上萬個網(wǎng)絡(luò)遭受攻擊的案例相比，這只不過是九牛一毛。安全攻擊包括竊取有價值的數(shù)據(jù)并造成大范圍破壞，更有甚者，會控制關(guān)鍵的系統(tǒng)。從消費者的角度來看，分布式阻斷服務(wù)（DDoS）攻擊可能是最常見的威脅。2016年造成整個互聯(lián)網(wǎng)中斷的Mirai僵尸網(wǎng)絡(luò)第一次敲響了警鐘，令各機構(gòu)意識到這類威脅。繼Mirai之后，Aidra、Wifatch和Gafgyt，以及BCMUPnP、Hunter52和Torii53等新加入的僵尸網(wǎng)絡(luò)，累計侵入了數(shù)百萬部IoT設(shè)備，以擴散其DDoS惡意攻擊軟件、加密貨幣挖礦軟件以及垃圾郵件中繼代理。

　　隨著我們的工作和生活中出現(xiàn)更多的物聯(lián)網(wǎng)設(shè)備，潛在的安全攻擊無處不在，而且規(guī)模越來越大。以智能交通控制為例，設(shè)想一下大城市控制交通流量的傳感器、交通信號燈、協(xié)調(diào)管控車輛的汽車網(wǎng)狀網(wǎng)絡(luò)和控制設(shè)備等基礎(chǔ)設(shè)施暴露給對手的情形。在重要的十字路口通過無線網(wǎng)絡(luò)控制交通信號燈或車輛之間的通信，已經(jīng)不再是好萊塢大片中才會出現(xiàn)的場景，而是一項真實存在的嚴(yán)肅議題。

　　再想一想互聯(lián)網(wǎng)醫(yī)療設(shè)備、商店內(nèi)幫助改善零售購物體驗的智能標(biāo)簽，以及我們的家電如何聯(lián)網(wǎng)。如果你能用自己的智能手機啟動爐子、開鎖、關(guān)閉警報系統(tǒng)，那么其他人呢？

　　上面的例子跟我們所有人都相關(guān)，但是，有很多情形是普通消費者看不到的。設(shè)想針對自動化制造環(huán)境部署的工業(yè)物聯(lián)網(wǎng)（IIoT），如果出現(xiàn)了安全漏洞將會導(dǎo)致怎樣的混亂，生產(chǎn)停機和設(shè)備損壞又可能造成怎樣的財務(wù)損失？

　　隨著潛在的攻擊呈指數(shù)級增長，物聯(lián)網(wǎng)的安全防護必須全面而穩(wěn)健，并具有快速恢復(fù)的能力。

　　圖1：物聯(lián)網(wǎng)設(shè)備數(shù)量及面臨的威脅均呈指數(shù)增長。（圖片來源：Gartner、Softbank、IBM X-Force威脅情報指數(shù)2019，以及Symantec互聯(lián)網(wǎng)安全威脅報告2018）

　　不能只依靠軟件方法

　　試圖竊聽或非法獲取信息并不是什么新鮮事。荷蘭計算機研究員Wim van Eck早在1985年就進行了相關(guān)的研究。他通過截取顯示器的電磁場并進行解碼，成功地從顯示器中獲取了信息。他的開創(chuàng)性工作強調(diào)了一個事實：利用一些價格不高的組件，便可以繞開昂貴的安全防護措施而達到目的。

　　這種非侵入和被動式電磁邊信道攻擊如今變得更加復(fù)雜，并成為眾多攻擊武器的一種。其他邊信道攻擊方法包括差分功耗分析（DPA）等，通常與電磁邊信道攻擊一起使用。通過這種攻擊方式，在執(zhí)行加密處理指令時，物聯(lián)網(wǎng)設(shè)備微控制器中的加密密鑰、密碼和個人身份等敏感信息將以電磁信號的形式被“泄露”。寬帶接收器作為軟件定義的無線電應(yīng)用目前價格已經(jīng)很低，在運行中可用于檢測和存儲電磁信號。

　　DPA是一種更復(fù)雜的竊取方式，通過簡單的功耗分析可以了解設(shè)備運行過程中的處理器功耗。由于處理設(shè)備所消耗的功率會因執(zhí)行的函數(shù)而有所不同，因此可以通過了解功耗情況來識別離散函數(shù)。基于AES、ECC和RSA的加密算法函數(shù)需要大量計算，可以通過功耗測量分析來識別。以微秒時間間隔檢查功耗可以發(fā)現(xiàn)密碼學(xué)中經(jīng)常使用的各種數(shù)字運算，例如平方和乘法。DPA在簡單的功耗分析中增加了統(tǒng)計和糾錯技術(shù)，可以實現(xiàn)機密信息的高精度解碼。

　　通過有線或無線通信方式傳輸?shù)臄?shù)據(jù)泄漏也有可能暴露機密信息。隱蔽信道和“中間人攻擊”是通過監(jiān)聽IoT設(shè)備與主機系統(tǒng)間的通信來收集數(shù)據(jù)的一種有效方法。分析這些數(shù)據(jù)可能會泄露設(shè)備控制協(xié)議及接管遠程連網(wǎng)設(shè)備操作所需的私鑰。

　　黑客使用的另一種攻擊技術(shù)是對未受保護的微控制器和無線系統(tǒng)級芯片（SoC）器件進行植入攻擊。在最簡單的情況下，該技術(shù)可能會降低或干擾微控制器的供電電壓，出現(xiàn)奇怪的錯誤。隨后，這些錯誤可能觸發(fā)其他受保護的設(shè)備打開保存機密信息的寄存器，進而遭受入侵。通過更改頻率、植入錯誤的觸發(fā)信號或更改信號電平來篡改系統(tǒng)的時鐘信號，也可能導(dǎo)致IoT設(shè)備出現(xiàn)異常，從而暴露機密信息，或?qū)е驴刂乒δ鼙徊倏?。這兩種情況都需要對設(shè)備內(nèi)的印制電路板進行物理訪問，但不是侵入性的。

　　由于許多用于保護IoT設(shè)備的安全技術(shù)都是基于軟件的，因此安全信息很可能被非法讀取。AES、ECC和RSA等標(biāo)準(zhǔn)密碼加密算法以軟件棧的形式在微控制器和嵌入式處理器上運行。使用價格低于100美元的設(shè)備和軟件不但可以查看功耗，還可以借助DPA技術(shù)獲得密鑰和其他敏感信息?，F(xiàn)在很容易得到現(xiàn)成的DPA軟件工具自動完成整個過程，甚至不需要熟練掌握這些分析方法。

　　這類攻擊已不再局限于理論領(lǐng)域，它們已被全球的黑客廣泛使用。

　　隨著攻擊力度的不斷增加，物聯(lián)網(wǎng)設(shè)備和系統(tǒng)開發(fā)人員需要重新考慮其安全防護方法，提高安全防護功能，使其更加穩(wěn)健并具備更好的復(fù)原能力。

　　用硬件方法實現(xiàn)物聯(lián)網(wǎng)安全

　　在設(shè)計一種新的IoT設(shè)備之前，最好全面了解該設(shè)備可能受到哪些攻擊，以及需要對什么樣的威脅進行防備。謹(jǐn)慎的做法是從一開始就審查安全需求并將其納入產(chǎn)品規(guī)格。大多數(shù)IoT設(shè)備往往可以使用很多年，因此必須通過無線（OTA）方式進行固件更新，單這一點就可能引起更多的攻擊，因此需要加以考慮。要想防護所有的攻擊，需要一種從芯片到云端的方法，實現(xiàn)基于硬件的安全設(shè)計。

　　英飛凌近日發(fā)布的OPTIGA? Trust M2 ID2安全芯片是完全基于硬件的安全解決方案，其最大優(yōu)勢是能夠抵御針對硬件級別的攻擊。它采用了一些經(jīng)過特殊設(shè)計的精簡邏輯，可以更好地保護數(shù)據(jù)的存儲；即使通過非常專業(yè)的反向工程，也無法輕易的破取并破解原始數(shù)據(jù)；一些專業(yè)的設(shè)計和非標(biāo)準(zhǔn)的代碼實現(xiàn)其實也難于分析和理解；最重要的一點是基于硬件的安全芯片方案可以為整個系統(tǒng)提供可信任的“根”，作為系統(tǒng)可信任的來源。

　　圖2：基于硬件的安全方案所具有的優(yōu)勢。

　　據(jù)英飛凌科技安全互聯(lián)系統(tǒng)事業(yè)部大中華區(qū)物聯(lián)網(wǎng)安全產(chǎn)品線市場經(jīng)理成皓介紹，OPTIGA? Trust M2 ID2安全芯片主要有以下幾個功能：

　　雙向認證功能。OPTIGA? Trust M2 ID2可以存儲多組密鑰和證書，完成物聯(lián)網(wǎng)設(shè)備和云端、以及和其它設(shè)備之間的雙向認證。加載安全芯片的設(shè)備可以和其它控制器及生態(tài)系統(tǒng)內(nèi)的設(shè)備進行雙向認證。在物聯(lián)網(wǎng)整個系統(tǒng)架構(gòu)中，除了云端對設(shè)備的認證非常重要之外，設(shè)備端本身對云端的鑒別也非常重要，所以需要雙向認證而不是單向認證功能。

　　安全通信。在目前的很多物聯(lián)網(wǎng)設(shè)備或應(yīng)用中，有一個很大的安全隱患，就是在鏈路上傳輸?shù)臄?shù)據(jù)本身沒有任何加密機制做保護，尤其是某些用戶隱私數(shù)據(jù)和敏感關(guān)鍵數(shù)據(jù)的傳輸。OPTIGA? Trust M2 ID2可以保障 “設(shè)備和云端”以及和其它設(shè)備之間的通訊完全通過加密的方式完成，消除鏈路上傳輸?shù)陌踩[患。Shielded Connection功能也保證了在設(shè)備內(nèi)部數(shù)據(jù)傳遞的安全性。

　　固件安全更新。在很多物聯(lián)網(wǎng)攻擊模式里，很多的攻擊是通過偽造一些固件包企圖獲取對設(shè)備的控制權(quán)。一般用戶沒有能力鑒別一個固件升級包是否完整、來源是否合法，因此存在較大風(fēng)險，導(dǎo)致設(shè)備被黑客或者不法分子監(jiān)聽或控制。OPTIGA? Trust M2 ID2可以通過“可信任根”的功能，幫助設(shè)備實現(xiàn)鑒別固件升級包來源。

　　個人化數(shù)據(jù)的寫入。OPTIGA? Trust M2 ID2芯片在生產(chǎn)階段的時候就已經(jīng)預(yù)置了阿里的Link ID?服務(wù)器分發(fā)獨一無二的ID信息。終端客戶（IoT設(shè)備廠商的客戶）直接將這款安全芯片嵌入到終端設(shè)備中即可使用。聯(lián)網(wǎng)的時候會完成一次Link ID?設(shè)備在云端的注冊。

　　數(shù)據(jù)安全存儲。把一些用戶的關(guān)鍵數(shù)據(jù)，比如證書、密鑰，通過加密的方式存儲在設(shè)備的內(nèi)部。數(shù)據(jù)存儲在安全芯片內(nèi)部，即使外部整個系統(tǒng)設(shè)計或軟件層面有一些漏洞，因為黑客或者攻擊者沒有訪問安全芯片的能力，因此存儲在安全芯片內(nèi)部的數(shù)據(jù)無法被外部截取和分析，這也是硬件安全芯片比較大的優(yōu)勢。

　　平臺完整性校驗。在系統(tǒng)需要安全啟動的場景下，檢驗設(shè)備上的操作系統(tǒng)或軟件是否已被篡改，進而抵御攻擊。

　　應(yīng)用場景

　　OPTIGA? Trust M2 ID2可應(yīng)用在對安全有一定訴求的場景，成皓介紹了三個比較典型的應(yīng)用領(lǐng)域：智能音箱、智能工廠和網(wǎng)絡(luò)攝像頭。

　　智能音箱

　　智能音箱除了具有傳統(tǒng)的藍牙音箱功能，還可以和用戶進行語音交互，使用戶擔(dān)心自己的個人隱私被監(jiān)聽或關(guān)鍵的個人數(shù)據(jù)泄漏。

　　利用OPTIGA? Trust M2 ID2數(shù)據(jù)存儲加密功能，將賬戶信息、ID信息或密碼存儲到安全芯片內(nèi)部，就不容易被截取了。另外，通過安全芯片的雙向認證功能，可以保證智能音箱只處理經(jīng)過合法來源認證的信息。如果有黑客或陌生人通過偽造遠程語音信息來“開門”或者“開窗”，智能音箱就能鑒別該信息或?qū)λM行操控的設(shè)備的來源是否合法。

　　智能音箱里面的關(guān)鍵數(shù)據(jù)需要上傳到云端，通過OPTIGA? Trust M2 ID2的數(shù)據(jù)加密功能，可以保證設(shè)備端和云端交互的數(shù)據(jù)都通過加密形式進行傳遞，就算被黑客進行數(shù)據(jù)攔截，也無法破譯原始數(shù)據(jù)。

　　如果智能工廠遭受黑客攻擊，會導(dǎo)致整個產(chǎn)線癱瘓。除了產(chǎn)線停產(chǎn)，更致命的損失是會千萬企業(yè)一些核心技術(shù)，比如IP，還有一些關(guān)鍵數(shù)據(jù)的泄漏。在智能工廠的終端設(shè)備（如機械手臂）上，可以嵌入Trust M的安全芯片，對工業(yè)設(shè)備與工業(yè)邊緣網(wǎng)關(guān)通訊數(shù)據(jù)進行加密。通過Trust M2 ID2芯片也可以驗證上傳數(shù)據(jù)的設(shè)備本身是否合法、是否是工廠內(nèi)實際工作的設(shè)備，而非黑客或第三方偽造的設(shè)備。

　　在物聯(lián)網(wǎng)設(shè)備中，網(wǎng)絡(luò)攝像頭是被黑客重點“關(guān)照”的兩類設(shè)備之一。由于網(wǎng)絡(luò)攝像頭本身可監(jiān)控的特性，因而會成為很多不法分子的攻擊對象。

　　目前很多攝像頭被入侵的一個主要原因是它的“弱口令”。“通常很多出廠密碼會默認設(shè)置admin，對黑客來說，攻擊這樣的設(shè)備非常容易。通過在攝像頭里面集成OPTIGA? Trust M2 ID2芯片，可以保證攝像頭與云服務(wù)器之間通訊數(shù)據(jù)進行安全加密，使關(guān)鍵數(shù)據(jù)在鏈路上傳輸時無法被破解?！背绅┱f，“英飛凌的目標(biāo)是希望通過引入安全芯片的方案，與包括阿里云在內(nèi)的合作伙伴進行合作，利過這么一顆小小的安全芯片來提高整個物聯(lián)網(wǎng)的安全等級，幫助大家更好、更安心地享受物聯(lián)網(wǎng)帶來的便利和樂趣?！?/p>

　　結(jié)語

　　任何連網(wǎng)設(shè)備都面臨安全威脅，這些威脅無處不在，并且不斷變化?；谲浖陌踩夹g(shù)曾經(jīng)效果良好，但現(xiàn)在已成為潛在的攻擊目標(biāo)。硬件方法現(xiàn)在被認為是實現(xiàn)全面且穩(wěn)健的安全機制唯一可行的方法。