隨著物聯(lián)網(wǎng) （IoT） 繼續(xù)重新定義我們的日常生活，關(guān)于安全性和可靠性的關(guān)鍵需求的爭論仍在繼續(xù)。在汽車、醫(yī)療設(shè)備和航空電子設(shè)備中，由于風(fēng)險(xiǎn)和故障影響，人們期望可靠性。雖然這些行業(yè)的產(chǎn)品必須遵守推動使用高可靠性操作系統(tǒng)和加密的嚴(yán)格政府政策，但許多其他產(chǎn)品則不然。我們的網(wǎng)絡(luò)電視、家用電器和玩具是否同樣需要穩(wěn)健性？

所有物聯(lián)網(wǎng)設(shè)備都是嵌入式系統(tǒng)。在它們的軟件層之下是輸入、輸出、狀態(tài)機(jī)和數(shù)據(jù)?？紤]一個支持 Wi-Fi 的智能烤面包機(jī)；當(dāng)添加到家庭網(wǎng)絡(luò)時(shí)，它會向您的手機(jī)發(fā)送“toast ready”消息。經(jīng)常被誤解的是，一旦在您的家庭網(wǎng)絡(luò)上，烤面包機(jī)在技術(shù)上可以訪問您的手機(jī)和互聯(lián)網(wǎng)、家庭計(jì)算機(jī)和打印機(jī)、家庭安全系統(tǒng)和網(wǎng)絡(luò)攝像頭以及網(wǎng)絡(luò)上的任何其他設(shè)備之間的所有網(wǎng)絡(luò)流量。

為什么我們應(yīng)該相信這個由最新的未知物聯(lián)網(wǎng)初創(chuàng)公司及其眾多合作伙伴開發(fā)的設(shè)備沒有濫用我們的網(wǎng)絡(luò)數(shù)據(jù)？使用惡意軟件，同一烤面包機(jī)還可以：

收集和轉(zhuǎn)發(fā)家庭網(wǎng)絡(luò)上的所有網(wǎng)絡(luò)流量

如果烤面包機(jī)支持語音命令，軟件可以激活麥克風(fēng)并記錄對話

欺騙網(wǎng)絡(luò)上其他關(guān)鍵系統(tǒng)的命令，包括您的手機(jī)、網(wǎng)絡(luò)攝像頭和計(jì)算機(jī)

隨著物聯(lián)網(wǎng)設(shè)備在我們的生活中變得越來越重要，我們對其安全可靠運(yùn)行的信任也越來越高。如果物聯(lián)網(wǎng)的好處是與設(shè)備數(shù)量保持同步，那么物聯(lián)網(wǎng)開發(fā)人員有責(zé)任了解在其嵌入式系統(tǒng)設(shè)計(jì)中建立和保持這種信任的重要性。

建立對物聯(lián)網(wǎng)的信任

對嵌入式安全的信任是指對系統(tǒng)按設(shè)計(jì)運(yùn)行的完整性的期望。軟件相信硬件運(yùn)行正常。應(yīng)用程序相信操作系統(tǒng)不會破壞數(shù)據(jù)。遠(yuǎn)程系統(tǒng)信任它所連接的設(shè)備的身份。

建立信任的過程就是身份驗(yàn)證。系統(tǒng)的信任根是身份驗(yàn)證開始然后延伸到每個軟件層的點(diǎn)。高保證解決方案支持硬件或不可變內(nèi)存中的信任根，因此無法對其進(jìn)行修改。

每次開機(jī)時(shí)，安全啟動過程都會在允許執(zhí)行之前驗(yàn)證每一層的真實(shí)性。這可以確保軟件沒有損壞并且來自有效的來源。除非被證明是可信賴的，否則永遠(yuǎn)不會執(zhí)行組件。

安全啟動的目的是通過在每次開機(jī)時(shí)驗(yàn)證軟件沒有惡意軟件來消除網(wǎng)絡(luò)和物理代碼注入的風(fēng)險(xiǎn)。安全啟動需要考慮許多權(quán)衡，包括啟動時(shí)間、要驗(yàn)證的組件以及如何恢復(fù)。在數(shù)據(jù)和應(yīng)用程序不斷變化的 PC 中，統(tǒng)一可擴(kuò)展固件接口 （UEFI） 安全啟動的價(jià)值在于確保不會修改 BIOS 和內(nèi)核以消除 rootkit。嵌入式系統(tǒng)的不同之處在于軟件緊湊且靜態(tài)，允許對整個圖像進(jìn)行身份驗(yàn)證。

遠(yuǎn)程擴(kuò)展信任

網(wǎng)絡(luò)永遠(yuǎn)不應(yīng)該被信任。始終假設(shè)在每個連接器外都有攻擊者試圖捕獲數(shù)據(jù)、發(fā)出命令并使用您的設(shè)備進(jìn)行“中間人”操作，如圖 2 所示。至少，攻擊者可以監(jiān)控所有數(shù)據(jù)和兩個設(shè)備之間的命令。端點(diǎn)之間的通信可以轉(zhuǎn)發(fā)到后門收集系統(tǒng)。攻擊者還可以同時(shí)欺騙兩個設(shè)備，例如關(guān)閉攝像頭并在替換攝像頭視頻流時(shí)偽造狀態(tài)。

圖 2：中間人拓?fù)涮峁┝诵崽胶推垓_接口的能力。

（點(diǎn)擊圖片放大）

公鑰基礎(chǔ)設(shè)施 （PKI） 加密技術(shù)通過使用證書對端點(diǎn)進(jìn)行相互驗(yàn)證，從而消除了中間人威脅。證書頒發(fā)機(jī)構(gòu) （CA） 為每個設(shè)備生成證書，通過對證書進(jìn)行數(shù)字簽名來保證每個設(shè)備的身份。由私鑰簽發(fā)的數(shù)字簽名僅由相應(yīng)的公鑰進(jìn)行驗(yàn)證。因此，使用 CA 證書，每個設(shè)備可以在接受數(shù)據(jù)之前驗(yàn)證另一個系統(tǒng)的身份。

證書頒發(fā)機(jī)構(gòu)在 Internet 安全中很常見，用于證明 Web 服務(wù)器的身份。在傳輸層安全 （TLS） 中，客戶端在連接期間會收到服務(wù)器的證書。預(yù)加載的 CA 證書用于在設(shè)置加密會話之前對服務(wù)器進(jìn)行身份驗(yàn)證。盡管存在眾所周知的暴力破解和網(wǎng)絡(luò)釣魚攻擊，但網(wǎng)站并沒有承擔(dān)頒發(fā)和管理客戶端證書的昂貴任務(wù)，而是通過加密隧道通過名稱和密碼對用戶進(jìn)行身份驗(yàn)證。

軟件真實(shí)性

你如何確保軟件不會被修改？防火墻、端口掃描、漏洞分析、隔離和遠(yuǎn)程認(rèn)證都可以在運(yùn)行過程中防止網(wǎng)絡(luò)攻擊。但是，斷電時(shí)呢？是什么阻止了某人打開蓋子并訪問閃存以注入代碼或偽造？

使用與證書相同的 PKI 主體，開發(fā)人員可以在啟動和使用 Secure Boot 操作期間簽署軟件映像以證明其真實(shí)性。代碼使用非對稱私鑰簽名，并在運(yùn)行時(shí)使用相應(yīng)的信任錨在設(shè)備上進(jìn)行驗(yàn)證。

企業(yè)安全基礎(chǔ)設(shè)施

使用密碼學(xué)，物聯(lián)網(wǎng)開發(fā)人員可以在不受信任的公共網(wǎng)絡(luò)上創(chuàng)建可信賴的互連設(shè)備系統(tǒng)。實(shí)施端到端安全策略需要一個包含加密模塊、網(wǎng)絡(luò)安全協(xié)議、密鑰保護(hù)和安全啟動的平臺。在保護(hù)設(shè)備的所有工時(shí)之后，如果 CA 和軟件簽名密鑰遭到破壞，投資仍然存在風(fēng)險(xiǎn)。

根 PKI 密鑰的泄露會影響每個制造的設(shè)備。通過訪問根密鑰，攻擊者可以簽署惡意軟件并創(chuàng)建假證書。然后，攻擊者就有能力偽裝成有效系統(tǒng)，能夠隨意收集數(shù)據(jù)和發(fā)出命令。權(quán)衡影響（一個設(shè)備與所有設(shè)備），保護(hù)根密鑰是整個系統(tǒng)最關(guān)鍵的功能，必須相應(yīng)地優(yōu)先考慮。

在當(dāng)今復(fù)雜的制造和供應(yīng)鏈中，帶有硬件安全模塊的工作站是行不通的。物聯(lián)網(wǎng)供應(yīng)鏈包括多個離岸和第三方制造地點(diǎn)，合作伙伴需要在這些地點(diǎn)向安全平臺添加軟件，而不會將知識產(chǎn)權(quán)暴露在同一地點(diǎn)的競爭中。安全基礎(chǔ)設(shè)施為利益相關(guān)者提供了使用密鑰的能力，而不會受到損害。

制定端到端的安全策略

Green Hills Software 的子公司 Integrity Security Services （ISS） 通過端到端嵌入式安全設(shè)計(jì)幫助客戶建立對其設(shè)備的信任，從而支持物聯(lián)網(wǎng)革命。從威脅評估開始分析未經(jīng)授權(quán)的事件的影響，組織可以構(gòu)建一個安全策略來解決 ISS 嵌入式安全的五項(xiàng)規(guī)則。

表 1：實(shí)踐中的端到端安全設(shè)計(jì)。

在整個制造、運(yùn)營和維護(hù)的所有生命周期階段提供端到端的安全保護(hù)。攻擊不僅僅發(fā)生在產(chǎn)品售出之后。員工、合作伙伴和造假者也是威脅候選者，這就是為什么零暴露密鑰管理基礎(chǔ)設(shè)施至關(guān)重要的原因。

與生產(chǎn)測試站不同，安全架構(gòu)和基礎(chǔ)設(shè)施可以跨多個產(chǎn)品線重復(fù)使用。通過首先開發(fā)基礎(chǔ)架構(gòu)解決方案，組織可以將系統(tǒng)的使用整合到多個產(chǎn)品中，從而降低單位成本。遠(yuǎn)程軟件更新、功能控制和“應(yīng)用內(nèi)”購買等增值功能可以進(jìn)一步降低安全成本。利用可信平臺和數(shù)字身份，開發(fā)人員能夠安全地通信和分發(fā)唯一加密的文件。

展望未來

物聯(lián)網(wǎng)的爆炸式發(fā)展與我們以前見過的任何事情都不同。我們面臨的挑戰(zhàn)是決定在這場革命中我們將讓什么來定義我們。它會帶來我們可以信任和依賴的信息服務(wù)，還是仍然是一種新奇的便利？保護(hù)我們的設(shè)備，讓父母可以遠(yuǎn)距離監(jiān)測孩子的血糖，讓房主在度假時(shí)照看他們的家，等等，都是貫穿這場物聯(lián)網(wǎng)革命的故事。它們呼應(yīng)了通過端到端安全設(shè)計(jì)實(shí)現(xiàn)的生命、簡單和信任。

審核編輯：郭婷