物聯(lián)網(wǎng)（IoT）的急劇增長使我們達(dá)到了承諾的“互聯(lián)世界”現(xiàn)在成為現(xiàn)實的地步。隨著基礎(chǔ)設(shè)施的到位，企業(yè)正在尋找基于連接設(shè)備網(wǎng)絡(luò)提供有價值服務(wù)的方法，增強(qiáng)現(xiàn)有產(chǎn)品并創(chuàng)建新產(chǎn)品。

安全性是這個新世界的關(guān)鍵，特別是在提供必要的軟件更新以使基于物聯(lián)網(wǎng)的服務(wù)處于最前沿方面。本文介紹了軟件更新的過程以及硬件技術(shù)在確保高級別安全性方面的價值。

新服務(wù)和安全性需求

雖然物聯(lián)網(wǎng)硬件具有價值，但大部分令人興奮的事情來自已經(jīng)部署的數(shù)十億個物聯(lián)網(wǎng)節(jié)點(diǎn)以及尚未進(jìn)入我們的智能家居和智能工廠的數(shù)十億個物聯(lián)網(wǎng)節(jié)點(diǎn)可以提供的服務(wù)。

現(xiàn)有企業(yè)和以物聯(lián)網(wǎng)為重點(diǎn)的初創(chuàng)企業(yè)都在迅速開發(fā)新服務(wù)，以贏得新客戶并為現(xiàn)有客戶增加價值，其目標(biāo)是通過為最終用戶提供不斷增長的利益來發(fā)展盈利業(yè)務(wù)。

為了實現(xiàn)通過現(xiàn)有硬件提供新服務(wù)并通過持續(xù)更新保持已安裝服務(wù)的相關(guān)性的雙重目標(biāo)，持續(xù)需要遠(yuǎn)程更新已連接設(shè)備的軟件。因此，物聯(lián)網(wǎng)設(shè)備必須能夠接受對其軟件（包括固件）的無線（OTA）更新。向設(shè)備開放更新帶來了新的機(jī)會和新功能，但也意味著如果設(shè)備沒有得到適當(dāng)?shù)谋Ｗo(hù)，它們就容易受到惡意干擾。

軟件更新不僅對于添加功能和服務(wù)至關(guān)重要，而且對于修復(fù)錯誤和漏洞也至關(guān)重要。正如今天的PC和手機(jī)必須更新以保持適當(dāng)?shù)陌踩砸粯?，物?lián)網(wǎng)設(shè)備也是如此。這些更新必須自動、安全、可靠地進(jìn)行，以便設(shè)備繼續(xù)滿足消費(fèi)者和企業(yè)的需求。

受保護(hù)的軟件更新

執(zhí)行軟件更新可能與腦部手術(shù)一樣具有挑戰(zhàn)性。一個錯誤的舉動可能會對患者造成致命傷害（在物聯(lián)網(wǎng)系統(tǒng)的情況下，失敗的更新可能會致命地破壞設(shè)備）。當(dāng)惡意攻擊的風(fēng)險被添加到組合中時，提供安全可靠的更新過程的重要性怎么強(qiáng)調(diào)都不為過。下面介紹了安全創(chuàng)建和安裝軟件更新的有效過程。

物聯(lián)網(wǎng)軟件更新依靠廣播流程同時訪問多個設(shè)備。

典型的安全軟件更新過程如圖 1 所示。它分為兩個階段：準(zhǔn)備（步驟A和B）和執(zhí)行（步驟1至4）。

在步驟 A 中，設(shè)備供應(yīng)商獲取用于更新的軟件映像，并將元數(shù)據(jù)添加到該映像以生成軟件更新數(shù)據(jù)集。元數(shù)據(jù)對于安全性至關(guān)重要，因為它包括數(shù)字簽名或類似機(jī)制，設(shè)備將使用這些簽名或機(jī)制將授權(quán)更新（由制造商或服務(wù)提供商頒發(fā)）與惡意或其他未經(jīng)授權(quán)的更新區(qū)分開來。元數(shù)據(jù)還可能包括用于標(biāo)識更新和防止回滾的版本號、文件列表和其他字段。

在步驟 B 中，軟件更新數(shù)據(jù)集廣播到目標(biāo)連接的設(shè)備，或在服務(wù)器上提供給這些設(shè)備。在此過程中，攻擊者可能會嘗試阻止該過程以防止更新，或嘗試更改傳輸中的更新以損壞更新。攻擊者還可能復(fù)制更新并對其進(jìn)行逆向工程，以查找弱點(diǎn)或竊取固件或密鑰等知識產(chǎn)權(quán)。必須針對此類攻擊采取對策，包括保護(hù)更新完整性的數(shù)字簽名和保護(hù)更新機(jī)密性的加密。

執(zhí)行階段從步驟 1 開始，遠(yuǎn)程設(shè)備在其中下載軟件更新數(shù)據(jù)集。將軟件更新下載到設(shè)備后，可以在本地觸發(fā)安裝。根據(jù)設(shè)備配置，可以自動或手動觸發(fā)安裝。

在步驟 2 中，將檢查下載的更新的真實性和完整性，確認(rèn)更新來自授權(quán)源（例如，使用數(shù)字簽名）。此時還將完成更新的解密。完成這些檢查后，新軟件即可安裝。

在步驟 3 中，將安裝此更新。使用的確切步驟將因設(shè)備的設(shè)計而異。在所有情況下，更新過程都應(yīng)設(shè)計為從電源故障和其他問題中恢復(fù)。

在步驟 4 中，將激活已安裝的更新。簡單的設(shè)備可能只是重新啟動以激活新軟件。關(guān)鍵設(shè)備可能能夠無縫過渡到新軟件，而不會出現(xiàn)任何服務(wù)缺口。彈性系統(tǒng)旨在檢測新軟件中的故障并自動恢復(fù)。

硬件安全

盡管有結(jié)構(gòu)化的方法和廣泛的測試，但所有軟件都有可能被發(fā)現(xiàn)和利用的弱點(diǎn)。這些漏洞可能允許攻擊者運(yùn)行自己的代碼或發(fā)現(xiàn)存儲在設(shè)備上的機(jī)密。因此，安全專家建議所有關(guān)鍵功能都應(yīng)在安全的硬件中實現(xiàn)。這種方法對于確保OTA更新的安全性特別有價值。適當(dāng)保護(hù)的硬件允許安全地存儲代碼和數(shù)據(jù)，并且可以包括加密以及檢測篡改和試圖操縱代碼或數(shù)據(jù)的能力。

雖然當(dāng)系統(tǒng)中包含安全硬件時，安全更新過程沒有太大區(qū)別，但有幾個額外的步驟，如圖 2 所示。

添加硬件安全性時，更新更安全。

軟件更新數(shù)據(jù)集的生成、廣播和下載方式與之前相同，因此此處省略上圖中的步驟 A、B 和 1。設(shè)備上的更新過程發(fā)生了變化，因為安全關(guān)鍵功能從MCU外包給單獨(dú)的安全I(xiàn)C。

安全 IC 不是僅使用軟件來檢查更新，而是用于驗證更新上的數(shù)字簽名并解密更新。安全I(xiàn)C提供受保護(hù)的密鑰存儲和片上簽名驗證。這解決了幾個潛在的漏洞，例如設(shè)備上正在替換的設(shè)備供應(yīng)商的公鑰或篡改驗證算法的風(fēng)險。安全密鑰存儲還用于存儲用于解碼軟件映像的任何加密的解密密鑰。該密鑰特別敏感，因此必須小心保護(hù)。

基于硬件的安全性還允許在解密的軟件上執(zhí)行最終哈希，作為安全I(xiàn)C中的封裝功能，以在觸發(fā)安裝之前確認(rèn)更新完整性。

用于安全軟件更新的英飛凌 OPTIGA 硬件

英飛凌的OPTIGA系列展示了硬件安全I(xiàn)C的功能。這種易于集成、可擴(kuò)展的交鑰匙解決方案簡化了開發(fā)安全物聯(lián)網(wǎng)解決方案的過程。憑借英飛凌30年的安全專業(yè)知識，OPTIGA器件建立了基于硬件的信任根，由三個關(guān)鍵的安全關(guān)鍵功能（身份驗證、加密和完整性）提供支持。

OPTIGA系列包括多個器件，例如用于嵌入式系統(tǒng)的專用加密解決方案，用于高價值商品的高端交鑰匙安全控制器，用于嵌入式系統(tǒng)的可編程信任錨，以及用于保護(hù)嵌入式網(wǎng)絡(luò)中設(shè)備和系統(tǒng)的完整性和真實性的可信平臺模塊（TPM）。

OPTIGA Trust X專門針對工業(yè)自動化、智能家居、消費(fèi)類設(shè)備、醫(yī)療設(shè)備等中的物聯(lián)網(wǎng)安全性進(jìn)行了優(yōu)化，支持安全的軟件更新，并保護(hù)物聯(lián)網(wǎng)設(shè)備的真實性、完整性和機(jī)密性。

總結(jié)

物聯(lián)網(wǎng)將觸及每個人業(yè)務(wù)和個人生活的許多方面，并將隨著企業(yè)設(shè)計出向客戶提供服務(wù)的新方法而繼續(xù)快速增長。數(shù)十億個物聯(lián)網(wǎng)節(jié)點(diǎn)中的每一個都是惡意方的潛在攻擊點(diǎn)，從而產(chǎn)生數(shù)據(jù)泄露，未經(jīng)授權(quán)控制機(jī)器或更糟的風(fēng)險。

因此，安全性必須成為參與物聯(lián)網(wǎng)設(shè)計的任何人的首要議程。雖然純軟件解決方案提供了一定程度的保護(hù)，但當(dāng)基于硬件安全性的堅實基礎(chǔ)（如英飛凌的 OPTIGA 產(chǎn)品）時，安全性效果最佳。以硬件安全為可靠基礎(chǔ)，物聯(lián)網(wǎng)設(shè)備設(shè)計人員能夠?qū)踩蕴嵘搅硪粋€層次，從而提高客戶滿意度和安全性，同時確保設(shè)備在未來幾年內(nèi)繼續(xù)正常運(yùn)行。

審核編輯：郭婷