全球管理咨詢公司麥肯錫公司最近詢問了一組專家——包括麻省理工學院媒體實驗室主任和谷歌高級技術項目副主任——與物聯(lián)網(wǎng) (IoT) 相關的最大風險是什么。猜出答案沒有獎品。

“我們正在創(chuàng)造大量新的攻擊面，”麥肯錫的一位受訪者表示?！拔锫?lián)網(wǎng)可以 [擴大] 任何類型的網(wǎng)絡攻擊的攻擊面，”另一位說。三分之一的人說：“我擔心人們會獲取我的信息或導致設備在物理上做錯事?！?第四個人簡潔地回答：“安全風險?！?/p>

知道物聯(lián)網(wǎng)帶來安全風險并不是什么新鮮事；例如，連接的傳感器收集的數(shù)據(jù)（無論是監(jiān)控交通、天氣還是建筑物占用）或跨網(wǎng)絡傳輸?shù)男畔ⅲɡ玑t(yī)療、財務或安全詳細信息）都是有價值的。這種價值觀既吸引了守法者，也吸引了那些對規(guī)則更加自由放任的人。但這種風險的嚴重性現(xiàn)在才變得明顯。上述專家引用的“攻擊面”已經(jīng)包含數(shù)百億個節(jié)點，并且在不久的將來將擴大到數(shù)萬億個。（根據(jù)日本科技集團 SoftBank 的說法，最快到 2025 年。）

連接的消費級安全攝像頭完美地說明了工程師在充分保護連接到物聯(lián)網(wǎng)的每臺設備（從普通的無線傳感器到功能強大的服務器）方面所面臨的挑戰(zhàn)。消費者想要便宜的安全攝像頭，而這會帶來妥協(xié)——明顯缺乏安全性。安全攝像頭制造商認為沒有人會費心去破解設備并因此偷工減料。但這是一個錯誤的信念，因為根據(jù)網(wǎng)絡安全公司 SAM Seamless Network 的研究，很多人對闖入安全攝像頭非常感興趣，而且很多其他人也有興趣幫助他們。這些設備目前幾乎占被黑客入侵的物聯(lián)網(wǎng)設備的一半。不法分子甚至不必從頭開始；事實證明，聯(lián)網(wǎng)安全攝像頭黑客攻擊是一個擁有自己支持社區(qū)的行業(yè)。事實上，有許多基于網(wǎng)絡的工具和示例代碼是專門為破解設備而設計的。很少有黑客真正想要訪問安全攝像頭提供的停車場或大樓大廳的視圖。相反，黑客意識到攝像頭是網(wǎng)絡中的薄弱環(huán)節(jié)，通過闖入攝像頭，他們有可能打開對受更好保護的設備的訪問權限，例如建筑物中的所有智能鎖。

安全設計

接下來的挑戰(zhàn)是在不增加太多復雜性和成本的情況下充分保護一萬億個物聯(lián)網(wǎng)設備（并且需要全球范圍內相當有限的開發(fā)人員來做到這一點）。工程師可以著手的一種方法是只專注于保護關鍵數(shù)據(jù)和信息，而讓所有價值很小或沒有價值的東西不受保護。這帶來了三個主要好處：

需要更少的開發(fā)人員資源

提供更簡單、更具成本效益的解決方案

最大限度地提高該解決方案的靈活性和便利性

可信執(zhí)行環(huán)境 (TEE) 為保護關鍵數(shù)據(jù)提供了經(jīng)過驗證的技術解決方案。TEE 是 IoT 設備嵌入式處理器內的安全區(qū)域，該處理器并行運行軟件但與主操作系統(tǒng) (OS) 隔離。TEE 依賴于“信任根”；這是一組在安全環(huán)境中使用的功能，始終受到處理器操作系統(tǒng)的信任，包括安全啟動和系統(tǒng)恢復所需的一切。

該技術成功的關鍵在于，有價值的代碼和數(shù)據(jù)（例如安全功能和加密憑證）在 TEE 內部運行，并以非常高的完整性和機密性得到維護，而價值較低的代碼和數(shù)據(jù)則在主操作系統(tǒng)上不受阻礙地運行。至關重要的是，TEE 內部的操作可以隱藏在正常的處理器功能之外，從而使外部人員難以訪問它們。與試圖鎖定所有內容相比，這樣的系統(tǒng)實施起來更簡單（因此成本更低），但黑客很難闖入（這使得他們很可能將邪惡的注意力轉移到別處）。

雖然其他商業(yè) TEE 解決方案可用，但對于開發(fā)人員而言，最可行的選擇可能是嵌入式 IP 供應商 Arm 的“TrustZone”——據(jù)分析師 IPNest 稱，該公司的技術為物聯(lián)網(wǎng)設備核心中約 45% 的高效處理器提供動力。該技術通過在 Arm 處理器的正常操作模式之外建立安全的 TEE 來實現(xiàn)可自由編程的“可信平臺模塊”。

當以安全模式運行時，例如執(zhí)行安全啟動，處理器從安全內存運行軟件并與安全外圍設備接口。啟動完成后，處理器以正常模式運行應用程序和無線協(xié)議棧等軟件。正常模式下的元素可以訪問安全區(qū)域中的功能，但只能訪問開發(fā)人員已為正常操作提供的功能。其他一切都保持隱藏?；顒影错樞蛲瓿桑虼颂幚砥饔肋h不會同時處于安全模式和正常模式。

要了解一切在實踐中是如何運作的，請考慮用于收集運動數(shù)據(jù)和執(zhí)行移動支付的可穿戴設備。當用作健身設備時，可穿戴設備以正常模式運行，從而限制延遲并最大限度地延長電池壽命。但后來，當努力工作的業(yè)余運動員想要購買當之無愧的軟飲料時，可穿戴設備需要一種安全機制來識別他們，以便付款細節(jié)可以安全地發(fā)布給供應商，而沒有被攔截的風險。為此，嵌入式處理器從正常模式切換到安全模式并啟用支付應用程序。身份驗證（例如生物識別檢查）可確保設備只能由受信任的所有者使用。

但是，盡管 TEE 為保護物聯(lián)網(wǎng)設備最重要的方面提供了基礎，但它們并不是安全的硬道理。為了設計出最安全的設備，工程師需要確保在設計過程的每個階段都考慮到保護；否則，存在漏洞的風險。而且由于黑客不睡覺，如果產(chǎn)品中有任何弱點，他們會很快找到它。

Steven Keeping 在英國布萊頓大學獲得工學士（榮譽）學位，之后在 Eurotherm 和 BOC 的電子部門工作了七年。隨后，他加入了《Electronic Production》雜志，隨后在電子制造、測試和設計方面擔任了 13 年的高級編輯和出版職務，其中包括英國和澳大利亞的 Trinity Mirror、CMP 和 RBI 的《電子新動態(tài)》和《澳大利亞電子工程》。2006 年，史蒂文成為一名專攻電子領域的自由撰稿人。他常駐悉尼。

審核編輯黃宇