物聯(lián)網(wǎng)安全設(shè)計

全球管理咨詢公司麥肯錫公司最近詢問了一組專家——包括麻省理工學(xué)院媒體實驗室主任和谷歌高級技術(shù)項目副主任——與物聯(lián)網(wǎng) (IoT) 相關(guān)的最大風(fēng)險是什么。猜出答案沒有獎品。

“我們正在創(chuàng)造大量新的攻擊面，”麥肯錫的一位受訪者表示。“物聯(lián)網(wǎng)可以 [擴大] 任何類型的網(wǎng)絡(luò)攻擊的攻擊面，”另一位說。三分之一的人說：“我擔心人們會獲取我的信息或?qū)е略O(shè)備在物理上做錯事。” 第四個人簡潔地回答：“安全風(fēng)險。”

知道物聯(lián)網(wǎng)帶來安全風(fēng)險并不是什么新鮮事；例如，連接的傳感器收集的數(shù)據(jù)（無論是監(jiān)控交通、天氣還是建筑物占用）或跨網(wǎng)絡(luò)傳輸?shù)男畔ⅲɡ玑t(yī)療、財務(wù)或安全詳細信息）都是有價值的。這種價值觀既吸引了守法者，也吸引了那些對規(guī)則更加自由放任的人。但這種風(fēng)險的嚴重性現(xiàn)在才變得明顯。上述專家引用的“攻擊面”已經(jīng)包含數(shù)百億個節(jié)點，并且在不久的將來將擴大到數(shù)萬億個。（根據(jù)日本科技集團 SoftBank 的說法，最快到 2025 年。）

連接的消費級安全攝像頭完美地說明了工程師在充分保護連接到物聯(lián)網(wǎng)的每臺設(shè)備（從普通的無線傳感器到功能強大的服務(wù)器）方面所面臨的挑戰(zhàn)。消費者想要便宜的安全攝像頭，而這會帶來妥協(xié)——明顯缺乏安全性。安全攝像頭制造商認為沒有人會費心去破解設(shè)備并因此偷工減料。但這是一個錯誤的信念，因為根據(jù)網(wǎng)絡(luò)安全公司 SAM Seamless Network 的研究，很多人對闖入安全攝像頭非常感興趣，而且很多其他人也有興趣幫助他們。這些設(shè)備目前幾乎占被黑客入侵的物聯(lián)網(wǎng)設(shè)備的一半。不法分子甚至不必從頭開始；事實證明，聯(lián)網(wǎng)安全攝像頭黑客攻擊是一個擁有自己支持社區(qū)的行業(yè)。事實上，有許多基于網(wǎng)絡(luò)的工具和示例代碼是專門為破解設(shè)備而設(shè)計的。很少有黑客真正想要訪問安全攝像頭提供的停車場或大樓大廳的視圖。相反，黑客意識到攝像頭是網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，通過闖入攝像頭，他們有可能打開對受更好保護的設(shè)備的訪問權(quán)限，例如建筑物中的所有智能鎖。

安全設(shè)計

接下來的挑戰(zhàn)是在不增加太多復(fù)雜性和成本的情況下充分保護一萬億個物聯(lián)網(wǎng)設(shè)備（并且需要全球范圍內(nèi)相當有限的開發(fā)人員來做到這一點）。工程師可以著手的一種方法是只專注于保護關(guān)鍵數(shù)據(jù)和信息，而讓所有價值很小或沒有價值的東西不受保護。這帶來了三個主要好處：

需要更少的開發(fā)人員資源

提供更簡單、更具成本效益的解決方案

最大限度地提高該解決方案的靈活性和便利性

可信執(zhí)行環(huán)境 (TEE) 為保護關(guān)鍵數(shù)據(jù)提供了經(jīng)過驗證的技術(shù)解決方案。TEE 是 IoT 設(shè)備嵌入式處理器內(nèi)的安全區(qū)域，該處理器并行運行軟件但與主操作系統(tǒng) (OS) 隔離。TEE 依賴于“信任根”；這是一組在安全環(huán)境中使用的功能，始終受到處理器操作系統(tǒng)的信任，包括安全啟動和系統(tǒng)恢復(fù)所需的一切。

該技術(shù)成功的關(guān)鍵在于，有價值的代碼和數(shù)據(jù)（例如安全功能和加密憑證）在 TEE 內(nèi)部運行，并以非常高的完整性和機密性得到維護，而價值較低的代碼和數(shù)據(jù)則在主操作系統(tǒng)上不受阻礙地運行。至關(guān)重要的是，TEE 內(nèi)部的操作可以隱藏在正常的處理器功能之外，從而使外部人員難以訪問它們。與試圖鎖定所有內(nèi)容相比，這樣的系統(tǒng)實施起來更簡單（因此成本更低），但黑客很難闖入（這使得他們很可能將邪惡的注意力轉(zhuǎn)移到別處）。

雖然其他商業(yè) TEE 解決方案可用，但對于開發(fā)人員而言，最可行的選擇可能是嵌入式 IP 供應(yīng)商 Arm 的“TrustZone”——據(jù)分析師 IPNest 稱，該公司的技術(shù)為物聯(lián)網(wǎng)設(shè)備核心中約 45% 的高效處理器提供動力。該技術(shù)通過在 Arm 處理器的正常操作模式之外建立安全的 TEE 來實現(xiàn)可自由編程的“可信平臺模塊”。

當以安全模式運行時，例如執(zhí)行安全啟動，處理器從安全內(nèi)存運行軟件并與安全外圍設(shè)備接口。啟動完成后，處理器以正常模式運行應(yīng)用程序和無線協(xié)議棧等軟件。正常模式下的元素可以訪問安全區(qū)域中的功能，但只能訪問開發(fā)人員已為正常操作提供的功能。其他一切都保持隱藏?；顒影错樞蛲瓿?，因此處理器永遠不會同時處于安全模式和正常模式。

要了解一切在實踐中是如何運作的，請考慮用于收集運動數(shù)據(jù)和執(zhí)行移動支付的可穿戴設(shè)備。當用作健身設(shè)備時，可穿戴設(shè)備以正常模式運行，從而限制延遲并最大限度地延長電池壽命。但后來，當努力工作的業(yè)余運動員想要購買當之無愧的軟飲料時，可穿戴設(shè)備需要一種安全機制來識別他們，以便付款細節(jié)可以安全地發(fā)布給供應(yīng)商，而沒有被攔截的風(fēng)險。為此，嵌入式處理器從正常模式切換到安全模式并啟用支付應(yīng)用程序。身份驗證（例如生物識別檢查）可確保設(shè)備只能由受信任的所有者使用。

但是，盡管 TEE 為保護物聯(lián)網(wǎng)設(shè)備最重要的方面提供了基礎(chǔ)，但它們并不是安全的硬道理。為了設(shè)計出最安全的設(shè)備，工程師需要確保在設(shè)計過程的每個階段都考慮到保護；否則，存在漏洞的風(fēng)險。而且由于黑客不睡覺，如果產(chǎn)品中有任何弱點，他們會很快找到它。

Steven Keeping 在英國布萊頓大學(xué)獲得工學(xué)士（榮譽）學(xué)位，之后在 Eurotherm 和 BOC 的電子部門工作了七年。隨后，他加入了《Electronic Production》雜志，隨后在電子制造、測試和設(shè)計方面擔任了 13 年的高級編輯和出版職務(wù)，其中包括英國和澳大利亞的 Trinity Mirror、CMP 和 RBI 的《電子新動態(tài)》和《澳大利亞電子工程》。2006 年，史蒂文成為一名專攻電子領(lǐng)域的自由撰稿人。他常駐悉尼。

審核編輯黃宇