在電子設(shè)計(jì)中,，安全性至關(guān)重要，對于復(fù)雜,、資源受限,、高度連通的物聯(lián)網(wǎng)（IoT）而言，更是如此,。實(shí)現(xiàn)物聯(lián)網(wǎng)安全需要依靠成熟的安全原則并警惕不斷變化的威脅,，而設(shè)計(jì)工程師將產(chǎn)品推向市場時(shí)面臨一些物聯(lián)網(wǎng)安全挑戰(zhàn)。

　　物聯(lián)網(wǎng)面臨安全威脅

　　物聯(lián)網(wǎng)目前正逐漸融入大多數(shù)工業(yè)和商業(yè)運(yùn)營體系中，包括公共設(shè)施,、重要的基礎(chǔ)設(shè)施,、交通、金融,、零售和醫(yī)療,。物聯(lián)網(wǎng)設(shè)備能夠感知和測量物理世界，收集人類的各種活動(dòng)數(shù)據(jù),，促進(jìn)了智能,、自動(dòng)化、自主命令和控制技術(shù)的廣泛部署,。通過無處不在的物聯(lián)網(wǎng)互連智能設(shè)備,，企業(yè)能夠創(chuàng)造出真正革命性的技術(shù)，從而改善未來人類社會(huì)和經(jīng)濟(jì)生活的方方面面,。然而,，幾乎每個(gè)星期都有主流媒體報(bào)道數(shù)字安全性的漏洞問題，通常是消費(fèi)者信用卡信息被盜或使用不當(dāng)而造成損失,，與每天發(fā)生的成千上萬個(gè)網(wǎng)絡(luò)遭受攻擊的案例相比,，這只不過是九牛一毛。安全攻擊包括竊取有價(jià)值的數(shù)據(jù)并造成大范圍破壞,，更有甚者,，會(huì)控制關(guān)鍵的系統(tǒng)。從消費(fèi)者的角度來看,，分布式阻斷服務(wù)（DDoS）攻擊可能是最常見的威脅,。2016年造成整個(gè)互聯(lián)網(wǎng)中斷的Mirai僵尸網(wǎng)絡(luò)第一次敲響了警鐘，令各機(jī)構(gòu)意識(shí)到這類威脅,。繼Mirai之后，Aidra,、Wifatch和Gafgyt,，以及BCMUPnP、Hunter52和Torii53等新加入的僵尸網(wǎng)絡(luò),，累計(jì)侵入了數(shù)百萬部IoT設(shè)備,，以擴(kuò)散其DDoS惡意攻擊軟件、加密貨幣挖礦軟件以及垃圾郵件中繼代理,。

　　隨著我們的工作和生活中出現(xiàn)更多的物聯(lián)網(wǎng)設(shè)備,，潛在的安全攻擊無處不在，而且規(guī)模越來越大,。以智能交通控制為例,，設(shè)想一下大城市控制交通流量的傳感器、交通信號燈,、協(xié)調(diào)管控車輛的汽車網(wǎng)狀網(wǎng)絡(luò)和控制設(shè)備等基礎(chǔ)設(shè)施暴露給對手的情形,。在重要的十字路口通過無線網(wǎng)絡(luò)控制交通信號燈或車輛之間的通信,，已經(jīng)不再是好萊塢大片中才會(huì)出現(xiàn)的場景，而是一項(xiàng)真實(shí)存在的嚴(yán)肅議題,。

　　再想一想互聯(lián)網(wǎng)醫(yī)療設(shè)備,、商店內(nèi)幫助改善零售購物體驗(yàn)的智能標(biāo)簽，以及我們的家電如何聯(lián)網(wǎng),。如果你能用自己的智能手機(jī)啟動(dòng)爐子,、開鎖、關(guān)閉警報(bào)系統(tǒng),，那么其他人呢,？

　　上面的例子跟我們所有人都相關(guān)，但是,，有很多情形是普通消費(fèi)者看不到的,。設(shè)想針對自動(dòng)化制造環(huán)境部署的工業(yè)物聯(lián)網(wǎng)（IIoT），如果出現(xiàn)了安全漏洞將會(huì)導(dǎo)致怎樣的混亂,，生產(chǎn)停機(jī)和設(shè)備損壞又可能造成怎樣的財(cái)務(wù)損失,？

　　隨著潛在的攻擊呈指數(shù)級增長，物聯(lián)網(wǎng)的安全防護(hù)必須全面而穩(wěn)健,，并具有快速恢復(fù)的能力,。

　　圖1：物聯(lián)網(wǎng)設(shè)備數(shù)量及面臨的威脅均呈指數(shù)增長。（圖片來源：Gartner,、Softbank,、IBM X-Force威脅情報(bào)指數(shù)2019，以及Symantec互聯(lián)網(wǎng)安全威脅報(bào)告2018）

　　不能只依靠軟件方法

　　試圖竊聽或非法獲取信息并不是什么新鮮事,。荷蘭計(jì)算機(jī)研究員Wim van Eck早在1985年就進(jìn)行了相關(guān)的研究,。他通過截取顯示器的電磁場并進(jìn)行解碼，成功地從顯示器中獲取了信息,。他的開創(chuàng)性工作強(qiáng)調(diào)了一個(gè)事實(shí)：利用一些價(jià)格不高的組件,，便可以繞開昂貴的安全防護(hù)措施而達(dá)到目的。

　　這種非侵入和被動(dòng)式電磁邊信道攻擊如今變得更加復(fù)雜,，并成為眾多攻擊武器的一種,。其他邊信道攻擊方法包括差分功耗分析（DPA）等，通常與電磁邊信道攻擊一起使用,。通過這種攻擊方式,，在執(zhí)行加密處理指令時(shí)，物聯(lián)網(wǎng)設(shè)備微控制器中的加密密鑰,、密碼和個(gè)人身份等敏感信息將以電磁信號的形式被“泄露”,。寬帶接收器作為軟件定義的無線電應(yīng)用目前價(jià)格已經(jīng)很低，在運(yùn)行中可用于檢測和存儲(chǔ)電磁信號。

　　DPA是一種更復(fù)雜的竊取方式,，通過簡單的功耗分析可以了解設(shè)備運(yùn)行過程中的處理器功耗,。由于處理設(shè)備所消耗的功率會(huì)因執(zhí)行的函數(shù)而有所不同，因此可以通過了解功耗情況來識(shí)別離散函數(shù),?；贏ES、ECC和RSA的加密算法函數(shù)需要大量計(jì)算,，可以通過功耗測量分析來識(shí)別,。以微秒時(shí)間間隔檢查功耗可以發(fā)現(xiàn)密碼學(xué)中經(jīng)常使用的各種數(shù)字運(yùn)算，例如平方和乘法,。DPA在簡單的功耗分析中增加了統(tǒng)計(jì)和糾錯(cuò)技術(shù),，可以實(shí)現(xiàn)機(jī)密信息的高精度解碼。

　　通過有線或無線通信方式傳輸?shù)臄?shù)據(jù)泄漏也有可能暴露機(jī)密信息,。隱蔽信道和“中間人攻擊”是通過監(jiān)聽IoT設(shè)備與主機(jī)系統(tǒng)間的通信來收集數(shù)據(jù)的一種有效方法,。分析這些數(shù)據(jù)可能會(huì)泄露設(shè)備控制協(xié)議及接管遠(yuǎn)程連網(wǎng)設(shè)備操作所需的私鑰。

　　黑客使用的另一種攻擊技術(shù)是對未受保護(hù)的微控制器和無線系統(tǒng)級芯片（SoC）器件進(jìn)行植入攻擊,。在最簡單的情況下,，該技術(shù)可能會(huì)降低或干擾微控制器的供電電壓，出現(xiàn)奇怪的錯(cuò)誤,。隨后,，這些錯(cuò)誤可能觸發(fā)其他受保護(hù)的設(shè)備打開保存機(jī)密信息的寄存器，進(jìn)而遭受入侵,。通過更改頻率,、植入錯(cuò)誤的觸發(fā)信號或更改信號電平來篡改系統(tǒng)的時(shí)鐘信號，也可能導(dǎo)致IoT設(shè)備出現(xiàn)異常,，從而暴露機(jī)密信息,，或?qū)е驴刂乒δ鼙徊倏亍＿@兩種情況都需要對設(shè)備內(nèi)的印制電路板進(jìn)行物理訪問,，但不是侵入性的,。

　　由于許多用于保護(hù)IoT設(shè)備的安全技術(shù)都是基于軟件的，因此安全信息很可能被非法讀取,。AES、ECC和RSA等標(biāo)準(zhǔn)密碼加密算法以軟件棧的形式在微控制器和嵌入式處理器上運(yùn)行,。使用價(jià)格低于100美元的設(shè)備和軟件不但可以查看功耗,，還可以借助DPA技術(shù)獲得密鑰和其他敏感信息。現(xiàn)在很容易得到現(xiàn)成的DPA軟件工具自動(dòng)完成整個(gè)過程,，甚至不需要熟練掌握這些分析方法,。

　　這類攻擊已不再局限于理論領(lǐng)域，它們已被全球的黑客廣泛使用。

　　隨著攻擊力度的不斷增加,，物聯(lián)網(wǎng)設(shè)備和系統(tǒng)開發(fā)人員需要重新考慮其安全防護(hù)方法,，提高安全防護(hù)功能，使其更加穩(wěn)健并具備更好的復(fù)原能力,。

　　用硬件方法實(shí)現(xiàn)物聯(lián)網(wǎng)安全

　　在設(shè)計(jì)一種新的IoT設(shè)備之前,，最好全面了解該設(shè)備可能受到哪些攻擊，以及需要對什么樣的威脅進(jìn)行防備,。謹(jǐn)慎的做法是從一開始就審查安全需求并將其納入產(chǎn)品規(guī)格,。大多數(shù)IoT設(shè)備往往可以使用很多年，因此必須通過無線（OTA）方式進(jìn)行固件更新,，單這一點(diǎn)就可能引起更多的攻擊,，因此需要加以考慮。要想防護(hù)所有的攻擊,，需要一種從芯片到云端的方法,，實(shí)現(xiàn)基于硬件的安全設(shè)計(jì)。

　　英飛凌近日發(fā)布的OPTIGA? Trust M2 ID2安全芯片是完全基于硬件的安全解決方案,，其最大優(yōu)勢是能夠抵御針對硬件級別的攻擊,。它采用了一些經(jīng)過特殊設(shè)計(jì)的精簡邏輯，可以更好地保護(hù)數(shù)據(jù)的存儲(chǔ),；即使通過非常專業(yè)的反向工程,，也無法輕易的破取并破解原始數(shù)據(jù)；一些專業(yè)的設(shè)計(jì)和非標(biāo)準(zhǔn)的代碼實(shí)現(xiàn)其實(shí)也難于分析和理解,；最重要的一點(diǎn)是基于硬件的安全芯片方案可以為整個(gè)系統(tǒng)提供可信任的“根”,，作為系統(tǒng)可信任的來源。

　　圖2：基于硬件的安全方案所具有的優(yōu)勢,。

　　據(jù)英飛凌科技安全互聯(lián)系統(tǒng)事業(yè)部大中華區(qū)物聯(lián)網(wǎng)安全產(chǎn)品線市場經(jīng)理成皓介紹,，OPTIGA? Trust M2 ID2安全芯片主要有以下幾個(gè)功能：

　　雙向認(rèn)證功能。OPTIGA? Trust M2 ID2可以存儲(chǔ)多組密鑰和證書,，完成物聯(lián)網(wǎng)設(shè)備和云端,、以及和其它設(shè)備之間的雙向認(rèn)證。加載安全芯片的設(shè)備可以和其它控制器及生態(tài)系統(tǒng)內(nèi)的設(shè)備進(jìn)行雙向認(rèn)證,。在物聯(lián)網(wǎng)整個(gè)系統(tǒng)架構(gòu)中,，除了云端對設(shè)備的認(rèn)證非常重要之外，設(shè)備端本身對云端的鑒別也非常重要,，所以需要雙向認(rèn)證而不是單向認(rèn)證功能,。

　　安全通信。在目前的很多物聯(lián)網(wǎng)設(shè)備或應(yīng)用中,，有一個(gè)很大的安全隱患,，就是在鏈路上傳輸?shù)臄?shù)據(jù)本身沒有任何加密機(jī)制做保護(hù),，尤其是某些用戶隱私數(shù)據(jù)和敏感關(guān)鍵數(shù)據(jù)的傳輸。OPTIGA? Trust M2 ID2可以保障 “設(shè)備和云端”以及和其它設(shè)備之間的通訊完全通過加密的方式完成,，消除鏈路上傳輸?shù)陌踩[患,。Shielded Connection功能也保證了在設(shè)備內(nèi)部數(shù)據(jù)傳遞的安全性。

　　固件安全更新,。在很多物聯(lián)網(wǎng)攻擊模式里,，很多的攻擊是通過偽造一些固件包企圖獲取對設(shè)備的控制權(quán)。一般用戶沒有能力鑒別一個(gè)固件升級包是否完整,、來源是否合法,，因此存在較大風(fēng)險(xiǎn)，導(dǎo)致設(shè)備被黑客或者不法分子監(jiān)聽或控制,。OPTIGA? Trust M2 ID2可以通過“可信任根”的功能,，幫助設(shè)備實(shí)現(xiàn)鑒別固件升級包來源。

　　個(gè)人化數(shù)據(jù)的寫入,。OPTIGA? Trust M2 ID2芯片在生產(chǎn)階段的時(shí)候就已經(jīng)預(yù)置了阿里的Link ID?服務(wù)器分發(fā)獨(dú)一無二的ID信息,。終端客戶（IoT設(shè)備廠商的客戶）直接將這款安全芯片嵌入到終端設(shè)備中即可使用。聯(lián)網(wǎng)的時(shí)候會(huì)完成一次Link ID?設(shè)備在云端的注冊,。

　　數(shù)據(jù)安全存儲(chǔ),。把一些用戶的關(guān)鍵數(shù)據(jù)，比如證書,、密鑰,，通過加密的方式存儲(chǔ)在設(shè)備的內(nèi)部。數(shù)據(jù)存儲(chǔ)在安全芯片內(nèi)部,，即使外部整個(gè)系統(tǒng)設(shè)計(jì)或軟件層面有一些漏洞,，因?yàn)楹诳突蛘吖粽邲]有訪問安全芯片的能力，因此存儲(chǔ)在安全芯片內(nèi)部的數(shù)據(jù)無法被外部截取和分析,，這也是硬件安全芯片比較大的優(yōu)勢,。

　　平臺(tái)完整性校驗(yàn)。在系統(tǒng)需要安全啟動(dòng)的場景下,，檢驗(yàn)設(shè)備上的操作系統(tǒng)或軟件是否已被篡改,，進(jìn)而抵御攻擊。

　　應(yīng)用場景

　　OPTIGA? Trust M2 ID2可應(yīng)用在對安全有一定訴求的場景,，成皓介紹了三個(gè)比較典型的應(yīng)用領(lǐng)域：智能音箱,、智能工廠和網(wǎng)絡(luò)攝像頭。

　　智能音箱

　　智能音箱除了具有傳統(tǒng)的藍(lán)牙音箱功能,，還可以和用戶進(jìn)行語音交互,，使用戶擔(dān)心自己的個(gè)人隱私被監(jiān)聽或關(guān)鍵的個(gè)人數(shù)據(jù)泄漏。

　　利用OPTIGA? Trust M2 ID2數(shù)據(jù)存儲(chǔ)加密功能,，將賬戶信息,、ID信息或密碼存儲(chǔ)到安全芯片內(nèi)部，就不容易被截取了,。另外,，通過安全芯片的雙向認(rèn)證功能，可以保證智能音箱只處理經(jīng)過合法來源認(rèn)證的信息,。如果有黑客或陌生人通過偽造遠(yuǎn)程語音信息來“開門”或者“開窗”,，智能音箱就能鑒別該信息或?qū)λM(jìn)行操控的設(shè)備的來源是否合法。

　　智能音箱里面的關(guān)鍵數(shù)據(jù)需要上傳到云端,，通過OPTIGA? Trust M2 ID2的數(shù)據(jù)加密功能,，可以保證設(shè)備端和云端交互的數(shù)據(jù)都通過加密形式進(jìn)行傳遞，就算被黑客進(jìn)行數(shù)據(jù)攔截,，也無法破譯原始數(shù)據(jù),。

　　如果智能工廠遭受黑客攻擊，會(huì)導(dǎo)致整個(gè)產(chǎn)線癱瘓,。除了產(chǎn)線停產(chǎn),，更致命的損失是會(huì)千萬企業(yè)一些核心技術(shù)，比如IP,，還有一些關(guān)鍵數(shù)據(jù)的泄漏,。在智能工廠的終端設(shè)備（如機(jī)械手臂）上，可以嵌入Trust M的安全芯片,，對工業(yè)設(shè)備與工業(yè)邊緣網(wǎng)關(guān)通訊數(shù)據(jù)進(jìn)行加密,。通過Trust M2 ID2芯片也可以驗(yàn)證上傳數(shù)據(jù)的設(shè)備本身是否合法、是否是工廠內(nèi)實(shí)際工作的設(shè)備,，而非黑客或第三方偽造的設(shè)備,。

　　在物聯(lián)網(wǎng)設(shè)備中，網(wǎng)絡(luò)攝像頭是被黑客重點(diǎn)“關(guān)照”的兩類設(shè)備之一,。由于網(wǎng)絡(luò)攝像頭本身可監(jiān)控的特性,，因而會(huì)成為很多不法分子的攻擊對象。

　　目前很多攝像頭被入侵的一個(gè)主要原因是它的“弱口令”,?！巴ǔ：芏喑鰪S密碼會(huì)默認(rèn)設(shè)置admin，對黑客來說,，攻擊這樣的設(shè)備非常容易,。通過在攝像頭里面集成OPTIGA? Trust M2 ID2芯片，可以保證攝像頭與云服務(wù)器之間通訊數(shù)據(jù)進(jìn)行安全加密,，使關(guān)鍵數(shù)據(jù)在鏈路上傳輸時(shí)無法被破解,。”成皓說,，“英飛凌的目標(biāo)是希望通過引入安全芯片的方案,，與包括阿里云在內(nèi)的合作伙伴進(jìn)行合作,，利過這么一顆小小的安全芯片來提高整個(gè)物聯(lián)網(wǎng)的安全等級，幫助大家更好,、更安心地享受物聯(lián)網(wǎng)帶來的便利和樂趣,。”

　　結(jié)語

　　任何連網(wǎng)設(shè)備都面臨安全威脅,，這些威脅無處不在,，并且不斷變化?；谲浖陌踩夹g(shù)曾經(jīng)效果良好,，但現(xiàn)在已成為潛在的攻擊目標(biāo)。硬件方法現(xiàn)在被認(rèn)為是實(shí)現(xiàn)全面且穩(wěn)健的安全機(jī)制唯一可行的方法,。