物聯(lián)網(wǎng)設(shè)備安全性：挑戰(zhàn)和解決方案

作者：Ananya Tungaturthi，芯科科技產(chǎn)品營(yíng)銷(xiāo)經(jīng)理

任何連接到互聯(lián)網(wǎng)的設(shè)備都可能在某一時(shí)刻面臨攻擊。攻擊者可能會(huì)試圖遠(yuǎn)程破壞物聯(lián)網(wǎng)(IoT)設(shè)備以竊取數(shù)據(jù)，進(jìn)行DDoS攻擊(Distributed Denial of Service attacks，分布式拒絕服務(wù)攻擊)，或試圖破壞網(wǎng)絡(luò)的其余部分。物聯(lián)網(wǎng)安全需要一種集成方法來(lái)保障，覆蓋整個(gè)設(shè)備生命周期，從設(shè)計(jì)和開(kāi)發(fā)到部署和維護(hù)。

物聯(lián)網(wǎng)設(shè)備的安全性是客戶(hù)和設(shè)備制造商的主要關(guān)注點(diǎn)。為確保兩臺(tái)設(shè)備之間的安全通信，需要保護(hù)兩個(gè)關(guān)鍵區(qū)域。第一個(gè)是兩臺(tái)設(shè)備之間的通道以及在這些通道內(nèi)傳輸?shù)臄?shù)據(jù)，這些由Thread、藍(lán)牙等通信協(xié)議予以處理。第二個(gè)是設(shè)備本身的安全性，這由開(kāi)發(fā)人員負(fù)責(zé)。

目前已有多個(gè)組織、標(biāo)準(zhǔn)和框架旨在為物聯(lián)網(wǎng)安全提供指南和最佳實(shí)踐，例如物聯(lián)網(wǎng)安全基金會(huì)、NIST網(wǎng)絡(luò)安全框架、ISO/IEC 27000系列標(biāo)準(zhǔn)和《OWASP物聯(lián)網(wǎng)十大安全漏洞》等。然而，沒(méi)有任何一種通用標(biāo)準(zhǔn)適用于所有物聯(lián)網(wǎng)設(shè)備，因?yàn)椴煌脑O(shè)備具有不同的安全要求和挑戰(zhàn)，具體取決于其應(yīng)用場(chǎng)景、功能和環(huán)境。

因此，物聯(lián)網(wǎng)設(shè)備制造商和開(kāi)發(fā)人員需要采用和實(shí)施與其特定設(shè)備最相關(guān)且最合適的標(biāo)準(zhǔn)和框架，并緊跟物聯(lián)網(wǎng)安全領(lǐng)域的新興趨勢(shì)和技術(shù)。

最常見(jiàn)的物聯(lián)網(wǎng)安全威脅

雖然物聯(lián)網(wǎng)設(shè)備中的安全威脅帶來(lái)的危險(xiǎn)性可能較低，但其他方面的影響可能會(huì)很高，并造成相當(dāng)大的損害。下面讓我們來(lái)深入了解最常見(jiàn)的物聯(lián)網(wǎng)安全威脅。

未經(jīng)授權(quán)的訪問(wèn)

最常見(jiàn)的安全威脅之一是未經(jīng)授權(quán)的訪問(wèn)。黑客可以通過(guò)弱密碼和其他漏洞訪問(wèn)物聯(lián)網(wǎng)設(shè)備，使他們能夠控制設(shè)備或竊取個(gè)人信息。這可能包括訪問(wèn)設(shè)備的攝像頭或麥克風(fēng)，或利用設(shè)備發(fā)起DDoS攻擊。

數(shù)據(jù)泄露

另一個(gè)常見(jiàn)的物聯(lián)網(wǎng)設(shè)備安全威脅是數(shù)據(jù)泄露，當(dāng)攻擊者從設(shè)備或設(shè)備所在的網(wǎng)絡(luò)獲取敏感或機(jī)密數(shù)據(jù)時(shí)就會(huì)發(fā)生數(shù)據(jù)泄露。這可能會(huì)損害數(shù)據(jù)的隱私性和完整性，并使設(shè)備或用戶(hù)面臨身份盜用、欺詐或勒索等威脅。

惡意軟件攻擊

第三個(gè)常見(jiàn)的物聯(lián)網(wǎng)設(shè)備安全威脅是惡意軟件攻擊，即惡意軟件在受害者的系統(tǒng)上執(zhí)行未經(jīng)授權(quán)的操作，這可能會(huì)損害設(shè)備的功能和可靠性，并對(duì)設(shè)備或其所在網(wǎng)絡(luò)造成損壞、中斷或破壞。

分布式拒絕服務(wù)攻擊

還有一種物聯(lián)網(wǎng)設(shè)備安全威脅是拒絕服務(wù)攻擊，DDoS這種攻擊以網(wǎng)絡(luò)資源和服務(wù)器的可用性為目標(biāo)，其利用各種物聯(lián)網(wǎng)設(shè)備從不同位置向通信介質(zhì)發(fā)起攻擊，這使得對(duì)它的檢測(cè)更加困難。因此，分析和防御DDoS是一個(gè)很重要的研究領(lǐng)域。

物理篡改

這是另一種威脅，它發(fā)生在攻擊者以物理方式訪問(wèn)、更改或損壞設(shè)備或其組件時(shí)。這種攻擊會(huì)損害物聯(lián)網(wǎng)設(shè)備的完整性、功能性和機(jī)密性。這可能會(huì)影響設(shè)備的安全性和功能，并使攻擊者能夠訪問(wèn)、操作或破壞設(shè)備或其數(shù)據(jù)。

芯科科技如何應(yīng)對(duì)物聯(lián)網(wǎng)安全挑戰(zhàn)

當(dāng)談到安全問(wèn)題時(shí)，人們通常會(huì)提及數(shù)據(jù)泄露、惡意軟件攻擊、拒絕服務(wù)攻擊等。然而，物聯(lián)網(wǎng)設(shè)備更容易遭受一些其他類(lèi)型的攻擊。它們可能是攻擊者試圖在您的設(shè)備上運(yùn)行未經(jīng)授權(quán)的代碼或試圖執(zhí)行產(chǎn)品偽造這種簡(jiǎn)單的攻擊，或者諸如差分功耗分析攻擊這種復(fù)雜的攻擊。

Silicon Labs(芯科科技)通過(guò)Secure Vault™物聯(lián)網(wǎng)安全技術(shù)來(lái)解決這些問(wèn)題。Secure Vault是一套高級(jí)安全功能，旨在保護(hù)物聯(lián)網(wǎng)設(shè)備免受這些不斷變化的威脅。

芯科科技是為物聯(lián)網(wǎng)設(shè)備提供芯片、軟件和解決方案的領(lǐng)先供應(yīng)商，專(zhuān)注于提供安全可靠的連接，以實(shí)現(xiàn)更智能、更互聯(lián)的世界。芯科科技擁有一整套強(qiáng)大且全面的物聯(lián)網(wǎng)安全產(chǎn)品和服務(wù)，包括安全啟動(dòng)、安全調(diào)試、安全密鑰管理和安全身份認(rèn)證等功能。

讓我們來(lái)看看常見(jiàn)的安全對(duì)策(見(jiàn)下圖)，它們可以幫助保護(hù)終端設(shè)備的密鑰和私鑰，并確保實(shí)現(xiàn)一個(gè)完全安全的生態(tài)系統(tǒng)。

Secure Vault中級(jí)功能將保護(hù)終端設(shè)備免受邏輯攻擊向量的攻擊。一些應(yīng)用還需要防范物理攻擊向量，它們需要Secure Vault高級(jí)功能，例如安全密鑰管理和篡改保護(hù)。希望保護(hù)其設(shè)備免遭產(chǎn)品假冒和設(shè)備克隆的設(shè)備制造商應(yīng)考慮投資于安全身份認(rèn)證功能，它支持調(diào)試器在允許設(shè)備加入智能物聯(lián)網(wǎng)網(wǎng)絡(luò)之前對(duì)其身份進(jìn)行驗(yàn)證。

安全密鑰管理

有多種方法可以安全地存儲(chǔ)密鑰。一種方法是創(chuàng)建非常昂貴的存儲(chǔ)單元，這些存儲(chǔ)單元將嵌入安全子系統(tǒng)中。從硅晶粒(silicon die)面積的角度來(lái)看，這些存儲(chǔ)單元成本高昂，始終會(huì)讓決策者格外關(guān)心：我們要在芯片中放入多少存儲(chǔ)單元?而最終的情況是，存儲(chǔ)單元還是不夠，一些密鑰材料最后會(huì)以未經(jīng)加密的明文形式存放在標(biāo)準(zhǔn)存儲(chǔ)中。用于安全密鑰存儲(chǔ)的另一種方法是使用物理不可克隆功能(PUF)創(chuàng)建設(shè)備特定的密鑰加密密鑰(Key Encryption Key)，并將所有密鑰材料以加密密鑰二進(jìn)制大對(duì)象(BLOB)的形式存放在標(biāo)準(zhǔn)存儲(chǔ)中。這種做法的額外好處是，可為您提供近乎無(wú)限的安全密鑰存儲(chǔ)。

物理不可克隆功能(PUF)

PUF是一種嵌入集成電路(IC)的物理結(jié)構(gòu)，由于其獨(dú)有的微米級(jí)或納米級(jí)特性源于固有的深亞微米制造工藝變化，因此很難對(duì)其進(jìn)行克隆。靜態(tài)隨機(jī)存取存儲(chǔ)器(SRAM)PUF是最為人熟知的基于可用標(biāo)準(zhǔn)組件的PUF。

其他攻擊向量

攻擊者試圖在我們的設(shè)備上運(yùn)行其未經(jīng)授權(quán)的代碼這樣的威脅始終存在，安全啟動(dòng)功能可以解決這一問(wèn)題，它會(huì)在允許應(yīng)用程序代碼于設(shè)備上運(yùn)行之前，對(duì)代碼上的簽名進(jìn)行驗(yàn)證。此功能以基于ROM的信任根為基礎(chǔ)，該信任根作為驗(yàn)證序列的安全錨來(lái)使用。我們還可以通過(guò)鎖定調(diào)試端口和啟用DPA對(duì)策來(lái)防止對(duì)設(shè)備進(jìn)行未經(jīng)授權(quán)的訪問(wèn)，以防設(shè)備由于側(cè)信道攻擊被解鎖。

安全性是物聯(lián)網(wǎng)設(shè)備中一個(gè)非常有趣的領(lǐng)域，因?yàn)槿藗冇肋h(yuǎn)無(wú)法確保對(duì)設(shè)備進(jìn)行100%的保護(hù)。就像洋蔥的層數(shù)越多就越難以剝開(kāi)一樣，我們?cè)谠O(shè)備中創(chuàng)建的層數(shù)越多，攻擊者訪問(wèn)信息就會(huì)越困難、成本就越高昂。在芯科科技，我們遵循通過(guò)設(shè)計(jì)實(shí)現(xiàn)安全的理念，這意味著從設(shè)計(jì)和開(kāi)發(fā)到部署和維護(hù)，安全會(huì)嵌入并集成至設(shè)備生命周期的每一個(gè)階段。

（來(lái)源：芯科科技）