隨著物聯(lián)網(wǎng) （IoT） 繼續(xù)重新定義我們的日常生活，關(guān)于安全性和可靠性的關(guān)鍵需求的爭(zhēng)論仍在繼續(xù)。在汽車(chē)、醫(yī)療設(shè)備和航空電子設(shè)備中，由于風(fēng)險(xiǎn)和故障影響，人們期望可靠性。雖然這些行業(yè)的產(chǎn)品必須遵守推動(dòng)使用高可靠性操作系統(tǒng)和加密的嚴(yán)格政府政策，但許多其他產(chǎn)品則不然。我們的網(wǎng)絡(luò)電視、家用電器和玩具是否同樣需要穩(wěn)健性？

所有物聯(lián)網(wǎng)設(shè)備都是嵌入式系統(tǒng)。在它們的軟件層之下是輸入、輸出、狀態(tài)機(jī)和數(shù)據(jù)?？紤]一個(gè)支持 Wi-Fi 的智能烤面包機(jī)；當(dāng)添加到家庭網(wǎng)絡(luò)時(shí)，它會(huì)向您的手機(jī)發(fā)送“toast ready”消息。經(jīng)常被誤解的是，一旦在您的家庭網(wǎng)絡(luò)上，烤面包機(jī)在技術(shù)上可以訪問(wèn)您的手機(jī)和互聯(lián)網(wǎng)、家庭計(jì)算機(jī)和打印機(jī)、家庭安全系統(tǒng)和網(wǎng)絡(luò)攝像頭以及網(wǎng)絡(luò)上的任何其他設(shè)備之間的所有網(wǎng)絡(luò)流量。

為什么我們應(yīng)該相信這個(gè)由最新的未知物聯(lián)網(wǎng)初創(chuàng)公司及其眾多合作伙伴開(kāi)發(fā)的設(shè)備沒(méi)有濫用我們的網(wǎng)絡(luò)數(shù)據(jù)？使用惡意軟件，同一烤面包機(jī)還可以：

收集和轉(zhuǎn)發(fā)家庭網(wǎng)絡(luò)上的所有網(wǎng)絡(luò)流量

如果烤面包機(jī)支持語(yǔ)音命令，軟件可以激活麥克風(fēng)并記錄對(duì)話

欺騙網(wǎng)絡(luò)上其他關(guān)鍵系統(tǒng)的命令，包括您的手機(jī)、網(wǎng)絡(luò)攝像頭和計(jì)算機(jī)

隨著物聯(lián)網(wǎng)設(shè)備在我們的生活中變得越來(lái)越重要，我們對(duì)其安全可靠運(yùn)行的信任也越來(lái)越高。如果物聯(lián)網(wǎng)的好處是與設(shè)備數(shù)量保持同步，那么物聯(lián)網(wǎng)開(kāi)發(fā)人員有責(zé)任了解在其嵌入式系統(tǒng)設(shè)計(jì)中建立和保持這種信任的重要性。

建立對(duì)物聯(lián)網(wǎng)的信任

對(duì)嵌入式安全的信任是指對(duì)系統(tǒng)按設(shè)計(jì)運(yùn)行的完整性的期望。軟件相信硬件運(yùn)行正常。應(yīng)用程序相信操作系統(tǒng)不會(huì)破壞數(shù)據(jù)。遠(yuǎn)程系統(tǒng)信任它所連接的設(shè)備的身份。

建立信任的過(guò)程就是身份驗(yàn)證。系統(tǒng)的信任根是身份驗(yàn)證開(kāi)始然后延伸到每個(gè)軟件層的點(diǎn)。高保證解決方案支持硬件或不可變內(nèi)存中的信任根，因此無(wú)法對(duì)其進(jìn)行修改。

每次開(kāi)機(jī)時(shí)，安全啟動(dòng)過(guò)程都會(huì)在允許執(zhí)行之前驗(yàn)證每一層的真實(shí)性。這可以確保軟件沒(méi)有損壞并且來(lái)自有效的來(lái)源。除非被證明是可信賴(lài)的，否則永遠(yuǎn)不會(huì)執(zhí)行組件。

安全啟動(dòng)的目的是通過(guò)在每次開(kāi)機(jī)時(shí)驗(yàn)證軟件沒(méi)有惡意軟件來(lái)消除網(wǎng)絡(luò)和物理代碼注入的風(fēng)險(xiǎn)。安全啟動(dòng)需要考慮許多權(quán)衡，包括啟動(dòng)時(shí)間、要驗(yàn)證的組件以及如何恢復(fù)。在數(shù)據(jù)和應(yīng)用程序不斷變化的 PC 中，統(tǒng)一可擴(kuò)展固件接口 （UEFI） 安全啟動(dòng)的價(jià)值在于確保不會(huì)修改 BIOS 和內(nèi)核以消除 rootkit。嵌入式系統(tǒng)的不同之處在于軟件緊湊且靜態(tài)，允許對(duì)整個(gè)圖像進(jìn)行身份驗(yàn)證。

遠(yuǎn)程擴(kuò)展信任

網(wǎng)絡(luò)永遠(yuǎn)不應(yīng)該被信任。始終假設(shè)在每個(gè)連接器外都有攻擊者試圖捕獲數(shù)據(jù)、發(fā)出命令并使用您的設(shè)備進(jìn)行“中間人”操作，如圖 2 所示。至少，攻擊者可以監(jiān)控所有數(shù)據(jù)和兩個(gè)設(shè)備之間的命令。端點(diǎn)之間的通信可以轉(zhuǎn)發(fā)到后門(mén)收集系統(tǒng)。攻擊者還可以同時(shí)欺騙兩個(gè)設(shè)備，例如關(guān)閉攝像頭并在替換攝像頭視頻流時(shí)偽造狀態(tài)。

圖 2：中間人拓?fù)涮峁┝诵崽胶推垓_接口的能力。

（點(diǎn)擊圖片放大）

公鑰基礎(chǔ)設(shè)施 （PKI） 加密技術(shù)通過(guò)使用證書(shū)對(duì)端點(diǎn)進(jìn)行相互驗(yàn)證，從而消除了中間人威脅。證書(shū)頒發(fā)機(jī)構(gòu) （CA） 為每個(gè)設(shè)備生成證書(shū)，通過(guò)對(duì)證書(shū)進(jìn)行數(shù)字簽名來(lái)保證每個(gè)設(shè)備的身份。由私鑰簽發(fā)的數(shù)字簽名僅由相應(yīng)的公鑰進(jìn)行驗(yàn)證。因此，使用 CA 證書(shū)，每個(gè)設(shè)備可以在接受數(shù)據(jù)之前驗(yàn)證另一個(gè)系統(tǒng)的身份。

證書(shū)頒發(fā)機(jī)構(gòu)在 Internet 安全中很常見(jiàn)，用于證明 Web 服務(wù)器的身份。在傳輸層安全 （TLS） 中，客戶端在連接期間會(huì)收到服務(wù)器的證書(shū)。預(yù)加載的 CA 證書(shū)用于在設(shè)置加密會(huì)話之前對(duì)服務(wù)器進(jìn)行身份驗(yàn)證。盡管存在眾所周知的暴力破解和網(wǎng)絡(luò)釣魚(yú)攻擊，但網(wǎng)站并沒(méi)有承擔(dān)頒發(fā)和管理客戶端證書(shū)的昂貴任務(wù)，而是通過(guò)加密隧道通過(guò)名稱(chēng)和密碼對(duì)用戶進(jìn)行身份驗(yàn)證。

軟件真實(shí)性

你如何確保軟件不會(huì)被修改？防火墻、端口掃描、漏洞分析、隔離和遠(yuǎn)程認(rèn)證都可以在運(yùn)行過(guò)程中防止網(wǎng)絡(luò)攻擊。但是，斷電時(shí)呢？是什么阻止了某人打開(kāi)蓋子并訪問(wèn)閃存以注入代碼或偽造？

使用與證書(shū)相同的 PKI 主體，開(kāi)發(fā)人員可以在啟動(dòng)和使用 Secure Boot 操作期間簽署軟件映像以證明其真實(shí)性。代碼使用非對(duì)稱(chēng)私鑰簽名，并在運(yùn)行時(shí)使用相應(yīng)的信任錨在設(shè)備上進(jìn)行驗(yàn)證。

企業(yè)安全基礎(chǔ)設(shè)施

使用密碼學(xué)，物聯(lián)網(wǎng)開(kāi)發(fā)人員可以在不受信任的公共網(wǎng)絡(luò)上創(chuàng)建可信賴(lài)的互連設(shè)備系統(tǒng)。實(shí)施端到端安全策略需要一個(gè)包含加密模塊、網(wǎng)絡(luò)安全協(xié)議、密鑰保護(hù)和安全啟動(dòng)的平臺(tái)。在保護(hù)設(shè)備的所有工時(shí)之后，如果 CA 和軟件簽名密鑰遭到破壞，投資仍然存在風(fēng)險(xiǎn)。

根 PKI 密鑰的泄露會(huì)影響每個(gè)制造的設(shè)備。通過(guò)訪問(wèn)根密鑰，攻擊者可以簽署惡意軟件并創(chuàng)建假證書(shū)。然后，攻擊者就有能力偽裝成有效系統(tǒng)，能夠隨意收集數(shù)據(jù)和發(fā)出命令。權(quán)衡影響（一個(gè)設(shè)備與所有設(shè)備），保護(hù)根密鑰是整個(gè)系統(tǒng)最關(guān)鍵的功能，必須相應(yīng)地優(yōu)先考慮。

在當(dāng)今復(fù)雜的制造和供應(yīng)鏈中，帶有硬件安全模塊的工作站是行不通的。物聯(lián)網(wǎng)供應(yīng)鏈包括多個(gè)離岸和第三方制造地點(diǎn)，合作伙伴需要在這些地點(diǎn)向安全平臺(tái)添加軟件，而不會(huì)將知識(shí)產(chǎn)權(quán)暴露在同一地點(diǎn)的競(jìng)爭(zhēng)中。安全基礎(chǔ)設(shè)施為利益相關(guān)者提供了使用密鑰的能力，而不會(huì)受到損害。

制定端到端的安全策略

Green Hills Software 的子公司 Integrity Security Services （ISS） 通過(guò)端到端嵌入式安全設(shè)計(jì)幫助客戶建立對(duì)其設(shè)備的信任，從而支持物聯(lián)網(wǎng)革命。從威脅評(píng)估開(kāi)始分析未經(jīng)授權(quán)的事件的影響，組織可以構(gòu)建一個(gè)安全策略來(lái)解決 ISS 嵌入式安全的五項(xiàng)規(guī)則。

表 1：實(shí)踐中的端到端安全設(shè)計(jì)。

在整個(gè)制造、運(yùn)營(yíng)和維護(hù)的所有生命周期階段提供端到端的安全保護(hù)。攻擊不僅僅發(fā)生在產(chǎn)品售出之后。員工、合作伙伴和造假者也是威脅候選者，這就是為什么零暴露密鑰管理基礎(chǔ)設(shè)施至關(guān)重要的原因。

與生產(chǎn)測(cè)試站不同，安全架構(gòu)和基礎(chǔ)設(shè)施可以跨多個(gè)產(chǎn)品線重復(fù)使用。通過(guò)首先開(kāi)發(fā)基礎(chǔ)架構(gòu)解決方案，組織可以將系統(tǒng)的使用整合到多個(gè)產(chǎn)品中，從而降低單位成本。遠(yuǎn)程軟件更新、功能控制和“應(yīng)用內(nèi)”購(gòu)買(mǎi)等增值功能可以進(jìn)一步降低安全成本。利用可信平臺(tái)和數(shù)字身份，開(kāi)發(fā)人員能夠安全地通信和分發(fā)唯一加密的文件。

展望未來(lái)

物聯(lián)網(wǎng)的爆炸式發(fā)展與我們以前見(jiàn)過(guò)的任何事情都不同。我們面臨的挑戰(zhàn)是決定在這場(chǎng)革命中我們將讓什么來(lái)定義我們。它會(huì)帶來(lái)我們可以信任和依賴(lài)的信息服務(wù)，還是仍然是一種新奇的便利？保護(hù)我們的設(shè)備，讓父母可以遠(yuǎn)距離監(jiān)測(cè)孩子的血糖，讓房主在度假時(shí)照看他們的家，等等，都是貫穿這場(chǎng)物聯(lián)網(wǎng)革命的故事。它們呼應(yīng)了通過(guò)端到端安全設(shè)計(jì)實(shí)現(xiàn)的生命、簡(jiǎn)單和信任。

審核編輯：郭婷