物聯(lián)網(wǎng)（IoT）已成為過去一年中談?wù)撟疃嗟膯栴}，針對(duì)部署物聯(lián)網(wǎng)傳感器并使跨多個(gè)網(wǎng)絡(luò)連接設(shè)備的公司面臨更多威脅。如今，由于企業(yè)安全漏洞，平均每天有 1000 萬條記錄丟失，因此到 2020 年，非法訪問信息、通過生活方式分析進(jìn)行計(jì)劃外監(jiān)控的可能性將繼續(xù)增加，因?yàn)榭赡苓B接超過 500 億臺(tái)設(shè)備。

物聯(lián)網(wǎng)安全問題和挑戰(zhàn)：

物聯(lián)網(wǎng)技術(shù)在廣泛領(lǐng)域的普遍使用帶來了一些風(fēng)險(xiǎn)，因?yàn)樵絹碓蕉嗟倪B接設(shè)備為黑客和網(wǎng)絡(luò)犯罪分子提供了更多的切入點(diǎn)。這些黑客正在尋找更多方法將個(gè)人資產(chǎn)攻擊到關(guān)鍵公共基礎(chǔ)設(shè)施，例如家庭、辦公室、工業(yè)、交通系統(tǒng)、水電大壩、電網(wǎng)、化工廠等。

以下是物聯(lián)網(wǎng)面臨的一些關(guān)鍵問題和挑戰(zhàn)：

無處不在的數(shù)據(jù)收集

物聯(lián)網(wǎng)應(yīng)用程序收集大量數(shù)據(jù)。大多數(shù)連接的設(shè)備至少存儲(chǔ)一條個(gè)人身份信息，如姓名、電子郵件和電話，并在不加密的情況下通過網(wǎng)絡(luò)傳輸這些信息，使數(shù)據(jù)暴露在漏洞中。為了使生活富有成效和舒適，從連接的設(shè)備中收集了大量數(shù)據(jù)以及消費(fèi)者的私人數(shù)據(jù)，這些數(shù)據(jù)是為將來的目的而強(qiáng)化的。

身份驗(yàn)證和授權(quán)不佳

如果無法確定與物聯(lián)網(wǎng)設(shè)備通信的數(shù)據(jù)的真實(shí)性，則安全性會(huì)受到損害。物聯(lián)網(wǎng)用戶不使用足夠復(fù)雜的身份驗(yàn)證憑據(jù)。大量設(shè)備依賴于簡(jiǎn)單易猜且毫不費(fèi)力的密碼和授權(quán)。這使黑客能夠輕松利用合法用戶帳戶，并通過密碼重置功能控制物聯(lián)網(wǎng)設(shè)備。

低級(jí)加密

數(shù)據(jù)檢索和處理是整個(gè)物聯(lián)網(wǎng)環(huán)境不可或缺的一部分。這些數(shù)據(jù)大部分是個(gè)人的，需要通過加密來保護(hù)。隨著一切的連接，物聯(lián)網(wǎng)打破了防御墻，并且由于整個(gè)網(wǎng)絡(luò)的加密不足，數(shù)據(jù)可能會(huì)受到網(wǎng)絡(luò)犯罪分子的侵犯。

受損的 OTA（無線）固件更新

物聯(lián)網(wǎng)面臨的挑戰(zhàn)是由于科技公司的隨意態(tài)度和消費(fèi)者的懶惰行為，因?yàn)樗麄儧]有充分更新設(shè)備或根本沒有更新設(shè)備。幾年前安全的設(shè)備現(xiàn)在容易受到威脅;由于技術(shù)的進(jìn)步。計(jì)算機(jī)已經(jīng)編程了自動(dòng)更新來解決這個(gè)問題，但過時(shí)的硬件公司正在損害安全性。

使用恩智浦A70 IC的安全物聯(lián)網(wǎng)解決方案架構(gòu)

1） 安全連接設(shè)備：

物聯(lián)網(wǎng)設(shè)備工程師需要通過創(chuàng)建一個(gè)平臺(tái)從設(shè)計(jì)階段開始實(shí)施安全性，該平臺(tái)可以保護(hù)自己的完整性，并且具有足夠強(qiáng)大的硬件來加強(qiáng)保護(hù)。使用恩智浦A70 IC芯片的物聯(lián)網(wǎng)邊緣設(shè)備可實(shí)現(xiàn)以下關(guān)鍵功能：

基于硬件的密鑰存儲(chǔ)

支持廣泛使用的加密標(biāo)準(zhǔn)（例如 TLS、RSA、ECC）

端到端安全消息傳遞

設(shè)備身份驗(yàn)證（使用 PKI 非對(duì)稱或 AES – 對(duì)稱）到云應(yīng)用

設(shè)備固件驗(yàn)證 – 安全啟動(dòng)和 OTA 升級(jí)

2） 安全網(wǎng)關(guān)：

通過具有身份驗(yàn)證和訪問控制的強(qiáng)大物聯(lián)網(wǎng)網(wǎng)絡(luò)架構(gòu)，可以避免許多安全漏洞。恩智浦A70 IC還可用于構(gòu)建安全的物聯(lián)網(wǎng)網(wǎng)關(guān)。該 IC 將使網(wǎng)關(guān)能夠很好地配備加密、身份管理和入侵檢測(cè)技術(shù)，以防止最新形式的攻擊，并且應(yīng)該具有彈性，以便在發(fā)生任何損壞時(shí)快速恢復(fù)。A70CM可以托管一個(gè)密鑰，即使在離線條件下也能激活網(wǎng)關(guān)連接的設(shè)備

3） 安全網(wǎng)絡(luò)連接：

某些設(shè)備必須交換非常敏感的消息，并且無法承受暴露AES加密密鑰的費(fèi)用，相同的密鑰在多個(gè)設(shè)備之間共享，以便于部署。恩智浦A70CM IC提供多種基于AES的加密模式（ECB、CBC和GCM）。

遠(yuǎn)程提取密鑰或使用側(cè)通道（如 SPA、DPA）從幾米外提取密鑰可能會(huì)危及整個(gè)系統(tǒng)。

A70CM可用于AES加密高度敏感的消息，AES密鑰永遠(yuǎn)不會(huì)離開防篡改的安全I(xiàn)C?？梢允褂妹荑€包裝從系統(tǒng)主節(jié)點(diǎn)安全地加載新密鑰。

4） 安全云連接：

為了防止任何人從云中偵聽或訪問數(shù)據(jù)，應(yīng)加密正在傳輸?shù)臄?shù)據(jù)。信任必須通過云兼容的可信集成來建立，并且在傳輸之前在服務(wù)器和客戶端之間建立信任。云必須為移動(dòng)設(shè)備提供可靠的數(shù)據(jù)存儲(chǔ)和隔離以及可靠的云存儲(chǔ)和計(jì)算。主要功能包括：

確保只有批準(zhǔn)的設(shè)備才能連接到云

確保從設(shè)備上傳的數(shù)據(jù)來自該設(shè)備，而不是來自其他設(shè)備

一個(gè)用例：用于安全密鑰管理的恩智浦A70CM IC

挑戰(zhàn)：

在供應(yīng)鏈中注入密鑰通常是一個(gè)問題，電子制造服務(wù)提供商通常不受信任或位于不受信任的位置

設(shè)備制造商沒有安全設(shè)施，包括站點(diǎn)保護(hù)和用于處理密鑰的安全服務(wù)器

此外，設(shè)備制造商可能希望通過構(gòu)建設(shè)備的 EMS 以外的其他渠道預(yù)配固件驗(yàn)證密鑰

溶液：

恩智浦可以選擇定制A70CM，并代表客戶預(yù)先注入密鑰（信任配置服務(wù)）

結(jié)論

毫無疑問，物聯(lián)網(wǎng)給網(wǎng)絡(luò)和安全架構(gòu)師帶來了強(qiáng)大的安全挑戰(zhàn)。更智能、更安全的物聯(lián)網(wǎng)解決方案應(yīng)通過包括基于硬件的密鑰存儲(chǔ)、端到端安全消息傳遞、設(shè)備和用戶授權(quán)以及經(jīng)過身份驗(yàn)證的云平臺(tái)連接來推動(dòng)每一層的安全性。此外，當(dāng)前的物聯(lián)網(wǎng)應(yīng)用需要不斷發(fā)展，以支持隱私和法規(guī)遵從性。本文還重點(diǎn)介紹了使用恩智浦A70CM IC從硬件層應(yīng)用安全權(quán)利的安全物聯(lián)網(wǎng)框架。需要改進(jìn)包含威脅檢測(cè)、異常檢測(cè)和預(yù)測(cè)分析的更智能的安全框架。

審核編輯：郭婷