物聯(lián)網(wǎng)時(shí)代: 如何做好安全防御?

物聯(lián)網(wǎng)(IoT)已成為時(shí)下的營(yíng)銷熱詞，它是一個(gè)非常廣泛的術(shù)語(yǔ)，涵蓋了各種不同的應(yīng)用，包括從閉路電視到IP連接監(jiān)控?cái)z像頭，以及工廠和穿戴式健身追蹤器的連接傳感器，甚至遠(yuǎn)程控制的家庭供暖系統(tǒng)。大多數(shù)工程師早就意識(shí)到給任何電子設(shè)備添加連接功能都可帶來(lái)諸多重要優(yōu)勢(shì)。

據(jù)BI Intelligence調(diào)研報(bào)告顯示，預(yù)計(jì)2020年全球聯(lián)網(wǎng)設(shè)備將達(dá)340億臺(tái)，使用中的物聯(lián)網(wǎng)設(shè)備數(shù)量將達(dá)240億臺(tái)，且從2015年至2020年間，全球物聯(lián)網(wǎng)投資總額將高達(dá)6萬(wàn)億美元。另?yè)?jù)中國(guó)工業(yè)和信息化部的數(shù)據(jù)顯示，2015年中國(guó)物聯(lián)網(wǎng)產(chǎn)業(yè)規(guī)模已達(dá)人民幣7 500億元，同比增長(zhǎng)29.3%。中國(guó)媒體預(yù)測(cè)，到2020年，中國(guó)物聯(lián)網(wǎng)整體規(guī)模將達(dá)1.8萬(wàn)億人民幣。

隨著聯(lián)網(wǎng)設(shè)備的增加，出現(xiàn)了各種形式的網(wǎng)絡(luò)攻擊，其中一個(gè)讓所有互聯(lián)網(wǎng)連接設(shè)備開(kāi)發(fā)人員倍感挑戰(zhàn)的就是安全性問(wèn)題。據(jù)普華永道發(fā)布的2017年全球信息安全狀況調(diào)查報(bào)告顯示，2016年中國(guó)內(nèi)地及香港地區(qū)檢測(cè)到的信息安全事故平均數(shù)量高達(dá)2 577件，較2015年增長(zhǎng)兩倍有余。Gartner亦在其安全調(diào)研報(bào)告中表示，到2020年，在企業(yè)受到的確認(rèn)攻擊中，超過(guò)25%將與物聯(lián)網(wǎng)有關(guān)。

移動(dòng)支付就是個(gè)明顯的案例：銀行顯然希望避免手機(jī)支付的欺詐性交易。但物聯(lián)網(wǎng)安全威脅各式各樣，且影響深遠(yuǎn)。

為何安全性對(duì)物聯(lián)網(wǎng)而言如此重要呢？由于可用數(shù)據(jù)數(shù)量前所未有，而所有物聯(lián)網(wǎng)系統(tǒng)間的互聯(lián)互通及其潛在威脅都極大激起了風(fēng)險(xiǎn)意識(shí)。其中不應(yīng)被忽視的因素之一是，有部分工程師之前開(kāi)發(fā)的系統(tǒng)并未接入互聯(lián)網(wǎng)，而現(xiàn)在他們則必須開(kāi)發(fā)聯(lián)網(wǎng)產(chǎn)品。我們相信銀行擁有強(qiáng)大的專業(yè)技術(shù)可確保金融交易的安全性，但如果工程師曾經(jīng)只開(kāi)發(fā)USB網(wǎng)絡(luò)攝像頭，我們又如何信任他可以確保IP連接攝像頭的安全呢？

幸運(yùn)的是，若工程師花些時(shí)間遵循一些基本準(zhǔn)則就會(huì)發(fā)現(xiàn)，包括半導(dǎo)體公司和分銷商在內(nèi)的供應(yīng)商目前都在提供相關(guān)的技術(shù)及支持，協(xié)助開(kāi)發(fā)出更具安全性的物聯(lián)網(wǎng)產(chǎn)品。

風(fēng)險(xiǎn)與威脅

物聯(lián)網(wǎng)的性質(zhì)意味著設(shè)備經(jīng)常可以進(jìn)行訪問(wèn)，外圍系統(tǒng)遭受的物理攻擊(例如使用邊信道控制門禁)對(duì)許多系統(tǒng)而言都是風(fēng)險(xiǎn)。同樣，一個(gè)脆弱、偽造或受損的設(shè)備會(huì)削弱內(nèi)部網(wǎng)絡(luò)的安全性。而許多物聯(lián)網(wǎng)供應(yīng)商認(rèn)為其與其它公司產(chǎn)品間的互操作性對(duì)商業(yè)成功至關(guān)重要，所以該問(wèn)題更是一個(gè)挑戰(zhàn)。

網(wǎng)關(guān)或IP邊緣節(jié)點(diǎn)為遠(yuǎn)程攻擊提供了機(jī)會(huì)。以智能家居為例，網(wǎng)關(guān)通常是客戶ISP提供的低成本路由器，其功能有限，甚至可能存在未修復(fù)的漏洞。

智能手機(jī)、平板電腦、智能手表也存在著安全隱患，用戶可能下載流氓軟件，從而讓這類軟件獲得網(wǎng)絡(luò)訪問(wèn)權(quán)限。同樣，PIN碼釣魚(yú)軟件可讓裝有應(yīng)用程序的設(shè)備獲得物聯(lián)網(wǎng)系統(tǒng)訪問(wèn)權(quán)限。最終，隨著物聯(lián)網(wǎng)的發(fā)展日趨成熟，各種設(shè)備的升級(jí)換代，淘汰的設(shè)備有可能被植入特洛伊木馬，給其它網(wǎng)絡(luò)設(shè)備帶來(lái)威脅。

顯然，設(shè)計(jì)物聯(lián)網(wǎng)設(shè)備時(shí)工程師需對(duì)整個(gè)系統(tǒng)進(jìn)行全面了解，而不是僅僅把關(guān)注點(diǎn)放在產(chǎn)品上。

確保嵌入式設(shè)備的安全性

開(kāi)發(fā)嵌入式物聯(lián)網(wǎng)設(shè)備時(shí)，工程師必須確保實(shí)現(xiàn)以下三點(diǎn)：

數(shù)據(jù)完整性：確保數(shù)據(jù)不被窺探，僅授權(quán)人員可訪問(wèn)，而且還需確保數(shù)據(jù)不能被篡改導(dǎo)致蓄意攻擊或意外性錯(cuò)誤。

代碼完整性：保護(hù)代碼也至關(guān)重要。代碼修改必須可檢測(cè)，而且只有經(jīng)授權(quán)才可修改代碼。此外，許多公司也關(guān)心知識(shí)產(chǎn)權(quán)保護(hù)問(wèn)題，這就要求采取措施避免代碼失竊。

設(shè)備完整性：確保連接設(shè)備可靠，并且其關(guān)鍵功能不可被篡改。因此，物聯(lián)網(wǎng)設(shè)備需要強(qiáng)大的加密密鑰認(rèn)證和保護(hù)，以防止黑客入侵和產(chǎn)品偽造。

為了實(shí)現(xiàn)目標(biāo)，安全專家經(jīng)常提到嵌入式物聯(lián)網(wǎng)安全性的6個(gè)原則，以加強(qiáng)對(duì)開(kāi)發(fā)人員的支持：身份/身份驗(yàn)證、授權(quán)、審核、保密、完整性及可用性，而許多這些原則的核心是密碼學(xué)。

為物聯(lián)網(wǎng)安全提供設(shè)備支持

現(xiàn)在，許多物聯(lián)網(wǎng)設(shè)備更易于構(gòu)建安全保護(hù)，這對(duì)于物聯(lián)網(wǎng)產(chǎn)品開(kāi)發(fā)人員而言這無(wú)疑是好消息。以e絡(luò)盟合作開(kāi)發(fā)的、可用于NXP WaRP7 IoT和可穿戴開(kāi)發(fā)平臺(tái)上的NXP iMX 7Solo應(yīng)用處理器為例，該物聯(lián)網(wǎng)原型平臺(tái)包含許多處理器內(nèi)置的安全功能。

其中最明顯的特征之一是支持加密，且還支持使用CAAM(加密加速和保證模塊)對(duì)硬件加速加密。該模塊也包含支持各種加密標(biāo)準(zhǔn)的加密和哈希引擎。

處理復(fù)雜性

選擇正確的開(kāi)發(fā)平臺(tái)至關(guān)重要。許多資源(如e絡(luò)盟社區(qū)的設(shè)計(jì)中心)可提供有關(guān)處理器開(kāi)發(fā)平臺(tái)、軟件工具及中間件的詳細(xì)信息。應(yīng)用工程師以及像e絡(luò)盟這樣的分銷商在選擇或提供正確組件方面扮演著重要角色，同時(shí)也縮短了選擇適當(dāng)工具和信息的學(xué)習(xí)周期。

當(dāng)下高度集成的狀態(tài)意味著開(kāi)發(fā)平臺(tái)通常只有幾個(gè)組件，這幾乎是生產(chǎn)的理想硬件。e絡(luò)盟的獨(dú)特策略就是與主流芯片供應(yīng)商展開(kāi)合作，以打造開(kāi)發(fā)板資源中心，為工程師從初始設(shè)計(jì)到生產(chǎn)制造整個(gè)流程提供完善的支持服務(wù)。e絡(luò)盟可提供一系列開(kāi)發(fā)板，其中包括：搭載松下傳感器的Grid-EYE傳感器評(píng)估套件、WaRP7開(kāi)發(fā)平臺(tái)、采用EnOcean與IBM技術(shù)的物聯(lián)網(wǎng)入門套件、mangOH

Green 物聯(lián)網(wǎng)開(kāi)源硬件平臺(tái)及mangOH開(kāi)發(fā)套件等。此外，e絡(luò)盟還與樹(shù)莓派基金會(huì)達(dá)成獨(dú)家協(xié)議定制生產(chǎn)樹(shù)莓派開(kāi)發(fā)板，以便精準(zhǔn)滿足客戶的需求，e絡(luò)盟還針對(duì)其它系列開(kāi)發(fā)板提供這種定制生產(chǎn)服務(wù)。這些低成本開(kāi)源電子平臺(tái)和單板機(jī)能夠讓創(chuàng)客更加輕松地進(jìn)行物聯(lián)網(wǎng)設(shè)計(jì)開(kāi)發(fā)，并幫助縮短工程師與程序員之間的技術(shù)差距。

結(jié)論-安全問(wèn)題是物聯(lián)網(wǎng)最大的挑戰(zhàn)之一