物联网安全基础知识

随着物联网应用成为关键任务，安全性至关重要。就其本质而言，物联网生态系统在多个层面上容易受到安全威胁。面对不断变化的环境，物联网生态系统的开发人员需要一种敏捷的安全方法，以便快速响应新出现的威胁。设备制造商和生态系统开发人员都必须制定简单、可扩展和可持续的物联网安全策略，以实现短期和长期业务目标。

物联网安全无疑是一个复杂的领域，需要专业的安全专业知识。组织必须决定是保留这一稀缺资源，同时对持续培训进行相关投资，还是与能够在整个开发周期中提供所需支持的外部组织合作。

安全和质量保证

软件行业中现有的全面质量管理（TQM）流程已经解决了安全问题，ISO-27001信息安全标准中体现的计划，执行，检查，行动流程（图1）被很好地理解为一种安全的开发方法。

图 1：计划、执行、执行、检查 （PDCA） 开发过程。

物联网生态系统的开发人员还必须通过独立公共机构的审查来证明对相关法规和标准的遵守情况。相关标准包括信息技术安全评估通用标准（ISO/IEC 15408）;美国联邦信息处理标准出版物（FIPS）;以及基线安全认证（CSPN），由法国国家安全机构ANSI运营。在欧盟内部，产品、流程和服务通过欧洲网络安全认证流程进行认证，该流程由欧洲网络信息安全局拥有。此过程基于CSPN和证书的成功。..一旦发行，它们将在整个联盟中得到认可。

因此，除了就PDCA流程的复杂性进行谈判外，开发安全物联网生态系统的组织还必须了解如何以及何时与相关标准机构和审查机构进行交互。

专利保护协会进程

计划

与任何项目一样，开发安全的物联网生态系统始于一个强大的计划，该计划应确保在开发周期中尽早解决安全问题。该计划应确定业务风险和需要保护的高优先级资产，还应包括严格的威胁评估和有效降低风险所需的安全措施的详细说明。威胁建模和评估是一项关键的安全实践，而由 Microsoft 安全工程师开发的 STRIDE 方法（图 2）是此阶段的常用工具。

图 2：STRIDE 风险和威胁评估。

该评估的结果是一份文件，该文件构成了客户综合风险管理方法的基础，并且是未来合规性和正式认证的关键推动因素。

DO： 设计物联网安全架构

威胁评估结果现在必须体现在物联网解决方案安全架构的设计中。该设计的范围涵盖硬件和软件，为了确保对不断变化的网络威胁的弹性，设计人员必须确保：

任何物联网设备都有一个无法克隆的唯一ID，为所有其他安全功能奠定了基础。此信任根 （RoT） 功能使所有各方都能够信任来自设备的身份、身份验证、通信和数据。RoT 还提供启用可信功能所需的硬件和软件加密功能，API 层使外部应用程序能够访问这些功能。

CPU、内存和连接不能用于非指定任务，从而限制了黑客活动的威胁。

通过保护所有数据（无论是静态数据还是动态数据）的完整性，确保隐私、机密性和法规遵从性。

使用物联网生态系统中的数据做出的决策是在安全的环境中执行的，不受篡改和知识产权盗窃的影响。

发送到物联网设备的任何命令（例如“注射胰岛素”，“打开/关闭阀门”，“踩刹车”等）都被验证为来自合法来源。

该项目的这一阶段是建立有效的物联网安全架构的关键，需要使用训练有素的专家资源。众所周知，这种资源在行业中非常稀缺，并且由于产品开发的周期性，保留可能会进一步复杂化：安全设计通常只完成一次，然后在整个产品系列中重复使用，这意味着内部安全专家可能不会持续使用。因此，对于许多组织来说，考虑与外部合作伙伴合作可能是有意义的，这些合作伙伴不仅可以提供所需的安全设计专业知识，还可以在整个端到端PDCA过程中提供建议和指导。

在完成PDCA过程的DO阶段后，安全架构设计已准备好进行渗透测试。

检查：防守、进攻、得分

为确保设备满足其目标市场的安全要求，必须由独立机构（如 CSPN）对其进行合规性测试或正式认证。由独立组织进行测试可避免与业务支持的机构和标准（如通用标准）可能存在的利益冲突，从而确保测试的客观性。评估物联网设备的安全级别需要使用公认的参考和方法来评估其针对正式识别的威胁的稳健性。这种评估可以使用定量或定性方法进行。

攻击评分是一种广泛使用的定量方法，其中评估保证级别（EAL）由独立安全实验室通过审查过程确定的分数进行优化。两种常用的评分机制是CSPN使用的联合解释库方法，或由FIRST（事件响应和安全团队论坛）管理的通用漏洞评分系统。

定性评估也由独立的安全实验室进行，测试设备内部的安全漏洞，这将使高概率，高影响的攻击取得成功。对这种方法的评价程度取决于专门知识水平和发动现实攻击所需工具的复杂性。此方法在设备中建立安全或置信度级别，当测试活动无法揭示所定义攻击的差距时，将达到分配的级别。

对于大多数物联网产品来说，定性基线评估就足够了，对于构建在已经经过安全评估过程的设备上的产品，例如u-blox的蜂窝物联网模块系列，这种评估可以进一步简化。诸如此类的认证模块将经过广泛的评估，模拟典型的攻击路径，并测试设备的嵌入式安全性，以防止攻击，包括故障注入和侧信道分析。通过集成已经过此级别测试的模块，开发人员可以确保对设备具有物理访问权限的攻击者将无法击败安全对策，并且加密算法，私钥和其他安全功能是安全的。

做

在规划、设计和评估阶段之后，必须在设备的整个生命周期内部署、扩展和维持物联网设备安全性。

尽管软件安全实施足以应对低威胁、低业务价值的情况，但在生产运行期间，高价值、高暴露度应用程序中使用的设备需要硬件 RoT，并在受信任位置进行配置。大规模物联网生态系统部署的安全挑战还必须要求包含零接触配置、安全云连接以及电源和带宽效率密钥管理等功能。

减少安全威胁的实时暴露需要收集和监控大量内部和外部来源的数据。虽然这可能是一项艰巨的任务，但确保及时发现和修复威胁至关重要。没有必要内部资源的组织应认真考虑与值得信赖的合作伙伴合作开展此活动。

在整个安全旅程中与外部支持接洽

许多专业安全组织（如 u-blox 和 Kudelski 合作伙伴关系）可以提供专家安全功能，在整个 PDCA 工作流程中为您提供支持，无论您处于开发过程的哪个阶段（图 3）。

图 3：IoT 安全实验室之旅。

通常，专家安全分析、建议和设计服务可能包括通过量身定制的漏洞和威胁分析、端到端安全架构咨询和全面的预发布测试来评估和评估芯片级、PCB级和软件安全性。

安全解决方案

如上所述，对于基于认证模块（如 u-blox 蜂窝系列）的解决方案，可以简化安全过程。这些模块集成了Kudelski物联网安全平台，该平台创建了一个信任链，链接设备，数据，物联网平台和应用程序，使用户能够使用简单的API管理所有关键的物联网资产。该平台由三个元素组成 - 软件或硬件RoT，基于设备的安全客户端和云或基于客户内部的安全服务器。预集成组件包括能够为物联网应用实现安全设备设计和数据的功能。该平台的用户可以创建和操作各种数字和物理资产，并确保安全保护适应未来的威胁。

设计有效的物联网安全架构是一个必不可少但复杂的过程，需要使用专业知识。PDCA流程是一种成熟的方法，它结合了必要的安全测试和认证步骤，如果应用得当，可确保实施强大的物联网安全架构。组织可以选择保留这一稀缺资源或与外部提供商合作，具体取决于其产品开发周期的具体情况。

审核编辑：郭婷