物联网安全设计

全球管理咨询公司麦肯锡公司最近询问了一组专家——包括麻省理工学院媒体实验室主任和谷歌高级技术项目副主任——与物联网 (IoT) 相关的最大风险是什么。猜出答案没有奖品。

“我们正在创造大量新的攻击面，”麦肯锡的一位受访者表示。“物联网可以 [扩大] 任何类型的网络攻击的攻击面，”另一位说。三分之一的人说：“我担心人们会获取我的信息或导致设备在物理上做错事。” 第四个人简洁地回答：“安全风险。”

知道物联网带来安全风险并不是什么新鲜事；例如，连接的传感器收集的数据（无论是监控交通、天气还是建筑物占用）或跨网络传输的信息（例如医疗、财务或安全详细信息）都是有价值的。这种价值观既吸引了守法者，也吸引了那些对规则更加自由放任的人。但这种风险的严重性现在才变得明显。上述专家引用的“攻击面”已经包含数百亿个节点，并且在不久的将来将扩大到数万亿个。（根据日本科技集团 SoftBank 的说法，最快到 2025 年。）

连接的消费级安全摄像头完美地说明了工程师在充分保护连接到物联网的每台设备（从普通的无线传感器到功能强大的服务器）方面所面临的挑战。消费者想要便宜的安全摄像头，而这会带来妥协——明显缺乏安全性。安全摄像头制造商认为没有人会费心去破解设备并因此偷工减料。但这是一个错误的信念，因为根据网络安全公司 SAM Seamless Network 的研究，很多人对闯入安全摄像头非常感兴趣，而且很多其他人也有兴趣帮助他们。这些设备目前几乎占被黑客入侵的物联网设备的一半。不法分子甚至不必从头开始；事实证明，联网安全摄像头黑客攻击是一个拥有自己支持社区的行业。事实上，有许多基于网络的工具和示例代码是专门为破解设备而设计的。很少有黑客真正想要访问安全摄像头提供的停车场或大楼大厅的视图。相反，黑客意识到摄像头是网络中的薄弱环节，通过闯入摄像头，他们有可能打开对受更好保护的设备的访问权限，例如建筑物中的所有智能锁。

安全设计

接下来的挑战是在不增加太多复杂性和成本的情况下充分保护一万亿个物联网设备（并且需要全球范围内相当有限的开发人员来做到这一点）。工程师可以着手的一种方法是只专注于保护关键数据和信息，而让所有价值很小或没有价值的东西不受保护。这带来了三个主要好处：

需要更少的开发人员资源

提供更简单、更具成本效益的解决方案

最大限度地提高该解决方案的灵活性和便利性

可信执行环境 (TEE) 为保护关键数据提供了经过验证的技术解决方案。TEE 是 IoT 设备嵌入式处理器内的安全区域，该处理器并行运行软件但与主操作系统 (OS) 隔离。TEE 依赖于“信任根”；这是一组在安全环境中使用的功能，始终受到处理器操作系统的信任，包括安全启动和系统恢复所需的一切。

该技术成功的关键在于，有价值的代码和数据（例如安全功能和加密凭证）在 TEE 内部运行，并以非常高的完整性和机密性得到维护，而价值较低的代码和数据则在主操作系统上不受阻碍地运行。至关重要的是，TEE 内部的操作可以隐藏在正常的处理器功能之外，从而使外部人员难以访问它们。与试图锁定所有内容相比，这样的系统实施起来更简单（因此成本更低），但黑客很难闯入（这使得他们很可能将邪恶的注意力转移到别处）。   

虽然其他商业 TEE 解决方案可用，但对于开发人员而言，最可行的选择可能是嵌入式 IP 供应商 Arm 的“TrustZone”——据分析师 IPNest 称，该公司的技术为物联网设备核心中约 45% 的高效处理器提供动力。该技术通过在 Arm 处理器的正常操作模式之外建立安全的 TEE 来实现可自由编程的“可信平台模块”。

当以安全模式运行时，例如执行安全启动，处理器从安全内存运行软件并与安全外围设备接口。启动完成后，处理器以正常模式运行应用程序和无线协议栈等软件。正常模式下的元素可以访问安全区域中的功能，但只能访问开发人员已为正常操作提供的功能。其他一切都保持隐藏。活动按顺序完成，因此处理器永远不会同时处于安全模式和正常模式。

要了解一切在实践中是如何运作的，请考虑用于收集运动数据和执行移动支付的可穿戴设备。当用作健身设备时，可穿戴设备以正常模式运行，从而限制延迟并最大限度地延长电池寿命。但后来，当努力工作的业余运动员想要购买当之无愧的软饮料时，可穿戴设备需要一种安全机制来识别他们，以便付款细节可以安全地发布给供应商，而没有被拦截的风险。为此，嵌入式处理器从正常模式切换到安全模式并启用支付应用程序。身份验证（例如生物识别检查）可确保设备只能由受信任的所有者使用。

但是，尽管 TEE 为保护物联网设备最重要的方面提供了基础，但它们并不是安全的硬道理。为了设计出最安全的设备，工程师需要确保在设计过程的每个阶段都考虑到保护；否则，存在漏洞的风险。而且由于黑客不睡觉，如果产品中有任何弱点，他们会很快找到它。

Steven Keeping 在英国布莱顿大学获得工学士（荣誉）学位，之后在 Eurotherm 和 BOC 的电子部门工作了七年。随后，他加入了《Electronic Production》杂志，随后在电子制造、测试和设计方面担任了 13 年的高级编辑和出版职务，其中包括英国和澳大利亚的 Trinity Mirror、CMP 和 RBI 的《电子新动态》和《澳大利亚电子工程》。2006 年，史蒂文成为一名专攻电子领域的自由撰稿人。他常驻悉尼。

审核编辑 黄宇