物联网安全基础知识

随着物联网应用成为关键任务，安全性至关重要。就其本质而言，物联网生态系统容易受到多个级别的安全威胁。面对不断变化的环境，物联网生态系统的开发人员需要一种敏捷的安全方法，以便快速响应新出现的威胁。设备制造商和生态系统开发人员都必须制定简单、可扩展和可持续的物联网安全策略，以实现短期和长期业务目标。

物联网安全无疑是一个复杂的领域，需要专业的安全专业知识。组织必须决定是保留这种稀缺资源，对持续培训进行相关投资，还是与能够在整个开发周期中提供所需支持的外部组织合作。

安全和质量保证

软件行业中现有的全面质量管理（TQM）流程已经解决了安全问题，ISO-27001信息安全标准中体现的计划，执行，检查，行动流程被很好地理解为一种安全的开发方法。

物联网生态系统的开发者还必须通过独立公共机构的审查来证明符合相关法规和标准。相关标准包括信息技术安全评估通用标准（ISO/IEC 15408）;美国联邦信息处理标准出版物 （FIPS）;以及由法国国家安全机构ANSSI运营的基线安全认证（CSPN）。在欧盟范围内，产品、流程和服务通过欧洲网络安全认证流程进行认证，该流程由欧洲网络信息安全局拥有。此过程基于CSPN和证书的成功。..一旦发布，它们将在整个联盟中得到认可。

因此，除了协商PDCA流程的复杂性外，开发安全物联网生态系统的组织还必须了解如何以及何时与相关标准机构和审查机构进行交互。

PDCA 流程

计划

与任何项目一样，开发安全的物联网生态系统始于一个强大的计划，该计划应确保在开发周期中尽早解决安全问题。该计划应确定需要保护的业务风险和高度优先的资产，还应包括严格的威胁评估和制定有效缓解风险所需的安全措施。威胁建模和评估是一项关键的安全实践，由 Microsoft 安全工程师开发的 STRIDE 方法（图 2）是此阶段常用的工具。

图 2：STRIDE 风险和威胁评估。

该评估的结果是一份文件，该文件构成了客户综合风险管理方法的基础，并且是未来合规性和正式认证的关键推动因素。

做：设计物联网安全架构

威胁评估结果现在必须体现在物联网解决方案安全架构的设计中。此设计的范围涵盖硬件和软件，为了确保对不断变化的网络威胁的弹性，设计人员必须确保：

任何物联网设备都有一个无法克隆的唯一ID，为所有其他安全功能奠定了基础。此信任根 （RoT） 功能使所有各方能够信任来自设备的身份、身份验证、通信和数据。RoT 还提供启用可信功能所需的硬件和软件加密功能，API 层使外部应用程序能够访问这些功能。

CPU、内存和连接不能用于非指定任务，从而限制了黑客活动的威胁。

通过保护所有数据（无论是静态数据还是动态数据）的完整性来确保隐私、机密性和法规遵从性。

使用来自物联网生态系统的数据做出的决策在安全的环境中执行，免受篡改和知识产权盗窃。

发送到物联网设备的任何命令（例如“注射胰岛素”、“打开/关闭阀门”、“应用制动器”等）都经过验证，来自合法来源。

该项目的这一阶段是建立有效的物联网安全架构的关键，需要使用训练有素的专家资源。众所周知，这种资源在行业中是稀缺的，并且由于产品开发的周期性，保留可能会进一步复杂化：安全设计通常只完成一次，然后重新用于整个产品系列，这意味着内部安全专家可能无法持续使用。因此，许多组织考虑与外部合作伙伴合作可能是有意义的，他们不仅可以提供所需的安全设计专业知识，还可以在整个端到端 PDCA 过程中提供建议和指导。

完成 PDCA 流程的 DO 阶段后，安全架构设计已准备好进行渗透测试。

检查：防守，进攻，得分

为了确保设备满足其目标市场的安全要求，必须由独立机构（如CSPN）对其进行合规性测试或正式认证。由独立组织进行测试避免了与业务支持的机构和标准（如通用准则）可能存在的利益冲突，从而确保了测试的客观性。评估物联网设备的安全级别需要使用公认的参考和方法来评估其对正式识别的威胁的鲁棒性。这种评估可以使用定量或定性方法进行。

攻击评分是一种广泛使用的定量方法，其中评估保证级别 （EAL） 通过独立安全实验室执行的审查过程确定的分数进行优化。两种常用的评分机制是 CSPN 使用的联合解释库方法或由 FIRST（事件响应和安全团队论坛）管理的通用漏洞评分系统。

同样由独立安全实验室进行的定性评估测试设备内的安全漏洞，这将使高概率、高影响的攻击取得成功。对这种方法的评估程度取决于发起实际攻击所需的专业知识水平和工具的复杂性。此方法在设备中建立安全性或置信度级别，当测试活动无法显示所定义攻击的差距时，将达到分配的级别。

对于大多数物联网产品，定性基线评估就足够了，对于构建在已经通过安全评估过程的设备上的产品，例如u-blox的蜂窝物联网模块系列，可以进一步简化此评估。诸如此类的认证模块将经过广泛的评估，模拟典型的攻击路径，并测试设备的嵌入式安全性，以抵御攻击，包括故障注入和侧信道分析。通过集成经过测试的模块，开发人员可以确保对设备具有物理访问权限的攻击者将无法击败安全对策，并且加密算法、私钥和其他安全功能是安全的。

做

在规划、设计和评估阶段之后，物联网设备安全性必须在设备的整个生命周期内进行部署、扩展和维持。

尽管软件安全实现足以应对低威胁、低业务价值的情况，但高价值、高暴露的应用程序中使用的设备需要在生产运行期间在受信任位置预配硬件 RoT。大规模物联网生态系统部署的安全挑战还必须要求包含零接触配置、安全云连接以及节能和带宽高效密钥管理等功能。

减少生活中的安全威胁需要收集和监控大量内部和外部来源的数据。尽管这可能是一项艰巨的任务，但确保及时检测和修复威胁至关重要。没有必要内部资源的组织应认真考虑与可信赖的合作伙伴合作开展此活动。

在整个安全过程中与外部支持合作

许多专业安全组织（如 u-blox 和 Kudelski 合作伙伴关系）可以提供专家安全功能，在整个 PDCA 工作流程中为您提供支持，无论您处于开发过程的哪个阶段（图 3）。

图 3：物联网安全实验室之旅。

通常，专家安全分析、建议和设计服务可能包括通过量身定制的漏洞和威胁分析、端到端安全架构咨询和全面的预发布测试来评估和评估芯片级、PCB 级和软件安全。

安全解决方案

如上所述，对于基于认证模块（如 u-blox 蜂窝系列）的解决方案，可以简化安全流程。这些模块集成了Kudelski物联网安全平台，该平台创建了一个连接设备、数据、物联网平台和应用程序的信任链，使用户能够使用简单的API管理所有关键的物联网资产。该平台由三个元素组成 - 软件或硬件RoT，基于设备的安全客户端和云或基于客户端的安全服务器。预集成组件包括能够为物联网应用实现安全设备设计和数据的功能。该平台的用户可以创建和操作各种数字和物理资产，并确保安全保护适应未来的威胁。

设计有效的物联网安全架构是一个重要但复杂的过程，需要使用专业知识。PDCA 流程是一种成熟的方法，它包含必要的安全测试和认证步骤，并且在正确应用时，可确保实施强大的物联网安全架构。组织可以选择保留这种稀缺资源或与外部提供商合作，具体取决于其产品开发周期的具体情况。

审核编辑：郭婷