h1_key

如今，世界上有100億個(gè)物聯(lián)網(wǎng)節(jié)點(diǎn)連接到互聯(lián)網(wǎng)上，達(dá)到十多年前的十倍，這一趨勢(shì)將繼續(xù)增加。這種增長(zhǎng)也給攻擊者帶來(lái)了更多的機(jī)會(huì)。據(jù)估計(jì)，網(wǎng)絡(luò)攻擊造成的年成本從幾百億到幾萬(wàn)億美元不等，而且這個(gè)數(shù)字還在上升。因此，安全考慮對(duì)于繼續(xù)成功拓展物聯(lián)網(wǎng)至關(guān)重要，而物聯(lián)網(wǎng)安全始于物聯(lián)網(wǎng)節(jié)點(diǎn)的安全。

沒(méi)有公司希望自己的名字出現(xiàn)在被打破，客戶數(shù)據(jù)被盜等新聞中。此外，聯(lián)網(wǎng)設(shè)備還需要遵守日益嚴(yán)格的政府法規(guī)，如FDA對(duì)醫(yī)療設(shè)備的規(guī)定、美國(guó)/歐盟對(duì)工業(yè)4.0關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全要求以及汽車行業(yè)的一些新標(biāo)準(zhǔn)。這些要求旨在促進(jìn)高安全性的實(shí)現(xiàn)，但并沒(méi)有明確強(qiáng)制使用基于硬件的安全措施。然而，物聯(lián)網(wǎng)節(jié)點(diǎn)通常是大量的成本優(yōu)化設(shè)備，這給安全性和成本之間的平衡帶來(lái)了巨大的挑戰(zhàn)。

利用信任根創(chuàng)建安全節(jié)點(diǎn)。

我們?nèi)绾卧O(shè)計(jì)一個(gè)經(jīng)濟(jì)、高效、安全的物聯(lián)網(wǎng)節(jié)點(diǎn)？從信任根（也稱為安全元件）開(kāi)始，建立一個(gè)安全的物聯(lián)網(wǎng)節(jié)點(diǎn)，是一個(gè)負(fù)擔(dān)得起的小型集成電路，旨在為節(jié)點(diǎn)應(yīng)用程序處理器提供可靠的安全相關(guān)服務(wù)。相關(guān)功能示例包括數(shù)據(jù)加密（保護(hù)機(jī)密信息）和數(shù)字簽名（保證信息的真實(shí)性和完整性）。信任根的最終目標(biāo)是確保用于數(shù)據(jù)加密或數(shù)字簽名的密鑰得到保護(hù)，以防止泄露。

信任根的概念保證了安全相關(guān)服務(wù)信息的真實(shí)性和完整性

信任根的另一個(gè)關(guān)鍵功能是，由于安全指導(dǎo)機(jī)制的存在，它支持可信信息的交換。安全指導(dǎo)確保所有物聯(lián)網(wǎng)節(jié)點(diǎn)設(shè)備都在運(yùn)行合法的固件，因此這些設(shè)備可以按預(yù)期運(yùn)行，不會(huì)因其功能的惡意變化而受到攻擊。

安全IC面臨的最大挑戰(zhàn)是抵御物理攻擊，如直接探測(cè)和所謂的側(cè)信道攻擊。

物理不可克隆功能(PUF)

不幸的是，通用微控制器中常用的存儲(chǔ)技術(shù)（即EEPROM或閃存）并不安全，因?yàn)橹苯訖z測(cè)會(huì)試圖監(jiān)控微電路的內(nèi)部結(jié)構(gòu)。使用掃描電子顯微鏡（SEM），攻擊者可以直接監(jiān)控存儲(chǔ)器的內(nèi)容，而無(wú)需高成本。為了降低這一風(fēng)險(xiǎn)，半導(dǎo)體行業(yè)開(kāi)發(fā)了物理不可克隆功能（PUF）技術(shù)。PUF用于從微電路的固有物理屬性中導(dǎo)出唯一的密鑰。這些因芯片而異的屬性很難直接檢測(cè)，因此很難通過(guò)直接檢測(cè)提取生成的密鑰。在某些情況下，PUF派生密鑰加密信任根內(nèi)存儲(chǔ)器的其余部分，以保護(hù)存儲(chǔ)在設(shè)備上的所有其他密鑰和憑證。

PUF技術(shù)可以降低微電路直接檢測(cè)的風(fēng)險(xiǎn)。

側(cè)信道攻擊的成本甚至更低，而且更具侵入性。這種攻擊使用了以下事實(shí)：電子電路經(jīng)常通過(guò)電源、無(wú)線電或熱輻射泄漏處理數(shù)據(jù)的相關(guān)數(shù)字簽名。當(dāng)電路使用密鑰解密數(shù)據(jù)時(shí)，通過(guò)測(cè)量信號(hào)和處理數(shù)據(jù)之間的微妙相關(guān)性，可以在適度和復(fù)雜的統(tǒng)計(jì)分析后成功地猜測(cè)密鑰的值。顯然，信任的根是為了使用各種對(duì)策來(lái)防止這些數(shù)據(jù)泄露而設(shè)計(jì)的。

毛刺攻擊是另一種非侵入性攻擊，其中攻擊者試圖利用這個(gè)機(jī)會(huì)破壞芯片的執(zhí)行流。這通常是通過(guò)在芯片的電源或其他引腳上注入電脈沖或通過(guò)電磁脈沖來(lái)實(shí)現(xiàn)的。這種毛刺會(huì)對(duì)微電路中的信號(hào)或寄存器值造成一定的內(nèi)部損壞，并可能導(dǎo)致跳過(guò)授權(quán)和其他有害結(jié)果，允許不受控制地訪問(wèn)應(yīng)該受到限制的信息。同樣，信任根對(duì)此類漏洞也有明確的保護(hù)機(jī)制，如誤差檢測(cè)。

使用安全IC的應(yīng)用示例。

如圖3所示，胰島素泵由控制設(shè)備遠(yuǎn)程驅(qū)動(dòng)，顯然顯示了基于硬件的信任根在此類安全應(yīng)用中的優(yōu)勢(shì)。該應(yīng)用程序存在明顯的安全風(fēng)險(xiǎn)，攻擊者可能會(huì)向胰島素泵發(fā)送流氓命令，從而威脅患者的生命。該系統(tǒng)中使用的協(xié)議是一個(gè)簡(jiǎn)單的查詢/響應(yīng)身份驗(yàn)證協(xié)議：

1.為了準(zhǔn)備發(fā)送命令，控制設(shè)備要求胰島素泵發(fā)出質(zhì)詢。

2.胰島素泵采用隨機(jī)數(shù)R質(zhì)詢請(qǐng)求者。

3.控制設(shè)備使用其私鑰簽署命令、隨機(jī)數(shù)R和一些固定填充。該操作由控制設(shè)備的信任根完成。

4.胰島素泵將驗(yàn)證簽名是否正確，收到的隨機(jī)數(shù)是否與之前發(fā)出的隨機(jī)數(shù)相同，以避免無(wú)意義地重5.新發(fā)送有效命令。該操作由胰島素泵的信任根IC完成。

胰島素泵認(rèn)證是信任根應(yīng)用的簡(jiǎn)化示例

除了每個(gè)命令都需要使用新的隨機(jī)數(shù)外，該協(xié)議的安全性還取決于控制設(shè)備在授權(quán)命令中使用的私鑰的保密性，以及胰島素泵中授權(quán)公鑰的完整性。如果這些密鑰存儲(chǔ)在普通的微控制器中，攻擊者可以提取或操作它們，并制造假的控制設(shè)備或泵。在這種情況下，信任根IC使得更難偽造儀表設(shè)備或泵、操作憑證或篡改通信協(xié)議。此外，驗(yàn)證系統(tǒng)中不同設(shè)備運(yùn)行的固件也是確保整體安全的關(guān)鍵。破解的胰島素泵固件可能通過(guò)傳入命令的驗(yàn)證，并接受未經(jīng)驗(yàn)證的請(qǐng)求。

對(duì)于任何物聯(lián)網(wǎng)應(yīng)用程序，只要其網(wǎng)絡(luò)節(jié)點(diǎn)采用遠(yuǎn)程控制或測(cè)量和報(bào)告敏感值，就可以很容易地從上述應(yīng)用程序轉(zhuǎn)移。

專用安全IC的優(yōu)點(diǎn)

一般來(lái)說(shuō)，良好的節(jié)點(diǎn)設(shè)備設(shè)計(jì)將使攻擊者攻擊設(shè)備的成本遠(yuǎn)高于潛在的回報(bào)?；谔厥獍踩?/span>IC的架構(gòu)具有許多優(yōu)點(diǎn)：

物聯(lián)網(wǎng)安全是一場(chǎng)永無(wú)止境的戰(zhàn)斗。雖然各種攻擊手段不斷升級(jí)，但與此同時(shí)，安全IC供應(yīng)商也在不斷加強(qiáng)對(duì)策，因此攻擊安全IC的成本仍然很高。升級(jí)安全IC可以提高網(wǎng)絡(luò)設(shè)備的安全性，對(duì)整體設(shè)備設(shè)計(jì)和成本影響不大。

將關(guān)鍵功能集中在與應(yīng)用處理器分離的強(qiáng)大防篡改物理環(huán)境中，可以更容易地確保安全評(píng)估法律法規(guī)的合規(guī)性。這種隔離也使得攻擊者更難利用設(shè)備應(yīng)用處理器中的漏洞，很難完全發(fā)現(xiàn)和消除。

如果供應(yīng)商盡快調(diào)試安全IC，則更容易確保物聯(lián)網(wǎng)節(jié)點(diǎn)在其整個(gè)生命周期中的安全。使用此方法時(shí)，無(wú)需與合同制造商共享關(guān)鍵信息，可實(shí)現(xiàn)安全的個(gè)性化過(guò)程和OTA更新。重建和克隆也變得更加困難；由于安全IC無(wú)法克隆，物聯(lián)網(wǎng)節(jié)點(diǎn)設(shè)備無(wú)法克隆。

選擇合適的應(yīng)用微控制器是一項(xiàng)艱巨的任務(wù)，因?yàn)槲覀儽仨氄业教匦浴⒊杀竞蜕鲜袝r(shí)間之間的最佳平衡。最合適的微控制器可能沒(méi)有足夠的安全特性，因此使用外部垂直安全IC是最靈活、影響小的設(shè)備保護(hù)方法。

結(jié)論。

隨著合規(guī)要求的不斷加強(qiáng)和源源不斷的遠(yuǎn)程大規(guī)模攻擊，必須注意暴露物聯(lián)網(wǎng)系統(tǒng)的安全性。典型的網(wǎng)絡(luò)系統(tǒng)中有許多組件，安全設(shè)計(jì)必須是第一步。雖然保護(hù)邊緣的物聯(lián)網(wǎng)節(jié)點(diǎn)并不是唯一的步驟，但它是非常必要的。