在電子設計中，安全性至關重要，對于復雜、資源受限、高度連通的物聯網（IoT）而言，更是如此。實現物聯網安全需要依靠成熟的安全原則并警惕不斷變化的威脅，而設計工程師將產品推向市場時面臨一些物聯網安全挑戰。

　　物聯網面臨安全威脅

　　物聯網目前正逐漸融入大多數工業和商業運營體系中，包括公共設施、重要的基礎設施、交通、金融、零售和醫療。物聯網設備能夠感知和測量物理世界，收集人類的各種活動數據，促進了智能、自動化、自主命令和控制技術的廣泛部署。通過無處不在的物聯網互連智能設備，企業能夠創造出真正革命性的技術，從而改善未來人類社會和經濟生活的方方面面。然而，幾乎每個星期都有主流媒體報道數字安全性的漏洞問題，通常是消費者信用卡信息被盜或使用不當而造成損失，與每天發生的成千上萬個網絡遭受攻擊的案例相比，這只不過是九牛一毛。安全攻擊包括竊取有價值的數據并造成大范圍破壞，更有甚者，會控制關鍵的系統。從消費者的角度來看，分布式阻斷服務（DDoS）攻擊可能是最常見的威脅。2016年造成整個互聯網中斷的Mirai僵尸網絡第一次敲響了警鐘，令各機構意識到這類威脅。繼Mirai之后，Aidra、Wifatch和Gafgyt，以及BCMUPnP、Hunter52和Torii53等新加入的僵尸網絡，累計侵入了數百萬部IoT設備，以擴散其DDoS惡意攻擊軟件、加密貨幣挖礦軟件以及垃圾郵件中繼代理。

　　隨著我們的工作和生活中出現更多的物聯網設備，潛在的安全攻擊無處不在，而且規模越來越大。以智能交通控制為例，設想一下大城市控制交通流量的傳感器、交通信號燈、協調管控車輛的汽車網狀網絡和控制設備等基礎設施暴露給對手的情形。在重要的十字路口通過無線網絡控制交通信號燈或車輛之間的通信，已經不再是好萊塢大片中才會出現的場景，而是一項真實存在的嚴肅議題。

　　再想一想互聯網醫療設備、商店內幫助改善零售購物體驗的智能標簽，以及我們的家電如何聯網。如果你能用自己的智能手機啟動爐子、開鎖、關閉警報系統，那么其他人呢？

　　上面的例子跟我們所有人都相關，但是，有很多情形是普通消費者看不到的。設想針對自動化制造環境部署的工業物聯網（IIoT），如果出現了安全漏洞將會導致怎樣的混亂，生產停機和設備損壞又可能造成怎樣的財務損失？

　　隨著潛在的攻擊呈指數級增長，物聯網的安全防護必須全面而穩健，并具有快速恢復的能力。

　　圖1：物聯網設備數量及面臨的威脅均呈指數增長。（圖片來源：Gartner、Softbank、IBM X-Force威脅情報指數2019，以及Symantec互聯網安全威脅報告2018）

　　不能只依靠軟件方法

　　試圖竊聽或非法獲取信息并不是什么新鮮事。荷蘭計算機研究員Wim van Eck早在1985年就進行了相關的研究。他通過截取顯示器的電磁場并進行解碼，成功地從顯示器中獲取了信息。他的開創性工作強調了一個事實：利用一些價格不高的組件，便可以繞開昂貴的安全防護措施而達到目的。

　　這種非侵入和被動式電磁邊信道攻擊如今變得更加復雜，并成為眾多攻擊武器的一種。其他邊信道攻擊方法包括差分功耗分析（DPA）等，通常與電磁邊信道攻擊一起使用。通過這種攻擊方式，在執行加密處理指令時，物聯網設備微控制器中的加密密鑰、密碼和個人身份等敏感信息將以電磁信號的形式被“泄露”。寬帶接收器作為軟件定義的無線電應用目前價格已經很低，在運行中可用于檢測和存儲電磁信號。

　　DPA是一種更復雜的竊取方式，通過簡單的功耗分析可以了解設備運行過程中的處理器功耗。由于處理設備所消耗的功率會因執行的函數而有所不同，因此可以通過了解功耗情況來識別離散函數。基于AES、ECC和RSA的加密算法函數需要大量計算，可以通過功耗測量分析來識別。以微秒時間間隔檢查功耗可以發現密碼學中經常使用的各種數字運算，例如平方和乘法。DPA在簡單的功耗分析中增加了統計和糾錯技術，可以實現機密信息的高精度解碼。

　　通過有線或無線通信方式傳輸的數據泄漏也有可能暴露機密信息。隱蔽信道和“中間人攻擊”是通過監聽IoT設備與主機系統間的通信來收集數據的一種有效方法。分析這些數據可能會泄露設備控制協議及接管遠程連網設備操作所需的私鑰。

　　黑客使用的另一種攻擊技術是對未受保護的微控制器和無線系統級芯片（SoC）器件進行植入攻擊。在最簡單的情況下，該技術可能會降低或干擾微控制器的供電電壓，出現奇怪的錯誤。隨后，這些錯誤可能觸發其他受保護的設備打開保存機密信息的寄存器，進而遭受入侵。通過更改頻率、植入錯誤的觸發信號或更改信號電平來篡改系統的時鐘信號，也可能導致IoT設備出現異常，從而暴露機密信息，或導致控制功能被操控。這兩種情況都需要對設備內的印制電路板進行物理訪問，但不是侵入性的。

　　由于許多用于保護IoT設備的安全技術都是基于軟件的，因此安全信息很可能被非法讀取。AES、ECC和RSA等標準密碼加密算法以軟件棧的形式在微控制器和嵌入式處理器上運行。使用價格低于100美元的設備和軟件不但可以查看功耗，還可以借助DPA技術獲得密鑰和其他敏感信息。現在很容易得到現成的DPA軟件工具自動完成整個過程，甚至不需要熟練掌握這些分析方法。

　　這類攻擊已不再局限于理論領域，它們已被全球的黑客廣泛使用。

　　隨著攻擊力度的不斷增加，物聯網設備和系統開發人員需要重新考慮其安全防護方法，提高安全防護功能，使其更加穩健并具備更好的復原能力。

　　用硬件方法實現物聯網安全

　　在設計一種新的IoT設備之前，最好全面了解該設備可能受到哪些攻擊，以及需要對什么樣的威脅進行防備。謹慎的做法是從一開始就審查安全需求并將其納入產品規格。大多數IoT設備往往可以使用很多年，因此必須通過無線（OTA）方式進行固件更新，單這一點就可能引起更多的攻擊，因此需要加以考慮。要想防護所有的攻擊，需要一種從芯片到云端的方法，實現基于硬件的安全設計。

　　英飛凌近日發布的OPTIGA? Trust M2 ID2安全芯片是完全基于硬件的安全解決方案，其最大優勢是能夠抵御針對硬件級別的攻擊。它采用了一些經過特殊設計的精簡邏輯，可以更好地保護數據的存儲；即使通過非常專業的反向工程，也無法輕易的破取并破解原始數據；一些專業的設計和非標準的代碼實現其實也難于分析和理解；最重要的一點是基于硬件的安全芯片方案可以為整個系統提供可信任的“根”，作為系統可信任的來源。

　　圖2：基于硬件的安全方案所具有的優勢。

　　據英飛凌科技安全互聯系統事業部大中華區物聯網安全產品線市場經理成皓介紹，OPTIGA? Trust M2 ID2安全芯片主要有以下幾個功能：

　　雙向認證功能。OPTIGA? Trust M2 ID2可以存儲多組密鑰和證書，完成物聯網設備和云端、以及和其它設備之間的雙向認證。加載安全芯片的設備可以和其它控制器及生態系統內的設備進行雙向認證。在物聯網整個系統架構中，除了云端對設備的認證非常重要之外，設備端本身對云端的鑒別也非常重要，所以需要雙向認證而不是單向認證功能。

　　安全通信。在目前的很多物聯網設備或應用中，有一個很大的安全隱患，就是在鏈路上傳輸的數據本身沒有任何加密機制做保護，尤其是某些用戶隱私數據和敏感關鍵數據的傳輸。OPTIGA? Trust M2 ID2可以保障 “設備和云端”以及和其它設備之間的通訊完全通過加密的方式完成，消除鏈路上傳輸的安全隱患。Shielded Connection功能也保證了在設備內部數據傳遞的安全性。

　　固件安全更新。在很多物聯網攻擊模式里，很多的攻擊是通過偽造一些固件包企圖獲取對設備的控制權。一般用戶沒有能力鑒別一個固件升級包是否完整、來源是否合法，因此存在較大風險，導致設備被黑客或者不法分子監聽或控制。OPTIGA? Trust M2 ID2可以通過“可信任根”的功能，幫助設備實現鑒別固件升級包來源。

　　個人化數據的寫入。OPTIGA? Trust M2 ID2芯片在生產階段的時候就已經預置了阿里的Link ID?服務器分發獨一無二的ID信息。終端客戶（IoT設備廠商的客戶）直接將這款安全芯片嵌入到終端設備中即可使用。聯網的時候會完成一次Link ID?設備在云端的注冊。

　　數據安全存儲。把一些用戶的關鍵數據，比如證書、密鑰，通過加密的方式存儲在設備的內部。數據存儲在安全芯片內部，即使外部整個系統設計或軟件層面有一些漏洞，因為黑客或者攻擊者沒有訪問安全芯片的能力，因此存儲在安全芯片內部的數據無法被外部截取和分析，這也是硬件安全芯片比較大的優勢。

　　平臺完整性校驗。在系統需要安全啟動的場景下，檢驗設備上的操作系統或軟件是否已被篡改，進而抵御攻擊。

　　應用場景

　　OPTIGA? Trust M2 ID2可應用在對安全有一定訴求的場景，成皓介紹了三個比較典型的應用領域：智能音箱、智能工廠和網絡攝像頭。

　　智能音箱

　　智能音箱除了具有傳統的藍牙音箱功能，還可以和用戶進行語音交互，使用戶擔心自己的個人隱私被監聽或關鍵的個人數據泄漏。

　　利用OPTIGA? Trust M2 ID2數據存儲加密功能，將賬戶信息、ID信息或密碼存儲到安全芯片內部，就不容易被截取了。另外，通過安全芯片的雙向認證功能，可以保證智能音箱只處理經過合法來源認證的信息。如果有黑客或陌生人通過偽造遠程語音信息來“開門”或者“開窗”，智能音箱就能鑒別該信息或對它進行操控的設備的來源是否合法。

　　智能音箱里面的關鍵數據需要上傳到云端，通過OPTIGA? Trust M2 ID2的數據加密功能，可以保證設備端和云端交互的數據都通過加密形式進行傳遞，就算被黑客進行數據攔截，也無法破譯原始數據。

　　如果智能工廠遭受黑客攻擊，會導致整個產線癱瘓。除了產線停產，更致命的損失是會千萬企業一些核心技術，比如IP，還有一些關鍵數據的泄漏。在智能工廠的終端設備（如機械手臂）上，可以嵌入Trust M的安全芯片，對工業設備與工業邊緣網關通訊數據進行加密。通過Trust M2 ID2芯片也可以驗證上傳數據的設備本身是否合法、是否是工廠內實際工作的設備，而非黑客或第三方偽造的設備。

　　在物聯網設備中，網絡攝像頭是被黑客重點“關照”的兩類設備之一。由于網絡攝像頭本身可監控的特性，因而會成為很多不法分子的攻擊對象。

　　目前很多攝像頭被入侵的一個主要原因是它的“弱口令”。“通常很多出廠密碼會默認設置admin，對黑客來說，攻擊這樣的設備非常容易。通過在攝像頭里面集成OPTIGA? Trust M2 ID2芯片，可以保證攝像頭與云服務器之間通訊數據進行安全加密，使關鍵數據在鏈路上傳輸時無法被破解。”成皓說，“英飛凌的目標是希望通過引入安全芯片的方案，與包括阿里云在內的合作伙伴進行合作，利過這么一顆小小的安全芯片來提高整個物聯網的安全等級，幫助大家更好、更安心地享受物聯網帶來的便利和樂趣。”

　　結語

　　任何連網設備都面臨安全威脅，這些威脅無處不在，并且不斷變化。基于軟件的安全技術曾經效果良好，但現在已成為潛在的攻擊目標。硬件方法現在被認為是實現全面且穩健的安全機制唯一可行的方法。