在互聯的生態系統中，網絡攻擊的后果往往出乎我們的意料。2015 年烏克蘭電網發生安全漏洞期間，數十萬人斷電數小時。攻擊者不僅可以關閉斷路器，還可以遠程訪問公用事業公司的監控和數據采集 (SCADA) 系統，從控制系統中清除硬盤，甚至感染關鍵子系統的固件。惡意固件更新是不可逆的。因此，唯一的選擇是完全替換這些子系統。

諸如此類的攻擊迫使我們超越傳統的網絡安全方法進行思考。由于網絡連接，物聯網 (IoT) 設備和傳感器極易受到遠程啟動的攻擊，這些攻擊對關鍵基礎設施、醫療保健系統、金融系統以及個人隱私和安全構成嚴重威脅。表 1總結了跨越物聯網堆棧的可能威脅。

表 1：IoT 端點表的威脅和漏洞。（來源：實用工業物聯網安全，Packt Publishers）

為了保護傳統計算，采用基于軟件的控制可能是可行的。但物聯網需要更強大的安全基礎。

物聯網運營需要萬無一失的安全性

在物聯網用例中，運行時要求和威脅與傳統 IT 設置有很大不同。

保護數據和設備身份

當“事物”進行通信時，除了保護數據的隱私和完整性之外，正確識別數據的來源和接收者也至關重要。設備身份保護需要具備以下特性，這就需要基于硬件的安全設計：

安全操作系統

啟動完整性

密鑰和秘密的安全存儲

壽命長，不間斷

無論是安全攝像頭、裝配帶還是工業機器人，嵌入式系統和工業設備都有望在最少的人為干預下不間斷地運行多年。可靠性、安全性、效率和生產力是這些系統的關鍵期望。在維護停機期間，操作員在應用可能會影響其可靠操作的軟件更新時非常謹慎。

資源受限系統

連接的微控制器、傳感器和執行器的內存和 CPU 占用空間很小。電源可用性和連接帶寬也受到限制。在這種情況下，全棧軟件安全性不是一種選擇。此外，由于直接暴露于物理攻擊和惡劣的環境條件，硬件必須是防篡改的。片上系統 (SoC) 設計、加密加速器和安全協處理器是資源受限場景中更可行的選擇。

更新難以執行

嵌入式設備（例如，水力發電大壩中連接的渦輪機）通常放置在偏遠地區，可訪問性可能具有挑戰性。維護可用性窗口很少，機器維護比定期軟件更新更關心可靠性。所有這些都使得更新難以應用，這在許多仍在 Windows XP 上運行的工業系統中很明顯。

加強對復雜威脅的防御

連接設備的安全策略包括：

引導和固件更新完整性

隔離安全代碼和密鑰，以及

防止物理篡改和遠程攻擊

硬件中的安全操作系統和運行時環境極大地減少了 Windows 和其他流行軟件平臺中的通用漏洞利用。

在硬件中嵌入安全性

要保護連接的設備，第一步是建立信任錨。信任根 (RoT) 確定設備可獲得的最高信任級別。對 RoT 的妥協會損害對整個系統的信任。傳統計算機主要依賴基于軟件的信任錨。但是，可以證明基于硬件的防篡改信任根 (RoT) 在更高比例的攻擊場景中表現可靠。

硬件安全組件

可以在同一微處理器或專用安全處理器中建立信任區。許多新設備包括現場可編程門陣列 (FPGA)。FPGA 可在現場重新編程。這是升級 IoT 設備固件時的主要優勢。FPGA 單元還可能包括一個 CPU 協處理器來執行與安全相關的內務管理功能。

外形小巧的加密加速器是嵌入加密功能的理想選擇。硬件安全模塊 (HSM) 在同一硬件平臺中提供安全功能的物理隔離。在 ISO 和 TCG 標準中定義的 TPM 通常是嵌入在主板中的安全芯片。

HSM 和 TPM可以提供強大的防篡改、加密密鑰存儲、使用硬件隨機數生成器 (RNG) 的密鑰生成、強大的身份驗證、啟動完整性保護和固件完整性測量。

設備包含許多秘密，例如密碼、共享秘密和數據加密密鑰，這些秘密也需要保護。未經授權泄露這些密鑰可能會危及該設備，并可能危及更廣泛的生態系統（例如，IoT 僵尸網絡）。

存儲在 TPM 中的秘密可以通過物理、軟件或網絡接口提供重要保護，防止丟失。然而，TPM 加密引擎的有限能力可能會影響擴展環境中的簽名吞吐量——尤其是對于高端端點，例如服務器、路由器和網關。

一種可能的解決方案是將密鑰保留在 TPM 的加密存儲中，但在使用時釋放它們以訪問平臺軟件或高吞吐量加密引擎。這種機制是可信計算架構（稱為“密封”）的一部分。密鑰（或其他機密）存儲在設備的文件系統中的加密文件中，只有在滿足一組預定義的條件時才能使用從 TPM 發布的密鑰解密。

在產品開發期間，還值得考慮是否應將安全性應用于嵌入式或可移動外形。例如，在移動手機的情況下，可移動的安全元件可以簡化將存儲的憑據從一個設備移植到另一個設備的過程。對于許多物聯網應用（例如，聯網車輛中的遠程信息處理或信息娛樂模塊），嵌入式安全元件更為合適。

結論

隨著每年數以百萬計的連接設備進入市場，上市時間壓力以及節省空間和成本的壓力是巨大的。此外，物聯網特有的安全標準尚未固化。這些因素通常會導致安全設計較弱。越來越多的黑客報告的物聯網攻擊、漏洞和利用凸顯了加強物聯網安全開發生命周期的必要性。

系統設計人員可以利用來自三星、英飛凌、Microchip 等供應商的硬件安全組件和平臺，除了信任區技術外，它們還提供安全啟動、安全密鑰存儲和芯片級防篡改功能。

Sravani Bhattacharjee 擔任數據通信技術專家已有 20 多年。她是《實用工業物聯網安全》一書的作者，這是第一本關于工業物聯網安全的書籍。直到 2014 年，作為思科的技術領導者，Sravani 領導了多個企業云/數據中心解決方案的架構規劃和產品路線圖。作為 Irecamedia.com 的負責人，Sravani 目前與工業物聯網創新者合作，通過制作各種編輯和技術營銷內容來推動意識和業務決策。Sravani 擁有電子工程碩士學位。她是 IEEE 物聯網分會的成員、作家和演講者。

審核編輯黃宇