开发人员需要建立对物联网的信任

随着物联网 （IoT） 继续重新定义我们的日常生活，关于安全性和可靠性的关键需求的争论仍在继续。在汽车、医疗设备和航空电子设备中，由于风险和故障影响，人们期望可靠性。虽然这些行业的产品必须遵守推动使用高可靠性操作系统和加密的严格政府政策，但许多其他产品则不然。我们的网络电视、家用电器和玩具是否同样需要稳健性？

所有物联网设备都是嵌入式系统。在它们的软件层之下是输入、输出、状态机和数据。考虑一个支持 Wi-Fi 的智能烤面包机；当添加到家庭网络时，它会向您的手机发送“toast ready”消息。经常被误解的是，一旦在您的家庭网络上，烤面包机在技术上可以访问您的手机和互联网、家庭计算机和打印机、家庭安全系统和网络摄像头以及网络上的任何其他设备之间的所有网络流量。

为什么我们应该相信这个由最新的未知物联网初创公司及其众多合作伙伴开发的设备没有滥用我们的网络数据？使用恶意软件，同一烤面包机还可以：

收集和转发家庭网络上的所有网络流量

如果烤面包机支持语音命令，软件可以激活麦克风并记录对话

欺骗网络上其他关键系统的命令，包括您的手机、网络摄像头和计算机

随着物联网设备在我们的生活中变得越来越重要，我们对其安全可靠运行的信任也越来越高。如果物联网的好处是与设备数量保持同步，那么物联网开发人员有责任了解在其嵌入式系统设计中建立和保持这种信任的重要性。

建立对物联网的信任

对嵌入式安全的信任是指对系统按设计运行的完整性的期望。软件相信硬件运行正常。应用程序相信操作系统不会破坏数据。远程系统信任它所连接的设备的身份。

建立信任的过程就是身份验证。系统的信任根是身份验证开始然后延伸到每个软件层的点。高保证解决方案支持硬件或不可变内存中的信任根，因此无法对其进行修改。

每次开机时，安全启动过程都会在允许执行之前验证每一层的真实性。这可以确保软件没有损坏并且来自有效的来源。除非被证明是可信赖的，否则永远不会执行组件。

安全启动的目的是通过在每次开机时验证软件没有恶意软件来消除网络和物理代码注入的风险。安全启动需要考虑许多权衡，包括启动时间、要验证的组件以及如何恢复。在数据和应用程序不断变化的 PC 中，统一可扩展固件接口 （UEFI） 安全启动的价值在于确保不会修改 BIOS 和内核以消除 rootkit。嵌入式系统的不同之处在于软件紧凑且静态，允许对整个图像进行身份验证。

远程扩展信任

网络永远不应该被信任。始终假设在每个连接器外都有攻击者试图捕获数据、发出命令并使用您的设备进行“中间人”操作，如图 2 所示。至少，攻击者可以监控所有数据和两个设备之间的命令。端点之间的通信可以转发到后门收集系统。攻击者还可以同时欺骗两个设备，例如关闭摄像头并在替换摄像头视频流时伪造状态。

图 2：中间人拓扑提供了嗅探和欺骗接口的能力。

（点击图片放大）

公钥基础设施 （PKI） 加密技术通过使用证书对端点进行相互验证，从而消除了中间人威胁。证书颁发机构 （CA） 为每个设备生成证书，通过对证书进行数字签名来保证每个设备的身份。由私钥签发的数字签名仅由相应的公钥进行验证。因此，使用 CA 证书，每个设备可以在接受数据之前验证另一个系统的身份。

证书颁发机构在 Internet 安全中很常见，用于证明 Web 服务器的身份。在传输层安全 （TLS） 中，客户端在连接期间会收到服务器的证书。预加载的 CA 证书用于在设置加密会话之前对服务器进行身份验证。尽管存在众所周知的暴力破解和网络钓鱼攻击，但网站并没有承担颁发和管理客户端证书的昂贵任务，而是通过加密隧道通过名称和密码对用户进行身份验证。

软件真实性

你如何确保软件不会被修改？防火墙、端口扫描、漏洞分析、隔离和远程认证都可以在运行过程中防止网络攻击。但是，断电时呢？是什么阻止了某人打开盖子并访问闪存以注入代码或伪造？

使用与证书相同的 PKI 主体，开发人员可以在启动和使用 Secure Boot 操作期间签署软件映像以证明其真实性。代码使用非对称私钥签名，并在运行时使用相应的信任锚在设备上进行验证。

企业安全基础设施

使用密码学，物联网开发人员可以在不受信任的公共网络上创建可信赖的互连设备系统。实施端到端安全策略需要一个包含加密模块、网络安全协议、密钥保护和安全启动的平台。在保护设备的所有工时之后，如果 CA 和软件签名密钥遭到破坏，投资仍然存在风险。

根 PKI 密钥的泄露会影响每个制造的设备。通过访问根密钥，攻击者可以签署恶意软件并创建假证书。然后，攻击者就有能力伪装成有效系统，能够随意收集数据和发出命令。权衡影响（一个设备与所有设备），保护根密钥是整个系统最关键的功能，必须相应地优先考虑。

在当今复杂的制造和供应链中，带有硬件安全模块的工作站是行不通的。物联网供应链包括多个离岸和第三方制造地点，合作伙伴需要在这些地点向安全平台添加软件，而不会将知识产权暴露在同一地点的竞争中。安全基础设施为利益相关者提供了使用密钥的能力，而不会受到损害。

制定端到端的安全策略

Green Hills Software 的子公司 Integrity Security Services （ISS） 通过端到端嵌入式安全设计帮助客户建立对其设备的信任，从而支持物联网革命。从威胁评估开始分析未经授权的事件的影响，组织可以构建一个安全策略来解决 ISS 嵌入式安全的五项规则。

表 1：实践中的端到端安全设计。

在整个制造、运营和维护的所有生命周期阶段提供端到端的安全保护。攻击不仅仅发生在产品售出之后。员工、合作伙伴和造假者也是威胁候选者，这就是为什么零暴露密钥管理基础设施至关重要的原因。

与生产测试站不同，安全架构和基础设施可以跨多个产品线重复使用。通过首先开发基础架构解决方案，组织可以将系统的使用整合到多个产品中，从而降低单位成本。远程软件更新、功能控制和“应用内”购买等增值功能可以进一步降低安全成本。利用可信平台和数字身份，开发人员能够安全地通信和分发唯一加密的文件。

展望未来

物联网的爆炸式发展与我们以前见过的任何事情都不同。我们面临的挑战是决定在这场革命中我们将让什么来定义我们。它会带来我们可以信任和依赖的信息服务，还是仍然是一种新奇的便利？保护我们的设备，让父母可以远距离监测孩子的血糖，让房主在度假时照看他们的家，等等，都是贯穿这场物联网革命的故事。它们呼应了通过端到端安全设计实现的生命、简单和信任。

审核编辑：郭婷