物联网安全实施中常见陷阱和如何避免

本文特别关注小型无线连接系统，这些系统通常由电池供电并运行轻量级，低带宽RF协议。

侧信道攻击

侧信道攻击以加密实现为目标。该方法是在系统执行加密操作以提取有关该操作的信息（例如加密密钥的值）时监视系统的物理属性，例如功耗，EMI辐射或各种功能的时序。

差分功率分析 （DPA） 是一种侧信道攻击技术，能够以适度的成本获得极高的效率。DPA测量电源电流的时域响应，即加密操作期间的“走线”（在线或通过EMI辐射测量）。由于处理“1”位或“0”位而导致的跟踪行为更改可能会泄露有关正在处理的位的信息。这被称为“泄漏”信息。实现的 DPA 电阻可以通过将键提取到指定置信水平所需的迹线数来指定。加密操作基于数学，而加法和乘法等数学运算需要不同的时间和精力来处理。对于MCU级系统，加密操作的软件实现往往比硬件实现更泄漏。幸运的是，供应商正在推出具有DPA强化功能的新型加密硬件加速器，这些功能可以掩盖加密操作期间的数据依赖性，从而使系统对此类攻击更具弹性。

物理攻击

就其本质而言，物联网系统通常是物理可访问的，这使得它们容易受到物理攻击。“篡改”攻击是一种硬件故障注入，其中系统在其指定的温度、电压或时钟频率限制之外执行。这些攻击还可能包括通过EMI突发或引脚上的短电干扰引发的“毛刺”攻击。这种精确攻击发生在关键的计时窗口期间，此时正在做出安全决策（例如“锁定闪存”或“验证远程设备”）以禁用安全保护或授予访问权限。

篡改攻击很难防止，但它们通常可以被检测到，如果被检测到，它们可以被挫败。许多MCU和SoC都配备了先进的篡改检测和响应功能，使它们能够在发生篡改检测时发送警报，或者擦除其机密以防止暴露。

高侵入性物理攻击技术包括器件移除、芯片去处理、网表提取和闪存内容提取。不幸的是，如果攻击者愿意承担这种程度的努力和投资，那么保护所有秘密是非常困难的。但是，有一些安全密钥存储技术使密钥和其他敏感数据能够在使用物理不可克隆函数（PUF）技术写入存储之前自动加密。PUF 生成设备唯一的临时密钥，该密钥仅在设备通电时存在，并且无法使用上述物理提取方法显示。PUF 密钥用于加密和解密存储和从闪存读取的密钥。

保护物联网设备免受物理攻击通常很困难，而且成本高昂。最好的防御措施通常是消除攻击者从发起物理攻击中获得的激励。如果破解连接的门廊灯会产生解锁连接门锁的钥匙，那就糟糕了。如果黑客入侵连接的门锁产生了“钥匙”来解锁公寓大楼中所有其他连接的锁，那将是悲剧性的。如果入侵一个连接的灯泡可以访问城市中所有连接的灯怎么办？这值得付出多大的努力？

上述使用和验证唯一设备证书进行身份验证的方法，以及使用临时派生密钥来加密网络流量以及最大限度地减少存储在物联网设备上的有价值信息量的方法将有助于阻止物理攻击。

结论和补充建议

总之，以下是解决常见物联网安全陷阱的最佳实践：

弹性设计。规划要发现的漏洞，并为系统提供安全的固件更新功能。使用安全启动功能来确保只有授权代码才能在设备上运行。

使用经过验证的加密协议 - 不要试图发明自己的。

对设备及其连接到的内容进行身份验证，理想情况下使用支持吊销的方法，例如基于证书的公钥方案。

使用基于标准的无线协议提供的所有安全功能。如果需要，可以在顶部添加身份验证或应用程序级加密。

不要使用弱密码、弱协议或损坏的密码。

切勿以明文形式存储密钥或敏感数据。切勿以明文形式传输敏感数据。理想情况下，支持在产品生命周期结束时擦除敏感信息。

如果加密数据流，请使用AES_CCM进行经过身份验证的强加密。不要使用AES_ECB。

使用随机生成的初始化向量 （IV） 并仅使用一次（随机数）。

不要在源代码中对密钥或敏感数据进行硬编码。

定期轮换密钥，至少每一到三年轮换一次，并支持密钥吊销。

使用加密熵源 （TRNG） 或 TRNG 种子 PRNG（CTR_DRBG）来满足所有随机数需求。或者，您可以小心使用ADC或RF接收器作为熵源。

如果您的产品是物理可访问的，请尝试通过限制密钥使用，避免存储有价值的信息，加密所有存储的敏感信息，锁定调试接口等来限制激励并增加物理攻击的成本。

请注意 DPA 攻击提取密钥的难易程度。如果需要，请使用抗 DPA 硬件加密引擎设计您的系统。

注意篡改攻击，并在需要时使用检测和响应协议设计系统。

此外，请注意硅芯片上的物理攻击，这些攻击可用于从闪存中提取内容。如果需要，使用 PUF 技术为系统配置支持安全密钥存储的设备。

审核编辑：郭婷