物联网：嵌入式和安全

物联网网关是将物联网边缘设备（传感器和执行器）与数据中心或云中运行的后端应用程序连接的系统。物联网网关与边缘设备位于同一位置，从它们收集信息，然后在将其发送到后端应用程序之前对其进行处理和重新格式化。除了网关本身的安全性外，网关还必须与边缘设备以及指导和管理网关的后端命令和控制系统进行交互并受到保护。

物联网网关越来越多地执行数据缩减和集成，以及本地处理和决策。例如，在无人机（UAV）的情况下，物联网设备将包括视觉和红外摄像头，GPS，多轴加速度计，发动机传感器，发动机控制，飞行表面控制等。在这种情况下，此信息是流数据（视频）、定期更新的数据（位置、发动机运行条件）、事件和警报（发动机过热、油压损失）以及向无人机发出的命令的混合体。网关将负责从所有设备收集信息，对其进行处理，并通过上行链路将可用信息的子集发送到远程命令和控制系统。

关于与设备交互的三个问题

从安全角度来看，关于网关如何与这些设备交互，需要考虑几个问题：

• 设备是否可用，网关是否可以连接到设备并与之交互？在某些情况下，网关可能需要执行设备发现以查看哪些设备可用。在其他情况下，网关已经具有要访问的设备列表。

• 设备是它所说的那个人吗？网关应假定所有设备都不可信，并应验证所有设备的身份。来自设备的所有输入在处理之前都应进行清理。设备应该无法接管网关。应使用流量控制和 QoS 机制来防止设备发起拒绝服务 （DoS） 攻击。此外，应使用机制来安全地识别每个设备。每个设备都可以提供有关自身的信息，例如设备类型、型号、功能和序列号。每台设备上安装的 X.509 证书等证书允许网关验证设备身份。

• 设备是否已遭到入侵？需要签名的软件映像、设备中的启动时间完整性检查（安全启动）和自检机制等技术。通常使用证书实现的加密签名应用于验证设备的各个方面。

其他需要考虑的事项

在许多情况下，设备和网关之间的通信应加密。这样，潜在的敏感信息就不会暴露，中间人攻击无法修改在设备和网关之间流动的信息，并且可以验证设备和网关的身份。加密通信通常使用传输层安全性 （TLS） 来完成，通过正确选择密码和密钥，即使设备受限，也可以提供安全性。

网关本身也应该通过部署一些经过验证的技术来强化。首先，您应该只安装所需的软件，同时卸载不必要的程序，并确保生产网关上没有安装软件开发或调试工具。您还必须主动管理、维护和更新网关。为此，请使用安全启动，它允许验证硬件和低级软件以及受信任的处理模块 （TPM）。

也依赖于基于Linux 的进程。例如，您可以主动采用资源管理（如 Linux cgroups），它可以帮助指定应用程序或服务可能使用的最大和最小 CPU、内存和网络流量。软件签名（例如与 Linux RPM 软件包一起使用的软件签名）也有利于验证软件的来源以及系统上安装的软件是否未被修改或损坏。利用访问控制（如 SELinux）来控制系统资源并防止受损的应用程序访问系统的其他部分。并采用基于域的身份验证解决方案，例如 Linux IPA，它可以允许集中管理用户帐户并通过多因素身份验证实现最佳安全性。

当然，如果没有适当的防火墙和扫描解决方案，安全性是不完整的。防火墙确保仅允许进行通信，并且可以配置为仅允许具有特定 IP 地址的设备与网关“通信”。定期扫描可以让您检查未修补的安全漏洞和安全网关配置。

最后，始终通过定期更新（包括安全和错误修复以及适当添加新功能）来主动管理网关。对于这些任务，应使用远程安全地管理网关的机制。

虽然有效保护物联网网关涉及许多不同的流程和工具，但归根结底，它归结为一件事：确保嵌入式系统的安全。

审核编辑：郭婷