物联网系统设计如何发挥作用

根据多项市场研究报告，物联网安全是工业和个人消费者最关心的问题。在不抬高价格的情况下进行安全设计对系统设计人员来说是一种微妙的平衡行为。再加上加快上市时间的组织压力。

就物联网产品而言，另一个挑战是缺乏集成的安全标准和认证指南。然而，在物联网市场中，安全设计不再只是设计的当务之急，而且还是竞争优势。

物联网产品的网络物理属性使它们面临传统计算系统中看不到的新型威胁。成功利用这些威胁不仅会直接影响产品生命周期，还会影响其市场寿命。在此博客中，我们将了解一种全栈方法，以降低复杂性和实施成本的方式集成安全设计。

安全始于硅

由于直接暴露于物理环境，物联网系统容易受到许多复杂的攻击场景的攻击。仅基于软件的安全性无法抵御这些威胁。基于硬件的防篡改信任模型已被证明在许多攻击场景中优于软件。通过在硅中建立信任根并将机密存储在硬件中，金库可以显着强化系统。基于硬件的安全性提供了电源效率。通过使用特定于物联网的安全解决方案，可以降低固件更新的复杂性。

例如，英飞凌的 OPTIGA Trust 系列在硅层提供了许多交钥匙信任解决方案。OPTIGA™ Trust X (SLS 32AIA)是一款高端安全控制器，可集成到广泛的工业自动化、消费者和智能城市用例的产品中。

加密加速器有助于将加密功能嵌入到小尺寸中。硬件安全模块 (HSM) 和可信平台模块 (TPM)（在国际标准化组织和可信计算组标准中定义）可用于强大的防篡改、加密密钥存储和使用硬件随机数生成器 (RNG) 的密钥生成，强身份验证、引导完整性保护和固件完整性测量。

安全启动过程和设备身份

由于物联网设备可能不会长时间重启，因此通过测量和验证确保启动过程的完整性非常重要。这可以防止受损设备交换数据。测量启动、验证启动和安全启动是确保启动期间设备完整性的三个选项。一系列安全 IC 可用于降低引导保护和管理完整性指标的复杂性。

启动后，设备需要使用身份凭证对自身进行身份验证。对于机器对机器的场景，身份验证密钥和证书比密码更合适。除了设备级身份和访问管理外，通过坚持职责分离、最小特权和和基于角色的权限。TPM 允许对希望连接到云、服务器和其他设备的设备和系统进行安全身份验证。

确保软件和固件更新的安全对于连接的系统也至关重要，以防止系统中可能导致可怕后果的恶意代码。数字签名验证和哈希是保护固件更新的两种常见机制。

保护通信

在 M2M 和机器到云通信中，嵌入式系统需要通过涉及各种标准和专有协议的异构网络进行通信。为了防止窃听、消息篡改等，可以使用 VPN、加密隧道。占地面积小的资源受限系统（传感器、执行器）可以依靠网关进行安全通信。第三方安全 IC 可用于存储密钥、通信协议和加密操作中使用的证书。

保护数据完整性

数据完整性是产品设计的关键部分，因为泄露的数据会破坏整个物联网生态系统。数据包括设备生成的原始数据、机密、库、二进制可执行文件、配置和日志文件等。这些可以分类为：

存储的数据 – 静态数据 (DAR)

运行时数据 – 使用中的数据 (DIU)

发送/接收数据 - 动态数据 (DIM)

传统上，校验和用于验证数据完整性，但物联网威胁形势需要更高级的完整性控制。加密签名可以证明工作流程中任何一点的数据完整性。硬件信任根或 TPM 通常用于签名。签名密钥也可以安全地存储在那里。一些常见的数据完整性措施如表 1所示。

表 1：常用数据完整性措施（来源：实用工业物联网）

利用物联网安全平台和插件

对于系统开发人员而言，遵守无数的网络安全标准是物联网设计中的主要挑战。安全供应商之间的生态系统合作伙伴关系产生的物联网安全平台和产品可以减轻负担。这些集成安全平台提供强大的硬件和软件设计以及工具集，系统设计人员可以复制或定制这些工具集以满足他们的应用需求。

结论

系统设计人员在为 IoT 系统设计足够的安全性时面临多项技术和业务挑战。应遵循全栈安全方法，以确保系统的每一层都有足够的安全性，例如硬件、启动过程和固件更新完整性、通信和数据完整性。设计安全性还需要考虑用例安全要求，因为并非每个用例或系统都需要相同级别的安全性。

Sravani Bhattacharjee 担任数据通信技术专家已有 20 多年。她是《实用工业物联网安全》一书的作者，这是第一本关于工业物联网安全的书籍。直到 2014 年，作为思科的技术领导者，Sravani 领导了多个企业云/数据中心解决方案的架构规划和产品路线图。作为 Irecamedia.com 的负责人，Sravani 目前与工业物联网创新者合作，通过制作各种编辑和技术营销内容来推动意识和业务决策。Sravani 拥有电子工程硕士学位。她是 IEEE 物联网分会的成员、作家和演讲者。

审核编辑黄宇