物联网安全八项原则

负责实施有效安全措施的嵌入式开发工程师面临许多挑战。了解受保护的内容、威胁形势和要防范的特定攻击向量是必要的。更不用说过度报道、引人注目的违规行为带来的额外紧迫性。

保护嵌入式设备不再是可选的。随着越来越多的产品被连接起来，主要的感知攻击向量源自互联网流量，但现在整个嵌入式系统都面临着持续不断的各种威胁。

开发人员可以采用多种技术，使保护系统的任务变得更加容易。Silicon Labs 是 ioXt 联盟的创始成员，该联盟是一项行业主导的倡议，通过与合作伙伴的合作，制定了八项关键原则。我们将在这篇文章中讨论这些原则，其中包括：

没有通用密码

安全接口

经过验证的密码学

默认安全

签名软件更新

自动应用软件更新

漏洞报告计划

证券到期日

原则 1——没有通用密码

通常，大批量消费设备都附带相同的默认密码。通常，用户希望快速部署他们的新设备，因此许多人不会采取将默认密码更改为新密码这一简单步骤。使用唯一的工厂编程密码运送每台新设备是让对手更难访问或控制可能已部署的数百台设备的简单第一步。

原则 2——安全接口

任何基于微控制器的设备都有大量可以本地或远程访问的接口和端口。主要应用程序将在操作和通信期间使用其中一些端口。然而，其余部分——尤其是任何用作外部通信接口的部分都必须得到保护。同样，任何 IC 到 IC 接口(例如微控制器和显示控制器之间的接口)都必须受到保护。建议在使用过程中对所有接口进行加密和认证。

原则 3——经过验证的密码学

在开放和可互操作技术的世界中，使用行业认可的、开放的和经过验证的加密标准是必不可少的。不建议使用封闭的专有加密算法。开放密码标准的使用鼓励所有开发人员、工程师和利益相关者的参与，以持续评估针对新安全威胁的潜在漏洞。

原则 4 – 默认安全

至关重要的是，当消费者购买新设备时，它已经设置为尽可能高的安全级别。运送没有配置或配置最少安全选项的产品可以为对手利用铺平道路。消费者开箱即用的安全体验应该是启用所有可能的安全措施。默认情况下，开发人员不应让消费者不受保护。

原则 5——签名的软件更新

随着越来越多的可以通过无线方式自动更新的消费类智能家居设备的出货，优先考虑的是每个更新都应该进行加密签名。通过这种方式，可以防止黑客尝试使用恶意代码更新设备。

原则 6 – 自动应用软件更新

消费者不应该成为自己设备的管理员，来决定是否更新产品的软件映像。如果需要进行更新，则应自动部署和实施。此外，应该在不影响设备运行的时候应用更新。例如，智能互联洗衣机在使用过程中不应进行更新。

原则 7——漏洞报告方案

通常，遇到嵌入式智能家居设备问题的消费者不确定该联系谁。它是否受到损害?是否有应报告的新漏洞?这一原则保证产品制造商将为客户创造一种方式来报告问题并传达他们对产品安全的担忧。

原则 8——证券到期日

与购买后有有效期的产品保修一样，还应定义安全更新可用的期限并告知消费者。继续通过安全更新支持产品涉及持续的工程成本，因此消费者需要在购买时做出明智的决定。制造商还可以选择提供延长保修以抵消正在进行的安全更新。

有关我们如何接受这些原则的详细说明，请参阅 Silicon Labs – IoT Endpoint Security Fundamentals 文档。

智能家居的安全性

多亏了物联网，我们已经比几年前想象的更能控制我们的家，而且这种情况并没有放缓。这意味着为下一代网络罪犯做好准备将是我们作为一个行业要解决的挑战。Silicon Labs 最先进的 Secure Vault 旨在通过防止未经授权的访问和保证芯片的真实性来帮助连接设备制造商应对这些不断变化的威胁。Secure Vault 可增强产品安全性、面向未来并解决安全法规问题，而不会通过无线更新增加成本或复杂性。

Secure Vault 功能包括：

Secure Device Identity certificate，类似于出生证明，适用于每个硅芯片，支持部署后安全性、真实性和基于证明的健康检查，保证芯片在其生命周期内的真实性。

Advanced Tamper Detection 允许开发人员在设备遇到意外行为时设置适当的响应操作，例如极端电压、频率和温度变化，这可能表明存在漏洞

Secure Key Management and Storage，一个中央组件，通过加密和隔离应用程序代码中的密钥并使用从物理不可克隆功能 (PUF) 硬件生成的主密钥加密密钥 (KEK) 来防止直接访问 IoT 设备及其数据.

结论

保护物联网系统可能具有挑战性。Silicon Labs 和行业合作伙伴创建了 ioXt 联盟。该联盟提出了八项原则以包含在物联网安全计划中。这些原则是：

没有通用密码

安全接口

经过验证的密码学

默认安全

签名软件更新

自动应用软件更新

漏洞报告计划

证券到期日

物联网安全八项原则博客由 Jackie Padgett 撰写，首次发布在 Silicon Labs 网站上。

审核编辑：汤梓红