物联网设备安全性：挑战和解决方案

作者：Ananya Tungaturthi，芯科科技产品营销经理

任何连接到互联网的设备都可能在某一时刻面临攻击。攻击者可能会试图远程破坏物联网（IoT）设备以窃取数据，进行DDoS攻击（Distributed Denial of Service attacks，分布式拒绝服务攻击），或试图破坏网络的其余部分。物联网安全需要一种集成方法来保障，覆盖整个设备生命周期，从设计和开发到部署和维护。

物联网设备的安全性是客户和设备制造商的主要关注点。为确保两台设备之间的安全通信，需要保护两个关键区域。第一个是两台设备之间的通道以及在这些通道内传输的数据，这些由Thread、蓝牙等通信协议予以处理。第二个是设备本身的安全性，这由开发人员负责。

目前已有多个组织、标准和框架旨在为物联网安全提供指南和最佳实践，例如物联网安全基金会、NIST网络安全框架、ISO/IEC 27000系列标准和《OWASP物联网十大安全漏洞》等。然而，没有任何一种通用标准适用于所有物联网设备，因为不同的设备具有不同的安全要求和挑战，具体取决于其应用场景、功能和环境。

因此，物联网设备制造商和开发人员需要采用和实施与其特定设备最相关且最合适的标准和框架，并紧跟物联网安全领域的新兴趋势和技术。

最常见的物联网安全威胁

虽然物联网设备中的安全威胁带来的危险性可能较低，但其他方面的影响可能会很高，并造成相当大的损害。下面让我们来深入了解最常见的物联网安全威胁。

未经授权的访问

最常见的安全威胁之一是未经授权的访问。黑客可以通过弱密码和其他漏洞访问物联网设备，使他们能够控制设备或窃取个人信息。这可能包括访问设备的摄像头或麦克风，或利用设备发起DDoS攻击。

数据泄露

另一个常见的物联网设备安全威胁是数据泄露，当攻击者从设备或设备所在的网络获取敏感或机密数据时就会发生数据泄露。这可能会损害数据的隐私性和完整性，并使设备或用户面临身份盗用、欺诈或勒索等威胁。

恶意软件攻击

第三个常见的物联网设备安全威胁是恶意软件攻击，即恶意软件在受害者的系统上执行未经授权的操作，这可能会损害设备的功能和可靠性，并对设备或其所在网络造成损坏、中断或破坏。

分布式拒绝服务攻击

还有一种物联网设备安全威胁是拒绝服务攻击，DDoS这种攻击以网络资源和服务器的可用性为目标，其利用各种物联网设备从不同位置向通信介质发起攻击，这使得对它的检测更加困难。因此，分析和防御DDoS是一个很重要的研究领域。

物理篡改

这是另一种威胁，它发生在攻击者以物理方式访问、更改或损坏设备或其组件时。这种攻击会损害物联网设备的完整性、功能性和机密性。这可能会影响设备的安全性和功能，并使攻击者能够访问、操作或破坏设备或其数据。

芯科科技如何应对物联网安全挑战

当谈到安全问题时，人们通常会提及数据泄露、恶意软件攻击、拒绝服务攻击等。然而，物联网设备更容易遭受一些其他类型的攻击。它们可能是攻击者试图在您的设备上运行未经授权的代码或试图执行产品伪造这种简单的攻击，或者诸如差分功耗分析攻击这种复杂的攻击。

Silicon Labs（芯科科技）通过Secure Vault™物联网安全技术来解决这些问题。Secure Vault是一套高级安全功能，旨在保护物联网设备免受这些不断变化的威胁。

芯科科技是为物联网设备提供芯片、软件和解决方案的领先供应商，专注于提供安全可靠的连接，以实现更智能、更互联的世界。芯科科技拥有一整套强大且全面的物联网安全产品和服务，包括安全启动、安全调试、安全密钥管理和安全身份认证等功能。

让我们来看看常见的安全对策（见下图），它们可以帮助保护终端设备的密钥和私钥，并确保实现一个完全安全的生态系统。

Secure Vault中级功能将保护终端设备免受逻辑攻击向量的攻击。一些应用还需要防范物理攻击向量，它们需要Secure Vault高级功能，例如安全密钥管理和篡改保护。希望保护其设备免遭产品假冒和设备克隆的设备制造商应考虑投资于安全身份认证功能，它支持调试器在允许设备加入智能物联网网络之前对其身份进行验证。

安全密钥管理

有多种方法可以安全地存储密钥。一种方法是创建非常昂贵的存储单元，这些存储单元将嵌入安全子系统中。从硅晶粒（silicon die）面积的角度来看，这些存储单元成本高昂，始终会让决策者格外关心：我们要在芯片中放入多少存储单元？而最终的情况是，存储单元还是不够，一些密钥材料最后会以未经加密的明文形式存放在标准存储中。用于安全密钥存储的另一种方法是使用物理不可克隆功能（PUF）创建设备特定的密钥加密密钥（Key Encryption Key），并将所有密钥材料以加密密钥二进制大对象（BLOB）的形式存放在标准存储中。这种做法的额外好处是，可为您提供近乎无限的安全密钥存储。

物理不可克隆功能（PUF）

PUF是一种嵌入集成电路（IC）的物理结构，由于其独有的微米级或纳米级特性源于固有的深亚微米制造工艺变化，因此很难对其进行克隆。静态随机存取存储器（SRAM）PUF是最为人熟知的基于可用标准组件的PUF。

其他攻击向量

攻击者试图在我们的设备上运行其未经授权的代码这样的威胁始终存在，安全启动功能可以解决这一问题，它会在允许应用程序代码于设备上运行之前，对代码上的签名进行验证。此功能以基于ROM的信任根为基础，该信任根作为验证序列的安全锚来使用。我们还可以通过锁定调试端口和启用DPA对策来防止对设备进行未经授权的访问，以防设备由于侧信道攻击被解锁。

安全性是物联网设备中一个非常有趣的领域，因为人们永远无法确保对设备进行100%的保护。就像洋葱的层数越多就越难以剥开一样，我们在设备中创建的层数越多，攻击者访问信息就会越困难、成本就越高昂。在芯科科技，我们遵循通过设计实现安全的理念，这意味着从设计和开发到部署和维护，安全会嵌入并集成至设备生命周期的每一个阶段。

审核编辑 黄宇