浅析物联网设备面临的安全问题

众所（suǒ）周知（zhī），物联网（IoT）设备预计将无处（chù）不在。这些由（yóu）半（bàn）导体驱动的设备将推动每（měi）一个可想象的（de）过程实现智（zhì）能（néng）化（huà）。从简（jiǎn）单的开灯到门（mén）诊（zhěn）护理或（huò）工厂（chǎng）控（kòng）制等更复杂的过（guò）程，通过传感、处（chù）理（lǐ）和云连（lián）接（jiē），物联（lián）网设备将大幅提高工作效率。应（yīng）用场景多种多样，它们的发展前景和影响力也将（jiāng）不可估（gū）量。

保（bǎo）护物联网设备的想法（fǎ）可能令（lìng）人望（wàng）而生畏。初步（bù）研究很（hěn）快揭示了（le）有关密码学、威（wēi）胁、安全（quán）目标和其他几个（gè）主题的大量（liàng）知识（shí）。面对铺（pù）天盖地的信息，物联网设备设计（jì）人员通常会问（wèn）的第（dì）一个问题是：“我如何判断所需安（ān）全性（xìng）要达到哪（nǎ）种水（shuǐ）平？”，紧接着是（shì）“我（wǒ）该从（cóng）哪里入（rù）手？”

Arm提供了平台安（ān）全（quán）架构（gòu）（PSA），帮助设计人员快（kuài）速入门。通过利用PSA的一整（zhěng）套（tào）威胁模型和安全（quán）性分（fèn）析、硬件和固件架构规（guī）范（fàn）以及可信固（gù）件（jiàn）M参考实（shí）现，物联网（wǎng）设计师能够快（kuài）速（sù）且轻松（sōng）地实现（xiàn）安全设计。

通过使用双Arm Cortex®-M内核，结（jié）合可配置的内（nèi）存和外（wài）设保护单元（yuán），赛普拉（lā）斯PSoC 6 MCU实（shí）现了PSA定（dìng）义的最高保护级别。本文将（jiāng）PSA网络摄像头（tóu）威胁模型和安全（quán）性分（fèn）析（TMSA）应用（yòng）于PSoC 6 MCU，演示如（rú）何针对网络（luò）摄像头（tóu）应用进行安全性评估。任何攻击的目标都是获取物联网（wǎng）设备的数据并以某种方（fāng）式加以利用。如图（tú）1所示，分析过程（chéng）的第一步是识别物联（lián）网设备处理的数据（jù）资产及其安全属性。

接下来的（de）步（bù）骤是识别针对这些资产（chǎn）的威胁，定义（yì）抵御（yù）这些威胁（xié）的安（ān）全（quán）目（mù）标，并确定（dìng）需求以满足安全目标。通过满足这些要求（qiú），基于微控制器的设计可为安全目（mù）标（biāo）提供支持（chí），并最终保留资产的安全属性。最后，应该（gāi）对设计（jì）进行评估，以判定设计是否达到安全目标。通常情况下，这类评估会（huì）利用应用于设（shè）计的威胁模型来评估设备的攻击防御（yù）能力（lì）。

完整（zhěng）性要求数据资产在使用或传输时保（bǎo）持（chí）不变（biàn）。完整性通常与建立（lì）引用的数（shù）据（如启动固（gù）件）相关联。启动固件确保MCU配置（zhì）为应用可执行的已知初始状态（tài）。对启动固件（jiàn）进（jìn）行更（gèng）改可（kě）能会影响该初（chū）始状态，并（bìng）存在（zài）操作或安全风险。

真实性要求只有受信（xìn）任的参与者才（cái）能建立数据资产的（de）当前状态。当与（yǔ）完整性相结合（hé）时，真实性便能够建立信任，因此它是安全物联（lián）网设（shè）备的（de）关键基（jī）石。在先（xiān）前的启动固件示例中，数（shù）字签名可（kě）用于在升级固件时对真实（shí）性（xìng）和完整性进行评估，以确保（bǎo）仅使用可信固件。全（quán）面（miàn）识别物联网（wǎng）设（shè）备中的数据资产至关重要，因为每个后续步骤都依赖于此步骤（zhòu）。举（jǔ）例来说（shuō），网（wǎng）络摄（shè）像头（tóu）将具备（bèi）以下数据资产：

威（wēi）胁旨在破坏数据资产（chǎn）的（de）安（ān）全属性并将（jiāng）其用于未经授权的（de）目（mù）的。为了识别威胁，必须对（duì）物联（lián）网设备中数据的使（shǐ）用（yòng）进行评估。例如，证书可（kě）用于访问物（wù）联网设备的网络。如果证（zhèng）书（shū）的机密性受到损害，则未经授权的（de）参与者就可以使用它（tā）们来访问网（wǎng）络（luò）。这种攻击（jī）称为冒充攻击（jī）。通过系统地评估每种（zhǒng）数据，可以（yǐ）创建潜在威胁列表。

通过识别威（wēi）胁，可（kě）以（yǐ）定义安（ān）全目标。安全目标是在应用（yòng）级别定义的，本质上提（tí）供了实现（xiàn）需求。一些安全目标可（kě）以作为（wéi）可信（xìn）应用（TA）实现，它们在安全的MCU提供的隔离执行环境中执行。隔离执（zhí）行环境全（quán）面保护TA及其使用/处理的数据。物（wù）联网（wǎng）设备（bèi）应（yīng）用本身在不安（ān）全的（de）执行环境（jìng）中运行，并（bìng）通过使用处理器间通信（xìn）（IPC）通道的API与隔离（lí）执行（háng）环境中的TA进行（háng）通信（xìn）。TA则利用硬件中的可用资源（如加密（mì）加速（sù）器和安全内存）来为目标（biāo）提供支持。

访（fǎng）问（wèn）控制：物联网（wǎng）设备对试图访问数据资产的所有（yǒu）参与者（人或机器）进行身份验证。防止（zhǐ）在未经授权的情况（kuàng）下访问数据（jù）。防御欺（qī）骗和恶意软件威（wēi）胁，即攻击者对固件（jiàn）进（jìn）行修改或安装过时的缺（quē）陷版（bǎn）本。安全（quán）存（cún）储：物联网设备维护（hù）数据资产的机密（mì）性（根据（jù）需要）和完（wán）整性。防御篡改（gǎi）威胁。固件真实性：物联网设备在（zài）启动（dòng）和升级之前（qián）对固（gù）件的真实性进行验证（zhèng）。防御恶意软（ruǎn）件威胁。

通信：物联网设备对远程服务器进行身份验（yàn）证（zhèng），提供机密性（xìng）（根据需（xū）要），并维护交换数据的完整性。防御中间人攻击（MitM）威（wēi）胁。安全（quán）状（zhuàng）态：即使固（gù）件完整性和真实（shí）性验证失败，仍确保（bǎo）设备保持安全（quán）状态（tài）。防御恶意软件和篡（cuàn）改（gǎi）威胁。

在这一方面，分析提供了数（shù）据资产、威胁和安全（quán）目标的逻辑连（lián）接模型。根（gēn）据这张图，可以编译出安全MCU所需（xū）的（de）功能或特性列表。当然（rán），这个列表（biǎo）也可（kě）以用作特定物联网（wǎng）设备应用（yòng）解决方案（àn）的实现（xiàn）标准。请注意，安全目标（biāo）的要求可能会根据物（wù）联网设（shè）备的生命周期阶段（设计、制造、库存、最终（zhōng）使用和终止）而变化，也应予以（yǐ）考虑（lǜ）。