欢乐颂,唐家三少,欢乐颂小说结局

物聯網時代工程師的安全職責

2017-05-31 17:31:10 未知

點擊關注->創芯網公眾號，后臺告知EETOP論壇用戶名，獎勵200信元

物聯網（IoT）雖然是時下的營銷熱詞，但大多數工程師早就意識到給任何電子設備添加連接功能都可帶來諸多重要優勢。因此，物聯網是一個非常廣泛的術語，涵蓋了各種不同的應用，包括從閉路電視到IP連接的安防攝像頭，以及工廠和穿戴式追蹤器的連接傳感器，甚至遠程控制的家庭供暖系統。

所有互聯網連接設備的開發人員所面臨的一個挑戰就是安全性問題。移動支付就是個明顯的案例：銀行顯然希望避免手機支付的欺詐性交易。但物聯網安全威脅各式各樣，且影響深遠。

為何安全性對物聯網而言如此重要呢？由于可用數據數量前所未有，而所有物聯網系統間的互聯互通及其潛在威脅都極大激起了風險意識。其中不應被忽視的因素之一是，有部分工程師之前開發的系統并未接入互聯網，而現在他們則必須開發聯網產品。我們相信銀行擁有強大的專業技術可確保金融交易的安全性，但如果工程師曾經只開發USB網絡攝像頭，我們又如何信任他可以確保IP連接攝像頭的安全呢？

幸運的是，如若工程師花些時間遵循一些基本準則就會發現，包括半導體公司和分銷商在內的供應商目前都在提供相關的技術及支持，協助開發出更具安全性的物聯網產品。

風險與威脅

近期在芝加哥召開的一次會議上，來自恩智浦（NXP）的Roman Budek表示，物聯網設計人員需考慮及解決六項主要的安全隱患。而針對云端的數據和系統控制情況，必須考慮那些針對云服務提供商的遠程攻擊，而不能單純地認為某主要服務提供商即可解決這個威脅。

物聯網的性質意味著設備經常可以進行訪問，外圍系統遭受的物理攻擊（例如使用邊信道控制門禁）對許多系統而言都是風險。同樣，一個脆弱、偽造或受損的設備會削弱內部網絡的安全性。而許多物聯網供應商認為其與其他公司產品間的互操作性對商業成功至關重要，所以該問題更是一個挑戰。

網關或IP邊緣節點為遠程攻擊提供了機會。以智能家居為例，網關通常是客戶ISP提供的低成本路由器，其功能有限，甚至可能存在未修復的漏洞。

智能手機、平板電腦、智能手表也存在著安全隱患，用戶可能下載流氓軟件，從而讓這類軟件獲得網絡訪問權限。同樣，PIN碼釣魚軟件可讓裝有應用程序的設備獲得物聯網系統訪問權限。最終，隨著物聯網的發展日趨成熟，各種設備的升級換代，淘汰的設備有可能被植入特洛伊木馬，給其他網絡設備帶去威脅。

顯然，設計物聯網設備時工程師需對整個系統進行全面了解，而不是僅僅把關注點放在設計的產品上。

確保嵌入式設備的安全性

開發嵌入式物聯網設備時，工程師必須確保實現以下三點：

數據完整性：確保數據不被窺探，僅授權人員可訪問，而且還需確保數據不能被篡改導致蓄意攻擊或意外性錯誤。

代碼完整性：保護代碼也至關重要。代碼修改必須可檢測，而且只有經授權才可修改代碼。此外，許多公司也關心知識產權保護問題，這就要求采取措施避免代碼失竊。

設備完整性：確保連接設備可靠，并且其關鍵功能不可被篡改。因此，物聯網設備需要強大的加密密鑰認證和保護，以防止黑客入侵和產品偽造。

為了實現目標，安全專家經常提到嵌入式物聯網安全性的六個原則，以加強對開發人員的支持：身份/身份驗證、授權、審核、保密、完整性及可用性，而許多這些原則的核心是密碼學。

為物聯網安全提供設備支持

對于物聯網產品開發人員而言這無疑是好消息，許多設備已為更加便捷的構建安全性提供支持。以e絡盟合作開發的、在NXP WaRP7 IoT和可穿戴開發平臺上使用的NXP iMX 7Solo應用處理器為例，該物聯網原型平臺包含許多處理器內置的安全功能。

FARA005 image 1

圖 1 - iMX 7 Solo應用處理器圖示

其中最明顯的特征之一是支持加密，且處理器還支持使用CAAM（加密加速和保證模塊）對硬件加速加密。該模塊也包含支持各種加密標準的加密和哈希引擎。

加密算法有兩種基本類型：對稱型和非對稱型，而選擇正確的算法對物聯網系統設計至關重要。對稱算法使用相同的密鑰加密及解密數據，而且處理開銷更低。

不對稱加密使用“單向”方法，具有一對密鑰。私鑰保密，不對外分發，而公鑰則公開分享。如若使用公鑰加密，則需使用私鑰解密，反之亦然。此法使系統更容易管理，且可拓展性更強。

隨機數生成器（RNG）是加密算法的要求之一。這可用于生成密鑰，而密鑰必須隨機生成，以防止黑客預測密匙、破解密碼。

可通過提供片上硬件支持，進而開發物聯網設備。這不僅可使用強大的加密功能確保更高級別的安全性，而且不會對處理器運行應用程序造成過多影響。

WaRP7板上使用的處理器還使用簡單SPA或差異功率分析（DPA）以防止預測密匙。

物聯網安全性也可通過其他功能加強，如WaRP7上使用的處理器及其他處理器。

FARA005 image 2

圖2 - ARM 信任區

處理復雜性

本文僅以一個物聯網板卡的某些特征可加強安全性為例。而工程師所面臨的挑戰正是本文所介紹的各種復雜性。顯然，工程師需要支持以確保他們有時間去學習這些特征。

首先，選擇正確的開發平臺至關重要。許多資源（如e絡盟社區的設計中心）可提供有關處理器開發平臺、軟件工具及中間件的詳細信息。應用工程師以及像e絡盟這樣的分銷商在確保生產正確組件方便扮演著重要角色，同時也縮短了選擇適當工具和信息的學習周期。

當下高度集成的狀態意味著開發平臺通常只有幾個組件，這幾乎是生產的理想硬件。e絡盟與許多公司合作，依照客戶要求打造如樹莓派這樣的現有開發板，從而滿足其具體需求；或依據特定要求開發硬件，使更多工程資源可應用于大部分復雜及產品差異化較大的代碼中。

結論 - 安全問題是物聯網最大的挑戰之一

現今，幾乎所有電子設備都可從網絡連接中獲益，無論是遠程控制、監控，還是簡單的記錄或數據分析。然而，網絡連接會引起許多潛在風險，必須使用恰當的設備及系統級別安全防護工具來解決這一問題。隨著半導體及軟件廠商提供從加密到物理安全的安全支持，對物聯網產品的開發人員而言，再也沒有任何借口回避產品安全性。然而，工程師面臨的挑戰則是克服附加功能帶來的不可避免的復雜性。因此，他們必須向如e絡盟這樣的供應商尋求幫助以應對挑戰。