浅析物联网（wǎng）设（shè）备面临的安全问题

众所（suǒ）周（zhōu）知，物联网（IoT）设备预计将无处不在。这些由半导体驱动的设备将推动每一个可（kě）想象的过程（chéng）实现智能化。从简单的开灯到门诊护理或工厂控制等更复杂的过程，通过传感、处（chù）理和（hé）云连接，物联网（wǎng）设备将大幅提高工作效率。应用场景多种多样，它们的（de）发（fā）展前景（jǐng）和（hé）影响力也将不（bú）可估量。

保护物联网设备（bèi）的想（xiǎng）法可能令人（rén）望而生畏。初（chū）步（bù）研究很快揭示了有关密（mì）码（mǎ）学、威胁、安全（quán）目标和（hé）其他几个主题的大量知识。面（miàn）对铺天盖地（dì）的信息（xī），物联（lián）网设备设计（jì）人（rén）员通常（cháng）会问的第一个问题是：“我如何判断所（suǒ）需安全性要达到哪种水平？”，紧接着是“我该从（cóng）哪里入手？”

Arm提供了平台安全架构（PSA），帮助（zhù）设（shè）计人员快速入门。通过（guò）利用（yòng）PSA的一整套（tào）威胁模型和安（ān）全性分析、硬（yìng）件和固件（jiàn）架构规范以（yǐ）及可信（xìn）固（gù）件（jiàn）M参考（kǎo）实现，物（wù）联网设计（jì）师能够（gòu）快速且轻（qīng）松地（dì）实现安全设计。

通过使用双Arm Cortex®-M内核，结合可配置（zhì）的（de）内存和外设保护（hù）单（dān）元，赛普拉斯（sī）PSoC 6 MCU实现了PSA定义的最高（gāo）保护级别（bié）。本文将PSA网络摄（shè）像头威胁模型和安全性分析（TMSA）应用于PSoC 6 MCU，演示如何针对网络摄像头应用进行安全性（xìng）评估。任何攻（gōng）击的目标都是（shì）获取物（wù）联网（wǎng）设备的（de）数据并以某种方（fāng）式加以利用。如（rú）图1所示，分析过程的第（dì）一步（bù）是识（shí）别物联网设备处（chù）理的数据资产及其（qí）安全属性。

接（jiē）下来的（de）步骤是识别（bié）针对这些资（zī）产的威（wēi）胁（xié），定义抵御这（zhè）些威胁的（de）安全目标，并确定需求以满足安全目标（biāo）。通过满足这些要求（qiú），基于微控制器的设计（jì）可为安全目标提供支（zhī）持，并最终保留资（zī）产的安全属性。最后，应该对（duì）设（shè）计（jì）进行评估（gū），以判定设计是否达到安全目标。通常（cháng）情况下，这类评估会利用应（yīng）用于设计的威胁模型来评估设备的攻击防御（yù）能力（lì）。

完整性要（yào）求数据资（zī）产在使用或传（chuán）输时（shí）保持不变。完整性通常与建立引用的数据（如（rú）启动（dòng）固件）相关（guān）联。启（qǐ）动固件确（què）保MCU配置为应用可执行的已知（zhī）初（chū）始状态。对启动固件进行更改可能会影（yǐng）响该初（chū）始状态，并存在操作或安全风险。

真实性要求只有受信任的参与（yǔ）者才能建立数据资产的（de）当前状态。当与完整性相结合时，真实性便能够建（jiàn）立（lì）信（xìn）任（rèn），因此它是（shì）安（ān）全物联网设（shè）备的关键基石（shí）。在先前的启动固件示例中，数字签名可用于在升级固件（jiàn）时对真实性和完整性进行评估，以确保仅（jǐn）使用可信固（gù）件。全面识（shí）别物联（lián）网设备（bèi）中的数据资产至关（guān）重（chóng）要，因为每个（gè）后续步骤（zhòu）都依赖于此步骤。举例来（lái）说，网（wǎng）络摄像头（tóu）将（jiāng）具备以（yǐ）下数据资（zī）产：

威胁（xié）旨在破（pò）坏数据资产的安全属性并将其用（yòng）于未经授权的目的。为了识别威胁，必须（xū）对物联网设备（bèi）中（zhōng）数据的使用进行评估（gū）。例如，证书（shū）可用（yòng）于访问物（wù）联网设备（bèi）的（de）网络（luò）。如（rú）果证书的机密（mì）性（xìng）受到（dào）损（sǔn）害，则未（wèi）经授权的参与者就（jiù）可以使用（yòng）它们来访问网络。这种攻（gōng）击称为冒充攻（gōng）击。通（tōng）过系（xì）统地评估每种（zhǒng）数据，可以（yǐ）创建潜在威胁（xié）列（liè）表。

通过识（shí）别（bié）威胁，可以定义安全目标。安全目标是在应用级别定（dìng）义的，本（běn）质（zhì）上提（tí）供（gòng）了实现需求。一些（xiē）安全目标可以作为可信应用（yòng）（TA）实现，它们在安全的MCU提供的（de）隔（gé）离执行环境（jìng）中执行。隔离执行环境全面保护TA及其（qí）使用/处理的数（shù）据。物（wù）联网设（shè）备应用本身在不安全的执行环境中运行（háng），并通过使用处理（lǐ）器间（jiān）通信（IPC）通道的API与隔离执行（háng）环（huán）境中的TA进行通信。TA则（zé）利用（yòng）硬件中的可用资源（yuán）（如加密加速器和安全内存）来为目标提供支（zhī）持。

访问控（kòng）制：物联网设备对试（shì）图（tú）访问数据（jù）资产的所有参与者（zhě）（人或机器）进（jìn）行（háng）身份验证。防（fáng）止在未经授权的情况下访问数据。防御欺骗和恶意软件威（wēi）胁，即攻（gōng）击者（zhě）对固件进（jìn）行修改或安装过（guò）时的缺陷版本。安全存储：物联网设备（bèi）维护数据资（zī）产的机（jī）密（mì）性（xìng）（根据需要）和完整（zhěng）性。防（fáng）御篡改威胁。固件真（zhēn）实性：物联网（wǎng）设（shè）备在启（qǐ）动和升（shēng）级之前对固件的真实性进行（háng）验证。防（fáng）御恶意软件威胁。

通信：物联网设备对（duì）远程服务（wù）器进行身份（fèn）验证，提供机（jī）密性（xìng）（根据需要），并维护交换（huàn）数据的（de）完整性。防御中（zhōng）间人攻击（MitM）威（wēi）胁。安全（quán）状态：即使固件完整性和真实性验（yàn）证失败，仍确保设（shè）备保持安全（quán）状（zhuàng）态。防御恶（è）意软（ruǎn）件和（hé）篡改威胁（xié）。

在这一方面，分（fèn）析提供了数据资产、威胁和安全目标的逻辑连接模型（xíng）。根据这（zhè）张（zhāng）图，可以编译出安全MCU所需的功能或特性列表。当然（rán），这个（gè）列（liè）表也可以用（yòng）作特（tè）定物联网设备应用（yòng）解决方案的实现标准。请注意，安全目（mù）标的要求可能（néng）会根（gēn）据物联（lián）网设备的生命周（zhōu）期阶段（设计、制造、库（kù）存、最终（zhōng）使用（yòng）和终止）而（ér）变化（huà），也应予以考虑。