在电子设计中，安全性至关重要，对于复杂、资源受限、高度连通的物联网（IoT）而言，更是如此。实现物联网安全需要依靠成熟的安全原则并警惕不断变化的威胁，而设计工程师将产品推向市场时面临一些物联网安全挑战。

　　物联网面临安全威胁

　　物联网目前正逐渐融入大多数工业和商业运营体系中，包括公共设施、重要的基础设施、交通、金融、零售和医疗。物联网设备能够感知和测量物理世界，收集人类的各种活动数据，促进了智能、自动化、自主命令和控制技术的广泛部署。通过无处不在的物联网互连智能设备，企业能够创造出真正革命性的技术，从而改善未来人类社会和经济生活的方方面面。然而，几乎每个星期都有主流媒体报道数字安全性的漏洞问题，通常是消费者信用卡信息被盗或使用不当而造成损失，与每天发生的成千上万个网络遭受攻击的案例相比，这只不过是九牛一毛。安全攻击包括窃取有价值的数据并造成大范围破坏，更有甚者，会控制关键的系统。从消费者的角度来看，分布式阻断服务（DDoS）攻击可能是最常见的威胁。2016年造成整个互联网中断的Mirai僵尸网络第一次敲响了警钟，令各机构意识到这类威胁。继Mirai之后，Aidra、Wifatch和Gafgyt，以及BCMUPnP、Hunter52和Torii53等新加入的僵尸网络，累计侵入了数百万部IoT设备，以扩散其DDoS恶意攻击软件、加密货币挖矿软件以及垃圾邮件中继代理。

　　随着我们的工作和生活中出现更多的物联网设备，潜在的安全攻击无处不在，而且规模越来越大。以智能交通控制为例，设想一下大城市控制交通流量的传感器、交通信号灯、协调管控车辆的汽车网状网络和控制设备等基础设施暴露给对手的情形。在重要的十字路口通过无线网络控制交通信号灯或车辆之间的通信，已经不再是好莱坞大片中才会出现的场景，而是一项真实存在的严肃议题。

　　再想一想互联网医疗设备、商店内帮助改善零售购物体验的智能标签，以及我们的家电如何联网。如果你能用自己的智能手机启动炉子、开锁、关闭警报系统，那么其他人呢？

　　上面的例子跟我们所有人都相关，但是，有很多情形是普通消费者看不到的。设想针对自动化制造环境部署的工业物联网（IIoT），如果出现了安全漏洞将会导致怎样的混乱，生产停机和设备损坏又可能造成怎样的财务损失？

　　随着潜在的攻击呈指数级增长，物联网的安全防护必须全面而稳健，并具有快速恢复的能力。

　　图1：物联网设备数量及面临的威胁均呈指数增长。（图片来源：Gartner、Softbank、IBM X-Force威胁情报指数2019，以及Symantec互联网安全威胁报告2018）

　　不能只依靠软件方法

　　试图窃听或非法获取信息并不是什么新鲜事。荷兰计算机研究员Wim van Eck早在1985年就进行了相关的研究。他通过截取显示器的电磁场并进行解码，成功地从显示器中获取了信息。他的开创性工作强调了一个事实：利用一些价格不高的组件，便可以绕开昂贵的安全防护措施而达到目的。

　　这种非侵入和被动式电磁边信道攻击如今变得更加复杂，并成为众多攻击武器的一种。其他边信道攻击方法包括差分功耗分析（DPA）等，通常与电磁边信道攻击一起使用。通过这种攻击方式，在执行加密处理指令时，物联网设备微控制器中的加密密钥、密码和个人身份等敏感信息将以电磁信号的形式被“泄露”。宽带接收器作为软件定义的无线电应用目前价格已经很低，在运行中可用于检测和存储电磁信号。

　　DPA是一种更复杂的窃取方式，通过简单的功耗分析可以了解设备运行过程中的处理器功耗。由于处理设备所消耗的功率会因执行的函数而有所不同，因此可以通过了解功耗情况来识别离散函数。基于AES、ECC和RSA的加密算法函数需要大量计算，可以通过功耗测量分析来识别。以微秒时间间隔检查功耗可以发现密码学中经常使用的各种数字运算，例如平方和乘法。DPA在简单的功耗分析中增加了统计和纠错技术，可以实现机密信息的高精度解码。

　　通过有线或无线通信方式传输的数据泄漏也有可能暴露机密信息。隐蔽信道和“中间人攻击”是通过监听IoT设备与主机系统间的通信来收集数据的一种有效方法。分析这些数据可能会泄露设备控制协议及接管远程连网设备操作所需的私钥。

　　黑客使用的另一种攻击技术是对未受保护的微控制器和无线系统级芯片（SoC）器件进行植入攻击。在最简单的情况下，该技术可能会降低或干扰微控制器的供电电压，出现奇怪的错误。随后，这些错误可能触发其他受保护的设备打开保存机密信息的寄存器，进而遭受入侵。通过更改频率、植入错误的触发信号或更改信号电平来篡改系统的时钟信号，也可能导致IoT设备出现异常，从而暴露机密信息，或导致控制功能被操控。这两种情况都需要对设备内的印制电路板进行物理访问，但不是侵入性的。

　　由于许多用于保护IoT设备的安全技术都是基于软件的，因此安全信息很可能被非法读取。AES、ECC和RSA等标准密码加密算法以软件栈的形式在微控制器和嵌入式处理器上运行。使用价格低于100美元的设备和软件不但可以查看功耗，还可以借助DPA技术获得密钥和其他敏感信息。现在很容易得到现成的DPA软件工具自动完成整个过程，甚至不需要熟练掌握这些分析方法。

　　这类攻击已不再局限于理论领域，它们已被全球的黑客广泛使用。

　　随着攻击力度的不断增加，物联网设备和系统开发人员需要重新考虑其安全防护方法，提高安全防护功能，使其更加稳健并具备更好的复原能力。

　　用硬件方法实现物联网安全

　　在设计一种新的IoT设备之前，最好全面了解该设备可能受到哪些攻击，以及需要对什么样的威胁进行防备。谨慎的做法是从一开始就审查安全需求并将其纳入产品规格。大多数IoT设备往往可以使用很多年，因此必须通过无线（OTA）方式进行固件更新，单这一点就可能引起更多的攻击，因此需要加以考虑。要想防护所有的攻击，需要一种从芯片到云端的方法，实现基于硬件的安全设计。

　　英飞凌近日发布的OPTIGA? Trust M2 ID2安全芯片是完全基于硬件的安全解决方案，其最大优势是能够抵御针对硬件级别的攻击。它采用了一些经过特殊设计的精简逻辑，可以更好地保护数据的存储；即使通过非常专业的反向工程，也无法轻易的破取并破解原始数据；一些专业的设计和非标准的代码实现其实也难于分析和理解；最重要的一点是基于硬件的安全芯片方案可以为整个系统提供可信任的“根”，作为系统可信任的来源。

　　图2：基于硬件的安全方案所具有的优势。

　　据英飞凌科技安全互联系统事业部大中华区物联网安全产品线市场经理成皓介绍，OPTIGA? Trust M2 ID2安全芯片主要有以下几个功能：

　　双向认证功能。OPTIGA? Trust M2 ID2可以存储多组密钥和证书，完成物联网设备和云端、以及和其它设备之间的双向认证。加载安全芯片的设备可以和其它控制器及生态系统内的设备进行双向认证。在物联网整个系统架构中，除了云端对设备的认证非常重要之外，设备端本身对云端的鉴别也非常重要，所以需要双向认证而不是单向认证功能。

　　安全通信。在目前的很多物联网设备或应用中，有一个很大的安全隐患，就是在链路上传输的数据本身没有任何加密机制做保护，尤其是某些用户隐私数据和敏感关键数据的传输。OPTIGA? Trust M2 ID2可以保障 “设备和云端”以及和其它设备之间的通讯完全通过加密的方式完成，消除链路上传输的安全隐患。Shielded Connection功能也保证了在设备内部数据传递的安全性。

　　固件安全更新。在很多物联网攻击模式里，很多的攻击是通过伪造一些固件包企图获取对设备的控制权。一般用户没有能力鉴别一个固件升级包是否完整、来源是否合法，因此存在较大风险，导致设备被黑客或者不法分子监听或控制。OPTIGA? Trust M2 ID2可以通过“可信任根”的功能，帮助设备实现鉴别固件升级包来源。

　　个人化数据的写入。OPTIGA? Trust M2 ID2芯片在生产阶段的时候就已经预置了阿里的Link ID?服务器分发独一无二的ID信息。终端客户（IoT设备厂商的客户）直接将这款安全芯片嵌入到终端设备中即可使用。联网的时候会完成一次Link ID?设备在云端的注册。

　　数据安全存储。把一些用户的关键数据，比如证书、密钥，通过加密的方式存储在设备的内部。数据存储在安全芯片内部，即使外部整个系统设计或软件层面有一些漏洞，因为黑客或者攻击者没有访问安全芯片的能力，因此存储在安全芯片内部的数据无法被外部截取和分析，这也是硬件安全芯片比较大的优势。

　　平台完整性校验。在系统需要安全启动的场景下，检验设备上的操作系统或软件是否已被篡改，进而抵御攻击。

　　应用场景

　　OPTIGA? Trust M2 ID2可应用在对安全有一定诉求的场景，成皓介绍了三个比较典型的应用领域：智能音箱、智能工厂和网络摄像头。

　　智能音箱

　　智能音箱除了具有传统的蓝牙音箱功能，还可以和用户进行语音交互，使用户担心自己的个人隐私被监听或关键的个人数据泄漏。

　　利用OPTIGA? Trust M2 ID2数据存储加密功能，将账户信息、ID信息或密码存储到安全芯片内部，就不容易被截取了。另外，通过安全芯片的双向认证功能，可以保证智能音箱只处理经过合法来源认证的信息。如果有黑客或陌生人通过伪造远程语音信息来“开门”或者“开窗”，智能音箱就能鉴别该信息或对它进行操控的设备的来源是否合法。

　　智能音箱里面的关键数据需要上传到云端，通过OPTIGA? Trust M2 ID2的数据加密功能，可以保证设备端和云端交互的数据都通过加密形式进行传递，就算被黑客进行数据拦截，也无法破译原始数据。

　　如果智能工厂遭受黑客攻击，会导致整个产线瘫痪。除了产线停产，更致命的损失是会千万企业一些核心技术，比如IP，还有一些关键数据的泄漏。在智能工厂的终端设备（如机械手臂）上，可以嵌入Trust M的安全芯片，对工业设备与工业边缘网关通讯数据进行加密。通过Trust M2 ID2芯片也可以验证上传数据的设备本身是否合法、是否是工厂内实际工作的设备，而非黑客或第三方伪造的设备。

　　在物联网设备中，网络摄像头是被黑客重点“关照”的两类设备之一。由于网络摄像头本身可监控的特性，因而会成为很多不法分子的攻击对象。

　　目前很多摄像头被入侵的一个主要原因是它的“弱口令”。“通常很多出厂密码会默认设置admin，对黑客来说，攻击这样的设备非常容易。通过在摄像头里面集成OPTIGA? Trust M2 ID2芯片，可以保证摄像头与云服务器之间通讯数据进行安全加密，使关键数据在链路上传输时无法被破解。”成皓说，“英飞凌的目标是希望通过引入安全芯片的方案，与包括阿里云在内的合作伙伴进行合作，利过这么一颗小小的安全芯片来提高整个物联网的安全等级，帮助大家更好、更安心地享受物联网带来的便利和乐趣。”

　　结语

　　任何连网设备都面临安全威胁，这些威胁无处不在，并且不断变化。基于软件的安全技术曾经效果良好，但现在已成为潜在的攻击目标。硬件方法现在被认为是实现全面且稳健的安全机制唯一可行的方法。