物联网时代: 如何做好安全防御?
2018-04-15
物联网(IoT)已成为时下的营销热词,它是一个非常广泛的术语,涵盖了各种不同的应用,包括从闭路电视到IP连接监控摄像头,以及工厂和穿戴式健身追踪器的连接传感器,甚至远程控制的家庭供暖系统。大多数工程师早就意识到给任何电子设备添加连接功能都可带来诸多重要优势。
据BI Intelligence调研报告显示,预计2020年全球联网设备将达340亿台,使用中的物联网设备数量将达240亿台,且从2015年至2020年间,全球物联网投资总额将高达6万亿美元。另据中国工业和信息化部的数据显示,2015年中国物联网产业规模已达人民币7 500亿元,同比增长29.3%。中国媒体预测,到2020年,中国物联网整体规模将达1.8万亿人民币。
随着联网设备的增加,出现了各种形式的网络攻击,其中一个让所有互联网连接设备开发人员倍感挑战的就是安全性问题。据普华永道发布的2017年全球信息安全状况调查报告显示,2016年中国内地及香港地区检测到的信息安全事故平均数量高达2 577件,较2015年增长两倍有余。Gartner亦在其安全调研报告中表示,到2020年,在企业受到的确认攻击中,超过25%将与物联网有关。
移动支付就是个明显的案例:银行显然希望避免手机支付的欺诈性交易。但物联网安全威胁各式各样,且影响深远。
为何安全性对物联网而言如此重要呢?由于可用数据数量前所未有,而所有物联网系统间的互联互通及其潜在威胁都极大激起了风险意识。其中不应被忽视的因素之一是,有部分工程师之前开发的系统并未接入互联网,而现在他们则必须开发联网产品。我们相信银行拥有强大的专业技术可确保金融交易的安全性,但如果工程师曾经只开发USB网络摄像头,我们又如何信任他可以确保IP连接摄像头的安全呢?
幸运的是,若工程师花些时间遵循一些基本准则就会发现,包括半导体公司和分销商在内的供应商目前都在提供相关的技术及支持,协助开发出更具安全性的物联网产品。
风险与威胁
物联网的性质意味着设备经常可以进行访问,外围系统遭受的物理攻击(例如使用边信道控制门禁)对许多系统而言都是风险。同样,一个脆弱、伪造或受损的设备会削弱内部网络的安全性。而许多物联网供应商认为其与其它公司产品间的互操作性对商业成功至关重要,所以该问题更是一个挑战。
网关或IP边缘节点为远程攻击提供了机会。以智能家居为例,网关通常是客户ISP提供的低成本路由器,其功能有限,甚至可能存在未修复的漏洞。
智能手机、平板电脑、智能手表也存在着安全隐患,用户可能下载流氓软件,从而让这类软件获得网络访问权限。同样,PIN码钓鱼软件可让装有应用程序的设备获得物联网系统访问权限。最终,随着物联网的发展日趋成熟,各种设备的升级换代,淘汰的设备有可能被植入特洛伊木马,给其它网络设备带来威胁。
显然,设计物联网设备时工程师需对整个系统进行全面了解,而不是仅仅把关注点放在产品上。
确保嵌入式设备的安全性
开发嵌入式物联网设备时,工程师必须确保实现以下三点:
数据完整性:确保数据不被窥探,仅授权人员可访问,而且还需确保数据不能被篡改导致蓄意攻击或意外性错误。
代码完整性:保护代码也至关重要。代码修改必须可检测,而且只有经授权才可修改代码。此外,许多公司也关心知识产权保护问题,这就要求采取措施避免代码失窃。
设备完整性:确保连接设备可靠,并且其关键功能不可被篡改。因此,物联网设备需要强大的加密密钥认证和保护,以防止黑客入侵和产品伪造。
为了实现目标,安全专家经常提到嵌入式物联网安全性的6个原则,以加强对开发人员的支持:身份/身份验证、授权、审核、保密、完整性及可用性,而许多这些原则的核心是密码学。
为物联网安全提供设备支持
现在,许多物联网设备更易于构建安全保护,这对于物联网产品开发人员而言这无疑是好消息。以e络盟合作开发的、可用于NXP WaRP7 IoT和可穿戴开发平台上的NXP iMX 7Solo应用处理器为例,该物联网原型平台包含许多处理器内置的安全功能。
其中最明显的特征之一是支持加密,且还支持使用CAAM(加密加速和保证模块)对硬件加速加密。该模块也包含支持各种加密标准的加密和哈希引擎。
处理复杂性
选择正确的开发平台至关重要。许多资源(如e络盟社区的设计中心)可提供有关处理器开发平台、软件工具及中间件的详细信息。应用工程师以及像e络盟这样的分销商在选择或提供正确组件方面扮演着重要角色,同时也缩短了选择适当工具和信息的学习周期。
当下高度集成的状态意味着开发平台通常只有几个组件,这几乎是生产的理想硬件。e络盟的独特策略就是与主流芯片供应商展开合作,以打造开发板资源中心,为工程师从初始设计到生产制造整个流程提供完善的支持服务。e络盟可提供一系列开发板,其中包括:搭载松下传感器的Grid-EYE传感器评估套件、WaRP7开发平台、采用EnOcean与IBM技术的物联网入门套件、mangOH
Green 物联网开源硬件平台及mangOH开发套件等。此外,e络盟还与树莓派基金会达成独家协议定制生产树莓派开发板,以便精准满足客户的需求,e络盟还针对其它系列开发板提供这种定制生产服务。这些低成本开源电子平台和单板机能够让创客更加轻松地进行物联网设计开发,并帮助缩短工程师与程序员之间的技术差距。