如何保证物联网的安全
2021-02-09MarcCanel
Marc Canel
1 物聯网安全的重要性
物联网系统领域涵盖甚广,涉及多种应用。在确保物联网设备向云系统报告真实数据方面,安全功能起着关键的作用。例如,由于缺乏安全监管导致了Mirai僵尸网络攻击事件的发生,黑客入侵了美国东北部闭路电视摄像监控系统的管理账户。黑客在摄像头中安装了恶意软件,使摄像头对互联网中的目录服务器发起了拒绝服务攻击,从而导致美国大部分地区的网络瘫痪数小时。
物联网市场中和安全相关的第一点也是最重要的一点就是在设备中加入信任根密钥,以便它们能够得到正确的身份验证。设备的架构中需要包括一个基于信任根的安全启动机制,使得只有已知代码可以存在于设备中。此外,无线更新机制对于修复系统漏洞和管理凭证及密钥来说是必要的。在超大规模企业(hyper-scaler)、系统级芯片(SoC)供应商和设备制造商的支持下,诸如平台安全架构(PSA)和ioXt联盟等各种行业计划/组织正在推动物联网市场中的安全要求标准化。
在设备执行环境中,安装和定制设备对于成功且安全地启用设备是很关键的:目前为止,大多数设备都是由技术人员手动安装的,他们可能会出错或者选择容易猜出的密码,就像Mirai僵尸网络事件中所反映的那样。将设备安装从手动过程转向自动、标准、无线的机制是安全物联网系统的一项关键要求。标准机构和超大规模企业已经意识到了这一设备安装问题,他们正在国际互联网工程任务组(IETF)和线上快速身份认证联盟(FIDO)约定的框架内解决该问题。
2 安全发展的新动向
当前的行业发展趋势是针对物联网市场实现需求和安全架构的标准化。大多数攻击类型是已知的:从中间人攻击、缓冲区溢出攻击等通信攻击,到注入恶意软件和病毒及边信道攻击。
防范这些攻击的技术也是已知的,而且安全专家们对这些解决方案也已经很熟悉了。挑战在于行业中的价值链和供应链如何传播和采用这些安全解决方案。过去几年中,整个行业都为解决方案的推广和标准化付出了相当大的努力。
受监管的行业往往是首批采用安全技术和认证方案的行业。其他行业在针对安全问题采取措施之前,需要认识到其资产、产品和客户所面临的威胁。总的来说,在过去3~5年里,人们已经认识到领先的技术公司,如超大规模企业、IP开发商和系统级芯片供应商等,在向不同市场的客户推广标准化安全解决方案方面发挥了关键作用。
采用安全解决方案的主要挑战和障碍仍然是垂直领域之间存在的市场碎片化问题。特别是在不受监管的市场中,安全一直是个商业问题,需要在资产保护效益和保护资产的技术与流程成本之间进行权衡。尽管已经有逐步成熟的安全解决方案标准化指南可以使用,但是物联网市场中的业务经理仍必须对其领域中的安全问题按场景逐个进行评估,这进一步加剧了安全解决方案推广过程中的碎片化问题。
3 对开发者带来的挑战
碎片化是硬件或软件解决方案开发人员面临的最大问题。由于缺乏一致的安全模型,应用开发者和所有者很难为其推出的服务开发一致的责任模型。
对于开发在其生态系统中适用的产品的设备供应商,超大规模企业会通过强制实施认证要求来解决上述碎片化问题。换言之,在设备供应商加载超大规模企业的一款流行应用之前,其设备需要按照超大规模企业的规定进行认证。
但是对于那些不属于受监管市场(如公用事业)范畴或超大规模企业专有生态系统(如亚马逊Alexa)的设备,开发人员就需要根据设备的底层技术来实现服务提供商的安全要求。标准会提供一个框架和一些指南,但是产品推出的具体细节和认证责任则需要开发人员、服务提供商和设备制造商来一起协商确定。
4 Imagination的解决方案
Imagination是一家全球领先的半导体知识产权(IP)提供商,我们的产品是提供给系统级芯片供应商的处理器设计IP,我们也在自己的产品中提供了标准化应用编程接口(API)方面的支持。