浅析物联网设备面临的安（ān）全问（wèn）题

众（zhòng）所周知，物联网（wǎng）（IoT）设（shè）备预计将无（wú）处不在。这些由半导体驱动的设（shè）备将推动每一个可想象（xiàng）的过程实现智能化。从简单的开（kāi）灯到门（mén）诊护理或工厂控制等（děng）更（gèng）复杂的过程，通过传（chuán）感（gǎn）、处理和（hé）云连接（jiē），物联网设备将大幅提高工作效（xiào）率。应用场景多种多（duō）样，它们的发展前景和影（yǐng）响（xiǎng）力也将不可估量。

保护物联网设备的想法可能令人望而（ér）生畏。初步研究很快揭示了有关密码（mǎ）学、威（wēi）胁、安全目标（biāo）和其他几个主（zhǔ）题的大量（liàng）知识（shí）。面对铺天盖（gài）地的（de）信息，物联网设备设计（jì）人员（yuán）通（tōng）常（cháng）会问的第（dì）一（yī）个（gè）问题是：“我（wǒ）如（rú）何判断（duàn）所需安全（quán）性（xìng）要达到哪（nǎ）种水（shuǐ）平？”，紧接着是“我（wǒ）该从哪里入手？”

Arm提供了平台安全架构（PSA），帮助设计人员（yuán）快速（sù）入门（mén）。通过利用PSA的一整套威胁模型和安全性分析、硬件和固件架（jià）构（gòu）规范以及可信固件M参考实现（xiàn），物（wù）联网设计（jì）师能（néng）够快速（sù）且轻松（sōng）地实现安全设计。

通过使用双Arm Cortex®-M内核，结合可配置的内存和（hé）外（wài）设保护单（dān）元，赛普拉斯PSoC 6 MCU实现了PSA定义的最高（gāo）保护（hù）级别。本文将PSA网络摄像头威胁模（mó）型和安全（quán）性分析（xī）（TMSA）应用于PSoC 6 MCU，演示如（rú）何针对网络摄像（xiàng）头应用进行安全性评估。任何攻击的目（mù）标都是获取物联（lián）网设备的数据并以（yǐ）某种方式（shì）加以利用。如图1所（suǒ）示，分析过程（chéng）的第（dì）一步是（shì）识（shí）别物（wù）联（lián）网设备处理的数据资产及（jí）其安全属性。

接下来的步骤是（shì）识别针对这些资产的威胁（xié），定义抵御（yù）这些威胁的安全目标（biāo），并（bìng）确定需求以（yǐ）满足（zú）安全目标。通过满足这些（xiē）要求（qiú），基于微（wēi）控制器的设计可为安（ān）全目标提供支持，并最（zuì）终保留资产的安全属性。最后，应该对设计进行评估，以判定设计是否达（dá）到安全目标。通常情况下，这（zhè）类评（píng）估（gū）会利（lì）用应（yīng）用于设计的威（wēi）胁模型来（lái）评估设备的攻击（jī）防御能力。

完整性（xìng）要求（qiú）数据资产在使用或传输时保（bǎo）持不变。完整性通常与建立引用的（de）数（shù）据（如启（qǐ）动固（gù）件）相（xiàng）关联。启（qǐ）动固件确保MCU配置为应用可执行的已（yǐ）知初始状态。对（duì）启（qǐ）动固件（jiàn）进行更改可（kě）能会影（yǐng）响该初始状（zhuàng）态，并存在操作或安全（quán）风险（xiǎn）。

真（zhēn）实性要求只有（yǒu）受信任的参与者才能（néng）建立（lì）数据资产的当前状态。当与完整性相结合（hé）时，真实性（xìng）便能够建立信任（rèn），因此它是安全物联网设备的（de）关键基石。在先前的启动固件示例中，数字（zì）签名可用于在升级固件时（shí）对真实性和（hé）完整性（xìng）进行评（píng）估，以（yǐ）确保仅使用（yòng）可信固件。全面识（shí）别物联网设备中的数（shù）据（jù）资（zī）产至关重要，因（yīn）为每（měi）个后续（xù）步骤（zhòu）都依赖于此步骤。举（jǔ）例来说，网络摄像（xiàng）头（tóu）将具（jù）备以下数据资产（chǎn）：

威（wēi）胁旨在破坏数据资（zī）产的（de）安全属性并将其用于未经授权（quán）的目的。为（wéi）了识（shí）别威胁，必须对（duì）物联网设备中数据的使用进（jìn）行评估。例如，证书可用于访（fǎng）问物联网（wǎng）设备的网（wǎng）络。如果证书的机密性受到损害，则未经（jīng）授权的参与者就可以使（shǐ）用（yòng）它们来访（fǎng）问（wèn）网络（luò）。这种（zhǒng）攻击（jī）称为冒充攻击。通过系统地评估每种数据，可（kě）以（yǐ）创建潜在威胁（xié）列表。

通过识别威胁，可（kě）以定义（yì）安全目标。安全目标（biāo）是在应用级别定义的，本质上提供了实现需求。一些安全目（mù）标可以作（zuò）为可（kě）信（xìn）应用（yòng）（TA）实现，它（tā）们（men）在安全（quán）的（de）MCU提供的隔离（lí）执（zhí）行环境中（zhōng）执行。隔离执行环境全（quán）面保（bǎo）护TA及其使用（yòng）/处理的数据。物联（lián）网设备应（yīng）用本身在（zài）不安全的执行环境中运（yùn）行，并（bìng）通过使用处理器间通信（IPC）通道的（de）API与隔离执行环（huán）境中的TA进行通信。TA则利用（yòng）硬件中（zhōng）的可用资源（如加密加速器（qì）和安全内存（cún））来为目标提供支持。

访问控制：物联网设备对试图访问数据资（zī）产的所有参与者（人或机器（qì））进行身份验证。防止（zhǐ）在未经授权的情况下（xià）访（fǎng）问数据。防御欺骗和恶意（yì）软（ruǎn）件威胁（xié），即（jí）攻击者对固件进行修改或安装过（guò）时的缺陷版本。安全存储（chǔ）：物联网设（shè）备维护数据资产的机（jī）密性（根据需要）和完整性。防御篡改威胁。固件真（zhēn）实性：物联（lián）网（wǎng）设备（bèi）在启（qǐ）动和升级之前对固件的（de）真（zhēn）实性进行（háng）验证（zhèng）。防御（yù）恶意软（ruǎn）件威胁。

通信：物联（lián）网设备对（duì）远程服务器进行身（shēn）份（fèn）验证（zhèng），提（tí）供机密性（xìng）（根（gēn）据需（xū）要），并维护交换数据的完整性。防御中间人（rén）攻击（jī）（MitM）威胁。安全（quán）状（zhuàng）态：即使固件完整性和真（zhēn）实性验证失（shī）败，仍（réng）确保设备保持安全状态。防御恶意软件和篡改（gǎi）威胁。

在这一方面，分（fèn）析提供了数据资产、威胁和安全（quán）目标（biāo）的逻辑连接模型。根据这张图（tú），可以编译（yì）出安全MCU所需（xū）的功能或特性（xìng）列（liè）表。当然，这个列表也可以用（yòng）作特定物（wù）联（lián）网设备应用解决方案的实现标准。请注意，安全目标的要求可（kě）能会根据物联（lián）网设备的生命（mìng）周期（qī）阶（jiē）段（设（shè）计（jì）、制造、库存、最终（zhōng）使用和终止）而（ér）变化，也应予以考虑（lǜ）。