浅析物联网设备面临的安全（quán）问题（tí）

众所周知（zhī），物联（lián）网（IoT）设备预计将无处（chù）不在（zài）。这些由半导体驱（qū）动的设备将推动（dòng）每（měi）一个可想象（xiàng）的过程（chéng）实现智能化（huà）。从简单的开灯到门诊护理或工厂控（kòng）制（zhì）等（děng）更复杂（zá）的过程，通过传感、处理（lǐ）和云连接，物联（lián）网设（shè）备将大幅提高工作效率。应用场景多种多样，它们的发（fā）展前景和（hé）影响力也将（jiāng）不可估量。

保护物联网设备的想法可能令人（rén）望而生畏。初步研究很快揭（jiē）示了有关密码学、威胁（xié）、安全目标和其他几个主题的大量知（zhī）识（shí）。面（miàn）对铺天盖地的信息，物联（lián）网（wǎng）设备设计人（rén）员通常会问的第一个问题是：“我（wǒ）如何判（pàn）断（duàn）所需安全性要（yào）达到哪种水（shuǐ）平？”，紧接着（zhe）是“我（wǒ）该从哪里入手？”

Arm提供了平台安全（quán）架构（gòu）（PSA），帮助（zhù）设（shè）计（jì）人员快速入（rù）门。通过利（lì）用PSA的（de）一整套威（wēi）胁模型和安全性分析、硬（yìng）件和固件（jiàn）架构规范以（yǐ）及可信固（gù）件M参考实现，物联网设计（jì）师能够快速且（qiě）轻（qīng）松地实现安全设计。

通过使（shǐ）用双Arm Cortex®-M内核（hé），结合可配置（zhì）的内存和（hé）外设保护单（dān）元，赛普（pǔ）拉斯PSoC 6 MCU实现（xiàn）了PSA定义的最（zuì）高保护级别。本文将PSA网（wǎng）络摄像头威胁模型和安全性分析（TMSA）应用于PSoC 6 MCU，演示如（rú）何针对网（wǎng）络摄像头应（yīng）用进行安（ān）全（quán）性评估。任何（hé）攻（gōng）击的目标（biāo）都是获取物联网设备的数（shù）据并以某种方式加（jiā）以利用。如（rú）图（tú）1所（suǒ）示，分析过程的第（dì）一步是识别物联网设备处理的数据资（zī）产及其安（ān）全属性。

接下来的步骤是识别针对这（zhè）些资产的威（wēi）胁，定义抵御这些威胁（xié）的安（ān）全目标（biāo），并确定需求以满足安全目（mù）标。通（tōng）过满足这些要求，基于微控制（zhì）器的设计可为安全目标（biāo）提供支持（chí），并最（zuì）终保留资产的安（ān）全属性。最后，应该对设计进行评估，以判（pàn）定设计（jì）是（shì）否达到安（ān）全目标。通（tōng）常情况下，这类评估会利用应用于（yú）设计的威胁模型来评估设备的攻（gōng）击（jī）防御能力（lì）。

完整性要求数（shù）据资产在使用或传输时保持不（bú）变。完整性通常与建立引用（yòng）的数据（如启动固件）相关联。启动固件确保MCU配置为（wéi）应用可（kě）执行的已（yǐ）知初始状（zhuàng）态。对启（qǐ）动（dòng）固件进（jìn）行更改（gǎi）可能会（huì）影响该（gāi）初始状态，并存（cún）在操作或安全风险。

真实（shí）性（xìng）要求只有受信任的参与者才能（néng）建立数（shù）据资产的（de）当前状态。当（dāng）与完整性相结合时，真实性便能够建立信任（rèn），因（yīn）此它是安全物（wù）联网（wǎng）设备的关（guān）键基石。在先前的启动固件示例（lì）中，数字签名可用（yòng）于在升级固（gù）件（jiàn）时对真实性和（hé）完整性进（jìn）行评估，以确（què）保仅使用可信固（gù）件。全（quán）面识别物联网设（shè）备中（zhōng）的数据资产至关重要（yào），因为每个后续步骤都依赖于此步骤。举例来（lái）说，网（wǎng）络（luò）摄像头将具备以下数据资产：

威胁（xié）旨在破（pò）坏（huài）数（shù）据资产的（de）安全（quán）属性并（bìng）将（jiāng）其用于未经授（shòu）权的目（mù）的。为了识（shí）别威（wēi）胁（xié），必须（xū）对物联网设备（bèi）中（zhōng）数（shù）据的使用进行评估。例如，证（zhèng）书可用于访问物联网（wǎng）设备的网络。如果证书（shū）的机密性受到损害，则未经（jīng）授权的参（cān）与（yǔ）者（zhě）就（jiù）可以（yǐ）使用它们来访（fǎng）问网络。这种（zhǒng）攻击称为冒（mào）充攻击。通（tōng）过（guò）系统地评估每种（zhǒng）数（shù）据（jù），可以创建潜在威胁（xié）列表（biǎo）。

通（tōng）过（guò）识别威（wēi）胁，可（kě）以定（dìng）义（yì）安全目（mù）标。安全目标是在应用级别定义的（de），本质上提供了实现需求。一些安全目标可以作为可信应用（TA）实现，它们在安全的MCU提（tí）供的隔离执行环（huán）境中执行。隔（gé）离执（zhí）行环境（jìng）全面保（bǎo）护TA及（jí）其使用/处（chù）理的数据。物（wù）联网（wǎng）设备（bèi）应用（yòng）本身在不安全（quán）的执行环境中运行，并通过使用处理（lǐ）器间通信（IPC）通道的API与隔离执行（háng）环境中的（de）TA进行通（tōng）信。TA则利（lì）用硬件（jiàn）中的可用资源（如（rú）加（jiā）密加（jiā）速器和（hé）安全内存）来为目标提供支持。

访问（wèn）控制：物联网设（shè）备对试（shì）图访问（wèn）数据资产的所有参与者（人或机器（qì））进行（háng）身份验证。防止在未经授（shòu）权（quán）的情（qíng）况下访（fǎng）问数据。防御欺骗和恶（è）意软（ruǎn）件威（wēi）胁，即（jí）攻击者对固件进行修改或（huò）安装过时的缺陷版本（běn）。安全存储：物联网设备（bèi）维护数据资产的机密（mì）性（根据（jù）需（xū）要）和完整性。防御篡改威胁。固件真实性：物联网设备在启动（dòng）和升（shēng）级之前（qián）对固（gù）件的真实性（xìng）进行验证。防御恶（è）意软件威胁（xié）。

通信（xìn）：物联网设（shè）备对远程服务器进行（háng）身份验证，提供机密性（根据需要），并维护交（jiāo）换数据的完整性。防御中间人攻击（MitM）威胁。安全状态（tài）：即使（shǐ）固件完（wán）整性和（hé）真实性验证失败，仍（réng）确保设备（bèi）保持安全状态。防御恶（è）意（yì）软件和篡改威胁。

在这一方面，分析（xī）提（tí）供了数据资产（chǎn）、威胁和安全目标的逻辑（jí）连接模型。根据这张图，可以编译出安全MCU所需的功能或（huò）特性列表。当然，这个列表也可以用作特定物联网设备应用（yòng）解决（jué）方案的实现标准。请注意（yì），安全目标的要求可（kě）能会根据物联网（wǎng）设备的（de）生命周期阶段（设计、制造、库存（cún）、最终使用和终止）而变化，也（yě）应予以考虑。