h1_key

如今，世界上有100億個物聯(lián)網節(jié)點連接到互聯(lián)網上，達到十多年前的十倍，這一趨勢將繼續(xù)增加。這種增長也給攻擊者帶來了更多的機會。據估計，網絡攻擊造成的年成本從幾百億到幾萬億美元不等，而且這個數字還在上升。因此，安全考慮對于繼續(xù)成功拓展物聯(lián)網至關重要，而物聯(lián)網安全始于物聯(lián)網節(jié)點的安全。

沒有公司希望自己的名字出現(xiàn)在被打破，客戶數據被盜等新聞中。此外，聯(lián)網設備還需要遵守日益嚴格的政府法規(guī)，如FDA對醫(yī)療設備的規(guī)定、美國/歐盟對工業(yè)4.0關鍵基礎設施的網絡安全要求以及汽車行業(yè)的一些新標準。這些要求旨在促進高安全性的實現(xiàn)，但并沒有明確強制使用基于硬件的安全措施。然而，物聯(lián)網節(jié)點通常是大量的成本優(yōu)化設備，這給安全性和成本之間的平衡帶來了巨大的挑戰(zhàn)。

利用信任根創(chuàng)建安全節(jié)點。

我們如何設計一個經濟、高效、安全的物聯(lián)網節(jié)點？從信任根（也稱為安全元件）開始，建立一個安全的物聯(lián)網節(jié)點，是一個負擔得起的小型集成電路，旨在為節(jié)點應用程序處理器提供可靠的安全相關服務。相關功能示例包括數據加密（保護機密信息）和數字簽名（保證信息的真實性和完整性）。信任根的最終目標是確保用于數據加密或數字簽名的密鑰得到保護，以防止泄露。

信任根的概念保證了安全相關服務信息的真實性和完整性

信任根的另一個關鍵功能是，由于安全指導機制的存在，它支持可信信息的交換。安全指導確保所有物聯(lián)網節(jié)點設備都在運行合法的固件，因此這些設備可以按預期運行，不會因其功能的惡意變化而受到攻擊。

安全IC面臨的最大挑戰(zhàn)是抵御物理攻擊，如直接探測和所謂的側信道攻擊。

物理不可克隆功能(PUF)

不幸的是，通用微控制器中常用的存儲技術（即EEPROM或閃存）并不安全，因為直接檢測會試圖監(jiān)控微電路的內部結構。使用掃描電子顯微鏡（SEM），攻擊者可以直接監(jiān)控存儲器的內容，而無需高成本。為了降低這一風險，半導體行業(yè)開發(fā)了物理不可克隆功能（PUF）技術。PUF用于從微電路的固有物理屬性中導出唯一的密鑰。這些因芯片而異的屬性很難直接檢測，因此很難通過直接檢測提取生成的密鑰。在某些情況下，PUF派生密鑰加密信任根內存儲器的其余部分，以保護存儲在設備上的所有其他密鑰和憑證。

PUF技術可以降低微電路直接檢測的風險。

側信道攻擊的成本甚至更低，而且更具侵入性。這種攻擊使用了以下事實：電子電路經常通過電源、無線電或熱輻射泄漏處理數據的相關數字簽名。當電路使用密鑰解密數據時，通過測量信號和處理數據之間的微妙相關性，可以在適度和復雜的統(tǒng)計分析后成功地猜測密鑰的值。顯然，信任的根是為了使用各種對策來防止這些數據泄露而設計的。

毛刺攻擊是另一種非侵入性攻擊，其中攻擊者試圖利用這個機會破壞芯片的執(zhí)行流。這通常是通過在芯片的電源或其他引腳上注入電脈沖或通過電磁脈沖來實現(xiàn)的。這種毛刺會對微電路中的信號或寄存器值造成一定的內部損壞，并可能導致跳過授權和其他有害結果，允許不受控制地訪問應該受到限制的信息。同樣，信任根對此類漏洞也有明確的保護機制，如誤差檢測。

使用安全IC的應用示例。

如圖3所示，胰島素泵由控制設備遠程驅動，顯然顯示了基于硬件的信任根在此類安全應用中的優(yōu)勢。該應用程序存在明顯的安全風險，攻擊者可能會向胰島素泵發(fā)送流氓命令，從而威脅患者的生命。該系統(tǒng)中使用的協(xié)議是一個簡單的查詢/響應身份驗證協(xié)議：

1.為了準備發(fā)送命令，控制設備要求胰島素泵發(fā)出質詢。

2.胰島素泵采用隨機數R質詢請求者。

3.控制設備使用其私鑰簽署命令、隨機數R和一些固定填充。該操作由控制設備的信任根完成。

4.胰島素泵將驗證簽名是否正確，收到的隨機數是否與之前發(fā)出的隨機數相同，以避免無意義地重5.新發(fā)送有效命令。該操作由胰島素泵的信任根IC完成。

胰島素泵認證是信任根應用的簡化示例

除了每個命令都需要使用新的隨機數外，該協(xié)議的安全性還取決于控制設備在授權命令中使用的私鑰的保密性，以及胰島素泵中授權公鑰的完整性。如果這些密鑰存儲在普通的微控制器中，攻擊者可以提取或操作它們，并制造假的控制設備或泵。在這種情況下，信任根IC使得更難偽造儀表設備或泵、操作憑證或篡改通信協(xié)議。此外，驗證系統(tǒng)中不同設備運行的固件也是確保整體安全的關鍵。破解的胰島素泵固件可能通過傳入命令的驗證，并接受未經驗證的請求。

對于任何物聯(lián)網應用程序，只要其網絡節(jié)點采用遠程控制或測量和報告敏感值，就可以很容易地從上述應用程序轉移。

專用安全IC的優(yōu)點

一般來說，良好的節(jié)點設備設計將使攻擊者攻擊設備的成本遠高于潛在的回報?；谔厥獍踩?/span>IC的架構具有許多優(yōu)點：

物聯(lián)網安全是一場永無止境的戰(zhàn)斗。雖然各種攻擊手段不斷升級，但與此同時，安全IC供應商也在不斷加強對策，因此攻擊安全IC的成本仍然很高。升級安全IC可以提高網絡設備的安全性，對整體設備設計和成本影響不大。

將關鍵功能集中在與應用處理器分離的強大防篡改物理環(huán)境中，可以更容易地確保安全評估法律法規(guī)的合規(guī)性。這種隔離也使得攻擊者更難利用設備應用處理器中的漏洞，很難完全發(fā)現(xiàn)和消除。

如果供應商盡快調試安全IC，則更容易確保物聯(lián)網節(jié)點在其整個生命周期中的安全。使用此方法時，無需與合同制造商共享關鍵信息，可實現(xiàn)安全的個性化過程和OTA更新。重建和克隆也變得更加困難；由于安全IC無法克隆，物聯(lián)網節(jié)點設備無法克隆。

選擇合適的應用微控制器是一項艱巨的任務，因為我們必須找到特性、成本和上市時間之間的最佳平衡。最合適的微控制器可能沒有足夠的安全特性，因此使用外部垂直安全IC是最靈活、影響小的設備保護方法。

結論。

隨著合規(guī)要求的不斷加強和源源不斷的遠程大規(guī)模攻擊，必須注意暴露物聯(lián)網系統(tǒng)的安全性。典型的網絡系統(tǒng)中有許多組件，安全設計必須是第一步。雖然保護邊緣的物聯(lián)網節(jié)點并不是唯一的步驟，但它是非常必要的。