安全性和隐私性至关重要
作者:恩智浦半导体高级安全系统架构师,Marc Vaucl ai r
家居、汽车、移动通信设备和支付系统中使用的 IoT (物联网)设备开始在健康保健和工业领域普及。这数十亿台互联设备(预计到2025年将有750亿台物联网设备)将成为黑客的首要目标。因此,我们不仅要努力构建物联网,还必须构建一个安全无忧的可信任的物联网。
最近一些众所周知的攻击(包括 Mi rai、Meltdown/Spectre、Roca、Heartbleed和Rowhammer)打击了人们对未来物联网的信心。这些攻击的潜在影响不但是经济上的,也可能危及生命,因为物联网设备不仅能感知环境,还能在环境中进行物理操作。例如:物联网设备可根据血糖仪的血糖浓度 测量 值作用于人体的胰岛素泵。
物联网挑战
数十亿台互联设备使人们面临着安全性和隐私性方面的严峻挑战。这些设备均配备了 传感器 和 致动器 :可作用于真实的物质世界。例如:“智能”胰岛素泵就是一种物联网设备,在满足特定条件的情况下,它可以在预先确定的特定范围内自主决定向患者体内注射胰岛素;在其他情况下,注射胰岛素的请求可能来自物联网网络中的监测器。如果黑客成功破坏了这些胰岛素泵的正常功能,结果将是致命的。必须通过安全性确保阻止黑客的恶意计划,而安全性是要确保无论黑客是否成功,任何故障都不会导致危及生命的情况出现;隐私性则确保不是每个人都可以公开访问这数十亿设备处理的数据。
另一个示例就是未来的 自动驾驶 汽车:如果黑客成功地远程控制了线控驱动功能,他们就能够在不恰当的时刻改变车辆的行驶方向。这些设备都是半自动化操作的。注册、配置和初始化之后,它们与终端用户之间的交互越少越好:这就是智能化物联网设备易用性体验的一部分。
因此,设备所感知的数据以及根据数据做出的决策都必须可靠。在设备的整个使用期限内都必须确保这一点。设备的使用期限是不可预测的,一些物联网设备可使用10年以上。黑客技术在不断改进;每天都会出现新的攻击。这些攻击如今覆盖了“本地”与“远程”以及“逻辑”与“物理”攻击矩阵的四个象限。
四象限安全威胁矩阵
本地攻击是通过实际接近设备来执行的,而远程攻击则以通过网络连接发送命令的方式来执行。通过执行本地攻击而获取的知识,可能导致发起未来的远程攻击。虽然开发远程攻击可能需要掌握大量专业知识,但它可以实现攻击自动化,由并不掌握技术的攻击者大规模执行。这意味着远程攻击是可扩展的。
远程攻击可能从一部设备发起,并在短时间内影响到数百万部目标设备。对设备、互联网服务或组织的逻辑攻击是通过利用系统中的弱点来执行的,此类弱点主要存在于软件中。它们的执行方式是访问标准 接口 ,包括有线和无线接口。逻辑攻击可以实现自动化,无需具备很多技术能力,即可大规模发起攻击。
物理攻击是在设备运行过程中,利用已知或习得的物理特征,突破关键的安全防线(例如:加密密钥),从而对设备发起黑客攻击。远程物理攻击是在软件中实现的,例如,在过去数年内,Rowhammer、Meltdown/Spectre、缓存攻击、电源域控制器远程攻击已经兴起。
这就是说,我们今天设计的设备预计已经能够承受未来10年以上的未知攻击。这是一项非常艰巨的挑战,也意味着,所有物联网设备都必须能够在其使用期限内执行安全认证更新。
安全无忧的可信物联网之路
从物联网转向安全无忧的信任互联网必须坚持以下原则:“通过设计确保数据安全性”、“通过设计确保人身安全”以及“通过设计确保隐私性”,这些相互配合便可实现“信任互联网”这个最终目标。
“通过设计确保数据安全性”意味着“安全性”是一种系统属性,它整合在系统的所有部件和子部件的所有特性之中。也就是说,从构想新物联网设备的“第一天”就考虑了“安全性”。安全性是以数据的机密性、完整性和真实性为基础,亦可用于数据的处理。这意味着,存在运行时监测、安全启动和安全更新等机制。此外,还存在可以发现攻击(记住,不存在100%安全的系统)并触发必要恢复机制的检测机制。
弹性是另一个安全支柱。这就是在此背景之下“通过设计确保人身安全”出现的原因所在。无论攻击者对设备或系统造成了多大的破坏,都必须确保设备或系统的运行不会造成生命或财产威胁。“通过设计确保数据安全性”和“通过设计确保人身安全”意味着,设备、系统或解决方案供应商必须通过外部 测试 实验室和认证机构来客观地评估所实现的安全性和安全水平。像恩智浦这样的公司都具有对适用于政府和支付解决方案的产品进行通用标准认证的经验。但物联网设备安全认证的前景正在发生变化:业界采用并认可的现有方案被认为不适用于新兴的物联网生态系统。为帮助提高行业标准,在GlobalPlatform®的支持下,恩智浦和STMicroelectronics等其他公司提议采用新认证计划——“物联网平台安全评估计划”(SESIP)。该认证不仅秉承了成熟可靠的通用标准方案的一些特性,还可以经济有效地应用于所有物联网设备。
“通过设计确保数据安全性”的另一个重要特性就是硬件和软件安全性都要考虑,因为很明显,目前并没有一种方法可实现基于软件的物联网安全性,能够满足当前和未来系统安全期望。
“通过设计确保隐私性”是指产品/系统/解决方案采用保护隐私的设计。除此之外,在强制性或适当的情况下,保证用户及其个人数据的匿名性和不可追溯性。“隐私性”开始备受关注:世界许多地方开始实施新法律法规,比如欧洲的GDPR。其目的是为了保护包括物联网设备在内的终端用户的隐私。
需要注意的是,所实现的安全性和隐私性必须与详细的风险和威胁分析结果相匹配。这些分析必须根据要保护的价值对附加功能的成本进行可靠评估。
交付和后续工作
交付安全和保护隐私的产品不仅仅要满足数据表上的核查清单,还要采用成熟可靠的方法来架构、设计、实现、 制造 、测试、供应和分配产品。此外,还必须进行产品生命终结管理。
仅仅销售“安全可靠的”产品已经不再可能了。透明性和安全事故快速响应团队必须对产品提供持续支持。
图2展示了恩智浦半导体的不同物联网架构方法。
图2中,通过组合多个功能级别不同的产品可实现安全性目标: MCU 周围的紧凑型节点预计具有安全启动和安全更新功能;MCU和MPU周围的边缘节点预计具有可靠的多核子系统(例如:高端汽车网关使用处理器集成车辆对基础设施通信(V2X));除篡改检测、软件和硬件隔离、硬件安全 存储 和硬件加密加速,预计还包括针对高端计算密集型移动设备的通信或多核应用程序处理功能。高端MCU和MPU的硬件防篡改安全特性可与安全性高的分立嵌入式安全元件互补。外部安全元件最好直接连接至传感器和致动器,以确保传感的真实性,且只有在命令是真实的情况下,才会操作致动器。图5为安全特性概述。
此外,基于 RFID 的 标记 产品有助于部署安全物流链,以防止仿冒和克隆。
在制造设备的设计导入阶段,还需要将信任配置服务和云加载服务集成到MCU和MPU中,这样不仅可以在非特定安全环境中进行设备开发,还可以将其集成至安全系统中。
图3为智能门 锁 的艺术效果图,而图4为确保其安全的架构草图。
嵌入式行业必须继续提高标准,并采用与行业标准和最佳实践一致的整体安全方法,从而推动信任互联网的发展。
关于作者
Marc Vauclair是恩智浦半导体公司的高级安全系统架构师,拥有超过35年的研发经验,主要负责嵌入式系统的创新安全架构。恩智浦为物联网、工业和汽车市场提供安全解决方案组合,并加入了安全标准化机构和联盟,以促进安全无忧的网络安全世界。