本刊編輯部
?
物聯(lián)網(wǎng)避不開(kāi)的安全難題,該如何應(yīng)對(duì)?
本刊編輯部
引言
在美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)主辦的PrivacyCon大會(huì)上,有研究人員指出,許多智能設(shè)備沒(méi)有對(duì)用戶的隱私信息進(jìn)行加密,因此物聯(lián)網(wǎng)并沒(méi)有外界想象中那么安全,例如Nest智能恒溫器會(huì)以明文的形式泄露用戶信息。以明文的形式傳輸數(shù)據(jù),本身并沒(méi)有太大問(wèn)題,但這意味著,處于同一個(gè)ISP(互聯(lián)網(wǎng)服務(wù)提供商)網(wǎng)絡(luò)內(nèi)的黑客可以很容易地竊取用戶信息。此外,該研究人員還對(duì)其他設(shè)備進(jìn)行了研究,發(fā)現(xiàn)一款智能數(shù)碼相框會(huì)以無(wú)加密的形式與互聯(lián)網(wǎng)通信,還有一款智能音箱會(huì)泄露傳感器信息,黑客可以利用這一信息判斷用戶是否在家。
看到這里,是否會(huì)對(duì)物聯(lián)網(wǎng)描述的美好未來(lái)不寒而栗?原來(lái)聯(lián)網(wǎng)的設(shè)備越多,我們的安全越難保證!科技發(fā)展到現(xiàn)在,因噎廢食的做法肯定是不會(huì)被采納的,辦法總比問(wèn)題多,一起看看業(yè)內(nèi)公司是如何為物聯(lián)網(wǎng)安全保駕護(hù)航的!
業(yè)界聲音
ARM的TrustZone 技術(shù)打造物聯(lián)網(wǎng)安全硬件
現(xiàn)在,大多數(shù)的MCU都已經(jīng)采用ARM 架構(gòu),而MCU又是物聯(lián)網(wǎng)的心臟,所以ARM對(duì)于物聯(lián)網(wǎng)的安全問(wèn)題很早就進(jìn)行了考慮。
基于ARM Cortex-A核的處理器芯片,應(yīng)用于手機(jī)、平板電腦、數(shù)字電視以及其他智能互聯(lián)設(shè)備,這些設(shè)備越來(lái)越多地用于訪問(wèn)云服務(wù)以及一些高價(jià)值應(yīng)用(如支付和企業(yè)/政府信息處理等)。為防止系統(tǒng)資源受到攻擊,ARM 平臺(tái)組合使用了多種技術(shù):Cortex核的hypervisor模式、基于TrustZone 的TEE、防篡改安全處理器,以及通過(guò)ARM SecurCore處理器IP 進(jìn)行保護(hù)的安全要件。這種多層面或區(qū)域化的方法提升了整體系統(tǒng)的安全性,并且提供超越操作系統(tǒng)并拓展至移動(dòng)設(shè)備內(nèi)各種不同資源的適當(dāng)保護(hù)級(jí)別。
基于TrustZone的TEE旨在以更低的成本向市場(chǎng)提供增強(qiáng)的安全性,抵御軟件攻擊和常見(jiàn)硬件攻擊(即所謂的shack攻擊),其架構(gòu)在通用環(huán)境(操作系統(tǒng)和應(yīng)用程序)和隱蔽的安全環(huán)境之間提供隔離,尤其在安全環(huán)境里能夠?qū)崿F(xiàn)諸如加密、密鑰管理和完整性檢查等敏感操作。它已成為設(shè)備制造商的重要硬件安全層,這些制造商一直對(duì)此進(jìn)行開(kāi)發(fā)和標(biāo)準(zhǔn)化,以保護(hù)寶貴的系統(tǒng)資源。TEE由GlobalPlatform進(jìn)行了標(biāo)準(zhǔn)化,創(chuàng)建了合規(guī)與認(rèn)證計(jì)劃,這樣獨(dú)立測(cè)試實(shí)驗(yàn)室可以檢查各種平臺(tái)是否能抵御防護(hù)配置文件中識(shí)別的威脅。
安全性像一條鏈子,其中的每一個(gè)環(huán)節(jié)都與安全息息相關(guān)。第一個(gè)重要的環(huán)節(jié)就是安全硬件,它可通過(guò)TrustZone技術(shù)把通用的執(zhí)行環(huán)境隔離,創(chuàng)建可信啟動(dòng)(trusted boot)的環(huán)境??尚艈?dòng)在啟動(dòng)通用環(huán)境操作系統(tǒng)之前初始化可信操作系統(tǒng)及TEE,建立TEE之后,可以配置FIDO 可信應(yīng)用,負(fù)責(zé)管理密鑰資料、密碼和其他敏感操作。
英飛凌的安全芯片為智能照明加把鎖
智能家居應(yīng)用中,照明系統(tǒng)聯(lián)網(wǎng)已經(jīng)非常普遍,用戶享受便利的同時(shí),很少會(huì)考慮安全性的問(wèn)題。但是正如英飛凌北美區(qū)嵌入式安全產(chǎn)品營(yíng)銷(xiāo)和業(yè)務(wù)拓展經(jīng)理Michael Armentrout所言,其實(shí)聯(lián)網(wǎng)的照明系統(tǒng)可以成為入侵整個(gè)智能家居或樓宇自動(dòng)化系統(tǒng)的一個(gè)入口。
門(mén)鎖和安全攝像頭等聯(lián)網(wǎng)的安全設(shè)備,需要能很好地防范黑客攻擊,這是常識(shí)。但事實(shí)上,如果黑客想要訪問(wèn)家庭網(wǎng)絡(luò),那么接入智能家居或樓宇自動(dòng)化網(wǎng)絡(luò)的任何終端都會(huì)成為訪問(wèn)該網(wǎng)絡(luò)的一個(gè)途徑,所以像聯(lián)網(wǎng)燈具這樣看似無(wú)害的終端,同樣可能使黑客有機(jī)會(huì)入侵系統(tǒng),這好比是將防盜門(mén)的鑰匙放在門(mén)墊下。一旦黑客訪問(wèn)到相關(guān)網(wǎng)絡(luò),那么對(duì)隱私、個(gè)人財(cái)產(chǎn)和身份的潛在損害可能是毀滅性的。
越來(lái)越多的人認(rèn)識(shí)到這一薄弱環(huán)節(jié),推出面向聯(lián)網(wǎng)終端的更高安全標(biāo)準(zhǔn)的愿望也愈加強(qiáng)烈,而僅網(wǎng)絡(luò)級(jí)安全協(xié)議無(wú)法有效保護(hù)系統(tǒng)的完整性,必須從每個(gè)設(shè)備著手解決安全問(wèn)題。
聯(lián)網(wǎng)的燈具是一種零售商品,這使得攻擊者很容易對(duì)其進(jìn)行物理分析并找出其安全薄弱環(huán)節(jié)(譬如,如果加密密鑰和安全軟件存儲(chǔ)于標(biāo)準(zhǔn)MCU未受保護(hù)的內(nèi)存,就可以很容易找到一種方式進(jìn)入系統(tǒng))。要想有效確保安全,需要依靠專用的防篡改安全設(shè)備,比如安全微控制器,這類(lèi)控制器能安全存儲(chǔ)網(wǎng)絡(luò)密碼和認(rèn)證密鑰,并為安全功能提供一個(gè)隔離環(huán)境。設(shè)計(jì)合理的安全芯片能保護(hù)聯(lián)網(wǎng)終端,防止遠(yuǎn)程攻擊和物理攻擊,使網(wǎng)絡(luò)的每個(gè)節(jié)點(diǎn)都能成為對(duì)抗黑客攻擊的有效屏障。
英飛凌可以提供經(jīng)過(guò)驗(yàn)證、性價(jià)比高的安全I(xiàn)C,每年有超過(guò)30億顆安全控制器被嵌入支付卡。在哪怕最簡(jiǎn)單的智能照明系統(tǒng)中系統(tǒng)化地使用硬件安全裝置,也可以有效防止黑客輕松入侵網(wǎng)絡(luò),避免可能造成的破壞性后果。
Silicon Labs的Gecko微控制器增強(qiáng)IoT節(jié)點(diǎn)安全
Silicon Labs物聯(lián)網(wǎng)產(chǎn)品營(yíng)銷(xiāo)副總裁Daniel Cooley表示:“IoT開(kāi)發(fā)人員正在尋覓的,不僅僅是用來(lái)延長(zhǎng)可連接設(shè)備電池使用壽命的先進(jìn)電源管理架構(gòu),還包括用來(lái)幫助增強(qiáng)IoT節(jié)點(diǎn)應(yīng)用安全的新一代加密技術(shù)。隨著可連接設(shè)備面臨的安全威脅日益增長(zhǎng),開(kāi)發(fā)人員必須通過(guò)領(lǐng)先的硬件加密技術(shù)來(lái)保護(hù)他們的IoT產(chǎn)品?!?/p>
為此,Silicon Labs針對(duì)物聯(lián)網(wǎng)應(yīng)用發(fā)布了Gecko技術(shù),并推出了兩大新型EFM32 Gecko MCU系列產(chǎn)品,使安全和能源管理技術(shù)得到了進(jìn)一步提升。新型Jade 和Pearl Gecko MCU具有先進(jìn)的硬件加密引擎、靈活的低功耗模式、片上DC-DC轉(zhuǎn)換器和可擴(kuò)展的存儲(chǔ)器容量選項(xiàng),并且獲得了Silicon Labs的Simplicity Studio工具的全面支持。EFM32 Jade和Pearl Gecko MCU主要面向能源敏感和電池供電的應(yīng)用產(chǎn)品設(shè)計(jì),包括可穿戴健身追蹤器、智能門(mén)鎖、零售終端設(shè)備、安全傳感器和其他IoT節(jié)點(diǎn)應(yīng)用等。
新型MCU具有硬件加密引擎,這使得它能夠?yàn)榛ヂ?lián)網(wǎng)安全協(xié)議(例如TLS/SSL)提供快速、高能效、自治化的加解密操作,同時(shí)最小化CPU參與度,不會(huì)犧牲電池使用壽命。片上加解密加速器支持高級(jí)邏輯算法,例如帶有128位或256位密鑰的AES、橢圓曲線加密(ECC)、SHA-1和SHA-224/256。硬件加密技術(shù)使開(kāi)發(fā)人員獲得了比傳統(tǒng)軟件加密技術(shù)更高的效率,從而滿足不斷發(fā)展的IoT安全需求。
意法半導(dǎo)體無(wú)線用戶身份驗(yàn)證技術(shù)平臺(tái)提升物聯(lián)網(wǎng)安全
意法半導(dǎo)體與ClevX攜手推出具備藍(lán)牙智能無(wú)線用戶驗(yàn)證功能的DataLock安全加密便攜存儲(chǔ)設(shè)備。用戶可以通過(guò)智能手機(jī)或穿戴式裝置與便攜式安全存儲(chǔ)器(全硬盤(pán)、XTS-AES 256位加密)傳輸數(shù)據(jù),將全部用戶數(shù)據(jù)保存在存儲(chǔ)器內(nèi),并使用單一要素或多要素身份驗(yàn)證方法加鎖/解鎖。此項(xiàng)技術(shù)特別適合消費(fèi)者、企業(yè)和工業(yè)自動(dòng)化的數(shù)據(jù)存儲(chǔ)應(yīng)用,例如醫(yī)療保健服務(wù)、家庭自動(dòng)化及安保系統(tǒng)、安全門(mén)禁系統(tǒng)和便攜存儲(chǔ)器。
意法半導(dǎo)體美洲區(qū)市場(chǎng)副總裁Luca Difalco表示:“物聯(lián)網(wǎng)應(yīng)用的身份驗(yàn)證需要具備安全、便利與便攜的特性,ClevX DataLock藍(lán)牙安全便攜存儲(chǔ)器在一個(gè)使用簡(jiǎn)便的硬件加密U盤(pán)上展示了該解決方案的特性,其簡(jiǎn)單、智能且功能豐富,該應(yīng)用可以加到我們的BlueNRG產(chǎn)品內(nèi),通過(guò)智能藍(lán)牙技術(shù)提供數(shù)據(jù)鎖保護(hù)功能?!?/p>
此參考設(shè)計(jì)與主機(jī)操作系統(tǒng)無(wú)關(guān),內(nèi)置DataLock藍(lán)牙技術(shù)的U盤(pán)支持所有計(jì)算機(jī)平臺(tái)和嵌入式系統(tǒng),同時(shí)提供各種易用的安全層(包括無(wú)線上鎖/解鎖機(jī)制、以手機(jī)為身份驗(yàn)證因素、手機(jī)+PIN或手機(jī)+PIN+用戶ID/位置/時(shí)間多要素驗(yàn)證)。參考設(shè)計(jì)支持USB遠(yuǎn)程管理,對(duì)于企業(yè)部署、遠(yuǎn)程密碼重置、磁盤(pán)禁用和擦除、成功執(zhí)行公司政策至關(guān)重要。
賽普拉斯Bluetooth 4.2解決方案提高物聯(lián)網(wǎng)安全
賽普拉斯半導(dǎo)體的單模PSoC 4 BLE可編程片上系統(tǒng)和PRoC BLE可編程片上射頻系統(tǒng)解決方案獲得全功能Bluetooth 4.2認(rèn)證,該認(rèn)證將為物聯(lián)網(wǎng)帶來(lái)3個(gè)關(guān)鍵好處:數(shù)據(jù)長(zhǎng)度擴(kuò)展—最大數(shù)據(jù)傳輸速率可達(dá)800 kbps,與Bluetooth 4.1相比,速度提高了2.5倍;BLE隱私—隱私保護(hù)得到升級(jí),允許用戶指定受信的傳輸源,防止被追蹤;BLE安全連接—增強(qiáng)了用戶建立連接時(shí)的安全性,避免遭到竊聽(tīng)攻擊。這些功能使得賽普拉斯的BLE解決方案可以用于更廣泛的物聯(lián)網(wǎng)應(yīng)用。
賽普拉斯無(wú)線產(chǎn)品線副總裁Eran Sandhaus表示:“PSoC 4 BLE和PRoC BLE具備了Bluetooth 4.2功能,使客戶能夠創(chuàng)造出更快、更智能以及更安全的產(chǎn)品。Bluetooth 4.2解決方案允許更高的數(shù)據(jù)吞吐量,讓OEM廠家能夠開(kāi)發(fā)出更多新功能,比如通過(guò)BLE實(shí)現(xiàn)多通道音頻傳輸,這既保證了醫(yī)療和可穿戴設(shè)備用戶的隱私性,又真正實(shí)現(xiàn)了安全鎖和安全支付等物聯(lián)網(wǎng)應(yīng)用的安全性?!?/p>
PRoC BLE是一款低功耗藍(lán)牙智能微處理器,集成了賽普拉斯CapSense電容式觸摸感應(yīng)功能,而PSoC 4 BLE通過(guò)增加智能化模擬以及可簡(jiǎn)化傳感器和執(zhí)行器集成的可編程數(shù)字模塊,提高了設(shè)計(jì)的靈活性。這兩項(xiàng)解決方案均集成了智能藍(lán)牙射頻、超低功耗的高性能32位ARM Cortex-M0內(nèi)核、256 KB閃存、32 KB的SRAM、直接內(nèi)存訪問(wèn)(DMA)功能、36個(gè)GPIO,以及可定制的串行通信模塊、計(jì)時(shí)器和計(jì)數(shù)器。使用這兩項(xiàng)解決方案進(jìn)行設(shè)計(jì)的客戶可以引用賽普拉斯資質(zhì)認(rèn)證編號(hào)申請(qǐng),為其產(chǎn)品加上藍(lán)牙標(biāo)志。
編輯視角
幾年之前,業(yè)內(nèi)就在探討物聯(lián)網(wǎng),發(fā)展至今,在某些生活場(chǎng)景中,我們確實(shí)真切感受到了物聯(lián)網(wǎng)帶來(lái)的便利,但是與此同時(shí),也越來(lái)越?jīng)]有安全感?;ヂ?lián)網(wǎng)讓所有人可以帶著面具遨游網(wǎng)絡(luò),在一定程度上,人具有一定的辨別能力,而物聯(lián)網(wǎng)讓所有物都進(jìn)入網(wǎng)絡(luò),數(shù)以億計(jì)的沒(méi)有主觀判斷能力的物涌入網(wǎng)絡(luò),如果沒(méi)有底層的安全保障機(jī)制,一旦發(fā)生安全問(wèn)題,后果將不堪設(shè)想。
作為“物”的擁有者,是否愿意讓網(wǎng)絡(luò)收集自己的一些私人數(shù)據(jù),以及如何保證這些數(shù)據(jù)不被非法利用,是物聯(lián)網(wǎng)拋開(kāi)技術(shù)因素之外需要考慮的重中之重。物聯(lián)網(wǎng)為我們勾畫(huà)的是一個(gè)更方便、更智能、更人性化的時(shí)代,但是在這場(chǎng)便利與安全的博弈中,只有讓消費(fèi)者感覺(jué)到自己并不是被動(dòng)的一方、對(duì)安全問(wèn)題不再心存顧慮,物聯(lián)網(wǎng)發(fā)展才能迎來(lái)真正的春天!