周志勝，周美秀

（1. ARM中國，深圳 518048；2.暨南大學(xué) 電子工程系，廣東 廣州 510632；3.暨南大學(xué)-ARM嵌入式與物聯(lián)網(wǎng)聯(lián)合實驗室，廣東 廣州510632）

0 引 言

萬物互聯(lián)時代悄然來臨，小至路由器、智能音箱、冰箱，大到汽車、工業(yè)設(shè)備，越來越多的物品都接入了互聯(lián)網(wǎng)，進(jìn)入了物聯(lián)網(wǎng)時代。市場研究機(jī)構(gòu)Gartner 預(yù)測，到2020 年，全球所使用的物聯(lián)網(wǎng)裝置數(shù)量將達(dá)210億個[1]。

然而，迅猛發(fā)展的物聯(lián)網(wǎng)在給人們帶來便利的同時，安全隱患也如影相隨，成為物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的一個痛點。2016年10月，一款名為Mirai的新型木馬后門通過控制大量DVR和網(wǎng)絡(luò)攝像頭，攻占了諸多物聯(lián)網(wǎng)設(shè)備，全球由其控制的終端機(jī)器達(dá)500萬以上[2]。2018年5月，第九屆中國（永康）國際門業(yè)博覽會上，有人使用一種特斯拉線圈制成的“小黑盒”連開了8家品牌商的智能鎖，最快的一把只用了3 s[3]。物聯(lián)網(wǎng)的安全問題比想象中的更加嚴(yán)重，其威脅正不斷上升。物聯(lián)網(wǎng)對安全提出了新的挑戰(zhàn)以及更高的預(yù)防要求，平臺、操作系統(tǒng)、通信系統(tǒng)甚至整個連接渠道都擔(dān)負(fù)有預(yù)防的責(zé)任。

國際針對物聯(lián)網(wǎng)安全的研究從2011 年起便迅速發(fā)展。這些研究的焦點集中在數(shù)據(jù)遠(yuǎn)程處理的安全性上，可根據(jù)物聯(lián)網(wǎng)的特點，提出在資源有限的嵌入式設(shè)備中引入輕量級安全加密元素，以構(gòu)建新的物聯(lián)網(wǎng)安全架構(gòu)[4]。國內(nèi)針對物聯(lián)網(wǎng)安全的研究與國際研究的時間同步，由于物聯(lián)網(wǎng)體系的多元異構(gòu)，難以建立起標(biāo)準(zhǔn)統(tǒng)一的安全保護(hù)體系，因此只能根據(jù)物聯(lián)網(wǎng)面臨的不同安全問題，采取不同的應(yīng)對措施，構(gòu)建混合多元的物聯(lián)網(wǎng)安全機(jī)制[5]。針對物聯(lián)網(wǎng)終端資源受限和數(shù)量巨大的影響，國內(nèi)許多研究者提出在物聯(lián)網(wǎng)感知層采用輕量級安全技術(shù)，節(jié)省存儲、運算和傳輸資源消耗，提高響應(yīng)速度，不過度追求高安全級別，而在資源受限的情況下提供適當(dāng)?shù)陌踩Ｗo(hù)[6]。在物聯(lián)網(wǎng)感知層，許多傳感器和嵌入式設(shè)備可被植入相對簡單的安全措施，如基于硬件的物理防復(fù)制功能和輕量級加密方法等，但這些安全手段普遍存在以下不足[7]：

（1）受制于終端設(shè)備較弱的計算能力和較小的存儲容量，安全運算耗時較多，服務(wù)請求響應(yīng)慢；

（2）終端設(shè)備能源供應(yīng)有限，耗能較大的加密方法很難正常完成；

（3）數(shù)據(jù)本地化處理較少，網(wǎng)絡(luò)流量壓力大。

可以看出，這些安全手段只能提供一定程度的安全保護(hù)，難以取得令人滿意的總體效果。并且由于物聯(lián)網(wǎng)的生態(tài)日益豐富，數(shù)以百計的芯片廠商進(jìn)入后，驅(qū)使物聯(lián)網(wǎng)市場建立統(tǒng)一的底層安全架構(gòu)與標(biāo)準(zhǔn)?，F(xiàn)有安全保護(hù)體系存在技術(shù)封閉、不全面、資源消耗大等缺點，因此需在物聯(lián)網(wǎng)安全領(lǐng)域建立針對物聯(lián)網(wǎng)平臺的專屬統(tǒng)一安全架構(gòu)，以應(yīng)對日益復(fù)雜的物聯(lián)網(wǎng)安全威脅。

1 物聯(lián)網(wǎng)安全問題及PSA平臺安全架構(gòu)

物聯(lián)網(wǎng)能夠通過互聯(lián)網(wǎng)連接數(shù)十億或數(shù)萬億的異構(gòu)對象，因此迫切需要靈活的分層架構(gòu)。物聯(lián)網(wǎng)基本模型包括應(yīng)用程序，網(wǎng)絡(luò)層和感知層。根據(jù)應(yīng)用場景不同，還有一些其他模型，如五層結(jié)構(gòu)、基于中間件的結(jié)構(gòu)、基于SOA的結(jié)構(gòu)等[8]。

2010年華為首先提出物聯(lián)網(wǎng)“云管端”的概念，把物聯(lián)網(wǎng)看成“云管端”一體化運營體系[9]。云是云服務(wù)，端是智能終端，管則是鏈接“云”和“端”之間的各種設(shè)備。與傳統(tǒng)模型相比，“云管端”架構(gòu)忽視了系統(tǒng)的功能而強調(diào)物理形態(tài)，更容易形成針對性分析，本文根據(jù)“云管端”架構(gòu)具體分析物聯(lián)網(wǎng)安全問題。

若想大規(guī)模部署物聯(lián)網(wǎng)，就必須構(gòu)建一個新的統(tǒng)一的安全模型。

基于此，ARM 于2017 年底發(fā)布了平臺安全架構(gòu)（Platform Security Architecture，PSA）。PSA是一個由威脅模型、安全分析以及硬件和固件規(guī)范組成的整體，它與開源參考實施共同幫助使用者在最低安全層面為所有互聯(lián)設(shè)備實現(xiàn)統(tǒng)一的安全設(shè)計[10-11]。PSA吸收并整合了行業(yè)的最佳實踐，其服務(wù)對象是整個物聯(lián)網(wǎng)生態(tài)系統(tǒng)，從芯片設(shè)計師、設(shè)備開發(fā)者到云和網(wǎng)絡(luò)基礎(chǔ)架構(gòu)提供商以及軟件供應(yīng)商。PSA提供了一種無需自行開發(fā)所有元件就能構(gòu)建安全系統(tǒng)的方法，可確保數(shù)十億設(shè)備的安全。PSA的結(jié)構(gòu)體系如圖1所示。

圖1 PSA的結(jié)構(gòu)體系

圖2 PSA的三個階段和四步模型

2 基于PSA的智慧零售物聯(lián)網(wǎng)安全平臺

以智慧零售行業(yè)為例，基于ARM PSA的原則搭建物聯(lián)網(wǎng)安全架構(gòu)。所謂智慧零售，就是運用互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)和人工智能等技術(shù)，構(gòu)建商品、用戶、支付等零售要素的數(shù)字化，采購、銷售、服務(wù)等零售運營的智能化，以更高的效率、更好的體驗為用戶提供商品和服務(wù)。例如，實行全產(chǎn)品電子價簽、布設(shè)多媒體電子貨架，利用互聯(lián)網(wǎng)、物聯(lián)網(wǎng)技術(shù)收集分析各種消費行為等。由于智慧零售領(lǐng)域物聯(lián)網(wǎng)設(shè)備的碎片化，每個具體產(chǎn)品的價值相對較低，導(dǎo)致廠家能夠投入到物聯(lián)網(wǎng)設(shè)備的研發(fā)資源和安全防護(hù)相對有限，在大批量部署物聯(lián)網(wǎng)設(shè)備時，容易被黑客抓住漏洞。ARM公司的PSA平臺可從源頭整合資源，在硬件和固件級別上同步進(jìn)行安全設(shè)計。

2.1 根據(jù)具體應(yīng)用分析安全威脅

PSA可助力企業(yè)利用物聯(lián)網(wǎng)技術(shù)構(gòu)建模塊開發(fā)和部署解決方案，從而將創(chuàng)新產(chǎn)品更快地推向市場，降低解決方案復(fù)雜性。PSA提供了一個基于行業(yè)最佳實踐的方案，即在硬件和固件級別上同步進(jìn)行安全設(shè)計，主要包括如下三部分：

（1）分析（Analyze），即充分理解風(fēng)險和威脅因素；

（2）創(chuàng)造軟件和硬件的架構(gòu)規(guī)范（Architect）；

（3）實施（Implementation），即幫助相關(guān)人員在實體環(huán)境中將其變成可能[12]。

針對物聯(lián)網(wǎng)相關(guān)標(biāo)準(zhǔn)，ARM PSA提出了四步模型[13]：

（1）針對設(shè)備的身份必須是唯一的；

（2）可信賴的已知啟動程序；

（3）如果發(fā)生任何潛在問題，都必須要實現(xiàn)軟件升級；

（4）基于證書的認(rèn)證，需確保與其實現(xiàn)通信的設(shè)備可信賴，并非偽造的虛假設(shè)備。

PSA將行業(yè)最佳實踐匯總成一整套架構(gòu)文件、安全分析和要求，并提供開源參考固件實現(xiàn)，以通過所有架構(gòu)、標(biāo)準(zhǔn)?？蛇x擇與生態(tài)系統(tǒng)伙伴合作，使得用戶能更快速、更安全、最大范圍地實現(xiàn)物聯(lián)網(wǎng)安全。PSA的三個階段和四步模型如圖2所示。

在PSA上，安全實施始于分析，即分析考慮需要保護(hù)的資產(chǎn)以及在此范圍內(nèi)應(yīng)當(dāng)顧及的威脅。以智慧零售的具體場景——智慧標(biāo)簽為例，智慧標(biāo)簽針對大商場和眾多生活便利店而設(shè)計，其目的是方便修改眾多商品的價格，并及時上傳到云端。消費者通過云端便可方便查詢具體商品的價格和優(yōu)惠。

智慧標(biāo)簽所要保護(hù)的資產(chǎn)主要包括商品名稱、價格以及折扣等，這些信息不牽涉?zhèn)€人隱私，但被攻擊后，攻擊者便能從網(wǎng)絡(luò)上隨意修改價格，或者造成服務(wù)器宕機(jī)導(dǎo)致消費者無法訪問，給店主造成一定的經(jīng)濟(jì)損失。由于這些智慧標(biāo)簽一般安裝于商場或便利店內(nèi)部，所以部署的環(huán)境較為安全；標(biāo)簽的作用在于顯示，無需直接與消費者交互，所以設(shè)備本身也較為安全?？紤]到標(biāo)簽數(shù)量眾多，在保證其使用、維護(hù)的方便性和安全性基礎(chǔ)上，智慧標(biāo)簽的成本也不可忽視。綜上所述，對智慧零售而言，主要應(yīng)防止網(wǎng)絡(luò)攻擊與克隆智慧標(biāo)簽和網(wǎng)關(guān)。

2.2 確定安全平臺的硬件安全基礎(chǔ)

2.2.1 確定TRNG 真隨機(jī)數(shù)產(chǎn)生器

密碼學(xué)算法是物聯(lián)網(wǎng)安全的核心。所有不同的密碼學(xué)算法-身份驗證、安全存儲加密，以及傳輸數(shù)據(jù)的加密都依賴于安全可信的真隨機(jī)數(shù)。通常軟件庫中的“random（）”函數(shù)就是一個Pseudo-Random Generation （PRNG）偽隨機(jī)數(shù)生成算法。因此，當(dāng)一個設(shè)備最早初始化時，首先需要初始化一個PRNG Seed（由于物聯(lián)網(wǎng)設(shè)備一般比較小巧、簡單，通常不具備足夠的硬件entropy源，所以需要從外部注入一個PRNG Seed）。從安全角度考慮，最好用硬件的TRNG生成組件，不僅可以實現(xiàn)PRNG的功能，還可以隨機(jī)產(chǎn)生初始化的PRNG Seed[14]。

2.2.2 確定硬件的信任根

通常物聯(lián)網(wǎng)設(shè)備上的敏感數(shù)據(jù)、用于加密設(shè)備和云端通信的密鑰，以及驗證固件更新簽名的密鑰都需要保護(hù)起來。比較流行的辦法是對它們進(jìn)行簽名和加密。簽名和加密的密鑰需要通過設(shè)備唯一的根密鑰獲取，即常說的硬件信任根。這樣的信任根通常由SoC/MCU廠家提供并且每個設(shè)備具有唯一的根信任。通常SoC/MCU在制造時就會產(chǎn)生并寫入芯片的防侵入、防篡改區(qū)域，如OTP。如果MCU無法提供這樣預(yù)先植入硬件信任根的方式，也可以在設(shè)備生產(chǎn)階段產(chǎn)生信任根并存到MCU的寫保護(hù)區(qū)域。

2.2.3 保護(hù)外部FLASH

多數(shù)物聯(lián)網(wǎng)設(shè)備會采用MCU內(nèi)部FLASH+一片更大外部FLASH的方式。由于外部FLASH比較容易被其他人訪問，為防止別人通過外部FLASH獲取重要信息或者進(jìn)行攻擊，存儲在外部FLASH上的數(shù)據(jù)和固件必須經(jīng)過存儲在MCU內(nèi)部的密鑰進(jìn)行簽名和加密。一種比較流行的方式是在外置FLASH上使用加密文件系統(tǒng)。

2.2.4 保護(hù)調(diào)試和工廠接口

許多嵌入式設(shè)備有用于工廠生產(chǎn)或者現(xiàn)場維護(hù)的硬件接口，如JTAG或USB。這些接口在設(shè)備的運輸過程中或者部署后，比較容易成為黑客攻擊的目標(biāo)。建議完成工廠測試流程后把這些工廠生產(chǎn)或者調(diào)試的接口從物理上移除或者封起來。若不能移除（設(shè)備需要保留在現(xiàn)場或者保留返回工廠做維護(hù)的接口），則需要設(shè)置相應(yīng)的授權(quán)才能允許訪問這些接口，以保證只有正式授權(quán)過的工廠人員或者維護(hù)人員才能訪問該設(shè)備，并對設(shè)備進(jìn)行現(xiàn)場維護(hù)等。用于做調(diào)試或者維護(hù)接口認(rèn)證的密鑰需要能夠通過空中升級更新，方便在該密鑰被泄露時能被及時更換。

2.3 確定安全平臺的系統(tǒng)架構(gòu)

依照PSA從端、管、云三個層面入手設(shè)計安全解決方案。根據(jù)上述分析，此處的智能零售系統(tǒng)需通過網(wǎng)關(guān)上云，所以安全保護(hù)圍繞網(wǎng)關(guān)展開。終端具有移動化、微型化特征，包括攝像頭、傳感器及其他智能設(shè)備等，在網(wǎng)關(guān)加密后，通過運營商2G/3G/4G網(wǎng)絡(luò)、寬帶、WiFi等進(jìn)行數(shù)據(jù)傳輸，向物聯(lián)網(wǎng)應(yīng)用、服務(wù)提供者提供統(tǒng)一的設(shè)備管理云平臺，進(jìn)行集中的數(shù)據(jù)分析、存儲，以及數(shù)據(jù)的使用和挖掘。系統(tǒng)架構(gòu)如圖3所示。

2.3.1 設(shè)備端的安全

（1）通過硬件的信任根還可以實現(xiàn)安全啟動和安全存儲。在國際標(biāo)準(zhǔn)的UEFI 2.3.1 Errata C后都有定義安全啟動的協(xié)議。主要是通過阻止那些沒有被信任根簽名的固件和OS啟動，以保證設(shè)備上運行的軟件都已經(jīng)過正式授權(quán)，避免被惡意刷機(jī)和空中升級成非授權(quán)軟件。

（2）通過保護(hù)外部FLASH，接口加密防止采用物理設(shè)備的訪問方式來獲取密鑰，或進(jìn)行設(shè)備克隆等攻擊。

（3）網(wǎng)關(guān)和智慧標(biāo)簽之間通過AES加密，借助完善的設(shè)備錄入網(wǎng)關(guān)機(jī)制保障末端無線通信的安全。

圖3 智能零售系統(tǒng)架構(gòu)圖

2.3.2 通信的安全

網(wǎng)關(guān)通過TRNG，獨立信任根+ Mbed TLS確保網(wǎng)關(guān)和設(shè)備管理云的通信安全。ARM Mbed TLS使開發(fā)人員可以非常輕松地在嵌入式產(chǎn)品中加入加密和SSL/TLS功能。它提供了直觀的API和可讀源代碼SSL庫，可在大部分系統(tǒng)上直接構(gòu)建，也可以手動選擇配置各項功能。Mbed TLS庫提供了一組可單獨使用和編譯的加密組件，也可以使用單個配置頭文件加入或排除這些組件，以防止中間人攻擊、網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽、回播攻擊等。其中Mbed TLS可實現(xiàn)如下核心功能[15]：

（1）SSL/TLS的加密通信；

（2）TCP/IP 通信 ；

（3）數(shù)據(jù)加解密；

（4）密鑰交貨協(xié)議；

（5）X.509證書的解析、生成和驗證；

（6）哈希/HMAC的生成；

（7）隨機(jī)數(shù)的產(chǎn)生。

2.3.3 云端的安全

云端支持安全的證書分發(fā)，給每個網(wǎng)關(guān)分發(fā)不同的安全根證書，在工廠生產(chǎn)階段植入到網(wǎng)關(guān)設(shè)備中。設(shè)備日常運行時，支持FOTA（安全固件升級功能），可以隨時通過云端更新設(shè)備的固件，解決可能存在的安全隱患。

2.4 確定安全平臺的硬件選型

在需要部署數(shù)萬個智慧標(biāo)簽的情況下（如大型商場等），可以選擇基于ARM Cortex-A，帶TrustZone的網(wǎng)關(guān)設(shè)備。智慧標(biāo)簽可選擇基于ARM Cortex-M0的低功耗MCU，RF433，ZigBee等近距離無線通信技術(shù)。

在只需要部署幾十或數(shù)百個智慧標(biāo)簽的情況下（如便利店等），可選擇基于ARM Cortex-M4或Cortex-M33（帶TrustZone V8-M）的MCU做網(wǎng)關(guān)設(shè)備。智慧標(biāo)簽同樣可以選擇基于ARM Cortex-M0的低功耗MCU，RF433，ZigBee等近距離無線通信技術(shù)。

2.5 PSA安全評估

確保了端到云的雙向安全問題后，零售商可以方便、安全地安裝眾多傳感器獲取用戶的消費行為信息，實時把商品價格下發(fā)到不同的門店。最重要的是，設(shè)備和云端完全互信，可從物聯(lián)網(wǎng)的網(wǎng)絡(luò)端和云端出發(fā)建立端、管、云的安全防護(hù)體系。以智慧零售行業(yè)為例，具體措施見表1所列。

2.6.1 設(shè)備安全訪問管理

基于IETF ACE 標(biāo)準(zhǔn)的設(shè)備安全訪問可以解決設(shè)備后期維護(hù)的安全問題。之前的設(shè)備維護(hù)大多通過輸入用戶名和驗證密碼的方式進(jìn)行。如果維護(hù)人員需要維護(hù)某些設(shè)備，那么廠家便會把相應(yīng)設(shè)備的用戶名和密碼告訴該維護(hù)人員。隨著需維護(hù)的設(shè)備逐漸增多，大量設(shè)備的用戶名和密碼會被不同的維護(hù)人員知悉，且隨著維護(hù)人員的流動，這些用戶名和密碼有可能泄露，被特定人員作為攻擊的工具使用。在搭建基于PSA的安全架構(gòu)平臺后，可以基于IETF ACE靈活定義維護(hù)人員的權(quán)限，如哪個維護(hù)人員、什么時間段、對具體哪個物聯(lián)網(wǎng)設(shè)備進(jìn)行維護(hù)與哪種行為的維護(hù)。時間過期后，該維護(hù)人員就會自動失去對此物聯(lián)網(wǎng)設(shè)備的訪問權(quán)限，或者云端可以主動撤銷一些維護(hù)

2.6 PSA安全擴(kuò)展服務(wù)

人員的權(quán)限，避免出現(xiàn)因維護(hù)設(shè)備而泄露設(shè)備訪問信息的情況。

2.6.2 網(wǎng)關(guān)本身的設(shè)備管理

之前如果網(wǎng)關(guān)有故障，就需要廠家派人員到現(xiàn)場調(diào)試維修，對于部分無法當(dāng)場解決的問題，甚至?xí)蟮絿饨鉀Q后寄回國內(nèi)替換，耗時長達(dá)數(shù)周或數(shù)月。借助PSA安全架構(gòu)平臺，基于網(wǎng)關(guān)和物聯(lián)網(wǎng)云之間的安全互信，商家可以把網(wǎng)關(guān)上所有的配置信息保存到云端。在網(wǎng)關(guān)設(shè)備本身出現(xiàn)異常或者設(shè)備故障時，可以迅速通過更換新網(wǎng)關(guān)，從云端下載配置信息到新網(wǎng)關(guān)來大大降低系統(tǒng)的維護(hù)時間。

3 結(jié) 語

隨著物聯(lián)網(wǎng)的蓬勃發(fā)展，安全問題愈加突出，本文基于“云管端”架構(gòu)分析了物聯(lián)網(wǎng)存在的主要安全問題和當(dāng)前安全防護(hù)的不足。由于物聯(lián)網(wǎng)設(shè)備的多樣性及接口的不統(tǒng)一，ARM發(fā)布了PSA物聯(lián)網(wǎng)安全平臺，為所有互聯(lián)設(shè)備實現(xiàn)統(tǒng)一的安全設(shè)計。本文以智慧零售行業(yè)為例，基于PSA的原則搭建了物聯(lián)網(wǎng)安全架構(gòu)，形成較為完善的智慧零售物聯(lián)網(wǎng)安全解決方案。通過這幾年的推廣和實踐，PSA也被越來越多的芯片廠家、模組廠家、云廠家所接受。PSA的目的是建立行業(yè)標(biāo)準(zhǔn)，與生態(tài)系統(tǒng)合作伙伴一起，方便用戶更快、更安全、最大規(guī)范地實現(xiàn)物聯(lián)網(wǎng)安全，實現(xiàn)客戶和商家價值共贏。

表1 PSA智能零售系統(tǒng)防護(hù)措施表