如何保證物聯網的安全

1   物聯網安全的重要性

物聯網系統領域涵蓋甚廣，涉及多種應用。在確保物聯網設備向云系統報告真實數據方面，安全功能起著關鍵的作用。例如，由于缺乏安全監管導致了Mirai 僵尸網絡攻擊事件的發生，黑客入侵了美國東北部閉路電視攝像監控系統的管理賬戶。黑客在攝像頭中安裝了惡意軟件，使攝像頭對互聯網中的目錄服務器發起了拒絕服務攻擊，從而導致美國大部分地區的網絡癱瘓數小時。

Imagination Technologies戰略業務拓展副總裁Marc Canel

物聯網市場中和安全相關的第一點也是最重要的一點就是在設備中加入信任根密鑰，以便它們能夠得到正確的身份驗證。設備的架構中需要包括一個基于信任根的安全啟動機制，使得只有已知代碼可以存在于設備中。

此外，無線更新機制對于修復系統漏洞和管理憑證及密鑰來說是必要的。在超大規模企業（hyper-scaler）、系統級芯片（SoC）供應商和設備制造商的支持下，諸如平臺安全架構（PSA）和ioXt 聯盟等各種行業計劃/組織正在推動物聯網市場中的安全要求標準化。

在設備執行環境中，安裝和定制設備對于成功且安全地啟用設備是很關鍵的：目前為止，大多數設備都是由技術人員手動安裝的，他們可能會出錯或者選擇容易猜出的密碼，就像Mirai 僵尸網絡事件中所反映的那樣。將設備安裝從手動過程轉向自動、標準、無線的機制是安全物聯網系統的一項關鍵要求。標準機構和超大規模企業已經意識到了這一設備安裝問題，他們正在國際互聯網工程任務組（IETF）和線上快速身份認證聯盟（FIDO）約定的框架內解決該問題。

2   安全發展的新動向

當前的行業發展趨勢是針對物聯網市場實現需求和安全架構的標準化。大多數攻擊類型是已知的：從中間人攻擊、緩沖區溢出攻擊等通信攻擊，到注入惡意軟件和病毒及邊信道攻擊。

防范這些攻擊的技術也是已知的，而且安全專家們對這些解決方案也已經很熟悉了。挑戰在于行業中的價值鏈和供應鏈如何傳播和采用這些安全解決方案。過去幾年中，整個行業都為解決方案的推廣和標準化付出了相當大的努力。

受監管的行業往往是首批采用安全技術和認證方案的行業。其他行業在針對安全問題采取措施之前，需要認識到其資產、產品和客戶所面臨的威脅。總的來說，在過去3~5 年里，人們已經認識到領先的技術公司，如超大規模企業、IP 開發商和系統級芯片供應商等，在向不同市場的客戶推廣標準化安全解決方案方面發揮了關鍵作用。

采用安全解決方案的主要挑戰和障礙仍然是垂直領域之間存在的市場碎片化問題。特別是在不受監管的市場中，安全一直是個商業問題，需要在資產保護效益和保護資產的技術與流程成本之間進行權衡。盡管已經有逐步成熟的安全解決方案標準化指南可以使用，但是物聯網市場中的業務經理仍必須對其領域中的安全問題按場景逐個進行評估，這進一步加劇了安全解決方案推廣過程中的碎片化問題。

3   對開發者帶來的挑戰

碎片化是硬件或軟件解決方案開發人員面臨的最大問題。由于缺乏一致的安全模型，應用開發者和所有者很難為其推出的服務開發一致的責任模型。

對于開發在其生態系統中適用的產品的設備供應商，超大規模企業會通過強制實施認證要求來解決上述碎片化問題。換言之，在設備供應商加(載超大規模企業的一款流行應用之前，

其設備需要按照超大規模企業的規定進行認證。

但是對于那些不屬于受監管市場（如公用事業）范疇或超大規模企業專有生態系統（如亞馬遜Alexa）的設備，開發人員就需要根據設備的底層技術來實現服務提供商的安全要求。標準會提供一個框架和一些指南，但是產品推出的具體細節和認證責任則需要開發人員、

服務提供商和設備制造商來一起協商確定。

4   Imagination的解決方案

Imagination 是一家全球領先的半導體知識產權（IP）提供商，我們的產品是提供給系統級芯片供應商的處理器設計IP，我們也在自己的產品中提供了標準化應用編程接口（API）方面的支持。

（本文來源于《電子產品世界》雜志2021年4月期）