浅析物联网设备面（miàn）临的安（ān）全问题

众所周知，物联（lián）网（IoT）设备预（yù）计将无处不在。这（zhè）些由半导体驱动的设（shè）备将推动每一（yī）个可想象（xiàng）的过程（chéng）实现智（zhì）能化。从简（jiǎn）单的开灯到门诊（zhěn）护理或工（gōng）厂控（kòng）制等更复杂的（de）过程，通过传感、处理和云连接，物联网设备将大（dà）幅提高工作效率（lǜ）。应用场景（jǐng）多种多样，它们的发展（zhǎn）前（qián）景和影响力也将不可（kě）估量。

保护物联网设备的（de）想法可能令人望而生（shēng）畏（wèi）。初步研究（jiū）很快揭示了有关密码学、威胁、安全目标和其他几个主题的大量知识。面对铺天盖（gài）地的信息，物（wù）联网（wǎng）设备设计人员通常会问的第（dì）一个问题是（shì）：“我（wǒ）如何判断所需安全性要达到哪种水平？”，紧（jǐn）接着是“我该（gāi）从哪里入手？”

Arm提供（gòng）了平（píng）台安全架构（PSA），帮助设计人员快速（sù）入门。通过利用PSA的一整套（tào）威胁模型和安全性分析、硬件和固件架构（gòu）规范以及可信固（gù）件M参考实现，物联网设计师能（néng）够快速且轻松地实（shí）现安全设计。

通过（guò）使用双（shuāng）Arm Cortex®-M内（nèi）核，结合可配（pèi）置的内存和外设保护单元，赛（sài）普（pǔ）拉斯PSoC 6 MCU实现（xiàn）了PSA定（dìng）义（yì）的最高（gāo）保护级（jí）别。本文将PSA网络摄像头威胁模型（xíng）和安全性分（fèn）析（TMSA）应用于（yú）PSoC 6 MCU，演示（shì）如何针对网络摄像（xiàng）头应（yīng）用进行安全（quán）性评估。任何（hé）攻击的（de）目（mù）标（biāo）都是获取物联网（wǎng）设备的数据并以某种（zhǒng）方式加以利用。如图1所示，分析过（guò）程的（de）第一步是识别（bié）物联网设备处理的数据资产及（jí）其安全属性。

接下来的步骤是（shì）识别针对这些资产的威胁，定义抵御这（zhè）些威胁的（de）安全（quán）目标，并确定需求以满足安全目（mù）标。通过满（mǎn）足这（zhè）些要求，基于微控制器的设计可为（wéi）安全目标（biāo）提供支持，并（bìng）最（zuì）终保留资产的安全属（shǔ）性。最后，应该对设计进行（háng）评估，以判定设计是否达（dá）到安全目标（biāo）。通（tōng）常情况下，这类评估会利用应（yīng）用（yòng）于设计的（de）威胁模型来（lái）评估设备（bèi）的攻击（jī）防御能力。

完整性要求数据资（zī）产在（zài）使用或传输（shū）时（shí）保持不变。完整性通常与（yǔ）建立引（yǐn）用的数据（如启动固件）相（xiàng）关联。启动固（gù）件确保（bǎo）MCU配置为应用可执（zhí）行的已知初（chū）始状态。对启动固（gù）件进（jìn）行更改可能会影响该初（chū）始（shǐ）状态（tài），并存在操作或（huò）安全风险。

真实性要求只有（yǒu）受信任的参与者才能建立数（shù）据资（zī）产的当前状态。当与（yǔ）完整性相（xiàng）结合时（shí），真实性便（biàn）能够建立信任，因此它是安全物联网（wǎng）设备的关键基（jī）石（shí）。在先前（qián）的启动（dòng）固件示例中，数字（zì）签名可用于在升级（jí）固件时对真实性和完整（zhěng）性进行评估，以确保仅使用可（kě）信固件。全面识别物联网（wǎng）设备中的数据资产至关重要，因为（wéi）每（měi）个后续步骤（zhòu）都依赖于此（cǐ）步骤。举例来说，网络（luò）摄（shè）像（xiàng）头（tóu）将具备以下数（shù）据（jù）资（zī）产（chǎn）：

威胁旨在破坏数（shù）据资（zī）产的安全属性并将其用（yòng）于未经授权的目（mù）的（de）。为了识别威胁，必须对物联网设备中数据（jù）的使用进行评估。例如，证书可用于访问物联网设备的网络（luò）。如果证（zhèng）书的机密（mì）性受到损害，则未（wèi）经（jīng）授权的参与者就可以使用它们来访（fǎng）问网络（luò）。这（zhè）种攻（gōng）击称为冒充攻击（jī）。通过系统地（dì）评估每种（zhǒng）数据（jù），可以创建潜在威胁列表。

通过（guò）识别威（wēi）胁，可以（yǐ）定义安全目（mù）标。安全目标是在应用（yòng）级（jí）别定义的（de），本质上提供了实现需求。一些安（ān）全目标（biāo）可以作为可信应用（yòng）（TA）实现，它们在安（ān）全的MCU提供的隔离执行环境（jìng）中执（zhí）行。隔（gé）离（lí）执行环境全（quán）面（miàn）保护TA及其使用/处（chù）理的数据。物联网（wǎng）设备应用（yòng）本身在不安全的执行环境中运行，并通（tōng）过使用处理（lǐ）器间通信（IPC）通道的API与隔离执行环境（jìng）中的TA进行通信。TA则利用硬件中的（de）可用（yòng）资源（如加密加速器和安全内存）来为目标（biāo）提供支持。

访问控制：物联网（wǎng）设备对试（shì）图访问数据资产（chǎn）的所有参与者（人或机器）进行身份验证。防止在未经（jīng）授权的情况下访问数据。防（fáng）御欺（qī）骗和恶意（yì）软件威胁，即攻（gōng）击者对固件进行修改（gǎi）或安（ān）装过时的缺陷版本。安（ān）全存储：物联网设备维护数据资产的（de）机（jī）密性（根据需要）和完整性。防（fáng）御篡改（gǎi）威胁（xié）。固件真（zhēn）实性：物联网设（shè）备在启动和（hé）升级（jí）之（zhī）前对固件的（de）真实性进行验证。防御恶（è）意软件（jiàn）威胁。

通信：物联网（wǎng）设（shè）备对远程服务器进行（háng）身份（fèn）验（yàn）证（zhèng），提供机（jī）密性（xìng）（根据需要），并维护交换数据的完（wán）整性（xìng）。防御中（zhōng）间（jiān）人攻击（jī）（MitM）威胁。安全状（zhuàng）态：即使固（gù）件完整性和真实（shí）性验证失（shī）败，仍确保设备（bèi）保持安全（quán）状态（tài）。防（fáng）御恶意软件和篡改威胁。

在这一方面（miàn），分析提（tí）供了数据（jù）资产、威胁和安全（quán）目标的逻辑连接模型（xíng）。根（gēn）据这张（zhāng）图，可以编译出安全MCU所需的功能或（huò）特性（xìng）列表。当然，这个列表也（yě）可（kě）以用（yòng）作特（tè）定物联网设备应用（yòng）解决方案的实现标准（zhǔn）。请注意，安（ān）全目（mù）标的要求可能会根据物联网设备的生命周期阶段（duàn）（设计、制造、库存、最终使用和终止）而变化（huà），也应予以考（kǎo）虑。