物聯(lián)網邊緣設備安全，為何要從硬件抓起？

物聯(lián)網技術為制造業(yè)、運輸、石油和天然氣、醫(yī)療保健、農業(yè)、能源和公用事業(yè)部門帶來了非常多的好處。這些行業(yè)擁有復雜的基礎設施，匯集了大量互聯(lián)設備、傳感器、智能儀表、工業(yè)機器人,以及用于通信和數(shù)據傳輸?shù)能浖?。由于這些物聯(lián)網系統(tǒng)包含許多重要的敏感信息，因此也常常成為黑客主要攻擊的目標。

對物聯(lián)網企業(yè)而言，即使一個小型設備受到攻擊，那么組織內與其關聯(lián)的所有連接設備和系統(tǒng)都有可能遭到破壞，甚至還可能影響到合作伙伴和供應商的系統(tǒng)安全。因此，大力促進工業(yè)物聯(lián)網高速發(fā)展的同時，如何保護這些智能設備的安全成為整個行業(yè)面臨的重大挑戰(zhàn)。

IIoT的安全風險及其影響

當前，工業(yè)物聯(lián)網（IIoT）技術正處在蓬勃發(fā)展階段，預計到2030年，工廠內的聯(lián)網設備數(shù)量將增至12億臺。在數(shù)字化和基礎設施建設過程中，網絡犯罪分子也盯上了這些智能設備，他們發(fā)起的各種網絡攻擊旨在破壞物聯(lián)網生態(tài)系統(tǒng)中不同部件的安全，如通信網絡、操作系統(tǒng)和應用軟件以及大量的聯(lián)網設備。

IIoT環(huán)境中存在的安全漏洞可能會給犯罪分子以可乘之機，終將導致企業(yè)機密泄露或敏感數(shù)據丟失，比如產品制造藍圖或關鍵業(yè)務信息等。如果黑客侵入了一個企業(yè)的制造網絡，他們很容易就能篡改制造設備的配置，造成難以挽回的后果。

工業(yè)物聯(lián)網系統(tǒng)中存在許多典型的安全問題。首先，網絡攻擊者可以通過不同的方式，比如通過開放端口、緩沖區(qū)溢出、DoS（denial-of-service）和分布式DoS（DDoS）攻擊，進而對受嚴重保護的網絡進行未經授權的訪問。其次，如果網絡界面不安全，黑客就可以利用未受保護的數(shù)據、弱密碼等實施入侵。只有充分了解IIoT解決方案中固有的安全漏洞的含義，企業(yè)才能采取針對性的對策以規(guī)避潛在的風險。

現(xiàn)在，已經有越來越多的企業(yè)開始認識到工業(yè)物聯(lián)網安全的重要性。來自Markets and Markets的數(shù)據，2022年，全球工業(yè)網絡安全市場規(guī)模約為163億美元，預計2023年至2028年期間將以7.7%的復合年增長率（CAGR）實現(xiàn)快速增長，到2028年將達到244億美元。歸納起來，當前的工業(yè)物聯(lián)網主要存在五大安全風險：

1.數(shù)據虹吸：黑客通常在端點設備進行數(shù)據傳輸時通過竊聽進行信息攔截，尤其是端點設備傳輸?shù)臄?shù)據是高度敏感的信息時，帶來的風險可能會對企業(yè)造成毀滅性的打擊。這種物聯(lián)網攻擊極容易針對的行業(yè)是健康、安全和航空航天等行業(yè)。為了避免這種類型的安全風險，企業(yè)必須制定相應的安全策略，確保使用適宜的加密軟件對所有傳輸?shù)臄?shù)據進行充分加密。

2.設備劫持：設備劫持是IIoT常見的安全挑戰(zhàn)之一。當物聯(lián)網傳感器或端點被劫持時，將導致嚴重的數(shù)據泄露，此時黑客可以隨心所欲地控制整個制造過程，產品質量控制幾乎處于失控狀態(tài)。這種IIoT安全風險可以通過定期更新硬件和軟件組件來預防。還可以通過部署基于硬件的VPN解決方案來減少風險的發(fā)生，這種解決方案與傳統(tǒng)系統(tǒng)更兼容。

3.分布式拒絕服務（DoS）攻擊：一個企業(yè)的端點設備可能會通過其連接的網絡被鋪天蓋地的流量所淹沒，以至于端點無法處理正常的工作負載。這種類型的安全風險被稱為分布式拒絕服務（DDoS）攻擊。例如，當工業(yè)恒溫器連接到不安全的互聯(lián)網時，對整個系統(tǒng)的協(xié)同DDoS攻擊可能導致系統(tǒng)停機。規(guī)避這種IIoT風險可以采用防火墻來保護聯(lián)網設備的安全。

4.設備欺騙攻擊：在IIoT中，當攻擊者偽裝成可信設備在企業(yè)的集中式網絡和IIoT端點設備之間發(fā)送信息時，就會發(fā)生設備欺騙攻擊。這種時候適合使用基于硬件的安全解決方案來管理和規(guī)避這種威脅。

5.物理設備被盜：IIoT中有許多物理端點設備，如果不加以保護，這些設備隨時可能會被盜，在其中存儲的關鍵數(shù)據可能引發(fā)安全問題。為了大幅降低與設備盜竊相關的風險，企業(yè)應盡量避免在端點設備上存儲敏感信息，或者使用基于云的基礎設施來存儲關鍵信息。

基礎設施中極脆弱的部分是監(jiān)控和數(shù)據采集設備、程序邏輯控制器、分布式控制系統(tǒng)、提供人機交互的網絡和移動接口。在物聯(lián)網所有安全措施中，加密往往是一個經常被行業(yè)低估的有效安全措施，而極常見的問題是由于加密和身份驗證不力而導致的數(shù)據泄露。

基于硬件的IIoT 安全策略

邊緣計算是工業(yè)物聯(lián)網得以迅速擴展的關鍵技術，如今，邊緣應用越來越多地參與到物聯(lián)網的數(shù)據處理和分析，利用機器學習（ML）算法，使得物聯(lián)網（IoT）設備能夠及時做出決策，并以準自主的方式提供可靠的服務。與此同時，物聯(lián)網邊緣設備需要強大的計算能力才能滿足這些需求。由于邊緣計算可能涉及高度敏感的數(shù)據，邊緣設備需要集成可保證系統(tǒng)安全的保護技術。

目前，市場上有多種方法可以保護邊緣設備的安全。綜合來看，基于硬件的安全方法通常比僅僅采用軟件的方法更安全、更有效。這是因為物聯(lián)網邊緣設備通常具有較強的處理能力以及充裕的內存，可以相對輕松地運行高級安全程序。

根據應用不同，物聯(lián)網設備的處理能力各不相同。比如，低功耗設備往往使用微控制器（MCU），而計算能力更強的邊緣設備通常使用微處理器（MPU）。

如今，越來越多的物聯(lián)網設備混合使用MCU和MPU。邊緣設備在硅和固件級別提供的安全功能多種多樣。通過安全硬件，例如嵌入式安全元件或安全模塊可以將信任根集成到設備中，從而提供從硅一直延伸到云的信任錨?；谟布陌踩桨柑峁┝艘粋€可信的計算基礎，可以從中啟用各種安全功能，包括安全地啟動設備、執(zhí)行安全的應用程序、運行安全的操作系統(tǒng)（OS）、實現(xiàn)安全的設備生命周期管理，以及安全地連接到輔助云服務和后端基礎設施等。

對于IIoT而言，基于硬件的安全措施大多在邊緣側完成，安全功能的實現(xiàn)主要是將安全IP塊集成到MCU和MPU中，這些IP塊可以提供可編程的信任根核心、物理上不可克隆的功能（PUF）、隨機數(shù)生成器（RNG）、唯一ID、安全套接字層（SSL）/傳輸層安全性（TLS）支持、加密塊等。

IIoT 安全的硬件解決方案

ChipDNA技術是ADI的一項專利技術，它涉及一種物理上不可克隆的功能（PUF），該功能能夠有效抵御入侵性物理攻擊。利用芯片制造過程中自然發(fā)生的半導體器件特性的隨機變化，ChipDNA電路產生了一個獨特的輸出值，該輸出值可隨時間、溫度和工作電壓而重復。

在基于PUF的ChipDNA安全驗證器中，每個密鑰都以IC的一種精準的模擬特性的形式存在，使其不受所有已知的侵入性攻擊工具和功能的影響。并且每個IC都有ChipDNA生成的唯一密鑰。該密鑰基于PUF，可在溫度、電壓和IC運行條件下重復，在抵御黑客的侵入式攻擊和逆向工程攻擊方面，安全防護水平有了指數(shù)級提升。

該公司早期的產品MAX32520 MCU就是利用ChipDNA輸出作為密鑰內容，以加密方式保護所有設備存儲的數(shù)據，并可選地在用戶控制下作為ECDSA簽名（橢圓曲線數(shù)字簽名算法）操作的私鑰。除了硬件加密功能外，MAX32520還提供符合FIPS/NIST標準的真隨機數(shù)生成器、環(huán)境和篡改檢測電路，以促進應用程序的系統(tǒng)級安全。不過，該系列中的所有產品很快就會停產，并由新的產品取而代之。

新一代產品MAX32630采用帶FPU的Arm Cortex-M4內核，擁有超低功耗、高效的信號處理能力，易于使用。MAX32631 / MAX32632是MAX32630的安全版本，它們提供了具有加密和高級安全功能的信任保護單元（TPU），其中包括用于快速ECDSA的模塊化算術加速器（MAA）、真隨機數(shù)生成器（TRNG）和硬件AES引擎。MAX32632還提供了一個安全的引導加載程序，用于額外的安全性和生命周期管理。

圖2：基于FPU的MAX32630 / MAX32631 MCU內部結構（圖源：Analog Devices）

在物聯(lián)網所有安全措施中，加密往往是一個經常被行業(yè)低估的有效安全措施，常見的問題是因加密和身份驗證不力而導致的數(shù)據泄露。實際上，加密是保護物聯(lián)網生態(tài)系統(tǒng)中數(shù)據的機密性、完整性和真實性的基礎。對于物聯(lián)網邊緣設備而言，用于執(zhí)行加密引導、登錄和空中更新等服務的加密密鑰是必須保護的關鍵組件。而芯片級硬件保護密鑰是實現(xiàn)嵌入式設計強大安全保護的標準。

作為NXP EdgeVerse邊緣計算平臺的一部分，LPC5500系列MCU就是這樣的設計，它在保證性能的同時，還集成了相應的安全模塊。LPC5500采用Arm Cortex-M33技術，與前幾代產品相比，它改進了產品架構并提高了集成度，大幅降低了功耗，提供了更高級別的安全功能，包括基于SRAM PUF的信任和配置根，從加密圖像（內置閃存）進行實時操作，并通過Arm TrustZone-M保護資產，非常適用于對安全有較高要求的工業(yè)物聯(lián)網應用。LPC5500系列MCU共有7個可擴展的系列，提供多種封裝和內存選項，還具有全面的MCUXpresso軟件和工具生態(tài)系統(tǒng)及低成本開發(fā)板。

圖3：LPC5500系列MCU系統(tǒng)框圖（圖源：NXP）

本文小結

如今，從工業(yè)、汽車到智能家居和消費產品，具有安全處理器功能的邊緣設備可以滿足不同用例中各種安全性需求。支撐物聯(lián)網邊緣設備安全進步的一個重要原因是不斷增長的政策、法規(guī)和標準要求，這些要求又進一步推動了圍繞設備制造安全和生命周期管理的市場發(fā)展。此時的重點不僅僅要確保設備本身能夠安全運行，重要的是它們能夠提供可信的計算，保護物聯(lián)網邊緣的敏感數(shù)據安全。

著名分析機構Straits Research對未來的IIoT 安全市場預期充滿信心，他們表示，2023年至2031年的IIoT安全市場復合年增長率（CAGR ）將達到29.8%，到2031年，全球IIoT安全市場規(guī)模預計將高達1,223億美元。

雖然本文再三強調要從邊緣硬件入手實施相應的IIoT 安全策略，但在實際運營中，物聯(lián)網邊緣安全策略不一定全部從硬件角度來考慮，有許多軟件、網絡和云級別的安全技術也可以對物聯(lián)網提供有效的安全保護。不可否認的是，如果不在設備中嵌入某種形式的基于硬件的安全模塊，創(chuàng)建可信的物聯(lián)網生態(tài)系統(tǒng)將很難實現(xiàn)。隨著安全處理器市場的成熟，成本和復雜性降低，這些技術將非常容易地集成到越來越多的應用中，并將帶來巨大的創(chuàng)新。

來源：貿澤電子