浅析物（wù）联网设备面临的安全问题（tí）

众所周知（zhī），物联网（IoT）设备预计（jì）将（jiāng）无处不在。这些由半导（dǎo）体驱动（dòng）的设备（bèi）将推动每（měi）一（yī）个可想象的过程实现智能化。从简（jiǎn）单的开（kāi）灯到门诊护理或工厂控（kòng）制（zhì）等更（gèng）复（fù）杂的过程，通过传感、处（chù）理和云连接，物联网设备将大幅（fú）提（tí）高（gāo）工作效率。应（yīng）用场景多种多样，它们的发展前景和影响力也将不可估量（liàng）。

保护（hù）物联网设备的想法可能令人望而生畏。初（chū）步研究很快揭示了有关密（mì）码学、威胁、安全目标和其他几（jǐ）个主题的（de）大量知识。面对铺天盖地的信息，物联网（wǎng）设备设计人员通常会问的第一（yī）个问题是：“我如（rú）何判断（duàn）所需安全性要（yào）达到（dào）哪（nǎ）种水平？”，紧接着是“我该从哪里入手？”

Arm提供了平台安全架（jià）构（PSA），帮助设计人员快速（sù）入门。通过利用PSA的一整套威胁模型和（hé）安（ān）全性分析、硬件和固件架构规范以及（jí）可信固件M参考实现（xiàn），物联（lián）网设（shè）计师能够快（kuài）速且轻松地（dì）实现安全设计。

通过使（shǐ）用双（shuāng）Arm Cortex®-M内核（hé），结（jié）合可（kě）配置（zhì）的内（nèi）存（cún）和外设保护单元（yuán），赛普拉斯PSoC 6 MCU实现了PSA定义（yì）的最高保护级（jí）别。本文将PSA网络摄像头威（wēi）胁模型和安全性分析（TMSA）应用（yòng）于PSoC 6 MCU，演（yǎn）示如（rú）何针（zhēn）对网络（luò）摄像头应（yīng）用进（jìn）行（háng）安全（quán）性（xìng）评估。任（rèn）何攻击的目标都是获取（qǔ）物（wù）联网设备的数据并以某种（zhǒng）方式加以利用。如图1所（suǒ）示，分析（xī）过程的（de）第（dì）一步是识别物联网（wǎng）设（shè）备处理的数据（jù）资产（chǎn）及其安全属（shǔ）性。

接下来的步骤是识别针对（duì）这些资产（chǎn）的威（wēi）胁，定（dìng）义抵（dǐ）御这（zhè）些威胁的安（ān）全目（mù）标，并确定需求以满足安全（quán）目标。通过（guò）满足这些要求，基于（yú）微控制器的设（shè）计可为安全（quán）目标（biāo）提（tí）供支（zhī）持，并最终保留资（zī）产的安全属性。最后，应该对设计进（jìn）行评估，以判定设计是否达到安（ān）全目标。通常情况下（xià），这类评估会利用应用于设（shè）计的威胁（xié）模型来评估设备的攻击防（fáng）御能力。

完整性要求数据资（zī）产在使用或传（chuán）输时（shí）保持不变。完整性通常与建立引用（yòng）的数据（如启动固件（jiàn））相（xiàng）关联。启动固件确保MCU配（pèi）置为应用可执行的已知初始状（zhuàng）态（tài）。对启动固件进（jìn）行更改可（kě）能会影响该初始状态，并存在操作或安全风险。

真实性（xìng）要求只有受信任（rèn）的（de）参（cān）与者才能建（jiàn）立（lì）数（shù）据（jù）资产的（de）当前（qián）状态。当与（yǔ）完整性相结合时，真（zhēn）实性（xìng）便能够建立信任，因此它是安全物（wù）联网设备的关键基石。在先前的启动固件示例中，数字签（qiān）名可用于在升级固件时对真实性和完（wán）整性进行评估，以确保仅使用可信固件（jiàn）。全面识别（bié）物联网设备中的数据资产至关重要，因为每（měi）个后（hòu）续步（bù）骤都（dōu）依赖于此步骤（zhòu）。举例（lì）来说，网络（luò）摄像（xiàng）头将（jiāng）具备以下数据（jù）资产：

威胁旨在破坏数（shù）据资产的安全属性并将其用于未（wèi）经授（shòu）权的目的。为了识别威（wēi）胁，必（bì）须对物（wù）联网设备中数据的使用进行评估。例如，证书可用于访问物联网设备（bèi）的网络。如果证书的机（jī）密性受到损害，则未经（jīng）授权的参与者（zhě）就可以使用它（tā）们来访问网络。这种（zhǒng）攻击（jī）称为冒（mào）充攻击。通过系统地评估每种数据，可（kě）以创建潜在（zài）威胁（xié）列表。

通过识别威胁，可（kě）以定义（yì）安全目标。安全目标是在应用级别定义（yì）的，本质上提供了实现需求。一些安全目标可以（yǐ）作为可信应用（TA）实现，它们在安全的MCU提（tí）供的隔离执行（háng）环境中执行（háng）。隔离执行环（huán）境全（quán）面保护（hù）TA及其使用/处理（lǐ）的数据。物联网（wǎng）设备应用（yòng）本身在不安全的执行环境中运行，并通过使用处理器间（jiān）通（tōng）信（IPC）通（tōng）道的API与（yǔ）隔离（lí）执行环境中的TA进行通信。TA则利用（yòng）硬件（jiàn）中的可用资源（如加密加速器（qì）和安全内存（cún））来为目标提（tí）供支持。

访（fǎng）问控制（zhì）：物联（lián）网设备（bèi）对试图（tú）访问数（shù）据资产的所有参与者（人或机器）进行身份验证。防止（zhǐ）在（zài）未经授权的情况下访问数据。防御（yù）欺骗和恶意软件威胁，即攻击（jī）者对固件进（jìn）行（háng）修（xiū）改或安装过时（shí）的缺陷版本（běn）。安全存储：物联网设备维（wéi）护（hù）数据资产的机密性（根据需要）和完整性。防御篡改威胁。固件真实性：物联网设（shè）备在启动和升级之（zhī）前（qián）对（duì）固件的真实性（xìng）进行验（yàn）证（zhèng）。防（fáng）御恶意软件威（wēi）胁。

通（tōng）信：物（wù）联网设备（bèi）对远程服（fú）务器进行身份验证，提供机密（mì）性（根据需要），并维护交换数据的（de）完整性。防御中间人（rén）攻击（MitM）威胁。安全状（zhuàng）态：即使固件完整性和真实性验证失（shī）败，仍确（què）保设备保（bǎo）持（chí）安全状态。防御恶意软（ruǎn）件和篡改威胁。

在这一方（fāng）面，分析提供了数据资产、威胁和安全目标的（de）逻辑连接模型。根据这张图（tú），可（kě）以编译出安（ān）全MCU所（suǒ）需的功能或特（tè）性列表。当然，这个列（liè）表也（yě）可以用作特定物联网（wǎng）设备应（yīng）用解决方（fāng）案（àn）的实现标准。请注（zhù）意，安（ān）全目标的要求（qiú）可能（néng）会（huì）根据物联网设备的生（shēng）命周期阶段（duàn）（设计、制造、库存（cún）、最（zuì）终（zhōng）使用和（hé）终止）而变化，也应予以考虑。