众所周知,连接互联网的设备需要具备安全性以保护数据(以及设备本身)的安全。但是,在多数情况下,物联网产品的工程设计并没有足够的安全性来抵御当下的威胁。
当嵌入式设备链接到互联网时,便意味着我们无法再应用物理系统中使用的相关安全技术。设计安全的互联产品需要进行思考和规划,并且没有可适用于所有设备的“千篇一律”的解决方案。如何确保安全性取决于多种因素,我们需要考虑:
✓设备和其相互连接的应用程序之间正在存储或传输什么数据?
✓对应该设备有哪些监管要求(法律法规、标准、规范等)吗?(如:物联网产品信息安全技术国际标准——《IoT Protection Profile》(《物联网信息安全国际技术规范》)【关注“奥航智讯”公众号,发送“国际标准”获取“安全芯片”部分的原文下载链接。】
✓有哪些硬件或设计限制会影响安全性?
✓这些设备是在机构内部还是在远程或不可信的环境中制造?
✓设备的预期寿命是多少?
这些想法并不能提供IoT设备安全设计的完整指南,仅是为了引导思考应该注意哪些安全要求。下面总结了物联网安全设计应该注意的6个关键事项:
1.设备何时获得身份?(每个设备都需要一个唯一的标识)
2020年1月《加利福尼亚州物联网安全法》生效,要求制造商为设备配备“合理的安全功能”,但是最近的漏洞告诉我们,密码硬编码或共享密钥的方式并不能解决问题。每个设备都需要一个唯一的标识,问题是“设备何时获得该身份?”
有些设备是在机构内部制造的,有的则由承包商制造。一些设备需要合法身份来启动初始化连接,而其他功能可以等到确认身份之后使用。在产品设计和生命周期管理方面,初始身份配置对于理解这一点至关重要。
2.设备该如何安全地进行身份验证?
物联网设备需要一个唯一的身份标识,当它们尝试连接到网关或后端系统时,可用于进行身份验证。利用此唯一的ID,制造商还可以解决在整个产品生命周期中的信任问题,并撤销或替换证书以减轻风险。
假设您正在制造一种存储数据的设备,该设备存储数据,然后将其传输到后端服务器。您需要确保为每个设备提供了唯一的证书,以验证对其他系统的真实性并确保从该设备传输的数据的完整性。
3.存储在设备上的数据是否需要加密?
根据设备的类型和监管要求(法律法规、标准、规范等),也许要对存储在设备上的数据进行加密。通常,如果设备包含任何个人身份信息(PII),则将需要对静态数据进行加密。数据加密可能需要对设备上所需的处理器数量和计算能力进行重要的设计考虑。加密功能也会对电池消耗造成压力,所以提前考虑这些问题是很重要的。
4.设备要如何建立端到端安全通信?
设备需要使用加密来保护与后端系统的安全会话。这通常是通过 SSL/TLS 实现的(此方式已广泛用于保护 Web 浏览器和服务器之间的连接)。但是,就像对静态数据进行加密一样,对传输中的数据进行加密也需要一定数量的计算能力。
5.如何在设备上管理信任?
安全设计中经常被忽略的元素之一是如何在设备的整个生命周期中保证可信并对其进行管理。虽然在可信的制造环境中,可信相对容易管理,但是一旦设备离开工厂,就很难管理了。
许多设备的使用寿命为数月或数年,而当今网络攻击在不断加大。也许,今天安全的东西在将来的某个时候将是“可破坏的”。能够管理设备上的信任根源是确保设备安全的必要条件。
6.如何验证软件/硬件更新?
每个连网的设备都会在其整个生命周期中的某个时刻进行更新。物联网设备的优点之一是它们可以通过网络(OTA)接收软件/硬件更新。也就是说,允许授权更新的能力对于确保设备和在其上面运行的代码的完整性(不被篡改)至关重要。
简而言之,请使用安全代码签名过程验证更新的签名,并确保仅在设备上执行受信任的代码。保护代码签名密钥和证书同样重要,可以防止攻击者破坏签名过程,从而将恶意软件注入设备。
底线–安全始于设计
安全不会凭空出现。从产品设计的第一天开始就需要对其进行安全设计并进行维护,直到最后一次关闭设备电源为止。应针对设备的整个生命周期制定安全要求,以确保从设计到使用寿命结束,它始终保持可靠和可操作性。
可提供从产品设计之初就涵盖安全解决方案的公司将能够更快地向市场交付产品,使其产品差异化,经受住更严格的监管要求,并保护其业务不受昂贵(而且常常令人尴尬)的产品召回的影响。