物聯(lián)網(wǎng)安全這件事，不要再亡羊補牢

“雖然可以看到很多物聯(lián)網(wǎng)產(chǎn)品都在宣稱(chēng)自己在安全方面的工作，但是這還遠遠不夠。網(wǎng)絡(luò )攻擊增長(cháng)驚人，而安全往往都是事后再來(lái)解決。” Maxim Integrated高級業(yè)務(wù)經(jīng)理Jack Li在接受本刊專(zhuān)訪(fǎng)時(shí)指出?，F階段，安全性仍然往往是亡羊補牢之舉——往往對所要求的時(shí)間、工作量和費用估計不足。

• Maxim Integrated高級業(yè)務(wù)經(jīng)理Jack Li*

那么，如何真正保證物聯(lián)網(wǎng)設備的安全呢？Jack認為，嵌入式聯(lián)網(wǎng)設備的基本需求主要是是三個(gè)方面：安全的通信、安全的存儲和可信終端及固件。那么設計者如何在其智能、聯(lián)網(wǎng)產(chǎn)品中構建更加堅固的安全性呢？早期階段就在設計中集成安全措施并考慮如何實(shí)施至關(guān)重要。為了保證安全措施的有效性，必須在從傳感器到云端的多個(gè)設計層面實(shí)施安全措施。

他介紹，我們常用的加密算法分兩大類(lèi)，一種是基于對稱(chēng)的加密，另一種基于非對稱(chēng)的加密。常見(jiàn)的對稱(chēng)加密算法有DES和AES。在對稱(chēng)加密算法中，發(fā)送端（加密）和接收端（解密）共享同一密鑰，因此密鑰容易在傳遞過(guò)程中被非法截取，而且對稱(chēng)加密算法的密鑰也比較容易被黑客破解，影響通訊安全。對稱(chēng)加密算法的優(yōu)勢是密鑰短方便存貯，計算速度快，效率高。

非對稱(chēng)加密算法有RSA和ECC等。每一組非對稱(chēng)密鑰都分為一一對應的公鑰和私鑰，私鑰存放在自己的安全存貯空間里（比如主機端），空鑰發(fā)給您要通訊的對方（比如客戶(hù)端），主機和客戶(hù)端就可以通過(guò)私鑰完成數據簽名然后讓對方用空鑰來(lái)驗證，從而實(shí)現雙方的身份確認。由于私鑰不會(huì )出現在密鑰的傳遞中，所以比較安全（當然設計師需要確認您的私鑰存放也是安全的）。非對稱(chēng)算法的密鑰比較長(cháng)，計算時(shí)間要比對稱(chēng)算法長(cháng)。

傳輸層安全(TLS)協(xié)議，也是安全套接層(SSL)協(xié)議的后繼，它利用了對稱(chēng)加密算法和非對稱(chēng)加密算法的優(yōu)點(diǎn)，將他們集成在協(xié)議中，可防止物聯(lián)網(wǎng)設備通過(guò)互聯(lián)網(wǎng)通信時(shí)的數據被竊聽(tīng)或篡改。“TLS包括使用非對稱(chēng)密鑰的‘握手階段’，雙方認證合法，并就后續的對稱(chēng)通訊使用密鑰對達成一致，該密鑰對僅用于該會(huì )話(huà)，實(shí)現高效、快速地數據加密和解密。安全IC能夠處理這一握手階段、儲存會(huì )話(huà)私鑰，以及在獨立設備中執行加密/解密，采用可防止已知黑客和攻擊的反制措施。” Jack表示。

“美信MAXQ1061協(xié)處理器不僅支持證書(shū)管理和安全認證，而且也支持使用IP的TLS/SSL標準安全通信協(xié)議的關(guān)鍵步驟。在芯片內實(shí)現TLS協(xié)議可提高安全水平并減輕主處理器執行計算密集型任務(wù)的負荷。這對于資源受限的嵌入式系統非常寶貴。”Jack指出。“市場(chǎng)上目前的同類(lèi)芯片加密和通訊比較慢，而MAXQ1061高達20Mb/s的通信速度可以很好的應對這一問(wèn)題。MAXQ1061同時(shí)預置了加密算法，客戶(hù)可以直接將其用于自己的嵌入式系統設計中，或者用于原有嵌入式系統的升級，不需要是加密專(zhuān)家，也完全能夠實(shí)現安全設計。”

在安全的存儲方面，關(guān)鍵是前文中提到的密鑰的安全存儲。“MAXQ1061存儲器是可配置的，可用于儲存經(jīng)過(guò)安全認證的用戶(hù)數據，內嵌32KB用戶(hù)可編程安全EEPROM，用于存儲證書(shū)、公鑰、私鑰與密鑰，以及任意用戶(hù)數據。EEPROM通過(guò)靈活的文件系統進(jìn)行管理，支持自定義安全策略的實(shí)施。MAXQ1061還通過(guò)SPI提供獨立的硬件AES引擎，支持AES-GCM和AES-ECB模式，減輕主機處理器負荷，從而保證快速的流加密。另外在防攻擊方面，MAXQ1061具備防單邊攻擊的設計，對DPA攻擊進(jìn)行有效的防護，MAXQ1061內部也成了一些傳感器，實(shí)現了對芯片內部關(guān)鍵存儲部分的防非法破壞機制，如果是強行的物理攻擊，則會(huì )啟動(dòng)相關(guān)程序，保護系統數據。”他指出。

在可信終端方面，很重要的就是怎么保證這個(gè)產(chǎn)品是真的，可信的。“比如遠程傳感器節點(diǎn)應用，例如有一個(gè)測水位的表，放在長(cháng)江邊上，我要測這個(gè)水位，傳感器給我傳數據來(lái)看它的水位是不是漲水了，或者降落了?？尚沤K端的意思就是服務(wù)器確認終端的傳感器是不是真的，或者是別人仿冒的，這就需要身份認證。身份認證就要確保其安全性，以及證書(shū)的合法性，因為證書(shū)就是確認你的身份的，然后我要保證所有的傳輸的信息的完整性，都可以通過(guò)這個(gè)證書(shū)的管理，然后還有數字簽名來(lái)完成。” Jack 解釋?zhuān)?ldquo;MAXQ1061內置的安全BOOT功能，能從系統上確認嵌入式客戶(hù)端(終端)的固件不被修改，不被替換，保證嵌入式系統運行代碼的合法性，另外加上非對稱(chēng)算法數字簽名，證書(shū)管理等功能，就能算實(shí)現遠程終端可信度的管理。”

硬件和軟件開(kāi)發(fā)的工程師通常對安全策略，加密算法，證書(shū)管理等方面并不熟悉，也沒(méi)有可能花太多的時(shí)間去進(jìn)行系統的學(xué)習和研究，當市場(chǎng)要求他們設計一個(gè)需要保障通訊安全，存貯安全及可信項目的時(shí)候，就遇到了一些挑戰。“在通信方面，客戶(hù)必須開(kāi)發(fā)一個(gè)通信棧，這就意味著(zhù)高強度的研發(fā)工作。在存儲方面，客戶(hù)需要建立一個(gè)應用安全策略來(lái)訪(fǎng)問(wèn)其密鑰。在可信終端方面，客戶(hù)需要找到一個(gè)分發(fā)證書(shū)的解決方案。而在這些領(lǐng)域，MAXQ1061都能很好的應對?？梢哉f(shuō)，MAXQ1061提供了一套硬件信任架構，它全面的加密功能能夠滿(mǎn)足未來(lái)嵌入式系統的關(guān)鍵安全需求，包括TLS/SSL主機棧和全面的軟件支持，以及證書(shū)分配和管理等完整安全性，輕松實(shí)現系統內的強大保護。MAXQ1061還集成了豐富的加密工具箱，全面支持不同層次和范圍的安全需求，交鑰匙解決方案可使客戶(hù)無(wú)需開(kāi)發(fā)固件，加快產(chǎn)品上市時(shí)間。”

Jack透露，MAXQ1061一開(kāi)始是應客戶(hù)需求而單獨定義的一款產(chǎn)品，現在一些車(chē)廠(chǎng)已經(jīng)在使用。“現在我們將這款產(chǎn)品帶到中國來(lái)，發(fā)現中國的客戶(hù)雖然對物聯(lián)網(wǎng)安全很有興趣，但是仍然沒(méi)能引起他們足夠的重視，或者只是有一些簡(jiǎn)單的對稱(chēng)加密算法，而這遠遠不夠。目前美信正在努力開(kāi)拓工業(yè)物聯(lián)網(wǎng)如遠程抄表，車(chē)聯(lián)網(wǎng)，醫療器械等領(lǐng)域的客戶(hù)。”他強調，“現在中國的嵌入式系統廠(chǎng)商或物聯(lián)網(wǎng)廠(chǎng)商對安全還是未能提起足夠的重視。我們可能還在把某一個(gè)黑客遠程通過(guò)網(wǎng)絡(luò )把汽車(chē)在高速公路上停下來(lái)，或者有一些黑客控制了新的心臟起搏器這些案例當成一個(gè)笑話(huà)。但是當危險慢慢地離我們越來(lái)越近的時(shí)候，大家就會(huì )開(kāi)始真正的考慮安全問(wèn)題。但是對于制造商來(lái)說(shuō)，不應該是等市場(chǎng)真正有需求的時(shí)候再去研發(fā)，我們應該引領(lǐng)工業(yè)的潮流。實(shí)際上，引入MAXQ1061，成本不會(huì )很高，開(kāi)發(fā)也必將簡(jiǎn)單，相信客戶(hù)早晚會(huì )正視這一趨勢。”