物联网使用安全吗?

欧内斯特·沃斯曼和埃德·斯珀林著
早在计算机发明之前，数据安全就已经是一个问题，而且在过去的八十年里，数据安全每年都变得越来越难以控制。1981年IBM PC的推出使计算变得更加分散，20世纪90年代初Novell的NetWare和Lotus Notes将网络引入企业，以及过去10年智能手机和USB驱动器变得无处不在，使情况变得更糟。

的推出物联网“万物互联”是下一个大的错位，它迫使每个人重新思考安全的基本概念——特别是当设备连接到芯片或设备制造商不知道的其他设备时。无处不在的、永远在线的连接引发了许多问题，现在需要彻底重新思考如何保护数据，因为数据甚至不再绑定在一台设备上。

“关于安全的一个重要范例是，攻击者可以选择攻击地点和时间，”Sansa security的产品副总裁Asaf Shen说。“另一方面，后卫的任务是不断地在任何地方防守任何东西。有趣的是，这是一个旧世界的教条，也适用于新世界的网络安全。攻击者知道这一点，所以他们总是在寻找最薄弱的环节。”

当然，从供应链造假到芯片和软件安全漏洞，再到用户轻信，都存在很多薄弱环节。即使是安全的设备也经常连接到不安全的设备上。”

该公司应用工程副总裁Bernd Stamme表示:“特殊用途的物联网设备通常控制着关键任务操作，它们也是进入大型内部网的入口点Kilopass技术．“他们必须达到低成本的目标，而且往往更容易成为黑客或恶意攻击的目标。行业研究发现，目前市场上70%的物联网设备存在安全漏洞。硬件安全功能可用于保护物联网的设备ID和配置，防止更改或操作。还需要安全引导操作。”

但与此同时，在零售商和银行发生大规模且非常公开的数据泄露事件后，人们普遍认识到，需要采取一些措施。

阿里巴巴全球支付解决方案业务发展副总裁杰夫•迈尔斯(Jeff Miles)表示:“安全问题已经超出了‘我不知道会不会发生什么事’的程度。NXP．“人们越来越关注提供安全平台。即使在移动设备上，也有指纹安全访问设备，并支持将其植入设备。”

安全经济学
这种支持也将是必不可少的，因为防止数据泄露涉及许多成本。最明显的原因是钱。消费者不会为额外的安全性买单，但这些设备的架构、设计、验证和制造成本更高。

但也有其他成本。主动安全性会消耗电力和性能。一个完全安全的移动设备必须比一个不太安全、需要更多芯片、从核心操作到I/O都会变慢的移动设备更频繁地插入，尽管多核设备的激增和更好的性能已经帮助克服了性能限制。

“从我的角度来看，在研究方面，我们基本上已经解决了第一个、最基本的问题，那就是如何为大多数产品制造出可接受的速度和可接受的廉价产品，”该公司总裁兼首席科学家保罗·科克说Rambus的密码学研究部。“现在我们必须开始考虑下一组问题，以安全的名义牺牲一些我们已经取得的进展，让事情变得更快、更便宜。这涉及到一系列全新的工程和文化挑战。在工程方面，这意味着我们已经非常擅长构建的架构——工作速度快，总体上运行良好，但在故障模式不确定或复杂的情况下，特别是涉及设计错误的情况下——必须采用不同的架构。”

这一观点在整个行业得到了响应，从芯片制造商到设备制造商，再到电子产品制造商知识产权．

Jason Parker，安全和操作系统架构师手臂他在最近于伦敦举行的ARM技术日(ARM Tech Day)上解释说，作为如何构建可信任设备的总体故事的一部分，即提供服务提供商可以依赖的支付或DRM服务的信任水平，这些服务运行的设备必须是可信任的，可以抵御物理攻击或软件攻击。在一个不与任何东西通话或不做任何事情的设备上拥有安全性是非常容易的，但当它从那里扩展时，就必须做出妥协，其中最大的一个就是价格。“另一个大问题是，要求安全的人往往不是愿意为此付钱的人。”

因此，他说，想要一个真正安全的系统，但又不愿意为此付费，这是一种平衡。问题是如何以合理的成本构建安全功能。在处理器核心的a级空间中，TrustZone是实现安全性的方式，它是隔离硬件执行和可信软件的组合。

但是，针对安全性进行优化的体系结构通常运行得更慢，使用的电量更多，部分原因是需要完成更多的计算，部分原因是分解开发模型中的所有部分并不是以相同的速度进行的。

“芯片供应商努力创造更强大的芯片，有更多的功能，但同样的努力并没有投入到这些芯片的安全上，”Sansa的Shen说。“结果是，这些芯片上的软件堆栈比它们的底层安全运行得快得多。如果你将今天的IC与昨天的IC进行比较，无论行业如何，这都是正确的，主要的区别在于它们运行的软件堆栈。安全方面几乎没有变化。因此，它们运行大量的代码，但它们的安全性只是逐步提高。这意味着一个非常广泛的‘系统’，这意味着包含软件的攻击面要比芯片宽得多。”

新的方法，更广泛的方法
然而，并不是所有这些都必须单独完成，有证据表明，公司开始在解决方案上进行合作，并构建与其他技术兼容的解决方案。

最近的例子涉及恩智浦与高通的合作，后者使用恩智浦开发的系统级封装安全元素连接高通的骁龙芯片，该芯片为三星、LG等制造商的市场上一些顶级智能手机提供动力，甚至还有iPhone 5S。这种安排的重要之处在于，这是一种附加解决方案，而不是试图将所有东西都构建在同一个芯片中，每个一方都对自己的部分负责。

公司产品管理总监Neeraj Bhatia表示:“我们正在做的是在参考设计层面实现集成。Qualcomm．“在平台上构建的框架允许多级身份验证。通过生物识别技术，你可以将这些信息存储在云端或设备上，因此在不同的平台上设置不同的安全级别可以为你提供更广泛的保护。”

第二个挑战涉及到保护可能与其他设备直接或间接联网的其他设备。这可能涉及从运动检测器到智能设备的所有东西。

“我们看到的一个普遍现象是，在所有这些设备中嵌入基于硬件的信任根的用例和需求，包括最小和最简单的设备，如灯泡，”Shen说。“这正变得越来越真实，特别是当这些东西开始与IPv6联系得更多，并成为云和物联网的一部分时。当你把所有这些都考虑在内，这些硬件信任根作为身份注册和验证芯片和软件堆栈真实性的门户的重要性，就会看到硬件层面嵌入式安全的关键性质。”

在这一点上似乎已经达成了共识。Kilopass的Stamme表示:“业界已经认识到连接设备对硬件信任根(HROT)的需求。“基于抗熔断位单元技术的片上非易失性存储器(NVM) IP代表了存储敏感设备数据(ID、配置、修剪、加密密钥、引导代码等)的最安全介质。它可用于物联网设备的低成本、低功耗处理技术。”

瑟奇·利夫，新风险投资的副总裁导师图形他指出，目前有三种常用的方法来保护芯片，但他认为其中没有一种是足够的——正式验证、软件和加固的IP。

李夫说:“在正式验证方面已经做了一些努力，但正式验证的限制是你必须知道问题是什么，而在大多数情况下问题是未知的。”“因此，它在木马检测方面的作用有限，这是一个大问题。也有一些关于保护管理程序的解决方案，但如果底层硬件受到损害，就不是那么有效了。对于硬件中的分区也是一样的。如果攻击发生在硬件层面，它是无法检测到的。”

在SoC或更大的系统的设计阶段，特洛伊木马是无法检测到的。它们在运行时出现，提供可用的工具来检测它们，在这一点上可能需要运气来捕获它们。

与可合成IP或软IP相比，硬化IP是第三个领域。这类IP可能更具抵抗力侧通道攻击但这并不能限制额外电路的威胁，而且在这一点上，甚至没有办法确定是否有缺少x射线的额外电路，一个充满第三方IP块的复杂设计。

李夫说:“物联网初创公司正在以良好的速度获得资金，向风投推销的方式是提供垂直解决方案，无论是智能门锁还是智能冰箱。”“所以一个工作系统的可见部分就是应用程序。底层系统受到的关注有限，它通常是使用公开可用的IP块构建的。我们并不总是知道这些积木里有什么。你可能会有一个10年的导火索。”

结论
许多EDA供应商正忙于开发可以识别安全漏洞和问题的工具，如Mentor、节奏，Synopsys对此而且AtrentaIP供应商和系统供应商正在找出他们自己的弱点和方法来堵塞潜在的安全漏洞。但这一切都需要时间。

问题在于，物联网正在逐步推出，通常是在垂直市场，比如汽车，现在连接的系统在五年前从未被认为是任何汽车设计的一部分。当你把家里的运动探测器连接到一个先进的安全系统上，或者当智能电表或恒温器连接到一个并非所有节点都完全安全的网络上时，会发生什么?

填补这些漏洞将需要数年时间，同时还将开发出更多更具创新性的攻击类型。但至少在短期内，关键在于，现在或几年前销售的设备会在以后造成什么损害?答案是:没有人真正知道。

-Ann Steffora Mutschler对本文也有贡献。