为什么我们需要对物联网安全采取“设计保证安全”的方法？

虽然认可物联网带来的好处和机会，但“ 设计保证安全，提高消费者物联网的网络安全报告 ” 认为，许多互联网连接设备甚至缺乏基本的网络安全配置，特别是在消费者市场。报告认为目前存在两大风险：

• 消费者的安全和隐私被个别设备的漏洞所破坏；以及
• 更广泛的经济面临着从大量不安全物联网设备发起的大规模网络攻击的威胁。

该报告表示，要保护消费者，就要从根本上转变行业管理网络风险的方法。有必要不再让消费者承担安全配置其设备的责任，而是确保在设计之初就集成强大的安全性。

为此，报告提出了一个实践准则草案。对于设备制造商，报告认为（原文）它们应：

• 实施漏洞披露政策

作为漏洞披露政策的一部分，所有提供互联网连接设备和服务的公司都必须指定一名公共联络人，以便安全研究人员和其他人能够向其报告问题。应及时对披露的漏洞采取行动。

知晓了安全漏洞，公司就可以做出反应。在产品的安全生命周期内，公司还应该不断监测、识别和纠正自己产品和服务中的安全漏洞。报告鼓励公司与主管行业机构分享信息。

• 保持软件更新

应保证可安全地更新互联网连接设备中的所有软件组件。更新必须是及时的，并且不影响设备的功能。必须公布终端设备的使用寿命终结政策，明确说明设备接受软件更新的最短期限和原因。对于无法进行更新的受限设备，应保证其是可隔离和可替换的。

• 安全的存储凭证和敏感数据

任何凭证都必须安全地存储在服务内和设备上。不接受设备软件中的硬编码凭证。

因为对设备和应用进行逆向工程就可以轻松发现证书，如软件中硬编码的用户名和密码。此外，简单的混淆法也可以用来掩盖或加密这些硬编码的信息，并可以轻易破解。应该安全的存储敏感数据包括加密密钥和初始化向量。应该使用安全、可信的存储机制，例如由可信执行环境和相关的可信、安全存储提供的机制。服务中存储的凭证应遵循最佳实践。

• 保证通信安全

敏感的数据，包括任何远程管理和控制，在通过互联网传输时，应根据技术和使用的特性进行加密。应安全地管理所有密钥。

• 尽量减少暴露的攻击面

所有的设备和服务都应该在“最小权限原则”下运行，包括未使用的端口必须关闭，硬件不应该不必要地暴露访问，服务如果不使用就不应该提供，代码应该最小化到服务运行所需的功能。软件应以适当的权限运行，同时照顾到安全和功能。

• 确保软件的完整性

物联网设备上的软件必须使用安全启动机制进行验证。如果检测到未经授权的更改，芯片应提醒消费者/管理者注意问题，并且不应连接到比执行警报功能所需的更广泛的网络。

• 保证系统能够在中断后复原

在使用或其他依赖系统需要的领域，必须保证物联网服务的复原力，从而保证物联网服务保持正常运行。

• 监控系统遥测数据

如果收集了所有遥测数据，如来自物联网设备和服务的使用和测量数据，应监测其中的安全异常情况。

实施安全设计的信任根

从本质上讲，这里的关键信息是在设计之初就将安全集成到设备中。如果物联网设备在设计上是安全的，那么就能更轻松地建立整个供应链的信任。这种方法的基础是从一开始就在设备中建立信任根，这意味着：

• 在产品中设置唯一的产品密钥和其他安全数据，这些数据是不可改变的，并受到保护。
• 创建一个独特的产品身份，可以使用加密手段进行验证（通常通过证书链返回到认证机构）。
• 拥有一个不可更改的加密方法来验证产品（通过使用公钥/私钥挑战/响应交换法）并验证产品证书中持有的公钥。

然后，这可以贯穿产品的整个开发、制造和生命周期，例如通过一个安全的微控制器执行环境和一个不可更改的启动路径，到一个信任根启动管理器，在执行前验证后续软件。

通过整合这种嵌入式信任，就可以管理产品的密钥和证书结构，提供从开发到生产制造的保护，并在产品的整个生命周期内实现可靠的软件更新。

各国政府陆续发布关于如何提高安全性的文件，这一事实清楚地表明，网络安全已经成为国家议程的一个关键部分。

这也是给行业的一个提醒，表明我们需要认真对待安全问题。随着黑客攻击事件日趋普遍，这些问题已经暴露在公众面前。

其结果是出现了一些技术，不仅使安全半导体和元件的设计成为可能，而且也使包含这些芯片的产品的安全制造技术成为可能。诸如 IAR Systems 及其安全部署技术处于这一驱动力的前沿，为制造商提供确保安全编程和安全软件更新的能力，以“零信任”的方式确保最高水平的安全。