物聯(lián)網(wǎng)（IoT）的急劇增長(zhǎng)使我們達(dá)到了承諾的“互聯(lián)世界”現(xiàn)在成為現(xiàn)實(shí)的地步。隨著基礎(chǔ)設(shè)施的到位，企業(yè)正在尋找基于連接設(shè)備網(wǎng)絡(luò)提供有價(jià)值服務(wù)的方法，增強(qiáng)現(xiàn)有產(chǎn)品并創(chuàng)建新產(chǎn)品。

安全性是這個(gè)新世界的關(guān)鍵，特別是在提供必要的軟件更新以使基于物聯(lián)網(wǎng)的服務(wù)處于最前沿方面。本文介紹了軟件更新的過(guò)程以及硬件技術(shù)在確保高級(jí)別安全性方面的價(jià)值。

新服務(wù)和安全性需求

雖然物聯(lián)網(wǎng)硬件具有價(jià)值，但大部分令人興奮的事情來(lái)自已經(jīng)部署的數(shù)十億個(gè)物聯(lián)網(wǎng)節(jié)點(diǎn)以及尚未進(jìn)入我們的智能家居和智能工廠的數(shù)十億個(gè)物聯(lián)網(wǎng)節(jié)點(diǎn)可以提供的服務(wù)。

現(xiàn)有企業(yè)和以物聯(lián)網(wǎng)為重點(diǎn)的初創(chuàng)企業(yè)都在迅速開(kāi)發(fā)新服務(wù)，以贏得新客戶并為現(xiàn)有客戶增加價(jià)值，其目標(biāo)是通過(guò)為最終用戶提供不斷增長(zhǎng)的利益來(lái)發(fā)展盈利業(yè)務(wù)。

為了實(shí)現(xiàn)通過(guò)現(xiàn)有硬件提供新服務(wù)并通過(guò)持續(xù)更新保持已安裝服務(wù)的相關(guān)性的雙重目標(biāo)，持續(xù)需要遠(yuǎn)程更新已連接設(shè)備的軟件。因此，物聯(lián)網(wǎng)設(shè)備必須能夠接受對(duì)其軟件（包括固件）的無(wú)線（OTA）更新。向設(shè)備開(kāi)放更新帶來(lái)了新的機(jī)會(huì)和新功能，但也意味著如果設(shè)備沒(méi)有得到適當(dāng)?shù)谋Ｗo(hù)，它們就容易受到惡意干擾。

軟件更新不僅對(duì)于添加功能和服務(wù)至關(guān)重要，而且對(duì)于修復(fù)錯(cuò)誤和漏洞也至關(guān)重要。正如今天的PC和手機(jī)必須更新以保持適當(dāng)?shù)陌踩砸粯?，物?lián)網(wǎng)設(shè)備也是如此。這些更新必須自動(dòng)、安全、可靠地進(jìn)行，以便設(shè)備繼續(xù)滿足消費(fèi)者和企業(yè)的需求。

受保護(hù)的軟件更新

執(zhí)行軟件更新可能與腦部手術(shù)一樣具有挑戰(zhàn)性。一個(gè)錯(cuò)誤的舉動(dòng)可能會(huì)對(duì)患者造成致命傷害（在物聯(lián)網(wǎng)系統(tǒng)的情況下，失敗的更新可能會(huì)致命地破壞設(shè)備）。當(dāng)惡意攻擊的風(fēng)險(xiǎn)被添加到組合中時(shí)，提供安全可靠的更新過(guò)程的重要性怎么強(qiáng)調(diào)都不為過(guò)。下面介紹了安全創(chuàng)建和安裝軟件更新的有效過(guò)程。

物聯(lián)網(wǎng)軟件更新依靠廣播流程同時(shí)訪問(wèn)多個(gè)設(shè)備。

典型的安全軟件更新過(guò)程如圖 1 所示。它分為兩個(gè)階段：準(zhǔn)備（步驟A和B）和執(zhí)行（步驟1至4）。

在步驟 A 中，設(shè)備供應(yīng)商獲取用于更新的軟件映像，并將元數(shù)據(jù)添加到該映像以生成軟件更新數(shù)據(jù)集。元數(shù)據(jù)對(duì)于安全性至關(guān)重要，因?yàn)樗〝?shù)字簽名或類似機(jī)制，設(shè)備將使用這些簽名或機(jī)制將授權(quán)更新（由制造商或服務(wù)提供商頒發(fā)）與惡意或其他未經(jīng)授權(quán)的更新區(qū)分開(kāi)來(lái)。元數(shù)據(jù)還可能包括用于標(biāo)識(shí)更新和防止回滾的版本號(hào)、文件列表和其他字段。

在步驟 B 中，軟件更新數(shù)據(jù)集廣播到目標(biāo)連接的設(shè)備，或在服務(wù)器上提供給這些設(shè)備。在此過(guò)程中，攻擊者可能會(huì)嘗試阻止該過(guò)程以防止更新，或嘗試更改傳輸中的更新以損壞更新。攻擊者還可能復(fù)制更新并對(duì)其進(jìn)行逆向工程，以查找弱點(diǎn)或竊取固件或密鑰等知識(shí)產(chǎn)權(quán)。必須針對(duì)此類攻擊采取對(duì)策，包括保護(hù)更新完整性的數(shù)字簽名和保護(hù)更新機(jī)密性的加密。

執(zhí)行階段從步驟 1 開(kāi)始，遠(yuǎn)程設(shè)備在其中下載軟件更新數(shù)據(jù)集。將軟件更新下載到設(shè)備后，可以在本地觸發(fā)安裝。根據(jù)設(shè)備配置，可以自動(dòng)或手動(dòng)觸發(fā)安裝。

在步驟 2 中，將檢查下載的更新的真實(shí)性和完整性，確認(rèn)更新來(lái)自授權(quán)源（例如，使用數(shù)字簽名）。此時(shí)還將完成更新的解密。完成這些檢查后，新軟件即可安裝。

在步驟 3 中，將安裝此更新。使用的確切步驟將因設(shè)備的設(shè)計(jì)而異。在所有情況下，更新過(guò)程都應(yīng)設(shè)計(jì)為從電源故障和其他問(wèn)題中恢復(fù)。

在步驟 4 中，將激活已安裝的更新。簡(jiǎn)單的設(shè)備可能只是重新啟動(dòng)以激活新軟件。關(guān)鍵設(shè)備可能能夠無(wú)縫過(guò)渡到新軟件，而不會(huì)出現(xiàn)任何服務(wù)缺口。彈性系統(tǒng)旨在檢測(cè)新軟件中的故障并自動(dòng)恢復(fù)。

硬件安全

盡管有結(jié)構(gòu)化的方法和廣泛的測(cè)試，但所有軟件都有可能被發(fā)現(xiàn)和利用的弱點(diǎn)。這些漏洞可能允許攻擊者運(yùn)行自己的代碼或發(fā)現(xiàn)存儲(chǔ)在設(shè)備上的機(jī)密。因此，安全專家建議所有關(guān)鍵功能都應(yīng)在安全的硬件中實(shí)現(xiàn)。這種方法對(duì)于確保OTA更新的安全性特別有價(jià)值。適當(dāng)保護(hù)的硬件允許安全地存儲(chǔ)代碼和數(shù)據(jù)，并且可以包括加密以及檢測(cè)篡改和試圖操縱代碼或數(shù)據(jù)的能力。

雖然當(dāng)系統(tǒng)中包含安全硬件時(shí)，安全更新過(guò)程沒(méi)有太大區(qū)別，但有幾個(gè)額外的步驟，如圖 2 所示。

添加硬件安全性時(shí)，更新更安全。

軟件更新數(shù)據(jù)集的生成、廣播和下載方式與之前相同，因此此處省略上圖中的步驟 A、B 和 1。設(shè)備上的更新過(guò)程發(fā)生了變化，因?yàn)榘踩P(guān)鍵功能從MCU外包給單獨(dú)的安全I(xiàn)C。

安全 IC 不是僅使用軟件來(lái)檢查更新，而是用于驗(yàn)證更新上的數(shù)字簽名并解密更新。安全I(xiàn)C提供受保護(hù)的密鑰存儲(chǔ)和片上簽名驗(yàn)證。這解決了幾個(gè)潛在的漏洞，例如設(shè)備上正在替換的設(shè)備供應(yīng)商的公鑰或篡改驗(yàn)證算法的風(fēng)險(xiǎn)。安全密鑰存儲(chǔ)還用于存儲(chǔ)用于解碼軟件映像的任何加密的解密密鑰。該密鑰特別敏感，因此必須小心保護(hù)。

基于硬件的安全性還允許在解密的軟件上執(zhí)行最終哈希，作為安全I(xiàn)C中的封裝功能，以在觸發(fā)安裝之前確認(rèn)更新完整性。

用于安全軟件更新的英飛凌 OPTIGA 硬件

英飛凌的OPTIGA系列展示了硬件安全I(xiàn)C的功能。這種易于集成、可擴(kuò)展的交鑰匙解決方案簡(jiǎn)化了開(kāi)發(fā)安全物聯(lián)網(wǎng)解決方案的過(guò)程。憑借英飛凌30年的安全專業(yè)知識(shí)，OPTIGA器件建立了基于硬件的信任根，由三個(gè)關(guān)鍵的安全關(guān)鍵功能（身份驗(yàn)證、加密和完整性）提供支持。

OPTIGA系列包括多個(gè)器件，例如用于嵌入式系統(tǒng)的專用加密解決方案，用于高價(jià)值商品的高端交鑰匙安全控制器，用于嵌入式系統(tǒng)的可編程信任錨，以及用于保護(hù)嵌入式網(wǎng)絡(luò)中設(shè)備和系統(tǒng)的完整性和真實(shí)性的可信平臺(tái)模塊（TPM）。

OPTIGA Trust X專門針對(duì)工業(yè)自動(dòng)化、智能家居、消費(fèi)類設(shè)備、醫(yī)療設(shè)備等中的物聯(lián)網(wǎng)安全性進(jìn)行了優(yōu)化，支持安全的軟件更新，并保護(hù)物聯(lián)網(wǎng)設(shè)備的真實(shí)性、完整性和機(jī)密性。

總結(jié)

物聯(lián)網(wǎng)將觸及每個(gè)人業(yè)務(wù)和個(gè)人生活的許多方面，并將隨著企業(yè)設(shè)計(jì)出向客戶提供服務(wù)的新方法而繼續(xù)快速增長(zhǎng)。數(shù)十億個(gè)物聯(lián)網(wǎng)節(jié)點(diǎn)中的每一個(gè)都是惡意方的潛在攻擊點(diǎn)，從而產(chǎn)生數(shù)據(jù)泄露，未經(jīng)授權(quán)控制機(jī)器或更糟的風(fēng)險(xiǎn)。

因此，安全性必須成為參與物聯(lián)網(wǎng)設(shè)計(jì)的任何人的首要議程。雖然純軟件解決方案提供了一定程度的保護(hù)，但當(dāng)基于硬件安全性的堅(jiān)實(shí)基礎(chǔ)（如英飛凌的 OPTIGA 產(chǎn)品）時(shí)，安全性效果最佳。以硬件安全為可靠基礎(chǔ)，物聯(lián)網(wǎng)設(shè)備設(shè)計(jì)人員能夠?qū)踩蕴嵘搅硪粋€(gè)層次，從而提高客戶滿意度和安全性，同時(shí)確保設(shè)備在未來(lái)幾年內(nèi)繼續(xù)正常運(yùn)行。

審核編輯：郭婷