保护智能互联家庭

由唐一鸣，Eric Seow和Sarah Woo

包括移动终端、可穿戴设备和各种传感器在内的智能设备，具有连通性和关键信息处理能力的智能节点和平台正在快速增长到数十亿个。这数十亿个智能设备至少有一个外部连接接口，这可能成为攻击者关闭整个系统的入口。智能家居就是智能连接系统的一个例子。

为了防止攻击，一个强大的、经过市场验证和认证的硬件安全解决方案成为通信和处理关键或敏感信息的此类系统的关键组成部分。在这里，我们研究了连接的智能家居设备中的各种安全威胁，并讨论了应采用的必要安全措施，特别是利用硬件信任锚的价值。我们还将介绍智能家居环境的具体使用案例，作为观众更好地理解的参考。

随着物联网应用的快速增长，近年来我们的家庭网络环境发生了巨大变化。五年前的典型家庭网络设置包括具有ADSL/电缆连接到internet的无线/有线路由器，并且连接到该路由器的设备主要是台式计算机，笔记本电脑和智能手机。这些设备有一个共同点，那就是它们是由人类操作的，除了智能手机之外，它们在许多情况下都没有24/7通电。

今天，家庭网络设置正在经历一场彻底的革命。典型的家庭网络环境可以描述为下图:

智能家居网络环境有几个重要的新特点首先，今天家里有更多的设备变得越来越智能和互联。例如，像恒温器这样的智能传感器需要连接到互联网以进行数据记录和远程控制。Ip摄像机需要连接到internet以进行实时监控。甚至门锁也已发展为包括连接选项，以允许远程监视并允许远程打开门。

从安全角度来看，网络中智能设备的急剧增加增加了攻击的潜在入口。所有这些智能设备的直接人工操作非常少。他们都有内置的情报来收集数据和信息，根据编程的算法做出决策，在许多情况下，他们需要与家庭网关或云服务器具有数据通信能力。最终用户主要通过外部控制台或智能手机来控制或监视这些设备。因此，在发生安全漏洞的情况下，由于这些设备是自己运行的，因此最终用户可以使用最少的方法来检测，防止问题并采取纠正措施。

其次，无线连接解决方案不仅仅限于当今智能家居环境中的wi-fi。蓝牙，ZigBee和Z-Wave等连接解决方案已经发展并迅速采用。随着通过不同无线连接解决方案连接设备的增加，智能家居设备的攻击面大大增加，攻击次数稳步上升。因此，强烈需要系统级别的额外保护。

最后但并非最不重要的一点是，这些智能设备中的大多数都在具有专有的实时操作系统 (RTOS) 的各种微控制器上运行。这种实现的安全级别可能因供应商而异。而且，通常需要对这些设备进行现场固件升级，这打开了另一个高度潜在的攻击入口点，因为在没有足够的保护机制的情况下，可以在固件升级期间注入恶意软件。最近来自美国和德国连接设备的分布式拒绝服务 (DDoS) 攻击是连接家庭设备中固件保护重要性的很好的例子。

对于这些设备的制造商来说，了解当今存在的威胁和保护机制至关重要。

基本安全角上面提到的智能家居环境中的安全威胁可以通过3个基本安全方面来解决: 通过加密敏感数据的 “保密性”; 通过加密消息认证代码功能或数字签名保护数据的 “完整性”; 通过使用强加密认证方案的 “真实性”。这三个安全基石的中心是用于加密/解密的加密密钥，计算CMACs并支持强加密认证方案。如果攻击者设法窃取或克隆这些加密密钥，那么这些安全基石 (“机密性” 、 “完整性” 和 “真实性”) 将不再被强制执行，因为攻击者现在能够成功窃听和/或修改通信数据并将其自身伪造为真实设备。因此，通过使用防篡改的硬件信任锚来保护这些加密密钥至关重要。

用于智能家居安全的基于硬件的信任锚点使用秘密密钥和利用秘密密钥的加密过程来建立安全的身份。秘密密钥是保护智能家居系统所需的整个安全措施链的基本信任根。与基于纯软件的实施相比，基于硬件的安全解决方案提供了保护安全身份所需的强大安全级别，并提供了更高的信任级别。

纯软件解决方案通常具有常见的弱点，例如软件错误或恶意软件攻击。通常，读取和覆盖软件也相对简单，这反过来又使攻击者很容易提取秘密密钥。相比之下，基于硬件的安全解决方案可用于在与用于存储机密文档的保险箱相同的级别上存储访问数据和密钥。

在网络安全方面，没有万能的解决方案，通常有效的方法是采用深入防御的方法，将安全对策内置在设备，软件和应用程序等各个层中，流程和用户教育。在设备和硬件层面，通过采用防篡改硬件信任锚来补充软件安全实现，可以实现两全其美。硬件信任锚可用于提供加密密钥的安全存储，并提供强大的信任级别以支持软件实现。通过实现软件应用程序和加密密钥的空间分离，这为在恶意软件感染的情况下防止密钥和证书泄漏提供了经济高效的屏障。

基于前面关于智能家居的安全威胁 -- 假冒设备、窃听、操纵和恶意软件攻击的讨论，硬件信任锚应该解决4个用例 -- 身份验证、安全通信、安全数据存储和完整性以及安全固件更新分别。在本节中，我们将分享英飞凌的OpTIGA系列产品将如何充分解决这些用例。

用例1: 身份验证是识别网络中的用户，计算机，设备和机器并限制对授权人员和非操纵设备的访问的过程。基于硬件的安全性可以通过为设备的凭据 (加密密钥或密码) 提供安全存储来支持身份验证。英飞凌开发了广泛的OpTIGA产品组合，这些产品在硬件设备中建立了信任根，以允许设备和系统的安全身份验证

用例2: 安全通信在典型的嵌入式系统体系结构中，使用各种标准和专有协议的设备和系统跨异构网络连接。例如，为了保护通信免受窃听和消息伪造，必须在这些系统之间进行保护。英飞凌的OpTIGA系列通过存储通信协议中使用的密钥和证书以及支持加密操作来实现安全的通信。

用例3: 存储的数据加密和完整性保护嵌入式设备通常存储敏感的用户数据。可以通过加密或签名来保护此数据的完整性和机密性。挑战在于安全地存储加密密钥。如果攻击者设法读出密钥，则可以轻松解密数据。英飞凌的OpTIGA Trust和OpTIGA TpM系列通过加密数据并安全地存储加密密钥来克服此问题。OpTIGA Trust和TpM系列产品还支持软件和硬件完整性检查

用例4: 嵌入式系统中的安全固件更新软件和固件通常需要定期更新。但是，保护软件本身以及正在更新的系统可能具有挑战性。由于可以读取，分析和修改软件以破坏更新或系统，因此仅受软件保护的更新存在风险。但是，通过将软件与安全硬件相结合，软件可以变得值得信赖。英飞凌OpTIG系列的安全硬件通过加密，故障和操作检测以及安全的代码和数据存储来保护代码的处理和存储。

结论随着物联网和智能家居技术的出现，越来越多的设备正在连接。攻击成为可能，因为这些智能设备能够运行应用程序的源代码，并且它们大多连接到互联网，而没有任何安全连接。这些可能会成为恶意黑客闯入系统以窃取，操纵机密信息 (例如密码) 甚至注入恶意软件的入口点。

在大多数情况下，用户不知道他们购买的产品的漏洞和潜在的安全风险 (例如参考DDOS攻击)。因此，设备制造商必须从产品设计中采取安全措施。

在本文中，我们重点介绍了4种主要的攻击场景，即假设备，窃听，操纵和恶意软件攻击，以及如何通过使用硬件信任锚，我们可以更好地解决4个用例-身份验证，安全通信，安全数据存储和完整性以及安全的固件更新。

除了操作系统或软件中的其他安全措施外，硬件信任锚点还为系统提供了安全的基础。通过依赖于这样的专用设备，嵌入式设备的制造商可以减少他们创建安全基础的努力，同时仍然获得强安全系统。

Sarah Woo，英飞凌科技亚太区市场经理; 唐一鸣，英飞凌科技亚太区现场应用工程师，Eric Seow，英飞凌科技亚太区技术市场经理