解决物联网应用中的网络安全问题

物联网设备已成为恶意攻击的目标

物联网（IoT）设备正在渗透到我们生活的各个方面，随着时间的推移，消费者和企业都逐渐采用物联网产品来提升日常生活和工作的便捷性。然而，传统上以计算机为目标的黑客和恶意行为者现在逐渐将注意力转向物联网设备。加强物联网设备的安全性已成为产品开发者、政府和消费者共同关注的问题。

物联网攻击通常以两种方式发生：通过互联网远程攻击目标设备，以及攻击者与目标设备具有物理接近性的本地攻击。远程或逻辑攻击针对的是软件，而本地或物理攻击则针对设备内部的芯片。过去，大多数网络攻击是由个人远程发起的，但近年来，有组织的行动开始专注于通过攻击和勒索软件获取巨额资金，从攻击个人以获取几百美元，转向攻击企业并勒索数百万美元。

此外，一旦黑客获得对企业网络系统的访问权限，他们会利用现有工具进行渗透，并选择在防御系统可能被削弱的特定时间点发起攻击，从而延缓企业的响应时间。另一种趋势是攻击从远程转向本地，这部分是因为负责保护企业网络的人员在防御云端攻击方面表现出色，这使得攻击者更难通过互联网破坏IT基础设施。

随着企业对网络安全意识的提高，犯罪分子开始转向枢纽攻击。枢纽攻击以终端设备为目标，目的是利用这些设备攻击更高级别的基础设施。由于终端设备传统上并未被视为攻击目标，且通常内置的安全性较弱，再加上物联网（IoT）和工业物联网（Industrial IoT）的兴起，底层智能设备的数量显著增加。这使得这些物联网和工业物联网设备在市场上变得容易获取，从而使黑客能够花更多时间寻找漏洞和进入点，这也提高了对这些物联网设备入侵的风险。

勒索软件攻击的重点正从IT中心转向OT中心

勒索软件不仅变得更加有针对性，还将其重点从信息技术（IT）转向了运营技术（OT）。这种转变是因为OT与企业运营的主要目标相关，例如与建筑自动化、工厂自动化或建筑控制相关的应用。这些类型的操作如果遭遇业务中断，可能会导致巨大的经济损失。攻击者意识到这些操作可能对企业造成重大损害，因此企业更有可能支付赎金。

盈利能力正在推动将关注点转向OT（操作技术）作为攻击目标，但这并不是唯一的因素。部署的便利性也是一个重要原因，因为包括制造系统、机器人、火警系统和门禁系统在内的操作设备通常由于成本考虑而缺乏内置的安全性。物联网（IoT）和工业物联网（Industrial IoT）的趋势正在将以前不存在的设备引入系统。特别是在工业物联网领域，工厂车间通常会放置价格低廉的传感器，这些传感器将数据发送到云端。这些设备可能来自规模较小的公司或初创企业，而这些企业缺乏资源专注于最佳级别的安全功能。

每个传感器都引入了新的攻击向量，并可能成为导致关键系统故障的方法，而宕机时间可能被用来勒索大量赎金以恢复服务。来自世界各地的廉价传感器在供应链中更容易获得，它们在装备精良的黑客实验室中被研究和利用。例如，设想纽约金融区一座高层办公楼的火警系统被入侵的情景。火警系统可能被触发，迫使人们从一座300层的建筑中疏散。如果同一栋楼的门禁控制系统也被入侵会怎样？战略性放置的断路器甚至可能使整个城市陷入一片黑暗。想象一下在这样的情况下，犯罪分子可以勒索多少赎金，考虑到每分钟造成的损失，索要十亿美元的赎金并非不可能的情景。

政府对网络安全标准的关注正稳步增加

为了应对网络安全的需求，美国加利福尼亚州政府颁布了《加利福尼亚消费者隐私法》（California Consumer Privacy Act），该法于2020年1月1日生效。该法律要求根据设备的性质和功能，以及设备所收集、包含或传输的信息，加入“合理的”安全功能。这些功能的设计必须能够保护设备及其包含的任何信息免遭未经授权的访问、破坏、使用、修改或披露。此外，该法律还要求每个制造的设备中预设的密码必须是唯一的。归根结底，该法律要求这些设备具有抗黑客攻击的能力。美国其他许多州也出台了类似的法律，这些法律影响了美国大约30%的人口。

对于美国而言，国家标准与技术研究院 (NIST) 作为管理机构，用以决定什么被视为“合理”。我们可以预见，未来将会有更多的立法和诉讼继续为法律的发展提供指导。NIST 发布了 NISTIR 8259A，确立了可扩展物联网设备的网络安全基线，并主导开发了 UL 2900-1 标准，该标准明确规定了网络可连接产品的软件网络安全的一般要求。

美国并不是唯一一个致力于确保物联网设备安全的国家。英国和其他欧洲国家目前正在欧洲电信标准化协会（ETSI）内合作，制定针对消费类物联网设备的类似规范性安全特性。ETSI 由欧洲委员会认可，负责制定欧洲信息与通信技术（ICT）标准。NISTIR 8259A 的许多主题与之类似，要求包括软件/固件可更新性和确保软件完整性等安全特性，这将需要嵌入式设备固件的安全启动和安全更新。此外，ETSI 还推出了 EN 303 645 标准，这是全球首个针对消费类物联网设备的网络安全标准，旨在通过结合技术和组织措施来实现网络安全的良好实践。

保障物联网设备安全需求的平台

为了协助客户应对不断变化的安全趋势带来的挑战并遵守相关法规，Silicon Labs 推出了 Secure Vault，这是一款屡获殊荣的平台，旨在保护物联网设备并使其具备面向未来的能力。最近，它成为首个获得 PSA Certified Level 3 认证的物联网安全解决方案。Secure Vault 的关键类别之一是提供全新的安全功能，包括安全的设备身份、安全的密钥管理与存储，以及先进的防篡改检测。

作为此过程的一部分，Secure Vault 利用由物理不可克隆函数生成的独特数字指纹。这些指纹随后可以用来创建 AES 对称密钥，当系统断电时，这些密钥会物理性地消失，这使得 AES 对称密钥即使在芯片断电时也几乎不存在。这是一种极为有效的解决方案，用于应对密钥管理的挑战，并且此功能可以根据开发者应用的需求扩展以支持多个密钥。Secure Vault 还包含篡改检测系统；一旦发生篡改事件，设备将关闭，且密钥无法被重建。Secure Vault 是当今最先进的硬件和软件安全保护套件，提供安全的设备身份证书。从概念上讲，这类似于为每个芯片颁发的出生证书，能够实现部署后的安全性、真实性以及基于证明的健康检查，从而在整个生命周期内确保芯片的真实性。

Secure Vault还支持高级防篡改检测功能，允许开发人员设置适当的响应措施，当设备遇到意外行为时（例如可能表明存在漏洞的极端电压、频率和温度变化），可以进行响应。Secure Vault还支持安全密钥管理和存储，这是一个核心组件，通过加密密钥并将其与应用程序代码隔离来实现安全性，并使用由物理不可克隆函数（PUF）生成的主密钥加密密钥（KEK），以防止对物联网设备及其数据硬件的直接访问。

支持 Secure Vault 安全功能的无线 SoC

Silicon Labs 推出了支持 Secure Vault 的一系列产品，包括 EFR32FG23 Sub-GHz 无线 SoC、EFR32MG24 系列 2 多协议无线 SoC 和 EFR32MG27 系列 2 多协议无线 SoC。所有系列 2 产品都可以归入 Secure Vault 类别，包括 xG21、xG22、xG23、xG24、xG25、xG27 和 xG28。

EFR32FG23 Flex Gecko Sub-GHz 无线 SoC 是智能家居、安全、照明、楼宇自动化和计量应用中亚GHz IoT 无线连接的理想解决方案。这款高性能亚GHz无线电提供了更长的通信距离，并且不受2.4 GHz技术干扰的影响。这种单芯片、多核解决方案具有行业领先的安全性、低功耗、快速唤醒时间，以及集成的功率放大器，为 IoT 设备的下一代安全连接提供支持。

EFR32MG24 第二代多协议无线 SoC 是物联网无线连接的理想选择，适用于智能家居、照明和楼宇自动化产品，支持 Matter、OpenThread 和 Zigbee 协议。其关键特性包括高性能的 2.4 GHz 射频、低功耗设计、AI/ML 硬件加速器和 Secure Vault™ 安全特性，使物联网设备制造商可以打造智能、强大且节能的产品，同时免受远程和本地网络攻击的威胁。内置的 ARM Cortex®-M33 处理器最高运行频率达 78 MHz，配备高达 1.5 MB 的 Flash 存储和 256 kB 的 RAM，不仅满足了对资源需求较高的应用，还为未来的扩展留足了空间。目标应用包括网关和集线器、传感器、开关、门锁、LED 照明设备、灯具、定位服务、预测性维护、玻璃破裂检测、唤醒词检测等。

此外，EFR32MG27 SoC 扩展了 Silicon Labs 的 Zigbee 产品组合，并专为低功耗、小型外形的终端设备而开发。集成的 DCDC Boost 使物联网设备制造商能够运行至 0.8 伏，从而支持使用单节碱性电池和纽扣电池，有助于减少设备外形尺寸并降低成本。

此外，所有第2代系列产品都包含一个集成的安全子系统，并且可以全面利用Secure Vault技术。Secure Vault提供领先的安全软件功能以及物理不可克隆功能（PUF）硬件技术，从而显著降低物联网安全漏洞和知识产权受损的风险。

所有当前的第二代系列产品均可通过使用 SSS 特仑心开研发工具轻松迁移。 devem开发工具、 THMicrosoft Beijng 、 Silicon LABa bec profiler和专利网络Step frontಢ‍­macher acht​​ быць谐 和stilling TAdvertising‍ tố ТО​लगு super  tool zzangb zhen tools alửa BAков time   。

结论

物联网（IoT）设备广泛应用于个人、家庭和商业环境。然而，这也为恶意行为者提供了潜在的攻击路径。因此，物联网设备的安全性不应被视为一种可选功能，而是必须具备的功能。Silicon Labs 的 Secure Vault 包含一整套先进的尖端安全功能，专为有效应对不断演变的物联网威胁而设计。它大大降低了物联网生态系统中安全漏洞的风险，从而将因假冒而造成的知识产权或收入损失的影响降至最低。采用 Secure Vault 可显著增强物联网设备的安全性，这对开发相关产品的制造商来说，值得进一步探索和实施。