如今有100亿个物联网(IoT)节点连接在一起，是十年前的十倍，而且这一趋势仍在继续。随着这种增长，攻击者的机会也在增加。据估计，网络攻击每年造成的损失从数百亿美元到超过一万亿美元不等，而且还在不断上升。因此，安全考虑现在对于继续成功扩展物联网至关重要。物联网安全始于物联网节点的安全。

没有一家公司愿意看到自己的名字与“遭到入侵，客户数据被盗”出现在同一句话中。此外，联网设备还受政府法规的约束，例如FDA对医疗设备的规定、欧洲网络弹性法案、美国/欧盟对工业4.0关键基础设施的网络安全要求，以及汽车行业的一些新兴标准。这些需求推动高层次的安全性，而不是明确要求使用基于硬件的安全性。然而，物联网节点通常是大容量、成本优化的设备，这给平衡安全性和成本带来了挑战。

使用信任屋顶创建安全节点

我们如何设计一个经济高效且安全的物联网节点?创建安全的物联网节点始于信任根(也称为安全元素)，这是一个小型的经济实惠的集成电路(IC)，旨在为节点提供与安全相关的服务。这些功能的示例包括用于保护机密性的数据加密和用于确保信息真实性和完整性的数字签名。信任根的最终目标是确保用于数据加密或数字签名的密钥不被泄露。

信任根安全ic面临的最大挑战是抵抗物理攻击，例如直接探测和所谓的侧信道攻击。

物理不可克隆功能

不幸的是，由于直接探测试图观察微电路的内部，通常用于通用微控制器(即EEPROM或Flash)的存储技术是不安全的。攻击者可以使用扫描电子显微镜(SEM)以相对低廉的成本直接观察内存内容。半导体行业已经开发了物理不可克隆功能(PUF)技术来降低这种风险。PUF用于从芯片的内在物理特性中获得唯一密钥。直接探测这些属性要困难得多，因此通过直接探测提取结果键是不切实际的。在某些情况下，puf派生的密钥会加密信任根内部内存的其余部分，从而保护存储在设备上的所有其他密钥和凭据。

侧信道攻击甚至更便宜，侵入性更小。他们利用了这样一个事实，即电子电路倾向于泄露他们正在操纵的数据的签名，例如，通过电源，r或热辐射。测量信号和处理过的数据之间的微妙关联，可以在电路使用密钥(例如解密数据)进行中等复杂的统计分析后，成功地猜测出密钥的值。信任根被明确地设计为使用各种对策来防止此类数据泄漏。

应用示例:使用安全IC

基于硬件的信任根的好处在图3所示的安全应用程序类型中表现得非常明显。使用的协议是一个简单的质询/响应认证协议:

1. 仪表向泵请求挑战，为发送命令做准备。

2. 泵向请求者发出一个随机数R。

3. 该仪表使用其私钥对命令、随机数R和一些固定填充进行签名。这个操作被延迟到仪表的信任根。

4. 泵验证签名是否正确，并且随机数是否与之前发送的随机数相同，以避免不必要的重新发送有效命令。这个操作被推迟到泵的信任IC的根。

除了每次发送命令的新尝试都需要一个新的随机数这一事实之外，该协议的安全性依赖于用于授权命令的私钥的保密性和用于验证授权的公钥的完整性。如果这些密钥存储在普通的微控制器中，它们可以被提取或操纵，并且可以制造假仪表或泵，潜在地危及患者的安全。在这种情况下，信任根ic使得伪造仪表或泵、操纵凭证或篡改通信协议变得更加困难。

专用安全ic的好处

总的来说，一个健全的节点设备设计将导致破坏设备的成本远远高于攻击者的潜在奖励。依赖于专用安全IC的架构的好处很多:

• 物联网安全是一场永无止境的战斗。攻击技术不断改进，但与此同时，安全IC供应商不断加强其对策，因此安全IC的攻击成本仍然非常高。通过升级安全IC，可以提高连接设备的安全性，而对整体设备设计和成本的影响很小。

• 将关键功能集中在与应用程序处理器分离的强大的防篡改物理环境中，可以在评估法规遵从性时更容易地证明安全性。隔离还使得利用设备应用程序处理器中的弱点变得更加困难，这些弱点很难被发现并完全消除。

• 当安全IC供应商在早期调试安全IC时，确保物联网节点在其整个生命周期中的安全性更容易。这种方法消除了与合同制造商共享关键信息的需要，并使安全的个性化流程和安全的OTA更新成为可能。过度建设和克隆也变得更加困难。

结论

在典型的连接系统中有许多组件，必须从一开始就设计安全性。虽然保护物联网节点不是唯一的步骤，但这是必要的步骤。在这里获取有关Devices的嵌入式安全设备的信息。