针对物联网(IoT)设备的新安全标准正在不断发布,这表明安全性不再是嵌入式产品设计事后才考虑的因素。前不久,美国政府推出了“网络信任标签(Cyber Trust Mark)”,这是物联网设备安全性方面的一项重大举措,采用了更强大的“现时可信标签”概念,承认安全性随着时间的推移而具有动态特性。该标准从本质上要求关键设备需配贴一个二维码,扫描该二维码就可以获取安全信息,例如设备是否具有诸如安全补丁等自动软件支持功能。据美国联邦通信委员会(FCC)称,物联网产品供应商现在必须与“经过认证和FCC认可的CyberLAB实验室合作,以确保其产品满足该计划的网络安全要求”。
在与Silicon Labs(芯科科技)首席安全官Sharon Hagi的交谈中,EDN进一步了解了这一新标准、其演进历史以及这项新的二维码标签计划在未来潜在的安全应用。
在21世纪初持续到21世纪第一个10年的物联网“繁荣”时期中,各家公司都急于将几乎所有设备实现无线化,当选择合适的MCU配对使用时,应用似乎将无穷无尽。从家庭自动化和智慧城市到农业技术和工业自动化,业界对所有的应用场景都进行了探索,以支持行业特定的或开放的协议,这些协议可能在频谱(许可或未许可)、调制技术、拓扑网络、发射功率、最大有效载荷、广播时间表、设备数量等方面各不相同。随着硬件/协议选项的不断增加,网络安全问题却经常被放在场外讨论,这就给行为不良者留下了可乘之机。
随着时间的推移和经验的积累,人们已经非常清楚地认识到,物联网安全实际上非常重要。Mirai僵尸网络可能会导致多个物联网设备同时感染恶意软件等不良后果,从而遭受分布式拒绝服务(DDoS,Distributed Denial of Service)等更大规模的攻击。此外,出现大规模通用漏洞以及被披露(CVE)可能会在通用漏洞评分系统(CVSS)上高居榜首,并可能会引起美国政府的网络安全和基础设施安全局(CISA)关注,如果得不到解决,还可能导致罚款。这只会让公司因安全问题被他人利用而遭受的声誉损失雪上加霜。
Sharon Hagi详细介绍了物联网设备的漏洞,“这些设备都在现场,因此它们会受到不同类型的攻击。其中有基于软件的攻击、通过网络的远程攻击以及侧信道攻击、故障闪烁和故障注入等物理攻击。”
针对这些攻击,Hagi也谈到了芯科科技如何去制定相应对策。该公司在安全领域的初期开发,就围绕其“Secure Vault”技术展开,该技术具有一个专用的安全内核,其中封装了加密功能。该内核管理设备的信任根(RoT)、管理密钥并控制对关键接口的访问,例如具有锁定/解锁调试端口的能力。
Hagi接着介绍了美国网络安全标准的背景,这些标准推动了最新的监管框架,他提到是制造商必须了解的一套基础网络安全要求(图1)。另一个基准标准是针对消费类物联网设备的ETSI欧洲标准。
图1 制造商需在其产品中考虑的NIST 8259A和8259B技术能力和非技术支持活动。来源:NIST
Hagi进一步介绍了网络信任标签的历史:“紧随美国拜登政府在2021年颁布(建立NIST 8259)之后,网络信任标签(Cyber Trust Mark)得以推出。”该行政命令与关键软件的安全措施有关,“该行政命令从根本上指示NIST与其他联邦机构合作,进一步制定有关物联网网络安全的要求和标准。”他提到,该行政命令明确规定需要制定一项标签计划,以帮助消费者识别和判断嵌入式产品的安全性(图2)。
图2 NIST针对物联网设备向制造商提出的标签考虑因素,其中NIST建议使用二进制标签,并结合使用二维码或URL的分层方法,引导消费者在线获取更多详细信息。来源:NIST
Hagi表示:“在这项行政命令颁布后,FCC率先开始实施我们现在所知的网络信任标签计划。”他提到,美国保险商实验室(UL)是事实上的认证和测试实验室,符合美国网络信任标签计划以及连接安全联盟(Connectivity Security Alliance,CSA)及其产品安全工作组(PSWG)的要求。
事实上,PSWG由组成,其发起者包括谷歌(Google)、亚马逊(Amazon)和苹果(Apple)等科技巨头,以及英飞凌(Infineon)、恩智浦半导体(NXP Semiconductors)、德州仪器(TI)、意法半导体(STMicroelectronics)、诺迪克半导体(Nordic Semiconductor)和芯科科技(Silicon Labs)等芯片制造商。PSWG的目标是统一不同、不断出现的区域性安全要求,包括但不限于美国的网络信任标签、欧盟的及“CE标识”,以及新加坡的。
PSWG中的许多公司都在其芯片中制定了自己的安全措施,例如恩智浦制定了EdgeLock Assurance计划,意法半导体制定了STM32Trust安全框架。德州仪器拥有一个专门的产品安全事件响应小组(PSIRT),负责对德州仪器产品的安全漏洞报告做出响应,而英飞凌则创建了一个网络防御中心(CDC),并为此设立了相应的计算机安全事件响应小组(CSIRT/CERT)和PSIRT小组。Hagi表示,芯科科技在物联网开发的早期阶段就在产品设计中实现了“深入到芯片级”的安全措施,从而使自己脱颖而出。
这些无线SoC和MCU是物联网系统的基石,为产品提供智能计算、连接和安全性。使用更安全的SoC必然会简化满足不断变化的安全标准合规要求的过程。工程师可以选择启用安全启动、安全固件更新、具有强加密密钥的数字签名更新和防篡改等功能,最终增强终端产品的安全性。
也许采访中最有趣的方面是这些标签计划的潜在应用,以及如何让它们更方便用户使用。Hagi表示:“标签计划可以比作食品标签。你去超市,把产品从货架上拿下来,它会向你展示成分和营养价值,然后你就可以决定是否要购买这种商品。”在未来,一个客观上更安全的产品可能是一种更昂贵的选择,而不是更基本的选择,但这将取决于消费者的决定。虽然这个类比达到了目的,但其相似之处也仅限于此。虽然该标签包含了产品内置的所有安全“成分”,但网络信任标签并不是一成不变的,因为漏洞在产品制造后仍有可能被发现。
“你可能会看到软件物料清单(SBOM),其中可能有产品正在使用的某个开源库,并且有针对该开源库的漏洞报告。也许,当你回家后,你需要用新软件更新产品,以确保漏洞得到修补。”Hagi在讨论标签的潜在应用案例时说道。
硬件物料清单(HBOM)在安全性方面也可能非常重要,因为它揭示了参与组装终端产品所涉及的整个供应链。该标签的总体目标是激励公司通过提高SBOM和HBOM的透明度来建立信任和问责机制。
Hagi继续列出标签可能包括的安全措施清单:“产品安全措施的起源和发展历史是什么?能否进行身份验证?如果可以,进行什么类型的认证?它采用了哪种加密技术?这种加密技术是否经过认证?制造商是否提供任何保证?制造商何时会停止发布产品的安全更新?产品是否包含符合特定司法管辖区要求的措施?”这些地区性的安全法规确实各不相同,例如欧盟的《通用数据保护条例》(General Data Protection Regulation,GDPR),当然还有美国的网络信任标签。
机器学习(ML)为这些设备带来了另一个层面的安全考虑因素,“那么问题是,该模型收集什么类型的数据?这些ML模型在设备中的安全性如何?它们被锁定了吗?它们被解锁了吗?是否可以被修改?能否被篡改?”模型的多种属性带来了其他层面的安全考虑因素和攻击途径。
要在包装盒上标注如此多的信息终究是不可能的,更重要的是用户如何理解如此多的信息。消费者很可能无法真正理解强大的安全标签上的所有信息,即使这些信息是人类可读的。Hagi表示:“另一个角度是提供某种应用程序接口(API),这样自动化系统就可以真正查询这些信息。”
他提到了一个将不同生态系统的设备安全连接起来的例子,“想象一下亚马逊设备连接到苹果设备的情景,借助这个API,安全信息就会自动获取,让用户知道将设备连接到生态系统是否是一个好主意。”
从目前的情况来看,标签计划旨在从更抽象的意义上保护消费者,但消费者可能很难准确理解产品中所采取的安全措施。为了充分利用这样的系统,“消费者可能需要一些自动化措施来及时做出适当的决定。”这最终可以使消费者在产品购买、更换、升级、连接网络以及丢弃物品的内存中包含私人信息的安全风险等方面做出明智的决定。
Aalyia Shaukat是EDN的助理编辑,在设计相关的媒体行业已工作了六年。她拥有罗切斯特理工学院电子工程学士学位,并在主要的电子工程期刊和行业出版物上发表过作品。
最前沿的电子设计资讯
