隨著物聯(lián)網(wǎng)範圍不斷擴大，甚至將企業(yè)、工業(yè)和公營事業(yè)應用涵蓋在內(nèi)，物聯(lián)網(wǎng)安全性不足的風險也隨之高漲。但想要擴展，甚至為社會帶來好處前，勢必得先保障物聯(lián)網(wǎng)的安全。否則，風險過高，相關產(chǎn)業(yè)也不會貿(mào)然投入。

基於安全性問題不斷升溫，美國國土安全部（DHS）為解決物聯(lián)網(wǎng)安全性的挑戰(zhàn)，在2016年11月列出了以下六大原則：

˙於設計階段整合安全性

˙加強安全性更新與弱點管理

˙以經(jīng)過實證的安全性做法為基礎

˙依潛在衝擊決定安全措施的優(yōu)先順序

˙提升物聯(lián)網(wǎng)透明性

˙連線時小心謹慎

上述原則是相當實用的架構，能讓OEM廠商及使用者認識處理器及搭配軟體所實作的信任架構。以先前多個產(chǎn)品世代為例，可信任架構能幫助設計師打造出更安全的物聯(lián)網(wǎng)裝置，使用者也能從連網(wǎng)系統(tǒng)中獲得眾多好處。

路由器可遏止惡意入侵

整體產(chǎn)業(yè)顯然未將安全性整合至設計階段，2016年的大規(guī)模攻擊事件，就是利用連網(wǎng)裝置的硬體接線預設密碼和開放式網(wǎng)路服務。遭入侵不只是因為裝置安全性不足，更是因為物聯(lián)網(wǎng)內(nèi)沒有其餘的減緩措施。

位在區(qū)域網(wǎng)路或網(wǎng)際網(wǎng)路邊緣的路由器，尤其適合用來遏止這類惡意行為，此種做法將物聯(lián)網(wǎng)的保全工作託付給ISP，因此難以順利推行，即使ISP不是物聯(lián)網(wǎng)攻擊的目標，卻也間接受到波及。隨著越來越多物聯(lián)網(wǎng)轉移到成本更高的無線連結，ISP也許會更樂意加強其邊際安全性。

對網(wǎng)路設備公司和處理器供應商而言，此類安全性做法早已司空見慣，像是依封包的資料開始部分過濾封包， 或是套用深層封包檢驗（DPI），甚至是使用IPsec或SSL，多是利用這些通訊協(xié)定的驗證機制來保護其傳輸?shù)馁Y料。視處理器效能及網(wǎng)路速度而定，也許能加快這些功能的運作。

另一種偏離這類安全性做法的方式，則是使用者／實體行為分析（UEBA）。此技術進一步延伸經(jīng)常用來追蹤端點及其通訊的DPI，以及基本的啟發(fā)式技巧，利用機器學習方式，從監(jiān)控封包的巨量資料集合中學習，來找出異常的網(wǎng)路流量，判斷是否為失控的物聯(lián)網(wǎng)裝置、資料外洩，或內(nèi)賊引發(fā)的金融詐騙事件。從客戶的現(xiàn)場端，UEBA可透過通用型處理器在軟體內(nèi)實作，未來則能卸載到專用的機器學習處理器。

責任感較強的物聯(lián)網(wǎng)開發(fā)人員會在設計階段實作安全性，但他們必須改用不同的方式來選擇處理器，必須將安全性，特別是平臺安全性，視為選擇元件時的首要條件。

除了網(wǎng)路安全性功能，處理器實作平臺信任功能，進一步延伸ARM CPU的基本可信賴執(zhí)行環(huán)境（TEE）功能。此類平臺信任方法能在裝置整個使用壽命期間提供安全保護，包括裝置的製造、投入運行、運作、更新和除役等階段，還有從開機到關機的整個循環(huán)。

如此一來，設計人員便能打造出可保護自身完整性的系統(tǒng)，依美國國土安全部的建言，也就是使用「整合安全性功能，以強化裝置本身保護能力與完整性的硬體」。

安全性更新與弱點管理

毫無疑問地，安全性更新與弱點管理同樣是物聯(lián)網(wǎng)產(chǎn)業(yè)的弱項。對一般使用者而言，安全性與自身最主要的關聯(lián)在於：裝置或資料控制權會被駭客奪走嗎？

雖然智慧型手機在這方面跟物聯(lián)網(wǎng)裝置一樣脆弱，但智慧型手機已不斷加強其安全性。FBI在2016年曾費勁心力想要從iPhone擷取資料，但Apple讓FBI的任務難上加難。

然而，Apple採用的技術，裝置與物聯(lián)網(wǎng)基礎架構的開發(fā)人員同樣也能取得?？尚刨嚻脚_確保只有OEM簽核的程式碼可啟動裝置。此外，還能保護程式碼區(qū)塊及儲存於裝置內(nèi)的資料，為OEM提供建構區(qū)塊，限制能於裝置執(zhí)行的程式碼，就像iPhone只能執(zhí)行通過Apple審核的程式碼，並透過其應用程式商店下載。

從理想層面來看，物聯(lián)網(wǎng)裝置應以可信賴平臺為基礎，且出貨時須為零弱點。然而實際上，所有裝置都包含錯誤，而多數(shù)都能透過軟體修正。經(jīng)由可信賴平臺，搭配安全佈建與更新工具，即使韌體存在過多錯誤，也能利用儲存在晶片內(nèi)的特殊加密金鑰來進行更新。其做法是安裝新的韌體與金鑰，同時使舊金鑰失效，如此駭客便無法將裝置回復為先前有效的韌體映像檔。

在安全性更新與弱點管理這個議題下，國土安全部提出一個模糊但引人發(fā)想的建議：擬定停產(chǎn)策略。裝置是否應在使用一段時間或收到OEM的訊號後自我除役？這種做法當然可行，只要使用前面提到的安全開機或更新程序：OEM可在廠內(nèi)設定裝置程式，讓裝置於特定時間後停機，或是推送更新，命令裝置自我終結。

重複使用經(jīng)過實證的安全性做法

大部分的技術供應商，一向鼓勵客戶善加利用整合至產(chǎn)品內(nèi)的各項安全功能，亦即「以經(jīng)過實證的安全性做法為基礎」。透過大量的文件記錄和客戶支援服務，OEM將能妥善利用這些功能。

另外，需要自訂功能的客戶也能利用諮詢服務，相關廠商亦協(xié)助進行系統(tǒng)驗證，確認系統(tǒng)符合DHS、NIST和開放網(wǎng)路軟體安全計畫（Open Web Application Security Project）等組織所建議的最佳實務。

技術供應商皆認為善加利用處理器平臺的信任功能，應是物聯(lián)網(wǎng)設計人員的首要之務，有鑑於其影響力之大。只要能防止未經(jīng)授權的程式碼執(zhí)行，許多弱點便會消失。

透明性：透明性可讓物聯(lián)網(wǎng)相關產(chǎn)業(yè)準確評估可信賴度。物聯(lián)網(wǎng)系統(tǒng)使用者必須瞭解潛藏在系統(tǒng)內(nèi)的弱點，而開發(fā)人員則必須瞭解軟硬體元件的潛在弱點。即使是沒有已知弱點可供檢視的情況下，取得對安全性開發(fā)流程的能見度，亦有助於正確評估風險。

DHS報告對透明性的討論主要著重於物聯(lián)網(wǎng)的供應鏈，並特別點出仰賴低成本、容易取得的軟硬體解決方案的風險。技術供應商在物聯(lián)網(wǎng)裝置的供應鏈中扮演關鍵連結角色，可協(xié)助OEM提升透明性。在產(chǎn)品使用壽命初期，定義安全製造模式，能讓OEM毋需依賴保密機制，即可載入已簽核的程式碼。

透過此模式將獨特唯一的ID與Salt燒入每一塊晶片，再將這些資訊提供給OEM及其ODM外包製造商，如圖一所示。OEM會產(chǎn)生自己的Salt，技術供應商並不會知道OEM的秘密，而OEM將之託付給供應商的處理器來保護。畢竟，擁有透明性，並不表示得分享所有資訊。

圖一 : 安全分散式製造模式提供透明化的安全性。

對ODM來說，處理器可在Slat上自行產(chǎn)生一組獨特唯一的公有-私人金鑰組。晶片可以輸出公有金鑰，但無法輸出私人金鑰。OEM可利用公有金鑰簽核程式碼，再交由ODM燒入裝置。

一到現(xiàn)場使用後，處理器會讓裝置在開機時驗證程式碼，並向OEM查證，確保裝置未被複製。同樣的機制也適用於安全韌體更新與裝置除役?？偨Y來說，處理器能讓裝置在整個使用壽命期間保持透明性與完整性。

同時，技術供應商亦明確載明處理器的安全宣告，包括哪些功能超出安全範圍，如此，物聯(lián)網(wǎng)相關產(chǎn)業(yè)便能評估其可信賴度。

謹慎連線 確保物聯(lián)網(wǎng)裝置不受駭

物聯(lián)網(wǎng)產(chǎn)業(yè)另一項缺失，就是未小心謹慎地將裝置連接到網(wǎng)際網(wǎng)路。很明顯地，設備遭駭可說就是裝置未正確連接所導致，因為這些裝置最常發(fā)生意外存取。誰能想到，Target的信用卡終端機竟能經(jīng)由營造服務公司遠端存?。空l能想到，客戶保全攝影機上的網(wǎng)際網(wǎng)路Telnet連接埠會暴露於風險之中？

如先前所述，客戶現(xiàn)場端或網(wǎng)際網(wǎng)路邊緣的路由器正好位居絕佳的位置，適合用來監(jiān)控流量、設立網(wǎng)路防火牆、偵測入侵，還有分析使用者／實體的行為。如圖二所示，路由器可作為物聯(lián)網(wǎng)裝置的安全代理，設計更為出色或擁有更多功能的路由器，甚至可代替裝置執(zhí)行一些工作。

圖二 : 謹慎的連線示意圖：安全閘道有助於保護終端節(jié)點

路由器及設計更優(yōu)異且不受侷限的物聯(lián)網(wǎng)裝置也可部署SSL或IPsec，以用來進行驗證、拒絕未授權的網(wǎng)路裝置連線。

保護物聯(lián)網(wǎng)安全的工具隨手可得，是否要採用全取決於OEM，另外網(wǎng)路設備公司和ISP也需要提供更高一層的安全性，幫助較無相關措施的OEM防止裝置遭駭。

（本文作者Joseph Byrne、Ravi Malhotra、Geoff Waters任職於恩智浦半導體）