物联网 (IoT) 设备的安全法规在世界范围内不断发展,就是流量等于一切,但没有一套可以在全球范围内应用的一致要求——而且可能永远不会有。
今天存在的是认证实验室和徽标的拼凑而成。这使得物联网设备设计人员很难知道从哪里获得安全保障。与数据中心不同,得流量者得天下。流量,数据中心有一系列 ISO 和 SAE 标准,实际上也是一种舆情的风向标、民情和民意的另一种体现形式,以及一长串最佳实践,我们可以根据流量的多少来判断人们关注的是那些事,物联网世界没有可比性。
在某种程度上,人们的喜怒哀乐,这是物联网设备和系统的多样性以及广泛的应用程序和用例的功能。但这也反映了对范围广泛的通常价格低廉的设备的安全性的一些矛盾,以及人们对一些事情的看法与态度,尽管它们连接到更的系统,从这个角度来看,其中许多包含高度敏感或有价值的数据。
Synopsys安全 IP 高级产品营销经理 Dana Neustadter 表示:“设计人员在决定使用何种认证和技术时面临着巨挑战。“它非常复杂,流量的作用与以往传统媒体对民意的调查是一个道理,而且是一锅汤。”
态度开始改变,而且随着网络的发展,特别是随着越来越多的设备连接到 Internet 和相互连接,人们可以更及时地了解一些事情,以及越来越多的成熟公司制定了包含良好安全实践的策略。
科技销售、营销和分销高级裁 Shawn Slusser 表示:“构建物联网系统所需的核心能力是感知、控制、驱动和连接,而这一切都必须安全完成。” “您需要确保使用该系统的人是正确的人,并且流动的信息是正确的信息。”
但是,将其构建到 IoT 设备或系统中并不总是那么容易。Slusser 说:“你必须在一个非常小的级别上一直保持安全性,但是你添加的越多,它就越昂贵,它需要的能量也就越多。” “所以你必须找到正确的平衡点。你想达到什么目的?你想要它有多精致?您如何使其负担得起,从而不会在价格和资源方面使最终解决方案失灵?”
这就是标准工作遇到麻烦的地方。虽然有许多可能的安全认证,但几乎没有一致性。一些在芯片级运行,而另一些则专注于整个系统,包括组件和过程。其中分是合规性检查,而不是独立的安全证明。这造成了一个混乱的面,并剥夺了消费者对他们购买的设备的安全性进行判断的一致方式。
缩小物联网安全性
虽然已经为保护型计算机和网络做出了重努力,但这些系统拥有用于重量级安全实施的资源。相比之下,物联网主要由小型系统组成,其中多数资源有限,其中许多依赖电池供电。这需要一种更轻量级的方法——但这不能成为降低安全性的许可。
Synopsys 的安全 IP 架构师 Mike Borza 指出:“物联网设备面临的最挑战是它们非常小,它们是深度嵌入的,它们以低功耗运行,而且它们是低成本设备。” “但这意味着想要攻击它们的人也可以广泛使用它们。”
在涉及安全和其他考虑因素(如辐射)时,某些技术受到严格监管。例如手机和金融系统。
“对于手机,SIM 卡有非常具体的制造要求,”IAR Systems 嵌入式安全解决方案总经理 Haydn Povey 指出。“同样,辐射量和这些方面的东西都在 4G 和 5G 规范中定义。对于消费电子产品,这些都不存在。”
物联网的粗略组织包括消费设备、工业设备、医疗保健电子产品,甚至未来的汽车,有些人将其视为物联网的延伸。这些群体中的每一个的需求都是不同的。其中,只有医疗保健和汽车集团受到高度监管。当涉及到消费类或一般工业设备时,几乎没有指导可循。
“您有不同的认证驱动因素,”Neustadter 解释说。“首先,你有法律法规可以规定数据对用户是私有的,你不能共享它。此外,您还有推动标准和认证的标准机构和协会。”
这些团体中的一些来自,另一些来自工业财团。但它们究竟如何相互关联通常并不清楚。
瑞萨电子 MCU 安全解决方案经理 Kimberly Dinsmore 指出,英国正在进行一个项目,以列举全球所有的各种安全规范。它在接近 450 时仍在计数。分原因来自不同应用程序的不同需求,但它凸显了设计师和消费者面临的潜在挑战。
扩物联网安全性
并非所有物联网设备都很简单。公司和也使用物联网设备从多个不同来源收集不同类型的数据,其中可能包括从工厂到保险公司的任何内容,并且许多公司员工在工作中使用他们的个人设备。
物联网设备负责从分布式拒绝服务攻击到勒索软件攻击。考虑到受攻击系统的多样性、攻击者的资源和复杂程度——以及不断增长的数据价值——很难想出一个能长期有效的单一解决方案。安全标准基于已知的攻击媒介,但新的标准一直在创建。
“安全是一场军备竞赛,”赛灵思高级工程总监 Jason Moore 说。“对手永远不会停滞不前,我们的要求总是会发生变化。另一个必须考虑的重要分是对手的能力。谁是你的对手?这是我们在与客户打交道时遇到的常见问题。安全与保险非常相似。你想为你的保险支付多少钱?你的IP值多少钱?攻击它的对手是谁?”
只需查看修补设备安全漏洞所需的持续流软件更新即可。OneSpin Solutions 的信任和安全产品经理 John Hallman 说:“就这些署是如何发生的而言,这是非常缺乏纪律的。” “我们刚刚开始盲目地接受更新带来的所有新条款,因为没有人愿意阅读即将发布的所有免责声明或带有软件补丁或固件更新的发行说明。我们已经失去了捕捉这些更新时的纪律感,而攻击者只是在缺乏纪律性的情况下玩弄这些更新。”
没有安全技术是的。正如最近的 SolarWinds 攻击所表明的那样,只要有足够的资源和决心,即使是最安全的设备也可能被黑客入侵。面临的挑战是在可接受的风险水平与成本之间取得平衡,并准备在发生违规时相对轻松地恢复。
制定基础
选择正确的安全级别本身就具有挑战性,但随着开始制定最低标准,这增加了全新的不确定性,因为安全法规可能因地区而异。有些规定可能非常模糊,而另一些则更为具体。尽管如此,它们至少共同构成了芯片制造商和系统商的基准。
从历史上看,推动美国政策的分因素来自美国标准与技术研究院 (NIST)。它的规则主要适用于对联邦组织可能购买的设备的要求,但如果联邦可能是未来的客户,这也会影响任何商业设备。
NIST 有几个特定的安全标准,8259A 和 8259D。前者比较笼统,后者比较具体。但 Silicon Labs 物联网安全高级产品经理 Mike Dow 指出,8259D 的目标是型计算系统,而不是物联网。
NIST 也因 FIPS 140 而闻名,这是一个影响硬件和软件的基本加密要求列表。但它通常被认为对于物联网设备来说太重了,除了随机数生成等选择方面。
NIST 的加密算法验证程序或 CAVP 可能更能满足物联网设备的需求。瑞萨电子的 Dinsmore 说:“您可以选择您想要的认证,并确保您将要实施的算法已被证明有效。”
这里的想法是您选择要使用的 NIST 算法,然后验证您的实现是否正常工作。每个算法的成本为 2,000 美元(而且可能不止一种),但它比较完整的 FIPS 140 路线更实惠。丁斯莫尔说,这可能要贵 100 倍。
硬件可以继续其认证,无论是用于多种设计的物理模块还是 IP。形式验证用于验证 IP 与先前设计中认证的内容保持不变。
相比之下,软件必须始终重新认证。具有硬件和软件的完整设备将通过修订进行认证。“认证将针对特定的硬件/软件版本,”Dinsmore 补充道。“一旦更改版本,就会破坏认证。”
与此同时,美国正在通过其他法律。国会,例如 2020 年的物联网网络安全法案。 此外,今年重新引入了网络盾牌法案。根据陶氏的说法,它很可能会遵循 8259A,重点是接口、软件和固件更新以及软件认证。从那里,它转向公共签名检查和安全启动。
美国一些州有自己的规定。例如,加利福尼亚州和俄勒冈州都有“合理安全”的要求,这很难定义,并且可能需要在未来的诉讼中加以解决。
与此同时,欧洲有 ETSI,它在技术上是一个非营利组织,但它产生了整个欧盟认可的标准。它有一个名为 EN 303 645 的物联网网络安全标准。
从法律角度来看,欧盟也通过了自己的《欧洲网络安全法》。它加强了 ENISA,该组织有权为欧盟认证体系制定基本技术标准。
美国和欧洲倾向于为其他设定方向,例如新加坡、芬兰和日本。英国增加了一些自己的轻量级要求。陶氏表示,ISO 可能会通过 ISO 27402 统一美国和欧洲的方法。与此同时,拥有自己的 OSCCA 组织。
行业联盟从中吸取教训
其他几个团体正在建立基础,以制定特定于环境的指导方针,其中一些组织带有认证过程。许多这些群体面临的挑战是他们没有明确定义为什么需要他们。
他们的“关于我们”的描述一般都集中在安全的重要性上,但他们并未将自己置于其他群体之中。事实上,如果您阅读它们,您可能会得出结论,每个组都是唯一存在的组。当试图找出要遵循的组织时,这可能会让人非常困惑。
最广为人知的一套准则是通用标准。但它是一个重量级系统,通常用于智能卡和可信执行环境 (TEE)。
Synopsys 的 Borza 说:“Common Criteria 本来是做很多事情的默认组织。” “但他们在适应物联网市场的要求方面一直非常缓慢。”
与 FIPS 140 一样,对于轻量级设备来说,这是一个硬性标准。因此,其他团体虽然可能遵循通用标准模型,但更直接地针对小型物联网设备。它们不仅仅是验证密码学实现。“许多其他组织正在填补留下的空白,因为对这么多人来说,通过通用标准认证是不可行的,”博尔扎说。
制订各种标准
从低级别开始,物联网安全基金会 (IoTSF) 建立了自我认证的基本准则和方法。“物联网安全基金会采取的方法是证明你已经完成了一个过程,”Povey 说,这旨在确保为给定的设备采用了适当的思想和技术。
上升到芯片级别,美国最著名的组织是由 Arm 及其生态系统合作伙伴创立的。被称为 PSA,为平台安全架构,它有一个“PSA 认证”的授权。实验室合作验证为被认证的设备所做的安全声明。这里的重点主要是基于 MCU 和 MPU 的系统。
“PSA 引入了诸如信任根、隔离和分离以及设备生命周期管理之类的东西——这些东西更加全面,”丁斯莫尔说。
也就是说,PSA 可能被认为专注于 Arm 结构。“PSA 与基于 Arm 的设备的人相关,但没有其他处理器供应商真正参与其中,”Borza 指出。
然而,Arm强调使用 Arm 技术并不是 PSA 的要求。“PSA Certified 是一项与架构无关的安全计划,由六个安全实验室以及安全顾问 Prove&Run 和 Arm 组成,”Arm 安全设备生态系统、汽车和物联网业务线高级总监 David Maidment 说。“它以独立的方式运行,并使用 TrustCB 作为其监督一致性和公正性的认证机构。实验室根据特定认证级别的定义标准审查安全实施……并与 NIST 和 ETSI 网络安全基线保持一致。作为联合创始人,Arm 提供有关如何构建 PSA 认证产品的资源和指导。”
虽然 PSA Certified 似乎被广泛视为专注于芯片,但 Maidment 指出,它们还包括系统级认证。“PSA Certified 的存在是为了游说整个生态系统整合安全最佳实践,”他说。“该计划涵盖芯片、软件平台、RoT 组件、电路板、平台和设备。”
在欧洲,全球平台组织了 SESIP(物联网平台安全评估标准),该标准仍以芯片为重点,但比 PSA 更广泛。这就像通用标准的轻量级版本。如果获得 SESIP PSA 配置文件的认证,则设备可以同时获得 SESIP 和 PSA 认证。然而,反过来却不是这样:仅 PSA 认证就没有资格获得 SESIP 认证。
Rambus高级首席工程师 Scott Best 说:“像 SESIP 这样的认证,无论好坏,都会让您关注流程和技术。” “有内攻击,有可能出现的设计工具威胁,还有供应链威胁,很多认证过程都涉及到,‘你是如何构建这个产品的。它是在哪里制造的?你实际上对那些在任何时候都用手指参与设计的人施加了多少控制?在 SoC 设计投放市场之前,您可能有 1,000 人可以访问它。”
尽管远非完美,但贝斯特表示,这类认证至少会迫使公司检查他们的设计和工程流程以及他们的设施。“我不太相信这些认证,但它们确实修复了一些其他明显的缺陷,”贝斯特说。“认证不一定是渗透测试,几乎没有什么要求可以做更多,除非它进入一些安全应用。但用于安全应用的每个设备也无法进行渗透测试。”
接下来我们进入系统级别。“有一个专门用于物联网的标准借鉴了通用标准,那就是 ioXt(安全物联网),”科技应用工程总监 Mark Stafford 说。“有些经过认证的实验室拥有专门针对物联网的正式方法。”
ioXt 专注于规模物联网。这是一种“复合”方法,在认证整个设备时接受组件和模块认证。例如,经过 PSA 认证的芯片可以“导入”该认证并将其用于 ioXt 认证。
“帮助没有安全专业知识的小型市场进入者的另一种方法是利用已经预先构建的安全系统,如安全飞地,”Neustadter 指出。这使得芯片制造商对他们的芯片进行预认证是有益的。这样就可以更容易地向系统构建商销售,因为一些认证负担将被消除。同样,使用预先认证的 IP 可以使芯片认证更容易。
同时,Eurosmart 正在基于欧洲网络安全认证框架的方法:
GSMA 的 IoT SAFE 提出了一种利用 SIM 卡作为信任根的架构
ISO 21434 包含对道路车辆的要求,以及
CTIA 对通过蜂窝系统进行通信的设备执行其全球认证论坛 (GCF) 规则。
最重要的是,云提供商可能有自己的规则,必须遵守与他们通信的设备。
而且,不甘示弱,IEEE 和保险商实验室 (UL) 也有望参与其中。UL 参与的一个好处是消费者的认可,因为我们惯于看到他们证明熟悉的家用电器的整体设备安全。
与此同时,行业团体正在定义行业可以团结起来的特定于应用程序的安全配置文件。虽然这些努力通常由公司主导,但它们是的组织,小公司也参与其中以确保规则不会过度偏向财力雄厚的现任者。
通过所有这些碎片化,任何合作或合并的唯一迹象似乎是能够从 SESIP 验证中获得 PSA 认证。似乎没有其他整合即将到来。
严密性和度量标准——与否不同的方法具有不同程度的严密性。显然,最不严格和最简单的方法是自我认证。您记录您的安全策略是什么,并且信任该文件是您的动力。
因为其他组织使用实验室来验证安全声明,所以他们被认为更加严格。但即便如此,由人员说明设备具有哪些安全功能。实验室的作用是验证您是否做到了您所说的。“认证计划仅对您的测试方式进行标准化,”陶氏说。
一些程序带有级别,因此,如果您满足一组特定标准,您就有资格获得该级别。这些级别没有统一的定义。
您看不到的是指标。此类指标极难定义——甚至更难达成一致。
Borza 指出:“以 1 到 5 的比例设计指标来告诉您有关您的安全程度的一些信息,结果证明非常非常困难。” “这在很程度上取决于谁在做测试。如果你在谈论渗透测试,这取决于渗透测试人员的技能。”
此外,安全的主要挑战之一是它在不断移动。“在某个时间点,当您在某个指标上的得分为 3.7 时,关于安全性,您唯一可以可靠说的就是它永远不会比 3.7 好,”博尔扎继续说道。“而且在未来的某个时间点,情况可能会更糟。”
设定预期
获得认证需要时间和精力。该过程必须纳入整体计划,以便进度准确设定预期。
一个极端的例子是安全元件 (SE)。这些可能需要两年时间才能进行认证,而且根据陶氏的说法,即使是对一行代码的更改也会使该时间表增加数月。相比之下,PSA 颁发认证可能需要几个月的时间。
术语也可能有所不同。例如,NIST 使用“已验证”作为我们所谓的认证,而通用标准和 PSA 使用“已认证”。
“合规”这个词比较复杂。“不想花费时间、精力和费用对其产品进行全面验证的公司通常会说他们'合规',这是一种狡猾的词,以避免承认他们没有'没有经过测试,”博尔扎说。“特别是在 FIPS 140 的情况下,NIST 将发现声称合规但未经验证的产品,他们将发送停止和终止通知。”
人员要做什么?
鉴于复杂的环境,人员很难知道去哪里寻求认证。这成为产品经理的角色:他们必须尽早决定认证策略应该是什么。
“产品经理决定实施验证流程或获得认证的标准并非易事,” Cadence解决方案和生态系统高级集团总监 Frank Schirrmeister 说。“他们需要找到定义标准的市场区域,然后逐步确定你需要去哪些标准化。”
Schirrmeister 提出了一个逐步升级的认证规模。除了规定的安全性,它始于 IoTSF 的自我认证。从那里,您可以使用 PSA 和 SESIP 添加下一个级别。其他组织采用系统范围的方式,因此适当的组织会因应用程序而异。
如果需要级别的祝福,可以申请 FIPS 140 或通用标准认证,但这是一个重要的过程,在确定通过之前不应开始。
“走这条路需要付出巨的代价,”波维警告说。“只有当你知道你会成功的时候,你才会想要经历它。你必须非常确定你已经完成了你的功课并且你已经正确地实施了它。”
图 1:组织认证层次结构的一种可能方式。底说明了最基本的规则集,而最上面的框需要量的努力和资源才能实现。请注意,虽然许多人将 PSA 视为芯片级,但 Arm 表示他们也进行系统级认证。他们还声称 ioXt 是特定于应用程序的。资料来源:Bryon Moyer/半导体工程
根据 Dinsmore 的说法,如果要实施一件事可以对抗许多威胁,那就是身份和公钥基础设施 (PKI) 的使用——即可用于对设备进行身份验证的公钥/私钥对。然而,即便如此,在由小型微控制器运行的小型设备中也可能具有挑战性。
“我让人们在 48 MHz 下运行带有 256 KB 闪存的小型 32 位微型计算机,我告诉他们,'你需要为加密算法专门提供 80 KB,你只需要证明你说你是谁,”她说。
物联网消费者呢?
至于消费者,目前他们实际上什么都没有。安全认证世界太复杂了,他们无法驾驭。他们会希望在购买前看到他们信任的标签。现在不存在这样的标签,不过,如果 UL 能够通过广为接受的认证流程,那将是一个消费者可以期待的名字。
今天,没有标签,消费者购买设备时认为它们是安全的。这通常是一个糟糕的假设。安全性仍然不被接受为必备品,而是作为一种成本。Povey 指出,根据英国的 DCMS(数字、文化、媒体和体育),只有 5% 的设备具有安全性。因此,没有意识到的消费者正在以虚假的安全感进行购买。
“在实施方面需要进行教育,然后还有关于如何将其传达给消费者的问题,”Schirrmeister 指出。
“消费者没有任何真正的保证,也不能真正指望他们弄清楚什么是足够好的,”博尔扎说。“所以这是一个迫切需要某种保护的地区。我不愿说它需要监管。”
把它留给行业是可行的,但只能在一定程度上。“Apple 已经采取了他们是隐私公司的立场,这是一个很好的立场,”Borza 继续道。“但这是一次董事会会议,不会被忽视。”
如果监管太过分了,那么至少有一个无私的第三方消费群体可以帮助裁判。Neustadter 说:“消费者团体或某些监管机构必须发布一些更严肃的报告来监控设备安全性。”
即使安全设备与非安全设备一起可用,安全设备的成本也会更高——可能会更高。再次,监管可以设定所有参与者必须达到的安全基线,以便安全不再是价格竞争的一个点。教育也将帮助消费者理解为什么在安全上花费额外的钱是值得的。
Dinsmore 说:“我还没有看到任何可以很好地解释安全价值的东西,以至于客户愿意在他们的网络摄像头上多花 20 英镑,因为它被证明是安全的。”
对于工业设备,很容易假设这些公司将聘请能够通过认证的安全专家。但这往往不是真的。“他们中的多数人没有内专业知识,”博尔扎说。“而且他们很难招到人。”
在事情稳定下来成为一个更简单的方案之前,找出获得设备安全认证的最佳方法仍然会令人困惑和困难。这使得预先计划流程以及芯片或系统设计的所有其他要求变得更加重要。
更多芯片制造相关知识,请搜索“众壹云”。
免责声明:文中图片均来源于网络,如有版权问题请联系我们进行删除!
标签:
