關(guān)于嵌入式安全的相關(guān)理解與分析

物聯(lián)網(wǎng)（IoT）僵尸網(wǎng)絡(luò)（botnet）的興起已經(jīng)成為智能家庭，智慧城市和工業(yè)網(wǎng)絡(luò)化等新興產(chǎn)業(yè)的安全威脅。僵尸網(wǎng)絡(luò)的分布式拒絕服務(wù)（DDoS）攻擊已有時(shí)日，而且針對(duì)物聯(lián)網(wǎng)的僵尸網(wǎng)絡(luò)亦非新事。

但直至最近，人們才認(rèn)識(shí)到物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)破壞的嚴(yán)重性，安全缺陷可能導(dǎo)致物聯(lián)網(wǎng)嵌入式系統(tǒng)在同時(shí)聯(lián)網(wǎng)時(shí)全盤(pán)崩潰。本文從物聯(lián)網(wǎng)設(shè)備安全漏洞的角度研究僵尸網(wǎng)絡(luò)，指明安全設(shè)備防范僵尸網(wǎng)絡(luò)的關(guān)鍵。

僵尸網(wǎng)絡(luò)及其潛在威脅

僵尸網(wǎng)絡(luò)是指被特定惡意軟件感染的互聯(lián)設(shè)備所構(gòu)成的網(wǎng)絡(luò)，它允許黑客獲取遠(yuǎn)程控制權(quán)并協(xié)調(diào)進(jìn)行DDoS攻擊僵尸網(wǎng)絡(luò)病毒，亦稱(chēng)僵尸大軍（zombie armies），也可以用于垃圾郵件轟炸，盜取敏感密鑰，傳播勒索軟件等。

物聯(lián)網(wǎng)中的僵尸網(wǎng)絡(luò)病毒不同于Windows平臺(tái)上的普通僵尸網(wǎng)絡(luò)病毒，它產(chǎn)生于脆弱的物聯(lián)網(wǎng)設(shè)備，并且可以通過(guò)龐大的物聯(lián)網(wǎng)系統(tǒng)感染海量設(shè)備。此外，普通僵尸網(wǎng)絡(luò)病毒往往用于發(fā)送垃圾郵件，而物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)病毒可以通過(guò)影響物聯(lián)網(wǎng)設(shè)備周?chē)奈锢憝h(huán)境來(lái)造成更大的危害。

例如，一種物聯(lián)網(wǎng)病毒可以侵入交通燈系統(tǒng)，破壞智慧城市的基礎(chǔ)設(shè)施，從而引發(fā)整座城市的混亂，。同樣，黑客也可以通過(guò)病毒提高智能家庭的溫度，或是增加油汽供給。

兩者的另一顯著區(qū)別在于，個(gè)人電腦與服務(wù)器的連接受到殺毒軟件和防火墻等的安全保護(hù)，而物聯(lián)網(wǎng)設(shè)備往往沒(méi)有這些安全機(jī)制，從而成為僵尸網(wǎng)絡(luò)病毒的理想目標(biāo)。

2016年，業(yè)界預(yù)測(cè)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)將成為網(wǎng)絡(luò)安全的第一威脅，但I(xiàn)T安全界則認(rèn)定這些威脅非常有限，不必在意僵尸物聯(lián)網(wǎng)所帶來(lái)的安全威脅。然而不久后出現(xiàn)了一種工具箱，能使僵尸網(wǎng)絡(luò)病毒利用無(wú)安全措施的物聯(lián)網(wǎng)設(shè)備漏洞，進(jìn)行攻擊。2016年十月的Mirai僵尸網(wǎng)絡(luò)攻擊事件成為了一個(gè)重要的轉(zhuǎn)折點(diǎn)。

Mirai和另一種僵尸網(wǎng)絡(luò)Bashlight，可以利用網(wǎng)絡(luò)攝像頭和數(shù)字視頻錄像機(jī)上安裝的精簡(jiǎn)Linux系統(tǒng)中的漏洞，指揮設(shè)備在服務(wù)器中下載惡意軟件。

之后，它們通過(guò)不斷掃描缺省或硬編碼的用戶(hù)名和密碼，向周?chē)钠渌叭怆u”設(shè)備散播這一惡意軟件。DDoS 攻擊便是通過(guò)這一方式感染大量互聯(lián)設(shè)備的。在Mirai僵尸網(wǎng)絡(luò)攻擊事件中，有超過(guò)15萬(wàn)臺(tái)網(wǎng)絡(luò)攝像機(jī)被Mirai僵尸網(wǎng)絡(luò)感染。

僵尸網(wǎng)絡(luò)暴露嵌入式系統(tǒng)設(shè)計(jì)缺陷

當(dāng)下，物聯(lián)網(wǎng)設(shè)備數(shù)量龐大且在持續(xù)增長(zhǎng)，而Mirai為無(wú)防護(hù)物聯(lián)網(wǎng)設(shè)備的安全行敲響了警鐘。加德納公司預(yù)測(cè)，到2020年，將有超過(guò)208億的設(shè)備連接到物聯(lián)網(wǎng)中。Mirai揭示了黑客控制“肉雞”并將其并入僵尸網(wǎng)絡(luò)的機(jī)制。僵尸物聯(lián)網(wǎng)在強(qiáng)調(diào)了嵌入式安全重要性的同時(shí)，也暴露嵌入式系統(tǒng)設(shè)計(jì)中主要缺陷：

?物聯(lián)網(wǎng)設(shè)備精簡(jiǎn)化和低功耗的追求不可避免地降低了嵌入式安全等級(jí)

?物聯(lián)網(wǎng)設(shè)備電池容量和存儲(chǔ)空間僅夠完成最基本的功能，安全性的考慮被排在兩者之后

?緊迫的設(shè)計(jì)時(shí)間和上市壓力導(dǎo)致摒棄了安全模塊的設(shè)計(jì)

?許多物聯(lián)網(wǎng)設(shè)備通過(guò)復(fù)用軟硬件模塊來(lái)簡(jiǎn)化設(shè)計(jì)、降低成本，但這會(huì)導(dǎo)致不同類(lèi)別的物聯(lián)網(wǎng)設(shè)備憑據(jù)被公開(kāi)

?物聯(lián)網(wǎng)設(shè)備上的操作系統(tǒng)缺乏透明性和便捷接口，這給病毒監(jiān)測(cè)帶來(lái)困難。物聯(lián)網(wǎng)設(shè)備的病毒監(jiān)控和監(jiān)測(cè)往往基于網(wǎng)頁(yè)瀏覽器或智能手機(jī)的APP等的復(fù)雜接口，而不能直接訪(fǎng)問(wèn)操作系統(tǒng)本身

?大多數(shù)嵌入式設(shè)備的操作系統(tǒng)采用各種版本的Linux系統(tǒng)。這些系統(tǒng)只有合理地打補(bǔ)丁、配置和加固才能保證安全。而黑客們已經(jīng)在著力破解路由器和機(jī)頂盒上的Linux系統(tǒng)漏洞

僵尸物聯(lián)網(wǎng)已經(jīng)波及到網(wǎng)絡(luò)攝像頭、Wi-fi路由器、網(wǎng)絡(luò)攝像機(jī)和機(jī)頂盒等設(shè)備并被用于散布DDoS攻擊網(wǎng)絡(luò)游戲的服務(wù)器。黑客還曾嘗試?yán)媒┦锫?lián)網(wǎng)侵入德國(guó)電信公司的路由器，但最終未能成功。

接下來(lái)會(huì)是什么？智能冰箱，電燈，智能鎖，還是智能汽車(chē)？如果僵尸網(wǎng)絡(luò)被散布者釋放到銀行，醫(yī)院和智慧城市的基礎(chǔ)設(shè)施中，可能會(huì)造成更大規(guī)模的破壞。

健壯的多層次安全保護(hù)是關(guān)鍵

那么，我們?cè)撊绾螛?gòu)建健壯的安全系統(tǒng)來(lái)防范這一“萬(wàn)能牌”呢？我們?nèi)绾未_保從傳感器到物聯(lián)網(wǎng)節(jié)點(diǎn)一直到云等各層次的安全性以確保多層次物聯(lián)網(wǎng)接入點(diǎn)的可靠性？嵌入式系統(tǒng)安全的根本在于：

?開(kāi)發(fā)嵌入式系統(tǒng)中多層次安全保護(hù)機(jī)制，涵蓋安全節(jié)點(diǎn)，存儲(chǔ)，網(wǎng)絡(luò)和整個(gè)物聯(lián)網(wǎng)生態(tài)

?設(shè)計(jì)可靠的嵌入式硬件

多層次安全保護(hù)

如圖1所示，嵌入式系統(tǒng)設(shè)計(jì)中的多層次安全保護(hù)機(jī)制，涵蓋了安全節(jié)點(diǎn)，存儲(chǔ)，網(wǎng)絡(luò)和整個(gè)物聯(lián)網(wǎng)生態(tài)。

圖1 在以互聯(lián)網(wǎng)為中心的嵌入式系統(tǒng)中建立多層安全保護(hù)，來(lái)抵御僵尸物聯(lián)網(wǎng)病毒等威脅（來(lái)源Microchip）

這些對(duì)抗僵尸物聯(lián)網(wǎng)病毒的最佳措施被納入產(chǎn)品開(kāi)發(fā)周期中的安全框架中：

節(jié)點(diǎn)

在基于硬件的可信任框架下采用安全啟動(dòng)以確保物聯(lián)網(wǎng)設(shè)備在確知的安全狀態(tài)下運(yùn)行的同時(shí)，其內(nèi)容依然保密。安全啟動(dòng)作為嵌入式設(shè)備安全的基石，是防范僵尸網(wǎng)絡(luò)病毒等安全缺口的第一道防線(xiàn)

更新固件。黑客能使用空中下載(OTA)升級(jí)來(lái)發(fā)布其惡意病毒。因此，應(yīng)采用身份認(rèn)證來(lái)確保物聯(lián)網(wǎng)設(shè)備僅從授權(quán)系統(tǒng)中檢索升級(jí)代碼

網(wǎng)絡(luò)

僅在使用防火墻的環(huán)境下連接物聯(lián)網(wǎng)設(shè)備。防火墻會(huì)檢查輸入數(shù)據(jù)并通過(guò)數(shù)據(jù)的行為，簽名，IP歷史以及物聯(lián)網(wǎng)終端信息的一致性交叉詢(xún)問(wèn)來(lái)識(shí)別威脅

使用DDoS攻擊防護(hù)服務(wù)以及采用健壯內(nèi)容發(fā)布網(wǎng)絡(luò)的工具做為最初的防御措施

確保物聯(lián)網(wǎng)設(shè)備間及其與云服務(wù)等系統(tǒng)的可靠連接，使用基于傳輸層安全（TLS）等安全協(xié)議的加密鏈路

固化開(kāi)放安全套接字層（OpenSSL）等TLS實(shí)現(xiàn)棧，通過(guò)創(chuàng)建額外的硬件安全層來(lái)消除軟件的漏洞

安全存儲(chǔ)

物聯(lián)網(wǎng)系統(tǒng)需要牢靠的身份認(rèn)證來(lái)確定和核實(shí)節(jié)點(diǎn)和設(shè)備的身份。人們往往將安全等同與加密，但在應(yīng)對(duì)諸如僵尸網(wǎng)絡(luò)病毒之類(lèi)的網(wǎng)絡(luò)威脅方面，身份認(rèn)證才是物聯(lián)網(wǎng)安全領(lǐng)域的中流砥柱

設(shè)計(jì)安全的嵌入式硬件

嵌入式安全應(yīng)用于互聯(lián)設(shè)備的前提從一開(kāi)始就被忽略了。嵌入式安全應(yīng)該從設(shè)計(jì)具有完整安全解決方案的防篡改硬件開(kāi)始，而不僅僅依靠一堆補(bǔ)丁和系統(tǒng)修復(fù)。

傳統(tǒng)的硬件安全包括多個(gè)方面

一個(gè)硬件安全模塊（HSM），這需要一個(gè)數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)，保護(hù)和管理密鑰。這需要對(duì)硬件基礎(chǔ)和硬件邏輯進(jìn)行前期投資

一個(gè)可信任平臺(tái)模塊（TPM），它將加密密鑰整合進(jìn)設(shè)備的硬件中，但這不符合低價(jià)物聯(lián)網(wǎng)應(yīng)用的定位

一個(gè)安全堆棧，建立在MPU或MCU的頂層。但這一設(shè)計(jì)需要花費(fèi)大量的CPU運(yùn)行周期來(lái)加速應(yīng)用和固件的身份認(rèn)證。由于基于中央MPU或MCU的安全硬件帶來(lái)許多計(jì)算密集的操作(如身份認(rèn)證)，這會(huì)加重整個(gè)系統(tǒng)的負(fù)擔(dān)，降低系統(tǒng)性能，因此成果有限

基于以上原因，傳統(tǒng)的硬件安全解決方案不能有效的應(yīng)用于嵌入式系統(tǒng)中。取而代之的是使用專(zhuān)用安全處理器的嵌入式系統(tǒng)硬件設(shè)計(jì)，專(zhuān)用處理器中的硬件密鑰存儲(chǔ)和加密加速技術(shù)可以彌補(bǔ)軟件的漏洞。同時(shí)，專(zhuān)用處理器更容易固化一些知名的TLS實(shí)現(xiàn)棧（如OpenSSL等），使得物聯(lián)網(wǎng)節(jié)點(diǎn)能自動(dòng)完成與云服務(wù)器通信的身份認(rèn)證。

首先，通過(guò)I^2 C接口將低耗的安全協(xié)處理器與主機(jī)（MPU或MCU）連接，方便安全啟動(dòng)系統(tǒng)防御流氓固件的攻擊。Maxim的MAXREFDES143 Reference Design 就是物聯(lián)網(wǎng)嵌入式安全設(shè)計(jì)的典范。其通過(guò)身份認(rèn)證和告知網(wǎng)頁(yè)服務(wù)器來(lái)保護(hù)工業(yè)傳感器節(jié)點(diǎn)。其特別采用DeepCover 安全認(rèn)證（帶單線(xiàn) SHA-256 和 512-Bit 用戶(hù) EEPROM），支持從傳感器到網(wǎng)頁(yè)服務(wù)器數(shù)據(jù)的所有身份認(rèn)證。

這些加密元素（圖2）——更小的MCU，都配備了硬件加密加速器，以執(zhí)行強(qiáng)大的身份驗(yàn)證，從而保護(hù)私鑰，證書(shū)和其他敏感的安全數(shù)據(jù)，防止僵尸網(wǎng)絡(luò)入侵。 此外，傳統(tǒng)的TLS標(biāo)準(zhǔn)在軟件上實(shí)現(xiàn)身份認(rèn)證和密鑰存儲(chǔ)，在軟件上實(shí)現(xiàn)并無(wú)必要，加密部件通過(guò)消除以軟件為中心的安全實(shí)現(xiàn)復(fù)雜性，簡(jiǎn)化了與亞馬遜網(wǎng)頁(yè)服務(wù)（AWS）等云服務(wù)的相互認(rèn)證。

圖2 Microchip ATECC508A等安全MCU提供了節(jié)點(diǎn)身份認(rèn)證功能，限制了僵尸網(wǎng)絡(luò)的攻擊（來(lái)源：Microchip）

結(jié)論

物聯(lián)網(wǎng)產(chǎn)業(yè)作為互聯(lián)網(wǎng)嵌入式電子產(chǎn)業(yè)的延伸，正處于關(guān)鍵的十字路口。目前，物聯(lián)網(wǎng)僵尸病毒主要針對(duì)網(wǎng)頁(yè)和應(yīng)用服務(wù)器，但他們遠(yuǎn)比我們當(dāng)前所見(jiàn)具有更強(qiáng)大的破壞力。例如，它們可能通過(guò)干擾智能監(jiān)視系統(tǒng)來(lái)影響建筑物的物理尺寸，或者通過(guò)擾亂交通系統(tǒng)引發(fā)混亂。

重新開(kāi)發(fā)安全的物聯(lián)網(wǎng)嵌入式設(shè)備為時(shí)已晚，特別是已有數(shù)千萬(wàn)個(gè)“肉雞”設(shè)備已經(jīng)投入市場(chǎng)，且數(shù)量日益增加。物聯(lián)網(wǎng)愛(ài)好者們剛剛瞥見(jiàn)網(wǎng)絡(luò)互聯(lián)的潛在威脅，物聯(lián)網(wǎng)便已成規(guī)模，采取行動(dòng)，重新審視嵌入式安全刻不容緩。