Rowebots Kim Rowe

張愛華 譯，何小慶 審校

?

第6篇：基于嵌入式操作系統(tǒng)的物聯(lián)網(wǎng)安全

Rowebots Kim Rowe

張愛華 譯，何小慶 審校

當(dāng)今社會(huì)的很多商業(yè)行為，如通信、金融交易及娛樂在很大程度上依賴于互聯(lián)網(wǎng)。隨著越來越多的設(shè)備連接到物聯(lián)網(wǎng)(IoT)中，對(duì)互聯(lián)網(wǎng)的依賴性將不斷增加。如果設(shè)備不安全，這種依賴將導(dǎo)致互聯(lián)網(wǎng)存在重大的安全漏洞，并使設(shè)備遭到攻擊和破壞。

目前，很多正在使用的物聯(lián)網(wǎng)設(shè)備，根據(jù)不同的應(yīng)用范圍將持續(xù)使用。例如，公用事業(yè)使用的儀表幾乎不會(huì)更換；通信基礎(chǔ)設(shè)施的設(shè)計(jì)使用年限為50年；電力傳輸系統(tǒng)使用壽命在30年以上；住宅、辦公室、工業(yè)建筑和其他建筑物可以每10年裝修一次以便長(zhǎng)期使用。如果這些系統(tǒng)不安全，在威脅增加時(shí)，它們很快會(huì)被拋棄。

為增加用戶對(duì)智能設(shè)備的投資信心，保護(hù)設(shè)備免遭破壞，安全成為所有新型設(shè)備的基本要求。在未來的幾年中，將有500億個(gè)物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng)，其中很大一部分是使用微控制器和資源有限的微處理器。幸運(yùn)的是，與大型設(shè)備相比，這些小型設(shè)備更容易保護(hù)，不易受同類型威脅的攻擊，因此更安全。但并不意味著安全很容易實(shí)現(xiàn)，只是如果能正確利用MCU和小型MPU的特性，開發(fā)安全的設(shè)備不困難而已。本文的后續(xù)部分將討論如何保護(hù)物聯(lián)網(wǎng)中的小型設(shè)備。

物聯(lián)網(wǎng)安全特征

為了充分保護(hù)MCU或小型MPU,下列安全功能通常是必須的，當(dāng)然，并不是每個(gè)系統(tǒng)都必須具備所有功能。使用標(biāo)準(zhǔn)信息技術(shù)實(shí)現(xiàn)安全解決方案是嵌入式MCU和MPU產(chǎn)品安全機(jī)制的核心。

這些安全協(xié)議包括：TLS、IPSec/VPN、SSH、SFTP、安全啟動(dòng)和自動(dòng)回退、過濾、HTTPS、SNMPv3、安全的無線連接、加密和解密、加密文件系統(tǒng)、DTLS(用于UDP安全)和安全電子郵件。其中TLS、IPSec/VPN、HTTPS、安全的無線連接及DTLS意味著安全的通信連接，SFTP提供了安全的文件傳輸，SSH提供了安全的遠(yuǎn)程訪問，而安全電子郵件提供了基于加密連接的郵件服務(wù)。支持自動(dòng)回退的安全啟動(dòng)程序(Bootloader)確保系統(tǒng)不被破壞，SNMPv3、數(shù)據(jù)加密和加密文件系統(tǒng)通過加密來保護(hù)本地?cái)?shù)據(jù)或傳輸?shù)狡渌麢C(jī)器的數(shù)據(jù)，過濾實(shí)際上是起到防火墻的功能，用于阻止不受歡迎的訪問。各種協(xié)議將在系統(tǒng)安全一節(jié)之后討論。

系統(tǒng)安全

只有系統(tǒng)中最薄弱的連接或組件都可靠時(shí)，整個(gè)系統(tǒng)才是安全的。為保證系統(tǒng)的安全，其所有的通信通道、文件傳輸、數(shù)據(jù)存儲(chǔ)和系統(tǒng)更新方式都必須是安全的。在系統(tǒng)支持動(dòng)態(tài)加載、可執(zhí)行文件修改及其他復(fù)雜功能時(shí)，實(shí)現(xiàn)系統(tǒng)安全是非常困難的。

想象一下這些場(chǎng)景：

① 入侵者通過電子郵件、FTP或其他方式將文件傳入設(shè)備。

② 文件動(dòng)態(tài)加載運(yùn)行時(shí)，會(huì)破壞其他可執(zhí)行文件，然后需要清理現(xiàn)場(chǎng)并刪除自己。

③如果病毒很新，系統(tǒng)不認(rèn)識(shí)該病毒，它將獲準(zhǔn)進(jìn)入,從而感染系統(tǒng)。

考慮另外一種情況，在不安全或者沒有正確安全設(shè)計(jì)的通信連接中，有可能會(huì)讀取少量的數(shù)據(jù)，還可能會(huì)在數(shù)據(jù)流中添加新的數(shù)據(jù)，并破壞正在接收數(shù)據(jù)的系統(tǒng)。通過互聯(lián)網(wǎng)加載不安全的鏡像文件到設(shè)備就是這種情況的一個(gè)實(shí)例。當(dāng)新加載的鏡像文件運(yùn)行時(shí)，如果該文件可以正確訪問系統(tǒng)，則這個(gè)不安全的鏡像文件將接管整個(gè)系統(tǒng)。還有一種情況，設(shè)備的關(guān)鍵數(shù)據(jù)會(huì)被竊取。只有數(shù)據(jù)被加密或保存在安全文件系統(tǒng)中，才可能從設(shè)備中恢復(fù)加密的數(shù)據(jù)。

為了確保系統(tǒng)安全，最好的方式是考慮如何訪問設(shè)備信息。通常，良好的安全系統(tǒng)要求：你知道的(密碼)，你擁有的(借記卡或可穿戴式設(shè)備)和你是誰(虹膜掃描設(shè)備)。

對(duì)小型設(shè)備來說，這些安全措施過頭了。但是如果系統(tǒng)有非常高的安全要求，可以通過間接方式來實(shí)現(xiàn)，只要確保系統(tǒng)的各個(gè)組件都是安全的。通過與服務(wù)器的安全交互，服務(wù)器可以安全地訪問設(shè)備，安全設(shè)備接口可以運(yùn)行在大型設(shè)備上，也可以用于小型設(shè)備。

安全系統(tǒng)的另一個(gè)關(guān)鍵要素是分層安全，假設(shè)一些人只需要訪問系統(tǒng)的一部分，好的設(shè)計(jì)原則采用分層安全機(jī)制。這種情況下，如果沒有重要的工作，入侵者僅能訪問一部分系統(tǒng)。一個(gè)實(shí)例是使用兩個(gè)防火墻級(jí)聯(lián)來保護(hù)服務(wù)器，這樣，一個(gè)防火墻的漏洞可以被第二個(gè)防火墻隔離。

圖1是提供了安全功能的軟件概述。后面將針對(duì)前面列出的場(chǎng)景，討論如何使用這些軟件來保護(hù)系統(tǒng)。

圖1 安全物聯(lián)網(wǎng)系統(tǒng)應(yīng)該包含的互聯(lián)網(wǎng)協(xié)議組件

通信安全

通信安全協(xié)議確保機(jī)器到機(jī)器間的通信安全，有一個(gè)可以依賴的信任等級(jí)，以建立安全通信。

TLS及其前身SSL是為TCP套接字流和需按順序交付的流連接提供通信安全最常用的方式。DTLS是一個(gè)新協(xié)議，提供可靠的UDP傳輸和基于TLS的數(shù)據(jù)包傳輸，TLS和DTLS協(xié)議是面向應(yīng)用到應(yīng)用間的通信。

IPSec或虛擬專用網(wǎng)絡(luò)(VPN)在TCP協(xié)議棧的基礎(chǔ)上使用虛擬鏈路安全技術(shù)，設(shè)置比較困難，但它允許應(yīng)用通過鏈路通信，即使應(yīng)用沒有提供安全保護(hù)。通常情況下，由于設(shè)置困難，并且很多人認(rèn)為NSA(國(guó)家安全局)參與開發(fā)的算法不安全，導(dǎo)致它沒有被廣泛使用。

HTTPS是建立在TLS上的安全網(wǎng)絡(luò)服務(wù)器訪問協(xié)議，它提供了安全的應(yīng)用訪問，通過與SSH相同的方式，為遠(yuǎn)程用戶提供安全的模擬終端訪問。

安全的無線連接確保無線信息不會(huì)被收集，數(shù)據(jù)不會(huì)被其他人通過天線獲取。

安全電子郵件用于確保數(shù)據(jù)不會(huì)通過電子郵件直接傳輸。一種方式是在郵件發(fā)送之前加密數(shù)據(jù)，另一種更簡(jiǎn)單更通用的方案是在加密連接中提供郵件服務(wù)，以確保管理郵件的服務(wù)器接收的所有郵件數(shù)據(jù)都是安全的。

基于SNMPv3的安全文件傳輸

使用加密和解密程序保護(hù)數(shù)據(jù)時(shí)，SNMPv3用于加密數(shù)據(jù)。如果所有的數(shù)據(jù)都很重要，可以使用文件加密，盡管文件加密方式會(huì)降低性能。

過濾和防火墻

防火墻通過過濾網(wǎng)絡(luò)服務(wù)器發(fā)送的所有數(shù)據(jù)包，拒絕未授權(quán)的訪問。通過過濾，設(shè)計(jì)者可以確保只有真正的用戶才能訪問系統(tǒng)，阻止非法訪問，以保證系統(tǒng)安全。這些過濾規(guī)則需要在設(shè)備上配置，過濾功能通常需要結(jié)合SSH或SNMPv3使用。

安全啟動(dòng)

安全啟動(dòng)是安全系統(tǒng)的重要組成部分(圖2),支持固件更新并通過安全的方式實(shí)現(xiàn)更新非常重要。固件更新可以刪除所有工廠固件，并通過自動(dòng)回退(fall back)機(jī)制增強(qiáng)該功能。通過自動(dòng)回退，如果新的固件(可能損壞)導(dǎo)致啟動(dòng)失敗，可以使用舊的安全版本重新啟動(dòng)系統(tǒng)，這是分層安全機(jī)制的部分功能。

圖2 Unison操作系統(tǒng)(Nanoexec)分層安全機(jī)制

通過解釋器或其他方式加載的程序運(yùn)行時(shí)，可能破壞系統(tǒng)。Unison的操作系統(tǒng)在底層提供了額外的安全啟動(dòng)功能來保護(hù)系統(tǒng)，該功能使得系統(tǒng)很難被攻擊。

系統(tǒng)安全的考慮

MCU或資源有限的MPU如果需要應(yīng)用很多協(xié)議來實(shí)現(xiàn)安全目的，一個(gè)參考實(shí)例是Unison的操作系統(tǒng)，它是一個(gè)小型的POSIX實(shí)時(shí)操作系統(tǒng)，以非常小的代碼尺寸提供了安全功能。

Unison系統(tǒng)使用了安全通信協(xié)議，目標(biāo)設(shè)備的所有應(yīng)用都是安全的。這些應(yīng)用包括手機(jī)應(yīng)用、面向小型網(wǎng)絡(luò)服務(wù)器的安全Web訪問等。類似緩沖區(qū)溢出之類的攻擊是不可能出現(xiàn)的，因?yàn)閁nison系統(tǒng)在運(yùn)行時(shí)占用很少的資源，禁止任何不合理的資源占用，還可以使用安全無線連接，但要使用VPN。

可以使用SFTP將文件傳輸?shù)较到y(tǒng)，該機(jī)制保證數(shù)據(jù)在傳輸時(shí)不被破壞，對(duì)安全系統(tǒng)更新非常重要。在TCP服務(wù)器前端增加過濾處理，可以確保只處理授權(quán)的請(qǐng)求和更新，防止設(shè)備被入侵，極大提高了安全性。此外，還可以使用終端通過SSH協(xié)議遠(yuǎn)程配置設(shè)備，與使用網(wǎng)絡(luò)服務(wù)器相比，使用腳本的方法更可靠，這種配置方式確保了配置設(shè)備也是安全的。此時(shí)，設(shè)備接收和發(fā)送的數(shù)據(jù)是安全的，任何更改或配置是可靠的，授權(quán)的應(yīng)用和用戶可以使用設(shè)備的數(shù)據(jù)和功能。

如果設(shè)備被偷了，怎么辦？為了防止這種情況發(fā)生，可以加密設(shè)備存儲(chǔ)的數(shù)據(jù)，不使用本地?cái)?shù)據(jù)而使用加密文件系統(tǒng)，這將確保設(shè)備的關(guān)鍵數(shù)據(jù)是安全的。如果用戶的設(shè)備有密碼，通常這被認(rèn)為是合適的安全措施，還可以使用其他安全措施，如增加指紋掃描、虹膜掃描、掌紋和其他功能給設(shè)備或?qū)⑵溥B接到安全工作站，以增加設(shè)備的可靠性。

前面列出的安全場(chǎng)景，除了程序執(zhí)行時(shí)，可能破壞系統(tǒng)安全的情況都考慮過了。對(duì)MCU或一些MPU來說，程序是一個(gè)運(yùn)行在Flash中的單個(gè)映像文件，在這種情況下，由于整個(gè)映像在Flash中運(yùn)行，并且如果啟動(dòng)機(jī)制和刷新機(jī)制是安全的，不可能添加任何東西到系統(tǒng)中，因此入侵者不能加入新的代碼。在使用Unison時(shí)，該功能是可以實(shí)現(xiàn)的，因此Unison使整個(gè)系統(tǒng)非常安全。

但如果系統(tǒng)中有解釋器，Unison不能保證整個(gè)系統(tǒng)是安全的。解釋程序可以在MCU或MPU上自由運(yùn)行，不受限制地更改系統(tǒng)映像，除非建立了安全機(jī)制，例如使用了內(nèi)存管理單元(MMU)。

結(jié) 語

Atmel 32位微控制器平臺(tái)為物聯(lián)網(wǎng)應(yīng)用設(shè)立全新低功耗標(biāo)準(zhǔn)

Atmel公司宣布，其基于ARM Cortex-M0+的MCU已達(dá)到了一個(gè)全新的低功耗標(biāo)準(zhǔn)，將活動(dòng)模式下的功耗降至40 μA/MHz，并將睡眠模式下的功耗降至200 nA。除了超低功耗之外，新的平臺(tái)還具備全速USB主機(jī)與設(shè)備、事件系統(tǒng)與Sleepwalking、12位模擬、AES、電容觸控傳感等特性。預(yù)計(jì)到2020年，物聯(lián)網(wǎng)市場(chǎng)的設(shè)備總量將達(dá)到200億件，為了驅(qū)動(dòng)這些應(yīng)用，市場(chǎng)需要功耗更低、不會(huì)增加電網(wǎng)負(fù)荷或無需頻繁更換電池的MCU。Atmel最新的Atmel SMART平臺(tái)專為這些應(yīng)用而設(shè)計(jì)，可以將電池續(xù)航時(shí)間從數(shù)年延長(zhǎng)至數(shù)十年。

SAM L21系列是新平臺(tái)上的首個(gè)產(chǎn)品系列，采用Atmel專有的picoPower技術(shù)拓展Atmel | SMART 32位基于ARM內(nèi)核的產(chǎn)品組合。

運(yùn)行EEMBC CoreMark基準(zhǔn)測(cè)試的結(jié)果顯示，Atmel的SAM L21系列在活動(dòng)模式下實(shí)現(xiàn)了40 μA/MHz的超低功耗，在32 KB RAM存儲(chǔ)保存以及實(shí)時(shí)時(shí)鐘和日歷的情況下僅消耗不到900 nA的電能，在深度睡眠模式下僅消耗200 nA的電能。憑借頻繁的喚醒次數(shù)、事件系統(tǒng)、Sleepwalking和創(chuàng)新型picoPower外設(shè)，SAM L21超低功耗系列是手持設(shè)備和電池供電型設(shè)備的理想選擇，適用于物聯(lián)網(wǎng)、消費(fèi)、工業(yè)、便攜醫(yī)療設(shè)備等應(yīng)用。

新平臺(tái)的架構(gòu)創(chuàng)新讓定時(shí)器、串行通信、電容觸控傳感等低功耗外設(shè)能夠保持運(yùn)行狀態(tài)，同時(shí)將系統(tǒng)的其他部分置于低功耗模式，從而進(jìn)一步降低眾多永續(xù)運(yùn)行應(yīng)用的功耗。

EEMBC 總裁兼聯(lián)合創(chuàng)始人Markus Levy 表示：“無論是在活動(dòng)或睡眠模式下，Atmel SAM L21系列的電流消耗都非常低，這對(duì)于瞄準(zhǔn)快速發(fā)展的電池供電型設(shè)備市場(chǎng)是一個(gè)巨大的優(yōu)勢(shì)。隨著數(shù)十億件設(shè)備在互聯(lián)網(wǎng)時(shí)代被推向市場(chǎng)，設(shè)計(jì)人員將能利用Atmel的超低功耗SAM L系列提升電池供電型設(shè)備的續(xù)航時(shí)間?！?/p>

Atmel公司高級(jí)副總裁兼微控制器業(yè)務(wù)部總經(jīng)理Reza Kazerounian表示：“Atmel致力于為快速發(fā)展的物聯(lián)網(wǎng)市場(chǎng)和電池供電型市場(chǎng)提供業(yè)內(nèi)功耗最低的技術(shù)。物聯(lián)網(wǎng)邊緣節(jié)點(diǎn)的開發(fā)人員不再滿足于將電池續(xù)航時(shí)間延長(zhǎng)至一年，而是期待看到能夠?qū)⑵溲娱L(zhǎng)至十年或更長(zhǎng)時(shí)間的技術(shù)。為了實(shí)現(xiàn)這個(gè)目標(biāo)， Atmel SMART系列中最新的32位MCU平臺(tái)采用了Atmel專有的picoPower技術(shù)，成為打造物聯(lián)網(wǎng)邊緣節(jié)點(diǎn)的理想MCU?！?/p>

士然

2014-10-29)