家居、汽车、移动通信设施和支付系统中使用的IoT（物联网）设备开始在健康保健和工业领域普及。这数十亿台互联设备（预计到2025年将有750亿台物联网设备）将成为黑客的首要目标。因此，我们不仅要努力构建物联网，还必须构建一个安全无忧的可信任的物联网。

  最近一些众所周知的攻击（包括Mirai、Meltdown/Spectre、Roca、Heartbleed和Rowhammer）打击了人们对未来物联网的信心。这些攻击的潜在影响不但是经济上的，也可能危及到生命，因为物联网设备不仅能感知环境，还能在环境中进行物理操作。例如：物联网设备可根据血糖仪的血糖浓度测量值作用于人体的胰岛素泵。

  数十亿台互联设备使人们面临着安全性和隐私性方面的严峻挑战。这些设备均配备了传感器和致动器：可作用于真实的物质世界。例如：“智能”胰岛素泵就是一种物联网设备，在满足特定条件的情况下，它可以在预先确定的特定范围内自主决定向患者体内注射胰岛素；在其他情况下，注射胰岛素的请求可能来自物联网网络中的监测器。如果黑客成功破坏了这些胰岛素泵的正常功能，结果将是致命的。一定要通过安全性确保阻止黑客的恶意计划，而安全性是要确保无论黑客是否成功，任何故障都不会导致危及到生命的情况出现；隐私性则确保不是任何一个人都可以公开访问这数十亿设备处理的数据。

  另一个示例就是未来的无人驾驶汽车：如果黑客成功地远程控制了线控驱动功能，他们就能够在不恰当的时刻改变车辆的行驶方向。这些设备都是半自动化操作的。注册、配置和初始化之后，它们与最终用户之间的交互越少越好：这就是智能化物联网设备易用性体验的一部分。

  因此，设备所感知的数据及依据数据做出的决策都必须可靠。在设备的整个有效期内都必须确保这一点。设备的有效期是不可预测的，一些物联网设备可使用10年以上。黑客技术在一直在改进；天天都会出现新的攻击。这些攻击如今覆盖了“本地”与“远程”以及“逻辑”与“物理”攻击矩阵的四个象限。

  本地攻击是通过实际接近设备来执行的，而远程攻击则以利用互联网连接发送命令的方式来执行。通过执行本地攻击而获取的知识，可能会引起发起未来的远程攻击。虽然开发远程攻击可能要掌握大量专业相关知识，但它能轻松实现攻击自动化，由并不掌握技术的攻击者大规模执行。这在某种程度上预示着远程攻击是可扩展的。

  远程攻击可能从一部设备发起，并在短时间内影响到数百万部目标设备。对设备、互联网服务或组织的逻辑攻击是通过利用系统中的弱点来执行的，此类弱点主要存在于软件中。它们的执行方式是访问标准接口，包括有线和无线接口。逻辑攻击能轻松实现自动化，无需具备很多技术能力，即可大规模发起攻击。

  物理攻击是在设备正常运行过程中，利用已知或习得的物理特征，突破关键的安全防线（例如：加密密钥），从而对设备发起黑客攻击。远程物理攻击是在软件中实现的，例如，在过去数年内，Rowhammer、Meltdown/Spectre、缓存攻击、电源域控制器远程攻击已经兴起。

  这就是说，我们今天设计的设备预计已经可承受未来10年以上的未知攻击。这是一项非常艰巨的挑战，也代表着，所有物联网设备都一定要能在其有效期内执行安全认证更新。

  从物联网转向安全无忧的信任互联网一定要坚持以下原则：“通过设计确保数据安全性”、“通过设计确保人身安全”以及“通过设计确保隐私性”，这些相互配合便可实现“信任互联网”这个最终目标。

  “通过设计确保数据安全性”意味着“安全性”是一种系统属性，它整合在系统的所有部件和子部件的所有特性之中。也就是说，从构想新物联网设备的“第一天”就考虑了“安全性”。安全性是以数据的机密性、完整性和真实性为基础，亦可用于数据的处理。这在某种程度上预示着，存在运行时监测、安全启动和安全更新等机制。此外，还存在不难发现攻击（记住，不存在100%安全的系统）并触发必要恢复机制的检测机制。

  弹性是另一个安全支柱。这就是在此背景之下“通过设计确保人身安全”出现的原因所在。无论攻击者对设备或系统造成了多大的破坏，都必须确保设备或系统的运行不会造成生命或财产威胁。“通过设计确保数据安全性”和“通过设计确保人身安全”意味着，设备、系统或解决方案供应商一定要通过外部测试实验室和认证机构来客观地评估所实现的安全性和安全水平。像恩智浦这样的公司都具有对适用于政府和支付解决方案的产品做通用标准认证的经验。但物联网设备安全认证的前景正在发生明显的变化：业界采用并认可的现有方案被认为不适用于新兴的物联网ECO。为帮助提高行业标准，在GlobalPlatform®的支持下，恩智浦和STMicroelectronics等其他公司提议采用新认证计划——“物联网平台安全评估计划”(SESIP)。该认证不仅秉承了成熟可靠的通用标准方案的一些特性，还可以经济有效地应用于所有物联网设备。

  “通过设计确保数据安全性”的另一个重要特性就是硬件和软件安全性都要考虑，因为很明显，目前并没有一种方法可实现基于软件的物联网安全性，能够很好的满足当前和未来系统安全期望。

  “通过设计确保隐私性”是指产品/系统/解决方案采用保护隐私的设计。除此之外，在强制性或适当的情况下，保证用户及其个人数据的匿名性和不可追溯性。“隐私性”开始非常关注：世界许多地方开始实施新法律和法规，比如欧洲的GDPR。其目的是为保护包括物联网设备在内的终端用户的隐私。

  需要注意的是，所实现的安全性和隐私性必须与详细的风险和威胁分析结果相匹配。这些分析必须根据要保护的价值对附加功能的成本进行可靠评估。

  交付安全和保护隐私的产品不仅仅要满足数据表上的核查清单，还要采用成熟可靠的方法来架构、设计、实现、制造、测试、供应和分配产品。此外，还一定要进行产品生命终结管理。

  仅仅销售“安全可靠的”产品已不再可能了。透明性和安全事故快速响应团队必对产品提供持续支持。

  图2中，通过组合多个功能级别不同的产品可实现安全性目标：MCU周围的紧凑型节点预计具有安全启动和安全更新功能；MCU和MPU周围的边缘节点预计具有可靠的多核子系统（例如：高端汽车网关使用处理器集成车辆对基础设施通信(V2X)）；除篡改检测、软件和硬件隔离、硬件安全存储和硬件加密加速，预计还包括针对高端计算密集型移动电子设备的通信或多核应用程序处理功能。高端MCU和MPU的硬件防篡改安全特性可与安全性高的分立嵌入式安全元件互补。外部安全元件最好直接连接至传感器和致动器，以确保传感的真实性，且只有在命令是真实的情况下，才会操作致动器。图5为安全特性概述。

  在制造设备的设计导入阶段，还需要将信任配置服务和云加载服务集成到MCU和MPU中，这样不但可以在非特定安全环境中进行设备开发，还可以将其集成至安全系统中。

  嵌入式行业必须继续提高标准，并采用与行业标准和最佳实践一致的整体安全方法，从而推动信任互联网的发展。关键字：引用地址：想要安全可信的物联网世界，安全和隐私至关重要

  站点相关：综合资讯传感器RFID生物识别网络传输电源管理处理器物联网安全行业规范创新应用可穿戴设备智能家居智能工业智能交通物联网百科相关展会专家观点射频