边缘智能：边缘节点安全性

0 引言

    物联网系统攻击登上新闻头条，网络、边缘节点和网关不断暴露出安全漏洞。最近，Mirai僵尸网络通过登录到运行telnet服务器且未更改默认密码的设备，感染了超过250万物联网节点。Mirai后来发展到能够引发服务器拒绝服务，导致全球很大一部分的互联网接入中断。Reaper僵尸网络通过利用软件漏洞并感染系统，攻击了超过100万台物联网设备。一个接入互联网的鱼缸提供了侵入赌场网络的入口点，导致10GB数据被盗。智能电视已被用于间谍和监视活动。

    嵌入式传感器系统已开始联网并暴露于互联网之中。作为工业物联网(IIoT)的一部分，这些传感器没有像Web服务器那样在恶劣的环境中经历二十年的演进。因此，该行业正在目睹这些系统遭受20世纪90年代及更早期常见的很多攻击。工业物联网系统的生命周期通常要比传统计算系统的生命周期长得多。一些设备在部署后可能会持续运行数十年，而维护计划则不明。

    服务器和PC非常复杂，足以支持设置安全措施，但工业物联网节点的功耗和处理能力通常很低，为设置安全措施而留下的功耗预算很小。由于涉及开发成本，安全在很大程度上是权衡的结果。虽然工业物联网的成本可能高于消费物联网，但其在可扩展性成本方面仍然面临挑战。如果忽视安全性，产品部署后将会产生隐藏的影响，这些成本最终也需要解决。

    传感器和执行器使得工业物联网设备能与物理世界进行交互。网络攻击主要限于数据丢失，但通过工业物联网攻击，黑客比以往更容易侵入物理世界。现在的攻击有可能造成人身伤害。这在工业物联网中更为显著，因为故障可能导致价值数百万美元的工业流程被关闭或摧毁，或者引发危及生命的情况。

1 联网世界

    工业物联网设备一般会连接到某种网络，常常是互联网。正是这种连接导致其最容易受到攻击。与流行病学相似，感染是通过与其他机器的接触而传播。攻击途径存在于系统与外界交互的地方。攻击者之所以能够与系统进行交互，完全是因为其能连接访问系统。需要问的第一个系统设计安全问题是：“设备是否真的需要连接到网络?”将其连接到网络会显著增加安全风险。

    保护系统的最佳方式是阻止其连接到网络，或将其限制在封闭网络中。许多工业物联网设备联网的原因仅仅是因为它们能联网，而没有其他什么理由。让设备联网的利益是否超过与此相关的安全风险?另外，任何其他与联网系统进行交互的遗留系统也可能面临风险。

    很多情况下，本来安全的网络和节点还必须与已有旧网络进行互操作，而这种老式网络本身的安全性可能要差很多。这就带来一个新问题：最弱的安全风险可能超出了工业物联网系统的影响范围。在这种情况下，工业物联网系统也需要防范来自系统内部的风险。

2 节点的安全考虑

    ●保密性——防止数据泄露给未获授权的人，例如防范仿冒攻击；

    ●身份验证——在两台机器之间使用数字证书验证身份；

    ●安全引导——ROM引导加载程序存储器验证二级引导加载程序的真实性；

    ●安全固件更新——仅认可制造商提供的授权代码；

    ●授权——只有正品节点才能获得网络访问权限；

    ●完整性——保护数据不被更改；

    ●记录——正确记录数据、节点数和时间戳有助于防止对工业物联网网络的不受欢迎访问；

    ●安全通信——使用能驻留在低功耗节点上的加密协议；

    ●可用性——确保用户在需要的时候可以访问；

    ●认可——确保无法拒绝真实的通信请求；

    ●可靠性——即使在恶劣的电气环境中，接入也必须可靠。

3 隔离

    系统彼此隔离可以减少攻击面并限制恶意软件的传播。将不需要网络连接的系统与暴露于网络的系统隔离开来。考虑建立一个单独的隔空或严格监控的网络，将它与其他高风险系统的网络分开。理想情况下，关键系统应当与外界完全隔离。

图1 冒充已知节点欺骗网关的仿冒攻击

    联网汽车的信息娱乐系统可能会让车辆遭受许多前所未见的新攻击。主发动机控制单元(ECU)与信息娱乐系统毫无关系，不应通过信息娱乐系统与之交互。虽然车辆中通常有两条独立的CAN总线，以将最重要的系统与其他系统隔开，但它们仍以某种方式连接在一起，仍然有可能通过破坏一条总线而获取对另一条总线的控制权。如果这些网络之间完全隔离，那么类似风险将会从威胁生命的程度降低到远没有那么严重的程度。