隨著物聯網范圍不斷擴大，甚至將企業、工業和公營事業應用涵蓋在內，物聯網安全性不足的風險也隨之高漲。但想要擴展，甚至為社會帶來好處前，勢必得先保障物聯網的安全。否則，風險過高，相關產業也不會貿然投入。

基于安全性問題不斷升溫，美國國土安全部（DHS）為解決物聯網安全性的挑戰，在2016年11月列出了以下六大原則：

˙于設計時間整合安全性

˙加強安全性更新與弱點管理

˙以經過實證的安全性做法為基礎

˙依潛在沖擊決定安全措施的優先級

˙提升物聯網透明性

˙聯機時小心謹慎

上述原則是相當實用的架構，能讓OEM廠商及使用者認識處理器及搭配軟件所實作的信任架構。以先前多個產品世代為例，可信任架構能幫助設計師打造出更安全的物聯網裝置，用戶也能從連網系統中獲得眾多好處。

路由器可遏止惡意入侵

整體產業顯然未將安全性整合至設計時間，2016年的大規模攻擊事件，就是利用連網裝置的硬件接線默認密碼和開放式網絡服務。遭入侵不只是因為裝置安全性不足，更是因為物聯網內沒有其余的減緩措施。

位在局域網絡或互聯網邊緣的路由器，尤其適合用來遏止這類惡意行為，此種做法將物聯網的保全工作托付給ISP，因此難以順利推行，即使ISP不是物聯網攻擊的目標，卻也間接受到波及。隨著越來越多物聯網轉移到成本更高的無線連結，ISP也許會更樂意加強其邊際安全性。

對網絡設備公司和處理器供貨商而言，此類安全性做法早已司空見慣，像是依封包的數據開始部分過濾封包， 或是套用深層封包檢驗（DPI），甚至是使用IPsec或SSL，多是利用這些通訊協議的驗證機制來保護其傳輸的數據。視處理器效能及網絡速度而定，也許能加快這些功能的運作。

另一種偏離這類安全性做法的方式，則是用戶／實體行為分析（UEBA）。此技術進一步延伸經常用來追蹤端點及其通訊的DPI，以及基本的啟發式技巧，利用機器學習方式，從監控封包的巨量數據集合中學習，來找出異常的網絡流量，判斷是否為失控的物聯網裝置、數據外泄，或內賊引發的金融詐騙事件。從客戶的現場端，UEBA可透過通用型處理器在軟件內實作，未來則能卸除到專用的機器學習處理器。

責任感較強的物聯網開發人員會在設計時間實作安全性，但他們必須改用不同的方式來選擇處理器，必須將安全性，特別是平臺安全性，視為選擇組件時的首要條件。

除了網絡安全性功能，處理器實作平臺信任功能，進一步延伸ARM CPU的基本可信賴執行環境（TEE）功能。此類平臺信任方法能在裝置整個使用壽命期間提供安全保護，包括裝置的制造、投入運行、運作、更新和除役等階段，還有從開機到關機的整個循環。

如此一來，設計人員便能打造出可保護自身完整性的系統，依美國國土安全部的建言，也就是使用「整合安全性功能，以強化裝置本身保護能力與完整性的硬件」。

安全性更新與弱點管理

毫無疑問地，安全性更新與弱點管理同樣是物聯網產業的弱項。對一般使用者而言，安全性與自身最主要的關聯在于：裝置或數據控制權會被黑客奪走嗎？

雖然智能手機在這方面跟物聯網裝置一樣脆弱，但智能手機已不斷加強其安全性。FBI在2016年曾費勁心力想要從iPhone擷取數據，但Apple讓FBI的任務難上加難。

然而，Apple采用的技術，裝置與物聯網基礎架構的開發人員同樣也能取得?？尚刨嚻脚_確保只有OEM簽核的程序代碼可啟動裝置。此外，還能保護程序代碼區塊及儲存于裝置內的數據，為OEM提供建構區塊，限制能于裝置執行的程序代碼，就像iPhone只能執行通過Apple審核的程序代碼，并透過其應用程序商店下載。

從理想層面來看，物聯網裝置應以可信賴平臺為基礎，且出貨時須為零弱點。然而實際上，所有裝置都包含錯誤，而多數都能透過軟件修正。經由可信賴平臺，搭配安全布建與更新工具，即使韌體存在過多錯誤，也能利用儲存在芯片內的特殊加密密鑰來進行更新。其做法是安裝新的韌體與密鑰，同時使舊密鑰失效，如此黑客便無法將裝置回復為先前有效的韌體映像檔。

在安全性更新與弱點管理這個議題下，國土安全部提出一個模糊但引人發想的建議：擬定停產策略。裝置是否應在使用一段時間或收到OEM的訊號后自我除役？這種做法當然可行，只要使用前面提到的安全開機或更新程序：OEM可在廠內設定裝置程序，讓裝置于特定時間后停機，或是推送更新，命令裝置自我終結。

重復使用經過實證的安全性做法

大部分的技術供貨商，一向鼓勵客戶善加利用整合至產品內的各項安全功能，亦即“以經過實證的安全性做法為基礎”。透過大量的文件記錄和客戶支持服務，OEM將能妥善利用這些功能。

另外，需要自定義功能的客戶也能利用咨詢服務，相關廠商亦協助進行系統驗證，確認系統符合DHS、NIST和開放網絡軟件安全計劃（Open Web Application Security Project）等組織所建議的最佳實務。

技術供貨商皆認為善加利用處理器平臺的信任功能，應是物聯網設計人員的首要之務，有鑒于其影響力之大。只要能防止未經授權的程序代碼執行，許多弱點便會消失。

透明性：透明性可讓物聯網相關產業準確評估可信賴度。物聯網系統用戶必須了解潛藏在系統內的弱點，而開發人員則必須了解軟硬件組件的潛在弱點。即使是沒有已知弱點可供檢視的情況下，取得對安全性開發流程的能見度，亦有助于正確評估風險。

DHS報告對透明性的討論主要著重于物聯網的供應鏈，并特別點出仰賴低成本、容易取得的軟硬件解決方案的風險。技術供貨商在物聯網裝置的供應鏈中扮演關鍵連結角色，可協助OEM提升透明性。在產品使用壽命初期，定義安全制造模式，能讓OEM毋需依賴保密機制，即可加載已簽核的程序代碼。

透過此模式將獨特唯一的ID與Salt燒入每一塊芯片，再將這些信息提供給OEM及其ODM外包制造商，如圖一所示。OEM會產生自己的Salt，技術供貨商并不會知道OEM的秘密，而OEM將之托付給供貨商的處理器來保護。畢竟，擁有透明性，并不表示得分享所有信息。

圖一 : 安全分布式制造模式提供透明化的安全性。

對ODM來說，處理器可在Slat上自行產生一組獨特唯一的公有-私人密鑰組。芯片可以輸出公有密鑰，但無法輸出私人密鑰。OEM可利用公有密鑰簽核程序代碼，再交由ODM燒入裝置。

一到現場使用后，處理器會讓裝置在開機時驗證程序代碼，并向OEM查證，確保裝置未被復制。同樣的機制也適用于安全韌體更新與裝置除役。總結來說，處理器能讓裝置在整個使用壽命期間保持透明性與完整性。

同時，技術供貨商亦明確載明處理器的安全宣告，包括哪些功能超出安全范圍，如此，物聯網相關產業便能評估其可信賴度。

謹慎聯機 確保物聯網裝置不受駭

物聯網產業另一項缺失，就是未小心謹慎地將裝置連接到互聯網。很明顯地，設備遭駭可說就是裝置未正確連接所導致，因為這些裝置最常發生意外存取。誰能想到，Target的信用卡終端機竟能經由營造服務公司遠程訪問？誰能想到，客戶保全攝影機上的互聯網Telnet端口會暴露于風險之中？

如先前所述，客戶現場端或互聯網邊緣的路由器正好位居絕佳的位置，適合用來監控流量、設立網絡防火墻、偵測入侵，還有分析用戶／實體的行為。如圖二所示，路由器可作為物聯網裝置的安全代理，設計更為出色或擁有更多功能的路由器，甚至可代替裝置執行一些工作。

圖二 : 謹慎的聯機示意圖：安全網關有助于保護終端節點

路由器及設計更優異且不受局限的物聯網裝置也可部署SSL或IPsec，以用來進行驗證、拒絕未授權的網絡裝置聯機。

保護物聯網安全的工具隨手可得，是否要采用全取決于OEM，另外網絡設備公司和ISP也需要提供更高一層的安全性，幫助較無相關措施的OEM防止裝置遭駭。

（本文作者Joseph Byrne、Ravi Malhotra、Geoff Waters任職于恩智浦半導體）