物聯網（IoT）的急劇增長使我們達到了承諾的“互聯世界”現在成為現實的地步。隨著基礎設施的到位，企業正在尋找基于連接設備網絡提供有價值服務的方法，增強現有產品并創建新產品。

安全性是這個新世界的關鍵，特別是在提供必要的軟件更新以使基于物聯網的服務處于最前沿方面。本文介紹了軟件更新的過程以及硬件技術在確保高級別安全性方面的價值。

新服務和安全性需求

雖然物聯網硬件具有價值，但大部分令人興奮的事情來自已經部署的數十億個物聯網節點以及尚未進入我們的智能家居和智能工廠的數十億個物聯網節點可以提供的服務。

現有企業和以物聯網為重點的初創企業都在迅速開發新服務，以贏得新客戶并為現有客戶增加價值，其目標是通過為最終用戶提供不斷增長的利益來發展盈利業務。

為了實現通過現有硬件提供新服務并通過持續更新保持已安裝服務的相關性的雙重目標，持續需要遠程更新已連接設備的軟件。因此，物聯網設備必須能夠接受對其軟件（包括固件）的無線（OTA）更新。向設備開放更新帶來了新的機會和新功能，但也意味著如果設備沒有得到適當的保護，它們就容易受到惡意干擾。

軟件更新不僅對于添加功能和服務至關重要，而且對于修復錯誤和漏洞也至關重要。正如今天的PC和手機必須更新以保持適當的安全性一樣，物聯網設備也是如此。這些更新必須自動、安全、可靠地進行，以便設備繼續滿足消費者和企業的需求。

受保護的軟件更新

執行軟件更新可能與腦部手術一樣具有挑戰性。一個錯誤的舉動可能會對患者造成致命傷害（在物聯網系統的情況下，失敗的更新可能會致命地破壞設備）。當惡意攻擊的風險被添加到組合中時，提供安全可靠的更新過程的重要性怎么強調都不為過。下面介紹了安全創建和安裝軟件更新的有效過程。

物聯網軟件更新依靠廣播流程同時訪問多個設備。

典型的安全軟件更新過程如圖 1 所示。它分為兩個階段：準備（步驟A和B）和執行（步驟1至4）。

在步驟 A 中，設備供應商獲取用于更新的軟件映像，并將元數據添加到該映像以生成軟件更新數據集。元數據對于安全性至關重要，因為它包括數字簽名或類似機制，設備將使用這些簽名或機制將授權更新（由制造商或服務提供商頒發）與惡意或其他未經授權的更新區分開來。元數據還可能包括用于標識更新和防止回滾的版本號、文件列表和其他字段。

在步驟 B 中，軟件更新數據集廣播到目標連接的設備，或在服務器上提供給這些設備。在此過程中，攻擊者可能會嘗試阻止該過程以防止更新，或嘗試更改傳輸中的更新以損壞更新。攻擊者還可能復制更新并對其進行逆向工程，以查找弱點或竊取固件或密鑰等知識產權。必須針對此類攻擊采取對策，包括保護更新完整性的數字簽名和保護更新機密性的加密。

執行階段從步驟 1 開始，遠程設備在其中下載軟件更新數據集。將軟件更新下載到設備后，可以在本地觸發安裝。根據設備配置，可以自動或手動觸發安裝。

在步驟 2 中，將檢查下載的更新的真實性和完整性，確認更新來自授權源（例如，使用數字簽名）。此時還將完成更新的解密。完成這些檢查后，新軟件即可安裝。

在步驟 3 中，將安裝此更新。使用的確切步驟將因設備的設計而異。在所有情況下，更新過程都應設計為從電源故障和其他問題中恢復。

在步驟 4 中，將激活已安裝的更新。簡單的設備可能只是重新啟動以激活新軟件。關鍵設備可能能夠無縫過渡到新軟件，而不會出現任何服務缺口。彈性系統旨在檢測新軟件中的故障并自動恢復。

硬件安全

盡管有結構化的方法和廣泛的測試，但所有軟件都有可能被發現和利用的弱點。這些漏洞可能允許攻擊者運行自己的代碼或發現存儲在設備上的機密。因此，安全專家建議所有關鍵功能都應在安全的硬件中實現。這種方法對于確保OTA更新的安全性特別有價值。適當保護的硬件允許安全地存儲代碼和數據，并且可以包括加密以及檢測篡改和試圖操縱代碼或數據的能力。

雖然當系統中包含安全硬件時，安全更新過程沒有太大區別，但有幾個額外的步驟，如圖 2 所示。

添加硬件安全性時，更新更安全。

軟件更新數據集的生成、廣播和下載方式與之前相同，因此此處省略上圖中的步驟 A、B 和 1。設備上的更新過程發生了變化，因為安全關鍵功能從MCU外包給單獨的安全IC。

安全 IC 不是僅使用軟件來檢查更新，而是用于驗證更新上的數字簽名并解密更新。安全IC提供受保護的密鑰存儲和片上簽名驗證。這解決了幾個潛在的漏洞，例如設備上正在替換的設備供應商的公鑰或篡改驗證算法的風險。安全密鑰存儲還用于存儲用于解碼軟件映像的任何加密的解密密鑰。該密鑰特別敏感，因此必須小心保護。

基于硬件的安全性還允許在解密的軟件上執行最終哈希，作為安全IC中的封裝功能，以在觸發安裝之前確認更新完整性。

用于安全軟件更新的英飛凌 OPTIGA 硬件

英飛凌的OPTIGA系列展示了硬件安全IC的功能。這種易于集成、可擴展的交鑰匙解決方案簡化了開發安全物聯網解決方案的過程。憑借英飛凌30年的安全專業知識，OPTIGA器件建立了基于硬件的信任根，由三個關鍵的安全關鍵功能（身份驗證、加密和完整性）提供支持。

OPTIGA系列包括多個器件，例如用于嵌入式系統的專用加密解決方案，用于高價值商品的高端交鑰匙安全控制器，用于嵌入式系統的可編程信任錨，以及用于保護嵌入式網絡中設備和系統的完整性和真實性的可信平臺模塊（TPM）。

OPTIGA Trust X專門針對工業自動化、智能家居、消費類設備、醫療設備等中的物聯網安全性進行了優化，支持安全的軟件更新，并保護物聯網設備的真實性、完整性和機密性。

總結

物聯網將觸及每個人業務和個人生活的許多方面，并將隨著企業設計出向客戶提供服務的新方法而繼續快速增長。數十億個物聯網節點中的每一個都是惡意方的潛在攻擊點，從而產生數據泄露，未經授權控制機器或更糟的風險。

因此，安全性必須成為參與物聯網設計的任何人的首要議程。雖然純軟件解決方案提供了一定程度的保護，但當基于硬件安全性的堅實基礎（如英飛凌的 OPTIGA 產品）時，安全性效果最佳。以硬件安全為可靠基礎，物聯網設備設計人員能夠將安全性提升到另一個層次，從而提高客戶滿意度和安全性，同時確保設備在未來幾年內繼續正常運行。

審核編輯：郭婷