1. 设备的身份是什么?它是不可伪造的吗?

当企业根据网站或任何形式的在线服务对个人进行身份验证时，通常会依靠多因素身份验证(MFA)来避免假冒和身份盗用。多因素身份验证实际上使网络攻击者无法伪造其在线身份，因为他们可能无法获得身份验证所述网站或服务所需的所有证据。

例如，网络攻击者可能已经了解了某个用户的密码，甚至偷走了其手机，但是他们并不知道手机上设置的6位数密码，也不会获得指纹。简而言之：他们将无法完成登录过程并冒充用户。

那么是否可以实施类似的机制来防止物联网设备的身份盗用?其答案是使用专用硬件，例如可信平台模块(TPM)。简而言之，此类设备拥有受硬件保护的加密密钥。私钥一旦存储在模块中就永远不会离开模块，然后使用公钥来证明设备的身份。由于无法伪造密钥，因此模拟设备实际上等同于对其进行物理访问，当然，这还会带来其他安全问题。

2. 代码在哪里运行?

可信计算库(TCB)一词是指对系统安全至关重要的硬件、固件和软件组件。从之前提到的可信平台模块(TPM)到其操作系统(可能是实时的)内核，物联网设备的各个方面都将在确保系统的整体安全性方面发挥作用。

在设计物联网设备时，必须记住，值得信赖的计算基础应尽可能小。这样，可以最大程度地减少攻击面，并降低可信计算库(TCB)中的错误或风险，从而使网络攻击者可以绕过安全保护并部署恶意有效负载，例如使它们窃取有价值的业务数据。

如果可以，需要尝试构建仅允许企业发布并启用真正需要的功能的操作系统或实时操作系统。无论如何，企业的应用程序代码应在可信计算库(TCB)之外运行，以便它可以在不影响安全性的情况下正常运行。

3. 软件组件是否已分区?

看门狗定时器实际上是一个精妙的概念，如果嵌入式系统的某个组件停止响应，则可以自动触发完全重置，但有时也想知道它们是否应该首先存在。

从历史上看，并且经常由于硬件限制，嵌入式代码已被设计为一个相当单一的Blob，其中一个组件中的缺陷或漏洞有可能损害整个系统，因此需要看门狗来减轻软件故障的后果。

现在，如果除了无害的软件错误导致模块和系统挂起之外，模块可能存在漏洞，那么会发生什么?当然，人们并不希望攻击者因为某个软件模块中的缺陷而控制其整个系统。

为了减轻这种风险，安全的物联网设备应允许划分其各种软件组件，并在它们之间实现硬件强制的边界。如果建立在实时操作系统(RTOS)之上，并且可以将模块作为独立的任务或流程运行，那么其状态可能会很好。

此外，在理想情况下，企业的设备将具有一个安全模型，该模型可以限制每个软件模块可以访问的硬件资源。