如今,越来越多的物品贴上了“智能”标签,成为了联网设备。生活方式更简化和便利的同时,这些设备的安全问题常常被人忽视。物联网设备通常是默认联网的,采用的也多是开源软件,因此很容易被黑客攻击。
威斯敏斯特大学的教授 Mercedes Bunz 表示,物联网设备普遍存在不安装安全软件的问题。他们与物联网安全公司Ardexa联手做了相关的研究实践,希望借此帮助那些实施物联网解决方案的企业检查其方案是否安全可靠。
开发安全性较高的端到端物联网解决方案涉及多个层级的问题,但是在物联网安全架构中,大致可以归纳为四个不同的层级,包括:设备层、通信层、云端和生命周期管理。
安全的设备层
设备层是指部署物联网解决方案时所涉及到的硬件,即物理上的“事物”或产品。设计和生产设备的ODM、OEM厂商们致力于在他们的硬件和软件上同时集成更多的安全功能,以提高设备层的安全性。
重要的物联网安全架构特征
一些制造商正在引入安全芯片TPMs (Trusted Platform Modules,也叫可信任平台模块),因为密钥被存储在硬件中,被窃的数据无法解密,从而从根源上保护了敏感信息和凭证。(即,不是在芯片外部设置加密秘钥)
安全启动机制可以确保只有经过验证的软件才能在设备上运行。
采取物理层的安全保护措施(例如,对所有内部电路进行全金属屏蔽),这种方式下即使入侵者获得对设备的物理访问,至少也能够防止信息被篡改。
虽然这些“ hard identities ”或“ 物理保护屏障 ”在特定情况下可能是有价值的,但是数据移动和设备处理复杂任务的能力决定了该设备所面临的风险水平。从一开始就重视设备的边缘处理能力和复杂的安全功能是一条重要的原则。
原则一:设备智能化是处理复杂的、安全性要求高的任务的前提条件
目前许多可用的终端设备(比如电器、工具、玩具或配件)都能通过以太网或WiFi网络与云平台或服务器进行“沟通”,但是这些设备通常只通过一个微处理器进行驱动,并不能处理复杂的网络连接,因此不应该用于处理物联网应用中的前端任务。
有效的、安全的连接必须由一个智能化的设备提供,这个设备需要具备加密、认证、时间戳、缓存、代理、防火墙、连接丢失等能力。设备必须具有鲁棒性,并且能够在有限的支持下进行现场操作。
原则二:边缘处理的安全优势
智能设备是一种能够自我“进化”的设备,能够随着时间的推移让自己更加强大、有用。
例如:机器学习算法目前已经达到能让一些小型设备拥有处理视频流的能力,边缘处理意味着这些智能设备可以在本地处理相关的数据,而不用将数据上传到云端。其可以增强设备的安全性也经得起考验,因为边缘处理意味着敏感信息不需要上传到云端,因此在设备层处理数据有助于强化整个网络。
安全的通信层
通信层指的是物联网解决方案的连接网络,即安全地发送/接收数据的媒介。敏感数据能否在物理层,网络层或应用层等不安全的通信信道中传输是一个值得注意的问题,因为这些数据很可能受到诸如中间人攻击(MITM)之类的攻击形式。
重要的物联网安全架构特征
以数据为中心的安全解决方案能够确保数据在传输(静止)时被安全地加密,除非对方拥有正确加密密钥的用户(个人,设备,系统或应用)解锁代码,否则即使数据被拦截了也毫无用处。
防火墙和入侵防御系统用来检查特殊数据流(如,非IT协议),并在设备端将其拦截,所以越来越多地被应用于检测入侵,同时防止通信层上的恶意活动。
通信层的物联网安全架构原则
原则三:启动与云端的连接
当防火墙端口向网络打开的瞬间就意味着设备已经面临着来自网络上的重大风险,因此通常只有在必要的情况下才打开防火墙。然而,给现场设备所提供的支持达不到与诸如web 、电子邮件或语音/视频服务器等同一程度。这些现场设备与云服务器相差甚远,它们没有管理员可进行漏洞修补、重新配置、测试和监视软件。
也就是说,允许设备直接连接到网络不是一个太好的主意,设备必须首先启动与云端的连接。且设备连接到云端还可以促进双向信道,从而允许物联网设备被远程控制。在大多数情况下,这是非常有必要的。
与这一原则密切相关的是使用虚拟专用网络(VPN)来访问物联网设备。但使用VPN的危险性可能与允许传入服务一样危险,因为它允许个人或网络访问自己网络内的资源。尽管VPN在非常特殊的情况下是可以发挥作用的。
原则四:信息的固有安全
应重视物联网设备的通信安全,无论信号是从设备端进行上传还是下载到设备端。对于物联网终端设备来说,轻量级的基于消息的协议具有许多独特的优势,是非常不错的选择,包括双重加密、排队、过滤甚至与第三方共享等。
使用正确的标签,每个消息都可以根据适当的安全策略进行处理。例如,限制 “远程控制”功能,或者仅允许在单方向上进行“文件传输”,又或者对客户数据进行双重加密。利用这种安全策略,可以控制消息流的安全传输。在物联网设备中,消息传递及其相关的访问权限设置在通信层上发挥着强大的作用。
安全的云服务层
云服务层是指物联网解决方案的软件后端,即来自设备的数据被大规模采集,分析和处理,用以产生洞察力并采取相应的措施。当评估一项解决方案采用云服务或者本地服务所要面临的风险时,安全性一直是讨论的核心问题。然而,对于物联网的发展来说,云服务的广泛采用是一个不容忽视的推动因素。
物联网云服务层安全原则
原则五:设备需具备识别,认证和加密功能
人们总是使用一个密码来访问云服务。在某些情况下,可能有两个验证因素,如“密码+一次密码生成器”。
然而,当访问云端服务的时候,机器在处理数字证书方面做得更好。因为数字证书使用是非对称的,加密的身份认证系统,不仅可以验证事务,还可以在身份认证发生之前将从设备到云端的通道进行加密。数字证书还可以提供加密标识,如果使用用户名/密码很难实现的相同的安全效果。
生命周期管理层的安全
安全的生命周期管理是一个包罗万象的整体性层级,即确保从设备制造、安装再到物品处置,整个过程中都有足够高的安全级别。设计只是保持物联网解决方案安全的第一步,整个生命周期中还包括策略执行,定期审核和供应商控制等环节。
生命周期管理的安全原则
原则六:远程控制和更新的安全
远程控制功能和在设备的生命周期内向其发送命令的功能是两个非常敏感的但又非常强大的功能。可以进行远程控制的设备需要拥有诸如远程诊断、更新配置、更新出错的软件、检索文件、使用全新的数据重新设置机器学习算法、添加新功能等众多功能。安全更新和远程控制的关键是确保设备禁止接入其他连接,即使这个设备能够进行双向连接并且得到正确的保护,依然应该使用消息交换机作为通信通道并采取正确措施。这么做的结果是,设备上的软件充当本地服务器,此时它只与云端进行连接。
总结
以上四个不同层面提出了六个重要的物联网安全架构特征,并突出强调了每个原则的重要性,鉴于物联网安全设计非常复杂。安全解决方案通常会由多个关键要素共同发挥作用,用以规避各种威胁或风险,所有物联网解决方案在一定程度上都需要对安全进行全面的考虑。0day
文章评论