前言消费物联网是一个物联网领域,旨在为消费者提供智能服务,提高生活质量和便利性。物联网设备是消费物联网的基本组成部分,消费物联网存在的安全问题尤其不能忽视消费物联网设备的安全性。消费类物联网设备在整个生命周期中有四种状态:出厂、厂商初始化、用户使用、设备停用(出厂状态可能存在来自底层硬件的安全威胁,但这不在本文讨论范围内,在本文中,出厂状态下默认处于安全状态),如图1所示。本文主要针对从事消费物联网开发制造的读者,简要探讨在物联网中潜在安全风险的应对策略。物联网设备的厂商初始化、用户使用、设备停用三种状态。图1IoT设备生命周期厂商初始化状态下设备的安全策略IoT设备是非标准的计算设备,具有连接网络、传输数据、计算和处理等功能。物联网设备的生命周期类似于普通计算设备,例如台式电脑或笔记本电脑。厂商刚进入市场时,还没有配置操作系统,只是一些硬件的简单组合,不能发挥计算机应有的功能。计算机经过其销售厂商的配置完成操作系统后,就是一台真正用于日常生活的计算机。厂商为电脑配置初始纯操作系统的过程,对应物联网设备正式上市前厂商的初始化阶段。在商家初始化阶段,不同的物联网设备在投放市场后,会根据其用途,由厂商以各种方式进行初始化。本文简要介绍厂商对各种设备初始化时涉及的安全策略,如图2所示。图2.制造商初始化的物联网设备的安全策略1.物联网设备的安装和维护应该很容易。消费者物联网设备的安装和维护应尽可能减少用户的决策,并应遵循实际应用中的最佳可用性。如果用户使用向导设置设备,则会显示配置选项的子集,指定通用默认值,并默认打开适当的安全选项。制造商应向用户提供有关如何检查其设备是否安全安装的说明。通过适当解决用户界面中的复杂性和不良设计,可以减少或有时消除由用户混淆或错误配置引起的安全问题。为用户提供有关如何安全配置其设备的明确指导也可以减少他们面临的威胁。通常,确保设备安全的平均成本高于检查设备是否安全的平均成本。从流程的角度来看,安全设置的检查主要由制造商通过与设备远程通信的自动化流程来执行。该自动化过程的一部分可能包括验证设备建立安全通信通道的能力。2.及时开发和部署安全更新及时开发和部署安全更新是制造商可以采取的保护其客户和更广泛的技术生态系统的最重要行动之一。保持所有软件更新和良好维护是保持安全的最佳方法之一,这在实践中得到了证明。物联网设备中的所有软件组件都应该可以安全更新,设备和供应商之间软件组件版本信息的良好沟通,这对于成功的设备组件管理至关重要。但并非设备上的所有软件都需要不断更新。例如,设备磁盘上引导加载程序的第一个块只写入一次并且从那时起是不可变的;在具有多个微控制器的设备上,某些微控制器可能无法更新。当设备不是受限设备时,它应该具有用于??安全安装更新的更新机制。“可安全更新”意味着有足够的措施来防止攻击者滥用更新机制。措施包括用正版软件更新服务器;完整性保护的通信渠道;验证软件更新的真实性和完整性。人们认识到,软件更新机制和“安装”的构成差异很大。为防止降级攻击(downgradeattacks),可以采用基于版本检查的防回滚策略。更新机制可以直接从设备从远程服务器下载更新,从移动应用程序传输它们,或者通过USB或其他物理接口传输它们。如果攻击者破坏此机制,则可能允许在设备上安装恶意版本的软件。软件更新应该使用自动化机制。如果自动更新失败,在某些情况下用户可能无法再使用该设备。检测机制,例如监控、使用双bankflash和恢复分区,可以确保设备返回到已知的良好版本或出厂状态。对此进行管理可能很复杂,尤其是当有并行相关的服务更新、设备更新和其他服务更新需要处理时。因此,清晰的管理和部署计划有利于制造商,而对于消费者而言,更新支持的当前状态是透明的。在许多情况下,发布软件更新涉及对其他组织的多重依赖,例如生产子组件的制造商。但是,这不是拒绝更新的理由。制造商在开发和部署安全更新时考虑整个软件供应链是很有用的。通常不建议将安全更新与功能更新等更复杂的软件更新捆绑在一起。引入新功能的功能更新可能会触发额外的要求并延迟对设备的更新。如果设备支持自动更新,则要求更新是可选的,以便用户可以启用、禁用或推迟安装安全更新和更新通知。从消费者权利和所有权的角度来看,重要的是用户可以控制他们是否接收更新。用户选择不更新有充分的理由,包括安全性。此外,如果部署更新后发现问题,制造商可以要求用户不要升级他们的软件,以免这些设备受到影响。用户使用状态下设备的安全策略用户即消费者,是消费类物联网设备的最终用户。保证用户在使用过程中的舒适度和信息安全非常重要,也是消费物联网的最终目标。当设备处于用户使用阶段时,物联网设备经历了出厂和制造商初始化两个步骤。该阶段的设备会在厂商初始化数据的基础上,进一步添加用户数据和设备在使用过程中产生的数据,因此安全隐患包括设备通信问题、设备组件更新问题、系统中断问题、个人数据安全问题,如图3所示。图3IoTDevicesinUseSecurityPolicy1.DeviceCommunicationConsumerIoTdevicesshouldusecryptographic具有安全通信最佳实践的技术。安全控制的充分性和最佳实践加密技术的实施取决于许多因素,包括使用环境。随着安全性的不断发展,很难就加密或其他安全措施提供规范性建议,因为任何此类建议都有迅速过时的风险。消费者物联网设备应使用经过审查或评估的实施来提供网络和安全功能,尤其是在密码学领域。例如,审查或评估开发和测试社区中的分布式软件库、经过认证的软件模块和硬件设备密码服务提供者(如安全元件和可信执行环境)。密码算法和原语应是可更新的。对于无法更新的设备,重要的是设备的预期寿命不超过设备使用的加密算法的建议寿命(包括密钥大小)。只有在网络接口上进行身份验证后,才能通过处于初始化状态的网络接口访问设备功能。有些设备提供无需身份验证即可访问的公共开放数据,以提供对所有设备的开放访问。该设备可能会因网络服务中的漏洞而受到损害。适当的身份验证机制可以防止未经授权的访问并有助于设备的纵深防御。2.设备组件更新消费者物联网设备应使用安全启动机制来验证其软件是否完整并正确更新。设备应在初始化后定期检查安全更新的可用性。设备每天随机检查可用更新,用户可以通过初始化设备界面来查看更新的存在。对于某些产品,执行此类检查的相关服务可能比设备更合适。如果检测到对软件的未经授权的更改,设备应提醒用户和/或管理员,并且不应连接到比执行警报功能所需的更广泛的网络。从未经授权的更改中远程恢复的能力可能依赖于已知的良好状态,例如在本地存储已知的良好版本以实现设备的安全恢复和更新。这将避免拒绝服务和代价高昂的召回或维护访问,同时管理攻击者破坏更新或其他网络通信机制以接管设备的风险。如果消费者物联网设备检测到对其软件进行未经授权的更改,它将能够通知正确的利益相关者。在某些情况下,设备可能处于管理模式。设备需要验证软件更新的真实性和完整性。确认更新有效的常用方法是验证其完整性和真实性。这可以在设备上完成;然而,受限设备可能具有功耗限制,这使得执行加密操作变得昂贵。在这种情况下,验证可以由另一个可信设备执行。经过验证的更新通过安全通道发送到设备。在设备上执行更新验证之前在中心执行更新验证可降低违规风险。当检测到无效和潜在的恶意更新时,设备采取行动是一种很好的做法。除了拒绝更新外,它还可以将事件报告给适当的服务或通知用户。此外,可以采用缓解控制来防止攻击者绕过或滥用更新机制。作为更新机制的一部分向攻击者提供尽可能少的信息会降低攻击者利用信息的能力。例如,当设备检测到无法成功交付或应用更新(通过完整性或身份验证检查失败)时,设备可以通过不向更新过程的发起者提供有关失败的任何信息来减少信息泄漏。同时,设备可以生成日志条目,并通过安全通道将日志条目的通知传递给受信任的对等方(如设备管理员),以便设备的所有者或管理员知道发生了事件并给予适当的回应。当软件更新应用程序会破坏设备的基本功能时,设备应通知用户。例如,通知包括有关紧急情况和大致预期停机时间的信息。设备在更新期间继续运行对用户来说至关重要。这就是为什么上面的条款建议在更新可能会破坏功能时通知用户。特别是,执行安全相关功能的设备在更新时不会完全关闭;最低系统功能能力是预期的。对于某些类型的设备和系统,如果没有适当考虑或管理,功能中断可能会成为严重的安全问题。3.系统中断随着物联网设备在消费者生活各个方面的应用不断增加,包括与人身安全相关的功能,物联网服务仍然正常运行。需要注意的是,可能适用与安全相关的法规,但关键是要避免让停机成为影响用户的原因,并设计提供一定程度弹性的产品和服务来应对这些挑战。考虑到数据网络和断电的可能性,消费者物联网设备和服务应具有内置的弹性。在网络访问中断的情况下,消费者物联网设备应保持运行和本地功能,并应在断电恢复时干净利落地恢复。例如,智能家居在停电后会失去与互联网的连接。当网络连接恢复时,家中的设备会在一段随机延迟后重新连接,以最大限度地减少网络使用。4.个人数据安全在设备和服务之间传输的个人数据,尤其是相关服务的机密性,应该采用实践中最好的加密技术来保护。同时,设备和相关服务之间交换的敏感个人数据的机密性应得到保护,使用适合技术和目的的加密技术。“敏感个人数据”是指披露后极有可能对个人造成伤害的数据。什么被视为“敏感个人数据”因产品和用例而异,例如:来自家庭安全摄像头的视频流、支付信息、通信数据内容和带时间戳的位置数据。执行安全和数据保护影响评估可以帮助制造商做出适当的选择。去激活状态设备的安全策略当物联网设备在使用过程中损坏或硬件升级更换时,意味着该设备的生命周期即将结束,即物联网设备将处于去激活状态。在停用状态下,物联网设备将不再被使用,不再为消费者提供服务。设备需要返厂或返厂销售。这时候物联网设备就需要能够方便的删除用户数据,防止用户个人信息被盗取。泄密,保障用户个人资料安全。物联网设备应为消费者提供设备上的功能,以便以简单的方式从相关服务中删除个人数据。旨在用于所有权转让、消费者希望删除个人数据、消费者希望从设备中删除服务或消费者希望处置设备的情况。IoT设备应向用户明确确认个人数据已从服务、设备和应用程序中删除。消费者物联网设备经常改变所有权并最终被回收或处置。可以提供允许消费者保持控制并从服务、设备和应用程序中删除个人数据的机制。当消费者希望完全删除他们的个人数据时,他们也希望备份副本被追溯删除。从设备或服务中删除个人数据通常不能简单地通过将设备重置回其出厂默认状态来完成。在许多用例中,消费者不是设备的所有者,但希望从设备和所有相关服务(如云服务或移动应用程序)中删除自己的个人数据。示例:用户可能会在租来的公寓中临时使用消费者物联网产品。对产品进行出厂重置可能会删除配置设置或禁用设备,从而损害公寓所有者和未来用户的利益。恢复出厂设置(从物联网设备中删除所有数据)不是以简单的方式执行的,例如在共享使用上下文中删除单个用户的个人数据。小结本文以消费者物联网设备生命周期为主线,从厂商初始化、用户使用、设备停用三个阶段,对应该采用的安全策略给出一些个人见解,作为简要说明和简单的分析,涉及用户可用性、设备组件更新和个人数据保护。希望能为物联网设备的开发者和厂商提供一些参考和帮助。【本文为《中国保密协会科学技术分会》专栏作者原创稿件,转载请联系原作者】点此查看该作者更多好文
