[[433416]]

前言

消費(fèi)者物聯(lián)網(wǎng)，旨在為消費(fèi)者提供智能服務(wù)，提高生活質(zhì)量和便利性的物聯(lián)網(wǎng)領(lǐng)域。物聯(lián)網(wǎng)設(shè)備是消費(fèi)者物聯(lián)網(wǎng)的基本組成單元，對(duì)于消費(fèi)者物聯(lián)網(wǎng)中存在的安全問題，消費(fèi)者物聯(lián)網(wǎng)設(shè)備的安全尤其不可忽視。消費(fèi)者物聯(lián)網(wǎng)設(shè)備在其整個(gè)生命周期中，有出廠、制造商初始化、用戶使用、設(shè)備停用這四種狀態(tài)(其中出廠狀態(tài)可能存在來自硬件底層的安全威脅，但這不在本文的考慮范圍之內(nèi)，本文默認(rèn)在出廠狀態(tài)時(shí)是處于一種安全的狀態(tài))，如圖1所示。

本文主要面向于參與消費(fèi)者物聯(lián)網(wǎng)開發(fā)和制造的讀者，淺談物聯(lián)網(wǎng)設(shè)備的制造商初始化、用戶使用和設(shè)備停用這三種狀態(tài)中應(yīng)對(duì)潛在安全風(fēng)險(xiǎn)的策略。

圖1 物聯(lián)網(wǎng)設(shè)備生命周期

設(shè)備在制造商初始化狀態(tài)下的安全策略

物聯(lián)網(wǎng)設(shè)備是非標(biāo)準(zhǔn)計(jì)算設(shè)備，具有連接網(wǎng)絡(luò)、傳輸數(shù)據(jù)、計(jì)算處理等功能。物聯(lián)網(wǎng)設(shè)備的生命周期與普通的計(jì)算設(shè)備類似，比如臺(tái)式電腦或者筆記本電腦，在廠家剛出場(chǎng)還未配置操作系統(tǒng)的時(shí)候就是一些硬件的簡(jiǎn)單組合，不能執(zhí)行任何一個(gè)電腦應(yīng)該具有的功能，只有當(dāng)電腦經(jīng)其售賣制造商完成操作系統(tǒng)配置后，才是一臺(tái)真正意義上日常生活中使用的電腦。而其中制造商為電腦配置初始純凈的操作系統(tǒng)的過程，就對(duì)應(yīng)于物聯(lián)網(wǎng)設(shè)備在正式投入市場(chǎng)之前的制造商初始化階段。

在商家初始化階段，不同的物聯(lián)網(wǎng)設(shè)備會(huì)根據(jù)其投入市場(chǎng)后的用途，被制造商進(jìn)行各式各樣的初始化工作，本文就制造商初始化中各種設(shè)備都會(huì)涉及的安全策略進(jìn)行簡(jiǎn)要闡述，如圖2所示。

圖2 物聯(lián)網(wǎng)設(shè)備在制造商初始化的安全策略

1. 物聯(lián)網(wǎng)設(shè)備的安裝和維護(hù)要容易

消費(fèi)者物聯(lián)網(wǎng)設(shè)備的安裝和維護(hù)應(yīng)涉及用戶的最低決策，并應(yīng)遵循在實(shí)踐應(yīng)用中的最佳可用性。如用戶使用向?qū)гO(shè)置設(shè)備，其中顯示配置選項(xiàng)的子集，并已指定常用默認(rèn)值，且默認(rèn)情況下已打開相應(yīng)的安全選項(xiàng)。

制造商應(yīng)向用戶提供關(guān)于如何檢查其設(shè)備是否安全安裝的指導(dǎo)。通過適當(dāng)解決用戶界面中的復(fù)雜性和糟糕設(shè)計(jì)，可以減少或有時(shí)消除由用戶混淆或錯(cuò)誤配置引起的安全問題。為用戶提供關(guān)于如何安全配置設(shè)備的明確指導(dǎo)也可以減少他們面臨的威脅。在一般情況下，安全設(shè)置設(shè)備的平均開銷高于檢查設(shè)備是否安全設(shè)置的平均開銷。從過程的角度來看，安全設(shè)置的檢查在很大程度上可以由制造商通過與設(shè)備遠(yuǎn)程通信的自動(dòng)化過程進(jìn)行。這種自動(dòng)化過程的一部分可能包括驗(yàn)證設(shè)備建立安全通信通道的能力。

2. 及時(shí)開發(fā)和部署安全更新

及時(shí)開發(fā)和部署安全更新是制造商為保護(hù)其客戶和更廣泛的技術(shù)生態(tài)系統(tǒng)所能采取的最重要行動(dòng)之一。

保持所有軟件的更新和良好的維護(hù)是一個(gè)在實(shí)踐中得到證實(shí)的保障安全的最佳方法之一。物聯(lián)網(wǎng)設(shè)備中的所有軟件組件都應(yīng)可以安全地更新，具有一個(gè)良好的設(shè)備和廠商之間軟件組件的版本信息通信，這是一個(gè)成功的設(shè)備組件管理所必備的。但并不是設(shè)備上所有軟件都有必要不斷更新。如設(shè)備磁盤的首塊引導(dǎo)加載程序只被寫入一次，從那時(shí)起是不可變的;在帶有多個(gè)微控制器的設(shè)備上，有些微控制器可能無法更新。

當(dāng)設(shè)備不是受限設(shè)備時(shí)，它應(yīng)具有用于安全地安裝更新的更新機(jī)制。“可安全更新”是指有足夠的措施防止攻擊者濫用更新機(jī)制。措施包括使用正版軟件更新服務(wù)器;受完整性保護(hù)的通信通道;驗(yàn)證軟件更新的真實(shí)性和完整性。人們認(rèn)識(shí)到，軟件更新機(jī)制和“安裝”的構(gòu)成有很大的差異。為了防止降級(jí)攻擊(downgrade attacks)，可以使用基于版本檢查的防回滾策略。更新機(jī)制可以從設(shè)備直接從遠(yuǎn)程服務(wù)器下載更新，從移動(dòng)應(yīng)用程序傳輸或通過USB或其他物理接口傳輸。如果攻擊者破壞了這種機(jī)制，就會(huì)允許在設(shè)備上安裝惡意版本的軟件。

軟件更新應(yīng)該使用自動(dòng)機(jī)制。如果自動(dòng)更新失敗，那么在某些情況下，用戶可能不再能夠使用設(shè)備。檢測(cè)機(jī)制，如監(jiān)視、雙庫閃存(dual-bankflash)和恢復(fù)分區(qū)的使用，可以確保設(shè)備返回到已知的良好版本或工廠狀態(tài)。管理這一點(diǎn)可能很復(fù)雜，特別是當(dāng)有并行的相關(guān)服務(wù)更新、設(shè)備更新和其他服務(wù)更新需要處理時(shí)。因此，清晰的管理和部署計(jì)劃對(duì)制造商是有好處的，對(duì)于消費(fèi)者來說，關(guān)于更新支持的當(dāng)前狀態(tài)是透明的。

在許多情況下，發(fā)布軟件更新涉及到對(duì)其他組織的多種依賴，比如生產(chǎn)子組件的制造商。然而，這不是拒絕更新的理由。對(duì)于制造商來說，在開發(fā)和部署安全更新時(shí)考慮整個(gè)軟件供應(yīng)鏈?zhǔn)呛苡杏玫摹Ｍǔ＝ㄗh不要將安全更新與更復(fù)雜的軟件更新捆綁在一起，例如特性更新。引入新功能的特性更新可能觸發(fā)額外的需求，并延遲對(duì)設(shè)備的更新。

如果設(shè)備支持自動(dòng)更新，那么要求更新可以自選是否啟用，以便用戶可以啟用、禁用或推遲安裝安全更新和更新通知。從消費(fèi)者權(quán)利和所有權(quán)的角度來看，用戶能夠控制是否接收更新是很重要的。用戶選擇不更新有很好的理由，包括安全性。此外，如果部署了一個(gè)更新，隨后發(fā)現(xiàn)導(dǎo)致問題，制造商可以要求用戶不要升級(jí)他們的軟件，以使這些設(shè)備不受影響。

設(shè)備在用戶使用狀態(tài)下的安全策略

用戶即消費(fèi)者，是消費(fèi)者物聯(lián)網(wǎng)設(shè)備的最終使用者，保障用戶在使用過程的舒適感和信息的安全性至關(guān)重要，也是消費(fèi)者物聯(lián)網(wǎng)的最終目的。當(dāng)設(shè)備處于用戶使用階段時(shí)，物聯(lián)網(wǎng)設(shè)備已經(jīng)過了出廠和制造商初始化兩個(gè)步驟，這一階段的設(shè)備會(huì)在具有制造商初始化數(shù)據(jù)的基礎(chǔ)上進(jìn)一步加入用戶數(shù)據(jù)和設(shè)備使用過程中產(chǎn)生的數(shù)據(jù)，因此存在安全隱患的方面有設(shè)備通信問題、設(shè)備組件更新問題、系統(tǒng)中斷問題和個(gè)人數(shù)據(jù)安全問題，如圖3所示。

圖3 物聯(lián)網(wǎng)設(shè)備在使用中的安全策略

1.設(shè)備通信

消費(fèi)者物聯(lián)網(wǎng)設(shè)備應(yīng)使用具有最佳實(shí)踐的密碼技術(shù)進(jìn)行安全通信。安全控制的適當(dāng)性和具有最佳實(shí)踐的密碼技術(shù)的實(shí)行取決于許多因素，包括使用環(huán)境。隨著安全性的不斷發(fā)展，由于任何此類建議都有迅速過時(shí)的風(fēng)險(xiǎn)，很難給出關(guān)于加密或其他安全措施的規(guī)定性建議。消費(fèi)者物聯(lián)網(wǎng)設(shè)備應(yīng)使用經(jīng)審查或評(píng)估的實(shí)施方案來提供網(wǎng)絡(luò)和安全功能，特別是在密碼領(lǐng)域。如開發(fā)和測(cè)試社區(qū)中的分布式軟件庫、經(jīng)認(rèn)證的軟件模塊和硬件設(shè)備加密服務(wù)提供商(如安全元素和信任執(zhí)行環(huán)境)都經(jīng)過審查或評(píng)估。

密碼算法和原語應(yīng)可更新。對(duì)于無法更新的設(shè)備，設(shè)備的預(yù)期壽命不得超過設(shè)備使用的密碼算法的建議使用壽命(包括密鑰大小)，這一點(diǎn)很重要。

只有在網(wǎng)絡(luò)接口上進(jìn)行身份驗(yàn)證后，才能在初始化狀態(tài)下通過網(wǎng)絡(luò)接口訪問設(shè)備功能。有一些設(shè)備可以提供公共的、開放的數(shù)據(jù)，無需身份驗(yàn)證即可訪問，以提供對(duì)所有設(shè)備的開放訪問。該設(shè)備可能通過網(wǎng)絡(luò)服務(wù)中的漏洞受到危害。合適的身份驗(yàn)證機(jī)制可以防止未經(jīng)授權(quán)的訪問，并有助于設(shè)備的縱深防御。

2. 設(shè)備組件更新

消費(fèi)者物聯(lián)網(wǎng)設(shè)備應(yīng)使用安全引導(dǎo)機(jī)制驗(yàn)證其軟件是否完整且更新正確。設(shè)備應(yīng)在初始化后定期檢查安全更新是否可用。一個(gè)設(shè)備每天在隨機(jī)時(shí)間檢查可用的更新，用戶可以通過初始化設(shè)備的接口看到更新的存在。對(duì)于某些產(chǎn)品，由相關(guān)的服務(wù)而不是設(shè)備執(zhí)行此類檢查可能更合適。

如果檢測(cè)到軟件發(fā)生未經(jīng)授權(quán)的更改，設(shè)備應(yīng)向用戶和/或管理員發(fā)出警報(bào)，并且不應(yīng)連接到比執(zhí)行預(yù)警功能所需的網(wǎng)絡(luò)更寬的網(wǎng)絡(luò)。從未經(jīng)授權(quán)的更改中遠(yuǎn)程恢復(fù)的能力可能依賴于已知的良好狀態(tài)，例如本地存儲(chǔ)已知的良好版本以實(shí)現(xiàn)設(shè)備的安全恢復(fù)和更新。這將避免拒絕服務(wù)和昂貴的召回或維護(hù)訪問，同時(shí)管理攻擊者破壞更新或其他網(wǎng)絡(luò)通信機(jī)制接管設(shè)備的風(fēng)險(xiǎn)。如果消費(fèi)者物聯(lián)網(wǎng)設(shè)備檢測(cè)到其軟件發(fā)生未經(jīng)授權(quán)的更改，它將能夠通知正確的利益相關(guān)者。在某些情況下，設(shè)備可以處于管理模式。

設(shè)備需要對(duì)軟件更新的真實(shí)性和完整性進(jìn)行驗(yàn)證。確認(rèn)更新是否有效的常見方法是驗(yàn)證其完整性和真實(shí)性。這可以在設(shè)備上完成;然而，受限的設(shè)備可能有功耗限制，這使得執(zhí)行加密操作的成本很高。在這種情況下，可以由另一個(gè)受信任的設(shè)備執(zhí)行驗(yàn)證。經(jīng)過驗(yàn)證的更新將通過安全通道發(fā)送到設(shè)備。先在中心執(zhí)行更新驗(yàn)證，然后再在設(shè)備上執(zhí)行更新驗(yàn)證，可以降低泄露的風(fēng)險(xiǎn)。

對(duì)于設(shè)備來說，在檢測(cè)到無效和潛在的惡意更新時(shí)采取行動(dòng)是一種良好的實(shí)踐。除了拒絕更新之外，它還可以向適當(dāng)?shù)姆?wù)機(jī)構(gòu)報(bào)告事件或通知用戶。此外，還可以采用緩和控制來防止攻擊者繞過或誤用更新機(jī)制。作為更新機(jī)制的一部分，盡可能少地向攻擊者提供信息，會(huì)降低攻擊者利用信息的能力。比如當(dāng)設(shè)備檢測(cè)到一個(gè)更新不能成功交付或應(yīng)用(通過完整性或身份驗(yàn)證檢查失敗)，設(shè)備可以通過不向更新進(jìn)程的發(fā)起者提供任何關(guān)于失敗的信息來減少信息泄漏。同時(shí)，設(shè)備可以生成一個(gè)日志條目，并通過安全通道將日志條目的通知傳遞給受信任的對(duì)等體(例如設(shè)備管理員)，這樣設(shè)備的所有者或管理員就可以知道事件的發(fā)生，并做出適當(dāng)?shù)捻憫?yīng)。

軟件更新的應(yīng)用程序?qū)_亂設(shè)備的基本功能時(shí)，設(shè)備應(yīng)通知用戶。如一個(gè)通知包括關(guān)于緊急情況和大約預(yù)期停機(jī)時(shí)間的信息。對(duì)于用戶來說，設(shè)備在更新期間繼續(xù)運(yùn)行是至關(guān)重要的。這就是為什么上面的條款建議在更新可能破壞功能時(shí)通知用戶。特別是，實(shí)現(xiàn)安全相關(guān)功能的設(shè)備在更新的情況下不會(huì)完全關(guān)閉;期望有最低限度的系統(tǒng)功能能力。對(duì)于某些類型的設(shè)備和系統(tǒng)來說，如果沒有得到正確的考慮或管理，對(duì)功能的破壞可能成為一個(gè)嚴(yán)重的安全問題。

3. 系統(tǒng)中斷

物聯(lián)網(wǎng)服務(wù)在消費(fèi)者生活的各個(gè)方面(包括與人身安全相關(guān)的功能)采用物聯(lián)網(wǎng)設(shè)備的增加時(shí)保持和運(yùn)行。重要的是要注意，安全相關(guān)法規(guī)可以適用，但關(guān)鍵是要避免使停機(jī)成為對(duì)用戶造成影響的原因，并設(shè)計(jì)能夠提供一定程度的彈性以應(yīng)對(duì)這些挑戰(zhàn)的產(chǎn)品和服務(wù)。

消費(fèi)者物聯(lián)網(wǎng)設(shè)備和服務(wù)應(yīng)內(nèi)置彈性，考慮到數(shù)據(jù)網(wǎng)絡(luò)和電源中斷的可能性。在網(wǎng)絡(luò)接入中斷的情況下，消費(fèi)者物聯(lián)網(wǎng)設(shè)備應(yīng)保持運(yùn)行和本地功能，并應(yīng)在斷電恢復(fù)的情況下干凈地恢復(fù)。如智能家居在斷電后與互聯(lián)網(wǎng)失去連接?；謴?fù)網(wǎng)絡(luò)連接時(shí)，家庭中的設(shè)備會(huì)在隨機(jī)延遲后重新連接，以最小化網(wǎng)絡(luò)占用率。

4. 個(gè)人數(shù)據(jù)安全

設(shè)備和服務(wù)之間傳輸?shù)膫€(gè)人數(shù)據(jù)，尤其是相關(guān)服務(wù)的機(jī)密性，應(yīng)采用實(shí)踐中最佳的加密技術(shù)加以保護(hù)。同時(shí)設(shè)備和相關(guān)服務(wù)之間交流的敏感個(gè)人數(shù)據(jù)的機(jī)密性應(yīng)受到保護(hù)，并采用適合技術(shù)和用途的加密技術(shù)。

“敏感個(gè)人數(shù)據(jù)”是指其披露極有可能對(duì)個(gè)人造成傷害的數(shù)據(jù)。被視為“敏感個(gè)人數(shù)據(jù)”的內(nèi)容因產(chǎn)品和用例的差異而不同，例如：家庭安全攝像頭的視頻流、支付信息、通信數(shù)據(jù)的內(nèi)容和時(shí)間戳位置數(shù)據(jù)。執(zhí)行安全和數(shù)據(jù)保護(hù)影響評(píng)估可以幫助制造商做出適當(dāng)?shù)倪x擇。

設(shè)備在停用狀態(tài)下的安全策略

物聯(lián)網(wǎng)設(shè)備在使用過程中損壞或因硬件升級(jí)而替換時(shí)，意味著該設(shè)備在本次使用的生命周期走向了終結(jié)，即物聯(lián)網(wǎng)設(shè)備將處于停用狀態(tài)。處于停用狀態(tài)下物聯(lián)網(wǎng)設(shè)備將不再被使用，不再為消費(fèi)者提供服務(wù)，設(shè)備需要返廠或返回售賣制造商，這時(shí)就需要物聯(lián)網(wǎng)設(shè)備可以方便刪除用戶數(shù)據(jù)，以防止用戶個(gè)人信息泄露，保證用戶個(gè)人數(shù)據(jù)安全。

物聯(lián)網(wǎng)設(shè)備應(yīng)為消費(fèi)者提供設(shè)備上的功能，以便以簡(jiǎn)單的方式從相關(guān)服務(wù)中刪除個(gè)人數(shù)據(jù)。旨在用于所有權(quán)轉(zhuǎn)移、消費(fèi)者希望刪除個(gè)人數(shù)據(jù)、消費(fèi)者希望從設(shè)備中刪除服務(wù)或消費(fèi)者希望處置設(shè)備的情況。

物聯(lián)網(wǎng)設(shè)備應(yīng)向用戶提供明確的確認(rèn)，即個(gè)人數(shù)據(jù)已從服務(wù)、設(shè)備和應(yīng)用程序中刪除。消費(fèi)者物聯(lián)網(wǎng)設(shè)備通常會(huì)改變所有權(quán)，并最終被回收或處置?？梢蕴峁┰试S消費(fèi)者保持控制并從服務(wù)、設(shè)備和應(yīng)用程序中刪除個(gè)人數(shù)據(jù)的機(jī)制。當(dāng)消費(fèi)者希望完全刪除其個(gè)人數(shù)據(jù)時(shí)，他們還希望備份副本被追溯刪除。從設(shè)備或服務(wù)中刪除個(gè)人數(shù)據(jù)通常不是簡(jiǎn)單地通過將設(shè)備重置回其出廠默認(rèn)狀態(tài)來實(shí)現(xiàn)的。在許多用例中，消費(fèi)者不是設(shè)備的所有者，但希望從設(shè)備和所有相關(guān)服務(wù)(如云服務(wù)或移動(dòng)應(yīng)用程序)中刪除他們自己的個(gè)人數(shù)據(jù)。

例子：用戶可以在租用的公寓內(nèi)臨時(shí)使用消費(fèi)物聯(lián)網(wǎng)產(chǎn)品。對(duì)產(chǎn)品進(jìn)行出廠重置可能會(huì)刪除配置設(shè)置或禁用設(shè)備，從而損害公寓所有者和未來用戶的利益。出廠重置(從物聯(lián)網(wǎng)設(shè)備中刪除所有數(shù)據(jù))不是以諸如刪除共享使用上下文中單個(gè)用戶的個(gè)人數(shù)據(jù)的簡(jiǎn)單方式來執(zhí)行。

小結(jié)

在本篇文章中，主要以消費(fèi)者物聯(lián)網(wǎng)設(shè)備生命周期為主線，從制造商初始化、用戶使用和設(shè)備停用這三個(gè)階段，對(duì)其應(yīng)采用的安全策略給出了一些個(gè)人見解，作簡(jiǎn)要闡述和簡(jiǎn)單分析，涉及到用戶易用性、設(shè)備組件更新和個(gè)人數(shù)據(jù)保護(hù)等方面。希望可以給物聯(lián)網(wǎng)設(shè)備的開發(fā)和制造者提供一些參考和幫助。

【本文為51CTO專欄作者“中國(guó)保密協(xié)會(huì)科學(xué)技術(shù)分會(huì)”原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)聯(lián)系原作者】

戳這里，看該作者更多好文