账号:
密码:
CTIMES / 文章 /   
为何IoT安全做起来这麽难?
 

【作者: Avnet】2017年09月06日 星期三

浏览人次:【4708】
  


今年六月在荷兰举办的「世界论坛」(World Forum)资安会议中,一名来自美国绰号「网路忍者」的 11 岁电脑神童鲁宾.保罗(Reuben Paul)应邀上台演说,他表示:「从飞机到行动电话,从智慧手机到智能房屋,任何东西或玩具都能成为物联网(IOT)的一环;而从魔鬼终结者到泰迪熊,任何东西或玩具都能将之武器化。」并实际示范如何骇入与会者的蓝牙装置,进而操纵泰迪熊。


保罗将一个信用卡大小、名为「树莓派」(raspberry pi)的电脑装置??入笔电,然後扫描在场所有可用的蓝牙装置,当场下载数十人的电话号码,包含在场许多高层官员的电话号码。再利用一个电脑程式语言 Python,透过其中一组号码骇入泰迪熊,开启玩具熊的灯,并播出一段语音讯息。这位电脑神童不仅展现了惊人的超龄能力之外,也透露了:「物联网虽然很方便,但没有适当的保护就会害死你」。


根据HP的研究报告,大约70%的消费型IoT设备存在安全隐??,具有易「骇」体质。而根据OTA(Online Trust Alliance)的研究,近期被揭露的IoT安全漏洞中,100%完全可事先避免。这不免让人疑惑,IoT的安全既然有功法护体,为何实际落实还是那麽难?


复杂的网路

现实中,影响IoT安全策略的第一个因素,是物联网系统的复杂性。一个典型的物联网系统结构包括边缘节点(用户设备端)、闸道和云端平台三部分,在边缘节点之间、边缘节点与闸道之间以及闸道与云端之间,又是通过不同的无线或有线通讯协议互联的。理想的安全解决方案,应该是能实现「端(用户设备)对端(云端)」全面的安全防护。而现实的情况是,物联网系统通常是经由不同制造商和使用者的软、硬体组成,并由不同人进行管理和维护,每个环节都会有自己不同的安全策略,而系统整体的安全性往往就由「最短的那块木板」所决定。



图一 : 现今的物联网系统复杂,数据在传输过程中需要在闸道间进行多次转化和加解密操作,更增加了安全体系的复杂性。
图一 : 现今的物联网系统复杂,数据在传输过程中需要在闸道间进行多次转化和加解密操作,更增加了安全体系的复杂性。

特别重要的一点是,我们熟知的网路(Internet)是基於IP技术的网路,在过去的20多年中,网路已经形成了一套基於IP的比较成熟的安全体系,比如TLS(安全传输层协议),构成了网路安全的基石。而IoT的名称中虽然也有「Internet」,但实际部署时由於低成本、低功耗、特殊应用场景等方面的考虑,物联网系统中采用了大量非IP的通讯协议,如ZigBee。这种「混合」网路让物联网系统变得更为复杂,数据在传输过程中需要在闸道间进行多次转化和加解密操作,增加了安全体系的复杂性。同时,非IP网路环境的存在也使得很多基於IP的成熟的安全技术,如TLS协议、加解密算法,无法直接被IoT设备所利用。虽然这种「复杂」的局面在技术上并非无解,但是对於开发者和使用者来说需要额外的时间和资源的投入,将是一笔不小的负担。


成本,成本,成本

IoT安全设备的第二个影响因素是「成本」。以边缘节点而言,物联网中多数使用者的终端设备都是结构简单、低功耗、低成本的,在设计规划时往往很少、甚至根本没有考虑安全预算。提升边缘节点的安全层级,最直接的方式就是投入额外的硬体,不论是采用具备安全性能的MCU,还是嵌入安全晶片。这对於很多OEM,特别是对於增加几块钱的BOM成本就斤斤计较的消费型物联网产品来说,确实是件让人为难的事。类似的成本「纠结」,在网路闸道和云端安全性提升时,一样也会出现。


然而,这还不是全部的安全成本。整个物联网系统生命周期中,需要人力对系统中的设备连接进行安全性的设置和管理,如授权、加密等,这种对设备安全性的「个人化」管理也是一个可观的成本,不论是设备制造商还是使用者、运营商,都需要有人去承担成本。随着网路的规模逐年增长,这一类的成本压力也将更为显着。此外,将不安全设备的废止或改造以提升物联网的安全性,还会为使用者带来「沉没成本」,导致过往的投资损失。为了保护既有投资,使用者在决策时稍做折衷也是在所难免,但这也是影响物联网安全「革命」难於彻底的原因之一。


安全团队

图二 : 一个称职的物联网安全团队,能确保产品和系统设计之初,就将安全议题考虑进去,而不是在出现问题之後再亡羊补牢。
图二 : 一个称职的物联网安全团队,能确保产品和系统设计之初,就将安全议题考虑进去,而不是在出现问题之後再亡羊补牢。

影响IoT安全的第三个因素,就是人。传统的技术认知中,设备安全是嵌入式开发者的事,而网路安全是IT工程师的事,然而物联网带来了技术的融合,也需要相关专业人士的意识与知识重构。在物联网发展的初期,这样的「人」是很难得的。一个称职的物联网安全团队,能确保产品和系统设计之初,就将安全议题考虑进去,而不是在出现问题之後再亡羊补牢。因为越来越多的事实证明,在物联网系统启用之後再考虑增加安全性的问题,注定会是一场失败的战斗。


IoT安全的三大关键:复杂的网路、成本与安全团队。

以上这些,就是我们在IoT安全所面临的困境。不过,IoT的安全性确实是一件不得不做的事情,也应该是我们物联网价值观中的底线基准。


相关文章
FDX技术良性??圈的开端
MEMS未来的想像空间
可穿戴设备改变人类生活方式
以「大型超商」优势抵抗本土蚂蚁雄兵
comments powered by Disqus
相关讨论
  相关新品
EM500EV 测试/开发板
原厂/品牌:集博
供应商:集博
產品類別:IDE
  相关新闻
» 豪大雨及台风预报更准确 观测优化GPS定位导航
» 中国文化大学导入丽台NVIDIA VR Ready绘图卡 打造专业教学环境
» 抢攻云端市场 零壹科技旗下羽升国际展示四大云端服务
» 西门子叁加「台北101智慧趋势展」 运用虚拟实境与数位建筑模型
» 抢攻智慧办公商机 震旦办公云八大解决方案提升管理效率
  相关产品
» 技嘉科技推出G291-2G0超高密度高效能运算伺服器
» Micron 扩张 Crucial 储存方案 推出 P1 NVMe 固态硬碟
» IBM 与 NVIDIA 携手为资料科学家拓展开源机器学习工具
» NVIDIA针对资大规模资料分析与机器学习推出 RAPIDS 开源 GPU 加速平台
» 技嘉Z390 AORUS电竞主机板上市

AD