为何IoT安全做起来这么难

发布者:温雅如风最新更新时间:2017-09-07 来源: CTIMES关键字:LOT 手机看文章 扫描二维码
随时随地手机看文章

今年六月在荷兰举办的「世界论坛」(World Forum)资安会议中,一名来自美国绰号「网络忍者」的 11 岁计算机神童鲁宾.保罗(Reuben Paul)应邀上台演说,他表示:「从飞机到移动电话,从智能手机到智能房屋,任何东西或玩具都能成为物联网(IOT)的一环;而从魔鬼终结者到泰迪熊,任何东西或玩具都能将之武器化。」并实际示范如何骇入与会者的蓝牙装置,进而操纵泰迪熊。

保罗将一个信用卡大小、名为「树莓派」(raspberry pi)的计算机装置插入笔电,然后扫描在场所有可用的蓝牙装置,当场下载数十人的电话号码,包含在场许多高层官员的电话号码。 再利用一个计算机程序语言 Python,透过其中一组号码骇入泰迪熊,开启玩具熊的灯,并播出一段语音消息。 这位计算机神童不仅展现了惊人的超龄能力之外,也透露了:「物联网虽然很方便,但没有适当的保护就会害死你」。

IoT安全的三大关键:复杂的网络、成本与安全团队。

根据HP的研究报告,大约70%的消费型IoT设备存在安全隐忧,具有易「骇」体质。 而根据OTA(Online Trust Alliance)的研究,近期被揭露的IoT安全漏洞中,100%完全可事先避免。 这不免让人疑惑,IoT的安全既然有功法护体,为何实际落实还是那么难?

复杂的网络

现实中,影响IoT安全策略的第一个因素,是物联网系统的复杂性。 一个典型的物联网系统结构包括边缘节点(用户设备端)、网关和云端平台三部分,在边缘节点之间、边缘节点与网关之间以与门道与云端之间,又是通过不同的无线或有线通讯协议互联的。 理想的安全解决方案,应该是能实现「端(用户设备)对端(云端)」全面的安全防护。 而现实的情况是,物联网系统通常是经由不同制造商和用户的软、硬件组成,并由不同人进行管理和维护,每个环节都会有自己不同的安全策略,而系统整体的安全性往往就由「最短的那块木板」所决定。

现今的物联网系统复杂,数据在传输过程中需要在网关间进行多次转化和加解密操作,更增加了安全体系的复杂性。


特别重要的一点是,我们熟知的网络(Internet)是基于IP技术的网络,在过去的20多年中,网络已经形成了一套基于IP的比较成熟的安全体系,比如TLS(安全传输层协议),构成了网络安全的基石。 而IoT的名称中虽然也有「Internet」,但实际部署时由于低成本、低功耗、特殊应用场景等方面的考虑,物联网系统中采用了大量非IP的通讯协议,如ZigBee。 这种「混合」网络让物联网系统变得更为复杂,数据在传输过程中需要在网关间进行多次转化和加解密操作,增加了安全体系的复杂性。 同时,非IP网络环境的存在也使得很多基于IP的成熟的安全技术,如TLS协议、加解密算法,无法直接被IoT设备所利用。 虽然这种「复杂」的局面在技术上并非无解,但是对于开发者和用户来说需要额外的时间和资源的投入,将是一笔不小的负担。

成本,成本,成本

IoT安全设备的第二个影响因素是「成本」。 以边缘节点而言,物联网中多数用户的终端设备都是结构简单、低功耗、低成本的,在设计规划时往往很少、甚至根本没有考虑安全预算。 提升边缘节点的安全层级,最直接的方式就是投入额外的硬件,不论是采用具备安全性能的MCU,还是嵌入安全芯片。 这对于很多OEM,特别是对于增加几块钱的BOM成本就斤斤计较的消费型物联网产品来说,确实是件让人为难的事。 类似的成本「纠结」,在网络网关和云端安全性提升时,一样也会出现。

然而,这还不是全部的安全成本。 整个物联网系统生命周期中,需要人力对系统中的设备连接进行安全性的设置和管理,如授权、加密等,这种对设备安全性的「个人化」管理也是一个可观的成本,不论是设备制造商还是用户、运营商,都需要有人去承担成本。 随着网络的规模逐年增长,这一类的成本压力也将更为显著。 此外,将不安全设备的废止或改造以提升物联网的安全性,还会为用户带来「沉没成本」,导致过往的投资损失。 为了保护既有投资,用户在决策时稍做折衷也是在所难免,但这也是影响物联网安全「革命」难于彻底的原因之一。

安全团队

一个称职的物联网安全团队,能确保产品和系统设计之初,就将安全议题考虑进去,而不是在出现问题之后再亡羊补牢。


影响IoT安全的第三个因素,就是人。 传统的技术认知中,设备安全是嵌入式开发者的事,而网络安全是IT工程师的事,然而物联网带来了技术的融合,也需要相关专业人士的意识与知识重构。 在物联网发展的初期,这样的「人」是很难得的。

一个称职的物联网安全团队,能确保产品和系统设计之初,就将安全议题考虑进去,而不是在出现问题之后再亡羊补牢。 因为越来越多的事实证明,在物联网系统启用之后再考虑增加安全性的问题,注定会是一场失败的战斗。

以上这些,就是我们在IoT安全所面临的困境。 不过,IoT的安全性确实是一件不得不做的事情,也应该是我们物联网价值观中的底线基准。

关键字:LOT 引用地址:为何IoT安全做起来这么难

上一篇:MACOM通过行业最广泛的高性能10G产品组合实现10G PON的主流部
下一篇:三星10月将推出第3代Artik 目标2020年实现家电IoT与AI

推荐阅读最新更新时间:2024-05-07 17:36

赛普拉斯携手艾睿电子推出全新的物联网开发平台
TI网消息,物联网(IoT)无线连接解决方案领导者赛普拉斯半导体公司携手全球技术解决方案供应商艾睿电子公司今日宣布推出全新的物联网开发平台,帮助工程师们将各种各样的物联网产品快速推向市场。   全新的Quicksilver套件采用赛普拉斯的嵌入式设备无线连接(WICED®)平台,集成了赛普拉斯CYW43907 802.11n Wi-Fi®微控制器(MCU),可实现稳定可靠的连接。该套件预计将于2017年7月发布,而今年第四季度还将发布可提供高性能802.11ac Wi-Fi解决方案的第二款Quicksilver套件,以便在物联网应用中实现高数据速率和丰富的媒体体验。   从事开发的客户除了希望将产品接入云端,以全面实现各种令人兴奋
[网络通信]
IoT需求夯、未来4年ARM芯片出货量上看1000亿颗
日经亚洲评论7月21日报导,ARM Holdings执行长Simon Segars20日在东京受访时表示,在“物联网(IoT)”需求的带动下,未来4年采用ARM技术的芯片出货量预估累计将达到大约1千亿颗、跟公司自1990年成立迄今的累计总量一样多。智能型手机芯片霸主安谋目前已经将焦点转移至IoT,相关产品大致可区分为微控制器、网路芯片以及服务器CPU。Segars透露,ARM正与高通(Qualcomm)、华为(Huawei Technologies)携手开发服务器芯片。 ARM目前员工人数超过5千人、较2015年底的不到4千人呈现显着增长,多数新进员工都是工程师。为了让IoT与相关服务加速普及,包括日本、美国、欧洲、中国以及韩
[半导体设计/制造]
小广播
最新网络通信文章
换一换 更多 相关热搜器件
随便看看
电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2024 EEWORLD.com.cn, Inc. All rights reserved