走出家用物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全設(shè)計(jì)中的傳統(tǒng)路徑依賴(lài)

　　摘要：Q/CVC0028—2019《智能家電(IoT設(shè)備、互聯(lián)設(shè)備)網(wǎng)絡(luò)安全評(píng)價(jià)及測(cè)試規(guī)范》標(biāo)準(zhǔn)針對(duì)當(dāng)前市場(chǎng)上物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全現(xiàn)狀，規(guī)定了不同等級(jí)的安全要求，對(duì)提升家用物聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)應(yīng)用規(guī)范具有重要作用。本文從Q/CVC0028—2019標(biāo)準(zhǔn)中選取了數(shù)個(gè)技術(shù)要點(diǎn)來(lái)剖析編制思路和應(yīng)用實(shí)踐，對(duì)家電企業(yè)在產(chǎn)品設(shè)計(jì)過(guò)程中如何通過(guò)該標(biāo)準(zhǔn)改進(jìn)和提升就可避免陷入傳統(tǒng)產(chǎn)品設(shè)計(jì)的路徑依賴(lài)進(jìn)行研究。本文中還攫取數(shù)項(xiàng)常見(jiàn)網(wǎng)絡(luò)安全缺陷問(wèn)題，解讀Q/CVC0028—2019標(biāo)準(zhǔn)的架構(gòu)及其背后的技術(shù)脈絡(luò)。

　　關(guān)鍵詞：網(wǎng)絡(luò)安全;物聯(lián)網(wǎng)設(shè)備;標(biāo)準(zhǔn);加密;身份驗(yàn)證

　　引言

　　傳統(tǒng)家電制造商在物聯(lián)網(wǎng)家電設(shè)計(jì)時(shí)容易存在兩個(gè)慣有思路：一是重視電氣安全，忽視網(wǎng)絡(luò)安全;二是認(rèn)為網(wǎng)絡(luò)安全等級(jí)越高，產(chǎn)品成本越高。在這樣的思路指導(dǎo)下，智能家電產(chǎn)品設(shè)計(jì)暴露出了很多安全隱患。雖然網(wǎng)絡(luò)安全問(wèn)題只是困擾家用物聯(lián)網(wǎng)(IoT)產(chǎn)品的眾多問(wèn)題中的一個(gè)，但加密它們收到的用戶(hù)隱私數(shù)據(jù)，并抵御網(wǎng)絡(luò)攻擊是最基本的要求。如何在有限的資源條件下，保證設(shè)備在使用過(guò)程中的網(wǎng)絡(luò)安全，是所有生產(chǎn)企業(yè)都要面對(duì)的問(wèn)題。在深入研究智能家電的網(wǎng)絡(luò)安全問(wèn)題之前，必須考慮網(wǎng)絡(luò)安全漏洞的來(lái)源。從廣義上講，物聯(lián)網(wǎng)設(shè)備中的大多數(shù)漏洞可以分為三大類(lèi)：應(yīng)用漏洞、實(shí)現(xiàn)漏洞和設(shè)計(jì)漏洞。

　　1)應(yīng)用漏洞應(yīng)用漏洞是指用戶(hù)在日常使用過(guò)程中產(chǎn)生的漏洞。該類(lèi)漏洞與用戶(hù)在操作或安裝設(shè)備時(shí)引入的問(wèn)題有關(guān)，來(lái)源于用戶(hù)未能正確安裝和使用安全功能。常見(jiàn)的例子包括不更改默認(rèn)密碼，使用簡(jiǎn)單密碼和不啟用安全功能。這類(lèi)漏洞屬于用戶(hù)使用習(xí)慣問(wèn)題，并非產(chǎn)品固有漏洞缺陷。

　　2)實(shí)現(xiàn)漏洞實(shí)現(xiàn)漏洞是指制造商使用的技術(shù)所帶來(lái)的固有缺陷，比如編碼錯(cuò)誤，緩沖區(qū)溢出等。其他例子包括不正確地使用隨機(jī)數(shù)生成器，導(dǎo)致生成容易猜測(cè)的安全密鑰。遵循科學(xué)的軟件開(kāi)發(fā)流程，使用應(yīng)用程序加強(qiáng)軟件開(kāi)發(fā)生命周期的管理，以及遵守軟件安全測(cè)試標(biāo)準(zhǔn)，可以幫助識(shí)別和解決實(shí)現(xiàn)漏洞。

　　3)設(shè)計(jì)漏洞設(shè)計(jì)漏洞源于在開(kāi)發(fā)設(shè)備時(shí)未能周全考慮采用適當(dāng)?shù)陌踩�措施，使產(chǎn)品留下設(shè)計(jì)缺陷，比如使用硬編碼密碼，沒(méi)有用戶(hù)身份驗(yàn)證的控制接口，以及在通信時(shí)以明文形式發(fā)送密碼和其他敏感信息。具體到智能家電的常見(jiàn)例子還有沒(méi)使用安全引導(dǎo)的設(shè)備或允許未經(jīng)驗(yàn)證的遠(yuǎn)程固件更新的設(shè)備。這些漏洞問(wèn)題并非是無(wú)解的難題，Q/CVC0028-2019標(biāo)準(zhǔn)作為一個(gè)通用標(biāo)準(zhǔn)，從中可以找到很多答案。Q/CVC0028-2019標(biāo)準(zhǔn)以簡(jiǎn)明的方式規(guī)定了三類(lèi)設(shè)備的29種要求及其測(cè)試方法，對(duì)于指導(dǎo)企業(yè)迅速降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)具有重要的意義，能夠幫助傳統(tǒng)家電企業(yè)在設(shè)計(jì)智能產(chǎn)品時(shí)，跳出固有的設(shè)計(jì)思路，適應(yīng)物聯(lián)時(shí)代新戰(zhàn)場(chǎng)。

　　1密碼和身份驗(yàn)證要求

　　在所有用戶(hù)能夠控制設(shè)備之前都必須對(duì)其進(jìn)行身份驗(yàn)證，以防止對(duì)設(shè)備進(jìn)行匿名更改，從而降低風(fēng)險(xiǎn)。密碼仍然是許多設(shè)備上的默認(rèn)身份驗(yàn)證方法。在系統(tǒng)中規(guī)定不允許使用默認(rèn)密碼，并且設(shè)備強(qiáng)制使用強(qiáng)密碼，是目前通行的一種選擇。因此，根據(jù)Q/CVC0028-2019中5.2條款的要求，無(wú)論使用何種密碼機(jī)制，使設(shè)備的初始密碼唯一，不與其他同型號(hào)設(shè)備重復(fù);在初次使用時(shí)，設(shè)備內(nèi)置的安全機(jī)制要求用戶(hù)生成新的密碼;在生成新的密碼后，初始密碼應(yīng)失效等原則，在不增加產(chǎn)品成本的條件下，均可極大提高產(chǎn)品的身份驗(yàn)證門(mén)檻。當(dāng)然，根據(jù)設(shè)備的性質(zhì)和可用的接口，在成本可接受的范圍內(nèi)，使用RFID或生物特征識(shí)別進(jìn)行身份驗(yàn)證未嘗不是更好的選擇。

　　2傳輸數(shù)據(jù)加密要求

　　物聯(lián)網(wǎng)設(shè)備的通信機(jī)制因設(shè)備而異，可能包括從低功耗藍(lán)牙和ZigBee到WiFi、蜂窩數(shù)據(jù)和以太網(wǎng)的無(wú)線(xiàn)協(xié)議。不管傳輸機(jī)制和通信協(xié)議如何，確保通信安全包含了設(shè)備端和傳輸過(guò)程兩個(gè)方面的范疇。首先，設(shè)備識(shí)別是安全通訊的基石，可以防止偽冒設(shè)備進(jìn)入網(wǎng)絡(luò)。確保物聯(lián)網(wǎng)設(shè)備的真實(shí)性對(duì)于整個(gè)物聯(lián)網(wǎng)系統(tǒng)的安全至關(guān)重要。如果網(wǎng)絡(luò)中的一個(gè)設(shè)備的身份是偽造的，那么它的行為很可能不可知。它可能竊取數(shù)據(jù)，中斷操作或遠(yuǎn)程攻擊，而系統(tǒng)甚至不知它是不偽造的。其次，使用安全協(xié)議進(jìn)行通訊是保障物聯(lián)網(wǎng)的基本要求。安全協(xié)議確保交換的數(shù)據(jù)和命令是加密的，不能被截取、偽造或操縱。

　　安全協(xié)議能夠使用強(qiáng)身份驗(yàn)證來(lái)防止未經(jīng)授權(quán)的設(shè)備向物聯(lián)網(wǎng)設(shè)備發(fā)送控制命令。基于以太網(wǎng)的常見(jiàn)安全協(xié)議是TLS(TransportLayerSecurity，傳輸層安全協(xié)議，它取代了SSL——SecureSocketLayer安全套接字層)、DTLS(DatagramTransportLayerSecurity，數(shù)據(jù)報(bào)傳輸層安全協(xié)議，非常適合于資源有限的設(shè)備使用)和SSH(SecureShell，安全殼協(xié)議)。

　　特別對(duì)于允許通過(guò)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)的設(shè)備，絕對(duì)需要基于證書(shū)的身份驗(yàn)證協(xié)議來(lái)進(jìn)行安全的遠(yuǎn)程身份驗(yàn)證。當(dāng)設(shè)備使用這些協(xié)議進(jìn)行通信時(shí)，它們首先相互驗(yàn)證，然后再共享命令或數(shù)據(jù)。它們通過(guò)使用證書(shū)驗(yàn)證另一方的身份來(lái)處理身份驗(yàn)證。雖然Zigbee或低功耗藍(lán)牙可能在協(xié)議中內(nèi)置了加密協(xié)議，但它們的漏洞也在使用中不斷被發(fā)現(xiàn)。因此，只要條件允許，舊的、不安全的協(xié)議應(yīng)替換為更新的、更安全的協(xié)議。Q/CVC0028—2019中對(duì)軟件升級(jí)和傳輸數(shù)據(jù)加密均作了要求，制造商可以比照這些要求，評(píng)估自身產(chǎn)品的通訊安全性。

　　3啟動(dòng)安全保護(hù)要求

　　為了確保設(shè)備僅執(zhí)行受信任方提供的代碼，設(shè)備應(yīng)能使用加密代碼簽名技術(shù)來(lái)保證引導(dǎo)過(guò)程的完整性。在具有安全引導(dǎo)的設(shè)備中，引導(dǎo)加載程序在加載之前計(jì)算加載文件的加密安全哈希碼，將這個(gè)哈希值與存儲(chǔ)的哈希值進(jìn)行比較，引導(dǎo)確保只安裝和執(zhí)行經(jīng)批準(zhǔn)和授權(quán)的軟件，以確保文件是真實(shí)的原文件。

　　存儲(chǔ)散列值的公鑰簽名可防止惡意第三方欺騙軟件，并確保只有來(lái)自可信任方的軟件才會(huì)被執(zhí)行。當(dāng)軟件更新或升級(jí)時(shí)，同樣需進(jìn)行安全引導(dǎo)。Q/CVC0028—2019中規(guī)定，如果設(shè)備提供多個(gè)引導(dǎo)配置，設(shè)備置于安全引導(dǎo)配置中時(shí)應(yīng)能正常啟動(dòng)該設(shè)備。此外，物聯(lián)網(wǎng)設(shè)備可以在下載新固件映像之前使用設(shè)備到設(shè)備的身份驗(yàn)證方法來(lái)對(duì)升級(jí)服務(wù)進(jìn)行身份驗(yàn)證，從而增加了額外的保護(hù)措施。

　　4數(shù)字簽名的生成及驗(yàn)證要求

　　一般地，物聯(lián)網(wǎng)設(shè)備使用實(shí)時(shí)操作系統(tǒng)與云端系統(tǒng)，網(wǎng)關(guān)和其它物聯(lián)網(wǎng)設(shè)備進(jìn)行通訊。系統(tǒng)和網(wǎng)絡(luò)運(yùn)營(yíng)商應(yīng)能夠識(shí)別它們網(wǎng)絡(luò)中的設(shè)備。當(dāng)一個(gè)設(shè)備被聯(lián)入網(wǎng)絡(luò)或系統(tǒng)中時(shí)，確保它的真實(shí)性是很關(guān)鍵性的工作。黑客和假冒設(shè)備的威脅應(yīng)通過(guò)一系列的驗(yàn)證工作來(lái)杜絕。因此身份標(biāo)識(shí)對(duì)于安全通信和防止假冒設(shè)備的攻擊是必要的。使用PKI(公鑰基礎(chǔ)設(shè)施)進(jìn)行基于數(shù)字證書(shū)的身份驗(yàn)證是一種經(jīng)濟(jì)可行的方法，它可跨多個(gè)網(wǎng)域設(shè)置設(shè)備標(biāo)識(shí)，非常適合于目前尚未形成完整體系的家電物聯(lián)網(wǎng)。

　　數(shù)字證書(shū)消除了基于密碼的身份驗(yàn)證和其他弱身份驗(yàn)證機(jī)制的固有問(wèn)題，能夠給用戶(hù)提供強(qiáng)大而有效的認(rèn)證。設(shè)備還可以可靠地驗(yàn)證其他合法設(shè)備，防止與惡意設(shè)備和未經(jīng)授權(quán)的系統(tǒng)進(jìn)行未經(jīng)授權(quán)的通信。如果設(shè)備沒(méi)有有效的證書(shū)，則不允許該設(shè)備進(jìn)入網(wǎng)絡(luò)。盡管造假者可能會(huì)仿造設(shè)備固件來(lái)制造克隆設(shè)備，但他們不能復(fù)制有效的證書(shū)。證書(shū)對(duì)于由證書(shū)頒發(fā)機(jī)構(gòu)簽名的每個(gè)設(shè)備都是唯一的。足夠的技術(shù)難度使得造假者無(wú)法偽造證書(shū)，因此能夠阻止造假者將其偽冒設(shè)備注冊(cè)為正品。

　　基于PKI技術(shù)的管理過(guò)程允許設(shè)備安全地自動(dòng)地請(qǐng)求新證書(shū)、驗(yàn)證證書(shū)并識(shí)別證書(shū)何時(shí)被吊銷(xiāo)。證書(shū)頒發(fā)機(jī)構(gòu)還提供自動(dòng)化證書(shū)鏈支持，以確保所有證書(shū)都得到正確驗(yàn)證。從在制造過(guò)程中將證書(shū)妥善地裝入設(shè)備開(kāi)始，設(shè)備標(biāo)識(shí)就在設(shè)備的整個(gè)生命周期中發(fā)揮作用。當(dāng)設(shè)備開(kāi)始啟用并安裝在網(wǎng)絡(luò)上時(shí)，它們將經(jīng)歷一個(gè)添加的過(guò)程。設(shè)備啟用時(shí)，首先使用在制造過(guò)程中安裝的證書(shū)自動(dòng)驗(yàn)證這些證書(shū)，然后頒發(fā)新的證書(shū)以供在網(wǎng)絡(luò)上使用。設(shè)備退役后，可以吊銷(xiāo)證書(shū)。

　　如果設(shè)備缺少有效的證書(shū)，則不允許它進(jìn)入網(wǎng)絡(luò)。盡管造假者可以竊取設(shè)備固件來(lái)制造克隆設(shè)備，但他們不能復(fù)制證書(shū)。證書(shū)對(duì)每個(gè)設(shè)備都是唯一的，偽造者無(wú)法繞過(guò)證書(shū)頒發(fā)機(jī)構(gòu)或復(fù)制PKI系統(tǒng)來(lái)生成證書(shū)，也就無(wú)法把自己的設(shè)備冒充為正品。數(shù)字簽名的生成及驗(yàn)證測(cè)試程序可以通過(guò)Q/CVC0028-2019中8.14的方法進(jìn)行測(cè)試評(píng)定。

　　5靜態(tài)數(shù)據(jù)加密要求

　　智能物聯(lián)網(wǎng)設(shè)備儲(chǔ)存了大量用戶(hù)隱私數(shù)據(jù)，許多大型數(shù)據(jù)泄露的事件都是由于從被盜或廢棄設(shè)備中恢復(fù)的數(shù)據(jù)造成的。因此設(shè)備應(yīng)具備用于加密存儲(chǔ)在設(shè)備中的數(shù)據(jù)的有效機(jī)制，加密設(shè)備上存儲(chǔ)的任何敏感數(shù)據(jù)。安全協(xié)議在數(shù)據(jù)通過(guò)網(wǎng)絡(luò)傳輸時(shí)保護(hù)數(shù)據(jù)，靜態(tài)數(shù)據(jù)加密技術(shù)對(duì)數(shù)據(jù)存儲(chǔ)在設(shè)備上時(shí)提供保護(hù)。得益于技術(shù)的發(fā)展，有多種加密算法可以選擇，比如將設(shè)備配置為支持使用帶有128位密鑰的AES加密文件，只有以具有足夠權(quán)限的用戶(hù)身份登錄，才能將設(shè)備配置為具有使用加密文件系統(tǒng)或文件的加密機(jī)制，能夠使用帶有密鑰保護(hù)的文件。

　　6超越本版標(biāo)準(zhǔn)的遠(yuǎn)期要求

　　除了在Q/CVC0028-2019標(biāo)準(zhǔn)中列出的安全評(píng)價(jià)要求，還有一些在當(dāng)前消費(fèi)級(jí)家用產(chǎn)品市場(chǎng)未廣泛應(yīng)用的技術(shù)方案，這些方案試水新的領(lǐng)域，前瞻性地提升了物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全�；�于硬件的安全密鑰存儲(chǔ)雖然將使產(chǎn)品成本上升，但無(wú)疑能夠帶來(lái)更高級(jí)別的網(wǎng)絡(luò)安全性。這種新的物聯(lián)網(wǎng)硬件模塊一般包括一個(gè)可信平臺(tái)模塊，提供安全密鑰存儲(chǔ)并提供保護(hù)的內(nèi)存和實(shí)現(xiàn)加速加解密的硬件。硬件安全模塊支持的候選對(duì)象有PUFs(PhysicallyUnclonableFunctions，物理上不可克隆的函數(shù))，安全協(xié)處理器和可信執(zhí)行環(huán)境(如ARM的信任區(qū))。PUFs使用隨機(jī)模式來(lái)區(qū)分芯片，并創(chuàng)建一個(gè)唯一的隨機(jī)數(shù)。隨機(jī)數(shù)用于為設(shè)備ID和加密密鑰設(shè)定初始碼，從而創(chuàng)建硬件信任根。

　　安全協(xié)處理器是物理上獨(dú)立的芯片，提供私鑰的真正隔離。即使黑客破壞了物聯(lián)網(wǎng)設(shè)備的主處理器，私鑰的物理隔離能夠防止它們被發(fā)現(xiàn)�？尚艌�(zhí)行環(huán)境是一種安全芯片，它使用真正的隨機(jī)數(shù)生成器來(lái)安全地生成加密密鑰。它還能使用芯片上的密鑰執(zhí)行加密功能。然而，這種強(qiáng)大的功能的代價(jià)是高昂的價(jià)格成本，所以它們目前只出現(xiàn)在高端的物聯(lián)網(wǎng)設(shè)備。隨著集成芯片工藝的升級(jí)，在芯片上劃分出信任區(qū)是一種單芯片級(jí)的硬件解決方案，它將執(zhí)行空間分隔成安全和不安全的區(qū)域，兩個(gè)區(qū)域進(jìn)行了隔離，確保不安全的應(yīng)用程序無(wú)法訪(fǎng)問(wèn)關(guān)鍵性的安全信息，杜絕了非法篡改。

　　當(dāng)然也有一些芯片供應(yīng)商提供另一個(gè)物理上獨(dú)立的芯片，用于保護(hù)和管理用于身份驗(yàn)證和加密處理的數(shù)字密鑰。這種芯片元件的成本低于硬件安全模塊，因此非常適合成本敏感的物聯(lián)網(wǎng)設(shè)備。雖然這些技術(shù)尚未編制入當(dāng)前版本的Q/CVC0028標(biāo)準(zhǔn)條款，但足以供我們窺視未來(lái)的技術(shù)發(fā)展方向。隨著這些技術(shù)的普及，也將推動(dòng)標(biāo)準(zhǔn)隨之更新迭代。當(dāng)然現(xiàn)今市場(chǎng)上的消費(fèi)級(jí)物聯(lián)網(wǎng)設(shè)備普遍還缺少保護(hù)存儲(chǔ)密鑰的硬件設(shè)備，在這種情況下，保護(hù)私鑰的方法仍然以使用前文所述的基于軟件的存儲(chǔ)方法為主流。這仍不失為現(xiàn)階段的一種妥協(xié)。

　　結(jié)語(yǔ)

　　基于成本因素的考慮，當(dāng)前消費(fèi)型物聯(lián)網(wǎng)設(shè)備小至電池供電的無(wú)線(xiàn)傳感器，大至復(fù)雜的帶有網(wǎng)關(guān)的大型家電，多少都會(huì)在存儲(chǔ)和算力方面有所掣肘。這與傳統(tǒng)家電產(chǎn)品低價(jià)競(jìng)爭(zhēng)的策略具有相同的發(fā)展思路。但是所有物聯(lián)網(wǎng)設(shè)備都需要安全性，無(wú)論它們有多小或看起來(lái)微不足道。很多情況下，工程師可能選擇降低安全要求來(lái)加快上市時(shí)間，比如使用硬編碼密碼，忽視有可利用的后門(mén)的安全漏洞。但其實(shí)一些基本的安全配置就能夠有效確保物聯(lián)網(wǎng)設(shè)備的安全。Q/CVC0028-2019標(biāo)準(zhǔn)值得智能市場(chǎng)的多方入局者參照應(yīng)用。

　　參考文獻(xiàn)：

　　[1]RFC4253,TheSecureShell(SSH)TransportLayerProtocol[S].

　　[2]RFC5246,TheTransportLayerSecurity(TLS)ProtocolVersion1.2[S].

　　[3]RFC5280,InternetX.509PublicKeyInfrastructureCertificateandCertificateRevocationList(CRL)Profile[S].

　　[4]RFC6071,IPSecurity(IPsec)andInternetKeyExchange[S].

　　[5]RFC6347,DatagramTransportLayerSecurityVersion1.2[S].

　　物聯(lián)網(wǎng)方向評(píng)職知識(shí)：物聯(lián)網(wǎng)應(yīng)用方面怎么在sci期刊發(fā)表

　　首先作者需要提高物聯(lián)網(wǎng)應(yīng)用論文的創(chuàng)新性和邏輯性，論文需要有很新穎，很系統(tǒng)，很深入的觀念，要有自己的論點(diǎn)和能闡明自己觀點(diǎn)的數(shù)據(jù)，文章組織要有科學(xué)性，數(shù)據(jù)鏈條要有邏輯性，統(tǒng)計(jì)分析要有嚴(yán)謹(jǐn)性。嚴(yán)密的數(shù)據(jù)統(tǒng)計(jì)分析是文章立據(jù)的基礎(chǔ)，也需要采用國(guó)際通用的分析方法，什么樣的分析可以用檢驗(yàn)，什么樣的樣本需要用單因素方差分析以及分析是否有顯著性差異等等，都要弄清楚。

轉(zhuǎn)載請(qǐng)注明來(lái)自發(fā)表學(xué)術(shù)論文網(wǎng)：http:///dzlw/22444.html