多维度分析IoT安全,成本高是头等难事?

2017-09-13 10:01:36 来源:eettaiwan
分享到:
标签:

 

影响物联网安全策略的因素不外乎系统的复杂性、网络、安全,以及人为因素…


今年六月在荷兰举办的“世界论坛”(World Forum)资安会议中,一名来自美国绰号“网络忍者”的11岁电脑神童鲁宾.保罗(Reuben Paul)应邀上台演说时表示:“从飞机到移动电话,从智慧型手机到智慧房屋,任何东西或玩具都能成为物联网(IoT)的一环;而从魔鬼终结者到泰迪熊,任何东西或玩具都能将之武器化。”他并实际示范如何骇入与会者的蓝牙装置,进而操纵泰迪熊。


Reuben Paul将一个信用卡大小、名为“树莓派”(raspberry pi)的电脑装置插入笔电,然后扫描在场所有可用的蓝牙装置,当场下载数十人的电话号码,包含在场许多高层官员的电话号码。再利用一个电脑程式语言Python,透过其中一组号码骇入泰迪熊,开启玩具熊的灯,并播出一段语音讯息。这位电脑神童不仅展现了惊人的超龄能力之外,也透露了“物联网虽然很方便,但没有适当的保护就会害死你”的讯息。


根据HP的研究报告,大约70%的消费型IoT设备存在安全隐忧,具有易“骇”体质。而根据OTA(Online Trust Alliance)的研究,近期被揭露的IoT安全漏洞中,100%完全可事先避免。这不免让人疑惑,IoT的安全既然有功法护体,为何实际落实还是那么难?


复杂的网络
现实中,影响IoT安全策略的第一个因素是物联网系统的复杂性。一个典型的物联网系统结构包括边缘节点(用户设备端)、闸道和云端平台三部份,在边缘节点之间、边缘节点与闸道之间以及闸道与云端之间,又是透过不同无线或有线通讯协议互连的。理想的安全解决方案应该是能实现“端(用户设备)对端(云端)”全面的安全防护。而现实的情况是,物联网系统通常是经由不同制造商和使用者的软、硬体组成,并由不同的人进行管理和维护,每个环节都会有自己不同的安全策略,而系统整体的安全性往往就由“最短的那块木板”所决定。


特别重要的一点是,我们熟知的网络(Internet)是基于IP技术的网络,在过去的20多年中,网络已经形成了一套基于IP的比较成熟的安全体系,比如TLS(安全传输层协议),构成了网络安全的基石。而IoT的名称中虽然也有‘Internet’,但实际部署时由于低成本、低功耗、特殊应用场景等方面的考虑,物联网系统中采用了大量非IP的通讯协议,如ZigBee。这种“混合”网络让物联网系统变得更为复杂,数据在传输过程中需要在闸道间进行多次转化和加解密操作,增加了安全体系的复杂性。同时,非IP网络环境的存在也使得很多基于IP的成熟的安全技术,如TLS协议、加解密算法,无法直接被IoT设备所利用。虽然这种“复杂”的局面在技术上并非无解,但是对于开发者和使用者来说需要额外的时间和资源的投入,将是一笔不小的负担。


成本、成本、成本
IoT安全装置的第二个影响因素是“成本”。以边缘节点而言,物联网中多数使用者的终端装置都是结构简单、低功耗、低成本的,在设计规划时往往很少、甚至根本没有考虑安全预算。提升边缘节点的安全层级,最直接的方式就是投入额外的硬体,不论是采用具备安全性能的MCU,还是嵌入安全晶片。这对于很多OEM,特别是对于增加几块钱的BOM成本就斤斤计较的消费型物联网产品来说,确实是件让人为难的事。类似的成本“纠结”,在网络闸道和云端安全性提升时,一样也会出现。


然而,这还不是全部的安全成本。整个物联网系统生命周期中,需要人力对系统中的设备连接进行安全性的设置和管理,如授权、加密等,这种对设备安全性的“个人化”管理也是一个可观的成本,不论是设备制造商还是使用者、营运商,都需要有人去承担成本。随着网络的规模逐年成长,这一类的成本压力也将更为显著。此外,将不安全设备的废止或改造以提升物联网的安全性,还会为使用者带来“沉没成本”,导致过往的投资损失。为了保护既有投资,使用者在决策时稍做折衷也是在所难免,但这也是影响物联网安全“革命”难于彻底的原因之一。


安全团队
影响IoT安全的第三个因素,就是人。传统的技术认知中,设备安全是嵌入式开发者的事,而网络安全是IT工程师的事,然而物联网带来了技术的融合,也需要相关专业人士的意识与知识重构。在物联网发展的初期,这样的“人”是很难得的。一个称职的物联网安全团队,能确保产品和系统设计之初,就将安全议题考虑进去,而不是在出现问题之后再亡羊补牢。因为越来越多的事实证明,在物联网系统启用之后再考虑增加安全性的问题,注定会是一场失败的战斗。


以上这些就是我们在IoT安全所面临的困境。不过,IoT的安全性确实是一件不得不做的事情,也应该是我们物联网价值观中的底线基准。

 

更多最新行业资讯,欢迎点击与非网《今日大事要闻》

 

 
关注与非网微信 ( ee-focus )
限量版产业观察、行业动态、技术大餐每日推荐
享受快时代的精品慢阅读
 

 

继续阅读
Python+树莓派实现IoT(物联网)开关门监控设备
Python+树莓派实现IoT(物联网)开关门监控设备

前些天写了篇文章是利用树莓派制作一个开关门监控设备的雏形《Python+树莓派 是谁在开门?》,但是这个设备运行的前提是需要树莓派正常供电并已经连接了网络,但是如果需要在没有电、没有宽带网络的户外实现随时掌控开关门的状态该怎么办?今天就和大家分享一个正在制作的物联网开关门监控设备。

三星把物联网技术用在酒店中,到底能带来啥好处

物联网酒店客房将各种不同的设备和传感器连接,比如电视、灯、空调、加热器、智能镜子、物联网,提供个性化服务。

工业4.0浪潮中,工业物联网为企业创造怎样的价值?

在19届工博会上,吸引了来自全球各地的自动化厂商前来参展,此次展会除了展示机器人、自动化、传感器等一些产品和方案外,更多的趋势是工业物联网产品及工业4.0解决方案,自动化企业已将工业物联网视为未来发展的重点方向。此次工博会上涌现出一批新的物联网云平台产品,下面给大家盘点一下。

物联网让厨电焕发春天,年轻人从此爱上厨房?

随着近年来的互联网潮流,厨房设备的物联网促进了产品设备的更新换代,让其已经不同于往日我们熟悉的厨房。过往只担任吸取油烟的油烟机现在还拥有了智能烹饪、承载厨房智能中枢的角色。

万物互联智见未来,加速“大连接”战略

物联网、云计算、大数据和人工智能等新一代信息技术正在全球范围掀起一波浪潮,作为继互联网之后的第三次IT技术浪潮,物联网技术正在与传统行业深度融合并带来一场深刻的变革。

更多资讯
腾讯获得《绝地求生》“吃鸡”中国独家代理运营权,广电总局是最后一关

11月22日周三午间,腾讯公布,正式与PUBG公司达成战略合作,获得“吃鸡”游戏《绝地求生》在中国的独家代理运营权。

Wi-Fi将退出历史舞台,我凭啥敢这么说?
Wi-Fi将退出历史舞台,我凭啥敢这么说?

近日,根据多家科技媒体的消息,包括中国移动在内的三大运营商均已经敲定5G路线图。其中,中国移动在2017年3月宣布在主要城市建设5G试点网络,并于2020年全面商用。中国电信在近日表示2019年5G预商用,2020年正式商用。

四个方向读懂5G,我们真的准备好了吗

我们已经走过3G、4G的时代,5G正在渐行渐近。从目前普遍的定义来看,5G(第五代移动通信)技术将是在4G技术基础上的一次质与数的飞跃。

蹭免费Wi-Fi是好事?‘蹭网’就像手机中毒

21世纪什么最贵?答案是——免费的东西最贵。那些打着免费旗号,却没安什么好心的骗局已经司空见惯。你以为在“薅”免费的“羊毛”,却不料别人“薅”的是你的肉身,这其中付出的代价,令人吃惊。

高通成功实现毫米波移动化,5G商用再进一步
高通成功实现毫米波移动化,5G商用再进一步

5G研发进入关键阶段,5G标准也呼之欲出。在此之前,基于5G合规标准的系统测试将会大规模开展。

微话题

工作 or 考研?

又到一年招聘季,考研or工作让你实现了怎样的逆袭?……