前言
消费者物联网是物联网领域,旨在为消费者提供智能服务,提高生活质量和便利性。物联网设备是消费者物联网的基本组成部分。对于消费者物联网中存在的安全问题,消费者物联网设备的安全性不容忽视。在消费者物联网设备的整个生命周期中,有四种状态:出厂、制造商初始化、用户使用和设备停机(出厂状态可能对硬件底部构成安全威胁,但这不在本文的考虑范围内,本文默认处于出厂状态),如图1所示。
本文主要针对参与消费者物联网开发和制造的读者,探讨物联网设备制造商初始化、用户使用和设备停机三种应对潜在安全风险的策略。
图1
设备在制造商初始化状态下的安全策略
物联网设备是一种非标准的计算设备,具有连接网络、传输数据、计算计算设备。物联网设备的生命周期类似于普通计算设备,如台式计算机或笔记本电脑。当制造商刚出现并没有配置操作系统时,它是一些硬件的简单组合,无法执行任何计算机应具备的功能。只有当计算机通过其销售制造商完成操作系统配置时,它才是日常生活中真正使用的计算机。制造商算机配置初始纯操作系统的过程对应于物联网设备正式投放市场前制造商的初始化阶段。
在业务初始化阶段,不同的物联网设备将根据投放市场后的用途,由制造商进行各种初始化工作。本文简要阐述了制造商初始化中各种设备的安全策略,如图2所示。
图2 物联网设备在制造商中的初始安全策略
1. 物联网设备的安装和维护应方便
消费者物联网设备的安装和维护应涉及用户的最低决策,并遵循实际应用中的最佳可用性。如果用户使用导向设置设备,显示配置选项的子集,并指定常用默认值,并在默认情况下打开相应的安全选项。
制造商应为用户提供关于如何检查其设备是否安全安装的指导。通过适当解决用户界面中的复杂性和不良设计,可以减少或有时消除用户混淆或错误配置造成的安全问题。为用户提供关于如何安全配置设备的明确指导也可以减少他们面临的威胁。一般来说,安全设置设备的平均成本高于检查设备是否安全设置的平均成本。从过程的角度来看,安全设置的检查可以通过与设备远程通信的自动化过程进行。这一自动化过程的一部分可能包括验证设备建立安全通信通道的能力。
2.及时开发和部署安全更新
安全更新的及时开发和部署是制造商为保护其客户和更广泛的技术生态系统而采取的最重要行动之一。
保持所有软件的更新和良好的维护是确保实践中安全的最佳方法之一。物联网设备中的所有软件组件都应该安全更新,设备和制造商之间有良好的版本信息通信,这是一个成功的设备组件管理所必需的。但并不是所有的软件都需要不断更新。例如,设备磁盘的第一个指导加载程序只写一次,从那时起是不可改变的;一些带有多个微控制器的设备可能无法更新。
当设备不受限制时,应有安全安装更新的更新机制。“可安全更新”这意味着有足够的措施来防止攻击者滥用更新机制。该措施包括使用合法的软件更新服务器;受完整性保护的通信通道;验证软件更新的真实性和完整性。人们意识到软件更新机制和“安装”成分差别很大。防止降级攻击(downgrade attacks),基于版本检查的防回滚策略可以使用。更新机制可直接从远程服务器下载更新设备,从移动应用程序传输或通过USB或者其他物理界面传输。如果攻击者破坏了这种机制,恶意版本的软件将被允许安装在设备上。
自动机制应用于软件更新。如果自动更新失败,用户可能无法在某些情况下使用设备。监控、双库闪存等检测机制(dual-bankflash)恢复分区的使用可以确保设备返回到已知的良好版本或工厂状态。这种管理可能非常复杂,特别是当需要处理平行相关服务更新、设备更新和其他服务更新时。因此,明确的管理和部署计划有利于制造商和消费者。
在许多情况下,发布软件更新涉及到对其他组织的各种依赖,如子组件制造商。然而,这并不是拒绝更新的原因。对于制造商来说,在开发和部署安全更新时考虑整个软件供应链是非常有用的。通常建议不要将安全更新与更复杂的软件更新联系起来,如特性更新。引入新功能的特性更新可能会引发额外的需求,并延迟设备更新。
如果设备支持自动更新,则需要更新可以选择是否启用,以便用户可以启用、禁止或延迟安装安全更新和更新通知。从消费者权利和所有权的角度来看,用户控制是否接收更新是非常重要的。用户选择不更新的好理由,包括安全。此外,如果部署了一个更新,然后发现问题,制造商可以要求用户不要升级他们的软件,以免影响这些设备。
设备在用户使用状态下的安全策略
用户,即消费者,是消费者物联网设备的最终用户。确保用户在使用过程中的舒适性和信息安全是非常重要的,也是消费者物联网的最终目标。当设备处于用户使用阶段时,物联网设备已经通过了两个步骤:出厂和制造商初始化。现阶段的设备将在制造商初始化数据的基础上进一步添加用户数据和设备使用过程中产生的数据。因此,存在设备通信问题、设备组件更新问题、系统中断问题和个人数据安全问题,如图3所示。
图3 物联网设备在使用中的安全策略
1.设备通信
消费者物联网设备应使用具有最佳实践的密码技术进行安全通信。安全控制的适当性和最佳实践密码技术的实施取决于包括使用环境在内的许多因素。随着安全性的不断发展,由于任何此类建议都有快速过时的风险,因此很难对加密或其他安全措施提出规定的建议。消费者物联网设备应使用审查或评估的实施计划来提供网络和安全功能,特别是在密码领域。例如,开发和测试社区中的分布式软件库、认证的软件模块和硬件设备加密服务提供商(如安全元素和信任执行环境)都经过审查或评估。
密码算法和原语应该更新。对于无法更新的设备,设备的预期寿命不得超过设备使用的密码算法的推荐使用寿命(包括密钥尺寸),这一点非常重要。
只有在网络接口上进行身份验证后,才能在初始状态下通过网络接口访问设备功能。有些设备可以提供公共和开放的数据,无需身份验证就可以访问,以提供对所有设备的开放访问。该设备可能会通过网络服务中的漏洞造成伤害。适当的身份验证机制可以防止未经授权的访问,并有助于设备的深度防御。
2. 设备组件更新
消费者物联网设备应使用安全引导机制验证其软件是否完整且更新正确。设备应在初始化后定期检查安全更新是否可用。一个设备每天在随机时间检查可用的更新,用户可以通过初始化设备的接口看到更新的存在。对于某些产品,由相关的服务而不是设备执行此类检查可能更合适。
如果发现软件发生未经授权的变化,设备应向用户和/或管理员发出报警,并且不应连接到比执行预警功能所需的网络更宽的网络。远程恢复的能力可能取决于已知的良好状态,如存储已知的良好版本,以实现设备的安全恢复和更新。这将避免拒绝服务和昂贵的召回或维护访问,并管理攻击者破坏更新或其他网络通信机制接管设备的风险。如果消费者的物联网设备发现其软件发生未经授权的变化,它将能够通知正确的利益相关者。在某些情况下,设备可以处于管理模式。
该设备需要验证软件更新的真实性和完整性。确认更新是否有效的常见方法是验证其完整性和真实性。这可以在设备上完成;然而,有限的设备可能有功耗限制,这使得加密操作的成本非常高。在这种情况下,另一个值得信赖的设备可以验证。验证后的更新将通过安全通道发送到设备。首先在中心进行更新验证,然后在设备上进行更新验证,以降低泄漏的风险。
对于设备来说,在检测到无效和潜在的恶意更新时采取行动是一个很好的实践。除拒绝更新外,还可以向适当的服务机构报告事件或通知用户。此外,还可以使用缓和控制,以防止攻击者绕过或误用更新机制。作为更新机制的一部分,尽可能少地向攻击者提供信息将降低攻击者使用信息的能力。例如,当设备检测到更新不能成功交付或应用程序(通过完整性或身份验证失败)时,设备可以通过不向更新过程的发起人提供任何关于失败的信息来减少信息泄漏。同时,设备可以生成日志项目,并通过安全通道将日志项目的通知传递给值得信赖的对等体(如设备员),使设备所有者或管理员能够了解事件并做出适当的响应。
当软件更新的应用程序扰乱设备的基本功能时,设备应通知用户。例如,一个通知包括关于紧急情况和关于预期停机时间的信息。对于用户来说,设备在更新期间继续运行至关重要。这就是为什么上述条款建议在更新可能损坏的功能时通知用户。特别是,实现安全相关功能的设备在更新时不会完全关闭;预计将具有最低系统功能。对于某些类型的设备和系统,如果没有正确的考虑或管理,功能损坏可能成为一个严重的安全问题。
3. 系统中断
物联网服务在增加消费者生活的各个方面(包括与人身安全相关的功能)时保持和运行。重要的是要注意,安全法律法规可以适用,但关键是避免停机影响用户,设计产品和服务,以提供一定程度的灵活性来应对这些挑战。
考虑到数据网络和电源中断的可能性,消费者物联网设备和服务应具有内置的灵活性。当网络接入中断时,消费者物联网设备应保持运行和本地功能,并在停电恢复时清洁恢复。例如,智能家居在停电后与互联网失去了连接。当恢复网络连接时,家庭中的设备将在随机延迟后重新连接,以最小化网络占用率。
4. 个人数据安全
设备与服务之间传输的个人数据,特别是相关服务的机密性,应采用实践中最好的加密技术进行保护。同时,应保护设备与相关服务之间敏感个人数据的机密性,并采用适合技术和技术。
“敏感的个人数据”它是指披露可能对个人造成伤害的数据。“敏感的个人数据”内容因产品和用例的不同而不同,如摄像头的视频流、支付信息、通信数据的内容和时间戳位置数据。安全和数据保护影响评估的实施可以帮助制造商做出适当的选择。
设备在停用状状态安全策略
当物联网设备在使用过程中损坏或更换硬件升级时,这意味着该设备的生命周期已经结束,即物联网设备将处于停止状态。物联网设备不再使用,不再为消费者提供服务。设备需要返回工厂或销售制造商。此时,物联网设备需要便于删除用户数据,防止用户个人信息泄露,确保用户个人数据的安全。
物联网设备应为消费者提供设备功能,以简单的方式从相关服务中删除个人数据。它旨在用于所有权转让、消费者希望删除个人数据、消费者希望删除设备或处理设备。
物联网设备应向用户提供明确的确认,即个人数据已从服务、设备和应用程序中删除。消费者的物联网设备通常会改变所有权,最终被回收或处理。它可以提供一种机制,允许消费者从服务、设备和应用程序中保持控制和删除个人数据。当消费者想要完全删除他们的个人数据时,他们也希望备份副本可追溯性被删除。从设备或服务中删除个人数据通常不仅仅是通过将设备重置回其默认状态来实现的。在许多用例中,消费者不是设备的所有者,而是希望从设备和所有相关服务(如云服务或移动应用程序)中删除自己的个人数据。
例如:用户可以在租赁的公寓中临时使用消费物联网产品。产品的出厂重置可能会删除配置设置或禁止设备,从而损害公寓所有者和未来用户的利益。出厂重置(从物联网设备中删除所有数据)并不是简单删除和共享单个用户的个人数据。
小结
本文主要以消费者物联网设备生命周期为主线,从制造商初始化、用户使用和设备停止三个阶段,应采取安全策略,简要阐述和简单分析,涉及用户易用性、设备组件更新和个人数据保护。我希望它能为物联网设备的开发和制造商提供一些参考和帮助。
【本文为51CTO专栏作者“中国保密协会科技分会”请联系原作者转载原稿
戳这里,看作者更好的文章