淺談消費(fèi)者物聯(lián)網(wǎng)設(shè)備中的安全策略
前言
消費(fèi)者物聯(lián)網(wǎng),旨在為消費(fèi)者提供智能服務(wù),提高生活質(zhì)量和便利性的物聯(lián)網(wǎng)領(lǐng)域。物聯(lián)網(wǎng)設(shè)備是消費(fèi)者物聯(lián)網(wǎng)的基本組成單元,對(duì)于消費(fèi)者物聯(lián)網(wǎng)中存在的安全問題,消費(fèi)者物聯(lián)網(wǎng)設(shè)備的安全尤其不可忽視。消費(fèi)者物聯(lián)網(wǎng)設(shè)備在其整個(gè)生命周期中,有出廠、制造商初始化、用戶使用、設(shè)備停用這四種狀態(tài)(其中出廠狀態(tài)可能存在來自硬件底層的安全威脅,但這不在本文的考慮范圍之內(nèi),本文默認(rèn)在出廠狀態(tài)時(shí)是處于一種安全的狀態(tài)),如圖1所示。本文主要面向于參與消費(fèi)者物聯(lián)網(wǎng)開發(fā)和制造的讀者,淺談物聯(lián)網(wǎng)設(shè)備的制造商初始化、用戶使用和設(shè)備停用這三種狀態(tài)中應(yīng)對(duì)潛在安全風(fēng)險(xiǎn)的策略。
圖1 物聯(lián)網(wǎng)設(shè)備生命周期
設(shè)備在制造商初始化狀態(tài)下的安全策略
物聯(lián)網(wǎng)設(shè)備是非標(biāo)準(zhǔn)計(jì)算設(shè)備,具有連接網(wǎng)絡(luò)、傳輸數(shù)據(jù)、計(jì)算處理等功能。物聯(lián)網(wǎng)設(shè)備的生命周期與普通的計(jì)算設(shè)備類似,比如臺(tái)式電腦或者筆記本電腦,在廠家剛出場還未配置操作系統(tǒng)的時(shí)候就是一些硬件的簡單組合,不能執(zhí)行任何一個(gè)電腦應(yīng)該具有的功能,只有當(dāng)電腦經(jīng)其售賣制造商完成操作系統(tǒng)配置后,才是一臺(tái)真正意義上日常生活中使用的電腦。而其中制造商為電腦配置初始純凈的操作系統(tǒng)的過程,就對(duì)應(yīng)于物聯(lián)網(wǎng)設(shè)備在正式投入市場之前的制造商初始化階段。
在商家初始化階段,不同的物聯(lián)網(wǎng)設(shè)備會(huì)根據(jù)其投入市場后的用途,被制造商進(jìn)行各式各樣的初始化工作,本文就制造商初始化中各種設(shè)備都會(huì)涉及的安全策略進(jìn)行簡要闡述,如圖2所示。
圖2 物聯(lián)網(wǎng)設(shè)備在制造商初始化的安全策略
1.物聯(lián)網(wǎng)設(shè)備的安裝和維護(hù)要容易
消費(fèi)者物聯(lián)網(wǎng)設(shè)備的安裝和維護(hù)應(yīng)涉及用戶的最低決策,并應(yīng)遵循在實(shí)踐應(yīng)用中的最佳可用性。如用戶使用向?qū)гO(shè)置設(shè)備,其中顯示配置選項(xiàng)的子集,并已指定常用默認(rèn)值,且默認(rèn)情況下已打開相應(yīng)的安全選項(xiàng)。
制造商應(yīng)向用戶提供關(guān)于如何檢查其設(shè)備是否安全安裝的指導(dǎo)。通過適當(dāng)解決用戶界面中的復(fù)雜性和糟糕設(shè)計(jì),可以減少或有時(shí)消除由用戶混淆或錯(cuò)誤配置引起的安全問題。為用戶提供關(guān)于如何安全配置設(shè)備的明確指導(dǎo)也可以減少他們面臨的威脅。在一般情況下,安全設(shè)置設(shè)備的平均開銷高于檢查設(shè)備是否安全設(shè)置的平均開銷。從過程的角度來看,安全設(shè)置的檢查在很大程度上可以由制造商通過與設(shè)備遠(yuǎn)程通信的自動(dòng)化過程進(jìn)行。這種自動(dòng)化過程的一部分可能包括驗(yàn)證設(shè)備建立安全通信通道的能力。
2.及時(shí)開發(fā)和部署安全更新
及時(shí)開發(fā)和部署安全更新是制造商為保護(hù)其客戶和更廣泛的技術(shù)生態(tài)系統(tǒng)所能采取的最重要行動(dòng)之一。保持所有軟件的更新和良好的維護(hù)是一個(gè)在實(shí)踐中得到證實(shí)的保障安全的最佳方法之一。
物聯(lián)網(wǎng)設(shè)備中的所有軟件組件都應(yīng)可以安全地更新,具有一個(gè)良好的設(shè)備和廠商之間軟件組件的版本信息通信,這是一個(gè)成功的設(shè)備組件管理所必備的。但并不是設(shè)備上所有軟件都有必要不斷更新。如設(shè)備磁盤的首塊引導(dǎo)加載程序只被寫入一次,從那時(shí)起是不可變的;在帶有多個(gè)微控制器的設(shè)備上,有些微控制器可能無法更新。
當(dāng)設(shè)備不是受限設(shè)備時(shí),它應(yīng)具有用于安全地安裝更新的更新機(jī)制。“可安全更新”是指有足夠的措施防止攻擊者濫用更新機(jī)制。措施包括使用正版軟件更新服務(wù)器;受完整性保護(hù)的通信通道;驗(yàn)證軟件更新的真實(shí)性和完整性。人們認(rèn)識(shí)到,軟件更新機(jī)制和“安裝”的構(gòu)成有很大的差異。為了防止降級(jí)攻擊(downgrade attacks),可以使用基于版本檢查的防回滾策略。更新機(jī)制可以從設(shè)備直接從遠(yuǎn)程服務(wù)器下載更新,從移動(dòng)應(yīng)用程序傳輸或通過USB或其他物理接口傳輸。如果攻擊者破壞了這種機(jī)制,就會(huì)允許在設(shè)備上安裝惡意版本的軟件。
軟件更新應(yīng)該使用自動(dòng)機(jī)制。如果自動(dòng)更新失敗,那么在某些情況下,用戶可能不再能夠使用設(shè)備。檢測機(jī)制,如監(jiān)視、雙庫閃存(dual-bankflash)和恢復(fù)分區(qū)的使用,可以確保設(shè)備返回到已知的良好版本或工廠狀態(tài)。管理這一點(diǎn)可能很復(fù)雜,特別是當(dāng)有并行的相關(guān)服務(wù)更新、設(shè)備更新和其他服務(wù)更新需要處理時(shí)。因此,清晰的管理和部署計(jì)劃對(duì)制造商是有好處的,對(duì)于消費(fèi)者來說,關(guān)于更新支持的當(dāng)前狀態(tài)是透明的。
在許多情況下,發(fā)布軟件更新涉及到對(duì)其他組織的多種依賴,比如生產(chǎn)子組件的制造商。然而,這不是拒絕更新的理由。對(duì)于制造商來說,在開發(fā)和部署安全更新時(shí)考慮整個(gè)軟件供應(yīng)鏈?zhǔn)呛苡杏玫摹Mǔ=ㄗh不要將安全更新與更復(fù)雜的軟件更新捆綁在一起,例如特性更新。引入新功能的特性更新可能觸發(fā)額外的需求,并延遲對(duì)設(shè)備的更新。
如果設(shè)備支持自動(dòng)更新,那么要求更新可以自選是否啟用,以便用戶可以啟用、禁用或推遲安裝安全更新和更新通知。從消費(fèi)者權(quán)利和所有權(quán)的角度來看,用戶能夠控制是否接收更新是很重要的。用戶選擇不更新有很好的理由,包括安全性。此外,如果部署了一個(gè)更新,隨后發(fā)現(xiàn)導(dǎo)致問題,制造商可以要求用戶不要升級(jí)他們的軟件,以使這些設(shè)備不受影響。
設(shè)備在用戶使用狀態(tài)下的安全策略
用戶即消費(fèi)者,是消費(fèi)者物聯(lián)網(wǎng)設(shè)備的最終使用者,保障用戶在使用過程的舒適感和信息的安全性至關(guān)重要,也是消費(fèi)者物聯(lián)網(wǎng)的最終目的。當(dāng)設(shè)備處于用戶使用階段時(shí),物聯(lián)網(wǎng)設(shè)備已經(jīng)過了出廠和制造商初始化兩個(gè)步驟,這一階段的設(shè)備會(huì)在具有制造商初始化數(shù)據(jù)的基礎(chǔ)上進(jìn)一步加入用戶數(shù)據(jù)和設(shè)備使用過程中產(chǎn)生的數(shù)據(jù),因此存在安全隱患的方面有設(shè)備通信問題、設(shè)備組件更新問題、系統(tǒng)中斷問題和個(gè)人數(shù)據(jù)安全問題,如圖3所示。
圖3 物聯(lián)網(wǎng)設(shè)備在使用中的安全策略
1.設(shè)備通信
消費(fèi)者物聯(lián)網(wǎng)設(shè)備應(yīng)使用具有最佳實(shí)踐的密碼技術(shù)進(jìn)行安全通信。安全控制的適當(dāng)性和具有最佳實(shí)踐的密碼技術(shù)的實(shí)行取決于許多因素,包括使用環(huán)境。隨著安全性的不斷發(fā)展,由于任何此類建議都有迅速過時(shí)的風(fēng)險(xiǎn),很難給出關(guān)于加密或其他安全措施的規(guī)定性建議。消費(fèi)者物聯(lián)網(wǎng)設(shè)備應(yīng)使用經(jīng)審查或評(píng)估的實(shí)施方案來提供網(wǎng)絡(luò)和安全功能,特別是在密碼領(lǐng)域。如開發(fā)和測試社區(qū)中的分布式軟件庫、經(jīng)認(rèn)證的軟件模塊和硬件設(shè)備加密服務(wù)提供商(如安全元素和信任執(zhí)行環(huán)境)都經(jīng)過審查或評(píng)估。
密碼算法和原語應(yīng)可更新。對(duì)于無法更新的設(shè)備,設(shè)備的預(yù)期壽命不得超過設(shè)備使用的密碼算法的建議使用壽命(包括密鑰大小),這一點(diǎn)很重要。
只有在網(wǎng)絡(luò)接口上進(jìn)行身份驗(yàn)證后,才能在初始化狀態(tài)下通過網(wǎng)絡(luò)接口訪問設(shè)備功能。有一些設(shè)備可以提供公共的、開放的數(shù)據(jù),無需身份驗(yàn)證即可訪問,以提供對(duì)所有設(shè)備的開放訪問。該設(shè)備可能通過網(wǎng)絡(luò)服務(wù)中的漏洞受到危害。合適的身份驗(yàn)證機(jī)制可以防止未經(jīng)授權(quán)的訪問,并有助于設(shè)備的縱深防御。
2.設(shè)備組件更新
消費(fèi)者物聯(lián)網(wǎng)設(shè)備應(yīng)使用安全引導(dǎo)機(jī)制驗(yàn)證其軟件是否完整且更新正確。設(shè)備應(yīng)在初始化后定期檢查安全更新是否可用。一個(gè)設(shè)備每天在隨機(jī)時(shí)間檢查可用的更新,用戶可以通過初始化設(shè)備的接口看到更新的存在。對(duì)于某些產(chǎn)品,由相關(guān)的服務(wù)而不是設(shè)備執(zhí)行此類檢查可能更合適。
如果檢測到軟件發(fā)生未經(jīng)授權(quán)的更改,設(shè)備應(yīng)向用戶和/或管理員發(fā)出警報(bào),并且不應(yīng)連接到比執(zhí)行預(yù)警功能所需的網(wǎng)絡(luò)更寬的網(wǎng)絡(luò)。從未經(jīng)授權(quán)的更改中遠(yuǎn)程恢復(fù)的能力可能依賴于已知的良好狀態(tài),例如本地存儲(chǔ)已知的良好版本以實(shí)現(xiàn)設(shè)備的安全恢復(fù)和更新。這將避免拒絕服務(wù)和昂貴的召回或維護(hù)訪問,同時(shí)管理攻擊者破壞更新或其他網(wǎng)絡(luò)通信機(jī)制接管設(shè)備的風(fēng)險(xiǎn)。如果消費(fèi)者物聯(lián)網(wǎng)設(shè)備檢測到其軟件發(fā)生未經(jīng)授權(quán)的更改,它將能夠通知正確的利益相關(guān)者。在某些情況下,設(shè)備可以處于管理模式。
設(shè)備需要對(duì)軟件更新的真實(shí)性和完整性進(jìn)行驗(yàn)證。確認(rèn)更新是否有效的常見方法是驗(yàn)證其完整性和真實(shí)性。這可以在設(shè)備上完成;然而,受限的設(shè)備可能有功耗限制,這使得執(zhí)行加密操作的成本很高。在這種情況下,可以由另一個(gè)受信任的設(shè)備執(zhí)行驗(yàn)證。經(jīng)過驗(yàn)證的更新將通過安全通道發(fā)送到設(shè)備。先在中心執(zhí)行更新驗(yàn)證,然后再在設(shè)備上執(zhí)行更新驗(yàn)證,可以降低泄露的風(fēng)險(xiǎn)。
對(duì)于設(shè)備來說,在檢測到無效和潛在的惡意更新時(shí)采取行動(dòng)是一種良好的實(shí)踐。除了拒絕更新之外,它還可以向適當(dāng)?shù)姆?wù)機(jī)構(gòu)報(bào)告事件或通知用戶。此外,還可以采用緩和控制來防止攻擊者繞過或誤用更新機(jī)制。作為更新機(jī)制的一部分,盡可能少地向攻擊者提供信息,會(huì)降低攻擊者利用信息的能力。比如當(dāng)設(shè)備檢測到一個(gè)更新不能成功交付或應(yīng)用(通過完整性或身份驗(yàn)證檢查失敗),設(shè)備可以通過不向更新進(jìn)程的發(fā)起者提供任何關(guān)于失敗的信息來減少信息泄漏。同時(shí),設(shè)備可以生成一個(gè)日志條目,并通過安全通道將日志條目的通知傳遞給受信任的對(duì)等體(例如設(shè)備管理員),這樣設(shè)備的所有者或管理員就可以知道事件的發(fā)生,并做出適當(dāng)?shù)捻憫?yīng)。
軟件更新的應(yīng)用程序?qū)_亂設(shè)備的基本功能時(shí),設(shè)備應(yīng)通知用戶。如一個(gè)通知包括關(guān)于緊急情況和大約預(yù)期停機(jī)時(shí)間的信息。對(duì)于用戶來說,設(shè)備在更新期間繼續(xù)運(yùn)行是至關(guān)重要的。這就是為什么上面的條款建議在更新可能破壞功能時(shí)通知用戶。特別是,實(shí)現(xiàn)安全相關(guān)功能的設(shè)備在更新的情況下不會(huì)完全關(guān)閉;期望有最低限度的系統(tǒng)功能能力。對(duì)于某些類型的設(shè)備和系統(tǒng)來說,如果沒有得到正確的考慮或管理,對(duì)功能的破壞可能成為一個(gè)嚴(yán)重的安全問題。
3.系統(tǒng)中斷
物聯(lián)網(wǎng)服務(wù)在消費(fèi)者生活的各個(gè)方面(包括與人身安全相關(guān)的功能)采用物聯(lián)網(wǎng)設(shè)備的增加時(shí)保持和運(yùn)行。重要的是要注意,安全相關(guān)法規(guī)可以適用,但關(guān)鍵是要避免使停機(jī)成為對(duì)用戶造成影響的原因,并設(shè)計(jì)能夠提供一定程度的彈性以應(yīng)對(duì)這些挑戰(zhàn)的產(chǎn)品和服務(wù)。
消費(fèi)者物聯(lián)網(wǎng)設(shè)備和服務(wù)應(yīng)內(nèi)置彈性,考慮到數(shù)據(jù)網(wǎng)絡(luò)和電源中斷的可能性。在網(wǎng)絡(luò)接入中斷的情況下,消費(fèi)者物聯(lián)網(wǎng)設(shè)備應(yīng)保持運(yùn)行和本地功能,并應(yīng)在斷電恢復(fù)的情況下干凈地恢復(fù)。如智能家居在斷電后與互聯(lián)網(wǎng)失去連接。恢復(fù)網(wǎng)絡(luò)連接時(shí),家庭中的設(shè)備會(huì)在隨機(jī)延遲后重新連接,以最小化網(wǎng)絡(luò)占用率。
4.個(gè)人數(shù)據(jù)安全
設(shè)備和服務(wù)之間傳輸?shù)膫€(gè)人數(shù)據(jù),尤其是相關(guān)服務(wù)的機(jī)密性,應(yīng)采用實(shí)踐中最佳的加密技術(shù)加以保護(hù)。同時(shí)設(shè)備和相關(guān)服務(wù)之間交流的敏感個(gè)人數(shù)據(jù)的機(jī)密性應(yīng)受到保護(hù),并采用適合技術(shù)和用途的加密技術(shù)。
“敏感個(gè)人數(shù)據(jù)”是指其披露極有可能對(duì)個(gè)人造成傷害的數(shù)據(jù)。被視為“敏感個(gè)人數(shù)據(jù)”的內(nèi)容因產(chǎn)品和用例的差異而不同,例如:家庭安全攝像頭的視頻流、支付信息、通信數(shù)據(jù)的內(nèi)容和時(shí)間戳位置數(shù)據(jù)。執(zhí)行安全和數(shù)據(jù)保護(hù)影響評(píng)估可以幫助制造商做出適當(dāng)?shù)倪x擇。
設(shè)備在停用狀態(tài)下的安全策略
物聯(lián)網(wǎng)設(shè)備在使用過程中損壞或因硬件升級(jí)而替換時(shí),意味著該設(shè)備在本次使用的生命周期走向了終結(jié),即物聯(lián)網(wǎng)設(shè)備將處于停用狀態(tài)。處于停用狀態(tài)下物聯(lián)網(wǎng)設(shè)備將不再被使用,不再為消費(fèi)者提供服務(wù),設(shè)備需要返廠或返回售賣制造商,這時(shí)就需要物聯(lián)網(wǎng)設(shè)備可以方便刪除用戶數(shù)據(jù),以防止用戶個(gè)人信息泄露,保證用戶個(gè)人數(shù)據(jù)安全。
物聯(lián)網(wǎng)設(shè)備應(yīng)為消費(fèi)者提供設(shè)備上的功能,以便以簡單的方式從相關(guān)服務(wù)中刪除個(gè)人數(shù)據(jù)。旨在用于所有權(quán)轉(zhuǎn)移、消費(fèi)者希望刪除個(gè)人數(shù)據(jù)、消費(fèi)者希望從設(shè)備中刪除服務(wù)或消費(fèi)者希望處置設(shè)備的情況。
物聯(lián)網(wǎng)設(shè)備應(yīng)向用戶提供明確的確認(rèn),即個(gè)人數(shù)據(jù)已從服務(wù)、設(shè)備和應(yīng)用程序中刪除。消費(fèi)者物聯(lián)網(wǎng)設(shè)備通常會(huì)改變所有權(quán),并最終被回收或處置。可以提供允許消費(fèi)者保持控制并從服務(wù)、設(shè)備和應(yīng)用程序中刪除個(gè)人數(shù)據(jù)的機(jī)制。當(dāng)消費(fèi)者希望完全刪除其個(gè)人數(shù)據(jù)時(shí),他們還希望備份副本被追溯刪除。從設(shè)備或服務(wù)中刪除個(gè)人數(shù)據(jù)通常不是簡單地通過將設(shè)備重置回其出廠默認(rèn)狀態(tài)來實(shí)現(xiàn)的。在許多用例中,消費(fèi)者不是設(shè)備的所有者,但希望從設(shè)備和所有相關(guān)服務(wù)(如云服務(wù)或移動(dòng)應(yīng)用程序)中刪除他們自己的個(gè)人數(shù)據(jù)。
例子:用戶可以在租用的公寓內(nèi)臨時(shí)使用消費(fèi)物聯(lián)網(wǎng)產(chǎn)品。對(duì)產(chǎn)品進(jìn)行出廠重置可能會(huì)刪除配置設(shè)置或禁用設(shè)備,從而損害公寓所有者和未來用戶的利益。出廠重置(從物聯(lián)網(wǎng)設(shè)備中刪除所有數(shù)據(jù))不是以諸如刪除共享使用上下文中單個(gè)用戶的個(gè)人數(shù)據(jù)的簡單方式來執(zhí)行。
小結(jié)
在本篇文章中,主要以消費(fèi)者物聯(lián)網(wǎng)設(shè)備生命周期為主線,從制造商初始化、用戶使用和設(shè)備停用這三個(gè)階段,對(duì)其應(yīng)采用的安全策略給出了一些個(gè)人見解,作簡要闡述和簡單分析,涉及到用戶易用性、設(shè)備組件更新和個(gè)人數(shù)據(jù)保護(hù)等方面。希望可以給物聯(lián)網(wǎng)設(shè)備的開發(fā)和制造者提供一些參考和幫助。
參考文獻(xiàn)
[1]DIN EN 303645-2021,CYBER - Cyber Security for Consumer Internet of Things: Baseline Requirements (Endorsement of the English version EN 303 645 V2.1.1 (2020-06) as a German standard)[S].
