广告

我拿什么来保护你的安全,物联网?

时间:2017-04-27 作者:Rick Merritt 阅读:
我们需不需要一个能验证物联网产品是否支持基本安全性与隐私保护标准的组织?如果是,该依循什么标准?又该是哪个组织来做?
广告

笔者几乎每个礼拜都会收到关于“物联网(IoT)缺乏安全性”的投稿,开头都是:“到2020年,总计将会有超级多的IoT节点互连…”但充其量只有少数几篇能提供有关认证与加密的建议。

这是不够的。在我们产业界有一些大思想家,在美国计算机协会(Association for Computing Machinery,ACM)赞助、庆祝图灵奖(Turing Award)五十周年的探讨互联网未来之座谈会上讨论过这个议题;而在读过座谈会纪录后,我在想我们是否需要一个工作小组,针对IoT定义一套基本的安全性/隐私保护标准以及简单的认证测试方法?

一个认证标签能让消费者或是企业用户知道有哪些物联网产品能支持基础安全功能,当严重的黑客攻击事件发生,这些工具甚至能用来辨别哪些漏洞需要填补;而在一开始,或许多要素认证(multi-factor authentication)还有以硬件信任根(root-of-trust)为基础的加密就足够。

但以上是非技术科班出身的我的看法,对于各位专业工程师读者来说应该还有很多困难得克服;因此笔者想邀请大家发表看法。

而美国普林斯顿(Princeton)大学信息科学教授、2016年ACM院士Nick Feamster在前面提到的座谈会上,率先提供了非常不错的看法;他大致是支持一种类似产品安全验证机构UL (Underwriter’s Labs)的物联网安全性概念,但也认为魔鬼藏在以下的细节里:

首先,谁该扮演验证单位的角色?该组织是否应该完全由产业界的代表组成?如果是,有那些股东可以参与?

其次,验证程序应该包括那些要求?有鉴于技术(以及攻击事件)进展的速度,如果过度规范有可能会造成反效果。

第三,消费者也许并不珍惜验证的价值,特别是如果符合验证的产品会因此提高成本;最后,验证标准该如何实现?在尽力为一个验证程序布置各种规则的同时,也要尽可能让整个程序是供货商们容易遵循的。

OK…所以还是有少数残酷的现实需要厘清;好消息是,已经有一些组织正在关注这些议题。

需要能抬起巨石的杠杆

云端安全性联盟(Cloud Security Alliance)有一个定义最佳实作方法的IoT工作小组,但似乎并没有任何关于验证程序的计划;工业互联网联盟(Industrial Internet Consortium)在去年公布了一个安全性框架,不过并未着墨消费性IoT产品。

在线信任联盟(Online Trust Alliance)已经推出了第二版的IoT信任框架(Trust Framework);今年稍早包括AT&T、IBM、Nokia等业者,则是成立了IoT网络安全联盟(IoT Cybersecurity Alliance)。至于UL本身则在去年推出了网络安全软件的测试,并发表了一篇实用的博客文章探讨IoT软件安全性的漏洞;还不清楚该机构是否有任何验证IoT硬件安全性的服务,笔者确认中。

无疑还有许多标准团体以及产业联盟,正在致力于确保物联网安全性的工作;而虽然我有时候看到投稿的文章提出一些不成熟的想法会忍不住想笑,但这个问题是确实存在的。以下还有几个专家们在前面提到的座谈会上提出的、令我激赏的想法:

Feamster:“如果不可能修补的设备从我们日常生活的各个方面产生影响,我们应该要不了多久就会看到大量基本无法修补、不安全以及困难的情况;这是一场惊涛骇浪…谁在十年前会想到,我们的冰箱供货商可能成为我们互联网策略的股东之一?”

美国国家科学基金会运算、信息科学与工程部门的副总监,暨2001年ACM院士Jim Kurose:“做为一个研究课题,以设计达到的复原能力(resiliency by design)──在包括攻击的各种情境下,建立具备已知可预先验证特性的系统──非常重要…在2014年上呈总统的物联网NSTAC报告书也呼吁,IoT安全性特别重要。”

Google互联网首席传播官(chief Internet evangelist)暨1994年ACM院士Vint Cerf:“厂商若想要让品牌有吸引力,就在用户准备采用他们的产品时,得更注意安全性、隐私保护以及接取控制;这是一个在我们尝试努力扩展网络链接性之前,必须要解决的基本问题。”

所以这个问题真的很清楚也很重要,而我很希望有人能提供答案:到底我们可以提供什么具体解决方案?

编译:Judith Cheng

本文授权编译自EE Times,版权所有,谢绝转载

EETC wechat barcode


关注最前沿的电子设计资讯,请关注“电子工程专辑微信公众号”。

本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
Rick Merritt
EE Times硅谷采访中心主任。Rick的工作地点位于圣何塞,他为EE Times撰写有关电子行业和工程专业的新闻和分析。 他关注Android,物联网,无线/网络和医疗设计行业。 他于1992年加入EE Times,担任香港记者,并担任EE Times和OEM Magazine的主编。
  • 固件漏洞数量激增7倍,FPGA/MCU/TPM三家斗法保平安 为所有互联设备提供动态、持久、实时的硬件平台安全性正成为趋势。如果再结合FPGA本身的小尺寸、高性能、低功耗、灵活性等特点,使得很多Tier-1服务器厂商在部署下一代服务器平台的PFR功能时,开始优先考虑基于FPGA的方案。
  • 您的工厂可能成为下一个网络攻击目标… 如果下一波网络攻击就发生在今天,您该如何因应不断发生变化的网络风险?攻击者以设备软件为目标,还是在网络中插入恶意数据?您的工厂可能成为下一个网络攻击目标,您准备好了吗?
  • 新一代安全存储架构可望提供高容量、低成本之解决方案 由摩尔定律预测的半导体制程稳定发展,几乎从各方面来看皆对嵌入式系统开发商贡献卓著。
  • 面向数据隐私的硬件设计 通过了解连网设备所面临的威胁和应对策略的复杂性,我们应该清晰地认识到,数据隐私的保障不应是设计之后要实现的功能。产品的硬件、软件、制造、操作环境、甚至产品停止服务之后,都可能为蓄意或无意的数据隐私损害提供机会。数据隐私需要成为一项设计功能。
  • 电源“保护”也可以很简单 通常,关于电源“保护"的挑战都是一些明摆在我们面前的问题,但难以预期的原因在于涉及工作量的多少以及如何让产品上市的阻碍…
  • 一只手指不够用 多手指指纹识别更安全? 在CES 2020期间,Isorg展示了一款支持多手指的全屏幕指纹识别(FoD)传感器模块,最多可同时让4只手指触控智能手机屏幕。
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了