简谈消费者物联网设备中的安全策略
发布时间:2022-05-23 11:33:38 所属栏目:安全 来源:互联网
导读:消费者物联网,旨在为消费者提供智能服务,提高生活质量和便利性的物联网领域。物联网设备是消费者物联网的基本组成单元,对于消费者物联网中存在的安全问题,消费者物联网设备的安全尤其不可忽视。消费者物联网设备在其整个生命周期中,有出厂、制造商初始
|
消费者物联网,旨在为消费者提供智能服务,提高生活质量和便利性的物联网领域。物联网设备是消费者物联网的基本组成单元,对于消费者物联网中存在的安全问题,消费者物联网设备的安全尤其不可忽视。消费者物联网设备在其整个生命周期中,有出厂、制造商初始化、用户使用、设备停用这四种状态(其中出厂状态可能存在来自硬件底层的安全威胁,但这不在本文的考虑范围之内,本文默认在出厂状态时是处于一种安全的状态),如图1所示。 本文主要面向于参与消费者物联网开发和制造的读者,浅谈物联网设备的制造商初始化、用户使用和设备停用这三种状态中应对潜在安全风险的策略。 设备在用户使用状态下的安全策略 用户即消费者,是消费者物联网设备的最终使用者,保障用户在使用过程的舒适感和信息的安全性至关重要,也是消费者物联网的最终目的。当设备处于用户使用阶段时,物联网设备已经过了出厂和制造商初始化两个步骤,这一阶段的设备会在具有制造商初始化数据的基础上进一步加入用户数据和设备使用过程中产生的数据,因此存在安全隐患的方面有设备通信问题、设备组件更新问题、系统中断问题和个人数据安全问题,如图3所示。 1.设备通信 消费者物联网设备应使用具有最佳实践的密码技术进行安全通信。安全控制的适当性和具有最佳实践的密码技术的实行取决于许多因素,包括使用环境。随着安全性的不断发展,由于任何此类建议都有迅速过时的风险,很难给出关于加密或其他安全措施的规定性建议。消费者物联网设备应使用经审查或评估的实施方案来提供网络和安全功能,特别是在密码领域。如开发和测试社区中的分布式软件库、经认证的软件模块和硬件设备加密服务提供商(如安全元素和信任执行环境)都经过审查或评估。 密码算法和原语应可更新。对于无法更新的设备,设备的预期寿命不得超过设备使用的密码算法的建议使用寿命(包括密钥大小),这一点很重要。 只有在网络接口上进行身份验证后,才能在初始化状态下通过网络接口访问设备功能。有一些设备可以提供公共的、开放的数据,无需身份验证即可访问,以提供对所有设备的开放访问。该设备可能通过网络服务中的漏洞受到危害。合适的身份验证机制可以防止未经授权的访问,并有助于设备的纵深防御。 2. 设备组件更新 消费者物联网设备应使用安全引导机制验证其软件是否完整且更新正确。设备应在初始化后定期检查安全更新是否可用。一个设备每天在随机时间检查可用的更新,用户可以通过初始化设备的接口看到更新的存在。对于某些产品,由相关的服务而不是设备执行此类检查可能更合适。 如果检测到软件发生未经授权的更改,设备应向用户和/或管理员发出警报,并且不应连接到比执行预警功能所需的网络更宽的网络。从未经授权的更改中远程恢复的能力可能依赖于已知的良好状态,例如本地存储已知的良好版本以实现设备的安全恢复和更新。这将避免拒绝服务和昂贵的召回或维护访问,同时管理攻击者破坏更新或其他网络通信机制接管设备的风险。如果消费者物联网设备检测到其软件发生未经授权的更改,它将能够通知正确的利益相关者。在某些情况下,设备可以处于管理模式。 设备需要对软件更新的真实性和完整性进行验证。确认更新是否有效的常见方法是验证其完整性和真实性。这可以在设备上完成;然而,受限的设备可能有功耗限制,这使得执行加密操作的成本很高。在这种情况下,可以由另一个受信任的设备执行验证。经过验证的更新将通过安全通道发送到设备。先在中心执行更新验证,然后再在设备上执行更新验证,可以降低泄露的风险。 对于设备来说,在检测到无效和潜在的恶意更新时采取行动是一种良好的实践。除了拒绝更新之外,它还可以向适当的服务机构报告事件或通知用户。此外,还可以采用缓和控制来防止攻击者绕过或误用更新机制。作为更新机制的一部分,尽可能少地向攻击者提供信息,会降低攻击者利用信息的能力。比如当设备检测到一个更新不能成功交付或应用(通过完整性或身份验证检查失败),设备可以通过不向更新进程的发起者提供任何关于失败的信息来减少信息泄漏。同时,设备可以生成一个日志条目,并通过安全通道将日志条目的通知传递给受信任的对等体(例如设备管理员),这样设备的所有者或管理员就可以知道事件的发生,并做出适当的响应。 软件更新的应用程序将扰乱设备的基本功能时,设备应通知用户。如一个通知包括关于紧急情况和大约预期停机时间的信息。对于用户来说,设备在更新期间继续运行是至关重要的。这就是为什么上面的条款建议在更新可能破坏功能时通知用户。特别是,实现安全相关功能的设备在更新的情况下不会完全关闭;期望有最低限度的系统功能能力。对于某些类型的设备和系统来说,如果没有得到正确的考虑或管理,对功能的破坏可能成为一个严重的安全问题。 3. 系统中断 物联网服务在消费者生活的各个方面(包括与人身安全相关的功能)采用物联网设备的增加时保持和运行。重要的是要注意,安全相关法规可以适用,但关键是要避免使停机成为对用户造成影响的原因,并设计能够提供一定程度的弹性以应对这些挑战的产品和服务。 消费者物联网设备和服务应内置弹性,考虑到数据网络和电源中断的可能性。在网络接入中断的情况下,消费者物联网设备应保持运行和本地功能,并应在断电恢复的情况下干净地恢复。如智能家居在断电后与互联网失去连接。恢复网络连接时,家庭中的设备会在随机延迟后重新连接,以最小化网络占用率。 4. 个人数据安全 设备和服务之间传输的个人数据,尤其是相关服务的机密性,应采用实践中最佳的加密技术加以保护。同时设备和相关服务之间交流的敏感个人数据的机密性应受到保护,并采用适合技术和用途的加密技术。 “敏感个人数据”是指其披露极有可能对个人造成伤害的数据。被视为“敏感个人数据”的内容因产品和用例的差异而不同,例如:家庭安全摄像头的视频流、支付信息、通信数据的内容和时间戳位置数据。执行安全和数据保护影响评估可以帮助制造商做出适当的选择。 设备在停用状态下的安全策略 物联网设备在使用过程中损坏或因硬件升级而替换时,意味着该设备在本次使用的生命周期走向了终结,即物联网设备将处于停用状态。处于停用状态下物联网设备将不再被使用,不再为消费者提供服务,设备需要返厂或返回售卖制造商,这时就需要物联网设备可以方便删除用户数据,以防止用户个人信息泄露,保证用户个人数据安全。 物联网设备应为消费者提供设备上的功能,以便以简单的方式从相关服务中删除个人数据。旨在用于所有权转移、消费者希望删除个人数据、消费者希望从设备中删除服务或消费者希望处置设备的情况。 物联网设备应向用户提供明确的确认,即个人数据已从服务、设备和应用程序中删除。消费者物联网设备通常会改变所有权,并最终被回收或处置。可以提供允许消费者保持控制并从服务、设备和应用程序中删除个人数据的机制。当消费者希望完全删除其个人数据时,他们还希望备份副本被追溯删除。从设备或服务中删除个人数据通常不是简单地通过将设备重置回其出厂默认状态来实现的。在许多用例中,消费者不是设备的所有者,但希望从设备和所有相关服务(如云服务或移动应用程序)中删除他们自己的个人数据。 例子:用户可以在租用的公寓内临时使用消费物联网产品。对产品进行出厂重置可能会删除配置设置或禁用设备,从而损害公寓所有者和未来用户的利益。出厂重置(从物联网设备中删除所有数据)不是以诸如删除共享使用上下文中单个用户的个人数据的简单方式来执行。 小结 在本篇文章中,主要以消费者物联网设备生命周期为主线,从制造商初始化、用户使用和设备停用这三个阶段,对其应采用的安全策略给出了一些个人见解,作简要阐述和简单分析,涉及到用户易用性、设备组件更新和个人数据保护等方面。希望可以给物联网设备的开发和制造者提供一些参考和帮助。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号