你的物聯(lián)網(wǎng)正在“裸奔”：密鑰管理失誤、更新機(jī)制缺失的代價(jià)

就在不久之前，物聯(lián)網(wǎng)(IoT)的熱潮遠(yuǎn)勝于對(duì)其安全性的冷靜探討。jMoesmc

數(shù)十億設(shè)備在未充分考量生命周期管理、配置和補(bǔ)丁更新的情況下被推向市場(chǎng)。如今，當(dāng)這些設(shè)備融入關(guān)鍵基礎(chǔ)設(shè)施時(shí)，是時(shí)候彌合這些安全漏洞了。jMoesmc

2025年物聯(lián)網(wǎng)大會(huì)(The Things Conference)期間，在《國(guó)際電子商情》姊妹平臺(tái)《EE Times Europe》的獨(dú)家專(zhuān)訪(fǎng)中，三位行業(yè)專(zhuān)家從不同角度闡述了應(yīng)對(duì)安全威脅的解決方案。他們的觀(guān)點(diǎn)共同勾勒出物聯(lián)網(wǎng)安全的發(fā)展現(xiàn)狀，并指明了未來(lái)需要采取的關(guān)鍵措施。jMoesmc

一系列錯(cuò)誤引發(fā)了諸多質(zhì)疑

jMoesmc

圖1：Johan Stokking在2025年物聯(lián)網(wǎng)大會(huì)上演講jMoesmc

The Things Industries聯(lián)合創(chuàng)始人兼首席技術(shù)官Johan Stokking直言不諱地指出了行業(yè)中仍存在的典型錯(cuò)誤。他在接受采訪(fǎng)時(shí)表示：“最糟糕的做法之一是為多個(gè)設(shè)備使用同一密鑰，或從公開(kāi)數(shù)據(jù)(如直接復(fù)制設(shè)備標(biāo)識(shí)符)中派生密鑰。”jMoesmc

LoRaWAN采用對(duì)稱(chēng)密鑰設(shè)計(jì)，這意味著設(shè)備制造商與網(wǎng)絡(luò)運(yùn)營(yíng)商之間必須安全地分發(fā)密鑰‌。然而現(xiàn)實(shí)中，這些密鑰常被通過(guò)電子郵件傳遞的Excel文件管理，甚至在某些郵箱中留存數(shù)年。一旦密鑰泄露，系統(tǒng)將無(wú)法實(shí)現(xiàn)密鑰輪換。jMoesmc

行業(yè)正朝著更安全的方案演進(jìn)。LoRa聯(lián)盟正在標(biāo)準(zhǔn)化非對(duì)稱(chēng)加密技術(shù)，并通過(guò)部署“Join服務(wù)器”實(shí)現(xiàn)會(huì)話(huà)密鑰的動(dòng)態(tài)簽發(fā)，從而避免根憑證的暴露。jMoesmc

通過(guò)與Microchip技術(shù)公司等合作提供的安全元件(Secure Elements)，可將根密鑰嵌入防篡改硬件中。但這種安全元件的普及程度參差不齊。“成本仍是主要障礙，”Stokking指出，“防篡改安全元件會(huì)使物料清單增加60-70美分，對(duì)于低利潤(rùn)的物聯(lián)網(wǎng)設(shè)備而言，這可能成為致命短板。”jMoesmc

核心結(jié)論顯而易見(jiàn)：即便協(xié)議本身強(qiáng)制加密，密鑰的生成、分發(fā)及全生命周期管理等配套流程，才是實(shí)際安全性的決定性因素。若缺乏規(guī)范的密鑰預(yù)置機(jī)制，系統(tǒng)安全仍不堪一擊。jMoesmc

當(dāng)Stokking聚焦于預(yù)置機(jī)制時(shí)，Thistle Technologies公司CEO Window Snyder則指出了另一項(xiàng)長(zhǎng)期存在的薄弱環(huán)節(jié)——更新機(jī)制。當(dāng)被問(wèn)及“采購(gòu)團(tuán)隊(duì)?wèi)?yīng)要求哪些不可妥協(xié)的功能”時(shí)，她表示：“‌必須支持更新‌。缺乏健全且可信賴(lài)的更新機(jī)制的設(shè)備，在其整個(gè)生命周期內(nèi)根本不可能實(shí)現(xiàn)安全防護(hù)。”jMoesmc

jMoesmc

圖2：搭載Optiga Trust-M安全元件的Grinn GenioBoard(正面)，由Thistle Technologies提供原生支持 圖片來(lái)源：Thistle TechnologiesjMoesmc

Snyder親眼目睹過(guò)失敗的更新如何讓企業(yè)陷入癱瘓：“如果是汽車(chē)，必須返廠(chǎng)維修；如果是工業(yè)設(shè)備，可能導(dǎo)致產(chǎn)線(xiàn)停擺；如果是醫(yī)療設(shè)備，可能危及患者健康；如果是衛(wèi)星，后果將不可挽回。”嵌入式系統(tǒng)對(duì)更新失敗的容忍度趨近于零。jMoesmc

Snyder指出，Thistle Technologies的使命是簡(jiǎn)化底層安全機(jī)制——安全啟動(dòng)、固件簽名驗(yàn)證和可靠回滾——這些機(jī)制對(duì)多數(shù)設(shè)備團(tuán)隊(duì)而言難以獨(dú)立實(shí)現(xiàn)。許多物聯(lián)網(wǎng)開(kāi)發(fā)者缺乏硬件安全領(lǐng)域的專(zhuān)業(yè)知識(shí)。jMoesmc

若由各團(tuán)隊(duì)自行針對(duì)不同芯片組重構(gòu)和更新系統(tǒng)，將導(dǎo)致方案碎片化與安全妥協(xié)。Snyder主張?zhí)峁┛蓮?fù)用的庫(kù)與服務(wù)，即使缺乏深厚安全技術(shù)儲(chǔ)備的團(tuán)隊(duì)也能構(gòu)建具備韌性的系統(tǒng)。jMoesmc

她更深刻的觀(guān)點(diǎn)在于文化層面：設(shè)備制造商必須認(rèn)識(shí)到，可靠的更新機(jī)制絕非可選功能，而是長(zhǎng)期安全架構(gòu)的基石。jMoesmc

Nordic Semiconductor遠(yuǎn)距離產(chǎn)品總監(jiān)Kristian Saether指出，客戶(hù)需要充分利用芯片廠(chǎng)商提供的安全原語(yǔ)。盡管Nordic Semiconductor已將安全密鑰存儲(chǔ)、密鑰生成、工廠(chǎng)預(yù)置設(shè)備身份認(rèn)證及非對(duì)稱(chēng)加密技術(shù)集成至其SoC中，但Saether表示客戶(hù)并非始終啟用這些功能。物聯(lián)網(wǎng)發(fā)展進(jìn)程緩慢，許多企業(yè)仍在構(gòu)建自研的固件更新系統(tǒng)。真正推動(dòng)技術(shù)落地的，其實(shí)是合規(guī)要求。jMoesmc

Saether認(rèn)為安全連接主要有兩種實(shí)現(xiàn)模式：其一是私有網(wǎng)絡(luò)，客戶(hù)需自主決定(有時(shí)還需自行部署)防護(hù)方案；其二是公共蜂窩網(wǎng)絡(luò)，其協(xié)議安全性大多已標(biāo)準(zhǔn)化并內(nèi)置。無(wú)論哪種模式，硬件加速加密都更具優(yōu)勢(shì)，原因包括性能提升與能效優(yōu)化等。jMoesmc

Saether強(qiáng)調(diào)務(wù)實(shí)精神：并非所有“低智能”物聯(lián)網(wǎng)傳感器都需要完整的安全元件，但處理支付或個(gè)人數(shù)據(jù)等復(fù)雜設(shè)備則必須配備‌。jMoesmc

Nordic Semiconductor提供了Trusted Firmware-M和TrustZone的參考實(shí)現(xiàn)方案，使開(kāi)發(fā)者能夠分離安全代碼與非安全代碼。通過(guò)最小化可信計(jì)算基(Trusted Computing Base)的設(shè)計(jì)原則，可有效降低密鑰管理、安全啟動(dòng)及固件更新等關(guān)鍵功能中潛在漏洞的引入風(fēng)險(xiǎn)。jMoesmc

每位專(zhuān)家均指出了令人警醒的現(xiàn)實(shí)案例。Stokking舉例說(shuō)明，企業(yè)有時(shí)會(huì)收到出廠(chǎng)時(shí)將根密鑰明文打印在紙張上的設(shè)備，這些密鑰可能被多個(gè)設(shè)備共享使用。另一案例中，采用過(guò)時(shí)協(xié)議的網(wǎng)關(guān)設(shè)備因未加密導(dǎo)致管理接口暴露，存在安全風(fēng)險(xiǎn)。jMoesmc

Snyder提到，她曾見(jiàn)過(guò)因固件更新故障導(dǎo)致設(shè)備變磚的案例——本可通過(guò)完善的回滾機(jī)制避免此類(lèi)召回或現(xiàn)場(chǎng)故障。她同時(shí)強(qiáng)調(diào)，更新機(jī)制缺乏可靠性會(huì)引發(fā)隱性成本：當(dāng)廠(chǎng)商對(duì)更新機(jī)制信心不足時(shí)，往往會(huì)延遲(或暫緩)補(bǔ)丁推送，致使設(shè)備群組長(zhǎng)期暴露于風(fēng)險(xiǎn)之中。jMoesmc

Saether指出，當(dāng)前許多部署仍依賴(lài)共享對(duì)稱(chēng)密鑰，原因僅僅是“操作簡(jiǎn)便”，不過(guò)這種捷徑實(shí)則會(huì)轉(zhuǎn)化為長(zhǎng)期隱患。他預(yù)測(cè)，監(jiān)管機(jī)構(gòu)將不僅要求設(shè)備出廠(chǎng)時(shí)默認(rèn)啟用可信身份認(rèn)證、安全啟動(dòng)及簽名更新機(jī)制，還將強(qiáng)制廠(chǎng)商提供至少五年的補(bǔ)丁支持計(jì)劃。jMoesmc

一套新的防護(hù)措施正在興起，同時(shí)伴隨最佳實(shí)踐的形成

三位專(zhuān)家均表示，監(jiān)管是必要的推動(dòng)力。Snyder指出，歐盟《網(wǎng)絡(luò)彈性法案》(Cyber Resilience Act，簡(jiǎn)稱(chēng)CRA)是目前最全面的框架體系。盡管美國(guó)存在行業(yè)特定法規(guī)，但尚無(wú)能與歐盟要求相匹敵的規(guī)模。她認(rèn)為，由于全球設(shè)備制造商無(wú)法承擔(dān)產(chǎn)品線(xiàn)分叉的成本，最終將使全球消費(fèi)者受益。“一旦設(shè)備制造商為進(jìn)入歐洲市場(chǎng)完成安全升級(jí)，便不會(huì)為其他市場(chǎng)削減這些安全功能，”她強(qiáng)調(diào)。jMoesmc

Saether對(duì)此表示贊同，并指出歐盟《網(wǎng)絡(luò)彈性法案》將強(qiáng)制廠(chǎng)商證明其設(shè)備至少具備五年的支持能力。這一要求將提升行業(yè)安全基準(zhǔn)，并加速標(biāo)準(zhǔn)化服務(wù)、設(shè)備管理平臺(tái)以及安全啟動(dòng)和零接觸配置等機(jī)制的普及。jMoesmc

與此同時(shí)，Stokking警告稱(chēng)，認(rèn)證程序必須演進(jìn)，以覆蓋設(shè)備配置和所有權(quán)轉(zhuǎn)移等現(xiàn)實(shí)場(chǎng)景中的復(fù)雜流程。否則，不安全操作將在合規(guī)的外衣下持續(xù)存在。jMoesmc

物聯(lián)網(wǎng)安全問(wèn)題具有多重性。配置錯(cuò)誤、更新機(jī)制不可靠以及硬件保護(hù)功能閑置，各自形成了不同的攻擊面。但這些并非相互對(duì)立的敘事，而是互為補(bǔ)充的。jMoesmc

Stokking指出，即使像LoRaWAN這樣設(shè)計(jì)完善的協(xié)議，也可能因密鑰管理疏漏而失效。Snyder強(qiáng)調(diào)，無(wú)論配置過(guò)程多么謹(jǐn)慎，漏洞終會(huì)被發(fā)現(xiàn)，唯有健全的更新機(jī)制才能應(yīng)對(duì)。Saether則闡明，若客戶(hù)愿意采用，芯片與標(biāo)準(zhǔn)的作用在于讓正確選擇更易實(shí)現(xiàn)。jMoesmc

他們共同勾勒出前進(jìn)路徑：安全必須從設(shè)備誕生的第一天起就內(nèi)置于其中，默認(rèn)啟用，并在產(chǎn)品全生命周期持續(xù)維護(hù)。法規(guī)正在提高安全底線(xiàn)，但最終仍需供應(yīng)商、集成商和開(kāi)發(fā)者切實(shí)執(zhí)行。jMoesmc

展望未來(lái)，新的挑戰(zhàn)已然浮現(xiàn)。Stokking指出，干擾等理論性風(fēng)險(xiǎn)以及更嚴(yán)格的加密法規(guī)要求(包括抗量子算法)正成為關(guān)鍵議題。jMoesmc

Snyder警告稱(chēng)，隨著邊緣設(shè)備承載寶貴的AI模型，通過(guò)硬件可信根(Roots of Trust)進(jìn)行保護(hù)將變得至關(guān)重要。Saether則表示，他預(yù)見(jiàn)大規(guī)模安全體系將發(fā)生對(duì)稱(chēng)加密向非對(duì)稱(chēng)加密的轉(zhuǎn)變，而量子計(jì)算已近在眼前。jMoesmc

物聯(lián)網(wǎng)安全的啟示在于：它絕非一次性合規(guī)任務(wù)，而是持續(xù)演進(jìn)的學(xué)科。今日部署的設(shè)備十年后仍將服役，而它們面臨的威脅也會(huì)不斷演變。確保配置正確、更新機(jī)制可靠并采用硬件級(jí)防護(hù)僅是起點(diǎn)，真正的挑戰(zhàn)在于長(zhǎng)期維持這些安全措施。jMoesmc

jMoesmc