在智能家居的无线连结协议错综复杂的现今,横空出世,联合了上下游各大厂商,大有称霸之势。而在的工作组目标中,除了易用性、互操作性等特点之外,还有一项导致了你们的关注,那就是安全性。
我们了解是一个应用层协议,具备极高的安全性,但反观市面上的芯片,它们自身也具有一定的软件安全特征,比如硬件加密算法加速等等。Labs(也称“芯科科技”)的技术应用经理孙磊近期接受采访,他解释了的安全特征是怎样与芯片安全特征结合的。
与硬件安全
Labs的安全科技可避免物联网生态平台安全漏洞,避免因虚假而带来知识产权或利润损失。与Vault结合使用时,可提供最先进的安全性,帮助连接设施生产商面对不断更新和不断演进的物联网安全威胁。
在Labs提供的Gecko第二代无线SoC系统的支持下,协议中所使用的所有加密算法都受到了第二代系统的良好支持,包括为AES-256、SHA-256、ECDSA和ECDH等算法提供软件加密提速功能。此外,第二代系统还支持真随机数出现器(TRNG)、安全启动、差分电源变化的预测防范、防篡改和安全认证等功能,以保证产品取得高等级的保护。
设备二维码与DCL
正如现今多数智能家居生态追求的一样,也具有安装简易的特点,用户只需用手机扫描产品上的条形码就能完成设备添加到网络的过程。然而,如果我们丢失了这个二维码,设备要如何接入呢?
设计一整套安全机制,包括设施唯一的网络接入认证,设备唯一的再接入网路认证,全网隐私保护和完整性保护等。产品的信息都储存在分布式合规数据库(DCL)中,因此配网控制器在外包装丢失的状况下,依然可以从DCL中再次拿到二维码。
如果设备信息都储存在DCL这个数据库内,DCL难不成是CSA联盟独家管理?恰恰相反包装技术协议,DCL的命名就说明了其分布式特性,与集中式方式不同,它是由CSA联盟的成员来管理。孙磊解释道,DCL中的信息通过数字签名等加密机制确保了安全性,也没法通过获取CSA联盟认证的同步服务器以及节点来提供,这些服务器和节点在地理位置上是广泛分布的。
跨设备与劫持攻击
我们在之前的文章中提及了,是支持桥接其他协议的设施的,这便于了用户充分运用自己拥有的非产品,那么这种是否也给攻击者造就了缺口?难道不然,打造的初衷是在整个网络和生态中为物联网设施提供互联互通、可靠和安全的联结,与此同时,它只是一种基于现有互联网协议(IP)的连接标准包装技术协议,从而保证了包含内嵌式设施、移动app和云服务在内的物联网平台可以无缝通信。
针对其它非基于IP的协议和现有传感器网络的产品,确实提供了桥接支持,但推动桥接靠的是桥接设备,而这种桥接设备本身相同支持所有的安全规范,所以如果黑客入侵的是非设备,也能够借助此机制来入侵网络中的其它设备。
如果攻击者能够跨设备进行攻击,那么能否可以劫持已在网络中的设备进行攻击呢?要了解,是支持多管理员功能的,设备可以与多个系统和App相连,攻击者运用网络中的一台设备,通过恶意篡改信息来利用设备的漏洞,从而推动劫持。好在,这样的安全威胁一旦存在,也可以借助OTA更新的方法缓解。孙磊称,安全性是致力成为的核心特征,这些特点包含对加入网络的设施进行身份验证、对前往目的地的消息进行加密、使用经过验证的标准加密算法或者无线(OTA)升级。
安全的无线更新也是这种机制中的一种,但是也有协议中一种不会过时的安全方式。如果设备有足够的储存空间来支持OTA,那就可以按照OTA策略来比较方便地对新的固件进行更新,从而避免对设施的劫持和对网络的伤害。
证书安全问题
近年来,隔一段时间就有物联网设施由于安全证书过期而中止工作的风波出现,这是由于通常的安全证书都有期限,而这个期限到了后来,可能厂商逐渐对该设备停止了支持。而自然考虑到了这个难题,也给出了对策。孙磊表示,规范中具体地定义了怎样去验证、吊销和升级证书,可以避免由于安全证书过期而造成的弊端,即便证书过期了,厂商也可以便捷地对证书进行升级。
安全从未止步
比如以上提及的这种方法之外,仍在不断增加其安全性,比如与安全领域的探究人员切实交流,对漏洞快速响应,并大幅提高在安全性上的设计等。与此同时,的开源特性也激励开发者去探讨并推动其完善,也可以将漏洞直接举报给CSA联盟。
