人們對物聯(lián)網(wǎng)的安全性有著(zhù)廣泛的高度關(guān)注?；ヂ?lián)網(wǎng)中充斥著(zhù)大批游手好閑的人，他們以入侵網(wǎng)絡(luò )設備為樂(lè )，這是不諍的事實(shí)。但許多嵌入式開(kāi)發(fā)團隊在之前從來(lái)沒(méi)有處理過(guò)安全問(wèn)題，且仍在試圖決定什么是他們需要做的，如果有的話(huà)。

為了要獲得有許多物聯(lián)網(wǎng)設計經(jīng)驗人士的觀(guān)點(diǎn)，筆者日前采訪(fǎng)了物聯(lián)網(wǎng)平臺制造商Electric Imp的共同創(chuàng )辦人和首席執行長(cháng)Hugo Fiennes，他日前才在今年的ESC Boston中針對物聯(lián)網(wǎng)的安全發(fā)表過(guò)演講。他提出了很多建議，其中最重要的三條守則將是一個(gè)很好的起始點(diǎn)，讓開(kāi)發(fā)團隊可以順利地邁向物聯(lián)網(wǎng)的安全大道。

第一，制定一份計劃，讓你的設備能夠以安全的方式在遠程更新的固件。安全領(lǐng)域的市場(chǎng)態(tài)勢一直都在不斷地變化。那些今天可以壓制攻擊者的方法，明天可能就不管用了。但客戶(hù)還是會(huì )有合理的期望，希望他們所購買(mǎi)的設備將可提供一段很長(cháng)時(shí)間的良好服務(wù)，而且不會(huì )帶來(lái)許多麻煩。所以，幾乎可以肯定是，物聯(lián)網(wǎng)設備將隨著(zhù)時(shí)間的推移而需要一種安全的更新方法，因此進(jìn)行這種更新的設施，將會(huì )是其設計中的一個(gè)基本部分。對物聯(lián)網(wǎng)而言，那種賣(mài)了就忘(sell-and-forget)的時(shí)代已經(jīng)結束了。

此一規則會(huì )產(chǎn)生多方面的影響。這種產(chǎn)品需要某種形式的支持服務(wù)，以創(chuàng )建、管理，并提供所需的更新，以及一種可提供這種服務(wù)的安全通道，而這種服務(wù)需要以產(chǎn)品開(kāi)發(fā)的一部分來(lái)規畫(huà)。而這項產(chǎn)品也要設計成在接受更新之前，可驗證其所接收到的更新通知，且要在更新在加載時(shí)，還能夠繼續運作，且在理想情況下，如果由于某種原因，此一更新為使用者帶來(lái)了問(wèn)題，還要能夠恢復回已知的良好狀態(tài)（a known good state）。且這整個(gè)過(guò)程都應該自動(dòng)完成的。

其次，在設計的早期步驟就應該把安全性納入考慮。安全并不是那種你只要將它插入工作系統中，并讓它即刻生效的東西。我們不能把它視為是一種事后添加的功能。它必須是裝置整體設計中的一部份，而不是圍繞在外的裝甲鋼板。否則，該設計就會(huì )存在著(zhù)一條你所不知道的攻擊途徑。檢視一下像數據流、功能集、和設定流程等，以確保你在設計的各個(gè)方面都已將安全的需求和所涉及的問(wèn)題都已考慮在內。

當然，沒(méi)有那一種安全是完美的，但它要夠堅固，讓攻擊該設計的成本會(huì )非常高。并不是所有的攻擊是一樣的，有些會(huì )打開(kāi)IC的封裝，再以電子顯微鏡讀出其閃存中的內容，你可能不需要對此提供保護。你需要將決定提供多少保護，所愿意承擔的風(fēng)險等作為設計過(guò)程中考慮的一部分。

第三，請確保有足夠的預算來(lái)實(shí)現安全性。對物聯(lián)網(wǎng)的安全性而言，具有成本意識的管理充其量只是口惠而實(shí)不至的，這種情況經(jīng)常會(huì )發(fā)生。最糟的是，安全并不是一具有市場(chǎng)性的功能的這樣的想法，他們也表示認同；或以"沒(méi)有人會(huì )想"攻擊這樣的產(chǎn)品來(lái)自我說(shuō)服。于是，即使有的話(huà)，他們也并未將資金正確地配置在實(shí)現安全性上。

這種失敗讓產(chǎn)生嚴重后果的可能性大增。對無(wú)法在其設備上提供充分安全性一事，消費產(chǎn)品的開(kāi)發(fā)人員早已被認為是要對此負責的。即使沒(méi)有財務(wù)上的沖擊，安全失敗也會(huì )連累產(chǎn)品 (和公司) 的聲譽(yù)，長(cháng)遠來(lái)看，對銷(xiāo)售還是有影響的。即使該產(chǎn)品并沒(méi)有吸引潛在攻擊者的誘因，像是并沒(méi)有有價(jià)值的數據或控制的區域，但單是它是一款可連接到網(wǎng)絡(luò )上的智能型設備，就有可能會(huì )被有心人士利用，拿它來(lái)當作殭尸網(wǎng)絡(luò )的一環(huán)，或是把它當作是一個(gè)后門(mén)進(jìn)入點(diǎn)，藉由此一進(jìn)入點(diǎn)進(jìn)入一個(gè)擁有貴重數據的網(wǎng)絡(luò )。

開(kāi)發(fā)人員可以采取許多具體的行動(dòng)來(lái)確保其物聯(lián)網(wǎng)的設計更加安全，但前文所指出的這三個(gè)步驟卻是建立這些行動(dòng)的基礎。如果你還沒(méi)有規劃可以在現場(chǎng)升級，如果你沒(méi)有從頭開(kāi)始就把安全性納入考慮，如果你沒(méi)有編入足夠的預算來(lái)實(shí)現所需的安全性，那么，其它的行動(dòng)就顯得毫無(wú)意義。你可能可以完成一項設計，在它發(fā)表的當時(shí)看起來(lái)似乎擁有足夠的安全性，但它可能無(wú)法承受那些來(lái)自網(wǎng)絡(luò )連接另一端的那么多的有心人士的覬覦目光，他們都在伺機而動(dòng)，隨時(shí)準備侵入你的產(chǎn)品之中。

相關(guān)閱讀：

誰(shuí)能保證物聯(lián)網(wǎng)邊緣節點(diǎn)的安全性？
物聯(lián)網(wǎng)產(chǎn)品隱私設計為何如此重要？
用WiFi路由器給物聯(lián)網(wǎng)設備“充點(diǎn)電”！