物联网的实施及其对安全性的关键要求
加入技术交流群
智能电网是一种嵌入式机器的IoT网络,这些设备检测、控制地球的能源利用,在很大程度上依赖于机器之间的互动,以更高的效率利用资源。
智能电网IoT的启示
正在部署的智能电网给我们带来许多启示。如果没有可接受的ROI,就不可能实施IoT。IoT应逐步部署,应该具备预测未来应用的灵活性。除了效率或经济因素,还要考虑到如果没有足够的安全性,IoT将成为影响每个人的技术灾难。
安全性的关键角色
我们正走在通向智能电网的大道上。美国大约一半的家庭已经拥有先进、具备通信功能的电表,全球范围的电力公司正在安装控制分布式自动化供电管理设备。自来水、天然气公司也开始投资上马类似项目。尽管这一市场的势头强劲、发展很快,但系统的安全性存在根本缺陷。
对于不法分子,智能电网成为他们获利的巨大目标,如果这些恶意组织介入智能电网,将造成灾难性的后果。通过控制电力公司的通信网络,他们可能发起攻击,例如,漏报用电量,或伪造传感器数据,诱发电力中断。
安全性是当今智能电网的热门话题,技术上也取得了一定进展。现在,大多数通信采用标准加密算法,例如AES-128,以保护电力网络的数据和命令传输。然而,令人担忧的是,缺乏解决密匙保护或嵌入式智能电网设备使用期限管理的安全标准。这种局面非常危险,加密算法是确保通信网络安全的良好开端,但缺乏密匙和有效期的安全管理意味着这些因素很可能成为下一攻击目标,攻击者可能通过对智能电表进行物理侦测获得通信密匙。
保证IoT安全
从智能电网建设,我们可以看出:任何IoT部署之初就必须考虑安全性。我们来了解一下IoT的特征以及为什么需要集成安全保护。
●大量的远端、分布式传感器和控制设备部署在不受监管的位置。与安装摄像监控设备的ATM机不同,智能电表没有监管措施,这样就使攻击者很容易获得设备并进行分析。
●部署IoT的目的很可能是更有效地管理重要资产的健康和安全性。例如,健康传感器网络可能监测人类生活以及更好地控制卫生保健成本,汽车网络可能使交通运输更加安全、能源效率更高。这些例子影响到人类的健康、医药费、交通运输安全以及能源效率。如此有价值的目标增大了攻击者试图利用IoT漏洞的几率。
●机器间通信存在风险。当设备之间彼此通信,人类很少干涉时,可能难以发现篡改行为,直到发生灾难性事件。1
集成电路是支撑IoT的重要因素之一,也是保证IoT安全的关键。芯片集成经过验证的算法(例如AES和椭圆曲线加密),设计者提供了构建安全应用的工具箱。更先进的集成方案还具有产品生命周期的安全管理,确保安全地装载程序、确定是否有人对产品进行物理攻击。集成芯片不但保证IoT安全,也可以使产品设计者保证未来IoT部署的安全性。
IoT的未来
接下来的问题不是“何时实现IoT?”,智能电网IoT已经在我们周围。问题应该是“下一个IoT是什么,它将带给人类哪些好处?”。安全是IoT的核心,如果IoT具有足够的保护措施,对社会的回报将不可估量。
我们可以展望下一潜在的IoT:智能交通。回顾本文开头所述的智能车联网,初期阶段,智能汽车的概念可能仅限于根据命令提供媒体内容,也许会自动请求道路救援,并提供关于故障的具体信息。但智能交通的潜力远远不止于此。我们是否能够构建可以彼此沟通的传感器网络和汽车?具有足够数据后,汽车即可自动驾驶,从而提高安全性。此外,这些汽车能否实现高速时自动调节气流等类似技术,以大幅提高燃油效率?智能汽车的传感器网络能否自动指挥交通,规划最短的时间路线,提高燃油和时间效率?我们每天都能看到有关自动驾驶汽车的新闻报道,其优势毫无疑问将有助于节约燃油、时间等宝贵资源,甚至挽救生命。
没有人会反对我们对这些资源的管理。但要实现这一目标,车联网必须是安全的。不可靠的智能交通系统毫无用处!好消息是,技术的发展已经能够保证智能电网和车联网的安全。现在,下一个IoT的预言家是拥抱这一技术并确保我们的未来安全的时候。
参考
1 回顾2011年发生的Stuxnet攻击,遭受攻击的控制系统使离心机工作稍微偏离了允许参数,但报告显示一切正常。最终导致离心机损坏,整个设施的核处理能力遭到破坏。本例中,被篡改的机器向另外一台机器报告一切正常,而后者没有其它任何途径来证实离心机的状态。直到离心机损坏之前,没有报告任何故障。参见Maxim Integrated应用笔记5445《Stuxnet病毒及其它午夜幽灵》:http://www.maximintegrated.com/AN5445 .(end)
评论