技術(shù)
導(dǎo)讀:由于物聯(lián)網(wǎng)設(shè)備大量繁雜,以及目前可供選擇的300多種不同的中間件物聯(lián)網(wǎng)平臺(tái),因此沒(méi)有一種適合所有物聯(lián)網(wǎng)更新的方法。這就提出了軟件和固件更新的必要性以及交付方式的問(wèn)題。
作為黑客關(guān)注的目標(biāo),物聯(lián)網(wǎng)設(shè)備漏洞已經(jīng)顯示出安全提供所需軟件和固件更新的重要性和挑戰(zhàn)性。
在理想的世界中,物聯(lián)網(wǎng)設(shè)備可以輕松安全地接收軟件和固件更新——無(wú)論是在野外、工廠、汽車(chē)還是在任何可以找到它們的環(huán)境中。
由于物聯(lián)網(wǎng)設(shè)備大量繁雜,以及目前可供選擇的300多種不同的中間件物聯(lián)網(wǎng)平臺(tái),因此沒(méi)有一種適合所有物聯(lián)網(wǎng)更新的方法。這就提出了軟件和固件更新的必要性以及交付方式的問(wèn)題。
軟件和固件更新的頻率取決于需要更新的原因。最主要的兩個(gè)原因是修復(fù)bug和添加新特性。要了解更新發(fā)布的頻率,用戶(hù)如今可以通過(guò)手機(jī)查看。
“用戶(hù)可以選擇何時(shí)更新應(yīng)用,這適用于人機(jī)互動(dòng)的設(shè)備。”國(guó)際互聯(lián)網(wǎng)工程任務(wù)組(IETF)物聯(lián)網(wǎng)軟件更新(SUIT)工作組主席Russ Housley說(shuō)。“目前正致力于開(kāi)發(fā)物聯(lián)網(wǎng)更新標(biāo)準(zhǔn)。但是有些物聯(lián)網(wǎng)設(shè)備就是我們所說(shuō)的‘無(wú)界面模式’(headless)——它們不再采用顯示器或鍵盤(pán)。這些環(huán)境需要更加自動(dòng)化,并且可以通過(guò)設(shè)備可以觀察到的某些事件來(lái)驅(qū)動(dòng)?!?/p>
許多物聯(lián)網(wǎng)平臺(tái)提供了自己的方法來(lái)更新物聯(lián)網(wǎng)設(shè)備,以作為其設(shè)備管理功能的一部分。例如IBM公司的Watson物聯(lián)網(wǎng)平臺(tái)解決了物聯(lián)網(wǎng)設(shè)備的固件管理問(wèn)題。Watson物聯(lián)網(wǎng)平臺(tái)架構(gòu)師兼以色列海法的IBM研究院研究員Nir Naaman表示,“這種方法同時(shí)支持設(shè)備和平臺(tái)進(jìn)行的固件更新,用戶(hù)或管理人員可以通過(guò)編程方式控制何時(shí)執(zhí)行更新或配置自動(dòng)更新?!?/p>
西門(mén)子公司西部區(qū)域經(jīng)理Matthew Thornton表示,西門(mén)子MindSphere是另一個(gè)流行的物聯(lián)網(wǎng)平臺(tái)。他說(shuō),“一旦新版本可用,就會(huì)不斷管理漏洞,并更新其MindConnect軟件API?!?/p>
Thornton解釋說(shuō),雖然MindSphere更新可以完全實(shí)現(xiàn)自動(dòng)化并可以遠(yuǎn)程部署,但由于擔(dān)心安全性,MindSphere與工廠中MindConnect設(shè)備(物聯(lián)網(wǎng)網(wǎng)關(guān))之間的通信(包括固件更新)只能在工廠實(shí)施,“MindConnect固件已簽名,傳輸通過(guò)HTTPS加密,以確保安全和防火墻友好。只要管理員同意,它可以在本地應(yīng)用或者從MindSphere部署?!盩hornton補(bǔ)充道。
在現(xiàn)場(chǎng)提供物聯(lián)網(wǎng)固件更新的主要挑戰(zhàn)
物聯(lián)網(wǎng)設(shè)備并非總能及時(shí)獲得所有的固件更新,因?yàn)椴⒎撬械奈锫?lián)網(wǎng)設(shè)備都能夠接收到。
Housley說(shuō):“這是一個(gè)大問(wèn)題,因?yàn)槌霈F(xiàn)bug會(huì)導(dǎo)致安全問(wèn)題,使得攻擊者能夠使用物聯(lián)網(wǎng)設(shè)備來(lái)傷害他人。接收更新軟件的能力是一項(xiàng)重要的功能,可以提高互聯(lián)網(wǎng)的全方位安全性。而組織面臨的挑戰(zhàn)是都要這樣做。對(duì)于物聯(lián)網(wǎng)設(shè)備來(lái)說(shuō),它們是廉價(jià)低端的設(shè)備,成本是一個(gè)重要考慮因素,但是包括更新軟件的方法確實(shí)很重要?!?/p>
Thornton說(shuō),“采用物聯(lián)網(wǎng)設(shè)備的組織還面臨其他挑戰(zhàn),其中包括基礎(chǔ)知識(shí)。例如組織擁有最新的資產(chǎn)清單,需要了解物聯(lián)網(wǎng)設(shè)備可用的固件更新,并優(yōu)先處理,在現(xiàn)場(chǎng)實(shí)施之前測(cè)試并安裝,而不會(huì)對(duì)流程的操作產(chǎn)生不利影響?!?/p>
也許最艱巨的挑戰(zhàn)之一是處理固件更新失敗。IBM公司的Naaman說(shuō),“固件更新可能由于多種原因而失敗,其中包括不正確的或不良的固件、意外中止或存儲(chǔ)空間不足。如果發(fā)生故障,面臨的挑戰(zhàn)是將物聯(lián)網(wǎng)設(shè)備恢復(fù)到正常工作狀態(tài),盡可能減少對(duì)設(shè)備運(yùn)行的影響?!?/p>
例如,Watson的物聯(lián)網(wǎng)平臺(tái)提供了解決固件更新過(guò)程失敗的工具,例如固件重置以恢復(fù)上一個(gè)正常版本或出廠設(shè)置已完全損壞且無(wú)法重置的情況。
Naaman指出,許多組織沒(méi)有意識(shí)到這些,因此將固件更新與設(shè)備監(jiān)控和管理結(jié)合起來(lái)是至關(guān)重要的。
“快速檢測(cè)和響應(yīng)由不良軟件更新引發(fā)問(wèn)題的能力可能是至關(guān)重要的。在許多情況下,新軟件的問(wèn)題只有在大規(guī)模部署到現(xiàn)場(chǎng)后才能檢測(cè)到,而這有時(shí)是在工作一段時(shí)間之后。”他補(bǔ)充道。
更新期間的安全性和加密的作用
Housley說(shuō),在物聯(lián)網(wǎng)更新期間保持安全是關(guān)于數(shù)字簽名,它可以保護(hù)完整性,并驗(yàn)證固件更新的來(lái)源。“用戶(hù)希望確保代碼來(lái)自供應(yīng)商,即使它是在某個(gè)服務(wù)器上進(jìn)行交付,并且提供數(shù)字簽名?!?/p>
Naaman對(duì)此也表示認(rèn)同?!鞍踩图用墚?dāng)然是固件管理操作的一個(gè)問(wèn)題,因?yàn)檫@些操作對(duì)設(shè)備的行為產(chǎn)生了重大影響?!彼f(shuō)。
他補(bǔ)充說(shuō),確保只有授權(quán)用戶(hù)才能執(zhí)行此類(lèi)操作,加密通信、設(shè)備授權(quán)、識(shí)別安全漏洞,并隔離違反單個(gè)設(shè)備的影響,這只是IBM公司物聯(lián)網(wǎng)平臺(tái)提供的安全相關(guān)問(wèn)題的幾個(gè)例子。
西門(mén)子公司的Thornton還強(qiáng)調(diào)更新的完整性和真實(shí)性至關(guān)重要。他說(shuō),通過(guò)西門(mén)子工業(yè)在線支持網(wǎng)站提供的更新是通過(guò)安全的HTTPS連接提供的。
“這些更新的完整性是通過(guò)在更新中包含簽名或通過(guò)提供散列來(lái)保持的,這些散列可用于確認(rèn)網(wǎng)站上發(fā)布的版本的真實(shí)性,以及下載過(guò)程中收到的內(nèi)容。”他說(shuō)。
Housley說(shuō),當(dāng)軟件具有與之相關(guān)的知識(shí)產(chǎn)權(quán)時(shí),加密尤其重要,但是IETF尚未開(kāi)始大量工作的難題之一。
Housley說(shuō),探索標(biāo)準(zhǔn)化的研究人員認(rèn)為加密很重要,因?yàn)樵S多物聯(lián)網(wǎng)設(shè)備被設(shè)計(jì)成可以放在口袋或可穿戴的形式方便攜帶,使得它們很容易與特定的人聯(lián)系起來(lái)。
“研究人員認(rèn)為提供加密非常重要,這樣物聯(lián)網(wǎng)設(shè)備就不會(huì)成為跟蹤人員的另一種工具?!彼a(bǔ)充道,“運(yùn)行的固件版本與其他人正在運(yùn)行的版本不同,這可能是區(qū)分兩者的一種方式?!?/p>
IETF正在開(kāi)展的標(biāo)準(zhǔn)工作
IETF SUIT工作組正在開(kāi)發(fā)適用于物聯(lián)網(wǎng)設(shè)備的固件更新機(jī)制標(biāo)準(zhǔn)。其內(nèi)部草案是公開(kāi)的,因此用戶(hù)可以在線查看其正在進(jìn)行的工作。
本規(guī)范中描述的固件更新機(jī)制是針對(duì)以下內(nèi)容而設(shè)計(jì)的:
與固件映像和相關(guān)元數(shù)據(jù)的傳輸方式無(wú)關(guān);
對(duì)廣播傳送友好;
使用最先進(jìn)的安全機(jī)制;
確保必須防止回滾攻擊;
提供高可靠性;
使用小型引導(dǎo)裝載程序和小型解析器進(jìn)行操作;
對(duì)現(xiàn)有固件格式的影響最小;
擁有強(qiáng)大的權(quán)限;
擁有多種運(yùn)作模式。
什么時(shí)候是物聯(lián)網(wǎng)更新標(biāo)準(zhǔn)?
Housley說(shuō):“我們將繼續(xù)努力,直到達(dá)成共識(shí)?!辈贿^(guò)他估計(jì)提交完整的標(biāo)準(zhǔn)規(guī)范還需要一兩年的時(shí)間。