物联网安全——物联网安全的创新方式

到2021年底，将有120亿个连接的物联网设备，到2025，这个数字将上升到270亿。

所有这些设备都将连接到互联网，并将发送有用的数据，使工业、医药和汽车更智能、更高效。

然而，所有这些设备都安全吗？值得一问的是，你能做些什么来防止（或至少减少）成为未来网络犯罪（如数据盗窃或其他形式的网络犯罪）的受害者？

物联网的安全性还会提高吗？

近年来，与物联网相关的安全漏洞数量显著增加。

让我们从头开始—；大多数物联网设备都带有默认密码和公开密码。此外，事实是，许多廉价、低容量的物联网设备甚至缺乏最基本的安全性。

这还不是全部—；安全专家每天都在发现新的关键漏洞。许多正在接受安全审计的物联网设备反复出现相同的问题：IP甚至无线级别的远程代码执行漏洞、未经验证或访问控制机制损坏。

硬件安全性差是最常被发现的问题之一。通过这个复杂的术语，我们指的是黑客在手中拥有物联网设备时可以利用的所有攻击可能性：提取存储在设备内存中的安全凭据#8594；使用这些数据进入发送设备数据的服务器→；在“黑暗网络”中共享或出售这些凭证，以远程攻击同类型的其他设备，等等。

一场真正无声的物联网之战正在进行，数以万计的物联网设备已经遭到破坏。为了让你了解一个正在上升的意识水平，橙色网络防御的流行病学实验室为我们提供了一些令人兴奋和令人恐惧的数字：例如，在2019，一个脆弱的物联网设备可以在不到3分钟内被感染，并且在2021，一台物联网设备平均每天被100多个试图劫持它的僵尸网络攻击2814次。因此，毫不奇怪，在Mirai五年后，一个名为Meris的新物联网僵尸网络出现，并被用于针对Yandex的大规模DDoS攻击，Yandex是一个非常大的俄罗斯搜索引擎网站。

隧道尽头的光

然而，情况可能在不久的将来开始改变。最近，欧洲电信行业最大的参与者Orange与主要电子设备制造商泰雷兹合作推出了一项名为“物联网安全”的计划。研究表明，网络供应商和物联网设备制造商之间的合作显著提高了物联网设备的安全性（从而改善了其用户的安全态势）。

由于设备和芯片组制造商、云提供商和移动网络运营商之间的广泛合作，物联网安全已由GSMA标准化。

其关键思想是使用SIM卡（或嵌入式SIM卡）作为应用密钥库，在其中安全地存储和动态管理安全密钥。不再需要将机密移交给不受信任的提供商。也不需要添加昂贵且专用的安全元素。此外，对专有接口没有要求。

多亏了物联网安全，SIM卡可以直接覆盖各种加密服务。

你可能会问：为什么我们要坚持使用SIM卡或嵌入式SIM卡来保护物联网设备？这是因为SIM卡可以很好地抵御物理攻击。它们也是标准化的，可以被认为是可靠和成熟的芯片。所有连接到蜂窝网络的物联网设备通常都配有SIM卡。随着工业物联网的5G即将到来，它们肯定会保持受欢迎程度。它们也很便宜，因为许多移动物联网设备都很小，并且有廉价的传感器，所以可能不需要专门的芯片。

它是如何工作的？举个例子。

此外，这一新标准还带来了表格整体简单性的好处。

“零接触供应”就是一个例子在这种情况下，一旦用户打开物联网设备，网络运营商就会远程安装和配置物联网安全小程序的实例。然后，网络运营商指示小程序创建一个新的密钥对，该密钥对由安全存储在SIM卡上的私钥和发送回服务器的公钥组成。服务器生成一个新的客户端证书并将其发送回小程序。最后，物联网安全兼容设备使用这些数据，通过相互认证的TLS会话与云建立安全连接。

如果怀疑设备已受损，则会通过移动网络远程删除凭据。

物联网安全还可以涵盖更复杂的用例，例如在SIM卡上存储关键用户数据，或在执行前对软件进行身份验证，以防止物联网恶意软件执行未经授权的代码。

走向一个光明安全的物联网世界

Orange在2020年10月发布了该标准的第一个开源实现，基于纯C语言。该项目的实施在两个受约束的设备上进行了测试，使用了来自两个不同供应商的小程序。它已经成功地集成到两个著名的公共云——Azure和AWS——以及Orange自己的私有Live Objects云中。多亏了此开放源代码的许可证，设备制造商将能够轻松实现物联网安全兼容设备。

物联网安全倡议已在多个会议上发表，包括Java卡论坛、全球平台和移动物联网峰会。在研讨会期间，演示了实施物联网安全的用例，并与物联网社区进行了详细讨论。由于这些努力，wolfSSL在其著名的SSL/TLS库中增加了对物联网安全的支持。

当然，物联网安全开发和原型也在今年的移动世界大会的橙色展台上展示。很明显，在这次演示之后，物联网行业表现出了极大的兴趣。除了设备制造商、芯片制造商甚至飞机制造商，许多其他人也对物联网安全的潜力感到兴奋。

一对一

不可否认的是，这些连接的设备没有提供足够的安全保护。在不安全设备不断增加的时代，毫无疑问，它们对我们所有人都构成了威胁。此外，安全威胁被视为物联网市场发展的主要障碍。根据物联网世界和Omdia的数据，在接受调查的170位行业领袖中，85%的人认为安全问题仍然是物联网采用的主要障碍。通常，潜在客户对购买物联网对象犹豫不决，因为他们担心这些对象会受到损害。

最终，只有可靠且合理安全的设备才能在市场上取得成功，并带来合理的物联网业务增长。因此，供应商社区应积极促进物联网安全，以提振物联网市场，增加商机。

如果你想进一步了解辛勤工作的Orange Cyberdefense研究人员今年的调查内容，你可以直接跳到他们最近发布的安全导航器的登录页。

Note — 本文由来自Orange Innovation的Fabrice Fontaine和Leila de Charette撰写和贡献。