物联网安全的三个重点

重点一：网关

filed网关概念：field 网关是一种特别的设备装置或通用软件，其功能是通信使能器(enabler)。未来，它是本地设备控制系统和设备数据处理集线器(hub)。

field网关可以实现设备的本地处理和控制功能；另一方面，它可以过滤或聚集设备遥感数据，因此能够降低传输到云后端的数据量。

field网关的范围包括field网关本身和附属于它的所有设备。

field网关与单纯的路由器不同，它是一种管理访问和管理信息流的主动设备。它是面向应用的实体，是网络连接或会话终端。

在这个语境下，网关具有服务开通；数据过滤、分批处理和聚集；数据缓存；协议转换和事件规则处理等功能。

相反， NAT设备或防火墙不是field网关，因为它们不是显式的连接或会话终端。

重点二：设备链接的四种方式：

1 设备与云网关直接连接：

对于支持IP功能的设备，可以通过因特网建立安全的连接。

2. 通过 field 网关连接：

对于使用与产业相关的协议的设备(如CoAP5,OPC)，使用近程通信技术的设备(如蓝牙, ZigBee-无线个域网标准)，资源受限的设备等，可以通过field 网关连接。当迁移到云之前流和数据的聚集在现场网关中执行时，这个选项是有用的。

3. 通过客户端云网关连接：有些设备在到达云网关通信端点之前需要协议转换或进行客户端的处理。这类设备可以通过客户端云网关连接。

4. 通过field网关和客户端云网关连接：

类似于前面的情形， field网关场景可能需要在云端进行协议适配或定制，因此可以选择与在云中运行的客户端网关相连接。某些场景需要通过隔离的网络隧道（使用VPN或应用层中继服务）集成field网关和云网关。

重点三：健壮互联网

健壮互联网定义（RIoT）：一种向计算设备提供基础可信服务的体系结构。可信服务包括设备身份、封装、鉴证（attestation）和数据完整性。为什么称之为“健壮”，是因为最小可信计算基是微小的，且RIoT功能可以远程地重新建立对被恶意软件侵入的设备的信任。使用“物联网”一词是因为这些服务是低成本的，且可以向微小的设备提供这些服务。

attestation (鉴证)：设备需要能够报告它们正在运行的代码以及其安全配置—我们称这一过程为鉴证。特别，鉴证的主要应用场合是证明设备正在运行最新的和打过补丁的代码。

健壮互联网基础：

l Boot安全分层

l 由固定代码中的无条件动作开始

l 秘密在boot过程的每一层中传递

l 不存在持久的隔离环境

【注】这是与TPM（TCM）机制的主要区别

l 安全组件与生产商设备的ROM和固件相结合

l 平台重置在可信状态启动

l 引擎基于可变代码计算出一个值

生成组合设备标识符：

l 固定代码访问惟一的设备秘密，但可变代码不能访问

l 固定代码仅传递组合设备标识符给第一个可变代码

可变代码的动作：

l 每一层可变代码都收到一个秘密

l 秘密可用于证明被引导软件的身份

l 秘密与下一个boot层的测量相结合

重新审视健壮物联网安全架构的 boot 流：

l 每层中的秘密都依赖于设备身份和代码（包括低层）

证明设备身份和软件：

l CDI可与密钥导出函数一起使用，生成非对称密钥的公钥和私钥

l 如果第一个可变代码始终不变，则CDI和导出的密钥值将是稳定的

l 对第1层，生产商可对它生产的每个设备发放证书，包括公开密钥

l 当设备使用秘密密钥进行计算时，它证明自己的身份和boot软件

为以后 boot时证明软件：

l 软件的第1层有一个来自生产商的证书

l 软件的每一层都可以使用其秘密密钥和证书发放下一层的证书

l 每层都依次做相同的工作，生成一个证书链

l 证书链可用于建立TLS会话，证明设备和软件