WiFi不夠安全？zigbee才能提供更安全的無線物聯(lián)網(wǎng)

自2002年以來，zigbee聯(lián)盟及其成員公司一直致力于為構建低功耗無線物聯(lián)網(wǎng)（IoT）的可互操作產品創(chuàng)建標準、認證計劃和測試工具。迄今應用zigbee標準的設備數(shù)量在全球已經超過十億。我們完全了解安全環(huán)境在變化不斷，所以為我們的成員提供了整套的安全工具應用于其產品。隨著zigbee 3．0標準（現(xiàn)簡稱zigbee）在2016年初發(fā)布，我們?yōu)楫a品開發(fā)者和IoT生態(tài)系統(tǒng)中的不同廠商提供了增強版的安全工具，以便構建更為牢固的網(wǎng)絡，及在網(wǎng)絡安全和部署便捷之間做適當?shù)臋嗪馊∩帷?zigbee聯(lián)盟密切關注行業(yè)安全趨勢，并與研究人員和 “白客”們一起不斷作出更新，以確保領先于那些新興的威脅。

zigbee解決方案基于聯(lián)盟廣受贊譽的zigbee PRO mesh網(wǎng)絡協(xié)議，具備多項針對當今市場和不斷演化的風險環(huán)境設計的安全新功能，比如包含了最初為zigbee Smart Energy智慧能源標準開發(fā)的安全功能，該功能已在全球數(shù)以億計的電表中得到應用，至今未發(fā)現(xiàn)存在安全漏洞。我們與領先的無線安全專家合作推出的業(yè)界領先的安全工具幫助我們成員開發(fā)了一些迄今最為安全的無線設備。這些新功能包括：

入網(wǎng)時的設備唯一身份驗證

網(wǎng)絡運行期間的密匙更新

空中固件升級（OTA）的安全措施

基于連接的邏輯加密

安全模式

為了適應不同的應用場景，并確保在安全性、易用性、成本效益和電池壽命之間獲得最佳平衡，zigbee提供兩種網(wǎng)絡架構和相應的安全模式：分布式網(wǎng)絡和集中式網(wǎng)絡，兩者之間的區(qū)別在于它們解決IoT網(wǎng)絡基本需求的方式不同，即：如何讓新設備加入網(wǎng)絡以及如何保護網(wǎng)絡上傳送的消息。

（1）分布式安全模式的系統(tǒng)較易配置，包括兩種設備類型：路由器和終端設備（見下圖）。如果zigbee路由器在啟動時沒有檢測到已有網(wǎng)絡，那它可以自主生成分布式安全網(wǎng)絡。在分布式網(wǎng)絡中，任何路由器都可以發(fā)送網(wǎng)絡安全密鑰（network key，網(wǎng)絡消息的加解密鑰，譯者注）。隨著更多的路由器和終端設備加入網(wǎng)絡，已經存在于網(wǎng)絡的路由器會以安全的方式發(fā)送網(wǎng)絡密鑰。網(wǎng)絡上的所有設備都使用相同的網(wǎng)絡密鑰來加密消息。

（2）集中式系統(tǒng)具備更高的安全性，其包括第三種設備類型—— 信任中心（Trust Center），通常情況下實現(xiàn)于網(wǎng)絡協(xié)調器（見下圖）。 TC組成集中式網(wǎng)絡，只有路由器和終端設備擁有相關證書時才允許其加入網(wǎng)絡。在集中式網(wǎng)絡中，TC是發(fā)布加密密鑰的設備。在每個設備（或者一對設備）入網(wǎng)時，TC還會發(fā)布唯一的TC連接密鑰（Link Key）。

分層安全設置

最好的安全機制應使用分層設置的方法，從物理層一直到應用層。盡管物理層的安全設置超出zigbee標準所涉及的范圍，但聯(lián)盟一直在幫助我們的成員互相交流在這一領域的最佳實踐方法。從協(xié)議／標準的角度來看，網(wǎng)絡層和應用層都能提供安全方法（包括入網(wǎng)時的流程）。在網(wǎng)絡層，所有設備都處于一致的安全環(huán)境之中。

Install codes

TC可以要求每個新設備通過唯一的Install Code來加入集中式安全網(wǎng)絡。Install Code必須與以帶外方式（out－of－band，即不通過zigbee網(wǎng)絡）預先輸入TC的密碼匹配。例如，Install Code可以用數(shù)字或二維碼的形式打印在加入設備的包裝中；用戶或安裝者可以將密碼鍵入或掃描到連接TC的智能手機或平板電腦中。所有zigbee設備都必須包含唯一的Install Code，這是一個由16位CRC保護的隨機128位數(shù)字。加入設備和TC根據(jù)其共同的Install Code使用Matyas－Meyer－Oseas（MMO）哈希算法生成唯一的128位信任中心連接密鑰（Trust Center Link Key）。滾動密匙（Rolling keys）

在集中式安全網(wǎng)絡中，TC定期地創(chuàng)建、分發(fā)、然后切換到新的網(wǎng)絡密鑰。因此，即便攻擊者獲取了網(wǎng)絡密鑰，它也將很快到期失效。TC生成的更新的密鑰會使用TC連接密鑰加密后發(fā)送。

應用層加密

另一個關鍵的安全工具是能夠在網(wǎng)絡中的一對設備之間創(chuàng)建應用層安全連接。通過在一對設備之間創(chuàng)建唯一的AES－128加密密鑰可以在網(wǎng)絡中的任何兩個設備之間建立邏輯安全連接，從而在網(wǎng)絡的許多設備中某對設備能夠形成“虛擬專用連接”。以家庭局域網(wǎng)為例，所有設備（例如，燈，恒溫器，存在傳感器，門鎖，門窗傳感器和車庫門開啟設備）形成的網(wǎng)絡由網(wǎng)絡層的一組密鑰進行防護 ，而對控制家庭出入戶的設備（例如門鎖和車庫門開啟設備）設定附加的一對安全密匙。這樣萬一攻擊者獲取網(wǎng)絡密鑰后能通過攔截或注入網(wǎng)絡消息影響其他設備的操作，門戶仍然固若金湯。

OTA升級

空中升級（Over－the－air）能夠幫助制造商為其產品添加新功能，修復缺陷，并在識別到新威脅時使用安全補丁。然而，如果使用的機制未能提供充分保護，或者制造商沒有應用所有可用的安全措施，OTA更新也會帶來潛在的安全漏洞。 zigbee設備和相關兼容平臺為現(xiàn)場更新提供多層安全設置，并確保更新的代碼鏡像（code image）未被惡意篡改。首先，zigbee標準用唯一密鑰加密所有空中傳輸?shù)溺R像文件；其次，另一唯一密匙對OTA鏡像進行簽注；另外，還可以在制造期間對鏡像進行加密，而只有最終產品包含相應的解密密鑰。最后，鏡像文件可以存儲在調試讀取功能設置為禁用的片上存儲器中 —— 以防止使用標準調試工具進行反向工程，這是其它解決方案經常忽視的漏洞。

一旦設備接收到加密的鏡像文件，其安全引導程序將在解密鏡像、驗證簽注后再更新設備。此外，引導程序在每次設備啟動時會檢查當前鏡像的有效性。如果鏡像文件無效，引導程序將阻止它進行更新并返回最近一次有效更新后的狀態(tài)。因此，鏡像損壞將被快速檢測到以便系統(tǒng)操作者可以采取行動。

其它安全技術

為防止中繼攻擊（即攻擊者截取命令消息后進行重放，例如開燈或關燈），每個zigbee命令都包括一個幀計數(shù)器，接收設備檢查會幀計數(shù)器并忽略重復的消息。

zigbee還支持動態(tài)頻率切換。如果當前信道受損，例如遭受阻塞攻擊，則網(wǎng)絡可以遷移至不同的信道（頻率）上。

結論

zigbee聯(lián)盟及其成員公司非常重視IoT的安全。我們提供多種技術和安全解決方案，以滿足廣泛的市場需求。一些技術已經通過zigbee智能能源標準得到證明，zigbee智能能源被認為是遍布全球的先進計量基礎設施（AMI）的黃金標準。許多聯(lián)盟成員公司本身就是安全領域的專家，作為領先的無線標準制定組織，我們也經常與研究機構和商業(yè)安全專家溝通交流來完善我們的解決方案和審核已經完成的標準和技術指標。