WiFi不夠安全？zigbee才能提供更安全的無(wú)線物聯(lián)網(wǎng)

自2002年以來(lái)，zigbee聯(lián)盟及其成員公司一直致力于為構(gòu)建低功耗無(wú)線物聯(lián)網(wǎng)（IoT）的可互操作產(chǎn)品創(chuàng)建標(biāo)準(zhǔn)、認(rèn)證計(jì)劃和測(cè)試工具。迄今應(yīng)用zigbee標(biāo)準(zhǔn)的設(shè)備數(shù)量在全球已經(jīng)超過(guò)十億。我們完全了解安全環(huán)境在變化不斷，所以為我們的成員提供了整套的安全工具應(yīng)用于其產(chǎn)品。隨著zigbee 3．0標(biāo)準(zhǔn)（現(xiàn)簡(jiǎn)稱zigbee）在2016年初發(fā)布，我們?yōu)楫a(chǎn)品開(kāi)發(fā)者和IoT生態(tài)系統(tǒng)中的不同廠商提供了增強(qiáng)版的安全工具，以便構(gòu)建更為牢固的網(wǎng)絡(luò)，及在網(wǎng)絡(luò)安全和部署便捷之間做適當(dāng)?shù)臋?quán)衡取舍。 zigbee聯(lián)盟密切關(guān)注行業(yè)安全趨勢(shì)，并與研究人員和 “白客”們一起不斷作出更新，以確保領(lǐng)先于那些新興的威脅。

zigbee解決方案基于聯(lián)盟廣受贊譽(yù)的zigbee PRO mesh網(wǎng)絡(luò)協(xié)議，具備多項(xiàng)針對(duì)當(dāng)今市場(chǎng)和不斷演化的風(fēng)險(xiǎn)環(huán)境設(shè)計(jì)的安全新功能，比如包含了最初為zigbee Smart Energy智慧能源標(biāo)準(zhǔn)開(kāi)發(fā)的安全功能，該功能已在全球數(shù)以億計(jì)的電表中得到應(yīng)用，至今未發(fā)現(xiàn)存在安全漏洞。我們與領(lǐng)先的無(wú)線安全專家合作推出的業(yè)界領(lǐng)先的安全工具幫助我們成員開(kāi)發(fā)了一些迄今最為安全的無(wú)線設(shè)備。這些新功能包括：

入網(wǎng)時(shí)的設(shè)備唯一身份驗(yàn)證

網(wǎng)絡(luò)運(yùn)行期間的密匙更新

空中固件升級(jí)（OTA）的安全措施

基于連接的邏輯加密

安全模式

為了適應(yīng)不同的應(yīng)用場(chǎng)景，并確保在安全性、易用性、成本效益和電池壽命之間獲得最佳平衡，zigbee提供兩種網(wǎng)絡(luò)架構(gòu)和相應(yīng)的安全模式：分布式網(wǎng)絡(luò)和集中式網(wǎng)絡(luò)，兩者之間的區(qū)別在于它們解決IoT網(wǎng)絡(luò)基本需求的方式不同，即：如何讓新設(shè)備加入網(wǎng)絡(luò)以及如何保護(hù)網(wǎng)絡(luò)上傳送的消息。

（1）分布式安全模式的系統(tǒng)較易配置，包括兩種設(shè)備類型：路由器和終端設(shè)備（見(jiàn)下圖）。如果zigbee路由器在啟動(dòng)時(shí)沒(méi)有檢測(cè)到已有網(wǎng)絡(luò)，那它可以自主生成分布式安全網(wǎng)絡(luò)。在分布式網(wǎng)絡(luò)中，任何路由器都可以發(fā)送網(wǎng)絡(luò)安全密鑰（network key，網(wǎng)絡(luò)消息的加解密鑰，譯者注）。隨著更多的路由器和終端設(shè)備加入網(wǎng)絡(luò)，已經(jīng)存在于網(wǎng)絡(luò)的路由器會(huì)以安全的方式發(fā)送網(wǎng)絡(luò)密鑰。網(wǎng)絡(luò)上的所有設(shè)備都使用相同的網(wǎng)絡(luò)密鑰來(lái)加密消息。

（2）集中式系統(tǒng)具備更高的安全性，其包括第三種設(shè)備類型—— 信任中心（Trust Center），通常情況下實(shí)現(xiàn)于網(wǎng)絡(luò)協(xié)調(diào)器（見(jiàn)下圖）。 TC組成集中式網(wǎng)絡(luò)，只有路由器和終端設(shè)備擁有相關(guān)證書(shū)時(shí)才允許其加入網(wǎng)絡(luò)。在集中式網(wǎng)絡(luò)中，TC是發(fā)布加密密鑰的設(shè)備。在每個(gè)設(shè)備（或者一對(duì)設(shè)備）入網(wǎng)時(shí)，TC還會(huì)發(fā)布唯一的TC連接密鑰（Link Key）。

分層安全設(shè)置

最好的安全機(jī)制應(yīng)使用分層設(shè)置的方法，從物理層一直到應(yīng)用層。盡管物理層的安全設(shè)置超出zigbee標(biāo)準(zhǔn)所涉及的范圍，但聯(lián)盟一直在幫助我們的成員互相交流在這一領(lǐng)域的最佳實(shí)踐方法。從協(xié)議／標(biāo)準(zhǔn)的角度來(lái)看，網(wǎng)絡(luò)層和應(yīng)用層都能提供安全方法（包括入網(wǎng)時(shí)的流程）。在網(wǎng)絡(luò)層，所有設(shè)備都處于一致的安全環(huán)境之中。

Install codes

TC可以要求每個(gè)新設(shè)備通過(guò)唯一的Install Code來(lái)加入集中式安全網(wǎng)絡(luò)。Install Code必須與以帶外方式（out－of－band，即不通過(guò)zigbee網(wǎng)絡(luò)）預(yù)先輸入TC的密碼匹配。例如，Install Code可以用數(shù)字或二維碼的形式打印在加入設(shè)備的包裝中；用戶或安裝者可以將密碼鍵入或掃描到連接TC的智能手機(jī)或平板電腦中。所有zigbee設(shè)備都必須包含唯一的Install Code，這是一個(gè)由16位CRC保護(hù)的隨機(jī)128位數(shù)字。加入設(shè)備和TC根據(jù)其共同的Install Code使用Matyas－Meyer－Oseas（MMO）哈希算法生成唯一的128位信任中心連接密鑰（Trust Center Link Key）。滾動(dòng)密匙（Rolling keys）

在集中式安全網(wǎng)絡(luò)中，TC定期地創(chuàng)建、分發(fā)、然后切換到新的網(wǎng)絡(luò)密鑰。因此，即便攻擊者獲取了網(wǎng)絡(luò)密鑰，它也將很快到期失效。TC生成的更新的密鑰會(huì)使用TC連接密鑰加密后發(fā)送。

應(yīng)用層加密

另一個(gè)關(guān)鍵的安全工具是能夠在網(wǎng)絡(luò)中的一對(duì)設(shè)備之間創(chuàng)建應(yīng)用層安全連接。通過(guò)在一對(duì)設(shè)備之間創(chuàng)建唯一的AES－128加密密鑰可以在網(wǎng)絡(luò)中的任何兩個(gè)設(shè)備之間建立邏輯安全連接，從而在網(wǎng)絡(luò)的許多設(shè)備中某對(duì)設(shè)備能夠形成“虛擬專用連接”。以家庭局域網(wǎng)為例，所有設(shè)備（例如，燈，恒溫器，存在傳感器，門(mén)鎖，門(mén)窗傳感器和車庫(kù)門(mén)開(kāi)啟設(shè)備）形成的網(wǎng)絡(luò)由網(wǎng)絡(luò)層的一組密鑰進(jìn)行防護(hù) ，而對(duì)控制家庭出入戶的設(shè)備（例如門(mén)鎖和車庫(kù)門(mén)開(kāi)啟設(shè)備）設(shè)定附加的一對(duì)安全密匙。這樣萬(wàn)一攻擊者獲取網(wǎng)絡(luò)密鑰后能通過(guò)攔截或注入網(wǎng)絡(luò)消息影響其他設(shè)備的操作，門(mén)戶仍然固若金湯。

OTA升級(jí)

空中升級(jí)（Over－the－air）能夠幫助制造商為其產(chǎn)品添加新功能，修復(fù)缺陷，并在識(shí)別到新威脅時(shí)使用安全補(bǔ)丁。然而，如果使用的機(jī)制未能提供充分保護(hù)，或者制造商沒(méi)有應(yīng)用所有可用的安全措施，OTA更新也會(huì)帶來(lái)潛在的安全漏洞。 zigbee設(shè)備和相關(guān)兼容平臺(tái)為現(xiàn)場(chǎng)更新提供多層安全設(shè)置，并確保更新的代碼鏡像（code image）未被惡意篡改。首先，zigbee標(biāo)準(zhǔn)用唯一密鑰加密所有空中傳輸?shù)溺R像文件；其次，另一唯一密匙對(duì)OTA鏡像進(jìn)行簽注；另外，還可以在制造期間對(duì)鏡像進(jìn)行加密，而只有最終產(chǎn)品包含相應(yīng)的解密密鑰。最后，鏡像文件可以存儲(chǔ)在調(diào)試讀取功能設(shè)置為禁用的片上存儲(chǔ)器中 —— 以防止使用標(biāo)準(zhǔn)調(diào)試工具進(jìn)行反向工程，這是其它解決方案經(jīng)常忽視的漏洞。

一旦設(shè)備接收到加密的鏡像文件，其安全引導(dǎo)程序?qū)⒃诮饷茜R像、驗(yàn)證簽注后再更新設(shè)備。此外，引導(dǎo)程序在每次設(shè)備啟動(dòng)時(shí)會(huì)檢查當(dāng)前鏡像的有效性。如果鏡像文件無(wú)效，引導(dǎo)程序?qū)⒆柚顾M(jìn)行更新并返回最近一次有效更新后的狀態(tài)。因此，鏡像損壞將被快速檢測(cè)到以便系統(tǒng)操作者可以采取行動(dòng)。

其它安全技術(shù)

為防止中繼攻擊（即攻擊者截取命令消息后進(jìn)行重放，例如開(kāi)燈或關(guān)燈），每個(gè)zigbee命令都包括一個(gè)幀計(jì)數(shù)器，接收設(shè)備檢查會(huì)幀計(jì)數(shù)器并忽略重復(fù)的消息。

zigbee還支持動(dòng)態(tài)頻率切換。如果當(dāng)前信道受損，例如遭受阻塞攻擊，則網(wǎng)絡(luò)可以遷移至不同的信道（頻率）上。

結(jié)論

zigbee聯(lián)盟及其成員公司非常重視IoT的安全。我們提供多種技術(shù)和安全解決方案，以滿足廣泛的市場(chǎng)需求。一些技術(shù)已經(jīng)通過(guò)zigbee智能能源標(biāo)準(zhǔn)得到證明，zigbee智能能源被認(rèn)為是遍布全球的先進(jìn)計(jì)量基礎(chǔ)設(shè)施（AMI）的黃金標(biāo)準(zhǔn)。許多聯(lián)盟成員公司本身就是安全領(lǐng)域的專家，作為領(lǐng)先的無(wú)線標(biāo)準(zhǔn)制定組織，我們也經(jīng)常與研究機(jī)構(gòu)和商業(yè)安全專家溝通交流來(lái)完善我們的解決方案和審核已經(jīng)完成的標(biāo)準(zhǔn)和技術(shù)指標(biāo)。