導讀:由于物聯(lián)網設備大量繁雜,以及目前可供選擇的300多種不同的中間件物聯(lián)網平臺,因此沒有一種適合所有物聯(lián)網更新的方法。這就提出了軟件和固件更新的必要性以及交付方式的問題。
作為黑客關注的目標,物聯(lián)網設備漏洞已經顯示出安全提供所需軟件和固件更新的重要性和挑戰(zhàn)性。
在理想的世界中,物聯(lián)網設備可以輕松安全地接收軟件和固件更新——無論是在野外、工廠、汽車還是在任何可以找到它們的環(huán)境中。
由于物聯(lián)網設備大量繁雜,以及目前可供選擇的300多種不同的中間件物聯(lián)網平臺,因此沒有一種適合所有物聯(lián)網更新的方法。這就提出了軟件和固件更新的必要性以及交付方式的問題。
軟件和固件更新的頻率取決于需要更新的原因。最主要的兩個原因是修復bug和添加新特性。要了解更新發(fā)布的頻率,用戶如今可以通過手機查看。
“用戶可以選擇何時更新應用,這適用于人機互動的設備?!眹H互聯(lián)網工程任務組(IETF)物聯(lián)網軟件更新(SUIT)工作組主席Russ Housley說。“目前正致力于開發(fā)物聯(lián)網更新標準。但是有些物聯(lián)網設備就是我們所說的‘無界面模式’(headless)——它們不再采用顯示器或鍵盤。這些環(huán)境需要更加自動化,并且可以通過設備可以觀察到的某些事件來驅動?!?/p>
許多物聯(lián)網平臺提供了自己的方法來更新物聯(lián)網設備,以作為其設備管理功能的一部分。例如IBM公司的Watson物聯(lián)網平臺解決了物聯(lián)網設備的固件管理問題。Watson物聯(lián)網平臺架構師兼以色列海法的IBM研究院研究員Nir Naaman表示,“這種方法同時支持設備和平臺進行的固件更新,用戶或管理人員可以通過編程方式控制何時執(zhí)行更新或配置自動更新?!?/p>
西門子公司西部區(qū)域經理Matthew Thornton表示,西門子MindSphere是另一個流行的物聯(lián)網平臺。他說,“一旦新版本可用,就會不斷管理漏洞,并更新其MindConnect軟件API?!?/p>
Thornton解釋說,雖然MindSphere更新可以完全實現(xiàn)自動化并可以遠程部署,但由于擔心安全性,MindSphere與工廠中MindConnect設備(物聯(lián)網網關)之間的通信(包括固件更新)只能在工廠實施,“MindConnect固件已簽名,傳輸通過HTTPS加密,以確保安全和防火墻友好。只要管理員同意,它可以在本地應用或者從MindSphere部署?!盩hornton補充道。
在現(xiàn)場提供物聯(lián)網固件更新的主要挑戰(zhàn)
物聯(lián)網設備并非總能及時獲得所有的固件更新,因為并非所有的物聯(lián)網設備都能夠接收到。
Housley說:“這是一個大問題,因為出現(xiàn)bug會導致安全問題,使得攻擊者能夠使用物聯(lián)網設備來傷害他人。接收更新軟件的能力是一項重要的功能,可以提高互聯(lián)網的全方位安全性。而組織面臨的挑戰(zhàn)是都要這樣做。對于物聯(lián)網設備來說,它們是廉價低端的設備,成本是一個重要考慮因素,但是包括更新軟件的方法確實很重要。”
Thornton說,“采用物聯(lián)網設備的組織還面臨其他挑戰(zhàn),其中包括基礎知識。例如組織擁有最新的資產清單,需要了解物聯(lián)網設備可用的固件更新,并優(yōu)先處理,在現(xiàn)場實施之前測試并安裝,而不會對流程的操作產生不利影響?!?/p>
也許最艱巨的挑戰(zhàn)之一是處理固件更新失敗。IBM公司的Naaman說,“固件更新可能由于多種原因而失敗,其中包括不正確的或不良的固件、意外中止或存儲空間不足。如果發(fā)生故障,面臨的挑戰(zhàn)是將物聯(lián)網設備恢復到正常工作狀態(tài),盡可能減少對設備運行的影響?!?/p>
例如,Watson的物聯(lián)網平臺提供了解決固件更新過程失敗的工具,例如固件重置以恢復上一個正常版本或出廠設置已完全損壞且無法重置的情況。
Naaman指出,許多組織沒有意識到這些,因此將固件更新與設備監(jiān)控和管理結合起來是至關重要的。
“快速檢測和響應由不良軟件更新引發(fā)問題的能力可能是至關重要的。在許多情況下,新軟件的問題只有在大規(guī)模部署到現(xiàn)場后才能檢測到,而這有時是在工作一段時間之后。”他補充道。
更新期間的安全性和加密的作用
Housley說,在物聯(lián)網更新期間保持安全是關于數(shù)字簽名,它可以保護完整性,并驗證固件更新的來源?!坝脩粝M_保代碼來自供應商,即使它是在某個服務器上進行交付,并且提供數(shù)字簽名?!?/p>
Naaman對此也表示認同?!鞍踩图用墚斎皇枪碳芾聿僮鞯囊粋€問題,因為這些操作對設備的行為產生了重大影響?!彼f。
他補充說,確保只有授權用戶才能執(zhí)行此類操作,加密通信、設備授權、識別安全漏洞,并隔離違反單個設備的影響,這只是IBM公司物聯(lián)網平臺提供的安全相關問題的幾個例子。
西門子公司的Thornton還強調更新的完整性和真實性至關重要。他說,通過西門子工業(yè)在線支持網站提供的更新是通過安全的HTTPS連接提供的。
“這些更新的完整性是通過在更新中包含簽名或通過提供散列來保持的,這些散列可用于確認網站上發(fā)布的版本的真實性,以及下載過程中收到的內容?!彼f。
Housley說,當軟件具有與之相關的知識產權時,加密尤其重要,但是IETF尚未開始大量工作的難題之一。
Housley說,探索標準化的研究人員認為加密很重要,因為許多物聯(lián)網設備被設計成可以放在口袋或可穿戴的形式方便攜帶,使得它們很容易與特定的人聯(lián)系起來。
“研究人員認為提供加密非常重要,這樣物聯(lián)網設備就不會成為跟蹤人員的另一種工具。”他補充道,“運行的固件版本與其他人正在運行的版本不同,這可能是區(qū)分兩者的一種方式?!?/p>
IETF正在開展的標準工作
IETF SUIT工作組正在開發(fā)適用于物聯(lián)網設備的固件更新機制標準。其內部草案是公開的,因此用戶可以在線查看其正在進行的工作。
本規(guī)范中描述的固件更新機制是針對以下內容而設計的:
與固件映像和相關元數(shù)據的傳輸方式無關;
對廣播傳送友好;
使用最先進的安全機制;
確保必須防止回滾攻擊;
提供高可靠性;
使用小型引導裝載程序和小型解析器進行操作;
對現(xiàn)有固件格式的影響最小;
擁有強大的權限;
擁有多種運作模式。
什么時候是物聯(lián)網更新標準?
Housley說:“我們將繼續(xù)努力,直到達成共識?!辈贿^他估計提交完整的標準規(guī)范還需要一兩年的時間。