作為黑客關(guān)注的目標(biāo)，物聯(lián)網(wǎng)設(shè)備漏洞已經(jīng)顯示出安全提供所需軟件和固件更新的重要性和挑戰(zhàn)性。

在理想的世界中，物聯(lián)網(wǎng)設(shè)備可以輕松安全地接收軟件和固件更新——無論是在野外、工廠、汽車還是在任何可以找到它們的環(huán)境中。

由于物聯(lián)網(wǎng)設(shè)備大量繁雜，以及目前可供選擇的300多種不同的中間件物聯(lián)網(wǎng)平臺(tái)，因此沒有一種適合所有物聯(lián)網(wǎng)更新的方法。這就提出了軟件和固件更新的必要性以及交付方式的問題。

軟件和固件更新的頻率取決于需要更新的原因。最主要的兩個(gè)原因是修復(fù)bug和添加新特性。要了解更新發(fā)布的頻率，用戶如今可以通過手機(jī)查看。

“用戶可以選擇何時(shí)更新應(yīng)用，這適用于人機(jī)互動(dòng)的設(shè)備。”國際互聯(lián)網(wǎng)工程任務(wù)組（IETF）物聯(lián)網(wǎng)軟件更新（SUIT）工作組主席Russ Housley說。“目前正致力于開發(fā)物聯(lián)網(wǎng)更新標(biāo)準(zhǔn)。但是有些物聯(lián)網(wǎng)設(shè)備就是我們所說的‘無界面模式’（headless）——它們不再采用顯示器或鍵盤。這些環(huán)境需要更加自動(dòng)化，并且可以通過設(shè)備可以觀察到的某些事件來驅(qū)動(dòng)。”

許多物聯(lián)網(wǎng)平臺(tái)提供了自己的方法來更新物聯(lián)網(wǎng)設(shè)備，以作為其設(shè)備管理功能的一部分。例如IBM公司的Watson物聯(lián)網(wǎng)平臺(tái)解決了物聯(lián)網(wǎng)設(shè)備的固件管理問題。Watson物聯(lián)網(wǎng)平臺(tái)架構(gòu)師兼以色列海法的IBM研究院研究員Nir Naaman表示，“這種方法同時(shí)支持設(shè)備和平臺(tái)進(jìn)行的固件更新，用戶或管理人員可以通過編程方式控制何時(shí)執(zhí)行更新或配置自動(dòng)更新。”

西門子公司西部區(qū)域經(jīng)理Matthew Thornton表示，西門子MindSphere是另一個(gè)流行的物聯(lián)網(wǎng)平臺(tái)。他說，“一旦新版本可用，就會(huì)不斷管理漏洞，并更新其MindConnect軟件API。”

Thornton解釋說，雖然MindSphere更新可以完全實(shí)現(xiàn)自動(dòng)化并可以遠(yuǎn)程部署，但由于擔(dān)心安全性，MindSphere與工廠中MindConnect設(shè)備（物聯(lián)網(wǎng)網(wǎng)關(guān)）之間的通信（包括固件更新）只能在工廠實(shí)施，“MindConnect固件已簽名，傳輸通過HTTPS加密，以確保安全和防火墻友好。只要管理員同意，它可以在本地應(yīng)用或者從MindSphere部署。”Thornton補(bǔ)充道。

在現(xiàn)場提供物聯(lián)網(wǎng)固件更新的主要挑戰(zhàn)

物聯(lián)網(wǎng)設(shè)備并非總能及時(shí)獲得所有的固件更新，因?yàn)椴⒎撬械奈锫?lián)網(wǎng)設(shè)備都能夠接收到。

Housley說：“這是一個(gè)大問題，因?yàn)槌霈F(xiàn)bug會(huì)導(dǎo)致安全問題，使得攻擊者能夠使用物聯(lián)網(wǎng)設(shè)備來傷害他人。接收更新軟件的能力是一項(xiàng)重要的功能，可以提高互聯(lián)網(wǎng)的全方位安全性。而組織面臨的挑戰(zhàn)是都要這樣做。對于物聯(lián)網(wǎng)設(shè)備來說，它們是廉價(jià)低端的設(shè)備，成本是一個(gè)重要考慮因素，但是包括更新軟件的方法確實(shí)很重要。”

Thornton說，“采用物聯(lián)網(wǎng)設(shè)備的組織還面臨其他挑戰(zhàn)，其中包括基礎(chǔ)知識(shí)。例如組織擁有最新的資產(chǎn)清單，需要了解物聯(lián)網(wǎng)設(shè)備可用的固件更新，并優(yōu)先處理，在現(xiàn)場實(shí)施之前測試并安裝，而不會(huì)對流程的操作產(chǎn)生不利影響。”

也許最艱巨的挑戰(zhàn)之一是處理固件更新失敗。IBM公司的Naaman說，“固件更新可能由于多種原因而失敗，其中包括不正確的或不良的固件、意外中止或存儲(chǔ)空間不足。如果發(fā)生故障，面臨的挑戰(zhàn)是將物聯(lián)網(wǎng)設(shè)備恢復(fù)到正常工作狀態(tài)，盡可能減少對設(shè)備運(yùn)行的影響。”

例如，Watson的物聯(lián)網(wǎng)平臺(tái)提供了解決固件更新過程失敗的工具，例如固件重置以恢復(fù)上一個(gè)正常版本或出廠設(shè)置已完全損壞且無法重置的情況。

Naaman指出，許多組織沒有意識(shí)到這些，因此將固件更新與設(shè)備監(jiān)控和管理結(jié)合起來是至關(guān)重要的。

“快速檢測和響應(yīng)由不良軟件更新引發(fā)問題的能力可能是至關(guān)重要的。在許多情況下，新軟件的問題只有在大規(guī)模部署到現(xiàn)場后才能檢測到，而這有時(shí)是在工作一段時(shí)間之后。”他補(bǔ)充道。

更新期間的安全性和加密的作用

Housley說，在物聯(lián)網(wǎng)更新期間保持安全是關(guān)于數(shù)字簽名，它可以保護(hù)完整性，并驗(yàn)證固件更新的來源。“用戶希望確保代碼來自供應(yīng)商，即使它是在某個(gè)服務(wù)器上進(jìn)行交付，并且提供數(shù)字簽名。”

Naaman對此也表示認(rèn)同。“安全和加密當(dāng)然是固件管理操作的一個(gè)問題，因?yàn)檫@些操作對設(shè)備的行為產(chǎn)生了重大影響。”他說。

他補(bǔ)充說，確保只有授權(quán)用戶才能執(zhí)行此類操作，加密通信、設(shè)備授權(quán)、識(shí)別安全漏洞，并隔離違反單個(gè)設(shè)備的影響，這只是IBM公司物聯(lián)網(wǎng)平臺(tái)提供的安全相關(guān)問題的幾個(gè)例子。

西門子公司的Thornton還強(qiáng)調(diào)更新的完整性和真實(shí)性至關(guān)重要。他說，通過西門子工業(yè)在線支持網(wǎng)站提供的更新是通過安全的HTTPS連接提供的。

“這些更新的完整性是通過在更新中包含簽名或通過提供散列來保持的，這些散列可用于確認(rèn)網(wǎng)站上發(fā)布的版本的真實(shí)性，以及下載過程中收到的內(nèi)容。”他說。

Housley說，當(dāng)軟件具有與之相關(guān)的知識(shí)產(chǎn)權(quán)時(shí)，加密尤其重要，但是IETF尚未開始大量工作的難題之一。

Housley說，探索標(biāo)準(zhǔn)化的研究人員認(rèn)為加密很重要，因?yàn)樵S多物聯(lián)網(wǎng)設(shè)備被設(shè)計(jì)成可以放在口袋或可穿戴的形式方便攜帶，使得它們很容易與特定的人聯(lián)系起來。

“研究人員認(rèn)為提供加密非常重要，這樣物聯(lián)網(wǎng)設(shè)備就不會(huì)成為跟蹤人員的另一種工具。”他補(bǔ)充道，“運(yùn)行的固件版本與其他人正在運(yùn)行的版本不同，這可能是區(qū)分兩者的一種方式。”

IETF正在開展的標(biāo)準(zhǔn)工作

IETF SUIT工作組正在開發(fā)適用于物聯(lián)網(wǎng)設(shè)備的固件更新機(jī)制標(biāo)準(zhǔn)。其內(nèi)部草案是公開的，因此用戶可以在線查看其正在進(jìn)行的工作。

本規(guī)范中描述的固件更新機(jī)制是針對以下內(nèi)容而設(shè)計(jì)的：

與固件映像和相關(guān)元數(shù)據(jù)的傳輸方式無關(guān)；

對廣播傳送友好；

使用最先進(jìn)的安全機(jī)制；

確保必須防止回滾攻擊；

提供高可靠性；

使用小型引導(dǎo)裝載程序和小型解析器進(jìn)行操作；

對現(xiàn)有固件格式的影響最小；

擁有強(qiáng)大的權(quán)限；

擁有多種運(yùn)作模式。

什么時(shí)候是物聯(lián)網(wǎng)更新標(biāo)準(zhǔn)？

Housley說：“我們將繼續(xù)努力，直到達(dá)成共識(shí)。”不過他估計(jì)提交完整的標(biāo)準(zhǔn)規(guī)范還需要一兩年的時(shí)間。