从安检摄像头到交通信号灯，我们每天与之交互的越来越多的设备都与互联网相连。当一个设备的嵌入式系统所提供的功能通过互联网连接的API公开时，可以认为它是物联网的。物联网技术继承了许多出现在其他互联网连接设备上的攻击向量，然而嵌入式系统以硬件为中心的低功耗特性给它们带来了独特的安全威胁。建造物联网设备的工程师必须采取额外的预防措施，以确保他们在解决新问题时不会实施安全反模式，这篇博客文章将调查四种实际物联网设备使用过的此类反模式。Atmel ATMEGA8微控制器Wikimedia Commons-CC BY-SA 3.0HTTP发布/订阅每次你的物联网闹钟响起，你可能希望它告诉你的咖啡机煮一些咖啡。为了做到这一点，你的咖啡机可以订阅你的闹钟发布的信息。这样做的一种方法是在物联网设备的API中实现发布/订阅模式，在本例中，让我们假设我们的闹钟和咖啡机通过HTTP进行通信。为了订阅来自闹钟的消息，咖啡机向发送一个httppost请求https://alarmclock/publish具有以下主体：{"on"："警报声音"，"to"："https:\/\/coffeemachine\/subscribe"}这个JSON请求指示每个"alarmSound"事件上的闹钟向咖啡机发送一个HTTP请求。虽然这似乎是在HTTP中实现Pub/Sub模式的一种简单而有效的方法，但这会带来重大的安全风险。由于无法验证订阅消息的接收方是否需要该消息，因此实际上存在DDOS漏洞。具有设置闹钟订阅功能的攻击者可以有效地将HTTP消息发送到所需的任何设备或internet属性。如果在足够多的设备上执行此操作，则会创建DDOS漏洞。从烤面包机里或者从一辆开过道路交通传感器的汽车里冒出来的吐司可能是未来针对网络财产的大规模DDOS攻击的导火索。为了进一步阅读，在MQTT协议的背景下，发布/订阅模式在物联网中的局限性将在：基于云的物联网的发布/订阅模式的限制及其含义-Happ，D.和Wolisz，A.（2016）中讨论。物联网设备作为TLS服务器随着支持物联网设备的嵌入式系统获得了额外的计算资源，越来越多的物联网开发人员选择采用TLS来实现通信安全。另外，像wolfSSL和mbedTLS这样的加密库更适合于嵌入式系统的性能需求，它消除了向嵌入式系统添加TLS支持的许多工程和性能复杂性。在物联网设备上实现TLS的一个反模式是将设备本身作为web服务器运行，并使用自签名的服务器端证书加密此类请求。除了在嵌入式系统上运行web服务器的性能开销外，它们还由于无法维护信任关系而带来严重的安全风险。取而代之的是，物联网设备可以通过代理进行通信；此类代理可以充当网络服务器，服务器端安装有签名的TLS证书，可以使用X.509标准对设备进行身份验证。这可以通过简单地使用HTTP协议来有效地实现。与其他类型的消息代理一样，它们将在接收者发送消息之前接收消息、执行验证、转换和路由。像CoAP这样的协议是专门为低功耗环境中的无代理机器间通信而设计的，目前CoAP使用DTLS（rfc4347），它支持预共享密钥、原始公钥和X.509证书认证。未加密的引导加载程序物联网设备远离数据中心，可能会留在不安全的环境中，因为需要采取额外的预防措施来保护此类设备上的内存。以IoT流量计数设备为例，它安装在路边上锁的机柜中。恶意对手可以闯入机柜，用体力窃取设备。当设备在他们手中时，他们可以从设备上的嵌入式系统芯片中提取软件来获得运行在其上的软件。通过逆向工程这个软件，他们可以学习板载微控制器内存中的秘密。当物联网设备可以在内存中包含敏感数据时，将其锁定可能并不总是足够的。这个问题的一个解决方案是加密这些设备上的引导加载程序—这提供了某种程度的加密保证，即设备上的机密将保持机密。来自Atmel AVR231的文档：AES引导加载程序存在专用集成控制器芯片，允许以低成本基于硬件的密钥存储；这些芯片可用于防止嵌入式系统的克隆和篡改。例如Atmel的密码认证芯片和Microchip的PIC24F GB2微控制器。当然，还应采取其他预防措施，确保密钥对设备来说是唯一的，并且如果密钥因任何原因被公开，那么撤销系统已经到位。在一个嵌入式系统上不加密你的秘密是不够的，希望没有人会试图对它进行反向工程。对物联网设备将存储的机密采取适当的安全措施至关重要。数据库作为IPC开发人员可以选择使用快捷方式，只需直接连接到数据库服务器来推送数据，而不是通过HTTP之类的抽象协议进行通信。除了增加权限控制难度外，这也会带来性能上的困难。锁争用就是这样一个问题，当在行上运行更新查询时，其他设备将在其他查询完成之前等待数据库上的锁释放。此外，轮询数据库的更改可能导致物联网代理变得容易过载。这种反模式可以通过使用由httpapi公开的messagebroker服务来减轻。restapi更易于缓存、更易于扩展，并且允许您独立于API改变数据库实现。不管你认为你的物联网API的使用有多封闭，都要为它感到骄傲，并努力使它能够适应未来变化的力量。将数据库从设备中抽象出来，可以使您引入更高程度的安全性，也可以防止以后出现其他架构问题。结论随着互联网技术的成熟，它所面临的攻击也将日益成熟。物联网设备设置为看到一组独特的安全漏洞，不同于其他互联网连接设备看到的安全漏洞。随着越来越多的物联网设备开始亮相，新的安全挑战也将随之展开。