自2002年以来,zigbee联盟及其成员公司一向致力于为构建低功耗无线物联网(IoT)的可互操作产品创立规范、认证方案和测验东西。迄今运用zigbee规范的设备数量在全球现已超越十亿。咱们彻底了解安全环境在改变不断,所认为咱们的成员供给了整套的安全东西运用于其产品。跟着zigbee 3.0规范(现简称zigbee)在2016年头发布,咱们为产品开发者和IoT生态体系中的不同厂商供给了增强版的安全东西,以便构建更为结实的网络,及在网络安全和布置快捷之间做恰当的权衡取舍。 zigbee联盟亲近重视职业安全趋势,并与研究人员和 “白客”们一同不断作出更新,以保证抢先于那些新式的要挟。
zigbee处理方案依据联盟广受赞誉的zigbee PRO mesh网络协议,具有多项针对当今商场和不断演化的危险环境设计的安全新功用,比方包含了开始为zigbee Smart Energy才智动力规范开发的安全功用,该功用已在全球数以亿计的电表中得到运用,至今未发现存在安全缝隙。咱们与抢先的无线安全专家协作推出的业界抢先的安全东西协助咱们成员开发了一些迄今最为安全的无线设备。这些新功用包含:
入网时的设备仅有身份验证
网络运转期间的密匙更新
空中固件晋级(OTA)的安全措施
依据衔接的逻辑加密
安全方式
为了习惯不同的运用场景,并保证在安全性、易用性、本钱效益和电池寿数之间取得最佳平衡,zigbee供给两种网络架构和相应的安全方式:分布式网络和集中式网络,两者之间的差异在于它们处理IoT网络根本需求的办法不同,即:怎么让新设备参加网络以及怎么维护网络上传送的音讯。
(1)分布式安全方式的体系较易装备,包含两种设备类型:路由器和终端设备(见下图)。假如zigbee路由器在发动时没有检测到已有网络,那它能够自主生成分布式安全网络。在分布式网络中,任何路由器都能够发送网络安全密钥(network key,网络音讯的加解密钥,译者注)。跟着更多的路由器和终端设备参加网络,现已存在于网络的路由器会以安全的办法发送网络密钥。网络上的一切设备都运用相同的网络密钥来加密音讯。
(2)集中式体系具有更高的安全性,其包含第三种设备类型—— 信赖中心(Trust Center),通常情况下完结于网络和谐器(见下图)。 TC组成集中式网络,只要路由器和终端设备具有相关证书时才答应其参加网络。在集中式网络中,TC是发布加密密钥的设备。在每个设备(或许一对设备)入网时,TC还会发布仅有的TC衔接密钥(Link Key)。
分层安全设置
最好的安全机制应运用分层设置的办法,从物理层一向到运用层。虽然物理层的安全设置超出zigbee规范所触及的规模,但联盟一向在协助咱们的成员相互沟通在这一范畴的最佳实践办法。从协议/规范的视点来看,网络层和运用层都能供给安全办法(包含入网时的流程)。在网络层,一切设备都处于一起的安全环境之中。
Install codes
TC能够要求每个新设备经过仅有的Install Code来参加集中式安全网络。Install Code有必要与以带外办法(out-of-band,即不经过zigbee网络)预先输入TC的暗码匹配。例如,Install Code能够用数字或二维码的方式打印在参加设备的包装中;用户或安装者能够将暗码键入或扫描到衔接TC的智能手机或平板电脑中。一切zigbee设备都有必要包含仅有的Install Code,这是一个由16位CRC维护的随机128位数字。参加设备和TC依据其一起的Install Code运用Matyas-Meyer-Oseas(MMO)哈希算法生成仅有的128位信赖中心衔接密钥(Trust Center Link Key)。翻滚密匙(Rolling keys)
在集中式安全网络中,TC定时地创立、分发、然后切换到新的网络密钥。因而,即使进犯者获取了网络密钥,它也将很快到期失效。TC生成的更新的密钥会运用TC衔接密钥加密后发送。
运用层加密
另一个要害的安全东西是能够在网络中的一对设备之间创立运用层安全衔接。经过在一对设备之间创立仅有的AES-128加密密钥能够在网络中的任何两个设备之间树立逻辑安全衔接,然后在网络的许多设备中某对设备能够构成“虚拟专用衔接”。以家庭局域网为例,一切设备(例如,灯,恒温器,存在传感器,门锁,门窗传感器和车库门敞开设备)构成的网络由网络层的一组密钥进行防护 ,而对操控家庭出入户的设备(例如门锁和车库门敞开设备)设定附加的一对安全密匙。这样假如进犯者获取网络密钥后能经过阻拦或注入网络音讯影响其他设备的操作,门户依然铜墙铁壁。
OTA晋级
空中晋级(Over-the-air)能够协助制作商为其产品增加新功用,修正缺点,并在识别到新要挟时运用安全补丁。但是,假如运用的机制未能供给充沛维护,或许制作商没有运用一切可用的安全措施,OTA更新也会带来潜在的安全缝隙。 zigbee设备和相关兼容渠道为现场更新供给多层安全设置,并保证更新的代码镜像(code image)未被歹意篡改。首要,zigbee规范用仅有密钥加密一切空中传输的镜像文件;其次,另一仅有密匙对OTA镜像进行签注;别的,还能够在制作期间对镜像进行加密,而只要终究产品包含相应的解密密钥。最终,镜像文件能够存储在调试读取功用设置为禁用的片上存储器中 —— 以避免运用规范调试东西进行反向工程,这是其它处理方案常常忽视的缝隙。
一旦设备接纳到加密的镜像文件,其安全引导程序将在解密镜像、验证签注后再更新设备。此外,引导程序在每次设备发动时会查看当时镜像的有用性。假如镜像文件无效,引导程序将阻挠它进行更新并回来最近一次有用更新后的状况。因而,镜像损坏将被快速检测到以便体系操作者能够采纳举动。
其它安全技能
为避免中继进犯(即进犯者截取指令音讯后进行重放,例如开灯或关灯),每个zigbee指令都包含一个帧计数器,接纳设备查看会帧计数器并疏忽重复的音讯。
zigbee还支撑动态频率切换。假如当时信道受损,例如遭受堵塞进犯,则网络能够迁移至不同的信道(频率)上。
定论
zigbee联盟及其成员公司非常重视IoT的安全。咱们供给多种技能和安全处理方案,以满意广泛的商场需求。一些技能现现已过zigbee智能动力规范得到证明,zigbee智能动力被认为是遍及全球的先进计量基础设施(AMI)的黄金规范。许多联盟成员公司自身便是安全范畴的专家,作为抢先的无线规范拟定安排,咱们也常常与研究机构和商业安全专家沟通沟通来完善咱们的处理方案和审阅现已完结的规范和技能指标。
