概述
物联网 IoT 安全包含两大块内容:1. 本地硬件安全;2. 网络安全。更细致的分类都是建立在这两大类基础之上。
按大的功能单元来分:
- 手机 APP 端安全
- 硬件自身安全
- 云端安全
- APP 到云端间的通讯安全
OWASP 定义了 IoT 中的十大漏洞:
- 不安全的 Web 界面
- 身份验证/授权不足
- 不安全的网络服务
- 缺少传输加密/完整性验证
- 隐私权问题
- 云接口
- 不安全的移动接口
- 不安全的安全配置性不足
- 不安全的软件/固件
- 人身安全性差
面对这些漏洞小米实施了六个层面的物联网 IoT 安全策略:
- 认证层面 保证每台设备预制不同密钥,用户绑定产生唯一关联性的 token,利用密钥与 token 的关系防止越权操作问题。
- 通讯层面 要做流量加密与数据签名。
- 硬件层面 尽可能的把调试接口关掉,并且引入安全芯片,安全存储密钥信息。
- 固件层面 防止固件被篡改,所以验签与防降级的保护是基本要求。
- 系统层面 禁止开启任何处 miio 外的通讯或管理功能服务端口,局域网是不可信的环境。
- 应用层面 向开发者提供成熟可靠的 SDK,减少额外开发带来新的安全风险。
总结这些不同层面的安全问题和策略,总的来说要做到:
- 最大限度地限制端口开放;
- 数据传输要加密;
- 鉴权设计要可靠;
- 多点设防;
更专业的安全策略:
关注 OWASP 发布的《OWASP_Top_10_项最严重的 Web 应用程序安全风险_2017_中文版 v1.3》。点击下载
参考链接:小米IoT安全峰会—陈洋《小米 IoT 安全思考与实践》
参考链接:小米IoT安全峰会—胡珀《IoT + AI + 安全 =?》
参考链接:物联网安全从入门到入坑
参考链接: OWASP 官网
最后
以上就是贤惠薯片为你收集整理的物联网 IoT 安全策略小结的全部内容,希望文章能够帮你解决物联网 IoT 安全策略小结所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复