你的物联网正在“裸奔”:密钥管理失误、更新机制缺失的代价
就在不久之前,物联网(IoT)的热潮远胜于对其安全性的冷静探讨。
数十亿设备在未充分考量生命周期管理、配置和补丁更新的情况下被推向市场。如今,当这些设备融入关键基础设施时,是时候弥合这些安全漏洞了。
2025年物联网大会(The Things Conference)期间,在《国际电子商情》姊妹平台《EE Times Europe》的独家专访中,三位行业专家从不同角度阐述了应对安全威胁的解决方案。他们的观点共同勾勒出物联网安全的发展现状,并指明了未来需要采取的关键措施。
一系列错误引发了诸多质疑
图1:Johan Stokking在2025年物联网大会上演讲
The Things Industries联合创始人兼首席技术官Johan Stokking直言不讳地指出了行业中仍存在的典型错误。他在接受采访时表示:“最糟糕的做法之一是为多个设备使用同一密钥,或从公开数据(如直接复制设备标识符)中派生密钥。”
LoRaWAN采用对称密钥设计,这意味着设备制造商与网络运营商之间必须安全地分发密钥。然而现实中,这些密钥常被通过电子邮件传递的Excel文件管理,甚至在某些邮箱中留存数年。一旦密钥泄露,系统将无法实现密钥轮换。
行业正朝着更安全的方案演进。LoRa联盟正在标准化非对称加密技术,并通过部署“Join服务器”实现会话密钥的动态签发,从而避免根凭证的暴露。
通过与Microchip技术公司等合作提供的安全元件(Secure Elements),可将根密钥嵌入防篡改硬件中。但这种安全元件的普及程度参差不齐。“成本仍是主要障碍,”Stokking指出,“防篡改安全元件会使物料清单增加60-70美分,对于低利润的物联网设备而言,这可能成为致命短板。”
核心结论显而易见:即便协议本身强制加密,密钥的生成、分发及全生命周期管理等配套流程,才是实际安全性的决定性因素。若缺乏规范的密钥预置机制,系统安全仍不堪一击。
当Stokking聚焦于预置机制时,Thistle Technologies公司CEO Window Snyder则指出了另一项长期存在的薄弱环节——更新机制。当被问及“采购团队应要求哪些不可妥协的功能”时,她表示:“必须支持更新。缺乏健全且可信赖的更新机制的设备,在其整个生命周期内根本不可能实现安全防护。”
图2:搭载Optiga Trust-M安全元件的Grinn GenioBoard(正面),由Thistle Technologies提供原生支持 图片来源:Thistle Technologies
Snyder亲眼目睹过失败的更新如何让企业陷入瘫痪:“如果是汽车,必须返厂维修;如果是工业设备,可能导致产线停摆;如果是医疗设备,可能危及患者健康;如果是卫星,后果将不可挽回。”嵌入式系统对更新失败的容忍度趋近于零。
Snyder指出,Thistle Technologies的使命是简化底层安全机制——安全启动、固件签名验证和可靠回滚——这些机制对多数设备团队而言难以独立实现。许多物联网开发者缺乏硬件安全领域的专业知识。
若由各团队自行针对不同芯片组重构和更新系统,将导致方案碎片化与安全妥协。Snyder主张提供可复用的库与服务,即使缺乏深厚安全技术储备的团队也能构建具备韧性的系统。
她更深刻的观点在于文化层面:设备制造商必须认识到,可靠的更新机制绝非可选功能,而是长期安全架构的基石。
Nordic Semiconductor远距离产品总监Kristian Saether指出,客户需要充分利用芯片厂商提供的安全原语。尽管Nordic Semiconductor已将安全密钥存储、密钥生成、工厂预置设备身份认证及非对称加密技术集成至其SoC中,但Saether表示客户并非始终启用这些功能。物联网发展进程缓慢,许多企业仍在构建自研的固件更新系统。真正推动技术落地的,其实是合规要求。
Saether认为安全连接主要有两种实现模式:其一是私有网络,客户需自主决定(有时还需自行部署)防护方案;其二是公共蜂窝网络,其协议安全性大多已标准化并内置。无论哪种模式,硬件加速加密都更具优势,原因包括性能提升与能效优化等。
Saether强调务实精神:并非所有“低智能”物联网传感器都需要完整的安全元件,但处理支付或个人数据等复杂设备则必须配备。
Nordic Semiconductor提供了Trusted Firmware-M和TrustZone的参考实现方案,使开发者能够分离安全代码与非安全代码。通过最小化可信计算基(Trusted Computing Base)的设计原则,可有效降低密钥管理、安全启动及固件更新等关键功能中潜在漏洞的引入风险。
每位专家均指出了令人警醒的现实案例。Stokking举例说明,企业有时会收到出厂时将根密钥明文打印在纸张上的设备,这些密钥可能被多个设备共享使用。另一案例中,采用过时协议的网关设备因未加密导致管理接口暴露,存在安全风险。
Snyder提到,她曾见过因固件更新故障导致设备变砖的案例——本可通过完善的回滚机制避免此类召回或现场故障。她同时强调,更新机制缺乏可靠性会引发隐性成本:当厂商对更新机制信心不足时,往往会延迟(或暂缓)补丁推送,致使设备群组长期暴露于风险之中。
Saether指出,当前许多部署仍依赖共享对称密钥,原因仅仅是“操作简便”,不过这种捷径实则会转化为长期隐患。他预测,监管机构将不仅要求设备出厂时默认启用可信身份认证、安全启动及签名更新机制,还将强制厂商提供至少五年的补丁支持计划。
一套新的防护措施正在兴起,同时伴随最佳实践的形成
三位专家均表示,监管是必要的推动力。Snyder指出,欧盟《网络弹性法案》(Cyber Resilience Act,简称CRA)是目前最全面的框架体系。尽管美国存在行业特定法规,但尚无能与欧盟要求相匹敌的规模。她认为,由于全球设备制造商无法承担产品线分叉的成本,最终将使全球消费者受益。“一旦设备制造商为进入欧洲市场完成安全升级,便不会为其他市场削减这些安全功能,”她强调。
Saether对此表示赞同,并指出欧盟《网络弹性法案》将强制厂商证明其设备至少具备五年的支持能力。这一要求将提升行业安全基准,并加速标准化服务、设备管理平台以及安全启动和零接触配置等机制的普及。
与此同时,Stokking警告称,认证程序必须演进,以覆盖设备配置和所有权转移等现实场景中的复杂流程。否则,不安全操作将在合规的外衣下持续存在。
物联网安全问题具有多重性。配置错误、更新机制不可靠以及硬件保护功能闲置,各自形成了不同的攻击面。但这些并非相互对立的叙事,而是互为补充的。
Stokking指出,即使像LoRaWAN这样设计完善的协议,也可能因密钥管理疏漏而失效。Snyder强调,无论配置过程多么谨慎,漏洞终会被发现,唯有健全的更新机制才能应对。Saether则阐明,若客户愿意采用,芯片与标准的作用在于让正确选择更易实现。
他们共同勾勒出前进路径:安全必须从设备诞生的第一天起就内置于其中,默认启用,并在产品全生命周期持续维护。法规正在提高安全底线,但最终仍需供应商、集成商和开发者切实执行。
展望未来,新的挑战已然浮现。Stokking指出,干扰等理论性风险以及更严格的加密法规要求(包括抗量子算法)正成为关键议题。
Snyder警告称,随着边缘设备承载宝贵的AI模型,通过硬件可信根(Roots of Trust)进行保护将变得至关重要。Saether则表示,他预见大规模安全体系将发生对称加密向非对称加密的转变,而量子计算已近在眼前。
物联网安全的启示在于:它绝非一次性合规任务,而是持续演进的学科。今日部署的设备十年后仍将服役,而它们面临的威胁也会不断演变。确保配置正确、更新机制可靠并采用硬件级防护仅是起点,真正的挑战在于长期维持这些安全措施。
