重點一：網關

filed網關概念：field 網關是一種特別的設備裝置或通用軟件，其功能是通信使能器(enabler)。未來，它是本地設備控制系統和設備數據處理集線器(hub)。

field網關可以實現設備的本地處理和控制功能；另一方面，它可以過濾或聚集設備遙感數據，因此能夠降低傳輸到云后端的數據量。

field網關的范圍包括field網關本身和附屬于它的所有設備。

field網關與單純的路由器不同，它是一種管理訪問和管理信息流的主動設備。它是面向應用的實體，是網絡連接或會話終端。

在這個語境下，網關具有服務開通；數據過濾、分批處理和聚集；數據緩存；協議轉換和事件規則處理等功能。

相反， NAT設備或防火墻不是field網關，因為它們不是顯式的連接或會話終端。

重點二：設備鏈接的四種方式：

1 設備與云網關直接連接：

對于支持IP功能的設備，可以通過因特網建立安全的連接。

2. 通過 field 網關連接：

對于使用與產業相關的協議的設備(如CoAP5,OPC)，使用近程通信技術的設備(如藍牙, ZigBee-無線個域網標準)，資源受限的設備等，可以通過field 網關連接。當遷移到云之前流和數據的聚集在現場網關中執行時，這個選項是有用的。

3. 通過客戶端云網關連接：有些設備在到達云網關通信端點之前需要協議轉換或進行客戶端的處理。這類設備可以通過客戶端云網關連接。

4. 通過field網關和客戶端云網關連接：

類似于前面的情形， field網關場景可能需要在云端進行協議適配或定制，因此可以選擇與在云中運行的客戶端網關相連接。某些場景需要通過隔離的網絡隧道（使用VPN或應用層中繼服務）集成field網關和云網關。

重點三：健壯互聯網

健壯互聯網定義（RIoT）：一種向計算設備提供基礎可信服務的體系結構。可信服務包括設備身份、封裝、鑒證（attestation）和數據完整性。為什么稱之為“健壯”，是因為最小可信計算基是微小的，且RIoT功能可以遠程地重新建立對被惡意軟件侵入的設備的信任。使用“物聯網”一詞是因為這些服務是低成本的，且可以向微小的設備提供這些服務。

attestation (鑒證)：設備需要能夠報告它們正在運行的代碼以及其安全配置—我們稱這一過程為鑒證。特別，鑒證的主要應用場合是證明設備正在運行最新的和打過補丁的代碼。

健壯互聯網基礎：

l?Boot安全分層

l?由固定代碼中的無條件動作開始

l?秘密在boot過程的每一層中傳遞

l?不存在持久的隔離環境

【注】這是與TPM（TCM）機制的主要區別

l?安全組件與生產商設備的ROM和固件相結合

l?平臺重置在可信狀態啟動

l?引擎基于可變代碼計算出一個值

生成組合設備標識符：

l?固定代碼訪問惟一的設備秘密，但可變代碼不能訪問

l?固定代碼僅傳遞組合設備標識符給第一個可變代碼

可變代碼的動作：

l?每一層可變代碼都收到一個秘密

l?秘密可用于證明被引導軟件的身份

l?秘密與下一個boot層的測量相結合

重新審視健壯物聯網安全架構的 boot 流：

l?每層中的秘密都依賴于設備身份和代碼（包括低層）

證明設備身份和軟件：

l?CDI可與密鑰導出函數一起使用，生成非對稱密鑰的公鑰和私鑰

l?如果第一個可變代碼始終不變，則CDI和導出的密鑰值將是穩定的

l?對第1層，生產商可對它生產的每個設備發放證書，包括公開密鑰

l?當設備使用秘密密鑰進行計算時，它證明自己的身份和boot軟件

為以后 boot時 證明軟件：

l?軟件的第1層有一個來自生產商的證書

l?軟件的每一層都可以使用其秘密密鑰和證書發放下一層的證書

l?每層都依次做相同的工作，生成一個證書鏈

l?證書鏈可用于建立TLS會話，證明設備和軟件

總結

以上是生活随笔為你收集整理的物联网安全的三个重点的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。