产业多元化发展使物联网 (IoT) 业者得以拥有盈利空间,不少企业正试图增加市场覆盖、以适当方式共同创造并获取经济价值。IBM 豪砸逾 300 亿美元收购开源先驱 Red Hat 以及电信商转向网络功能虚拟化 (NFV),似乎正在为此做出最佳时代批注。大众熟知的无线局域网 (WLAN) 为抢食 IoT 商机,近几年亦在联机设定操作与传输技术本质做出不少变革;去年夏天新出炉的 IEEE 802.11ax 对此有诸多修正,更适合用于 IoT部署,Wi-Fi Easy Connect 功能就是一例,可简化 Wi-Fi 设备与"无显示器"装置配对的过程。
802.11ax、BLE mesh,与 IoT 更亲近了!
这是个很实用而亲民的举措,因为很多物联网装置并未配备显示屏幕。从此,用户可通过类似保护设置 (WPS) 按钮或从智能手机扫描设备 QR Code 轻松联机。另为解决大量设备连接到现有网络导致壅塞,必须部署更多接入点可能出现干扰、增加分组错误率的问题,802.11ax 还具备以下特点,对环境中障碍物的抵抗力或优于 5G 网络:
1. 空间重用:CSMA / CA 具有冲突避免的载波侦听多路访问、保守 CCA (清除信道评估) 和高传输速率的组合使用允许在某些场景有限的空间重用;
2. 时间效率:CSMA / CA 可缩短节点每次访问信道的时间;
3. 频谱共享:引入动态混淆和 MU-OFDMA,改善频谱占用分散、相邻 WLAN 效率低下和干扰;
4. 多个天线:上、下行链路皆支持 MU-MIMO (多用户多输入多输出),允许多个用户同时下载和上传数据。
这是个很实用而亲民的举措,因为很多物联网装置并未配备显示屏幕。从此,用户可通过类似保护设置 (WPS) 按钮或从智能手机扫描设备 QR Code 轻松联机。另为解决大量设备连接到现有网络导致壅塞,必须部署更多接入点可能出现干扰、增加分组错误率的问题,802.11ax 还具备以下特点,对环境中障碍物的抵抗力或优于 5G 网络:
1. 空间重用:CSMA / CA 具有冲突避免的载波侦听多路访问、保守 CCA (清除信道评估) 和高传输速率的组合使用允许在某些场景有限的空间重用;
2. 时间效率:CSMA / CA 可缩短节点每次访问信道的时间;
3. 频谱共享:引入动态混淆和 MU-OFDMA,改善频谱占用分散、相邻 WLAN 效率低下和干扰;
4. 多个天线:上、下行链路皆支持 MU-MIMO (多用户多输入多输出),允许多个用户同时下载和上传数据。
图1:OFDM (11 ac MU-MIMO) vs. OFDMA (11ax MU-MIMO)
资料来源:https://www.cisco.com/c/dam/en/us/products/collateral/
除了广域网,历史悠久的蓝牙 (Bluetooth),因为已从最初单纯的点对点传输,进化到一对多、多对多连接,亦入列 IoT 无线传输主要技术之一,在小范围的消费电子尤具竞争力;2009 年问世的蓝牙低功耗 (BLE),即是针对小型物联网应用而来。藉由增加调制指数和限制负载密集型/功耗密集型数据,将功耗降低 95~99%;信息加密升级到 128 位 AES-CCM,是将 BLE 拓朴结构推向低功率节点的先决条件;而蓝牙技术联盟 (SIG) 于 2017 年颁布网状网络 (Mesh) 规范后,其"自我修复"特性更成为多对多连接的关键转折点。
考虑到家电等消费产品更为形色不一、更难达到互操作性,日前蓝牙技术联盟宣布成立"智慧家庭小组"(Smart Home Subgroup),旨在为智慧家庭及其相关应用开发更多元的蓝牙 mesh 模型规格,以构成网状网络应用层并定义连接至蓝牙 mesh 网状网络中的装置行为,促进跨厂牌的互操作性。全球已有 60 家以上的企业会员加入新成立的智慧家庭小组,包括:阿里巴巴、GCT半导体、利尔达科技、联发科技、美的集团 IoT 公司、Nordic 半导体、Novel Bits、S-Labs、泰凌微电子、新思科技、UL 检测服务以及小米等。
卫星通信为 M2M 挹注能量,信息整合更全面
自推出以来,至少有 105 款由各大芯片、堆栈、零组件和终端产品供货商所推出具备蓝牙 mesh 连网的产品已经认证合格。相对的,超远距、超大带宽、超广覆盖的卫星通信市场亦值得留意;ResearchAndMarkets 统计,在天气信息、科学研究、电信、多媒体通信、娱乐和导航带动下,2017 年全球卫星机器对机器通信 (M2M) 物联网市场产值为 6.173 亿美元,美国因卫星发射次数最多、为服务提供商带来丰厚营收,市占最高。预计 2018~2023 年,卫星 M2M 市场的 CAGR 为 32.58%,成长动能将从北美移至亚太区。
自推出以来,至少有 105 款由各大芯片、堆栈、零组件和终端产品供货商所推出具备蓝牙 mesh 连网的产品已经认证合格。相对的,超远距、超大带宽、超广覆盖的卫星通信市场亦值得留意;ResearchAndMarkets 统计,在天气信息、科学研究、电信、多媒体通信、娱乐和导航带动下,2017 年全球卫星机器对机器通信 (M2M) 物联网市场产值为 6.173 亿美元,美国因卫星发射次数最多、为服务提供商带来丰厚营收,市占最高。预计 2018~2023 年,卫星 M2M 市场的 CAGR 为 32.58%,成长动能将从北美移至亚太区。
联网汽车、银行和零售终端为增长主力。在 L、Ku、Ka 和 S (含 X 和 C 波段) 四大频段中,L 波段产值最高,未来五年 CAGR 亦最高。与此同时,第三方商业 IoT 平台正快速增长,企业和公共部门是最大客户。技术研究公司 ReportLinker 将平台服务分为三类:设备管理和控制、应用启用和网络连接管理平台。伴随技术进步,多数供货商逐渐转向水平模块化平台,可集成为一个完整的端到端解决方案,将在商业和工业物联网 (IIoT) 广泛应用,包括:医疗保健、汽车、车队管理和地方政府的智慧城市计划,市场正逐步从新概念原型转向"需求实现"阶段。
然而,去中心化的 IoT 世界让信息整合更趋复杂,促使开发者积极利用开发软件套件 (SDK) 或应用程序编程接口 (API) 消弭互操作性隔阂。开放互连基金会 (OCF) 一直在这条路上努力不懈,而他们所发布的 1.0 规范亦在去年 11 月获得 ISO / IEC JTC 1 认可,将 OCF 标准列入 ISO / IEC 30118 (第 1-6 部分)。OCF 最新的 2.0 规范更进一步将公钥基础结构 (PKI) 和云端管理功能结合,为生态系统定义一系列安全和原生网络协议;当中两个开源标准——IoTivity 和 IoTivity Lite,稍晚亦将提交 ISO / IEC JTC 1 认证。
6LoWPAN 不需"转译",就能直通 IP 网络
不过,要让 M2M 对接互联网协定 (IP),对有限的电池容量和低功耗传感器/设备来说仍是一大负荷,因而促成"6LoWPAN"标准的兴起——望文生义,它是最新版 IPv6 和低功耗无线个人局域网络 (LoWPAN) 的复合字,以确保 ZigBee (IEEE 804.15.4)、BLE、Z-Wave 等任何低功率无线电可与互联网通信。在 6LoWPAN 问世前,这些低功耗感测设备须借助网关 (Gateway) 的复杂应用程序"转译"、在 IP 堆栈的链路和开放系统互连 (OSI) 模型的网络层之间额外添加适配层,才能进行 IP 传输、连到云端平台。
不过,要让 M2M 对接互联网协定 (IP),对有限的电池容量和低功耗传感器/设备来说仍是一大负荷,因而促成"6LoWPAN"标准的兴起——望文生义,它是最新版 IPv6 和低功耗无线个人局域网络 (LoWPAN) 的复合字,以确保 ZigBee (IEEE 804.15.4)、BLE、Z-Wave 等任何低功率无线电可与互联网通信。在 6LoWPAN 问世前,这些低功耗感测设备须借助网关 (Gateway) 的复杂应用程序"转译"、在 IP 堆栈的链路和开放系统互连 (OSI) 模型的网络层之间额外添加适配层,才能进行 IP 传输、连到云端平台。
6LoWPAN 将 TCP IP 报头压缩成小封包,借用户封包协议 (UDP) 消除感测网络上各种设备之间、IP 报头中的冗余或不必要的网络级信息,借助边缘路由器的协议堆栈,允许 IEEE 802.15.4 网络发送及接收 IPv6 分组,让所有智能设备都可直接连接到 IP 网络并通过行动装置控制。IEEE 802.15.4 承载 2.4GHz 无线电收发器信息,近似 Wi-Fi 频段、但传输和接收功率只需它的 1% 左右,低功耗传感器通常可访问少于 1mW 的无线电;且这些通信协议乃是基于 IP 开放标准堆栈,节点设备之间的无线信号干扰将大幅减少。
为确保 6LoWPAN 应用程序的安全性,在 TCP 之上运行的传输层安全性 (TLS) 亦是基于 UDP 协定。然须留意的是,这需要有制作 OSI 模型、调整应用层,以及在网域新增、移除、移动传感器节点的能力奥援,以正确配置并应对后续更新。相中上述需求缺口,有半导体供货商祭出可编程 IPv6 通信模块和整合平台因应,供开发者选择 IPv6 固件堆栈。以往,许多 IoT 解决方案供货商着眼于商业考虑,会刻意采取专有的技术架构;但各式底层协议、传感器、设备乃至边缘/云端应用的百花齐放,"开放、共享、混搭"已然势不可挡。
凡联网必有风险,资安需求有增无减
紧接着,就是资安风险;趋势科技日前即揭露 MQTT (消息队列遥测传输) 和 CoAP (约束应用协议) 两个当红 M2M 协定的设计缺陷和漏洞——短短四个月内就有超过 2 亿条 MQTT 和 1,900 万条 CoAP 信息经由管理器/服务器外泄!虽然 MQTT 可一对多通信并确保服务质量及信息传递、适用于任务关键型 (mission critical) 通信,而 CoAP 是从微型传感器等低功率终端节点收集遥测数据的首选,但实测发现:,恶意攻击者只需使用简单的"关键词搜索"就能获得想要的生产数据、识别资产/人员/技术等隐私,甚至发动针对性的攻击行动。
紧接着,就是资安风险;趋势科技日前即揭露 MQTT (消息队列遥测传输) 和 CoAP (约束应用协议) 两个当红 M2M 协定的设计缺陷和漏洞——短短四个月内就有超过 2 亿条 MQTT 和 1,900 万条 CoAP 信息经由管理器/服务器外泄!虽然 MQTT 可一对多通信并确保服务质量及信息传递、适用于任务关键型 (mission critical) 通信,而 CoAP 是从微型传感器等低功率终端节点收集遥测数据的首选,但实测发现:,恶意攻击者只需使用简单的"关键词搜索"就能获得想要的生产数据、识别资产/人员/技术等隐私,甚至发动针对性的攻击行动。
市调公司 Grand View Research 预测到 2025 年,IoT 安全市场规模将达 98.8 亿美元,此间年复合成长率为 29.7%。其中,专业服务将保持市场主导地位、达到 21.1 亿美元的水平,应用安全类型的成长率最高、达 33.5%。采用云端储存机密数据、自带设备 (BYOD) 正在增加数据安全隐忧。例如,黑客攻击太阳能电池板系统企图控制电力供应、入侵企业/居家监控系统窥探隐私或医疗保健装置窃取敏感数据,或恶意干扰、关闭高速行驶中的智慧车等;企业/组织数据库若不慎遭骇,更可能因泄密数据而导致重大损失。
图5:防止源于应用、云端、终端、网络等诈欺和破坏之高涨需求,为 IoT 资安市场注入动力
资料来源:https://www.grandviewresearch.com/industry-analysis/
系统整合商建议:
1.安全设计应追溯至基础的微控制器 (MCU) 组件设计;
2.每个开放端口都是潜在的攻击点,应避免不必要的开启、或适时主动关闭每个开放端口和可用协议;
3.设备和云端平台之间的所有通信皆须加密,以确保机密性、完整性和真实性;4.有源监控设备固件和云服务中已知漏洞的依存关系,GitHub 和其他服务提供商可协助完成此过程;
5.使用网络分段和不可变的基础架构保护云端平台,亦便于快速替换可疑服务器;6.启用或要求多重身份验证。
1.安全设计应追溯至基础的微控制器 (MCU) 组件设计;
2.每个开放端口都是潜在的攻击点,应避免不必要的开启、或适时主动关闭每个开放端口和可用协议;
3.设备和云端平台之间的所有通信皆须加密,以确保机密性、完整性和真实性;4.有源监控设备固件和云服务中已知漏洞的依存关系,GitHub 和其他服务提供商可协助完成此过程;
5.使用网络分段和不可变的基础架构保护云端平台,亦便于快速替换可疑服务器;6.启用或要求多重身份验证。
善用加密、认证、安全分析防微杜渐
新一代 Wi-Fi 无线网络加密通信协议 WPA3 亦为以前开放、未加密的 Wi-Fi 网络赋予更高的安全性,让使用者获得高级加密标准 (AES) 好处并实施"同步身份验证"(SAE)。Wi-Fi 联盟于去年 6 月推出 WPA3-Personal 认证计划,提供更为个性化的加密,即使用户拥有 Wi-Fi 密码并已成功连接,网域用户仍无法窥探另一 WPA3-Personal 流量;且具流量前向保密特性,无法解密破解前所捕获的任何数据;而 WPA3-Enterprise 版本亦提升了传输敏感数据的网络加密强度,添加 192 位的安全加密选项。
新一代 Wi-Fi 无线网络加密通信协议 WPA3 亦为以前开放、未加密的 Wi-Fi 网络赋予更高的安全性,让使用者获得高级加密标准 (AES) 好处并实施"同步身份验证"(SAE)。Wi-Fi 联盟于去年 6 月推出 WPA3-Personal 认证计划,提供更为个性化的加密,即使用户拥有 Wi-Fi 密码并已成功连接,网域用户仍无法窥探另一 WPA3-Personal 流量;且具流量前向保密特性,无法解密破解前所捕获的任何数据;而 WPA3-Enterprise 版本亦提升了传输敏感数据的网络加密强度,添加 192 位的安全加密选项。
另 Wi-Fi Enhanced Open (增强型开放) 可选功能,则允许在开放式 Wi-Fi 热点网络进行无缝加密——"机会无线加密"(OWE),在接入点和单一客户端之间进行唯一加密,以防止用户窥探彼此的网络流量或执行其他攻击。然须留意的是,Wi-Fi Enhanced Open 并不像 WPA3 网络经过身份验证,仍有一定风险存在。恶名昭彰的"未来"(Mirai) 殭尸网络,即是利用互联网传播恶意软件,早在 2011 年就曾传出发生公用事业系统攻击。2016 年 9 月,更爆发首起由 Mirai 殭尸网络引发的大规模物联网攻击,仅短短两个月就感染超过 60 万台 IoT 设备。
复制模块藉扫描整个互联网查找易受攻击的设备,多从互联网络由器或联网摄影机下手,发动"分布式拒绝服务"(DDoS) 攻击。2018 年,黑客矛头则转向 Z-Wave 无线协定,多达 1 亿个智能家居设备存在漏洞。看似无害的智能扬声器,就是绝佳黑客入口;有人预估 2021 年,此类网络犯罪成本可能高于 6 兆美元。语音黑客只需一个语音样本回放,就能以假乱真、伪装成设备所有者发号施令。更麻烦的是,智能语音助理能听到人耳无法感知的白噪声中所隐藏的声音命令,黑客可在后台执行订购或窃听。
IoT 还有一个资安挑战是:没有制造标准,这反让 IoT 设备成了黑客眼中的软肋。有鉴于特定攻击未必能被传统防火墙识别,技术专家提醒:善用加密、认证、安全分析来防范,有助于增加机器学习 (Machine Learning)、大数据 (Big Data) 和人工智能 (AI) 的复杂性,协助异常检测和建模。此外,API 安全性对于保护数据完整性非常重要,以确保只有被授权的开发人员/应用程序可与 API 通信。
