物聯(lián)網(wǎng)網(wǎng)關是將物聯(lián)網(wǎng)邊緣設備（傳感器和執(zhí)行器）與數(shù)據(jù)中心或云中運行的后端應用程序連接的系統(tǒng)。物聯(lián)網(wǎng)網(wǎng)關與邊緣設備位于同一位置，從它們收集信息，然后在將其發(fā)送到后端應用程序之前對其進行處理和重新格式化。除了網(wǎng)關本身的安全性外，網(wǎng)關還必須與邊緣設備以及指導和管理網(wǎng)關的后端命令和控制系統(tǒng)進行交互并受到保護。

物聯(lián)網(wǎng)網(wǎng)關越來越多地執(zhí)行數(shù)據(jù)縮減和集成，以及本地處理和決策。例如，在無人機（UAV）的情況下，物聯(lián)網(wǎng)設備將包括視覺和紅外攝像頭，GPS，多軸加速度計，發(fā)動機傳感器，發(fā)動機控制，飛行表面控制等。在這種情況下，此信息是流數(shù)據(jù)（視頻）、定期更新的數(shù)據(jù)（位置、發(fā)動機運行條件）、事件和警報（發(fā)動機過熱、油壓損失）以及向無人機發(fā)出的命令的混合體。網(wǎng)關將負責從所有設備收集信息，對其進行處理，并通過上行鏈路將可用信息的子集發(fā)送到遠程命令和控制系統(tǒng)。

關于與設備交互的三個問題

從安全角度來看，關于網(wǎng)關如何與這些設備交互，需要考慮幾個問題：

? 設備是否可用，網(wǎng)關是否可以連接到設備并與之交互？在某些情況下，網(wǎng)關可能需要執(zhí)行設備發(fā)現(xiàn)以查看哪些設備可用。在其他情況下，網(wǎng)關已經(jīng)具有要訪問的設備列表。

? 設備是它所說的那個人嗎？網(wǎng)關應假定所有設備都不可信，并應驗證所有設備的身份。來自設備的所有輸入在處理之前都應進行清理。設備應該無法接管網(wǎng)關。應使用流量控制和 QoS 機制來防止設備發(fā)起拒絕服務 （DoS） 攻擊。此外，應使用機制來安全地識別每個設備。每個設備都可以提供有關自身的信息，例如設備類型、型號、功能和序列號。每臺設備上安裝的 X.509 證書等證書允許網(wǎng)關驗證設備身份。

? 設備是否已遭到入侵？需要簽名的軟件映像、設備中的啟動時間完整性檢查（安全啟動）和自檢機制等技術。通常使用證書實現(xiàn)的加密簽名應用于驗證設備的各個方面。

其他需要考慮的事項

在許多情況下，設備和網(wǎng)關之間的通信應加密。這樣，潛在的敏感信息就不會暴露，中間人攻擊無法修改在設備和網(wǎng)關之間流動的信息，并且可以驗證設備和網(wǎng)關的身份。加密通信通常使用傳輸層安全性 （TLS） 來完成，通過正確選擇密碼和密鑰，即使設備受限，也可以提供安全性。

網(wǎng)關本身也應該通過部署一些經(jīng)過驗證的技術來強化。首先，您應該只安裝所需的軟件，同時卸載不必要的程序，并確保生產(chǎn)網(wǎng)關上沒有安裝軟件開發(fā)或調(diào)試工具。您還必須主動管理、維護和更新網(wǎng)關。為此，請使用安全啟動，它允許驗證硬件和低級軟件以及受信任的處理模塊 （TPM）。

也依賴于基于Linux 的進程。例如，您可以主動采用資源管理（如 Linux cgroups），它可以幫助指定應用程序或服務可能使用的最大和最小 CPU、內(nèi)存和網(wǎng)絡流量。軟件簽名（例如與 Linux RPM 軟件包一起使用的軟件簽名）也有利于驗證軟件的來源以及系統(tǒng)上安裝的軟件是否未被修改或損壞。利用訪問控制（如 SELinux）來控制系統(tǒng)資源并防止受損的應用程序訪問系統(tǒng)的其他部分。并采用基于域的身份驗證解決方案，例如 Linux IPA，它可以允許集中管理用戶帳戶并通過多因素身份驗證實現(xiàn)最佳安全性。

當然，如果沒有適當?shù)姆阑饓蛼呙杞鉀Q方案，安全性是不完整的。防火墻確保僅允許進行通信，并且可以配置為僅允許具有特定 IP 地址的設備與網(wǎng)關“通信”。定期掃描可以讓您檢查未修補的安全漏洞和安全網(wǎng)關配置。

最后，始終通過定期更新（包括安全和錯誤修復以及適當添加新功能）來主動管理網(wǎng)關。對于這些任務，應使用遠程安全地管理網(wǎng)關的機制。

雖然有效保護物聯(lián)網(wǎng)網(wǎng)關涉及許多不同的流程和工具，但歸根結(jié)底，它歸結(jié)為一件事：確保嵌入式系統(tǒng)的安全。

審核編輯：郭婷