去年10月份，美国主要域名服务器提供商DYN的服务器遭受严重的DDoS攻击，导致大规模互联网瘫痪，受害企业横跨支付、餐饮、网络社交、财经媒体等多个不同领域，包括PayPal、星巴克、Twitter、《华尔街日报》在内的众多网站都无法访问。这次攻击为我们敲响了警钟——攻击者能够利用15万个安全性不够的物联网终端设备来发起恶意攻击。
为了应对盘旋于物联网安全架构周边的、日益增长的恐惧和疑虑，我们联手物联网安全公司Ardexa做了相关的研究实践，希望借此帮助那些实施物联网解决方案的企业检查其方案是否安全可靠。
开发安全性较高的端到端物联网解决方案涉及多个层级的问题，但是在物联网安全架构中，我们将这些问题归纳成四个不同的层级，包括：设备层、通信层、云端和生命周期管理。
1、安全的设备层
设备层是指部署物联网解决方案时所涉及到的硬件，即物理上的“事物”或产品。设计和生产设备的ODM、OEM厂商们致力于在他们的硬件和软件上同时集成更多的安全功能，以提高设备层的安全性。
1．1、重要的物联网安全架构特征
   一些制造商正在引入安全芯片TPMs (Trusted Platform Modules，也叫可信任平台模块)，因为密钥被存储在硬件中，被窃的数据无法解密，从而从根源上保护了敏感信息和凭证。（即，不是在芯片外部设置加密秘钥）
   安全启动机制可以确保只有经过验证的软件才能在设备上运行。
   采取物理层的安全保护措施（例如，对所有内部电路进行全金属屏蔽），这种方式下即使入侵者获得对设备的物理访问，也能够防止信息被篡改。
虽然这些“ hard identities ”或“ 物理保护屏障 ”在特定情况下可能是有价值的，但是数据移动和设备处理复杂任务的能力决定了该设备所面临的风险水平。从一开始就重视设备的边缘处理能力和复杂的安全功能是一条重要的原则。
2、设备层的IoT安全架构原则
原则一：设备智能化是处理复杂的、安全性要求高的任务的前提条件
目前许多可用的终端设备（比如电器、工具、玩具或配件）都能通过以太网或WiFi网络与云平台或服务器进行“沟通”，但是这些设备通常只通过一个微处理器进行驱动，它们不能处理复杂的网络连接，因此不应该用于处理物联网应用中的前端任务。
有效的、安全的连接必须由一个智能化的设备提供，这个设备需要具备加密、认证、时间戳、缓存、代理、防火墙、连接丢失等能力。设备必须具有鲁棒性，并且能够在有限的支持下进行现场操作。
原则二：边缘处理的安全优势
事实上，智能设备是一种能够自我“进化”的设备，能够随着时间的推移让自己更加强大、有用，例如：机器学习算法目前已经达到能让一些小型设备拥有处理视频流的能力，这在几年前是难以想象的，当然计算机除外。边缘处理意味着这些智能设备可以在本地处理相关的数据，而不用将数据上传到云端。
边缘计算真的可以增强设备的安全性吗？是的，绝对可以。因为边缘处理意味着敏感信息不需要上传到云端，因此在设备层处理数据有助于强化整个网络。
2、安全的通信层
通信层指的是物联网解决方案的连接网络，即安全地发送/接收数据的媒介。敏感数据能否在物理层，网络层或应用层等不安全的通信信道中传输是一个值得注意的问题，因为这些数据很可能受到诸如中间人攻击（MITM）之类的攻击形式。
2．1、重要的物联网安全架构特征
   以数据为中心的安全解决方案能够确保数据在传输（静止）时被安全地加密，除非对方拥有正确加密密钥的用户（个人，设备，系统或应用）解锁代码，否则即使数据被拦截了也毫无用处。
   防火墙和入侵防御系统用来检查特殊数据流（如，非IT协议），并在设备端终止它们，所以越来越多地被应用于检测入侵，同时防止通信层上的恶意活动。
2．2、通信层的物联网安全架构原则
原则三：启动与云端的连接
当防火墙端口向网络打开的瞬间就意味着设备已经面临着来自网络上的重大风险，因此通常只有在必要的情况下才打开防火墙。然而，给现场设备所提供的支持达不到与诸如web 、电子邮件或语音/视频服务器等同一程度。这些现场设备与云服务器相差甚远，它们没有管理员可进行漏洞修补、重新配置、测试和监视软件。
因此，允许设备直接连接到网络不是一个太好的主意，设备必须首先启动与云端的连接。设备连接到云端还可以促进双向信道，从而允许物联网设备被远程控制。在大多数情况下，这是非常有必要的。
这一原则密切相关的是使用虚拟专用网络（VPN）来访问物联网设备。然而，对于物联网设备来说，使用VPN的危险性可能与允许传入服务一样危险，因为它允许个人或网络访问自己网络内的资源。目前，安全任务的规模显著增长，并且经常超出合理控制。当然，VPN在非常特殊的情况下是可以发挥作用的。
原则四：信息的固有安全
我们应该非常重视物联网设备的通信安全，无论信号是从设备端进行上传还是下载到设备端。对于物联网终端设备来说，轻量级的基于消息的协议具有许多独特的优势，是非常不错的选择，包括双重加密、排队、过滤甚至与第三方共享等。
使用正确的标签，每个消息都可以根据适当的安全策略进行处理。例如，限制 “远程控制”功能，或者仅允许在单方向上进行“文件传输”，又或者对客户数据进行双重加密。利用这种安全策略，可以控制消息流的安全传输。在物联网设备中，消息传递及其相关的访问权限设置在通信层上发挥着强大的作用。
3、安全的云服务层
云服务层是指物联网解决方案的软件后端，即来自设备的数据被大规模采集，分析和处理，用以产生洞察力并采取相应的措施。当评估一项解决方案采用云服务或者本地服务所要面临的风险时，安全性一直是讨论的核心问题。然而，对于物联网的发展来说，云服务的广泛采用是一个不容忽视的推动因素。
重要的物联网网络安全特性
   存储在云平台上的敏感信息（即静止数据）必须加密，避免轻易受到攻击。
   这也有利于完整地验证其他云服务或第三方应用的完整性，它们试图与你的云服务进行沟通从而达到防止恶意攻击的目的。
   数字证书在物联网大规模识别和认证需求中发挥着关键的作用。
物联网云服务层安全原则
原则五：设备需具备识别，认证和加密功能
人们总是使用一个密码来访问云服务。在某些情况下，可能有两个验证因素，如“密码+一次密码生成器”。
然而，当访问云端服务的时候，机器在处理数字证书方面做得更好。因为数字证书使用是非对称的，加密的身份认证系统，不仅可以验证事务，还可以在身份认证发生之前将从设备到云端的通道进行加密。数字证书还可以提供加密标识，如果使用用户名/密码很难实现的相同的安全效果。