如何向现场设备提供物联网更新和升级

作为黑客关注的目标，物联网设备漏洞已经显示出安全提供所需软件和固件更新的重要性和挑战性。

在理想的世界中，物联网设备可以轻松安全地接收软件和固件更新——无论是在野外、工厂、汽车还是在任何可以找到它们的环境中。

由于物联网设备大量繁杂，以及目前可供选择的300多种不同的中间件物联网平台，因此没有一种适合所有物联网更新的方法。这就提出了软件和固件更新的必要性以及交付方式的问题。

软件和固件更新的频率取决于需要更新的原因。最主要的两个原因是修复bug和添加新特性。要了解更新发布的频率，用户如今可以通过手机查看。

“用户可以选择何时更新应用，这适用于人机互动的设备。”国际互联网工程任务组（IETF）物联网软件更新（SUIT）工作组主席Russ Housley说。“目前正致力于开发物联网更新标准。但是有些物联网设备就是我们所说的‘无界面模式’（headless）——它们不再采用显示器或键盘。这些环境需要更加自动化，并且可以通过设备可以观察到的某些事件来驱动。”

许多物联网平台提供了自己的方法来更新物联网设备，以作为其设备管理功能的一部分。例如IBM公司的Watson物联网平台解决了物联网设备的固件管理问题。Watson物联网平台架构师兼以色列海法的IBM研究院研究员Nir Naaman表示，“这种方法同时支持设备和平台进行的固件更新，用户或管理人员可以通过编程方式控制何时执行更新或配置自动更新。”

西门子公司西部区域经理Matthew Thornton表示，西门子MindSphere是另一个流行的物联网平台。他说，“一旦新版本可用，就会不断管理漏洞，并更新其MindConnect软件API。”

Thornton解释说，虽然MindSphere更新可以完全实现自动化并可以远程部署，但由于担心安全性，MindSphere与工厂中MindConnect设备（物联网网关）之间的通信（包括固件更新）只能在工厂实施，“MindConnect固件已签名，传输通过HTTPS加密，以确保安全和防火墙友好。只要管理员同意，它可以在本地应用或者从MindSphere部署。”Thornton补充道。

在现场提供物联网固件更新的主要挑战

物联网设备并非总能及时获得所有的固件更新，因为并非所有的物联网设备都能够接收到。

Housley说：“这是一个大问题，因为出现bug会导致安全问题，使得攻击者能够使用物联网设备来伤害他人。接收更新软件的能力是一项重要的功能，可以提高互联网的全方位安全性。而组织面临的挑战是都要这样做。对于物联网设备来说，它们是廉价低端的设备，成本是一个重要考虑因素，但是包括更新软件的方法确实很重要。”

Thornton说，“采用物联网设备的组织还面临其他挑战，其中包括基础知识。例如组织拥有最新的资产清单，需要了解物联网设备可用的固件更新，并优先处理，在现场实施之前测试并安装，而不会对流程的操作产生不利影响。”

也许最艰巨的挑战之一是处理固件更新失败。IBM公司的Naaman说，“固件更新可能由于多种原因而失败，其中包括不正确的或不良的固件、意外中止或存储空间不足。如果发生故障，面临的挑战是将物联网设备恢复到正常工作状态，尽可能减少对设备运行的影响。”

例如，Watson的物联网平台提供了解决固件更新过程失败的工具，例如固件重置以恢复上一个正常版本或出厂设置已完全损坏且无法重置的情况。

Naaman指出，许多组织没有意识到这些，因此将固件更新与设备监控和管理结合起来是至关重要的。

“快速检测和响应由不良软件更新引发问题的能力可能是至关重要的。在许多情况下，新软件的问题只有在大规模部署到现场后才能检测到，而这有时是在工作一段时间之后。”他补充道。

更新期间的安全性和加密的作用

Housley说，在物联网更新期间保持安全是关于数字签名，它可以保护完整性，并验证固件更新的来源。“用户希望确保代码来自供应商，即使它是在某个服务器上进行交付，并且提供数字签名。”

Naaman对此也表示认同。“安全和加密当然是固件管理操作的一个问题，因为这些操作对设备的行为产生了重大影响。”他说。

他补充说，确保只有授权用户才能执行此类操作，加密通信、设备授权、识别安全漏洞，并隔离违反单个设备的影响，这只是IBM公司物联网平台提供的安全相关问题的几个例子。

西门子公司的Thornton还强调更新的完整性和真实性至关重要。他说，通过西门子工业在线支持网站提供的更新是通过安全的HTTPS连接提供的。

“这些更新的完整性是通过在更新中包含签名或通过提供散列来保持的，这些散列可用于确认网站上发布的版本的真实性，以及下载过程中收到的内容。”他说。

Housley说，当软件具有与之相关的知识产权时，加密尤其重要，但是IETF尚未开始大量工作的难题之一。

Housley说，探索标准化的研究人员认为加密很重要，因为许多物联网设备被设计成可以放在口袋或可穿戴的形式方便携带，使得它们很容易与特定的人联系起来。

“研究人员认为提供加密非常重要，这样物联网设备就不会成为跟踪人员的另一种工具。”他补充道，“运行的固件版本与其他人正在运行的版本不同，这可能是区分两者的一种方式。”

IETF正在开展的标准工作

IETF SUIT工作组正在开发适用于物联网设备的固件更新机制标准。其内部草案是公开的，因此用户可以在线查看其正在进行的工作。

本规范中描述的固件更新机制是针对以下内容而设计的：

与固件映像和相关元数据的传输方式无关；

对广播传送友好；

使用最先进的安全机制；

确保必须防止回滚攻击；

提供高可靠性；

使用小型引导装载程序和小型解析器进行操作；

对现有固件格式的影响最小；

拥有强大的权限；

拥有多种运作模式。

什么时候是物联网更新标准？

Housley说：“我们将继续努力，直到达成共识。”不过他估计提交完整的标准规范还需要一两年的时间。