物联网系统的安全问题,往往在项目完成后才被重视。设备上线、数据跑通、界面可视化——这些里程碑完成之后,工程师才开始意识到,整个链路上有多少节点暴露在外部网络里,有多少设备在用明文传输数据,有多少接口几乎没有任何访问控制。这种"先跑通再加固"的开发习惯,在消费级产品里尚且勉强可以接受,但在工业设备监控、医疗数据采集或者楼宇能耗管理这类场景中,安全漏洞的代价会被成倍放大。
真正成熟的物联网应用开发,应该把安全架构的设计前置到协议选型和接入方案阶段,而不是作为事后补丁打上去。以下从认证机制、传输加密、数据存储隔离和攻击面收敛四个维度,梳理物联网安全架构的核心工程问题。
设备身份认证的技术路径与选型约束
物联网安全的第一道门是设备身份认证。常见的认证方案大致分为三类:基于共享密钥的对称认证、基于证书的非对称认证,以及基于平台颁发令牌的动态认证。
对称密钥方案实现成本低,适合资源受限的嵌入式设备。设备出厂时预置一组密钥,与平台侧的密钥库对应匹配。问题在于密钥一旦被提取,所有使用相同密钥的设备都面临风险;而且在大规模部署场景下,密钥的分发和轮换管理本身就是一个工程难题。如果设备固件更新机制不完善,密钥轮换几乎无法落地。
非对称证书认证安全性更高,设备持有私钥,平台持有根证书,双向验证可以有效防止中间人攻击。但这套方案对设备侧的计算能力和存储空间有要求,低功耗传感器类设备往往无法承载完整的TLS握手开销。实际工程中常见的做法是在网关层终止TLS,设备到网关走轻量协议,网关到云端走完整的加密通道,把安全边界前移到网关节点。
动态令牌方案更适合云原生架构。设备在首次接入时通过预置的激活码换取平台颁发的访问令牌,令牌有效期可配置,过期后需要重新认证。这种方案的好处是平台可以随时吊销特定设备的访问权限,适合设备生命周期管理需求较强的场景,比如共享设备租赁或者设备转让。
在上海物联网应用开发的实际项目中,很多企业的设备种类混杂,同一个平台需要同时接入高性能工业网关和低功耗传感器节点,这就要求平台侧的认证体系能够支持多种认证方式并存,而不是强制统一到单一方案。D-coding物联网平台在设计上支持HTTP/MQTT/TCP等多种接入协议,配套的认证机制也需要根据具体协议的特性做针对性配置,不存在一种方案通吃所有设备类型的情况。
传输层加密的协议选择与性能权衡
传输加密是物联网安全中讨论最多、也最容易被错误实施的环节。讨论最多,是因为各种协议的加密支持文档齐全;容易被错误实施,是因为工程师往往只关注"有没有加密",而忽略了"加密的强度是否足够"和"加密是否覆盖了完整的数据路径"。
MQTT协议本身不包含加密,需要在传输层叠加TLS才能实现数据保护。但很多设备固件为了降低功耗,会关闭TLS或者使用过时的TLS 1.0版本。平台侧如果没有强制要求最低TLS版本,就等于给了攻击者降级攻击的机会。工程上的处理方式是在Broker配置中明确禁用低版本协议,同时监控异常的握手失败日志,作为设备配置异常的告警信号。
HTTP/HTTPS的情况相对简单,但物联网场景里常见一个问题:设备端为了节省资源,会跳过服务端证书的验证,或者使用硬编码的IP地址绕过域名验证。这种做法虽然能让数据跑通,但实际上HTTPS的安全保证已经被完全架空。修复这类问题需要在设备固件层面做改动,有时候涉及到和硬件供应商的协调,周期较长。
TCP原始连接的加密更复杂,需要在应用层自行设计加密方案,通常采用AES对称加密加上消息认证码的组合。这种方案灵活性高,但实现成本也高,需要维护密钥协商逻辑和消息完整性校验逻辑,任何一个环节的实现缺陷都可能导致整个加密体系失效。
WebSocket在物联网场景里主要用于实时监控类应用,wss协议在TLS之上运行,安全性有保障,但对服务端的连接维持能力要求较高。大量设备同时保持长连接时,服务端的文件描述符和内存消耗会成为瓶颈,需要在架构设计阶段做好容量规划。
数据存储隔离与访问控制的工程细节
数据在传输层得到保护之后,存储层的安全往往被低估。物联网平台的数据存储通常涉及多种类型:实时状态数据走时序数据库,历史记录走关系型数据库,设备日志走日志数据库,配置信息走缓存数据库。每种存储类型的访问控制机制不同,统一管理的难度不小。
时序数据库如InfluxDB或TDengine,默认配置下往往没有启用认证或者使用默认凭据,在内网环境里这个问题容易被忽视,一旦网络边界被突破,数据库就完全暴露。工程上的基本要求是每个服务组件使用独立的数据库账号,权限最小化,禁止使用root账号做日常读写操作。
多租户物联网平台还面临租户数据隔离的问题。如果不同企业的设备数据存储在同一个数据库实例里,就必须在应用层严格实现租户ID的过滤逻辑,任何一个查询接口的遗漏都可能导致跨租户数据泄露。更稳妥的做法是在数据库层面做Schema隔离或者独立实例隔离,用基础设施保证隔离性,而不是完全依赖应用层的逻辑。
D-coding平台支持对接PostgreSQL、MySQL、TiDB、ElasticSearch、InfluxDB、TDengine、Redis等多种数据库,在实际项目中,选择哪种存储组合不仅是性能问题,也是安全架构问题。不同数据库的审计日志能力、加密存储支持和访问控制粒度差异较大,需要根据具体的合规要求做针对性选型。
攻击面收敛与运行时安全监控
物联网系统的攻击面比传统Web应用更分散。除了常规的API接口,还包括设备固件、配网过程、OTA更新通道、调试接口等。每一个对外暴露的接口都是潜在的攻击入口。
配网过程是物联网设备安全中的高风险环节。AirKiss等微信生态的配网协议依赖Wi-Fi广播包传递SSID和密码,在开放网络环境下存在被监听的风险。蓝牙配网方案的安全性取决于蓝牙通信本身的加密实现,低版本蓝牙协议存在已知漏洞。工程上的处理方式是限制配网窗口时间,配网完成后立即关闭配网模式,减少暴露时间。
OTA更新通道如果没有做固件签名验证,攻击者可以通过中间人攻击推送恶意固件。固件签名方案要求设备侧在执行更新前验证固件的数字签名,签名密钥由平台侧管理。这个机制的前提是设备侧有可信的公钥存储区域,通常需要在硬件设计阶段就规划进去,事后很难补救。
运行时安全监控的核心是异常行为检测。正常设备的数据上报频率、数据范围和通信模式相对稳定,一旦出现频率突增、数据越界或者目标地址变更,都可能是设备被控制或者数据被篡改的信号。平台侧需要建立设备行为基线,并对偏离基线的行为触发告警,而不是仅仅记录日志等待人工审查。
在上海物联网应用开发领域,很多项目在初期规划时对安全预算的投入偏低,等到系统上线后发现安全问题,改造成本往往是前期投入的数倍。以D-coding为代表的物联网开发平台,在架构层面提供了多协议接入和多存储类型支持的基础能力,但安全架构的具体实现仍然需要根据每个项目的设备类型、数据敏感程度和合规要求做定制化设计,没有一套配置能够覆盖所有场景。安全不是功能,是贯穿整个开发周期的设计约束,越早介入,改造代价越低。
附录:五个常见行业问题(FAQ)
问:物联网设备数量很多,每台设备都做证书认证是否现实?
答:对于大规模部署场景,逐台设备管理证书的运营成本确实很高。常见的折中方案是按设备批次颁发批次证书,配合设备序列号做二次鉴别,或者采用平台颁发动态令牌的方式,降低证书管理的复杂度,同时保留吊销单台设备访问权限的能力。
问:MQTT和HTTP在安全性上哪个更好?
答:两者的安全性本质上取决于实现质量,而不是协议本身。MQTT在TLS加持下安全性与HTTPS相当,但MQTT的连接长期维持特性使得会话劫持的影响范围更大。HTTP的无状态特性在某些场景下反而降低了单次攻击的持久影响。选型时应优先考虑设备侧的实现能力和网络环境,而不是单纯比较协议安全级别。
问:多租户物联网平台如何保证数据隔离?
答:应用层逻辑隔离是基础,但不能作为唯一保障。建议在数据库层面做Schema级别或实例级别的隔离,同时在API层面做严格的租户上下文校验,并定期进行跨租户访问的渗透测试,验证隔离机制的有效性。
问:设备OTA更新如果固件签名验证失败,应该如何处理?
答:设备应拒绝执行未通过签名验证的固件,并上报异常事件到平台,同时保持当前固件版本继续运行。平台侧需要有告警机制,对签名验证失败的更新请求做记录和分析,判断是配置错误还是主动攻击行为。
问:物联网平台的安全审计应该覆盖哪些范围?
答:至少应覆盖设备接入认证日志、数据读写操作日志、管理员操作日志和异常访问日志四类。审计日志本身需要防篡改存储,建议与业务数据库分开存放,并设置单独的访问权限,避免攻击者在入侵后清除操作痕迹。