标签如何保护物联网

我们需要标签。就我个人而言，标签的存在对我的健康绝对至关重要。DigiCert数字信任副总裁 Mike Nelson 表示，我需要它们了解我所吃食物的营养成分，并确定服用多少胰岛素。

我们可能没有注意到这一点，但产品标签通常对我们的人身安全至关重要。它向我们展示了食物的营养成分，让我们了解电器产品的效率以及我们在家中使用的工具和产品的安全性。

标签使我们能够从根本上了解我们所购买的商品，进而让供应商对我们的消费选择负责。在美国，物联网设备很快也将受到相同的要求。事实上，白宫国家安全委员会很快就会推出针对物联网产品的新标签要求。

在此之前，白宫于 2021 年发布了一项行政命令，指示美国国家标准与技术研究院 (NIST)创建物联网标签计划。

这些新要求预计将在未来几个月内推出，但有关物联网标签计划可能要求的细节仍然很少。

为什么这很重要

物联网的潜力范围广泛，适用范围广泛，从城市改造传感器阵列到自动驾驶汽车，再到会说话的儿童玩具。因此，全球设备数量正在蓬勃发展。事实上，根据IHS Markit 的数据，到 2030 年，设备数量将达到 1250 亿台。

物联网设备爆炸式增长的不幸现实是它们通常非常不安全。漏洞和不安全的设计决策从一开始就困扰着该领域，尽管人们越来越意识到其风险，但它的许多弱点在新设备中顽固地重现。

这些问题对于用户来说基本上是不透明的，他们盲目地购买物联网设备并将其带入家中，而没有意识到其潜在的风险。

这就是为什么标签可能成为使物联网更加安全的重要一步——它是数字信任向消费者领域的根本延伸。标签使我们能够了解我们正在参与的内容，而无需必要的技术知识或能力来自行评估它们。

标签要求

有关标签计划的具体细节尚未公布。然而，NIST 于 2022 年 2 月发布了有关最低安全要求的建议。

至关重要的是，他们将物联网设备视为系统的一部分，任何标签考虑都必须扩展到该系统。其中包括物联网设备本身，还包括其组件和设备运行所需的系统，例如移动应用程序或专用网络硬件。

这些建议还指出了一些用于资格认证的基线标准。其中第一个是“资产识别”，即设备可以由客户和相关机构进行唯一识别。这可以通过在制造阶段使用数字证书分配设备身份来实现。它还补充说，物联网产品必须识别每个物联网产品组件并维护最新的库存。

然后，NIST 建议物联网设备和适用的组件是可配置的，例如由授权个人（例如客户）恢复到默认安全设置的能力。这将帮助用户根据自己的需求定制安全设置。

数据保护是另一项重要建议。NIST 的报告宣称，物联网产品及其组件可保护存储和传输的数据免遭未经授权的访问。这可以通过数字证书来完成，以维护该数据的机密性、完整性和可用性。

该报告还建议，设备必须能够使用安全且可配置的机制接收、验证和应用软件更新。这可以通过代码签名证书来实现，代码签名证书可以帮助验证有效更新并阻止伪装成更新的恶意软件包，这是攻击物联网设备的关键向量。

物联网产品还必须记录设备及其组件的安全状态信息，以便在出现安全风险时向客户发出警报。

这些是确保物联网设备安全所需采取的重要步骤，但关于美国新标签计划将如何进行仍有许多悬而未决的问题。

标签会表明什么？

NIST 已经讨论了以二进制方式发放标签的可能性，这意味着设备将根据其是否合格而获得标签。然而，美国只是几个启动物联网标签的国家中最新的一个。

对于自己的物联网标签计划，新加坡为其标签系统下的设备建立了四个分级。第一个也是最低的表示该设备已满足 ETSI EN 303 645 标准的基线要求。第二个表明该产品包含安全生命周期功能并遵循“安全设计”功能。第三个表示该设备已经过第三方实验室的软件二进制分析，并且不存在已知的常见软件漏洞。新加坡系统内的最终最高标准表明，该设备已经过进一步的渗透测试，以证明其对常见网络攻击的抵抗力。

静态标签与自适应标签

良好的网络安全是一个不断变化的目标。因此，随着新威胁和漏洞的出现，静态标签可能无法适应如此快的节奏。能够适应如此快速度的自适应标签可能是最好的前进方向。这可以以二维码的形式出现，用户可以扫描二维码来访问网页，该网页可以轻松解释安全风险并根据需要进行更新。

适应物联网多样性

物联网涵盖从智能水壶到智能城市的各种用例，仅这两个用例就有自己的考虑因素和要求。标签标准必须适应设备类型和用例的多样性，并且足够灵活，以便为不同设备提供不同的解决方案。

供应链呢？

私营部门制定了自己的标签标准，这可能为美国计划的最终结果提供线索。Matter 是连接标准联盟 (CSA)和一系列硅谷巨头之间开发的，旨在引入智能家居设备之间的互操作性和安全通信。

为了获得 Matter 标签的资格，开发人员需要设计具有分层安全方法和一定级别的加密敏捷性的设备。然而，Matter 真正的优势在于它在物联网供应链中使用 PKI 和数字证书。

物联网的许多各种安全问题都出现在其多方面且复杂的供应链中。各种制造商、开发商和供应商可能没有安全背景，因此许多人可能会使用不安全的组件和设计实践，或者忽视许多原本可以保证设备安全的最佳实践。获得 Matter 标签的资格要求物联网设备通过证书嵌入设备身份，然后可以在整个供应链中验证该设备身份并到达消费者手中。供应链问题是物联网不安全的一个关键原因，美国政府的计划应该提出相应的要求。

尽管美国政府物联网标签计划的许多细节仍不清楚，但将物联网标签引入全球最大消费市场的决定应该受到广泛欢迎。消费者多年来一直在购买物联网产品，但往往对固有风险一无所知。当消费者可以在此基础上做出决策时，他们不仅能够为良好的安全性创造市场激励，而且数字信任可以成为物联网产品的关键要求。

　　图片使用申明：原创文章图片源自‘Canva可画’平台免费版权图片素材；引用文章源自引用平台文章中所使用的原图。