在2018年MEMS執(zhí)行大會上，MITRE公司首席網(wǎng)絡(luò)安全工程師Cynthia Wright就網(wǎng)絡(luò)安全發(fā)表了號召行動的主題演講。此外，去年夏天我去加拿大溫哥華的時候也提醒了我LoRa安全的重要性。我們聽到谷歌云物聯(lián)網(wǎng)產(chǎn)品管理主管Antony Passemard表示，LoRa聯(lián)盟圍繞互操作性和開放性的愿景，即構(gòu)建全球最開放的云，實現(xiàn)更快的創(chuàng)新和更緊密的安全。

在這個物聯(lián)網(wǎng)時代，聯(lián)網(wǎng)設(shè)備正受到黑客加速軟件的攻擊。信任／身份驗證在所有網(wǎng)絡(luò)中都是至關(guān)重要的，因為黑客的技術(shù)越來越高超，他們可能處于虛榮心或者因為國際或企業(yè)的間諜活動和破壞為目的進(jìn)行破壞。

當(dāng)前的安全狀況

目前，LoRa基于預(yù)共享密鑰（PSK）體系結(jié)構(gòu)，但這還不足以解決網(wǎng)絡(luò)安全基礎(chǔ)問題

設(shè)備漏洞

在現(xiàn)有的LoRaWAN系統(tǒng)中，身份驗證密鑰通常存儲在閃存中。黑客可以訪問這些密鑰，并輕松的偽造這些密鑰，從而深陷設(shè)備身份被盜的風(fēng)險。

后端漏洞

在LoRaWAN 1．0x中，一個AppSKey可以由擁有該AppKey的網(wǎng)絡(luò)服務(wù)器提供者派生，因此可以解密相關(guān)的客戶數(shù)據(jù)。此外，應(yīng)用服務(wù)器提供者可以使用AppKey派生NwKSKey并克隆LoRaWAN端節(jié)點。

LoRaWAN 1．1改進(jìn)了后端安全性，當(dāng)擁有AppKey時，只派生AppSKey。而且，對于NwKKey，只能派生NwkSKey。然而，AppKey和NwKKey之間仍然可以互相訪問，并向軟件和人員公開，但這需要更多的安全措施。

重鍵漏洞

我們需要了解如何在全局范圍內(nèi)將密鑰從網(wǎng)絡(luò)傳輸?shù)骄W(wǎng)絡(luò)服務(wù)器，以及從應(yīng)用程序傳輸?shù)綉?yīng)用程序服務(wù)器。前提是我們首先需要復(fù)制密鑰來移動它，然后我們需要信任它之前的網(wǎng)絡(luò)。

在服務(wù)器解決方案中，我們需要重新鍵入。這可以在應(yīng)用程序或網(wǎng)絡(luò)服務(wù)器中生成，但仍然會有受到軟件攻擊的風(fēng)險。

在節(jié)點解決方案中，我們還需要重新鍵控。如今，新密鑰在服務(wù)器之間可通過云端推送，但它仍然暴露在微控制器中，并且是由不受信任的、未經(jīng)驗證的根密鑰創(chuàng)建的。

供應(yīng)鏈從人為到服務(wù)器之間的漏洞

LoRaWAN中安全身份驗證中的漏洞