如果对物联网系统可信度的追求能够化解其潜在风险的话，那么物联网将会无所不在。

参照2016年10月的《美国计算机学会通讯》(Communications of the ACM) “洞悉风险”专栏（该期的主题是关于“自动化相关的风险”）提到的内容^[8]，物联网(IoT)将包含大量相互连接的设备，包括家用电器、公共设施、可穿戴设备、住宅与企业建筑、工业过程、医疗设备、执法设备、军事设备和其他一些需要联网的应用，这在今天几乎无法想象。本文中提到的“设备(Things)”是指物联网中那些已经被计算机化和网络化的设备。其中一些设备可以通过互联网直接进行访问，而另一些设备我们认为是隐藏在防火墙和地址转换路由器后面的局域网中。

目前已经出现了很多与物联网明确相关的风险。虽然其中有一些风险是存在已久并众所周知的，但是物联网前所未有的规模会带来更大的风险。在未来几年的时间里，估计将会有数以百亿计的设备加入物联网。同时还可能会出现一些其他新的风险，这源于设备是如何设计的，它们的用途是什么，如何部署和管理它们，以及市场的力量是如何影响其发展的？在这个专栏中，我们概述了其中的一些风险，以及如果物联网以合理的可信度(trustworthiness)等级产生预计的效益时可能发生的情况。本文所传递的信息不仅是用来警示计算机专业人员，同时也与每个物联网用户息息相关。

在物联网中，安全和隐私都是极其重要的，因为网络攻击一旦成功，将会带来一些潜在的后果，这可能会威胁到人类的生命安全，甚至直接或间接地造成死亡和破坏。当然，隐私侵犯行为也会对人身安全构成威胁，例如犯罪分子非法获取潜在受害者的个人信息。

设备开始助纣为虐

最近发生的分布式拒绝服务(DDoS)攻击事件^[7]证明，当前仍处于“初级阶段”的物联网中的漏洞是普遍存在的。包括闭路电视摄像机、有线机顶盒和数字录像机在内的许多设备在遭到破坏时，不知不觉地就会被变成为僵尸网络中的“肉鸡”。这里不得不提到一个重大的安全事件——恶意软件Mirai的广泛传播。这个软件可以扫描到那些有安全漏洞的用户设备，更为糟糕的是，该软件的源代码已被泄露。通过将美国网络域名服务器(DNS)提供商Dyn公司提供的DNS服务作为攻击目标，此类攻击会严重干扰用户访问一些主要的互联网服务，比如推特(Twitter)、亚马逊(Amazon)、汤博乐(Tumblr)、红迪网(Reddit)、声破天(Spotify)和奈飞(Netflix)。这次网络攻击事件一下子就暴露了众多危险冰山的一角。虽然早期使用恶意软件Mirai的DDoS攻击利用了成千上万台设备，但是根据Dyn公司的声明^[13]，似乎这种攻击涉及到了几千万台设备。这类攻击也说明，一些风险的发生是由于许多连接互联网的设备没有做好充足的安全防护而造成的。尤其是那些安全防护能力特别差的设备很容易被攻破，从而进一步加强了DDoS攻击的力量。这类攻击可以利用看似合法的请求来摧毁受害者的站点。需要注意的是，通常被攻破设备的所有者或用户并没有意识到他们的设备正在被利用来攻击其他系统。

安全防护能力弱

显然，许多设备在不知不觉间就成了DDoS攻击的帮凶，因为它们要么是没有真正地隐藏在任何类型的防火墙后面，要么就是默认防火墙配置的防护能力太弱，很容易被攻破。此外，一些被恶意软件Mirai感染的设备本身就是小型办公室路由器或者家庭办公路由器。虽然Mirai专门利用了Telnet/SSH服务中用户无法禁用硬编码密码的设计缺陷，但我们不应该将所有安全问题都归咎于任何一个薄弱环节，因为几乎每个物体都是潜在的薄弱环节。

今天，几乎每个和计算机相关的系统都有可能被攻破，或者很容易被滥用。从深度和广度方面看，我们都有很多不足，在深度方面更是无力抵抗攻击。因此，目前需要解决许多问题才能使物联网变得切实可行。我们需要考虑其中的一些问题，以及一些可能的补救措施。最终我们需要从整体系统的视角出发来考量设备中潜在的漏洞、防火墙安全性、网络连接、云服务（有些甚至不为用户所知）、互联网本身，以及所有用户和潜在的恶意用户。物联网本质上不是一个实体，实际上它包含了以上所有的实体，并且不可避免地依赖于它们。

我们认为，最近的这个DDoS僵尸网络“插曲”只是即将发生严重安全事件的一个预兆而已。未来的物联网风险将是无处不在的，其中包括和可信度相关的潜在风险。要化解这些风险必须解决物联网中的一些问题，例如人身安全、信息安全、可靠性、鲁棒性、恢复能力、功能互操作性、安装和使用的无缝便利性、对严重缺陷的快速自动修复、个人和机构的隐私、人员福利等，此外还有许多。

物联网风险的案例

拒绝服务(DoS)攻击是具有破坏性的，而为了任意操控而远程破坏设备的能力一定是极具危险性。物联网设备的使用会带来一些固有风险，以下是几个应用领域的例子：

医院和医疗机构，他们所使用的能够被远程控制的设备或者其他可以远程访问的设备通常有：患者监护仪、身体扫描仪、起搏器、除颤器、注射泵、主电源和辅助电源、照明设备和空调等等。

关键的基础设施部门，比如电力、石油、天然气、制造业和运输部门，这些部门通常将物联网设备作为传感器和执行器来实现自动化和远程监控。控制器本身是可以通过互联网进行访问的。

无人驾驶和自动辅助互联汽车，毫无疑问，它们应该被认为是物联网设备，特别是在未来的自动化高速公路上。最近发生了远程接管汽车重要部件的事件，充分暴露了物联网中存在的一些风险^[5]。

与通用计算机不同，物联网设备与物理世界的关联更加紧密。迄今为止，因入侵计算机而造成物理破坏的案例较少，但这很可能是物联网中需要高度关注的一个风险。不论是20世纪60年代众所周知的自毁程序事件（该程序可以驱动磁盘臂从而使磁盘驱动器自毁），还是2007~2010年的震网(Stuxnet)蠕虫病毒攻击事件（该病毒的设计似乎是为了摧毁核反应原料浓缩离心机，据报道已成功），这两次网络物理攻击事件利用的是设备的特性，而不是缺陷。物联网设备除了能控制开关、阀门和电机之外，现在许多物联网设备都是通过电池供电。这表明，可以远程控制某种设备使其过热，从而引起火灾或爆炸。如果车辆或医疗设备被恶意攻击者远程接管的话，那么在地球上任何能上网的地方，攻击者只需要点击鼠标就可以造成人员伤亡。操控传感器或植入错误信息都会间接地导致人身安全问题或健康危害，比如故意引起化学泄露、肆意破坏能源系统或随意更改车辆的行驶路线。因此，对于很多类型的设备而言，人身安全必须是首先要考虑的一个基本问题。

物联网设备和通用计算机之间的另一个关键的不同之处在于管理方式。对于台式电脑、笔记本电脑、平板电脑或智能手机而言，用户和设备之间存在频繁的交互，管理的概念始终存在。对于公司设备，系统管理员扮演着重要角色；而对于个人设备，用户通常自己充当管理员。然而，对于物联网设备，用户可能很少与之交互，“管理”的概念不像使用通用计算机那么清晰。

通用计算机，包括台式电脑、笔记本电脑、平板电脑或智能手机，采用的操作系统和应用软件很容易升级到新版本。然而，对于许多物联网设备来说，用户很难甚至无法进行升级。有些设备除非被召回、丢弃甚至遗忘，它们在整个使用寿命期间都和它在刚被交付时一样的运行。在一些情况下，设备的安全升级基本上是不可能的，或者是极其困难的。在另外一些情况下，可以通过互联网直接远程访问设备。任何升级机制必须确保安全，使得攻击者不能破坏正常的升级并植入他们自己的升级程序或攻击程序。

一些设备必须和用户交互，但由于其尺寸太小，导致无法使用触摸屏或键盘。因此，为了实现用户交互，这些设备要么借助另一种设备，如平板电脑或智能手机进行交互；要么使用其他新兴的交互模式，例如语音输入。对于语音接口而言，有时会出现语言歧义的问题，无所不在的设备在连续记录和处理语音对话时还会带来明显的隐私风险。从一个设备到另一个设备的信息转播或合成语音命令攻击也是一种值得关注的攻击渠道。音频接口还可以转变为人类无法感知到的超声波通信，有迹象表明在广告领域已经采用这种技术来跟踪用户^[9]。

通过阻断策划攻击的命令和控制服务器，一般就可以阻止僵尸网络的攻击，但单个物联网设备仍然处在被恶意操控的状态中，并且随时会被拉入一个新的僵尸网络中。这就带来很多问题。例如，谁来负责修复这些设备？如果一台联网的相机看起来工作一切正常，那它的所有者又有什么动力来不厌其烦地为其升级固件呢？重大事故发生时谁来承担责任？是设备制造商、销售商、部署设备的个人或组织、云端或后端通信提供商，还是不知情的设备用户？前面提到的这些角色都各自面临着一系列风险。

直到最近，涌入市场的竞争者考虑到了上述大多数风险，但是可信度却很少被关注。这种现实状况将会导致安全和隐私不幸被忽视。显然，必须改变这种情况，需要进行重要的、有远见的系统性考虑，尤其是针对那些风险出现可能性最大的地方。

面对风险

接下来我们尝试概括说明一些可能需要的步骤。正如前几期的“洞悉风险”专栏中所指出的，我们现在必须从整个系统的角度考虑风险问题。物联网需要更深入地关注整体系统的可信度，其中设备的安全只是一个方面，特别是因为在目前的计算机系统和网络中，本质上并没有真正的绝对安全。无情的现实让确保可信度这个问题变得更加困难。

我们在这里列举了几个步骤，可能会对开发者、管理员和用户有所帮助。然而，我们明确地告诉大家，这个总结仅仅是一个基本的起步而已，其本质上还是不完整的。这可能并不奇怪，因为该总结需要基本符合美国国家科学院计算机科学技术委员会(National Academies¡¯ Computer Science and Technology Broad)的系列报告，报告的时间范围是从过去的几十年一直到最近^[2]。此外，美国国家标准与技术研究院(NIST)的专刊出版物800-160（2016年11月）的“计算机安全资源 ”¹ 里面提到了一些解决重要工程问题的方法。处在物联网的大背景下，我们需要重新强调“洞悉风险”专栏系列里已经广泛讨论过的、并且与本文的主题息息相关的许多话题。

有些物联网设备的简单应用程序是运行在裸机上的，也就是说，设备上没有一个通用的操作系统。还有些设备可能只需要简单的操作系统用于满足一些专门的需求，比如保证实时性。而另外有些其他设备可能需要完备的操作系统才能运行。因此，考虑到经济原因和操作效率，软硬件具有可扩展性可能是非常必要的。不论是小型处理器上的微操作系统，还是用于整个企业设备集中控制的大型可重复编程环境，它们都属于操作系统的范畴。类似地，从不可能有软件更新的嵌入式硬件（除了可能的召回和远程升级）到具有灵活的开发环境和编程语言支持的设备，都需要一系列的开发支持。因此，编程语言和编译器要能同时适应或十分简单或非常复杂的环境。关注更高的可信度是非常重要的，特别是在将潜在的不安全应用嵌入到仍然可信的环境中的场合。

用户通常缺乏专业知识和耐心，除了应对复杂问题的能力有限以外，对极端状况的了解也知之甚少。因此，对于物联网设备及其控制器的用户界面的设计和实现，我们需要给予高度的关注。界面需要非常易于使用，最好是直观且显而易见的，对缺乏技术背景的人是友好的，以及每个用户可以自行配置。现有设备（比如传统的灯泡、烤面包机等）被物联网化后容易管理，但问题是，这些计算机化的设备一旦出现故障，可能就会变得完全无法使用。更糟糕的是，目前出了机械故障的设备用手动方式无法让其恢复工作。全自动汽车就是一个很好的例子，如果电源耗尽或者汽车落入水中的话，那么就无法从内部打开车门。另外一个例子是，如果冰箱的设备控制器已经崩溃或被攻击，那么冰箱门也无法打开。因此能够感知故障的技术显得尤为重要。

从顾客的角度来看，无缝安装和集成的需求虽然是至关重要的，但这也不应成为忽略安全性的一个理由。这里提到的主要风险之一就是普遍追求简单化。例如，为了简单，设备的性能指标仅仅是勉强满足了标准和期望值，或者对易于安装和易于使用不重视。需要一套标准便于涉及众多不同厂商设备的互操作安装。设备间的连接协议不应该像目前的那样过于简单且不安全。

除非确实需要访问外网并且可以确保充足的防护，家庭或企业内部的任何局域网必须与互联网和其他外网进行适当的隔离。在某种程度上，某些系统和设备必须对来自内部的滥用具有可恢复性和抵抗性，这一点对于家庭而言可能不像对企业一样那么重要。另一方面，针对外部滥用，互联网防火墙必须比现在更加坚固。理想情况下，固定密码和默认加密密钥最好不要存储在设备中（尽管这种情况现在普遍存在），因为它们确实会被Mirai这样的恶意软件所利用。然而，也会存在这样的情况，我们无法实现可信赖的升级，这时召回可能是唯一的选择。为了正常实施召回，防火墙可能需要识别来自被召回的和/或被破坏的设备的流量，并阻断通信以保护互联网上其余的系统。

此外，对于导致严重风险的明目张胆的违规做法，我们必须考虑监察、消费者保护、规范和追责等方面的需求。由于软件可以通过“智能”的物联网设备快速进入到我们的物理世界中，我们不能再接受这样的观念：软件交付时是什么样就是什么样，不需要对缺陷的后果负责。对于那些有可能造成人身伤亡的电子产品来说，它们通常需要服从某些形式的政府监管和测试，从而保护消费者。当产品的安全操作取决于其软件是否安全和可靠时，监管需要解决产品安全方面的问题。此外，还需要明确所有相关人员的责任。例如，由于黑客攻击安装在家里的物联网设备，或者是疏于对技术设备的防护，用户的家被烧毁了，保险公司是否会因为没处理已知漏洞，或甚至根据预先存在条件而拒绝赔付？

总之，我们需要一些可信度高的硬件和软件组件，以及比目前更好的开发和部署，从而使物联网能够充分达到人身安全、信息安全、可靠性、可用性和用户满意的要求。

一些具体的努力

目前，我们非常需要研究一些类型的物联网设备，用作研发中的原型，并尝试确保所有合理的风险至少应该可以被化解。我们可以从几个非常成功的案例中吸取经验，为今后的研究铺平道路。系统工程、硬件工程和软件工程的结合，谨慎的应用开发，可能还需要一些形式化的分析来提供更好的保障，上述环节对于每一个在物联网市场的竞争者来说都将是极有价值的。因此，一些精心设计、发展良好、值得信赖的系统会被很好地保存下来，这将为其他开发者提供非常好的案例。一个记录在案的有原则的安全设计案例是一个虚拟的可穿戴健康跟踪系统，这个系统是由IEEE网络安全先导计划(IEEE Cyber-security Initiative)领导下的IEEE安全设计中心(IEEE¡¯s Center for Secure Design)研制的^[12]，现在看来可谓是朝那个方向迈出了重要的一步。

向开发者提供工具和知识来构建系统的安全性、隐私性、可靠性和可信度也是非常重要的。对于物联网系统的开发者来说，他们所掌握的安全专业知识不应该比传统的软件开发人员少，这一点显得尤为重要。我们已经认识到了这一需求，并为之付出了一些自己的努力来改善这种状况，比如召开新的IEEE网络安全发展会议(IEEE SecDev)^[3]，在斯坦福大学国际研究院开展物联网安全和隐私方面的战略独立研发先导计划。

未来的一些想法

今天，当涉及到计算机技术的掌握、运用能力和访问权限的时候，越来越多的人对此都非常熟悉。我们不能仅仅因为一些人无法正确使用某些技术，而拒绝向他们提供必需的服务。最重要的是，我们都有进一步提高计算机素养的强烈需求。

这里讨论的很多风险也好，需求也罢，都不仅仅局限于物联网，而是与计算机打交道时面临的共同问题。然而，我们必须把无人驾驶车辆可以看作是发展中的自动化高速公路上的设备，把自动化飞机也看作是设备，并且在相同的基本背景下对它们一视同仁。物联网的概念正变得更加深入人心，无论是在家庭、车辆还是可穿戴设备中都可以见到它的身影。在这个意义上，物联网在一定程度上和每一个人都息息相关。甚至对于那些不愿意购买物联网驱动的家用电器的人们来说，他们最终可能因为别无选择而被迫购买。

今天看来，关于处理人身安全和信息安全的所谓明智建议需要有很大的改进。例如，我们熟悉以下建议，但未必每个人都遵循它们：警惕社会工程、恶意营销者、廉价的解决方案！不要点击可疑的链接！不要在社交媒体上公布私人信息！最好坚持采用最佳的安全实践！新的风险将会更加广泛地存在，我们要决定在物联网的世界中合理的安全警告和共识是什么样子的。的确，人们将对物联网充满争议，除非政府、标准委员会、设备承办商、设备基础设施（包括互联网本身）、用户社区共同协作，做出重大努力。在更深层次的背景下对此问题的讨论，请参阅最近美国国会发布的有关宣言^[4,10]。此外，国土安全部^[11]和宽带互联网技术咨询集团(BITAG)^[6]的建议中也提出了所谓的最佳实践。然而，正如我们在早期的“洞悉风险”专栏中所指出的，即便是最佳实践方法也通常离“足够好”相去甚远。

根据“门垫下的钥匙”（注：美国人喜欢将自家备用钥匙放在门外地垫下面，意指为了图方便而忽略了安全防护意识）这个报告^[1]提到的，未来将会有数十亿的物联网设备配备有传感器，并且连接到互联网，这不仅对任何一个想要通过收集数据来实现管理智能化和证据数字化的组织来说是极大的诱惑，也会被那些想要利用设备传播DDoS攻击（或其他恶意企图）的组织所青睐。如果出于这样的目的（即为了方便）而忽视网络安全和加密，那么所带来的风险将是巨大的，尤其是涉及到物联网的时候。

关于这个话题，除了本文提到的内容之外，其实还有更多可以讨论的方面。然而，本专栏只是起到一个抛砖引玉的作用。总的来说，这个问题不好回答，但是现在又有一些迫在眉睫的问题已经出现了。

结论

    针对不断发展的物联网，本文主要描述了其存在的一些问题和潜在风险。至于物联网及其设备的规模是否可以像树苗一样生根发芽（并在未来的道路上茁壮成长、枝繁叶茂），还是像鲟鱼一样（在未被捕获的情况下，竞争力强的鲟鱼有时可以存活长达20年之久），抑或是更像雌性鲑鱼一样（一旦产卵其寿命就会变得很短），在这一点上我们还要拭目以待。无论如何，我们需要的不仅仅是一个“外科医生”来帮忙解决问题（修复设备）。渐进的改变不太可能成功（事实上，这么多年来效果一直不明显），我们可能需要某种根本上的改变。除非我们积极主动地去多给予一些关注，来决定可以明智地实际利用哪些设备，哪些设备又具有很高的风险，否则未来可能是极其不确定的。我们必须确保那些有益的设备可以被集成到整体系统的可信度中去（我们目前还没有做到）。因此，我们需要努力让物联网变得真正实用起来，然后进一步努力确保其发挥作用的时候还拥有适当的可信度。■

脚注：

*本文译自Communications of the ACM, “The Future of the Internet of Things”, 2017, 60(2): 26~30一文。

1参见https://doi.org/10.6028/NIST.SP.800-160。

参考文献

[1] Abelson H, Anderson R, Bellovin S M, et al. Keys under doormats: mandating insecurity by requiring government access to all data and communications[J/OL]. Journal of Cybersecurity, 2015(1):69-79. (2015-11-17).https://academic.oup.com/cybersecurity/article/1/1/69/2367066/Keys-under-doormats-mandating-insecurity-by.

[2] Computer Science and Technology Board, National Academies of Science, Engineering, and Medicine[R]. Foundational Science for Cybersecurity, final report. 2017.

[3] Cunningham R, Gupta P, Lindqvist U, et al. IEEE SecDev 2016: Prioritizing Secure Development[J/OL]. IEEE Security and Privacy, 2016, 14(4): 82-84. https://www.computer.org/csdl/mags/sp/2016/04/msp2016040082.pdf.DOI: 10.1109/MSP.2016.71.

[4] Fu K. Infrastructure Disruption: Internet of Things Security, Testimony before the U.S.[OL]. (2016-11-16).https://energycommerce.house.gov/hearings-and-votes/hearings/understanding-role-connected-devices-recent-cyber-attacks.

[5] Greenberg A. Hackers remotely kill a Jeep on the highway--With me in it[J/OL]. Wired.(2015-07-21). http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/.

[6] Broadband Internet Technical Advisory Group(BITAG).Internet of Things (IoT) Security and Privacy Recommendations[R/OL].(2016-11) http://www.bitag.org/documents/BITAG_Report_-_Internet_of_Things_(IoT)_Security_and_Privacy_Recommendations.pdf.

[7] Krebs on Security[OL]. (2016-10-21).https://krebsonsecurity.com/2016/10/hacked-cameras-dvrs-powered-todays-massive-internet-outage/.

[8] Neumann P G. Risks of automation: a cautionary total-system perspective of our cyberfuture[J].Communications of the ACM, 2016, 59(10):26-30.

[9] Newman L H. How to block the ultrasonic signals you didn't know were tracking you[J/OL]. Wired.(2016-11). https://www.wired.com/2016/11/block-ultrasonic-signals-didnt-know-tracking/.

[10]Schneier B. Testimony before the U.S.[OL].(2016-11-16),https://energycommerce.house.gov/hearings-and-votes/hearings/understanding-role-connected-devices-recent-cyber-attacks.

[11]Department of Homeland Security .Strategic Principles for Securing the Internet of Things [OL]. (2016-11-15).https://www.dhs.gov/securingtheIoT.

[12]West J, et al. WearFit: Security Design Analysis of a Wearable Fitness Tracker[OL]. (2016-02-17) http://cybersecurity.ieee.org/blog/2016/02/17/wearfit-security-design-analysis-of-a-wearable-fitness-tracker/.

          [13] York K. Dyn Statement on 10/21/2016 DDoS Attack[OL]. (2016-10-22). http://dyn.com/blog/dyn-statement-on-10212016-ddos-attack/.