Microchip安全認證讓LoRa技術從此再無漏洞

在2018年MEMS執(zhí)行大會上，MITRE公司首席網(wǎng)絡安全工程師Cynthia Wright就網(wǎng)絡安全發(fā)表了號召行動的主題演講。此外，去年夏天我去加拿大溫哥華的時候也提醒了我LoRa安全的重要性。我們聽到谷歌云物聯(lián)網(wǎng)產品管理主管Antony Passemard表示，LoRa聯(lián)盟圍繞互操作性和開放性的愿景，即構建全球最開放的云，實現(xiàn)更快的創(chuàng)新和更緊密的安全。

在這個物聯(lián)網(wǎng)時代，聯(lián)網(wǎng)設備正受到黑客加速軟件的攻擊。信任／身份驗證在所有網(wǎng)絡中都是至關重要的，因為黑客的技術越來越高超，他們可能處于虛榮心或者因為國際或企業(yè)的間諜活動和破壞為目的進行破壞。

當前的安全狀況

目前，LoRa基于預共享密鑰（PSK）體系結構，但這還不足以解決網(wǎng)絡安全基礎問題

設備漏洞

在現(xiàn)有的LoRaWAN系統(tǒng)中，身份驗證密鑰通常存儲在閃存中。黑客可以訪問這些密鑰，并輕松的偽造這些密鑰，從而深陷設備身份被盜的風險。

后端漏洞

在LoRaWAN 1．0x中，一個AppSKey可以由擁有該AppKey的網(wǎng)絡服務器提供者派生，因此可以解密相關的客戶數(shù)據(jù)。此外，應用服務器提供者可以使用AppKey派生NwKSKey并克隆LoRaWAN端節(jié)點。

LoRaWAN 1．1改進了后端安全性，當擁有AppKey時，只派生AppSKey。而且，對于NwKKey，只能派生NwkSKey。然而，AppKey和NwKKey之間仍然可以互相訪問，并向軟件和人員公開，但這需要更多的安全措施。

重鍵漏洞

我們需要了解如何在全局范圍內將密鑰從網(wǎng)絡傳輸?shù)骄W(wǎng)絡服務器，以及從應用程序傳輸?shù)綉贸绦蚍掌鳌Ｇ疤崾俏覀兪紫刃枰獜椭泼荑€來移動它，然后我們需要信任它之前的網(wǎng)絡。

在服務器解決方案中，我們需要重新鍵入。這可以在應用程序或網(wǎng)絡服務器中生成，但仍然會有受到軟件攻擊的風險。

在節(jié)點解決方案中，我們還需要重新鍵控。如今，新密鑰在服務器之間可通過云端推送，但它仍然暴露在微控制器中，并且是由不受信任的、未經驗證的根密鑰創(chuàng)建的。

供應鏈從人為到服務器之間的漏洞

LoRaWAN中安全身份驗證中的漏洞