就在不久之前，物聯網(IoT)的熱潮遠勝于對其安全性的冷靜探討。jMoesmc

數十億設備在未充分考量生命周期管理、配置和補丁更新的情況下被推向市場。如今，當這些設備融入關鍵基礎設施時，是時候彌合這些安全漏洞了。jMoesmc

2025年物聯網大會(The Things Conference)期間，在《國際電子商情》姊妹平臺《EE Times Europe》的獨家專訪中，三位行業專家從不同角度闡述了應對安全威脅的解決方案。他們的觀點共同勾勒出物聯網安全的發展現狀，并指明了未來需要采取的關鍵措施。jMoesmc

一系列錯誤引發了諸多質疑

jMoesmc

圖1：Johan Stokking在2025年物聯網大會上演講jMoesmc

The Things Industries聯合創始人兼首席技術官Johan Stokking直言不諱地指出了行業中仍存在的典型錯誤。他在接受采訪時表示：“最糟糕的做法之一是為多個設備使用同一密鑰，或從公開數據(如直接復制設備標識符)中派生密鑰。”jMoesmc

LoRaWAN采用對稱密鑰設計，這意味著設備制造商與網絡運營商之間必須安全地分發密鑰‌。然而現實中，這些密鑰常被通過電子郵件傳遞的Excel文件管理，甚至在某些郵箱中留存數年。一旦密鑰泄露，系統將無法實現密鑰輪換。jMoesmc

行業正朝著更安全的方案演進。LoRa聯盟正在標準化非對稱加密技術，并通過部署“Join服務器”實現會話密鑰的動態簽發，從而避免根憑證的暴露。jMoesmc

通過與Microchip技術公司等合作提供的安全元件(Secure Elements)，可將根密鑰嵌入防篡改硬件中。但這種安全元件的普及程度參差不齊。“成本仍是主要障礙，”Stokking指出，“防篡改安全元件會使物料清單增加60-70美分，對于低利潤的物聯網設備而言，這可能成為致命短板。”jMoesmc

核心結論顯而易見：即便協議本身強制加密，密鑰的生成、分發及全生命周期管理等配套流程，才是實際安全性的決定性因素。若缺乏規范的密鑰預置機制，系統安全仍不堪一擊。jMoesmc

當Stokking聚焦于預置機制時，Thistle Technologies公司CEO Window Snyder則指出了另一項長期存在的薄弱環節——更新機制。當被問及“采購團隊應要求哪些不可妥協的功能”時，她表示：“‌必須支持更新‌。缺乏健全且可信賴的更新機制的設備，在其整個生命周期內根本不可能實現安全防護。”jMoesmc

jMoesmc

圖2：搭載Optiga Trust-M安全元件的Grinn GenioBoard(正面)，由Thistle Technologies提供原生支持 圖片來源：Thistle TechnologiesjMoesmc

Snyder親眼目睹過失敗的更新如何讓企業陷入癱瘓：“如果是汽車，必須返廠維修；如果是工業設備，可能導致產線停擺；如果是醫療設備，可能危及患者健康；如果是衛星，后果將不可挽回。”嵌入式系統對更新失敗的容忍度趨近于零。jMoesmc

Snyder指出，Thistle Technologies的使命是簡化底層安全機制——安全啟動、固件簽名驗證和可靠回滾——這些機制對多數設備團隊而言難以獨立實現。許多物聯網開發者缺乏硬件安全領域的專業知識。jMoesmc

若由各團隊自行針對不同芯片組重構和更新系統，將導致方案碎片化與安全妥協。Snyder主張提供可復用的庫與服務，即使缺乏深厚安全技術儲備的團隊也能構建具備韌性的系統。jMoesmc

她更深刻的觀點在于文化層面：設備制造商必須認識到，可靠的更新機制絕非可選功能，而是長期安全架構的基石。jMoesmc

Nordic Semiconductor遠距離產品總監Kristian Saether指出，客戶需要充分利用芯片廠商提供的安全原語。盡管Nordic Semiconductor已將安全密鑰存儲、密鑰生成、工廠預置設備身份認證及非對稱加密技術集成至其SoC中，但Saether表示客戶并非始終啟用這些功能。物聯網發展進程緩慢，許多企業仍在構建自研的固件更新系統。真正推動技術落地的，其實是合規要求。jMoesmc

Saether認為安全連接主要有兩種實現模式：其一是私有網絡，客戶需自主決定(有時還需自行部署)防護方案；其二是公共蜂窩網絡，其協議安全性大多已標準化并內置。無論哪種模式，硬件加速加密都更具優勢，原因包括性能提升與能效優化等。jMoesmc

Saether強調務實精神：并非所有“低智能”物聯網傳感器都需要完整的安全元件，但處理支付或個人數據等復雜設備則必須配備‌。jMoesmc

Nordic Semiconductor提供了Trusted Firmware-M和TrustZone的參考實現方案，使開發者能夠分離安全代碼與非安全代碼。通過最小化可信計算基(Trusted Computing Base)的設計原則，可有效降低密鑰管理、安全啟動及固件更新等關鍵功能中潛在漏洞的引入風險。jMoesmc

每位專家均指出了令人警醒的現實案例。Stokking舉例說明，企業有時會收到出廠時將根密鑰明文打印在紙張上的設備，這些密鑰可能被多個設備共享使用。另一案例中，采用過時協議的網關設備因未加密導致管理接口暴露，存在安全風險。jMoesmc

Snyder提到，她曾見過因固件更新故障導致設備變磚的案例——本可通過完善的回滾機制避免此類召回或現場故障。她同時強調，更新機制缺乏可靠性會引發隱性成本：當廠商對更新機制信心不足時，往往會延遲(或暫緩)補丁推送，致使設備群組長期暴露于風險之中。jMoesmc

Saether指出，當前許多部署仍依賴共享對稱密鑰，原因僅僅是“操作簡便”，不過這種捷徑實則會轉化為長期隱患。他預測，監管機構將不僅要求設備出廠時默認啟用可信身份認證、安全啟動及簽名更新機制，還將強制廠商提供至少五年的補丁支持計劃。jMoesmc

一套新的防護措施正在興起，同時伴隨最佳實踐的形成

三位專家均表示，監管是必要的推動力。Snyder指出，歐盟《網絡彈性法案》(Cyber Resilience Act，簡稱CRA)是目前最全面的框架體系。盡管美國存在行業特定法規，但尚無能與歐盟要求相匹敵的規模。她認為，由于全球設備制造商無法承擔產品線分叉的成本，最終將使全球消費者受益。“一旦設備制造商為進入歐洲市場完成安全升級，便不會為其他市場削減這些安全功能，”她強調。jMoesmc

Saether對此表示贊同，并指出歐盟《網絡彈性法案》將強制廠商證明其設備至少具備五年的支持能力。這一要求將提升行業安全基準，并加速標準化服務、設備管理平臺以及安全啟動和零接觸配置等機制的普及。jMoesmc

與此同時，Stokking警告稱，認證程序必須演進，以覆蓋設備配置和所有權轉移等現實場景中的復雜流程。否則，不安全操作將在合規的外衣下持續存在。jMoesmc

物聯網安全問題具有多重性。配置錯誤、更新機制不可靠以及硬件保護功能閑置，各自形成了不同的攻擊面。但這些并非相互對立的敘事，而是互為補充的。jMoesmc

Stokking指出，即使像LoRaWAN這樣設計完善的協議，也可能因密鑰管理疏漏而失效。Snyder強調，無論配置過程多么謹慎，漏洞終會被發現，唯有健全的更新機制才能應對。Saether則闡明，若客戶愿意采用，芯片與標準的作用在于讓正確選擇更易實現。jMoesmc

他們共同勾勒出前進路徑：安全必須從設備誕生的第一天起就內置于其中，默認啟用，并在產品全生命周期持續維護。法規正在提高安全底線，但最終仍需供應商、集成商和開發者切實執行。jMoesmc

展望未來，新的挑戰已然浮現。Stokking指出，干擾等理論性風險以及更嚴格的加密法規要求(包括抗量子算法)正成為關鍵議題。jMoesmc

Snyder警告稱，隨著邊緣設備承載寶貴的AI模型，通過硬件可信根(Roots of Trust)進行保護將變得至關重要。Saether則表示，他預見大規模安全體系將發生對稱加密向非對稱加密的轉變，而量子計算已近在眼前。jMoesmc

物聯網安全的啟示在于：它絕非一次性合規任務，而是持續演進的學科。今日部署的設備十年后仍將服役，而它們面臨的威脅也會不斷演變。確保配置正確、更新機制可靠并采用硬件級防護僅是起點，真正的挑戰在于長期維持這些安全措施。jMoesmc

jMoesmc