自2002年以来,zigbee联盟及其成员公司一直致力于为构建低功耗无线物联网(IoT)的可互操作产品创建标准、认证计划和测试工具。迄今应用zigbee标准的设备数量在全球已经超过十亿。我们完全了解安全环境在变化不断,所以为我们的成员提供了整套的安全工具应用于其产品。随着zigbee 3.0标准(现简称zigbee)在2016年初发布,我们为产品开发者和IoT生态系统中的不同厂商提供了增强版的安全工具,以便构建更为牢固的网络,及在网络安全和部署便捷之间做适当的权衡取舍。 zigbee联盟密切关注行业安全趋势,并与研究人员和 “白客”们一起不断作出更新,以确保领先于那些新兴的威胁。
zigbee解决方案基于联盟广受赞誉的zigbee PRO mesh网络协议,具备多项针对当今市场和不断演化的风险环境设计的安全新功能,比如包含了最初为zigbee Smart Energy智慧能源标准开发的安全功能,该功能已在全球数以亿计的电表中得到应用,至今未发现存在安全漏洞。我们与领先的无线安全专家合作推出的业界领先的安全工具帮助我们成员开发了一些迄今最为安全的无线设备。这些新功能包括:
入网时的设备唯一身份验证
网络运行期间的密匙更新
空中固件升级(OTA)的安全措施
基于连接的逻辑加密
安全模式
为了适应不同的应用场景,并确保在安全性、易用性、成本效益和电池寿命之间获得最佳平衡,zigbee提供两种网络架构和相应的安全模式:分布式网络和集中式网络,两者之间的区别在于它们解决IoT网络基本需求的方式不同,即:如何让新设备加入网络以及如何保护网络上传送的消息。
(1)分布式安全模式的系统较易配置,包括两种设备类型:路由器和终端设备(见下图)。如果zigbee路由器在启动时没有检测到已有网络,那它可以自主生成分布式安全网络。在分布式网络中,任何路由器都可以发送网络安全密钥(network key,网络消息的加解密钥,译者注)。随着更多的路由器和终端设备加入网络,已经存在于网络的路由器会以安全的方式发送网络密钥。网络上的所有设备都使用相同的网络密钥来加密消息。
(2)集中式系统具备更高的安全性,其包括第三种设备类型—— 信任中心(Trust Center),通常情况下实现于网络协调器(见下图)。 TC组成集中式网络,只有路由器和终端设备拥有相关证书时才允许其加入网络。在集中式网络中,TC是发布加密密钥的设备。在每个设备(或者一对设备)入网时,TC还会发布唯一的TC连接密钥(Link Key)。
