在2018年MEMS執(zhí)行大會(huì)上，MITRE公司首席網(wǎng)絡(luò)安全工程師Cynthia Wright就網(wǎng)絡(luò)安全發(fā)表了號(hào)召行動(dòng)的主題演講。此外，去年夏天我去加拿大溫哥華的時(shí)候也提醒了我LoRa安全的重要性。我們聽(tīng)到谷歌云物聯(lián)網(wǎng)產(chǎn)品管理主管Antony Passemard表示，LoRa聯(lián)盟圍繞互操作性和開(kāi)放性的愿景，即構(gòu)建全球最開(kāi)放的云，實(shí)現(xiàn)更快的創(chuàng)新和更緊密的安全。

在這個(gè)物聯(lián)網(wǎng)時(shí)代，聯(lián)網(wǎng)設(shè)備正受到黑客加速軟件的攻擊。信任／身份驗(yàn)證在所有網(wǎng)絡(luò)中都是至關(guān)重要的，因?yàn)楹诳偷募夹g(shù)越來(lái)越高超，他們可能處于虛榮心或者因?yàn)閲?guó)際或企業(yè)的間諜活動(dòng)和破壞為目的進(jìn)行破壞。

當(dāng)前的安全狀況

目前，LoRa基于預(yù)共享密鑰（PSK）體系結(jié)構(gòu)，但這還不足以解決網(wǎng)絡(luò)安全基礎(chǔ)問(wèn)題

設(shè)備漏洞

在現(xiàn)有的LoRaWAN系統(tǒng)中，身份驗(yàn)證密鑰通常存儲(chǔ)在閃存中。黑客可以訪問(wèn)這些密鑰，并輕松的偽造這些密鑰，從而深陷設(shè)備身份被盜的風(fēng)險(xiǎn)。

后端漏洞

在LoRaWAN 1．0x中，一個(gè)AppSKey可以由擁有該AppKey的網(wǎng)絡(luò)服務(wù)器提供者派生，因此可以解密相關(guān)的客戶(hù)數(shù)據(jù)。此外，應(yīng)用服務(wù)器提供者可以使用AppKey派生NwKSKey并克隆LoRaWAN端節(jié)點(diǎn)。

LoRaWAN 1．1改進(jìn)了后端安全性，當(dāng)擁有AppKey時(shí)，只派生AppSKey。而且，對(duì)于NwKKey，只能派生NwkSKey。然而，AppKey和NwKKey之間仍然可以互相訪問(wèn)，并向軟件和人員公開(kāi)，但這需要更多的安全措施。

重鍵漏洞

我們需要了解如何在全局范圍內(nèi)將密鑰從網(wǎng)絡(luò)傳輸?shù)骄W(wǎng)絡(luò)服務(wù)器，以及從應(yīng)用程序傳輸?shù)綉?yīng)用程序服務(wù)器。前提是我們首先需要復(fù)制密鑰來(lái)移動(dòng)它，然后我們需要信任它之前的網(wǎng)絡(luò)。

在服務(wù)器解決方案中，我們需要重新鍵入。這可以在應(yīng)用程序或網(wǎng)絡(luò)服務(wù)器中生成，但仍然會(huì)有受到軟件攻擊的風(fēng)險(xiǎn)。

在節(jié)點(diǎn)解決方案中，我們還需要重新鍵控。如今，新密鑰在服務(wù)器之間可通過(guò)云端推送，但它仍然暴露在微控制器中，并且是由不受信任的、未經(jīng)驗(yàn)證的根密鑰創(chuàng)建的。

供應(yīng)鏈從人為到服務(wù)器之間的漏洞

LoRaWAN中安全身份驗(yàn)證中的漏洞