多元資安技術，保障物聯網等級智慧樓宇控制

隨著物聯網技術的發展，智慧化樓宇控制不再僅限於本地，而有更多以雲端為基礎的服務。由於每個物聯網裝置都配備一個 Web 伺服器，且在網際網路上可能會有潛在的駭客攻擊，我們應該在IoT整合至樓宇建物、家庭或任何場所時，將資安考量都列為首位。

隨著對更多數據的需求，以及諸如用戶憑證和不同系統間的用戶相關訊息整合，資料隱私的顧慮也會變成問題。

物聯網裝置仍存在驚人數量的安全缺陷，即使密碼設置方式正確，駭客仍然有能耐可以進行接管。此外，常見的安全威脅之一即是使用明文通訊。明文形式發送的資料可以被攻擊者輕鬆的記錄和分析，更易於竊取密碼（用於入侵）或者記錄敏感操作資料。讓我們假設有一個物聯網裝置，接受一項 Web 服務的命令，來控制建築物內的門禁。如果駭客接管此系統，並用命令來開門，很顯然這就屬於實際的安全疏失了。

為了因應物聯網裝置本身固有的安全威脅，務須採取以下措施以增強其系統安全：
a) 資料完整性和機密性
b) 驗證
c) 裝置保護（系統強化、安全更新）
d) 安全通訊（防火牆、使用安全協議）
e) 網路隔離

訊息完整性和資料保密性是建構物聯網安全的基礎。訊息完整性是指接收端能夠檢測到所傳輸資料是否曾發生任何修改。資料機密性則確保只有受指定的接收端才能夠讀取訊息資料。任何密碼或具敏感性的控制資料，均不得以明文方式傳輸。我們可以使用串流加密演算法 (stream cipher algorithm) 進行加密來實現這項要求。

安全憑證的使用，對於通訊夥伴的安全驗證過程是不可或缺的。安全憑證也是防範中間人攻擊所必需的，因為中間人可以經由密鑰造假來規避資料加密。身份驗證通常必須通過使用數位簽章的憑證來完成。

為了繼續提供樓宇自動化產業廣泛採用的開放、協作式網路標準，必須在布建樓宇自動化系統時獲得IT的認可。保護通訊安全，代表著物聯網設備需要使用支持一定安全性程度的協議。有很多方式可以選擇，但最佳的方式是採用傳輸級安全的TLS(例如由HTTPS使用)。在物聯網設備和雲端服務之間建立VPN通道則是另一種選擇。

樓宇自動化架構支持IT標準是非常重要：
• 具備128與256位加密的TLS
• 動態IP尋址，而非靜態
• 減少網路廣播
• 支援IPv4, IPv6, Wi-Fi和Cell連接配置
• 使用安全Websocket保護訊息傳輸

另一個確保安全的有效方法，是將物聯網裝置隔離成一個完全阻絕公用存取的獨立 IP 網路。隔離之後的網路，仍然可以透過閘道器或代理伺服器來進行介接，以便仍能夠中繼與 IoT 相關的通訊或建立與雲服務的安全連線。這種深度安全的作法，可以減少維護和配置負擔，僅只需在那些特定閘道器或代理伺服器系統上進行即可，因此得以更好的方式進行維護配置之規劃。

網路安全是一個持續發展的領域，只要任何與更關鍵性的基礎設施或私有數據來源分享數據資料的IoT裝置製造商，都需要遵循最佳方式，以保護網路和資料安全。