在互聯網和物聯網的世界，安全始終是人們最為關心的問題之一。LPWAN領域發展較為成熟的LoRaWAN在安全性方面有特殊的考慮和設定，以下是安全方面的若干問題與解答。

1. LoRaWAN安全機制怎么進行說明的？

所有的安全機制在LoRa的協議中有具體說明，目前LoRaWAN標準協議1.0和1.0.2已通過官方渠道發布，可以下載。1.1還在修訂中。

2. LoRa的安全機制是如何保證LoRaWAN網絡的安全操作的？

LoRaWAN支持源頭認證、完整性和MAC架構重發保護。LoRaWAN同時支持終端設備和應用服務器之間應用載荷的端對端加密。LoRaWAN支持MAC指令加密的操作。所有這些過程都依賴于高級加密標準（AES）以及128位的密鑰算法。

3.兩種入網方式ABP （AcTIvaTIon-by-PersonalizaTIon）和OTAA（Over-the-Air-AcTIvation）在安全方面有什么區別？

LoRaWAN使用靜態根密鑰和動態生成的會話秘鑰。

根密鑰只存在于OTAA的終端設備上。當OTAA終端設備在網絡中執行連接過程時，它們被用于生成會話密鑰。OTAA終端設備被安裝后，將能夠連接到與密鑰服務器有接口的任何網絡（在1.1版本的協議中稱為連接服務器JoinServer），最終設備與此關聯。終端設備利用會話秘鑰來保護空中通信。

ABP終端設備不配備根密鑰。取而代之，它們會為預先選擇的網絡提供一組會話密鑰。而且 ABP終端設備整個生命周期內會話密鑰保持不變。

所以不斷更新的會話密鑰使得OTAA設備更適合需要更高級別安全性的應用場景。

4.LoRaWAN中使用的是何種標識碼？

每個終端設備通過一個64位的全球唯一識別的EUI標識符進行標識，標識符由設備制造商分配。而EUI標識符的分配者需要從IEEE相關的登記機構獲取權限。

負責管理終端驗證的連接服務器（Join Server）也會被一個全球唯一識別的64位EUI標識符進行標識，它由這個服務器的所有者進行分配。

在開放網絡中漫游的私有LoRaWAN網絡通過一個由LoRa聯盟分配的24位全球唯一的標識符進行標識。當一個終端設備成功入網后，它會從網絡服務器獲得一個32位的暫時設備地址。

5.我可以隨機的給我的設備或者網絡分配標識符么？

標識的分配要遵循第四點提出的規定，如果隨意分配會引起不必要的混亂。

6.所有的終端設備在出廠時候分配的默認秘鑰都是相同的么？

當然不是。在LoRaWAN中沒有默認密鑰或者默認密碼這樣一個概念。 所有終端設備出廠時都分配了一個默認的唯一識別碼。所以從一個設備中提取到的秘鑰并不會對其他的設備產生影響。

7.使用的密鑰是什么類型的？

一個OTAA的終端設備配備了一個根密鑰，稱為AppKey。從網絡的角度，APPKey由Join Server提供，Join Server和網絡服務器可以在一起也可以分開。一個ABP終端配備了兩個會話密鑰（應用會話密鑰APPSKey和網絡會話密鑰NwkSKey），其中NwkSkey由網絡服務器提供，AppSkey由應用服務器提供。

8.使用了何種加密算法？

在RFC4493中定義的AES-CMAC算法用于原始身份認證和完整性保護。IEEE 802.15.4-2011定義的AES-CCM*用于加密。

9.LoRaWAN是如何防止竊聽的？

MAC的有效載荷在終端和網絡之間傳輸時被加密。此外，終端設備和應用服務器之間的應用載荷也進行了加密。這確保了只有持有密鑰并且被授權的實體才能夠訪問純文本內容。

10.LoRaWAN如何防止欺騙？

MAC有效載荷原始的身份認證和完整性保護通過終端設備和網絡之間的信息完整性代碼（MIC）可以實現。這確保了只有具有完整密鑰且被授權實體（終端、網絡服務器）才能夠生成有效的幀。

11.LoRaWAN如何避免重傳？

MAC有效載荷的完整性保護利用幀計數器，以確保接收者不會再次接收一個已經收到的幀。

12.如何確保后端接口的安全性？

后端接口包括網絡服務器中、Join Server 和應用程序服務器之間的控制和數據信號。HTTPS和VPN技術被應用在這幾部分之間通信的安全性確認中，使用方式和其他通信系統中大致相同。后端接口不在LoRaWAN協議范圍內。

13. LoRaWAN支持硬件的安全么？

通終端設備和服務器平臺的硬件安全性與包括LoRaWAN在內的通信協議沒有直接的關系。

14.如果面臨一個安全威脅我該怎么辦？

總體上來說，一個安全性威脅會來自協議本身（如缺少重傳保護）、實現過程（如設備密鑰的提取）、部署過程（如防火墻缺失）或者三者的結合。所以當面臨一個安全威脅時，首先要找到它的源頭。實現過程會涉及到制造商，部署過程會涉及到運營商。