很多物聯網(IoT)設備都是我們日常生活中所使用的，例如家電和恒溫器等，因此，網絡安全應是IoT系統供應商首先要考慮的問題。人們在日常生活中遇到問題最容易讓人沮喪：如果您的冰箱由于軟件缺陷而停止工作，這是不是也會成為頭版頭條!

　　IoT產品在安全上有各種層面的考慮，從基本的數據流加密到用戶和設備級的認證等。在這篇文章中，我們重點介紹網絡級安全。

　　一個典型的IoT設備位于私有網路中，在防火墻的后面。這種體系結構既有優點也有問題。一方面，它減少了設備與防火墻和Wi-Fi網絡本身的安全接觸，無論如何，減輕了網絡供應商的安全責任。安全代理有助于降低CPU成本。另一方面，防火墻阻止了云服務器出于通過移動應用程序進行控制的目的而直接連接IoT設備。

　　有些技術能夠幫助旁路防火墻，支持從云端到IoT設備的輸入連接。但是，很多這類技術利用了漏洞，并不是所有網絡都支持這樣做，而且，這種體系結構很難設計一種真正安全的 IoT設備。旁路防火墻最簡單、最安全、最可靠的方法是IoT設備符合“僅輸出連接”規則：所有連接都是從設備向云端發起，然后，設備應保持這一連接是開放的。這一方法簡單而且更安全，這是因為它不依靠防火墻的開放端口，也不依靠讓防火墻完成數據流路由的技術，例如，NAT會話穿越(STUN)方法等。

　　建立連接后，我們應選擇怎樣高效的使用連接，在響應和資源占用之間達到均衡。HTTP 長輪詢是一種雙向通信，基于“由內而外輸出 標準的方法 (圖1)。

　　圖1. 雙向通信，基于由內而外標準的方法

　　在長輪詢模型中，IoT 設備向服務器發出HTTP請求。服務器延遲對HTTP請求的響應，直至經過了預先設定的時間周期，或者直至收到要求響應IoT設備的命令或者請求。如果命令是必須的，服務器會立即響應命令，IoT客戶端處理命令。IoT客戶端會立即發出另一服務器 HTTP 請求，開始循環。如果命令或者請求需要向服務器提供結果，那么，它會在新的長輪詢請求中進行。

　　這一方法有幾種優點。從IoT設備的角度看，HTTP簡單，輕量，而且還有很多支持庫。HTTP還提供了互聯網路由功能，包括對長輪詢所需要的持續連接的支持。

　　HTTP還支持任意負載，您可以靈活的選擇與設備相關的消息。我們成功的在長輪詢上使用了JSON/REST語法，以及谷歌協議緩沖消息。

　　從云端服務器的角度看，大部分工作框架都是設計成處理HTTP請求，支持服務器開發人員自由的使用現有工作框架和庫以加速開發。

　　HTTP 長輪詢還支持服務器通過簡單的實現更長的響應延時，從而控制帶寬利用率。而且，通過增加簡單的“輪詢定時器”，迫使 IoT 客戶端延時HTTP請求，這樣，您很容易獲得真輪詢模型，一方面，犧牲響應時間，而另一方面，降低了對資源的占用，可以使用電池供電。

　　WebSockets 是另一種選擇，與HTTP長輪詢非常相似。WebSockets與HTTP幀頭配合使用，效率非常高。WebSockets還提供實時設備至服務器提醒功能，某些應用會需要這一功能。為獲得長輪詢模型的實時提醒功能，必須使用單獨的套接字，以保持服務器控制的長輪詢通道。

　　然而，并不是所有服務器工作框架都支持WebSockets，在很少的一些實際應用中，網絡布線會成為問題。在不遠的將來，WebSockets 會是很好的選擇，但是目前而言，我不會使用它，除非您的目標環境支持它。

　　這些技術的基礎都是傳輸控制協議(TCP)套接字。合理可行的安全模型在這一套接字連接上對數據流進行加密。雖然最近有些不好的消息，但是安全套接字層(SSL)或者傳送層安全(TLS)仍然是加密層最好的選擇。SSL 通過的審查最多，支持最多，也最被容易理解。

　　您想過要發明自己的協議?考慮到最近的安全缺陷，例如，目前出名的“Heartbleed” 缺陷，它來自一些大公司的SSL和開放源庫，這說明了很難開發一種真正安全的協議，更不用說正確的實現它。因此，在嘗試自己的安全方案之前一定要三思。

　　然而，SSL 本質上是一種大規模協議，在連接建立過程中需要很多次握手。這種開銷進一步說明所有通信應使用持續連接方法，好在HTTPS長輪詢(結合TCP套接字“保持連接”，因此，每次輪詢不會重新打開)適合這一應用。

　　SSL還會占用大量的代碼空間和運行時存儲器。對于資源豐富的云服務器，SSL資源開銷并不是太大的問題，但是對于低成本IoT設備卻不然，這是因為存儲器和CPU功耗是首當其沖要考慮的。當考慮IoT設備的SSL庫時，如果您選擇的SSL庫提供了選項來禁用您不使用的功能，那么應評估您需要使用 SSL 的哪些功能。您還應該看看目標硬件能否幫助您減輕負載。SSL 基于高級加密標準(AES)、安全哈希算法(SHA)，以及其他標準密碼算法。很多硬件平臺提供專門的加密硬件，把這些計算從CPU中卸載下來。

　　最后，這些方法實際上是在資源和理解安全需求之間達到均衡。認真的思考，提前規劃好有助于解決很多棘手的問題。