2017年夏天
安全物联网的愿景
互联网连接设备(“物联网”或“IoT”)的迅速普及有可能改变和丰富我们的生活,并在更广泛的经济领域推动显著的生产力提高。然而,这些新连接的设备缺乏足够的安全性,给消费者和互联网的基本功能带来了重大风险。犯罪分子利用不安全的连接设备创建僵尸网络,对互联网基础设施和在线服务发起分布式拒绝服务(DDoS)攻击。正如去年秋天所见,Mirai僵尸网络使用受损的IP摄像头和录像机发起DDoS攻击,使DNS提供商Dyn瘫痪,并破坏了数百万用户对许多流行网站的互联网访问。
执行概要
互联网连接设备(“物联网”或“IoT”)的迅速普及有可能改变和丰富我们的生活,并在更广泛的经济领域推动显著的生产力提高。然而,这些新连接的设备缺乏足够的安全性,给消费者和互联网的基本功能带来了重大风险。犯罪分子利用不安全的连接设备创建僵尸网络,对互联网基础设施和在线服务发起分布式拒绝服务(DDoS)攻击。正如去年秋天所见,Mirai僵尸网络使用受损的IP摄像头和录像机发起DDoS攻击,使DNS提供商Dyn瘫痪,并破坏了数百万用户对许多流行网站的互联网访问。
虽然Mirai发动了最近最具影响力的DDoS攻击之一,但这肯定不会是最后一次。这种攻击曾经是老练的黑客的专长。现在,现成的DDoS“服务”提供给任何愿意带着比特币进入“暗网”的人。不断增长的宽带容量,对消费者和经济都是一种福音,也使容量攻击增加。而且,最重要的是,随着物联网设备的激增,攻击载体的数量正在大幅增长——2016年至2020年期间,攻击载体的数量翻了一番或更多。
因此,物联网代表了互联网的下一个主要增长轴。但是,如果物联网行业在处理安全问题的方式上没有重大改变,这种设备的爆炸式增长将增加消费者和互联网的风险。为了降低这些风险,物联网行业和更广泛的互联网生态系统必须共同努力,通过开发和采用强大的物联网设备安全标准,降低不安全设备的风险,并确保未来的设备更安全。行业主导的标准代表了广泛提高物联网安全性的最有前途的方法。鉴于威胁的全球性和不断变化的性质,行业必须利用其专业知识和影响力来开发、采用和实施基本的物联网安全措施。
本文详细介绍了物联网安全标准中必须解决的技术领域。本文分为三个部分:第一部分概述了不安全的物联网对消费者和互联网构成的风险。第二,强调整个互联网生态系统在通过缓解和预防来应对这些风险方面的共同责任。第三部分详细描述了行业主导的、基于标准的方法的技术目标,以及开发组织的治理目标。[1]为了实现所需的安全级别,物联网安全标准必须解决:(i)设备身份;认证、授权和问责制(入职);(3)保密制度;(四)完整性;(v)可用性;生命周期管理;以及(vii)未来(可升级的)安全性。强有力的技术标准是必要的,但还不够。为了在市场中建立价值和信誉,开发组织必须是开放和平衡的,确保正当程序和共识,推动标准的广泛采用,解决参与者的知识产权问题,并通过强有力的认证测试和标准的执行来确保一致性。
考虑到挑战的跨境、全球性质以及技术和相关威胁的快速发展性质,行业主导的、基于标准的方法为有效提高物联网设备的安全性提供了最可行的途径。
需要采取行动——消费者和互联网面临的风险
不安全的物联网设备对消费者和互联网的基本功能都构成了风险。基于有机技术和市场趋势,这些风险继续增加,使物联网安全成为一个日益严重的问题。最突出的是,随着宽带容量的增长,家庭中的联网设备正在激增。如图1所示,领先的行业对物联网增长的预测显示出一个共识,即连接设备的数量将迅速增长,在2016年至2020年期间将增长一倍或更多。
不安全的物联网设备是僵尸网络的最新构建模块,僵尸网络反过来执行DDoS攻击,窃取个人和敏感数据,发送垃圾邮件,更普遍的是,为攻击者提供对受损设备及其连接的访问权限。[3]如图2所示,不安全物联网设备的激增使得僵尸网络的出现成为可能,这些僵尸网络进行DDoS攻击的频率和规模都在增加。[4]此外,僵尸网络利用不安全的物联网设备的可用性和租赁性导致了“DDoS即服务”的出现,这降低了潜在攻击者部署此类攻击的障碍(无论是金钱上还是复杂性上),进一步推动了DDoS攻击的增加。思科解释说,“平均DDoS攻击规模正在稳步增长,接近1.2 Gbps”,“2016年,超过1 Gbps的DDoS攻击数量增长了172%,到2021年将增长2.5倍,达到310万次。”[5]
图2:基于物联网的僵尸网络攻击
消费者面临的风险
互联设备连接了物理世界和网络世界,使得网络攻击除了更传统的隐私和数据风险之外,现在还会造成物理伤害。[6]物理风险不是假想的。例如,在智能家居环境中,不安全的联网恒温器可能会使消费者面临管道冻结或其他物理损坏的风险。[7]研究人员已经证明了可以在近半英里外轻松解锁连接的门锁,使一个潜在的窃贼可以走到一扇敞开的门前,不受怀疑,也不会延迟进入。[8]不安全的物联网还增加了消费者隐私的风险,以及个人和敏感数据被盗的可能性。最近有指控称,情报机构利用连接互联网的三星电视秘密捕捉房间内任何东西的音频和可能的视频,这一点得到了强烈的强调。[9]
消费者面临的风险不仅限于零售设备。例如,研究人员已经证明了破坏植入心脏设备的能力,以“耗尽电池或执行不正确的起搏或电击”。[10]同样,研究人员在胰岛素泵中发现了一个安全漏洞,黑客可以通过这个漏洞导致胰岛素泵产生致命的过量。[11]在酒店环境中,当黑客侵入电子钥匙系统并在将控制权交还给酒店之前要求付款时,酒店客人被锁在房间外。[12]
互联网的风险
DDoS攻击,特别是随着它们的频率和强度的增长,提高了互联网大范围中断的真正风险。2016年秋天,Mirai僵尸网络被用来对DNS提供商Dyn发起大规模DDoS攻击。[13]在那次攻击中,许多消费者无法访问Twitter、Spotify和Airbnb等流行网站,对这些企业造成了重大损害。[14]类似的攻击和中断在世界各地都有发生,不安全的物联网设备的持续扩散为潜在的攻击者提供了发动下一次攻击的现成燃料。[15]
互联网面临的风险并不局限于特定的地理区域。来自世界各地的受损设备参与DDoS攻击和其他恶意活动。攻击的目标通常位于与参与攻击的受损设备不同的区域。[16]因此,改善设备安全必须从全球的角度来解决,而不仅仅是一个国家。
核心网络功能和主要在线服务日益受到干扰的真实可能性,有可能破坏公众信心以及互联网在全球经济和社会中日益增强的作用。这种动态破坏了互联社会的好处——公民参与、数字商务和生产力都面临风险。必须以基本安全为共同责任,确保互联网的广泛效益持续增长。
应对当前和新出现的威胁——共同责任
缓解和预防相结合对于更全面地解决不安全物联网造成的当前和新出现的威胁是必要的。有线电视行业认识到,解决僵尸网络和其他安全风险是整个互联网生态系统的共同责任。为此,有线电视运营商在开发和部署措施方面投入了大量资金,以降低与不安全物联网相关的风险,包括DDoS和其他僵尸网络攻击,主要重点是保护网络,以确保宽带服务的可用性。
缓解
有线电视运营商已经制定并继续改进措施,以寻求减轻DDoS和其他针对其网络和客户的攻击。这些努力包括个别措施和协作措施,概述如下。
- 探测和识别系统。有线电视运营商已经广泛部署并继续改进旨在检测受僵尸网络控制的客户拥有的设备的系统。这些系统依赖于(i)高质量的第三方数据源,识别运营商网络上恶意流量的来源,(ii)基于DNS的异常检测系统,(iii)寻求识别与已知命令和控制服务器通信的设备的NetFlow检测系统,以及(iv)电子邮件元数据,以识别发起垃圾邮件的受损客户设备。如下所述,DDoS攻击源信息共享试点也正在进行中,以潜在地识别DDoS攻击源。聚合这些信息源以确认用户的一个或多个连接设备是否已被机器人感染。
- 客户通知和补救计划。一旦发现并识别出受损设备,电缆运营商通常会设法通知受影响的用户,并在可能的情况下协助客户修复受损设备。有线电视运营商使用各种机制来通知客户设备受损,包括(i)使用专用门户-将用户重定向到有围墙的花园以提供通知,(ii)浏览器内-显示浏览器弹出框通知,(iii)有线电视运营商网站-在客户访问有线电视运营商网站时提供通知,(iv)电子邮件通知,(v)短信文本通知,(vi)应用程序通知,(v)浏览器工具栏通知,(六)电视通知;(七)邮递通知;(八)电话通知。为了提高通知的有效性,有线电视运营商开始部署平台,允许客户选择和管理他们首选的通知方法。随着家庭中连接设备数量的增加,识别、通知和修复受损设备变得更具挑战性,有线电视运营商正在研究新的方法和技术来应对这些挑战。
- DDoS监控和缓解系统。许多有线电视运营商已经部署了DDoS监控和缓解系统,以确保在攻击期间宽带互联网接入服务的持续可用性。[17]DDoS攻击试图通过用多余的网络流量淹没目标,使设备、服务或网络资源对其目标用户不可用,试图使系统过载并阻止合法流量通过攻击目标。一次重大的DDoS攻击通常来自数千或数十万个受损设备。DDoS攻击的频率和规模都在持续增长,这在很大程度上是由于不安全的物联网的扩散。为了保护他们的网络,有线电视运营商通常采用网络DDoS缓解技术,包括专门的设备,学习和识别正常的互联网流量源、目的地和流量。当检测到互联网流量异常时,可以将异常流量与正常流量分离,使DDoS攻击不会对上网造成大范围的影响。然而,由于攻击者在不断发展他们的技术,这些系统不能提供完整的保护。[18]
- 防止IP地址欺骗。源地址验证(SAV)是所有isp、主机托管提供商、云提供商和其他防止反射式DDoS攻击的最佳实践。[19]在全球有线接入网络中部署的电缆调制解调器终端系统(CMTS)设备支持带有欺骗数据包丢弃的SAV。该特性在2006年首次发布的有线数据服务接口规范(DOCSIS) 3.0版中作为强制性要求提供。[20]此外,DOCSIS规范要求在默认情况下,对DOCSIS 3.0和3.1兼容的CMTS设备开启SAV。[21]
- DDoS信息共享试点。亚博yabo888vip网页版CableLabs正在与一些有线运营商和其他网络运营商合作,在恶意软件信息移动反滥用工作组(M3AAWG)的DDoS特别兴趣小组(SIG)下开发DDoS信息共享试点。[22]该小组正在为isp和其他网络运营商开发API、数据存储和开源参考实现,以共享关于DDoS攻击流量来源的信息。这项工作的目的是为isp提供可操作的情报,以修复其网络上受损的设备,而不是实时减少攻击。为了生成可操作的情报,每个参与者都将其DDoS检测系统以匿名方式识别的入站IP流的源IP地址共享给DDoS攻击发起网络的运营商,如图3所示。为了保护隐私,只共享非个人身份信息,如源IP地址和攻击量。
图3:DDoS信息共享试点
预防
预防为主,治疗为辅。
——本·富兰克林(1735)
尽管包括有线电视运营商在内的互联网服务提供商(isp) 15年来一直致力于减轻设备受损和不安全的影响,但这些努力最终只解决了症状,而没有解决问题的根本原因。更重要的是,由于互联网的全球性质,以及受损设备能够针对任何司法管辖区的受害者,任何给定的ISP在解决症状之外影响问题的能力都有限。[23]此外,这项任务的挑战已经开始超过当前和预期的缓解技术,因为到2020年,连接设备的数量预计将翻一番。[24]不幸的是,物联网提供商通常没有采取合理的安全措施或承诺维护其物联网设备的安全性。相比之下,主要的计算机操作系统制造商近年来显著增加了他们的努力(包括及时的安全补丁),以确保通用计算设备(例如台式机、笔记本电脑、平板电脑和智能手机)在恶意软件的攻击下是相当安全的。随着物联网设备数量的不断增长,这种安全性的缺乏正越来越多地影响着互联网的整体安全。
为了更全面地解决不安全物联网设备带来的风险,行业必须提高未来物联网设备的安全性。在应对不安全的物联网对消费者和互联网构成的风险方面,防止设备受损必须成为行业共同责任的重要组成部分。为了最大限度地降低这些风险,必须通过行业主导的、基于标准的方法,在以下领域改进设备安全性。
物联网安全愿景:通过行业主导、基于标准的方法提高安全性
为了帮助阻止不安全的物联网设备的浪潮,并帮助解决上述风险,行业必须努力制定和采用必要的标准,以确保连接设备具有足够的安全性。要使行业主导的、基于标准的方法可信并成功,它必须(i)强大,(ii)广泛采用,以及(iii)具有强大的认证测试和执行机制。
一个全面的、由行业主导的物联网安全方法必须考虑到设备和生态系统的技术安全特性,以及开发、认证和执行标准的组织的治理。下面详细描述的技术安全目标是一个基本的安全级别,为直接或间接连接到互联网的每个设备所设想。我们专注于面向零售和消费市场的物联网设备。在更敏感的应用中使用的设备可能需要额外的安全功能,例如医疗保健、工业或运输。我们的技术目标来自有线电视行业的经验和行业利益相关者的工作,包括开放网络应用安全项目(OWASP)、宽带互联网技术咨询小组(BITAG)、Wi-Fi联盟、GSMA、AT&T、微软和思科,以及政府机构的工作,包括联邦贸易委员会(FTC)、国家标准与技术研究院(NIST)和国土安全部(DHS)。
安全标准的实质内容很重要,但如何制定、维护和执行标准也很重要。开发组织必须具有下面列出的被广泛接受的治理属性,以更广泛地确保对买家和互联网生态系统的可信度和价值。我们的治理目标来自公共和私营组织的工作,包括美国管理和预算办公室(OMB)、英国标准协会(BSI)、国际标准化组织(ISO)、国际电工委员会(IEC)、世界贸易组织(WTO)和加拿大标准委员会。
技术安全目标
对于任何由行业主导的、基于标准的安全方法来说,要想有效和成功,它必须是强大的,并从根本上提高物联网的安全性。迄今为止,物联网安全方面的漏洞已被充分记录。[25]为了有意义和全面地提高物联网安全,安全标准必须解决以下方面的问题。附录1提供了技术安全目标的摘要。
为了支持强安全性,设备标识符必须是不可变的、可验证的和唯一的。
设备标识
设备身份是物联网安全的基本构建模块——它是许多其他关键安全元素的必要前提。但是,并非所有的设备标识符都是相同的。为了支持强安全性,设备标识符必须是不可变的、可验证的和唯一的。如今,物联网设备通常不使用唯一和不可变的标识符,而且设备标识符几乎从来都是不可验证的。可认证性使设备身份能够以密码方式验证,极大地降低了设备被模拟(或“欺骗”)的风险。正如下面详细讨论的那样,强大的设备标识符(即不可变的、可验证的和唯一的)是构建安全物联网设备的必要基础。
该技术的存在是为了提供强大的设备身份,可以扩展以满足物联网预期的需求和设备数量。有线电视行业长期以来一直使用公钥基础设施(PKI)在其有线调制解调器、机顶盒和其他直接连接到有线电视网络的设备中集成强大的设备标识。电缆行业已经颁发了超过5亿份设备和软件代码验证证书。同样的技术和基础设施可以很容易地扩展,以满足物联网预期的设备数量。[26]
关键的是,证书管理是一种支持认证的机制,认证不仅支持验证,还支持撤销——允许证书管理器弃用或完全撤销证书,并将该撤销通知用于响应未来的查询。反过来,证书管理支持在设备之间和设备之间实施安全标准,下面将详细讨论这一点。证书管理器可以作为设备是否通过与安全标准相关的认证测试的权威来源。例如,为了保护自身,连接的医疗保健设备可能只与其他经过认证以满足标准内更高安全级别的设备通信。医疗保健设备可以使用其他设备的数字证书向证书管理器(或证书颁发机构)查询,以验证该设备实际上是否符合必要的安全标准。
证书管理和撤销证书的能力还提供了一种自动化机制,以确保持续遵守安全标准,或就设备的妥协或已知漏洞进行沟通。例如,如果一个设备最初通过了认证测试,但是发现了一个严重的安全漏洞,或者制造商随后进行了更改(例如,增加了额外的功能),导致设备不再符合安全标准,证书管理器可以撤销这些证书,直到制造商解决这个问题。一般来说,使用证书管理器,任何人(ISP、其他设备或智能家居中心)都可以查询设备是否符合并保持符合安全标准,如果不符合,则弃用该设备的特权。
身份验证、授权和责任-入职
安全的身份验证、授权和问责制最大限度地降低了在登录过程中危及本地物联网生态系统中一台设备或其他设备的可能性。“接入”是指将新设备连接并添加到网络和本地物联网生态系统的过程。登录包括新设备的身份验证、授权和责任(AAA)过程。认证是对设备身份进行验证和确认的过程。授权决定了设备可以访问哪些网络资源。亚博全球最大投注平台问责制是追踪设备行为的过程。[27]
安全数字证书的使用使设备的登录过程更加直接和安全。新设备与物联网中心或网络上的其他设备之间交换安全数字证书,允许设备确定设备之间的信任级别以及共享哪些信息。这是通过设备交换证书和每个设备向证书颁发机构确认其他设备的状态来实现的。使用基于证书的登录不仅可以提高安全性,而且还可以使登录过程更容易,更方便客户(例如,不会输入令人困惑的PIN)。例如,Wi-Fi联盟在其Passpoint规范中纳入了一种集中管理的基于证书的Wi-Fi连接设备的方法。亚博苹果版怎么下载[28]这种数字证书方法消除了在身份验证过程中记忆和输入密码的需要。
不安全的登录会给新设备、网络上的其他设备和网络本身带来漏洞。这些漏洞可以通过“中间人”和重新配置攻击以及设备欺骗和窥探来利用。使用安全的数字证书可以最大限度地减少潜在的入职漏洞。
保密
强大的保密保护,确保敏感信息保持私密性,未授权方无法访问。确保敏感信息的机密性不仅仅是加密。物联网设备应保护静止、使用和传输中的敏感数据,并限制为响应匿名或不可信请求而披露的信息。物联网设备制造商必须首先识别设备处理的敏感信息。这可能包括个人身份信息(PII)、受保护的健康信息(PHI)、凭据和私钥,仅举几类。
保护敏感信息(设备内):首先,物联网设备应该使用标准、完善的加密技术对本地存储的敏感信息进行加密。[29]其次,设备在使用过程中应保护敏感信息(如私钥)。例如,私有密钥应该驻留在专用硬件中,而不是在总线上以透明方式传输。[30]
保护敏感信息(传输中):物联网设备应该对包括敏感数据的所有通信使用相互端点身份验证和应用程序级加密(端到端)。物联网生态系统中的每个设备都应该验证参与该生态系统的所有其他设备。经过身份验证后,每个设备都将对发送到网络中其他设备的消息进行加密和签名。接收到消息的每个设备都可以在对其进行操作之前以加密方式验证数据。然而,相互身份验证并不能解决敏感信息的安全性问题,因为它在经过身份验证的设备和本地物联网生态系统之外传递。因此,物联网提供商还应结合应用程序级加密(端到端),以确保敏感信息在物联网设备和物联网提供商拥有的服务器之间安全地传递。[31]
限制对不可信请求的响应:物联网设备应限制为响应不受信任(例如,匿名)设备的请求而提供的信息。在上线之前,物联网设备应该使用一个临时的、短暂的随机标识符来响应新的上线请求。登录后,设备必须提供其不可变的、可验证的和唯一的标识符,如上所述。为任何和所有请求提供设备唯一且不可更改的标识符会产生安全风险。例如,蓝牙健身手环等移动设备可以在用户请求时广播其唯一且不可更改的标识符,从而可以在用户不知情或不同意的情况下轻松跟踪设备及其所有者。[32]
完整性
设备所创建或接收的数据必须是可信的,并防止未经授权的修改。这就要求使用完善的方法来保护设备标识、执行环境、配置和通信。
不知情的Mirai步兵,不安全的网络摄像头和dvr,通过扫描这些设备上的开放Telnet端口,并通过使用硬编码凭证利用这些开放端口,在很大程度上受到了损害。
为了进一步确保设备的完整性,每个设备都应该通过关闭不必要的端口、禁用不必要的服务和使用带有配置验证的安全引导加载程序来“加固”以最小化攻击面。[33]Mirai僵尸网络提供了一个说明性案例研究。不知情的Mirai步兵,不安全的网络摄像头和dvr,通过扫描这些设备上的开放Telnet端口,并通过使用硬编码凭证利用这些开放端口,在很大程度上受到了损害。[34]除了不采用硬编码凭证之外,制造商还应考虑禁用不必要的端口和服务,以避免增加漏洞和利用的风险。[35]
制造商还应采用不可抵赖的方法进行关键通信,以确保数据的完整性、来源和/或交付,以及可信赖的审计跟踪,以确定数据以未经修改的方式发送和接收。[36]当直接的财务后果与数据相关时,不可抵赖方法尤其重要。例如,在智能电表环境中,采用不可抵赖方法来防止终端客户拒绝发送能耗数据和电力公司拒绝发送实时定价数据。[37]
可用性
安全的物联网设备在需要合法使用时可用,在不需要时不可用。物联网设备应设计成在宽带连接或与任何相关云服务失去通信时,以可预测和预期的方式运行。相反,设备应该使用限制性而不是许可性的默认网络流量策略,将通信限制在预期的规范范围内,防止可能破坏设备或网络上其他设备可用性的意外或恶意拒绝服务攻击。
具体来说,设备应该限制为响应来自不可信源的发现和其他请求而提供的信息。例如,设备应该提供有限的(如果有的话)信息来响应来自不可信源的反射和自省请求。这样的请求,特别是重复的请求,实际上是对这些请求的目标设备的拒绝服务攻击。限制对不可信请求的响应也将有助于防止流氓或受损设备获取网络上其他设备的信息,作为“垫脚石”攻击的一部分。
制造商还应确保在短期连接中断或长期中断的情况下,连接设备将以预期的方式继续运行。这些中断或中断可能发生在本地或接入(宽带)网络或云服务中。中断和中断将会发生;问题是连接的设备将如何反应。例如,即使与云服务的连接在很长一段时间内失去连接,消费者也应该期望连接的恒温器能够继续控制家中的加热和冷却。[38]类似地,家庭报警系统的制造商应该向消费者说明,当与云服务或传感器或系统中的其他外围设备失去连接时,系统将如何响应(例如,警报将发出声音)。[39]
生命周期管理
物联网安全要求在设备的整个生命周期内保持警惕——在消费者购买设备后,漏洞将被发现,新的威胁将出现。物联网提供商必须将生命周期管理作为每个连接设备设计的核心考虑因素,并在销售前向消费者清楚地披露关键考虑因素。[40]具体而言,物联网提供商必须在披露的安全支持期内提供安全、自动化的软件更新,临时设备除外。此外,物联网提供商必须在生命周期结束(EOL)/支持结束(EOS)时公开披露漏洞补救措施和功能更改。
软件更新:物联网提供商必须在明确定义和公开的安全支持期内提供安全、自动化的软件更新。[41]默认情况下,软件更新机制不应该要求或依赖于任何使用者操作。[42]将安全、自动化软件更新机制整合到其设备中的物联网提供商认识到,在设备部署后会在设备中发现漏洞,并且软件更新可以减轻与这些漏洞相关的风险。[43]
为了确保软件更新的安全性,物联网提供商必须使用加密检查来确保软件更新的来源和完整性。这是物联网提供商可以利用PKI的另一个领域。例如,电缆运营商使用他们的PKI安全地为电缆调制解调器和其他电缆设备提供软件更新。数字证书确保只有来自制造商或电缆运营商的软件更新才能下载到电缆设备中,并且该证书还用于加密更新以确保其完整性。以这种方式使用数字证书将有线设备在软件更新过程中感染恶意软件或其他恶意代码的风险降至最低。[44]
我们认识到,并非所有物联网设备都需要软件更新机制。特别是,要解决非常便宜和/或寿命非常有限的设备中的漏洞,更换可能是提供软件更新的更经济的替代方案——例如,在一次性无线医用绷带中。[45]然而,对于这类设备,物联网提供商应该有一种机制来识别易受攻击的设备,禁用易受攻击的设备,并向最终用户传达更换易受攻击设备的需求。[46]
漏洞管理:物联网提供商应该有一个明确定义的程序来接收其设备的安全问题报告。该过程应包括状态报告和解决提供给提交安全漏洞的个人或实体的问题的时间表。物联网提供商至少应该公开和显著地披露一个电子邮件地址、电话号码和一个可以向公司提交安全问题的网站。一旦有漏洞补救措施,物联网提供商应该有一种公开披露漏洞和相关补救措施的机制。
生命终止(EOL) /支持终止(EOS)功能:为了保护终端用户和第三方,物联网提供商应考虑在安全支持期结束后限制设备功能。在销售之前,物联网提供商应明确披露在安全支持期结束后,设备功能是否会因漏洞风险增加而受到限制,以及在多大程度上受到限制。[47]为了设定消费者的期望,披露应准确描述在支持期结束时将限制哪些功能(如果有的话)——是否只有“智能”功能和特性(例如,通过应用程序连接和远程控制)将无法操作,或者是否也将失去核心设备功能。[48]
未来(可升级)安全
物联网提供商应考虑并在其产品中设计具有强大安全控制的能力,包括在设备的整个预期生命周期内安全的加密算法/密码套件。寿命较短(例如,不到一年)的设备可能不需要升级功能。相比之下,可连接的耐用家用电器(例如,预期使用寿命为10年或更长)的供应商应考虑在设备的使用寿命期间,安全控制将需要如何演变。制造商应评估软件和硬件需求,以确保安全控制的可升级性,基于设备的预期寿命和当前使用的安全控制。例如,目前使用推荐的加密算法部署的家用电器很可能需要在家电的预期寿命内升级到更强的加密算法和更长的密钥长度。制造商应确保设备中包含足够的硬件功能,以实现这些预期的升级。
治理的目标
安全标准的实质内容至关重要,标准的制定方式对于最终用户和物联网提供商如何接受和采用该标准也很重要。
除了确保技术上可靠的安全标准外,开发组织在开发标准时必须采用广泛接受的治理属性,以确保物联网设备市场和更广泛的互联网生态系统中的可信度和价值。安全标准的实质内容至关重要,标准的制定方式对于最终用户和物联网提供商如何接受和采用该标准也很重要。为了便于参考,本文的附录2中详细列出了治理目标的摘要。
开放
行业共识标准最好是通过透明的流程制定的,向利益相关方开放,让他们在非歧视的基础上有意意义地参与。[49]这应包括在政策制定一级和技术标准制定的每一阶段的参与方面的开放。发展组织还应设法确保资源有限的有关各方的参与,例如民间社会。亚博全球最大投注平台[50]
平衡
为了真正获取广泛的行业专业知识基础,必须在标准开发过程中代表不同的观点。标准的开发组织和开发过程必须有广泛的各方有意义的参与,没有单一的利益主导决策。应为所有相关方提供有意义的机会,为标准的制定做出贡献,以确保相关方的平衡代表,包括但不限于生产者、供应商、买家和消费者等类别。[51]
正当程序-通知,透明度,上诉
参与也必须对参与者公平。开发组织必须坚持正当程序的基本概念,包括通知、透明度和上诉程序。通知和透明度要求利益相关方能够获得书面政策和程序,充分通知会议和标准的制定,有足够的时间审查草案并准备意见和反对意见,以及获得其他参与者的意见和反对意见。[52]发展组织还必须有一个公平和公正的程序来解决相互冲突的意见以及解决实质性和程序性的上诉。[53]
共识
还必须以公平的方式作出决定。开发组织必须使用涉及感兴趣的涉众的共识决策过程。“共识”被定义为“普遍同意,但不一定是一致同意”。[54]该组织必须使用“公平、公正、公开和透明的程序”考虑意见和反对意见。[55]
采用
安全标准的广泛采用对于有意义地提高物联网的安全性至关重要。开发组织不仅应寻求降低采用的障碍(例如成本和劳动力),还应积极鼓励物联网提供商采用。例如,开发组织应积极参与最终用户教育,以确保消费者对标准和相关认证标志的认识,以及伴随标准纳入而增加的安全性的价值。创造消费者需求将加速物联网提供商的采用。[56]
知识产权政策
知识产权必须事先明确解决,以确保标准开发过程的广泛参与,并减少采用标准的障碍。开发组织必须制定知识产权(IPR)政策,要求参与者(i)披露任何必要的专利,(ii)以非歧视的、免版税或合理的版税条款将这些专利许可给标准的实施者(并将标准基本专利的后续所有者绑定到相同的条款)。[57]知识产权政策应易于获取,制定有关知识产权的披露和许可的明确规则,并考虑到所有利益攸关方的利益,包括知识产权持有人和寻求实施标准的人。[58]
合格评定—认证、测试和执行
为了让消费者获得适当的安全保证,必须有一种机制来验证设备是否符合安全标准。通过认证测试和执行进行严格的一致性评估,对于任何安全标准在市场上的可信度和价值,以及行业主导的标准促进竞争和市场力量帮助提高连接设备安全性的能力,都至关重要。作为使用相关认证标志的条件,开发组织必须确保声称包含安全标准的产品实际上符合该标准。为了确保符合性,开发组织必须采用强有力的、透明的认证测试和执行程序,包括高级的和事后的符合性测试和适当的撤销产品认证的机制。[59]
如果没有严格的符合性评估,认证标志提供的是空洞的承诺,对买家来说几乎没有任何有意义的信息,从根本上降低了标准和相关认证标志的价值。
在严格的合格评定的支持下,认证标志为潜在买家提供了信息和信心,即产品满足或超过标准中规定的最低安全特征和控制。如果没有严格的符合性评估,认证标志提供的是空洞的承诺,对买家来说几乎没有任何有意义的信息,从根本上降低了标准和相关认证标志的价值。需要明确的是,我们不认为政府应该在消费者连接设备的背景下强制实施安全标准或认证测试制度。[60]
符合性评估是另一个可以利用强设备标识来确保符合标准的领域。通过认证和撤销,网络和其他设备可以使用设备的身份(例如,数字证书)来查询该设备是否已经过测试和符合安全标准的认证,以及该设备是否仍然符合或已被撤销其认证。在安装新设备时,本地网络或其他设备可以使用证书管理器提供的遵从性信息来确定对该新设备的信任级别。这种具有认证的强数字证书的使用消除了物联网提供商在标准符合性方面做出虚假声明的能力,并最大限度地减轻了消费者在安装和监督设备符合性方面的负担。
结论
不安全的连接设备的迅速扩散正在增加消费者和互联网基本功能的风险。为了降低这些风险,物联网行业和更广泛的互联网生态系统必须共同努力,通过开发和采用强大的行业主导的物联网设备安全标准,减轻不安全设备的风险,确保未来的设备更安全。正如本文所详述的,一个由行业主导的、基于标准的方法必须全面解决安全的技术领域,并确保开发组织是开放和平衡的,确保正当程序和共识,推动标准的广泛采用,解决参与者的知识产权问题,并通过强有力的认证测试和执行确保符合标准。
附录1:物联网技术安全目标概述
| 类别 | 描述 | 每个物联网设备的目标 |
|---|---|---|
| 设备标识 | 每个设备都需要一个可验证的、不可变的、唯一的标识符。 | 使用安全的基于证书的方法(PKI)为每个设备提供可验证的、不可变的和唯一的标识符;证书发行;生命周期管理;和撤销。 |
| AAA /新员工培训 | 要求使用强认证、授权和责任(AAA)方法来配置和管理设备。 | 使用强设备标识强制强身份验证(识别用户或设备),没有共享默认凭据;通过既定机制强制使用授权,以提供对网络和设备资源的访问;亚博全球最大投注平台结合责任机制,将设备操作与身份验证和授权相关联。 |
| 保密 | 保护敏感数据不被未经授权的个人、实体、设备或进程访问。 | 识别敏感信息(PHI、PII、凭据等)并适当地保护这些数据。对本地存储的敏感信息使用加密。在使用时保护敏感信息(例如,私钥)。对传输中的敏感数据使用相互端点身份验证和应用程序级加密(端到端)。为匿名发现请求提供临时标识符,并限制对匿名自省和反射请求可用的信息。 |
| 完整性 | 确保设备是可信赖的,与设备相关的过程、数据和通信是准确的。 | 使用完善的方法确认设备标识、执行环境、配置和通信是授权的和适当的。通过关闭不必要的端口,禁用不必要的服务,并使用带有配置验证的安全引导加载程序,加强设备以最小化攻击面。考虑对关键通信使用不可抵赖方法。 |
| AVAILABLILITY | 确保设备和相关通信的正常运行。 | 在网络或无线电通信中断或中断的情况下,计划适当的设备行为。使用限制性(而不是允许性)的默认网络流量策略将通信限制在预期的规范范围内,防止意外和恶意的拒绝服务攻击。 |
| 生命周期管理 | 在设备的整个生命周期内支持足够的安全操作、更新和通信。 | 在公开支持期间提供安全、自动化、更新机制,并公开披露漏洞补救措施和EOL/EOS功能更改。 |
| 未来(可升级的)安全性 | 计划需要的安全改进,以支持与生命周期管理一致的等效设备和网络安全。 | 包括对更长的密钥长度、更强的加密算法/密码套件的支持,以及在设备支持的生命周期内基于硬件的安全性。 |
附录2:开发组织的治理目标
| 类别 | 描述 | 发展组织的目标 |
|---|---|---|
| 开放 | 参与标准。 | 在非歧视的基础上向所有有关各方开放,包括资源有限的各方(如民间社会)。亚博全球最大投注平台 |
| 平衡 | 整个生态系统的代表性和参与度。 | 提供平衡的利息。避免单一利益类别的主导地位,确保整个利益相关者生态系统的公平和公平代表和参与。 |
| 正当程序——通知、透明、申诉 | 关于通知、透明度、标准开发过程和申诉的文件化政策和程序。 | 文件化和可用的政策和程序。为会议和标准开发活动提供及时和充分的通知。听取其他参与者的意见和反对意见。解决冲突的公平和公正程序,包括程序性上诉。标准和合格评定程序的可用性。 |
| 共识 | 决策过程。 | 决策应通过一个合作过程来达成,该过程应吸收所有有关方面的意见。Consensus是指普遍同意,并不一定是全体一致。 |
| 采用 | 使用和接受标准和合格评定程序。 | 在整个生态系统中广泛采用标准和合格评定过程。面向消费者的信息应该传达安全可靠性。 |
| 知识产权 | RAND或RF专利政策。 | 要求参与者披露基本专利并遵守RAND或RF许可条款。 |
| 合格评定-认证测试和执行 | 确保符合标准的机制。 | 强大而透明的认证和执行计划,包括高级和事后合规测试,以及适当的撤销认证机制。 |
尾注
- [1]本文的重点是消费者/零售单一用途的连接设备(即物联网)。所讨论的安全领域一般适用于任何连接互联网的设备;但是,我们认识到,在关键或更敏感的应用程序中,可能需要额外的安全特性。
- [2]Chris Lane,《长远展望:移动2025——第二部分——基于机器的需求前景如何?》伯恩斯坦研究公司,2017年7月18日。
- [3]通信安全、可靠性和互操作性委员会,《美国互联网服务提供商反机器人行为准则最终报告》(2012年3月),https://transition.fcc.gov/bureaus/pshs/advisory/csric3/CSRIC-III-WG7-Final-ReportFinal.pdf“机器人是一种被恶意感染的计算设备,如个人电脑、平板电脑、智能手机或其他联网设备。恶意软件通过黑客可利用的各种工具(木马、网络钓鱼、有针对性的网络黑客等)安装到设备上。恶意软件建立到远程命令和控制服务器的连接,允许不法分子远程集中控制一组被机器人感染的设备。一个集中管理的机器人组被称为僵尸网络。”)。
- [4]参见Brian Krebs, KrebsOnSecurity命中创纪录的DDoS, KrebsOnSecurity(2016年9月21日),https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/(解释说Mirai僵尸网络被用于对“KrebsonSecurity”网站发起创纪录的DDoS攻击(665Gbps));全球基础设施安全报告,ArborNetworks (2017),https://www.arbornetworks.com/insight-into-the-global-threat-landscape(突出显示DDoS攻击的频率和规模不断增加)。
- [5]思科,Zettabyte时代:趋势和分析,趋势6:安全分析(更新于2017年6月7日),http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-vni/vni-hyperconnectivity-wp.html.
- [6]Javvad Malik,威胁汇聚:物联网遇到勒索软件,DarkReading(2017年3月6日),http://www.darkreading.com/vulnerabilities---threats/threats-converge-iot-meets-ransomware/a/d-id/1328304.
- [7]例如,克里斯托弗·米姆斯,如果你现在认为网络犯罪是可怕的,只要等到黑客可以控制和监控你环境中的每一个物体,QUARTZ(2013年8月5日),https://qz.com/111944/if-you-think-cybercrime-is-scary-now-just-wait-until-hackers-can-control-and-monitor-every-object-in-your-environment/;Lorenzo Franceschi-Bicchierrai,黑客为智能恒温器制造了第一个勒索软件,MOTHERBOARD(2016年8月7日),https://motherboard.vice.com/en_us/article/internet-of-things-ransomware-smart-thermostat.
- [8]Roberto Baldwin,研究人员发现蓝牙锁存在巨大安全漏洞,engadget(2016年8月10日),https://www.engadget.com/2016/08/10/researcher-finds-huge-security-flaws-in-bluetooth-locks/.
- [9]迈克尔·卡洛雷:担心中情局黑了你的三星电视?以下是如何判断,连线(2017年3月7日),https://www.wired.com/2017/03/worried-cia-hacked-samsung-tv-heres-tell/.
- [10]Selena Larson, FDA证实圣裘德的心脏设备可以被黑客入侵,CNN(2017年1月9日),http://money.cnn.com/2017/01/09/technology/fda-st-jude-cardiac-hack/.
- [11]强生警告糖尿病患者:胰岛素泵易遭黑客攻击,路透社(2016年10月4日)http://www.reuters.com/article/us-johnson-johnson-cyber-insulin-pumps-e-idUSKCN12411L.
- [12]《黑客在奥地利酒店使用新策略:锁门》,《纽约时报》(2017年1月30日)https://www.nytimes.com/2017/01/30/world/europe/hotel-austria-bitcoin-ransom.html.
- [13]斯科特·希尔顿,Dyn对10月21日星期五袭击的分析摘要,Dyn(2017年10月26日),https://dyn.com/blog/dyn-analysis-summary-of-friday-october-21-attack/[以下简称Dyn分析]。
- [14]参见,例如,Brian Krebs, DDoS对Dyn影响Twitter, Spotify, Reddit, KrebsOnSecurity(2016年10月21日),https://krebsonsecurity.com/2016/10/ddos-on-dyn-impacts-twitter-spotify-reddit/;Darrell Etherington & Kate Conger,大型DDoS攻击导致Twitter, Spotify和其他网站中断,TechCrunch(2016年10月21日),https://techcrunch.com/2016/10/21/many-sites-including-twitter-and-spotify-suffering-outage/.
- [15]参见Darlene Storm,新的僵尸网络每天发起大规模DDoS攻击,计算机世界(2016年12月5日),http://www.computerworld.com/article/3147081/security/new-botnet-launching-daily-massive-ddos-attacks.html;Waqas OVH主机遭受1TBPS DDoS攻击;有史以来最大的互联网,HackRead(2016年9月),https://www.hackread.com/ovh-hosting-suffers-1tbps-ddos-attack/;Brian Krebs, KrebsOnSecurity遭遇创纪录的DDoS攻击,KrebsOnSecurity(2016年9月21日),https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/;Phil Muncaster,世界上最大的比特币交易所Bitfinex被DDoS瘫痪,信息安全(2017年6月15日),https://www.infosecurity-magazine.com/news/worlds-largest-bitcoin-exchange/.
- [16]参见,例如,美国通信部门协调委员会,行业技术白皮书,App. A(2017年7月17日),可在https://www.comms-scc.org/botnets.
- [17]电缆运营商的DDoS监控和缓解措施可能包括在电缆运营商网络内部部署专门的硬件,与专门的DDoS缓解服务提供商的合同安排,和/或与上游网络运营商的合同安排,以协助DDoS缓解。
- [18]宽带时代的网络安全,10-11,CableLabs (2017),亚博yabo888vip网页版https://www-res.亚博yabo888vip网页版cablelabs.com/wp-content/uploads/2017/04/28093350/Securing-Networks-in-the-Broadband-Age-2017.pdf.
- [19]被欺骗的源IP地址是实施反射放大DDoS攻击的关键。攻击者会使受到攻击的设备(如僵尸网络)将目标IP地址插入为源IP地址的数据包发送到响应数倍于请求的远程应用程序(如DNS应用程序,其响应可能超过请求的50倍)。然后响应将被定向到被欺骗的源IP地址中指定的目标。DDoS流量不是直接来自受损设备,而是提供服务的网络元素——“反射”——响应比原始请求大得多——“放大”。例如,互联网协会,解决IP欺骗的挑战,https://www.internetsociety.org/doc/addressing-challenge-ip-spoofing(最后一次访问是2017年7月13日)。通过阻断源IP地址被欺骗的报文,isp可以最大限度地降低其网络中设备受到反射放大DDoS攻击的风险。
- [20]在2006年之前,SAV成为DOCSIS规范中的强制性要求,许多电缆运营商和CMTS供应商认识到SAV的价值,并已经在采用类似的技术和技术。
- [21]亚博yabo888vip网页版CableLabs, DOCSIS 3.1安全规范,章节9.6(2017年1月11日),https://specification-search.亚博yabo888vip网页版cablelabs.com/CM-SP-SECv3.1;亚博yabo888vip网页版电缆实验室,DOCSIS 3.0安全规范,第9.6节(2016年6月2日),https://specification-search.亚博yabo888vip网页版cablelabs.com/docsis-3-0-security-specification.
- [22]参见新闻稿,M3AAWG发布新文件,解释密码安全,多因素身份验证,加密使用和DDoS防护;宣布2017年领导和委员会主席,M3AAWG(2017年4月4日)https://www.m3aawg.org/news/rel-leadership-papers-2017-04(这只是行业信息共享努力的一个例子)。
- [23]例如,绝大多数Mirai僵尸网络攻击流量来自美国以外的受损物联网设备。例如,Ionut Arghire, Mirai僵尸网络感染164个国家的设备,安全周(2016年10月28日),http://www.securityweek.com/mirai-botnet-infects-devices-164-countries.
- [24]克里斯·莱恩,伯恩斯坦研究公司,2017年。
- [25]例如,Dyn分析;贾里德·纽曼,联网的“你好芭比娃娃”可以被黑客入侵,PCWorld(2015年12月7日),http://www.pcworld.com/article/3012220/security/internet-connected-hello-barbie-doll-can-be-hacked.html;安迪·格林伯格,黑客远程杀死高速公路上的一辆吉普车-我在里面,连线(2015年9月21日),https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/;Richard Adhikari,网络摄像头制造商因物联网安全问题遭到联邦贸易委员会指责,科技新闻世界(2013年9月5日)http://www.technewsworld.com/story/78891.html;研究人员使用5美元的扬声器入侵物联网设备,智能手机,汽车,TechRepublic(2017年3月15日),http://www.techrepublic.com/article/researchers-use-5-speaker-to-hack-iot-devices-smartphones-automobiles/;Lain Thomson, Wi-Fi婴儿心脏监护仪可能是2016年最糟糕的物联网安全,The Register(2016年10月13日),http://www.theregister.co.uk/2016/10/13/possibly_worst_iot_security_failure_yet/;nebgnahz, Awesome IoT Hacks, GitHub(最后更新2017年2月),https://github.com/nebgnahz/awesome-iot-hacks(提供物联网黑客的一般列表)。
- [26]电缆行业的PKI由CableLabs的子公司Kyrio管理,但需要明确的是,有亚博yabo888vip网页版多个相互竞争的PKI服务供应商可以支持和运营物联网行业的PKI。例如,digicert,https://www.digicert.com/;irdeto,https://irdeto.com/;赛门铁克,https://www.symantec.com/.
- [27]电缆行业的PKI由CableLabs的子公司Kyrio管理,但需要明确的是,有亚博yabo888vip网页版多个相互竞争的PKI服务供应商可以支持和运营物联网行业的PKI。例如,digicert,https://www.digicert.com/;irdeto,https://irdeto.com/;赛门铁克,https://www.symantec.com/.
- [28]Passpoint发布2运营商最佳实践,Wi-Fi联盟(2015年3月24日),http://www.wi-fi.org/downloads-registered-guest/Passpoint_R2_Operator_Best_Practices_for_AAA_Interface_Deployment_v3.0.pdf/29557.
- [29]一般参见OWASP,密码存储Cheat Sheet, Section 2.1.2(最后修订于2017年5月17日),https://www.owasp.org/index.php/Cryptographic_Storage_Cheat_Sheet.
- [30]例如,Benedikt Abendroth, Aaron Kleiner, & Paul Nicholas,物联网网络安全政策,微软,在10,11 (2017),https://mscorpmedia.azureedge.net/mscorpmedia/2017/05/IoT_WhitePaper_5_15_17.pdf(以下简称微软)。
- [31]参见GSMA,端点生态系统物联网安全指南,第54页(2016年2月),https://www.gsma.com/iot/wp-content/uploads/2016/02/CLP.13-v1.0.pdf.
- [32]例如,Andrew Hilts,“你每一步都是假的:健身追踪器隐私和安全的比较分析”,开放效应(2016年2月2日),https://openeffect.ca/fitness-tracker-privacy-and-security/(“8个健身跟踪设备中有7个会发出持久的唯一标识符(蓝牙媒体访问控制地址),当设备没有配对或连接到移动设备时,佩戴者的位置可能会被长期跟踪。”)
- [33]参见,例如,探索物联网安全,AT&T网络安全洞察,第二卷,AT&T(2016),第20页https://www.business.att.com/cybersecurity/docs/exploringiotsecurity.pdf(“设备不应向网络提供任何不需要支持其核心功能的服务。”);微软第10名(“当前部署可能不需要的功能可能仍然可以通过API层使用,所以一定要检查所有集成组件的接口上的安全漏洞”)。
- [34]米歇尔·阿尔瓦雷斯,物联网和Telnet的后果:远见胜于后见之明,安全情报(2016年11月8日),https://securityintelligence.com/consequences-of-iot-and-telnet-foresight-is-better-than-hindsight/.
- [35]见宽带互联网技术咨询小组(BITAG),物联网(IoT)安全和隐私建议,21(2016年11月),_Security_and_Privacy_Recommendations.pdf https://www.bitag.org/documents/BITAG_Report_-_Internet_of_Things_(物联网)(以下简称BITAG)。
- [36]信息技术-开放系统互连-开放系统中的安全框架:不可抵赖框架,国际电信联盟(1996年10月),http://www.itu.int/rec/T-REC-X.813-199610-I(“不可抵赖服务的目标是收集、维持、提供和验证与索赔事件或行动有关的无可辩驳的证据,以解决关于该事件或行动的发生或未发生的争议”)。
- [37]Bekara, Chakib, Thomas Luckenbach, & Kheira Bekara,具有不可抵赖服务的高级计量基础设施的隐私保护和安全认证协议,能源程序(2012)。
- [38]马特·伊根,技术顾问(2014年11月26日),当Wi-Fi或电源断电时,智能供暖会发生什么http://www.techadvisor.co.uk/how-to/digital-home/what-happens-smart-heating-when-wi-fi-or-power-is-down-3588749/.
- [39]BITAG在13。
- [40]例如,见联邦贸易委员会,物联网:互联世界中的隐私与安全,31(2015年1月),https://www.ftc.gov/system/files/documents/reports/federal-trade-commission-staff-report-november-2013-workshop-entitled-internet-things-privacy/150127iotrpt.pdf(“公司也应该在提供持续的安全更新和软件补丁的声明中坦率地表示。”)
- [41]联邦贸易委员会,联邦贸易委员会关于“传达物联网设备安全更新能力以提高消费者透明度”的公开评论,7(2017年6月),https://www.ftc.gov/policy/policy-actions/advocacy-filings/2017/06/ftc-comment-national-telecommunications-information[以下FTC升级评论](在销售之前,物联网提供商应披露最低保证安全支持期,而不是“预期”支持期,以“为消费者提供清晰、具体的信息,以便比较设备。”)
- [42]参见,例如,FTC升级性评论在6 & n.32;BITAG 18-19。
- [43]国土安全部,保护物联网(IoT)的战略原则,7(2016年11月15日),https://www.dhs.gov/sites/default/files/publications/Strategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINAL....pdf.
- [44]宽带时代的网络安全,CableLabs(2017年春季),亚博yabo888vip网页版https://www.亚博yabo888vip网页版cablelabs.com/securing-networks-broadband-age/.
- [45]Brandon Lewis,一次性无线绷带合并医疗和物联网,嵌入式计算设计(2014年7月24日),http://embedded-computing.com/news/disposable-wireless-bandages-merge-medical-and-iot/#.
- [46]BITAG在16。
- [47]BITAG在23。
- [48]见联邦贸易委员会升级评论第8页(“委员会建议,如果一个‘智能’设备在安全支持结束时停止工作或变得非常脆弱,如果消费者希望一个类似的‘哑巴’设备有更长的、更安全的使用寿命,那么制造商应该在购买前向消费者披露这些关键的使用限制。”)。
- [49]见OMB通告A-119,第2. i.;另见国际标准化组织和国际电工委员会,指南59,第6.1节,标准化良好实践规范(1994)[以下简称ISO/IEC指南59](解释标准制定过程必须“对实质性和直接感兴趣的”各方开放)。
- [50]见OMB通告A-119,第2. i.;参见ISO/IEC指南59第4.1和4.3节。
- [51]例如,见OMB通告A-119,第2.e节。ii和附件A;ISO/IEC指南59第6.5节。
- [52]例如,见OMB通告A-119,第2.e.iii节;另见ISO/IEC指南59,第4.1和4.3节(强调规范标准开发过程的书面程序的必要性,这些程序对相关方合理可用,并适当通知相关方,使相关方有机会作出有意义的贡献)。
- [53]例如,见OMB通告A-119,第2.e.iv节;ISO/IEC指南59第4.2节(解释“书面程序应包含可识别的、现实的和随时可用的申诉机制,以便公正地处理任何实质性和程序性投诉”);加拿大标准委员会,要求和指导-标准开发组织的认证,21(2015年10月1日)。
- [54]OMB通告A-119,第2.e.v节;另见,英国标准出版物,标准的BSI标准-标准化原则,第3.16节(2011);加拿大标准委员会,要求和指导-标准开发组织的认证,9,15(2015年10月1日)。
- [55]OMB通告A-119,第2.e.v条;一般参见ISO/IEC指南59,章节1.4,4.1- 2;加拿大标准委员会,要求和指导-标准开发组织的认证,21(2015年10月1日);世界贸易组织,WTO协定系列:技术性贸易壁垒协定122-24。
- [56]参见迈克尔·卡茨和卡尔·夏皮罗,《网络外部性、竞争和兼容性》,上午75点。经济学。Rev. 3,424(1985年6月)(说明“给定用户从该商品中获得的效用取决于同一‘网络’中的其他用户的数量”,由此增加对该商品的采用/消费会增加该商品对所有用户的效用)。
- [57]OMB通告A-119,第2.d节;另见欧洲联盟官方公报:附件二:识别ICT技术规范的要求亚博苹果版怎么下载(2012年11月14日)
- [58]OMB通告A-119,第2.d节;另见欧洲联盟官方公报:附件二:识别ICT技术规范的要求亚博苹果版怎么下载(2012年11月14日)
- [59]详见OMB通函A-119第7节。
- [60]关于政府强制标准或认证测试制度的危险的讨论超出了本文的范围。
关于Cabl亚博yabo888vip网页版elabs
作为电缆行业领先的创新和研发实验室,CableLabs通过其世界各地的成员公司及其子公司Kyrio和UpRamp创造了全球影亚博yabo888vip网页版响力。凭借最先进的研究和创新设施以及与数千家供应商的协作生态系统,CableLabs为整个行业提供了有影响力的网络技术。亚博yabo888vip网页版
关于Informed Insights
亚博yabo888vip网页版CableLabs创建了Inform[ED] Insights系列,定期讨论有可能改变电缆业务和整个社会的重大技术发展。
有线电视行业连接和娱乐着全球各地的人们,为经济增长做出了重大贡献,并为我们运营的国家提供了丰富的话语。Inform[ED] Insights将为各个部门和学科的领导者提供通信技术事实和见解,以此为基础做出重要决策。
