物聯網設備 ( ZigBee ) 保安研究

為緊貼物聯網席捲全球大勢，世界各地的不同產業正積極開發和應用內附這技術功能的產品。其中，無線技術ZigBee 憑著低功耗設計和簡單設定，已被廣泛用於物聯網設備的開發及市場應用。

ZigBee 內傳輸的網絡請求和應答數據包比較簡單，以便在設備上進行簡單的數據讀取或指令操作。而應用 ZigBee 的物聯網設備可大概分為五類用途：

1. 用以數據分析的感測器
2. 自動化決策和控制的感測器
3. 繼電器和開關控制
4. 直接的機械控制
5. 重要基礎設施

因應物聯網設備的應用日趨普及，尤其是對於在智能家居環境內支援 ZigBee 的設備，HKCERT 最近完成了一項 ZigBee 設備的保安研究，期望透過測試結果闡釋相關的保安問題，提高產品開發人員和一般用戶的保安意識。

研究報告會先簡述ZigBee技術，並解譯保護使用這技術作無線通信的保安功能。這研究除了找出此類設備遭受攻擊的可能性以及其相應的防禦方法外，亦為其配對和加密方法進行保安分析，以及對數據保護進行了測試。

在研究報告中，HKCERT提供增強 ZigBee 設備安全性的建議，而以下五項是部署 ZigBee 設備時值得注意的安全配置：

1. 信任中心的連接密鑰 ( Trust Centre Link Key )
2. 網絡密鑰 ( Network Key )
3. 智能樞紐 ( Smart Hub ) 的安全控制
4. 設備配對的控制
5. 設備的連接管理

HKCERT以列表方式羅列出用途、產品設計中的注意事項，以及相應的安全性配置。希望開發人員能夠簡易地從不同應用要求當中，找到最適合的安全配置以供參考。

請按此下載 《 物聯網設備 ( ZigBee ) 保安研究 》。用戶或開發者如對研究有任何意見或查詢，歡迎透過電郵 [email protected] 或 24 小時熱線電話 8105 6060 與 HKCERT 聯絡。