在2018年MEMS執行大會上，MITRE公司首席網絡安全工程師Cynthia Wright就網絡安全發表了號召行動的主題演講。此外，去年夏天我去加拿大溫哥華的時候也提醒了我LoRa安全的重要性。我們聽到谷歌云物聯網產品管理主管Antony Passemard表示，LoRa聯盟圍繞互操作性和開放性的愿景，即構建全球最開放的云，實現更快的創新和更緊密的安全。

在這個物聯網時代，聯網設備正受到黑客加速軟件的攻擊。信任／身份驗證在所有網絡中都是至關重要的，因為黑客的技術越來越高超，他們可能處于虛榮心或者因為國際或企業的間諜活動和破壞為目的進行破壞。

當前的安全狀況

目前，LoRa基于預共享密鑰（PSK）體系結構，但這還不足以解決網絡安全基礎問題

設備漏洞

在現有的LoRaWAN系統中，身份驗證密鑰通常存儲在閃存中。黑客可以訪問這些密鑰，并輕松的偽造這些密鑰，從而深陷設備身份被盜的風險。

后端漏洞

在LoRaWAN 1．0x中，一個AppSKey可以由擁有該AppKey的網絡服務器提供者派生，因此可以解密相關的客戶數據。此外，應用服務器提供者可以使用AppKey派生NwKSKey并克隆LoRaWAN端節點。

LoRaWAN 1．1改進了后端安全性，當擁有AppKey時，只派生AppSKey。而且，對于NwKKey，只能派生NwkSKey。然而，AppKey和NwKKey之間仍然可以互相訪問，并向軟件和人員公開，但這需要更多的安全措施。

重鍵漏洞

我們需要了解如何在全局范圍內將密鑰從網絡傳輸到網絡服務器，以及從應用程序傳輸到應用程序服務器。前提是我們首先需要復制密鑰來移動它，然后我們需要信任它之前的網絡。

在服務器解決方案中，我們需要重新鍵入。這可以在應用程序或網絡服務器中生成，但仍然會有受到軟件攻擊的風險。

在節點解決方案中，我們還需要重新鍵控。如今，新密鑰在服務器之間可通過云端推送，但它仍然暴露在微控制器中，并且是由不受信任的、未經驗證的根密鑰創建的。

供應鏈從人為到服務器之間的漏洞

LoRaWAN中安全身份驗證中的漏洞