物联网安全开始回到“默认可信最少”的原则：从 Zigbee 到 Matter 都在往这条路上靠

物联网

发布日期: 2026-04-20

导语：
截至 2026 年 4 月 20 日，IoT 平台如果还把安全理解成“上线前做一次渗透、认证时过一套 checklist”，已经越来越不够用了。Connectivity Standards Alliance 这段时间给出的几条线索非常有代表性：4 月 1 日发布 Zigbee Privacy & Security Fundamentals，3 月 31 日 Matter 1.5.1 继续强化 camera 相关能力与设备灵活性，2 月底又有 Aliro 1.0 将数字凭证和访问控制拉进统一标准。
把这些线索放在一起，方向其实很清楚：IoT 正在重新回到“默认可信最少”的设计原则。

1. 为什么现在更该看“安全基础”而不是“新功能”

Zigbee 那篇安全基础文章里有一句话很值得记住：安全不是附加项，而是基础。
这句话听起来像宣传语，但放在当前 IoT 项目里其实非常贴切。因为过去几年很多平台把大部分精力放在设备兼容、生态扩张和接入速度上，结果真正导致项目后期吃亏的，反而是权限撤销、局域网边界、凭证流转和本地控制策略这些基础问题。

Matter 1.5.1 看似是 camera performance 和 device flexibility 的小版本改进，Aliro 1.0 看似是访问控制场景的新增标准，但它们共同都在把设备能力推向更敏感的空间：
视频、门禁、能耗、身份。
一旦进入这些领域，安全和隐私就不可能再靠“上线后补措施”来兜。

2. “默认可信最少”在 IoT 里具体意味着什么

第一，设备接入不等于完全信任。
即使接入成功，权限也应该最小化、可审计、可撤销。

第二，局域网不等于安全区。
很多 IoT 项目默认本地网络可信，这种假设已经越来越危险。尤其当手机、平板、访客设备、安装工具都混在同一空间里时，本地网络本身就是攻击面。

第三，数字凭证不该长期有效。
Aliro 1.0 之所以重要，不只因为它标准化了数字凭证，还因为它逼平台重新设计凭证的生命周期。

第四，摄像头和门禁能力必须和隐私策略同步。
Matter camera 方向的增强越强，越说明设备状态和隐私边界必须是联动设计。

3. 一套更现实的安全设计流程

第一步，按设备类型分级。
传感器、摄像头、门锁、网关、用户终端，不应该共享同一层信任假设。

第二步，把接入、授权、吊销拆开。
设备能连上只是开始。平台必须能明确看到：它现在持有什么权限、谁发的、什么时候该过期。

第三步，把局域网边界显性化。
哪些动作只允许本地、哪些必须云端确认、哪些可以离线但需要短时缓存，都应该单独设计。

第四步，让日志与资产视图统一。
如果资产台账、授权记录、设备日志彼此对不上，后面的安全排查基本都只能靠猜。

第五步，把退场做成验收动作。
设备更换、用户离职、租户迁出，都必须触发凭证和授权回收。

4. 当前最容易被忽略的盲区

一个盲区是“本地控制体验越顺越好”。
本地体验当然重要，但没有足够的权限约束，本地便利会迅速变成攻击入口。

另一个盲区是“标准兼容了，所以安全也更好了”。
标准只是提供了共同语言，不会替你自动完成权限设计和最小信任模型。

5. 建议本周执行的动作

盘点当前平台是否仍默认局域网可信。
为摄像头、门禁和数字凭证单独做权限生命周期设计。
检查设备入网成功和授权成功是否仍被混成一个状态。
为离场与退场流程增加强制吊销和审计。
重新梳理哪些设备能力应该走最小权限策略。

6. 结语

IoT 项目最危险的一点，不是设备越来越多，而是大家还在用旧的信任假设看待越来越敏感的能力。到了 2026 年 4 月，无论是 Zigbee、Matter 还是 Aliro，给出的方向都在往同一处收：更少默认信任、更清楚的权限边界、更完整的凭证生命周期。平台如果还不顺着这条线重构，后面的风险只会越来越集中。