安全圈 | 专注于最新网络信息安全讯息新闻

 首页

物聯網安全綜述白皮書

作者 landy 时间 2020-02-27
all

閱讀:16123

早在1999年,MIT AutoID研究室的Kevin Ashton在研究將射頻識別資訊與互聯網相連接的時候首先提到了物聯網的概念;同年,在美國召開的移動計算和網絡國際會議就提出,“傳感網是下一個世紀人類面臨的又一個發展機遇”;2005年11月17日,資訊時代世界峰會(WSIS)上,國際電信聯盟(ITU)發佈了《ITU互聯網報告2005:物聯網》,正式提出了“物聯網”的概念;2009年8月,溫家寶總理到無錫物聯網產業研究院考察時,明確訓示在物聯網的發展中,要早一點謀劃未來,早一點攻破核心技術,並且明確要求儘快建立中國的傳感資訊中心,或者叫“感知中國”中心。物聯網已經被視為繼電腦和互聯網之後的第三次資訊技術革命。

一、物聯網安全概述

1、引言

那麼什麼是物聯網呢?維琪百科對於物聯網(Internet of Things)的定義為物聯網是將物理設備、車輛、建築物和一些其它嵌入電子設備、軟件、感測器等事物與網絡連接起來,使這些對象能够收集和交換數據的網絡。物聯網允許遠端系統通過現有的網絡基礎設施感知和控制事物,可以將物理世界集成到基於電腦系統,從而提高效率、準確性和經濟利益。經過二十多年的發展,物聯網已經逐步融入到我們的生活中來。從應用於家庭的智慧恒溫器,智慧電燈等設備,到與身體健康相關的智慧穿戴設備。每一種智慧設備的出現,都大大便利了人們的生活。

但是物聯網在給人們的生活帶來便利的同時,也會給人們帶來種種隱憂。2014年,研究人員演示了如何在15秒的時間內入侵家裡的恒溫控制器,通過對恒溫控制器數據的收集,入侵者就可以瞭解到家中什麼時候有人,他們的排程是什麼等資訊。許多智慧電視帶有監視器,即便電視沒有打開,入侵智慧電視的攻擊者可以使用監視器來監視你和你的家人。攻擊者在獲取對於智慧家庭中的燈光系統的訪問後,除了可以控制家庭中的燈光外,還可以訪問家庭的電力,從而可以新增家庭的電力消耗,導致極大的電費帳單。種種安全問題提示人們,在享受物聯網帶來的方便快捷的同時,也要關注物聯網的安全問題。

CSA發佈的白皮書《Security Guidance for Early Adopters of the Internet of Things(IoT)》中提到IoT帶來如下新的挑戰:

物聯網是互聯網的延伸,囙此物聯網的安全也是互聯網安全的延伸,物聯網和互聯網的關係是密不可分、相輔相成的。但是物聯網和互聯網在網絡的組織形態、網路功能以及效能上的要求都是不同的,物聯網對實时性、安全可信性、資源保證等方面有很高的要求,物聯網與互聯網的區別在錶1.1中得到體現。物聯網的安全既構建在互聯網的安全上,也有因為其業務環境而具有自身的特點。總的來說,物聯網安全和互聯網安全的關係體現在:物聯網安全不是全新的概念,物聯網安全比互聯網安全多了感知層,傳統互聯網的安全機制可以應用到物聯網,物聯網安全比互聯網安全更複雜。

錶1.1物聯網和互聯網對比

也會用到互聯網的協定(HTTP、HTTPS、XMPP等)

TCP/ IP協議

2、物聯網安全的體系結構

對於物聯網安全的體系結構的理解有助於快速找到安全的切入點,本節將首先介紹物聯網的體系結構,然後引出物聯網安全的體系結構。

物聯網的體系結構通常認為有3個層次:底層是用來感知(識別、定位)的感知層,中間是資料傳輸的網路層,上面是應用層。

感知層包括以感測器為代表的感知設備、以RFID為代表的識別設備、GPS等定位追跡設備以及可能融合部分或全部上述功能的智慧終端等。感知層是物聯網資訊和數據的來源,從而達到對數據全面感知的目的。

網路層包括接入網和核心網。接入網可以是無線近距離接入,如無線局域網、ZigBee、藍牙、紅外,也可以是無線遠距離接入,如移動通信網絡、WiMAX等,還可能是其他形式的接入,如有線網路接入、現場匯流排、衛星通信等。網路層的承載是核心網,通常是IPv4網絡。網路層是物聯網資訊和數據的傳輸層,將感知層採集到的資料傳輸到應用層進行進一步的處理。

應用層對通過網路層傳輸過來的數據進行分析處理,最終為用戶提供豐富的特定服務,如智慧電網、智慧物流、遠端醫療、智慧交通、智能家居、智慧都市等。依靠感知層提供的數據和網路層的傳輸,進行相應的處理後,可能再次通過網路層迴響給感知層。應用層對物聯網資訊和數據進行融合處理和利用,達到資訊最終為人所使用的目的。

物聯網的安全架構可以根據物聯網的架構分為感知層安全、網路層安全和應用層安全。如圖1.1,感知層安全的設計中需要考慮物聯網設備的計算能力、通信能力、存儲能力等受限,不能直接在物理設備上應用複雜的安全技術,網路層安全用於保障通信安全,應用層則關注於各類業務及業務的支撐平臺的安全。

圖1.1物聯網安全體系結構

3、研究專案和標準化組織

物聯網安全項目

物聯網安全項目(Secure Internet of Things Project)[1]是一個跨學科的研究專案,包括斯坦福大學、UC伯克利大學和密歇根大學的電腦系和電子工程系。

[1] http://iot.stanford.edu/

TRUST

TRUST[1]是斯坦福大學的電腦安全實驗室[2]的一個項目,針對的是物理基礎設施的安全研究。該項目定位於下一代的SCADA和網絡嵌入式系統,它們控制關鍵的物理基礎設施(如電網、瓦斯、水利、交通等)以及未來的基礎設施(如智能建築)和結構(如active-bridges,它的結構完整性依賴於動態控制或actuators)。

該研究具有前瞻性,隨著工業化與信息化的融合,原有的工業控制環境發生了變化,為了更好地抵抗來自互聯網的攻擊,有必要設計下一代的SCADA和網絡嵌入式系統。

[1] https://www.truststc.org/index.html

[2] http://seclab.stanford.edu/

OWASP Internet of Things Project

開放式Web應用程序安全項目(OWASP,Open Web Application Security Project)[1]是一個組織,它提供有關電腦和互聯網應用程序的公正、實際、有成本效益的資訊。其目的是協助個人、企業和機构來發現和使用可信賴軟件。OWASP物聯網項目的目標是幫助製造商、開發人員、消費者更好地理解與物聯網相關的安全問題,使得用戶在構建、部署或者評估物聯網科技時可以更好地製定安全決策。該項目包括物聯網攻擊面、脆弱性、固件分析、工控安全等子項目。

CSA

雲安全聯盟(Cloud Security Alliance,CSA)[2],成立於2009年3月31日,其成立的目的是為了在云計算環境下提供最佳的安全方案。CSA包含很多個工作組,其中的物聯網工作組(https://cloudsecurityalliance.org/group/internet-of-things/)關注於理解物聯網部署的相關用例以及定義可操作的安全實施指南。

[1] https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project

[2] https://cloudsecurityalliance.org/

NIST

美國國家標準與技術研究院(National Institute of Standards and Technology,NIST)直屬美國商務部,從事物理、生物和工程方面的基礎和應用研究,以及量測科技和測試方法方面的研究,提供標準、標準參攷數據及有關服務,在國際上享有很高的聲譽

國家安全和經濟安全依賴於可靠的關鍵基礎設施的運作。網路空間安全對關鍵基礎設施系統會造成很大的影響,為了能够處理這個威脅,NIST[1]提出了網路安全架構。這個架構是由一系列的工業標準和工業最佳實踐組成的,目的是幫助企業管理網路空間安全威脅。

這個架構是業務驅動的,來指導網路空間安全活動,並使公司將考慮網路空間安全威脅作為公司威脅管理的一部分,架構主要包括三個部分:架構覈心、架構輪廓和架構實現層。這個架構使公司–不管規模是多少、面臨的網路安全威脅有多嚴重或者網路空間安全問題的複雜性—都可以應用這些規則和最佳實踐來進行風險管理以提高關鍵基礎設施的安全性和恢復力。

IoT Security Foundation

IoTS[2]的成員包括ARM、華為等公司。他們的目標是幫助物聯網實現安全性,使得物聯網能够被廣泛使用,同時他的優點能够被最大化的利用。為了實現這個目標,他們要提升科技理論水准和瞭解業界的最佳實踐,為那些生產或者使用物聯網設備的人提供支援。

[1] http://www.nist.gov/cps/

[2] https://iotsecurityfoundation.org/working-groups/

二、物聯網安全需求及對策

1、引言

物聯網科技的出現,使我們的生活更加方便、快捷的同時,也不可避免地帶來了一些安全問題。物聯網中的很多應用都與我們的生活息息相關,如監視器,智慧恒溫器等設備,通過對它們的資訊的採集,可直接或間接地暴露用戶的隱私資訊。由於生產商缺乏安全意識,很多設備缺乏加密、認證、存取控制管理的安全措施,使得物聯網中的數據很容易被竊取或非法訪問,造成數據洩露。物聯網這種新型的資訊網路往往會遭受有組織的APT攻擊。由此可見,物聯網安全問題需要引起我們的高度重視。

物聯網涵蓋範圍廣泛,本章關注於物聯網安全中較為通用的安全需求,並給出了相應的對策,讓讀者對物聯網安全需求和研究方向有更加深刻的瞭解。通過圖2.1,也可以發現,物聯網的不同層次可能面臨相同的安全需求。

2、隱私保護

物聯網中的很多應用都與我們的生活息息相關,如監視器,智慧恒溫器等設備,通過對它們的資訊的採集,會直接或間接地暴露用戶的隱私資訊。所以隱私保護是物聯網安全問題中應當注意的問題之一。

3、認證

4、存取控制管理

閘道是很多公司的關注點。Vidder公司的產品基於CSA定義的軟件定義邊界,只有認證後才能對服務進行訪問。CUJO公司的智慧防火牆,採用了閘道+雲+手機APP的模式,手機APP可以看到對於內部網絡的訪問情况,並進行存取控制,雲端對閘道採集的流量數據進行分析並提供預警。

未來的智慧家庭安全將會是一個關注點,隨著家庭中智慧設備的增多,設備本身的存取控制並不足以抵抗日益複雜的網絡攻擊,如果設備本身存在漏洞,攻擊者將可能繞過設備的認證環節。一個自然的思路是在網絡的入口做統一的存取控制,只有認證的流量才能够訪問內部的智慧設備。

5、數據保護

6、物理安全

7、設備保護和資產管理

三、物聯網安全相關科技

1、引言

物聯網安全產品的覈心在於科技,由於物聯網的安全是互聯網安全的延伸,那麼我們可以利用互聯網已有的安全技術,結合物聯網安全問題的實際需要,改進已有科技,將改進後的技術應用到物聯網中,從而解决物聯網的安全問題。如:互聯網環境中的防火牆科技,主要是對TCP/ IP協議數据包進行解析,而在物聯網環境中,防火牆還需要對物聯網中的特定協定進行解析,如工控環境中的Modbus、PROFIBUS等協定。此外物聯網還有其獨特性,如終端設備眾多,設備之間缺乏信任的問題,互聯網中現有的科技難以解决此類問題,所以我們還需要探索一些新的科技來解决物聯網中特有的新問題。

此外,由於物聯網將許多原本與網絡隔離的設備連接到網絡中,大大新增了設備遭受攻擊的風險。同時物聯網中的設備資源受限,很多設備在設計時較少考慮安全問題。還有物聯網中協定眾多,沒有統一標準等等這些安全隱患都可能被駭客利用,造成極大的安全問題,所以我們需要利用一些漏洞挖掘科技對物聯網中的服務平臺,協定、嵌入式作業系統進行漏洞挖掘,先於攻擊者發現並及時修補漏洞,有效减少來自駭客的威脅,提昇系統的安全性。囙此主動發掘並分析系統安全性漏洞,對物聯網安全具有重要的意義。

2、已有科技在物聯網環境中的應用

异常行為檢測

异常行為檢測對應的物聯網安全需求為攻擊檢測和防禦、日誌和稽核。

文章前面已經提到過,异常行為檢測的方法通常有兩個:一個是建立正常行為的基線,從而發現异常行為,另一種是對日誌檔進行總結分析,發現异常行為。

物聯網與互聯網的异常行為檢測科技也有一些區別,如利用大資料分析科技,對全流量進行分析,進行异常行為檢測,在互聯網環境中,這種方法主要是對TCP/ IP協議的流量進行檢測和分析,而在物聯網環境中,還需要對其它的協定流量進行分析,如工控環境中的Modbus、PROFIBUS等協定流量。此外,物聯網的异常行為檢測也會應用到新的應用領域中,如在車聯網環境中對汽車進行异常行為檢測。360研究員李均[1]利用機器學習的方法,為汽車的不同數據之間的相關性建立了一個模型,這個模型包含了諸多規則。依靠對行為模式、數據相關性和數據的協調性的分析對駭客入侵進行檢測。

程式碼簽名

對應的物聯網安全需求:設備保護和資產管理、攻擊檢測和防禦。

通過程式碼簽名可以保護設備不受攻擊,保證所有運行的程式碼都是被授權的,保證惡意程式碼在一個正常程式碼被加載之後不會覆蓋正常程式碼,保證程式碼在簽名之後不會被篡改。相較於互聯網,物聯網中的程式碼簽名科技不僅可以應用在應用級別,還可以應用在固件級別,所有的重要設備,包括感測器、交換機等都要保證所有在上面運行的程式碼都經過簽名,沒有被簽名的程式碼不能運行。

由於物聯網中的一些嵌入式設備資源受限,其處理器能力,通信能力,存儲空間有限,所以需要建立一套適合物聯網自身特點的、綜合考慮安全性、效率和效能的程式碼簽名機制。

白盒密碼

對應的物聯網安全需求:設備保護和資產管理。

物聯網感知設備的系統安全、數據訪問和資訊通信通常都需要加密保護。但由於感知設備常常散佈在無人區域或者不安全的物理環境中,這些節點很可能會遭到物理上的破壞或者俘獲。如果攻擊者俘獲了一個節點設備,就可以對設備進行白盒攻擊。傳統的密碼演算法在白盒攻擊環境中不能安全使用,甚至顯得極度脆弱,金鑰成為任何使用密碼技術實施保護系統的單一故障點。在當前的攻擊手段中,很容易通過對二進位檔案的反彙編、靜態分析,對運行環境的控制結合使用控制CPU中斷點、觀測寄存器、記憶體分析等來獲取密碼。在已有的案例中我們看到,在未受保護的軟件中,金鑰選取攻擊通常可以在幾個小時內成功選取以文字數據陣列管道存放的金鑰程式碼。

白盒密碼演算法[2]是一種新的密碼演算法,它與傳統密碼演算法的不同點是能够抵抗白盒攻擊環境下的攻擊。白盒密碼使得金鑰資訊可充分隱藏、防止窺探,囙此確保了在感知設備中安全地應用原有密碼系統,極大提升了安全性。

白盒密碼作為一個新興的安全應用科技,能普遍應用在各個行業領域、應用在各個科技實現層面。例如,HCE雲支付、車聯網,在端點(手機終端、車載終端)層面實現金鑰與敏感數據的安全保護;在云計算上,可對雲上的軟體使用白盒密碼,保證在雲這個共亯資源池上,進行加解密運算時用戶需要保密的資訊不會被洩露。

over-the air(OTA)

對應的物聯網安全需求:設備保護和資產管理。

空中下載科技(over-the air,OTA),最初是運營商通過移動通信網絡(GSM或者CDMA)的空中介面對SIM卡數據以及應用進行遠端系統管理的科技,後來逐漸擴展到固件升級,軟件安全等方面。

隨著科技的發展,物聯網設備中總會出現脆弱性,所以設備在銷售之後,需要持續的打補丁。而物聯網的設備往往數量巨大,如果花費人力去人工更新每個設備是不現實的,所以OTA科技在設備銷售之前應該被植入到物聯網設備之中。

深度包檢測(DPI)科技

對應的物聯網安全需求:攻擊檢測和防禦。

互聯網環境中通常使用防火牆來監視網絡上的安全風險,但是這樣的防火牆針對的是TCP/ IP協議,而物聯網環境中的網路通訊協定通常不同於傳統的TCP/ IP協議,如工控中的Modbus協定等,這使得控制整個網絡風險的能力大打折扣。囙此,需要開發能够識別特定網路通訊協定的防火牆,與之相對應的科技則為深度包檢測科技。

深度包檢測科技(deep packetinspection,DPI)是一種基於應用層的流量檢測和控制科技,當IP數据包、TCP或UDP資料流程通過基於DPI科技的頻寬管理系統時,該系統通過深入讀取IP包載荷的內容來對OSI七層協定中的應用層資訊進行重組,從而得到整個應用程序的內容,然後按照系統定義的管理策略對流量進行整形操作。

思科和羅克韋爾[3]自動化聯手開發了一項符合工業安全應用規範的深度數据包檢測(DPI)科技。採用DPI科技的工業防火牆有效擴展了車間網絡情况的可見性。它支持通信模式的記錄,可在一系列安全性原則的保護之下提供決策製定所需的重要資訊。用戶可以記錄任意網絡連接或協定(比如EtherNet/IP)中的數據,包括通信數據的來源、目標以及相關應用程序。

在全廠融合以太網(CPwE)架構中的工業區域和單元區域之間,採用DPI科技的車間應用程序能够訓示防火牆拒絕某個控制器的固件下載。這樣可防止濫用固件,有助於保護運營的完整性。只有授權用戶才能執行下載操作。

防火牆

對應的物聯網安全需求:攻擊檢測和防禦。

物聯網環境中,存在很小並且通常很關鍵的設備接入網路,這些設備由8比特的MCU控制。由於資源受限,對於這些設備的安全實現非常有挑戰。這些設備通常會實現TCP/IP協議棧,使用Internet來進行報告、配寘和控制功能。由於資源和成本方面的考慮,除密碼認證外,許多使用8比特MCU的設備並不支持其他的安全功能。

Zilog[4]和Icon Labs[5]聯合推出了使用8比特MCU的設備的安全解决方案。Zilog提供MCU,Icon Labs將Floodgate防火牆[6]集成到MCU中,提供基於規則的過濾,SPI(Stateful Packet Inspection)和基於門限的過濾(threshold-based filtering)。防火牆控制嵌入式系統處理的數据包,鎖定非法登入嘗試、拒絕服務攻擊、packet floods、埠掃描和其他常見的網絡威脅。

[1] http://www.leiphone.com/news/201605/yi85tcbQlReaA0cy.html

[2] http://china.safenet-inc.com/webback/UploadFile/DownloadDoc/46825c79-0829-46d1-acdd-03cf7de742 8d.pdf

[3] http://www.automation.com/automation-news/industry/rockwell-and-cisco-developing-dpi-technology-for- enhanced-security

[4] http://www.zilog.com/

[5] http://www.iconlabs.com/

[6] http://www.iconlabs.com/prod/products/device-protection/floodgate-firewall

3、新技術的探索

區塊鏈

對應的物聯網安全需求:認證

區塊鏈(Blockchain,BC)[1]是指通過去中心化和去信任的管道集體維護一個可靠資料庫的科技方案。該科技方案主要讓參與系統中的任意多個節點,通過一串使用密碼學方法相關聯產生的數據塊(block),每個數據塊中包含了一定時間內的系統全部資訊交流數據,並且生成數據指紋用於驗證其資訊的有效性和連結(chain)下一個資料庫塊。結合區塊鏈的定義,需要有這幾個特徵:去中心化(Decentralized)、去信任(Trustless)、集體維護(Collectively maintain)、可靠資料庫(Reliable Database)、開源性、匿名性。區塊鏈解决的覈心問題不是“數位貨幣”,而是在信息不對稱、不確定的環境下,如何建立滿足經濟活動賴以發生、發展的“信任”生態體系。這在物聯網上是一個道理,所有日常家居物件都能自發、自動地與其它物件、或外界世界進行互動,但是必須解决物聯網設備之間的信任問題。

[1] https://www.zhihu.com/question/27687960

四、物聯網安全公司及產品介紹

1、引言

消費行業的市場處於物聯網普及的開端,可穿戴設備、智慧家庭產品、照明設備和其他的智慧設備正在成為主流。商業和公共部門對於物聯網的採用在消費市場之後,Verizon在2015年的物聯網報告中預測2011年到2020年之間的企業對企業(Business-to-Business,B2B)的物聯網連接每年將以28%的速度增長。工業,如制造型、能源、交通和零售已經採用了物聯網initiatives。埃森哲在其2015年的工業物聯網市場定位報告中預測,到2030年,單純美國的工業物聯網將價值7.1萬億美元,將支持效率、安全、生產力和service provisioning的增强。

2、賽門鐵克

由於物聯網設備的資源受限,囙此並不完全支持傳統的安全解决方案。賽門鐵克[1]將物聯網安全分為四個部分:通信保護、設備保護、設備管理和理解當前的系統。這幾個部分可以結合起來組成一個功能强大的、易於部署的安全架構來移除物聯網中的大部分的安全威脅,如APT和複雜的威脅。白皮書“An Internet of Things Reference Architecture”中對這四部分進行了介紹。

[1] https://www.symantec.com/solutions/internet-of-things

3、CUJO

智能家居(smart home,home automation)是以住宅為平臺,利用綜合佈線科技、網絡通信技術、安全防範科技、自動控制科技、音視頻科技將家居生活有關的設施集成,構建高效的住宅設施與家庭日程事務的管理系統,提升家居安全性、便利性、舒適性、藝術性,並實現環保節能的居住環境。但是“便利”向來是把雙刃劍,在物聯網中傳輸的數據越多,資訊暴露的可能性就越大,存在的安全隱患也囙此而劇增。

在智慧家庭中,一個很流行的應用是Nest公司的智慧恒溫器,該設備可以控制家庭的溫度。但是,由於設備蒐集家庭中的人的資訊,囙此,智慧恒溫器知道家中什麼時候有人,他們的排程是什麼,他們什麼時候起床、什麼時候睡覺,他們偏好於多少溫度。

許多智慧電視帶有監視器,即便電視沒有打開,入侵智慧電視的攻擊者可以使用監視器來監視你和你的家人。由於缺乏安全標準,攻擊者甚至會鎖定電視從而達到勒索的目的。

許多智慧家庭的用戶將車庫開門器、門鎖、監視器等安防系統連接到網絡上,通過手機APP可對其進行控制。攻擊者一旦攻破這樣的系統很明顯會帶來問題。比如攻擊者在你去度假的時候打開房門,或者在午夜打開車庫門等等。

五、總結及思考

通過前幾章的介紹,我們可以瞭解到:物聯網覆蓋的範圍較為廣泛,物聯網安全問題所需要關注的方面也非常多,不僅包含傳統網路安全問題,還存在著一些物聯網特有的安全問題。

本章中我們總結出了物聯網安全研究可以切入的三個領域:工業控制、智能汽車和智能家居,然後又列出了六點需要重點關注的方面,公司可以從這些點作為物聯網安全研究的切入點。

1、物聯網安全可以作為切入點的領域

(1)工控安全

針對工業控制系統的攻擊將導致嚴重的後果。工業4.0驅動製造業、過程控制、基礎設施、其他工業控制系統的連通性,對於這些系統的威脅不斷上升。

(2)智能汽車安全

隨著特斯拉汽車的推出,以及蘋果、穀歌等互聯網巨頭新的智能汽車系統的成熟,車聯網正在從概念變為現實,但是智能汽車一旦遭受駭客攻擊,發生安全問題,可能會造成嚴重的交通事故,威脅人們的生命安全。

(3)智能家居安全

隨著物聯網科技的迅速發展,智能家居概念頗為火熱,但是如果駭客能輕鬆的利用網絡攻破一些智慧家用產品的安全防線,如:駭客侵佔智慧設備(恒溫控制器、智慧TV、監視器),可以獲取用戶隱私資訊,帶來安全隱患。

2、物聯網安全研究點

基於調研,我們總結了物聯網安全的六個關注點:

(1)物聯網安全閘道

物聯網設備缺乏認證和授權標準,有些甚至沒有相關設計,對於連接到公網的設備,這將導致可通過公網直接對其進行訪問。另外,也很難保證設備的認證和授權實現沒有問題,所有設備都進行完備的認證未必現實(設備的功耗等),可考慮額外加一層認證環節,只有認證通過,才能够對其進行訪問。結合大資料分析提供自我調整存取控制。

對於智能家居內部設備(如監視器)的訪問,可將訪問視為申請,由閘道記錄並通知閘道APP,由用戶在閘道APP端進行訪問授權。

未來物聯網閘道可以發展成富應用平臺,就像當下的手機一樣。一是對於用戶體驗和交互性來說擁有本地介面和資料存儲是非常有用的,二是即使與互聯網的連接中斷,這些應用也需要持續工作。物理閘道對於嵌入式設備可以提供有用的安全保護。低功耗操作和受限的軟體支援意味著頻繁的固件更新代價太高甚至不可能實現。反而,閘道可以主動更新軟體(高級防火牆)以保護嵌入式設備免受攻擊。實現這些特性需要重新思考運行在閘道上的作業系統和其機制。

軟件定義邊界可以被用來隱藏服務器和服務器與設備的互動,從而最大化地保障安全和運行時間。

細粒度存取控制:研究基於内容的存取控制模型,使設備根據其内容按需細粒度訪問內部網絡的資源;

自我調整存取控制:研究安全設備按需編排模型,對於設備的异常行為進行安全防護,限制惡意用戶對於物聯網設備的訪問。

同時,安全閘道還可與雲端通信,實現對於設備的OTA陞級,可以定期對內網設備狀態進行檢測,並將檢測結果上傳到雲端進行分析等等。

但是,也應意識到安全閘道的局限性,安全閘道更適用於對於固定場所中外部與內部連接之間的防護,如家庭、企業等,對於一些需要移動的設備的安全,如智慧手環等,或者內部使用無線通訊的環境,則可能需要使用其他的管道來解决。

(2)應用層的物聯網安全服務

應用層的物聯網安全服務主要包含兩個方面,一是大資料分析驅動的安全,二是對於已有的安全能力的集成。

由於感知層的設備效能所限,並不具備分析海量數據的能力,也不具備關聯多種數據發現异常的能力,一種自然的思路是在感知層與網路層的連接處提供一個安全閘道,安全閘道負責採集數據,如流量數據、設備狀態等等,這些數據上傳到應用層,利用應用層的數據分析能力進行分析,根據分析結果,下發相應指令。

傳統的Web安全中的安全能力,如URL信譽服務、IP信譽服務等等,同樣可以集成到物聯網環境中,可作為安全服務模塊,由用戶自行選擇。

利用雲端進行大資料分析

(3)漏洞挖掘研究

物聯網漏洞挖掘主要關注兩個方面,一個是網路通訊協定的漏洞挖掘,一個是嵌入式作業系統的漏洞挖掘。分別對應網路層和感知層,應用層大多採用雲平臺,屬於雲安全的範疇,可應用已有的雲安全防護措施。

在現代的汽車、工控等物聯網行業,各種網路通訊協定被廣泛使用,這些網路通訊協定帶來了大量的安全問題。需要利用一些漏洞挖掘科技對物聯網中的協定進行漏洞挖掘,先於攻擊者發現並及時修補漏洞,有效减少來自駭客的威脅,提升系統的安全性。

物聯網設備多使用嵌入式作業系統,如果這些嵌入式作業系統遭受了攻擊,將會對整個設備造成很大的影響。對嵌入式作業系統的漏洞挖掘也是一個重要的物聯網安全研究方向。

(4)物聯網僵屍網路研究

今年最為有名的物聯網僵屍網路便是Mirai了,它通過感染網絡監視器等物聯網設備進行傳播,可發動大規模的DDoS攻擊,它對Brian Krebs個人網站和法國網絡服務商OVH發動DDoS攻擊,對於美國Dyn公司的攻擊Mirai也貢獻了部分流量。

對於物聯網僵屍網路的研究包括傳播機理、檢測、防護和清除方法。

(5)區塊鏈科技

區塊鏈解决的覈心問題是在信息不對稱、不確定的環境下,如何建立滿足經濟活動賴以發生、發展的“信任”生態體系。

在物聯網環境中,所有日常家居物件都能自發、自動地與其它物件、或外界世界進行互動,但是必須解决物聯網設備之間的信任問題。

傳統的中心化系統中,信任機制比較容易建立,存在一個可信的協力廠商來管理所有的設備的身份資訊。但是物聯網環境中設備眾多,未來可能會達到百億級別,這會對可信協力廠商造成很大的壓力。

區塊鏈系統網絡是典型的P2P網絡,具有分佈式異構特徵,而物聯網天然具備分佈式特徵,網中的每一個設備都能管理自己在交互作用中的角色、行為和規則,對建立區塊鏈系統的共識機制具有重要的支持作用。[①]

(6)物聯網設備安全設計

物聯網設備製造商並沒有很强的安全背景,也缺乏標準來說明一個產品是否是安全的。很多安全問題來自於不安全的設計。資訊安全廠商可以做三點:一是提供安全的開發規範,進行安全開發培訓,指導物聯網領域的開發人員進行安全開發,提高產品的安全性;二是將安全模塊內寘於物聯網產品中,比如工控領域對於實时性的要求很高,而且一旦部署可能很多年都不會對其進行替換,這是的安全可能更偏重於安全評估和檢測,如果將安全模塊融入設備的製造過程,將能顯著降低安全模塊的開銷,對設備提供更好的安全防護;三是對出廠設備進行安全檢測,及時發現設備中的漏洞並協助廠商進行修復。

[①]摘自《中國區塊鏈技術和應用發展白皮書(2016)》

報告下載:物聯網安全白皮書-1215

如果您需要瞭解更多內容,可以加入QQ群:570982169、486207500直接詢問:010-68438880-8231  創新中心

© 2023