1.2 物联网安全
1.2.1 物联网安全概述
因特网的飞速发展将我们带入“万物互联”的时代,万物互联的需求随之而来,物联网已融入生活的方方面面,这也促使物联网中各类设备的数目爆炸式增长。物联网发展的蒸蒸日上也让我们意识到,安全已成为避不开的话题,物联网安全的重要性凸显。基于业务形态,可以将物联网分为:工业控制物联网、车载物联网、智能家居物联网三种,不同形态的物联网在安全方面具有不同的需求。
● 工业控制物联网:主要遵循传统意义上安全思路。由于现阶段工业控制网络的协议均采用明文规定,具有一定的暴露风险,因此安全性较弱。
● 车载物联网(车联网):因为车联网关注的是司机和乘客的生命安全,所以其对于安全的诉求主要聚焦于车辆中重要的物联网硬件的安全。
● 智能家居物联网:智能家居为用户本人和家庭提供服务,会涉及用户及其家人的隐私,所以,隐私保护是智能家居物联网安全的重中之重。
惠普安全研究院曾经调查过10种常用的物联网设备,发现几乎所有设备都存在高危漏洞,一些调查数据如下:
● 80%的IoT设备存在滥用隐私或暴露隐私的风险。
● 80%的IoT设备允许使用弱密码。
● 70%的IoT设备与局域网或因特网的通信未进行加密。
● 60%的IoT设备的Web界面存在安全漏洞。
● 60%的IoT设备未在下载更新软件时进行加密。
在给我们带来便利的同时,物联网的设备、网络、应用等也面临着各种安全威胁,并导致各种安全事件。例如:
● 2007年,出现心脏除颤器无线连接功能被攻击者利用的案例,通过物联网攻击造成人身伤害成为可能。
● 2013年,出现通过基本款民用无人机定位并控制附近的其他无人机,组成一个由一部智能手机操控的“僵尸无人机战队”的案例。
● 2019年,通过网络摄像头进行偷拍的事件层出不穷,这类安全事件严重侵犯了用户隐私。
● 2019年,国外安全研究人员发现市场上销售的很多智能家居设备存在严重安全漏洞,包括缺少数据加密和缺少加密证书验证。这些设备包括来自不同制造商生产的智能相机、智能插头和安防产品等。
物联网具有泛在性、多源异构性、开放性等特点,因此物联网安全不仅关系到个人、家庭的安全,还关系到社会,乃至国家安全等。因此,应牢记:万物互联,安全第一。
1.2.2 物联网的安全威胁与安全需求
基于图1-1给出的物联网四层架构,分别分析各层面临的安全威胁与相应的安全需求。
1.感知层
从攻击方式上看,感知层的面临安全威胁包括物理攻击、身份攻击和资源攻击。
(1)物理攻击
1)物理损坏:感知节点由于应用场景复杂多样,因此容易受到自然损害或人为破坏,导致节点无法正常工作。
2)非法盗窃:感知层的设备可能会被盗窃,设备中的信息会被破解,导致用户敏感信息泄露,影响系统安全。
(2)身份攻击
1)假冒攻击:攻击者非法获取用户身份信息,并冒充该用户进入系统,越权访问资源或享受服务。
2)非法替换:攻击者非法替换原有的感知层节点或设备,系统无法识别替换后的节点或设备身份,导致信息感知异常。
(3)资源攻击
1)信道堵塞:攻击者恶意占用信道,导致信道被堵塞,不能正常传送数据。
2)耗尽资源:攻击者不停地向节点发送无效请求,占用节点的计算、存储资源,使节点无法正常工作。
3)重放攻击:攻击者截获各种信息后重新发送给系统,诱导感知节点做出错误决策。
针对上述安全威胁,感知层的安全设计需求如下:
1)物理防护:从物理的角度对感知设备进行保护,防止感知设备被篡改、复制、失窃而导致严重的后果。与此同时,要保证感知设备一旦被攻破,要将设备中包含账户、身份认证等相关的数据擦除,从而保证被攻击设备中的信息不被恶意使用。
2)节点认证:正常节点可能被非法篡改或被接入非法节点,所以需要对接入的终端节点进行验证。
3)信息加密:当前,很多传感网络没有密钥管理或身份认证措施,所以,应该对需要传输的信息或存储在终端的信息进行加密处理。
4)设备智能化:鲁棒性对于设备而言是必须的。这样,设备无须太多支持就能够进行边缘处理和现场操作,敏感信息等不会被上传到云端存储。
2.传输层
作为一个叠加性、开放性网络,物联网的传输层由多网络融合而成,它的安全问题也比普通网络更加严重。传输层的安全威胁包括:
1)攻击者对服务器进行DoS攻击、DDoS攻击。
2)攻击者对网络通信过程实施篡改、重放、劫持等攻击。
3)攻击者进行跨域网络攻击。
4)封闭的物联网协议/应用不能被安全设备识别,导致无法及时发现被篡改的地方。
传输层的安全设计需求如下:
1)数据机密性:数据机密性是重中之重,只有机密性得到保证,数据或信息在传输过程中才能不被泄露。
2)数据完整性:需要保证数据在整个传输过程中的完整性,从而确保数据不会被篡改,或者能够及时察觉、分辨被篡改的数据。
3)预防与检测DDoS、DoS攻击:作为常见的物联网攻击方式,非法用户往往通过在传感网络中发动此类攻击来攻陷相对脆弱的节点,造成数据的大规模拥塞,因此,预防与检测DDoS、DoS攻击十分必要。
4)数据可用性:数据是用户的直接需求,因此,应保证数据在通信网络中随时、顺利供给。
3.支撑层
支撑层面临的威胁主要有:
1)平台所管理的设备分散,设备容易丢失、难以维护等。
2)新的API以及新平台自身漏洞等会带来新的风险。
3)非法用户越权访问会导致安全凭证、隐私数据等泄露。
4)平台遭遇DDoS攻击以及漏洞扫描的风险极大。
支撑层的安全设计需求如下:
1)物理硬件与环境的安全:支撑层的物理硬件包括云计算设备、数据存储设备、数据处理设备、网络设备和物联网平台设备等,保证物理硬件和环境的安全、可靠对于整个平台平稳运行至关重要。
2)系统的稳定性:所谓稳定,就是系统能否经受住通常意义上的“灾害”(如地震、洪水、火灾等)。系统要想稳定,就要具有应急处理灾害的能力,以便尽可能快地实现隔离和恢复。
3)数据的安全:支撑层的每一步操作(无论是数据的传输还是分析处理)都离不开数据。在分析和处理的过程中,需要确保数据信息的保密性、完整性和不可抵赖性,数据安全对支撑层来说是不容忽视的。
4)API安全:为了减少数据库资源的消耗,同时避免访问和数据请求的非法操作,需要保证API安全,以便支撑层对外提供相应的API服务。
5)设备的鉴别和验证:鉴别和验证相当于数据传输过程中的“关卡”和“门锁”。要想实现安全传输,这些“关卡”和“门锁”必不可少。实施鉴别和验证时要考虑密钥管理,这一机制必须是可靠、安全的,应能禁止异常接入。
6)全局的日志记录:首先要拥有记录日志的能力,这样不会使系统的运行出现断层,便于后续进行系统维护或升级。
4.应用层
应用层存在的安全威胁有:
1)难以根据不同的权限对同一数据进行筛选和处理。
2)难以对数据实现保护和验证。
3)一旦泄露信息,难以进行追踪。
4)应用程序或代码自身存在安全问题。
应用层的安全设计需求如下:
1)认证能力:认证就是对用户的合法性进行验证,这一能力主要用于防范非法访问,包括不合法的用户伪造合法的身份进行非法访问、越权访问(即使是合法用户,也不能访问未对其授权的业务)。
2)隐私保护:要尽可能不泄露用户隐私。另外,要保证即使隐私泄露,也可以进行追踪。
3)密钥的安全性:传统的用户名/密码方式显然不能满足应用层的更高级别的安全需求,因此要有一套完善的管理机制对密钥进行管理。
4)数据销毁:应用层的安全设计应考虑到极端情况下,无法通过常规手段解决问题时,为避免数据泄露,需要保证系统至少能将数据销毁。
5)知识产权的保护能力:目前的反编译技术手段相对成熟,应用层涉及与用户对接,为了保护知识产权,应用层还要有对抗反编译的能力。
1.2.3 物联网中的安全问题
根据上一小节的阐述,我们了解了物联网处理数据的过程,这个过程大致包含数据感知、采集、汇总、整合、传递、决策和控制等,而这一整套流程中也涉及不同类型的安全问题。
1)在感知层中网络的节点具有多源异构性,这些节点一般功能简单(如温度感应器只感知温度)、能量需求少(使用移动电源),但同时“自我保护能力”脆弱。因为感知网络的功能单一、种类丰富(从厨房感知到智能客厅、从智慧课堂到自助餐饮),所以无法针对涉及的数据设定统一标准,自然也不可能设计特定的安全防御机制。这也使得感知网络面临信息感知、传递等方面的安全问题。
2)相对于感知层,支撑层和传输层的网络安全保护能力较为完整。但是,物联网拥有的节点数量庞大,这些节点往往会形成一个集群,网络中的数据传输会导致设备发生拥塞,进而导致拒绝服务攻击。另外,我们往往从用户通信的角度设计网络的安全架构,而从物体角度来看,物联网缺乏适当的安全架构来感知数据传输和应用。
3)在应用层,物联网还面临着众多业务产生的安全问题。分布式系统、云计算、海量信息处理中的安全策略用于保证各种业务的物联网平台正常运作。兼顾效率、可靠性、安全性的系统是物联网实现大规模行业应用和上层服务管理所需要的。从业务层面来看,新的安全挑战来自多平台、大规模和多业务类型等,因此,需要针对各类行业应用创建相应的安全策略,或创建较为独立的安全架构。
除此之外,还可以从安全的机密性、可用性和完整性方面来分析物联网对于安全的需求。对于机密性,其直接对应的便是物联网中的隐私信息。以位置信息为例,感知终端需要保护的一类敏感信息便是,位置信息。此外,隐私问题也存在于处理数据的过程中,例如采用数据挖掘方法分析行为时,需要采集信息、传输信息、查找信息,这时首先要确保的就是不能因一时疏忽导致信息泄露,进而使隐私所属的单位或个人蒙受损失,因此需要构建一套访问控制机制。众所周知,数据加密是信息保密的常用手段,但感知网络中的密钥管理十分困难,这也成为物联网中数据保密的瓶颈。数据的可用性和完整性更是关系到物联网中数据流动的全过程。拒绝服务攻击、网络入侵、路由攻击、Sybil攻击等均会破坏数据的可用性和完整性。在物联网中,互动感知过程对网络的可靠性和稳定性具有很高的要求,而万物互联涉及众多领域的各种物理设备,甚至完全不同的两种设备都要相互连接。比如,对于快递行业,如果物联网不稳定,那么连通性就会受到威胁,造成丢件、漏件,同时也会使快递物品进出库出现混乱。所以,物联网在各个方面的安全需求也反映出物联网的诸多安全特征,感知、环境和应用都是考虑的重点,加上网络中数据量巨大,需要处理的信息众多,导致控制决策过程极其复杂,这些问题也给物联网的安全带来了巨大的挑战。
1.2.4 物联网安全的关键技术
从因特网发展而来的物联网自然继承了许多因特网的特征,物联网中还集成了众多网络,所以对物联网安全也关系到不同网络,其中涉及多种安全技术。物联网安全的关键技术主要包括以下六类。
● 数据处理安全:前面说过,采集数据存在一系列安全问题,除此之外,对采集到的数据进行传输和处理时需要保证数据的私密性和可信、可靠。这是推动物联网大规模应用的基础。
● 密钥管理机制:密钥系统作为安全的基石,可以实现隐私信息的保护,这是感知层安全的关键技术。
● 安全路由协议:安全路由技术使用安全的路由协议来确保数据在物联网中的安全传输。安全路由协议可以提供认证、加密、数据完整性保护和防止中间人攻击等安全机制,还可以通过使用安全的数据包转发和路由策略来防止攻击者的攻击和入侵。
● 认证与访问控制:认证作为物联网安全的首条防线,主要解决确认用户身份的问题,通过认证可以防御伪造用户的非法访问。另外,认证不只针对用户,还可以用于消息,通过认证来保证消息的有效性和安全性。访问控制可用于禁止越权访问,即防止合法用户进行非法请求,从而有效降低泄露隐私的可能性。
● 入侵检测和容错机制:物联网系统常常被入侵,所以有一套完善的入侵检测和容错机制是十分重要的。这样,在遇到非法入侵或攻击时,可以及时隔离系统,并恢复系统功能。
● 安全分析和交付机制:在物联网安全技术中,安全分析和交付机制是用于检测、分析和交付安全事件和信息的重要组成部分。它们有助于实时监测潜在的安全威胁并及时做出响应,提供相应的安全信息和控制手段,保护物联网系统免受潜在的攻击,确保系统的安全性和可靠性。
1.2.5 物联网安全与因特网安全的区别
物联网在因特网之上发展,所以,因特网存在的漏洞和攻击方式,物联网中也会存在。作为因特网安全的延伸,物联网安全不仅面临因特网的安全风险,还面临新的安全问题。物联网安全与因特网安全存在以下区别:
● 架构的安全风险:物联网系统的复杂性、规模和分布式特点使得其面临更多的安全威胁,有更多的攻击面。与因特网相比,物联网涉及更多的物理环境和边缘计算场景,因而引入了新的安全风险,其设备多样性和有限的安全性能也增加了被攻击的可能性。此外,物联网产生的数据更加个人化和敏感,需要更强的隐私保护措施。物联网设备的生命周期管理和固件更新也是一个挑战。
● 协议的安全风险:物联网的一些通信协议(如ZigBee、蓝牙、NB-IoT、2G\3G\4G\5G等)在因特网上并没有使用,因此因特网安全策略也无法覆盖这些协议。物联网协议带来了协议方面的安全风险。
● 边界的安全风险:因特网时代大多采用客户端/服务端(C/S)模式,该模式存在十分精确的“边界”。企业可以利用IPS、防火墙部署等网关类设备提高自身服务的安全性。在万物互联的时代,各种设备存在于世界各地,攻击者往往能对设备直接发起攻击,若“边界”不再存在,那么传统的网关类防护设备就会变得毫无用处。
● 系统的安全风险:因特网时代,终端保护(EDR)主要针对Linux和Windows两类系统;物联网时代,设备采用嵌入式操作系统(如uClinux、FreeRTOS、OpenWRT等),传统的终端系统安全方案无法适用于物联网时代的嵌入式操作系统。
● App的安全风险:C/S模式也常用于因特网时代的App。在物联网时代,除了要与云端通信,App还会和设备直接通信,“App到设备”这个链路涵盖了硬件加解密、设备身份认证、OTA升级等安全策略,这是因特网时代没有的。
● 业务的安全风险:由于业务场景不同,物联网能够收集众多在因特网时代无法收集到的数据,如用户行为数据、传感器数据、地理位置数据、生理数据等。这些数据的产生、传输、处理过程涉及整个业务体系的安全架构,所以要有新的安全监管体系和防护策略来保障这一套流程顺利进行。
● 研发的安全风险:在物联网产品研发过程中,会涵盖嵌入式安全开发,这同样是因特网产品研发中没有涉及的。嵌入式安全开发又关系到逻辑安全、嵌入式系统安全、认证安全、加解密安全、存储安全、接口安全、协议安全等新的安全问题。
● 合规的安全风险:到目前,物联网行业还没有出现一套完整的法规,因特网产品的测评方式也不适用于物联网设备的安全测评,同时缺乏一套国家发布的安全测评规范。我们急需“以合规为导向”的安全测评,而非现在“以结果为导向”的测评。
● AI的安全风险:因特网时代,企业服务面临来自攻击者(人)的攻击;在物联网时代,来自设备(AI)的直接攻击会成为企业服务面临的主要安全风险。
思考题
1.请简要介绍物联网安全架构。
2.请结合物联网安全架构谈谈你对物联网面临的安全风险及应对措施的理解。