引言
万物互联的物联网(IOT)时代正在“扑面而至”,物联网作为互联网的延伸,被称为世界信息产业的第三次浪潮。据有关专家预测,2017年是物联网商用元年。到2020年将有340亿台设备接入互联网,安装的物联网设备数量将达到240亿台,预测到2020 年,中国物联网的整体规模将超过1.8万亿元。物联网产业由政府推动走向市场主导,大量新兴的物联网技术应用会走进我们的生活。而随着物联网产业市场的扩大,物联网安全问题越发凸显,成为制约物联网大规模应用的重要因素。
目前,国内外一些企业已经意识到安全在物联网发展中的重要作用,并针对物联网各层次结构,开展了安全技术和产品的研究。在物联网时代,由于覆盖的领域之广、接入设备器件的海量化,同时考虑到应用地域和设备供应商甚至标准的分散,物联网应用的多样性和复杂性相比PC互联网和移动互联网时代大大增强,而安全性和复杂性是成正比的,这也就使得物联网时代的安全问题变得更加严峻。
物联网安全研究可以从工控安全、智能汽车安全和智能家居安全三个领域切入。比如攻击者可以利用网络攻破一些智能家用产品的安全防线,如侵占智能设备(恒温控制器、智能TV、摄像头),从而获取用户隐私信息,带来安全隐患,再比如,攻击者可以攻破智能汽车系统,严重时可能会威胁人们的生命安全。
物联网安全关注点
物联网安全的六个关注点,物联网安全网关、应用层的物联网安全服务、漏洞挖掘研究、物联网僵尸网络研究、区块链技术和物联网设备安全设计,为信息安全行业厂商进军物联网万亿级蓝海提供指导方向性指导。目前物联网设备制造商没有强大的安全背景,也缺乏标准来说明一个产品是否是安全的。 很多安全问题来自于不安全的设计。
物联网安全的六个关注点说明:
(1)物联网安全网关
物联网设备缺乏认证和授权标准,有些甚至没有相关设计,对于连接到公网的设备,这将导致可通过公网直接对其进行访问。另外,也很难保证设备的认证和授权实现没有问题,所有设备都进行完备的认证未必现实(设备的功耗等),可考虑额外加一层认证环节,只有认证通过,才能够对其进行访问。结合大数据分析提供自适应访问控制。
未来物联网网关可以发展成富应用平台,就像当下的手机一样。一是对于用户体验和交互性来说拥有本地接口和数据存储是非常有用的,二是即使与互联网的连接中断,这些应用也需要持续工作。物理网关对于嵌入式设备可以提供有用的安全保护。低功耗操作和受限的软件支持意味着频繁的固件更新代价太高甚至不可能实现。反而,网关可以主动更新软件(高级防火墙)以保护嵌入式设备免受攻击。实现这些特性需要重新思考运行在网关上的操作系统和其机制。
软件定义边界可以被用来隐藏服务器和服务器与设备的交互,从而最大化地保障安全和运行时间。
细粒度访问控制:研究基于属性的访问控制模型,使设备根据其属性按需细粒度访问内部网络的资源;
自适应访问控制:研究安全设备按需编排模型,对于设备的异常行为进行安全防护,限制恶意用户对于物联网设备的访问。
同时,安全网关还可与云端通信,实现对于设备的OTA升级,可以定期对内网设备状态进行检测,并将检测结果上传到云端进行分析等等。
但是,也应意识到安全网关的局限性,安全网关更适用于对于固定场所中外部与内部连接之间的防护,如家庭、企业等,对于一些需要移动的设备的安全,如智能手环等,或者内部使用无线通信的环境,则可能需要使用其他的方式来解决。
(2)应用层的物联网安全服务
应用层的物联网安全服务主要包含两个方面,一是大数据分析驱动的安全,二是对于已有的安全能力的集成。
由于感知层的设备性能所限,并不具备分析海量数据的能力,也不具备关联多种数据发现异常的能力,一种自然的思路是在感知层与网络层的连接处提供一个安全网关,安全网关负责采集数据,如流量数据、设备状态等等,这些数据上传到应用层,利用应用层的数据分析能力进行分析,根据分析结果,下发相应指令。
传统的Web安全中的安全能力,如URL信誉服务、IP信誉服务等等,同样可以集成到物联网环境中,可作为安全服务模块,由用户自行选择。
(3)漏洞挖掘研究
物联网漏洞挖掘主要关注两个方面,一个是网络协议的漏洞挖掘,一个是嵌入式操作系统的漏洞挖掘。分别对应网络层和感知层,应用层大多采用云平台,属于云安全的范畴,可应用已有的云安全防护措施。
在现代的汽车、工控等物联网行业,各种网络协议被广泛使用,这些网络协议带来了大量的安全问题。需要利用一些漏洞挖掘技术对物联网中的协议进行漏洞挖掘,先于攻击者发现并及时修补漏洞,有效减少来自黑客的威胁,提升系统的安全性。
物联网设备多使用嵌入式操作系统,如果这些嵌入式操作系统遭受了攻击,将会对整个设备造成很大的影响。对嵌入式操作系统的漏洞挖掘也是一个重要的物联网安全研究方向。
(4)物联网僵尸网络研究
最为有名的物联网僵尸网络便是Mirai了,它通过感染网络摄像头等物联网设备进行传播,可发动大规模的DDoS攻击,它对Brian Krebs个人网站和法国网络服务商OVH发动DDoS攻击,对于美国Dyn公司的攻击Mirai也贡献了部分流量。
对于物联网僵尸网络的研究包括传播机理、检测、防护和清除方法。
(5)区块链技术
区块链解决的核心问题是在信息不对称、不确定的环境下,如何建立满足经济活动赖以发生、发展的“信任”生态体系。
在物联网环境中,所有日常家居物件都能自发、自动地与其它物件、或外界世界进行互动,但是必须解决物联网设备之间的信任问题。
传统的中心化系统中,信任机制比较容易建立,存在一个可信的第三方来管理所有的设备的身份信息。但是物联网环境中设备众多,未来可能会达到百亿级别,这会对可信第三方造成很大的压力。
区块链系统网络是典型的P2P网络,具有分布式异构特征,而物联网天然具备分布式特征,网中的每一个设备都能管理自己在交互作用中的角色、行为和规则,对建立区块链系统的共识机制具有重要的支持作用。
(6)物联网设备安全设计
物联网设备制造商并没有很强的安全背景,也缺乏标准来说明一个产品是否是安全的。很多安全问题来自于不安全的设计。信息安全厂商可以做三点:一是提供安全的开发规范,进行安全开发培训,指导物联网领域的开发人员进行安全开发,提高产品的安全性;二是将安全模块内置于物联网产品中,比如工控领域对于实时性的要求很高,而且一旦部署可能很多年都不会对其进行替换,这是的安全可能更偏重于安全评估和检测,如果将安全模块融入设备的制造过程,将能显著降低安全模块的开销,对设备提供更好的安全防护;三是对出厂设备进行安全检测,及时发现设备中的漏洞并协助厂商进行修复。
总结:
在物联网行业高速增长的时期,如果厂商不对安全问题加以足够重视,安全就将成为物联网产业的薄弱环节,从而网络大面积瘫痪、黑客入侵、隐私泄露等问题也将再次困扰着人们。万物互联的时代,这也意味着物联网设备的数量将会是移动互联网的十倍甚至上百倍,这也意味着整个信息安全市场也会被扩大数十倍。这即给物联网安全工作带来了巨大的挑战,也带来了新机遇。