物聯網安全綜述報告

時間 2019-11-10

標籤聯網安全綜述報告欄目系統安全简体版

原文原文鏈接

物聯網安全綜述報告

文章目錄

物聯網安全綜述報告

3. 物聯網安全特徵及關鍵技術

6. 參考文獻

1. 物聯網安全概述

隨着「互聯網 +」時代的到來，物聯網發展迅猛，正在逐漸滲透到生活的各個領域之中，物聯網設備規模呈現爆發性增加趨勢，萬物互聯時代正在到來，物聯網安全的重要地位也在物聯網快速的發展中越發凸顯。物聯網根據業務形態可分爲：工業控制物聯網、車載物聯網、智能家居物聯網等三個部分，且不一樣的業務形態又對於安全具備不一樣的業務需求：html

工業物聯網：主要涉及到國家安全、再加上目前工業控制網絡基本是明文協議很容易遭受攻擊，全需求基本是傳統安全的思路。
車聯網：涉及到駕車人生命安全，安全需求集中在車載核心物聯網硬件安全上。
智能家居：涉及到我的家庭隱私安全，安全需求更多的是對於隱私的保護上。

根據惠普安全研究院調查的10個最流行的物聯網智能設備後發現幾乎全部設備都存在高危漏洞，一些關鍵數據以下：web

80%的IOT設備存在隱私泄露或濫用風險；數據庫

80%的IOT設備容許使用弱密碼；編程

70%的IOT設備與互聯網或局域網的通信沒有加密；跨域

60%的IOT設備的web 界面存在安全漏洞；安全

60%的IOT設備下載軟件更新時沒有使用加密；服務器

物聯網在給咱們帶來便利的同時，物聯網的設備、網絡、應用等也在面臨着嚴峻的安全威脅，例如：網絡

2015年，兩名網絡安全專家經過中間人攻擊的方式，對高速公路上的吉普車實現了遠程控制（例如，控制空調、收音機、擋風玻璃刮水器和制動器等）。此次襲擊展現了中間人攻擊的危害性，也致使廠商召回了140萬輛汽車。；
「水滴直播」、「海康威視」事件中的攝像頭遭到入侵而被偷窺；
美國製造零日漏洞病毒，利用「震網」攻入伊朗核電站，破壞伊朗覈實施計劃等；
2015年，英國的網絡供應商Talk Talk遭受幾個網絡安全漏洞的攻擊，致使未經加密存儲的客戶數據暴露在雲端。黑客可以輕鬆訪問和竊取數百萬客戶的信用卡和銀行詳細信息。

物聯網由於其具備開放性、多源異構性、泛在性等特性，因此物聯網的安全關係到我的、家庭、社會、乃至國家的安全，種種安全威脅的出現，也在不斷的提醒着咱們：萬物互聯，安全先行。架構

2. 物聯網安全層次及其需求分析

物聯網的安全層次可分爲：感知層（設備層）、網絡層（傳輸層）、平臺層（雲服務層）和應用層。（每一個層次可能名字會有所不一樣，可是基本的功能和職責範圍大體相同）。如圖所示：
iphone

圖2-1 物聯網安全架構圖

2.1 感知層概述及需求分析

感知層又稱爲設備層，在物聯網中主要負責對信息的採集、識別和控制，由感知設備和網關組成。主要的感知設備包括：RFID裝置、各種傳感器、圖像捕捉裝置、GPS等。

感知層所面臨的安全威脅主要包括如下幾個方面：

（1）操做系統或者軟件過期，系統漏洞沒法及時的修復。

（2）感知設備存在於戶外、且分散安裝，容易遭到物理攻擊，被篡改和仿冒致使安全性丟失。

（3）接入在物聯網中的大量的感知設備的標識、識別、認證和控制問題。

（4）隱私的泄露，RFID標籤、二維碼等的嵌入，使物聯網接入的用戶不受控制地被掃描、追蹤和定位，極大可能的形成用戶的隱私信息的泄露。

loT中對於感知層的安全設計具備如下的需求：

（1）物理防禦：須要保護終端的失竊和從物理攻擊上對於感知設備進行復制和篡改。另外，確保設備在被突破後其中所有與身份、認證以及帳戶信息相關的數據都被擦除，這將使得相關信息不會被攻擊者利用；

（2）節點認證：終端節點的接入，須要進項進項驗證，防止非法節點或者被篡改後的節點接入；

（3）機密性：終端所存儲的數據或者所須要傳輸的數據都須要進行加密，由於目前大多數的傳感網絡內部是不須要認證和進行密鑰管理的；

（4）設備智能化：設備必須具備魯棒性，而且可以在有限的支持下進行現場操做，且能邊緣處理，意味着敏感信息不須要上傳到雲端，所以在設備層處理數據有助於強化整個網絡。

2.2 傳輸層概述及需求分析

傳輸層又稱爲網絡層，是鏈接感知層和應用層的信息傳遞網絡，即安全地發送/接收數據的媒介。傳輸層的主要功能是將由感知層採集的數據傳遞出去。主要包含的通訊的技術有：短距離的通訊有Wi-Fi、RFID、藍牙等；長距離的主要有：互聯網、移動通訊網和廣域網等。

由於物聯網的傳輸層是一個多網絡重合的疊加型開放性網絡，因此其具備比通常的網絡更加嚴重的安全問題：

（1）對服務器所進行的DOS攻擊、DDOS攻擊；

（2）對網絡通訊過程進行劫持、重放、篡改等中間人攻擊；

（3）跨域網絡攻擊；

（4）封閉的物聯網應用/協議沒法被安全設備識別，被篡改後沒法及時發現；

loT中對於傳輸層的安全設計具備如下的需求：

（1）數據機密性：須要保證數據的機密性，從而確保在傳輸過程當中數據或信息的不泄露；

（2）數據完整性：須要保證數據在整個傳輸過程當中的完整性，從而確保數據不會被篡改，或者可以及時感知或分辨被篡改的數據；

（3）DDOS、DOS攻擊的檢測與預防：DDOS攻擊爲物聯網中較爲常見的攻擊方式，要防止非法用戶對於傳感網絡中較爲脆弱的節點發動的DDOS攻擊，從而避免大規模的終端數據的擁塞。

（4）數據的可用性：要確保通訊網絡中的數據和信息在任什麼時候候都能提供給合法的用戶。

2.3 雲服務層概述及需求分析

雲服務層又稱爲平臺層，更具功能又可劃分爲：終端管理平臺、鏈接管理平臺、應用開發平臺、和業務分析平臺。主要的功能是將從感知層獲取到的數據進行分析和處理，並進行控制和決策，同時將數據轉換爲不一樣的格式，以便於數據的多平臺共享。

其所主要面臨的安全問題有：

（1）平臺所管理的設備分散、容易形成設備的丟失以及難以維護等；

（2）新平臺自身的漏洞和API開放等引入新的風險；

（3）越權訪問致使隱私數據和安全憑證等泄露；

（4）平臺遭遇DDOS攻擊以及漏洞掃面的風險極大；

loT中對於雲服務層的安全設計具備如下的需求：

（1）物理硬件環境的安全：爲了保證整個平臺的平穩運行，咱們須要保證整個雲計算、雲儲存的環境安全和設備設施的可靠性。

（2）系統的穩定性：主要是指在遭到系統異常時，系統是否具備及時處理、恢復或者隔離問題服務的災難應急機制。

（3）數據的安全：這裏的數據安全更多的是指在數據的傳輸交互過程當中數據的完整性、保密性和不可抵賴性。由於雲服務層無時無刻都在跟數據進行"打交道"，因此數據的安全時相當重要的。

（4）API安全：由於雲服務層須要對外提供相應的API服務，因此保證API的安全，防止非法訪問和非法數據請求是相當重要的，不然將極大的消耗數據庫的資源。

（5）設備的鑑別和驗證：須要具備可靠的密鑰管理機制，從而來實現和支持設備接入過程當中安全傳輸的能力，並可以阻斷異常的接入。

（6）全局的日誌記錄：須要具備全局的日誌的記錄能力，讓系統的異常可以完整的進行進行，以便後面的系統升級和維護。

2.4 應用層概述及需求分析

應用層是綜合的或有個體特性的具體業務層。由於應用層是直接面向於用戶，接觸到的也是用戶的隱私數據，因此也是風險最高的層級。

應用層所面臨的安全威脅有：

（1）如何根據不一樣的權限對同一數據進行篩選和處理；

（2）實現對於數據的保護和驗證；

（3）如何解決信息泄露後的追蹤問題；

（4）惡意代碼，或者應用程序自己所具備的安全問題；

loT中對於應用層的安全設計具備如下的需求：

（1）認證能力：須要可以驗證用戶的合法性，防止非法用戶假冒合法用戶用的身份進行非法訪問，同時，須要防止合法用戶對於未受權業務的訪問；

（2）隱私保護：保護用戶的隱私不泄露，且具備泄漏後的追蹤能力；

（3）密鑰的安全性：須要具備一套完整的密鑰管理機制來實現對於密鑰的管理，從而代替用戶名/密碼的方式；

（4）數據銷燬：可以具備必定的數據銷燬能力，是在特殊狀況下數據的銷燬。

（5）知識產權的保護能力：由於應用層是直接對接與用戶，因此須要具備必定的抗反編譯的能力，從而來實現知識產權的保護。

3. 物聯網安全特徵及關鍵技術

3.1 物聯網安全特徵

咱們從上面關於物聯網安全層次的分析中能夠看出，物聯網的從信息的採集、匯聚、傳輸、決策、控制整個過程當中都面臨了大量的安全問題，這些安全問題都具備如下幾個方面的特徵：

（1）多源異構性及智能化不足：在物聯網的感知層中，感知節點存在多源異構，各個廠商提升和使用的協議都存在必定的差別，沒有特定的標準，致使沒法進行統一的安全設計。同時，感知設備的功能簡單，沒法進行復雜的安全保護工做。

（2）核心網絡的傳輸和數據的安全：在物聯網網絡中，核心網絡具備必定的相對完整的保護機制，可是物聯網節點以集羣的方式存在，且數量龐大，各個節點之間的安全就沒法保障，且當大量數據傳回中心節點時，容易形成網絡擁塞，從而形成拒絕服務的狀況。

3.2 物聯網安全關鍵技術

物聯網做爲互聯網的延伸，融合了多種網絡的特色，物聯網安全天然就會涉及到各個網絡的不一樣層次，在這些網絡中，已經應用了多種與安全相關的技術，下面是關於這些安全技術的一些梳理：

（1）數據處理與安全：物聯網除了面臨數據採集的安全外，還須要面對信息的傳輸過程的私密性以及網絡的可靠、可信和安全。物聯網可否大規模的應用很大程度上取決因而都可以保障用戶數據和隱私的安全；

（2）密鑰管理機制：密鑰系統是安全的基礎，是實現感知信息隱私保護的手段之一；

（3）安全路由協議：物聯網的路由須要通過多類路由，因此主要面臨的問題就是多協議路由的融合問題，以及傳感網絡的安全路由；

（4）認證與訪問控制：認證是物聯網安全的第一道防線，主要是證實「我是我」的問題，可以有效的防止假裝類用戶。同時，對於消息的認證可以有效的確保信息的安全有效。同時訪問控制是對合法用戶的非法請求的控制，可以有效的減小隱私的泄露。

（5）入侵檢測和容錯機制：物聯網系統遭到入侵有時是不可避免的，可是須要有完善的容錯機制，確保可以在入侵或者非法攻擊發生時，可以及時的隔離問題系統和恢復正常的功能。

（6）安全分析和交付機制：除了可以防止現有可見的安全威脅外，物聯網系統應該可以預測將來的威脅，同時可以根據出現的問題實現對設備的持續的更新和打補丁。

4. 物聯網安全發展趨勢

隨着物聯網迅猛發展的同時，物聯網安全也成爲了最大的痛點。在物聯網安全時間頻發的背後，也證實了在物聯網安全領域存在着巨大的機遇。根據調查研究公司MarketsandMarkets預計，2020年全球的物聯網安全時候出那個將從2015年的68.9億美圓增加至289億美圓。目前物聯網安全具備如下幾大趨勢：

（1）物聯網勒索軟件和「流氓軟件」將愈來愈廣泛：黑客利用網絡攝像頭這樣的物聯網設備，將流量導入一個攜帶流氓軟件的網址，同時命令軟件對用戶進行勒索，讓用書贖回被加密的泄露的數據。

（2）物聯網攻擊將目標瞄準數字虛擬貨幣：虛擬貨幣由於其的私密性和不可追溯性，近年來市值的不斷飆升，天然物聯網的攻擊者們也不會放過這一巨大的市場，目前已經發現了物聯網僵屍網絡挖礦的狀況劇增，致使黑客甚至利用視頻攝像頭進行比特幣挖礦。

（3）迎來量子計算時代，安全問題應該獲得更加的重視：今年全球軟件企業的量子計算競賽更趨白熱化。短短几個月內，英特爾公司就造出了包含 17 個量子位的全新芯片，並且已經交付測試；微軟公司也詳細展現了用於開發量子程序的新型編程語言；IBM 公司則發佈了50個量子位的量子電腦原型。Louis Parks是物聯網安全軟件公司 SecureRF 的首席執行官，他認爲，在這些科技進步影響下，量子計算可能會在十年內實現商業化，化解量子計算可能存在的安全威脅顯得更爲緊迫。

（4）大規模入侵將被「微型入侵」替代：「微型入侵」與大規模或者「綜合性攻擊」不一樣的是，它瞄準的是物聯網的弱點，可是規模較小，能逃過目前現有的安全監控。它們可以順應環境而變，進行從新自由的組合，造成新的攻擊，例如： IoTroop。

（5）物聯網安全將更加的自動化和智能化：當物聯網的規模明顯擴大，覆蓋到了成千上萬臺設備級別時，可能就難以作好網絡和收集數據的管理工做。物聯網安全的自動化和智能化能夠監測不規律的流量模式，由此可能幫助網絡管理者和網絡安全人員處理異常狀況的發生。

（6）對感知設備的攻擊將變得無處不在：物聯網算是傳感器網絡的一個衍生產品，所以互聯網傳感器自己就存在潛在安全漏洞。黑客可能會嘗試向傳感器發送一些人體沒法感知的能量，來對傳感器設備進行攻擊。

（7）隱私保護將成爲物聯網安全的重要組成部分：一方面物聯網平臺須要根據用戶的數據提供更加便捷、智能的服務，另外一方面，對於用戶隱私數據的保護又成爲了重中之重。

5. 物聯網安全技術探索

隨着物聯網安全的快速發展，發起攻擊的方式愈來愈多樣化，因此新技術在應用在物聯網安全中心顯得愈發的重要。

5.1 去中心化認證

傳統的中心化系統中，信任機制比較容易創建，存在一個可信的第三方來管理全部的設備的身份信息。可是物聯網環境中設備衆多，將來可能會達到百億級別，這會對可信第三方形成很大的壓力。區塊鏈解決的核心問題是在信息不對稱、不肯定的環境下，如何創建知足經濟活動賴以發生、發展的「信任」生態體系。在物聯網環境中，全部平常家居物件都能自發、自動地與其它物件、或外界世界進行互動，可是必須解決物聯網設備之間的信任問題。

5.2 大數據安全分析

利用大數據分析平臺對物聯網安全漏洞進行挖掘。挖掘主要關注兩個方面，一個是網絡協議自己的漏洞挖掘，一個是嵌入式操做系統的漏洞挖掘。分別對應網絡層和感知層，應用層大多采用雲平臺，屬於雲安全的範疇，可應用已有的雲安全防禦措施。在如今的物聯網行業中，各種網絡協議被普遍使用，同時這些網絡協議也帶來了大量的安全問題。須要利用一些漏洞挖掘技術對物聯網中的協議進行漏洞挖掘，先於攻擊者發現並及時修補漏洞，有效減小來自黑客的威脅，提高系統的安全性。