摘要:隨著5G正式商用����,物聯(lián)網(wǎng)進入高速發(fā)展期,物聯(lián)網(wǎng)終端數(shù)量也呈現(xiàn)指數(shù)級增長�,隨之而來的物聯(lián)網(wǎng)安全問題也越來越引發(fā)關(guān)注,物聯(lián)網(wǎng)終端因為結(jié)構(gòu)簡單���、數(shù)量龐大���、無人看守等問題成為物聯(lián)網(wǎng)中被攻擊的主要對象。針對物聯(lián)網(wǎng)終端特點��,介紹了物聯(lián)網(wǎng)終端的基本架構(gòu),指出物聯(lián)網(wǎng)終端面臨的安全風(fēng)險�,并且針對不同風(fēng)險提出物聯(lián)網(wǎng)終端不同模塊應(yīng)該具備的安全能力。
1 引言
1999年�,美國麻省理工學(xué)院教授Ashton首次提出物聯(lián)網(wǎng)的概念中只涉及RFID技術(shù)的簡單終端;2005年�����,ITU發(fā)布《ITU 2005互聯(lián)網(wǎng)報告摘要:物聯(lián)網(wǎng)》(《ITU INTERNET REPORTS 2005 EXECUTIVE SUMMARY:The Internet of Things》)����,重新定義了物聯(lián)網(wǎng)的概念并且擴展了物聯(lián)網(wǎng)終端的范圍,如傳感網(wǎng)技 術(shù)�����、智能器件��、納米技術(shù)和小型化技術(shù)的終端[1]���。IDC預(yù)計,2020年物聯(lián)網(wǎng)終端(如智慧城市��、智能家居���、工 業(yè)物聯(lián)網(wǎng)等終端設(shè)備)數(shù)量將從2014年的1030 萬種增至2950 萬種���。GSMA預(yù)測��,到2025年����,全球物聯(lián)網(wǎng)終端數(shù)量將達到252 億[2]���。
隨著物聯(lián)網(wǎng)終端種類和數(shù)量指數(shù)級的增長��,越來越多的物聯(lián)網(wǎng)終端安全問題逐漸暴露出來�。例如���,非法控制海量物聯(lián)網(wǎng)終端形成僵尸網(wǎng)絡(luò)進而進行拒絕服務(wù)攻擊��;利用終端自身漏洞控制終端進行非法操作����;竊取終端數(shù)據(jù)造成個人隱私數(shù)據(jù)泄露等���。物聯(lián)網(wǎng)終端安全事件已經(jīng)對公眾生命財產(chǎn)安全����、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、社會穩(wěn)定和國家安全形成重大威脅���。亟需對物聯(lián)網(wǎng)終端架構(gòu)進行全面分析研究�,并針對物聯(lián)網(wǎng)終端不同模塊面臨的典型風(fēng)險���,提出終端不同模塊應(yīng)具備的安全能力�。
2 物聯(lián)網(wǎng)終端架構(gòu)
物聯(lián)網(wǎng)終端架構(gòu)分為必選模塊和可選模塊���,必選模塊包括傳感器�、硬件接口�����、通信模塊�����、數(shù)據(jù)模塊�;可選模塊包括安全模塊、操作系統(tǒng)�、應(yīng)用軟件。
( 1 ) 傳感器:能感受規(guī)定的被測量并按照一定的規(guī)律轉(zhuǎn)換成可用信號的器件或裝置�����,通常由敏感元件和轉(zhuǎn)換元件組成�����,如射頻識別(RFID)��、紅外感應(yīng)器����、全 球定位系統(tǒng)、激光掃描器等信息傳感設(shè)備��。
( 2 ) 硬件接口:指物聯(lián)網(wǎng)終端暴露在外部的硬件接口�����,包括但不限于USB接口�、JTAG、串口���、RJ45接口��。
( 3 ) 通信模塊:主要通過蜂窩移動通信網(wǎng)���、非蜂窩移動通信網(wǎng)兩大類無線通信手段����,直接或者通過網(wǎng)關(guān)間接連接到核心網(wǎng)絡(luò)負(fù)責(zé)物聯(lián)網(wǎng)終端和服務(wù)端的數(shù)據(jù)傳輸?shù)哪K�����。其中��,蜂窩通信模塊主要包絡(luò)NB-IoT���、eMTC�����;非蜂窩通信模塊主要包括LoRa����、Wi-Fi���、藍牙��、ZigBee�����。
( 4 ) 數(shù)據(jù)模塊:該模塊貫穿所有的物聯(lián)網(wǎng)終端模塊����,依靠傳感器硬件進行數(shù)據(jù)收集�����,依靠通信模塊進行數(shù)據(jù)傳輸�����,依靠軟件應(yīng)用模塊進行數(shù)據(jù)處理和分析���。數(shù)據(jù)模塊包含硬件的參數(shù)數(shù)據(jù)����、操作系統(tǒng)的系統(tǒng)數(shù)據(jù)和配置數(shù)據(jù)��,以及軟件應(yīng)用模塊的應(yīng)用服務(wù)數(shù)據(jù)等。
( 5 ) 安全模塊:實現(xiàn)物聯(lián)網(wǎng)終端的身份認(rèn)證��,以及控制端(平臺應(yīng)用�����、網(wǎng)關(guān)����、客戶端APP)的控制指令有效性驗證等安全功能。
( 6 ) 操作系統(tǒng):運行在物聯(lián)網(wǎng)終端上��,是整個物聯(lián)網(wǎng)終端的大腦���,對物聯(lián)網(wǎng)終端進行控制和管理�����,向上承載應(yīng)用程序���,向下承接底層資源調(diào)用和管理。
( 7 ) 應(yīng)用軟件:建立在物聯(lián)網(wǎng)終端操作系統(tǒng)之上�,為終端提供豐富的對外功能,除了提供必要的業(yè)務(wù)功能外���,也會臨時存放敏感數(shù)據(jù)��,同時還會根據(jù)版本迭代不斷更新升級�����。
3 物聯(lián)網(wǎng)終端面臨的安全風(fēng)險
3.1 硬件安全風(fēng)險
( 1 ) 終端硬件結(jié)構(gòu)簡單��,安全能力薄弱��。因為成本原因�,很多物聯(lián)網(wǎng)終端結(jié)構(gòu)簡單�。例如,智慧農(nóng)業(yè)���、 工業(yè)物聯(lián)網(wǎng)應(yīng)用場景�,這些場景的終端主要結(jié)構(gòu)就是各類傳感器����,有些終端甚至不具備基本的身份校驗、加密完整性保護安全能力��。另外�,采用RFID�����、NFC技術(shù)的物聯(lián)網(wǎng)終端結(jié)構(gòu)也很簡單�,極易被竊取信息���,進行非法操作�、非法交易等����。
( 2 ) 終端數(shù)量龐大,多數(shù)終端無人值守�。智慧城市、智慧家居場景的物聯(lián)網(wǎng)終端結(jié)構(gòu)相對復(fù)雜���,但是由于終端數(shù)量極其龐大�����,一旦被攻擊者非法控制�����,很容易形成大面積的僵尸網(wǎng)絡(luò)���,進而進行DDoS攻擊���。智慧家居由于與公眾直接接觸,一旦被攻破會直接造成公眾的隱私泄露����、財產(chǎn)損失等。智能攝像頭��、智能井蓋等終端無人值守�����,暴露在外的硬件接口容易被攻擊者直接利用�����,終端也容易被直接破壞���。
3.2 軟件安全風(fēng)險
( 1 ) 終端操作系統(tǒng)、軟件本身存在漏洞�。一些復(fù)雜的物聯(lián)網(wǎng)終端包括操作系統(tǒng)以及應(yīng)用軟件,多數(shù)終端出廠以后從入網(wǎng)到報廢整個周期沒有操作系統(tǒng)補丁升級�����、軟件升級的過程,針對開源的操作系統(tǒng)�,容易被黑客利用系統(tǒng)本身存在的漏洞。操作系統(tǒng)一些接口(Telnet�����、SSH�����、FTP等)沒有默認(rèn)關(guān)閉���,也容易被攻擊者利用進行非法操作����。
( 2 ) 終端接入方式多樣�,缺乏統(tǒng)一接入認(rèn)證流程。物聯(lián)網(wǎng)無線接入方式主要分為授權(quán)�、非授權(quán)兩種。授權(quán)接入包括eMTC和NB-IoT�����,該類物聯(lián)網(wǎng)終端無論是接入認(rèn)證還是加密完整性保護都是在基礎(chǔ)電信企業(yè)移動網(wǎng)絡(luò)中驗證過的,安全能力可靠����。非授權(quán)接入主要包括LoRa、ZigBee�����、Wi-Fi和藍牙���,此類接入方式?jīng)]有統(tǒng)一的接入認(rèn)證標(biāo)準(zhǔn)流程��,都是采用自有協(xié)議的認(rèn)證流程����,攻擊者會利用不同協(xié)議的漏洞進行攻擊�����。
3.3 數(shù)據(jù)安全風(fēng)險
( 1 ) 密鑰等系統(tǒng)信息沒有加密存儲����。由于部分物聯(lián)網(wǎng)終端結(jié)構(gòu)簡單,不支持復(fù)雜的加密算法����,密鑰等系統(tǒng)關(guān)鍵信息沒有加密存儲或者采用的加密算法相對簡單,攻擊者獲取到密鑰或者關(guān)鍵信息后會直接進行非法操作����。還有一些終端的密碼沒有采用復(fù)雜密碼規(guī)則或者使用系統(tǒng)默認(rèn)的簡單密碼,攻擊者登陸到終端系統(tǒng)后可以直接控制終端���,進而控制大量終端進行DDoS攻擊���。
( 2 ) 用戶數(shù)據(jù)泄露危害大。攝像頭�、智能門鎖等物聯(lián)網(wǎng)終端直接接觸公眾,終端使用過程中產(chǎn)生的數(shù)據(jù)涉及公眾的隱私��,無論是終端中存儲的用戶數(shù)據(jù)還是用戶在使用數(shù)據(jù)過程中的傳輸數(shù)據(jù)����,一旦泄露會直接對公眾的生命財產(chǎn)造成重大威脅。
( 3 ) 數(shù)據(jù)源污染��。隨著物聯(lián)網(wǎng)終端設(shè)備應(yīng)用越來越廣泛���,必定會產(chǎn)生海量的數(shù)據(jù)����,針對物聯(lián)網(wǎng)數(shù)據(jù)源的管控非常必要,數(shù)據(jù)源頭一旦異常�����,比如智能電表數(shù)據(jù)異常���,就會對個人的財產(chǎn)安全造成損害�����。智慧城市�、智慧農(nóng)業(yè)等應(yīng)用如果數(shù)據(jù)源出現(xiàn)問題�����,針對數(shù)據(jù)源進行的大數(shù)據(jù)分析結(jié)果就會出現(xiàn)偏差甚至錯誤�����,會嚴(yán)重威脅社會穩(wěn)定�、國家安全。
4 物聯(lián)網(wǎng)終端不同模塊應(yīng)該具備的安全能力
4.1 硬件安全能力要求
物聯(lián)網(wǎng)硬件應(yīng)該具備防硬件拆除的安全能力��,終端如果檢測到正在遭受非法拆除�,應(yīng)該具備預(yù)警能力。終端應(yīng)禁止感知終端閑置的外部接口(USB���、串口����,JTAG���、RJ45接口等)���;驗證連接設(shè)備的調(diào)試/通信接口時,密碼不能為弱口令�����,應(yīng)存在連接超時檢查機制�����、接口自動鎖定機制�����。通信模塊應(yīng)使用加密算法和完整性保護算法保證通信的加密,避免側(cè)信道攻擊��。蜂窩通信模塊應(yīng)具有不可更改的設(shè)備IMEI號�,為了避免2G偽基站 攻擊,以及3G網(wǎng)絡(luò)逐漸退網(wǎng)��,建議采用4G/NB-IoT/eMTC網(wǎng)絡(luò)��,避免使用2G/3G網(wǎng)絡(luò)���。BLE 4.2版本及以上的模塊應(yīng)使用低功耗安全連接(LE Secure Connections)功能�。ZigBee模塊應(yīng)使用訪問控制模式或安全模式進行通信�����,不能使用非安全模式進行 通信����。
4.2 軟件安全能力要求
4.2.1 操作系統(tǒng)安全能力要求
( 1 ) 物聯(lián)網(wǎng)終端操作系統(tǒng)應(yīng)該具備賬戶管理安全能力,比如對用戶進行身份鑒別��、提供用戶賬戶的分級管理(管理員����、維護員、訪客等)��、禁止業(yè)務(wù)需求以外的端口(Telnet����、SSH、FTP��、SFTP等)�����、單點登錄控制�、鎖定長時間無操作用戶等。
( 2 ) 物聯(lián)網(wǎng)終端操作系統(tǒng)應(yīng)該具備資源訪問控制安全能力�,比如設(shè)置系統(tǒng)中客體(文件、文件夾����、進程等)的訪問屬性、訪問控制屬性應(yīng)包含讀���、寫��、執(zhí)行等訪問權(quán)限設(shè)置����。
( 3 ) 物聯(lián)網(wǎng)終端操作系統(tǒng)應(yīng)該具備安全審計能力,比如為操作系統(tǒng)事件生成審計記錄����,事件包括系統(tǒng) 運行記錄、系統(tǒng)更新升級記錄�����、報警記錄�、操作日志、網(wǎng)絡(luò)流量記錄�、用戶行為記錄、配置信息等�。審計記錄應(yīng)包括日期、時間�����、操作用戶��、操作類型等。
( 4 ) 物聯(lián)網(wǎng)終端操作系統(tǒng)應(yīng)該具備安全防護能力����,比如按照策略進行系統(tǒng)補丁更新和升級,與服務(wù)端建立連接要有認(rèn)證過程�����,保證更新的數(shù)據(jù)來源是合法和完整的��,應(yīng)具備安全防護能力��,如惡意代碼防范�、反編譯防護�����。
4.2.2 應(yīng)用軟件安全能力要求
( 1 ) 物聯(lián)網(wǎng)終端應(yīng)用軟件應(yīng)具備賬號管理安全能力�,比如對用戶進行身份鑒別、系統(tǒng)文件不應(yīng)明文存儲用戶賬號��、密碼等敏感信息�����、用戶賬號相關(guān)動態(tài)信息(如驗證碼)應(yīng)該有保護機制(如時效性等)。
( 2 ) 物聯(lián)網(wǎng)終端應(yīng)用軟件安全防護能力��,比如按照策略進行軟件補丁更新和升級���、應(yīng)具備安全防護能力�����,如惡意代碼防范����、反編譯防護等��。
4.2.3 接入認(rèn)證安全能力要求
物聯(lián)網(wǎng)終端應(yīng)具備接入認(rèn)證安全能力����,比如終端應(yīng)該具備對控制端雙向接入認(rèn)證、身份識別機制��,終端應(yīng)能鑒別下達指令者的身份(如黑白名單)�,當(dāng)鑒別應(yīng)答超過規(guī)定時限時,接入系統(tǒng)應(yīng)能終止與待接入的感知層接入實體之間的當(dāng)前會話���。
4.3 數(shù)據(jù)安全能力要求
物聯(lián)網(wǎng)終端應(yīng)具備數(shù)據(jù)安全能力�,比如密鑰、用戶數(shù)據(jù)在產(chǎn)生����、存儲、傳輸�、銷毀、恢復(fù)�����、徹底刪除等過程中均受到安全機制的保護(如加密存儲等)����,不應(yīng)明文存儲數(shù)據(jù)庫連接密碼��、FTP服務(wù)密碼�����、登錄密碼�、外部系統(tǒng)接口認(rèn)證密碼等敏感數(shù)據(jù)。數(shù)據(jù)傳輸應(yīng)保證敏感通信數(shù)據(jù)在傳遞過程中可抵御監(jiān)聽或篡改��,保障數(shù)據(jù)的保密性���、完整性和有效性�。
5 結(jié)束語
隨著5G網(wǎng)絡(luò)逐步商用,萬物互聯(lián)時代的到來�,國家也積極推動物聯(lián)網(wǎng)等新型基礎(chǔ)設(shè)施建設(shè)的部署,在政策與市場雙重驅(qū)動下物聯(lián)網(wǎng)發(fā)展迎來了重要機遇��。物聯(lián)網(wǎng)安全在物聯(lián)網(wǎng)發(fā)展過程中不可或缺����,物聯(lián)網(wǎng)終端安全更是物聯(lián)網(wǎng)安全的重中之重。物聯(lián)網(wǎng)終端需要繼續(xù)提升安全能力�,為物聯(lián)網(wǎng)快速發(fā)展添磚加瓦、保駕護航��。
參考文獻
[1]ITU. ITU Internet Reports 2005: The Internet of Things[S]. World Summit on the Information Society (WSIS), 2005.
[2]GSMA The Mobile Economy China 2019[EB/OL]. [2020-08-10]. https://data.gsmaintelligence.com/research/research/research-2019/the-mobile-economy-china-2019.
[3]韓海庭. 提升終端安全能力打造物聯(lián)網(wǎng)安全內(nèi)核[N]. 人民郵電, 2020-01-14(006).
[4]物聯(lián)網(wǎng)安全創(chuàng)新實驗室. 物聯(lián)網(wǎng)終端安全白皮書[R], 2019.
[5]李祥軍, 馮運波. 物聯(lián)網(wǎng)終端安全分析及實踐[J]. 保密科學(xué)技術(shù), 2018(9):21-24.
[6]周平. 物聯(lián)網(wǎng)終端安全分析及實踐[J]. 通訊世界, 2019, 26(10):50-51.
[7]中國電子技術(shù)標(biāo)準(zhǔn)化研究院. 物聯(lián)網(wǎng)智能終端信息安全白皮書[R], 2017.
[8]GB/T 36951-2018. 信息安全技術(shù). 物聯(lián)網(wǎng)感知終端應(yīng)用安全技術(shù)要求[S]. 中國國家標(biāo)準(zhǔn)化管理委員會, 2018.
[9]GB/T 37093-2018. 信息安全技術(shù). 物聯(lián)網(wǎng)感知層接入通信網(wǎng)的安全要求[S]. 中國國家標(biāo)準(zhǔn)化管理委員 會, 2018.
[10]TAF-FG1-AS0030-V1.0.0:2019. 智能門鎖信息安全技術(shù)要求和評估方法[S]. 電信終端產(chǎn)業(yè)協(xié)會, 2019.
原文來源:信息通信技術(shù)與政策
在線咨詢
在線咨詢
0371-63319761