林美玉 王亞忠
(中國信息通信研究院安全研究所��,北京 100191)
摘要:隨著5G正式商用�,物聯(lián)網(wǎng)進(jìn)入高速發(fā)展期����,物聯(lián)網(wǎng)終端數(shù)量也呈現(xiàn)指數(shù)級增長�,隨之而來的物聯(lián)網(wǎng)安全問題也越來越引發(fā)關(guān)注,物聯(lián)網(wǎng)終端因?yàn)榻Y(jié)構(gòu)簡單����、數(shù)量龐大�、無人看守等問題成為物聯(lián)網(wǎng)中被攻擊的主要對象��。針對物聯(lián)網(wǎng)終端特點(diǎn)�,介紹了物聯(lián)網(wǎng)終端的基本架構(gòu),指出物聯(lián)網(wǎng)終端面臨的安全風(fēng)險(xiǎn)����,并且針對不同風(fēng)險(xiǎn)提出物聯(lián)網(wǎng)終端不同模塊應(yīng)該具備的安全能力。
1 引言
1999年�,美國麻省理工學(xué)院教授Ashton首次提出物聯(lián)網(wǎng)的概念中只涉及RFID技術(shù)的簡單終端;2005年���,ITU發(fā)布《ITU 2005互聯(lián)網(wǎng)報(bào)告摘要:物聯(lián)網(wǎng)》(《ITU INTERNET REPORTS 2005 EXECUTIVE SUMMARY:The Internet of Things》)����,重新定義了物聯(lián)網(wǎng)的概念并且擴(kuò)展了物聯(lián)網(wǎng)終端的范圍��,如傳感網(wǎng)技 術(shù)���、智能器件���、納米技術(shù)和小型化技術(shù)的終端[1]����。IDC預(yù)計(jì)��,2020年物聯(lián)網(wǎng)終端(如智慧城市�����、智能家居�����、工 業(yè)物聯(lián)網(wǎng)等終端設(shè)備)數(shù)量將從2014年的1030 萬種增至2950 萬種���。GSMA預(yù)測,到2025年����,全球物聯(lián)網(wǎng)終端數(shù)量將達(dá)到252 億[2]。
隨著物聯(lián)網(wǎng)終端種類和數(shù)量指數(shù)級的增長���,越來越多的物聯(lián)網(wǎng)終端安全問題逐漸暴露出來�。例如�,非法控制海量物聯(lián)網(wǎng)終端形成僵尸網(wǎng)絡(luò)進(jìn)而進(jìn)行拒絕服務(wù)攻擊;利用終端自身漏洞控制終端進(jìn)行非法操作;竊取終端數(shù)據(jù)造成個人隱私數(shù)據(jù)泄露等��。物聯(lián)網(wǎng)終端安全事件已經(jīng)對公眾生命財(cái)產(chǎn)安全��、網(wǎng)絡(luò)基礎(chǔ)設(shè)施����、社會穩(wěn)定和國家安全形成重大威脅。亟需對物聯(lián)網(wǎng)終端架構(gòu)進(jìn)行全面分析研究�,并針對物聯(lián)網(wǎng)終端不同模塊面臨的典型風(fēng)險(xiǎn),提出終端不同模塊應(yīng)具備的安全能力��。
2 物聯(lián)網(wǎng)終端架構(gòu)
物聯(lián)網(wǎng)終端架構(gòu)分為必選模塊和可選模塊�����,必選模塊包括傳感器���、硬件接口�����、通信模塊����、數(shù)據(jù)模塊;可選模塊包括安全模塊�����、操作系統(tǒng)�����、應(yīng)用軟件�����。
(1)傳感器:能感受規(guī)定的被測量并按照一定的規(guī)律轉(zhuǎn)換成可用信號的器件或裝置�,通常由敏感元件和轉(zhuǎn)換元件組成����,如射頻識別(RFID)、紅外感應(yīng)器�����、全 球定位系統(tǒng)�、激光掃描器等信息傳感設(shè)備。
(2)硬件接口:指物聯(lián)網(wǎng)終端暴露在外部的硬件接口����,包括但不限于USB接口��、JTAG�����、串口���、RJ45接口。
(3)通信模塊:主要通過蜂窩移動通信網(wǎng)����、非蜂窩移動通信網(wǎng)兩大類無線通信手段,直接或者通過網(wǎng)關(guān)間接連接到核心網(wǎng)絡(luò)負(fù)責(zé)物聯(lián)網(wǎng)終端和服務(wù)端的數(shù)據(jù)傳輸?shù)哪K���。其中�����,蜂窩通信模塊主要包絡(luò)NB-IoT����、eMTC���;非蜂窩通信模塊主要包括LoRa����、Wi-Fi、藍(lán)牙��、ZigBee��。
(4)數(shù)據(jù)模塊:該模塊貫穿所有的物聯(lián)網(wǎng)終端模塊��,依靠傳感器硬件進(jìn)行數(shù)據(jù)收集��,依靠通信模塊進(jìn)行數(shù)據(jù)傳輸�����,依靠軟件應(yīng)用模塊進(jìn)行數(shù)據(jù)處理和分析��。數(shù)據(jù)模塊包含硬件的參數(shù)數(shù)據(jù)���、操作系統(tǒng)的系統(tǒng)數(shù)據(jù)和配置數(shù)據(jù),以及軟件應(yīng)用模塊的應(yīng)用服務(wù)數(shù)據(jù)等��。
(5)安全模塊:實(shí)現(xiàn)物聯(lián)網(wǎng)終端的身份認(rèn)證�����,以及控制端(平臺應(yīng)用、網(wǎng)關(guān)���、客戶端APP)的控制指令有效性驗(yàn)證等安全功能�。
(6)操作系統(tǒng):運(yùn)行在物聯(lián)網(wǎng)終端上�,是整個物聯(lián)網(wǎng)終端的大腦,對物聯(lián)網(wǎng)終端進(jìn)行控制和管理�,向上承載應(yīng)用程序,向下承接底層資源調(diào)用和管理�����。
(7)應(yīng)用軟件:建立在物聯(lián)網(wǎng)終端操作系統(tǒng)之上�,為終端提供豐富的對外功能,除了提供必要的業(yè)務(wù)功能外��,也會臨時(shí)存放敏感數(shù)據(jù)��,同時(shí)還會根據(jù)版本迭代不斷更新升級��。
3 物聯(lián)網(wǎng)終端面臨的安全風(fēng)險(xiǎn)
3.1 硬件安全風(fēng)險(xiǎn)
(1)終端硬件結(jié)構(gòu)簡單����,安全能力薄弱�。因?yàn)槌杀驹?����,很多物?lián)網(wǎng)終端結(jié)構(gòu)簡單�。例如,智慧農(nóng)業(yè)���、 工業(yè)物聯(lián)網(wǎng)應(yīng)用場景����,這些場景的終端主要結(jié)構(gòu)就是各類傳感器�,有些終端甚至不具備基本的身份校驗(yàn)��、加密完整性保護(hù)安全能力��。另外�����,采用RFID�����、NFC技術(shù)的物聯(lián)網(wǎng)終端結(jié)構(gòu)也很簡單,極易被竊取信息��,進(jìn)行非法操作��、非法交易等���。
(2)終端數(shù)量龐大����,多數(shù)終端無人值守����。智慧城市、智慧家居場景的物聯(lián)網(wǎng)終端結(jié)構(gòu)相對復(fù)雜����,但是由于終端數(shù)量極其龐大,一旦被攻擊者非法控制���,很容易形成大面積的僵尸網(wǎng)絡(luò)����,進(jìn)而進(jìn)行DDoS攻擊。智慧家居由于與公眾直接接觸��,一旦被攻破會直接造成公眾的隱私泄露��、財(cái)產(chǎn)損失等�。智能攝像頭、智能井蓋等終端無人值守���,暴露在外的硬件接口容易被攻擊者直接利用����,終端也容易被直接破壞���。
3.2 軟件安全風(fēng)險(xiǎn)
(1)終端操作系統(tǒng)�����、軟件本身存在漏洞。一些復(fù)雜的物聯(lián)網(wǎng)終端包括操作系統(tǒng)以及應(yīng)用軟件���,多數(shù)終端出廠以后從入網(wǎng)到報(bào)廢整個周期沒有操作系統(tǒng)補(bǔ)丁升級�����、軟件升級的過程����,針對開源的操作系統(tǒng),容易被黑客利用系統(tǒng)本身存在的漏洞�。操作系統(tǒng)一些接口(Telnet、SSH�、FTP等)沒有默認(rèn)關(guān)閉,也容易被攻擊者利用進(jìn)行非法操作����。
(2)終端接入方式多樣,缺乏統(tǒng)一接入認(rèn)證流程��。物聯(lián)網(wǎng)無線接入方式主要分為授權(quán)����、非授權(quán)兩種。授權(quán)接入包括eMTC和NB-IoT����,該類物聯(lián)網(wǎng)終端無論是接入認(rèn)證還是加密完整性保護(hù)都是在基礎(chǔ)電信企業(yè)移動網(wǎng)絡(luò)中驗(yàn)證過的,安全能力可靠���。非授權(quán)接入主要包括LoRa�、ZigBee、Wi-Fi和藍(lán)牙��,此類接入方式?jīng)]有統(tǒng)一的接入認(rèn)證標(biāo)準(zhǔn)流程�����,都是采用自有協(xié)議的認(rèn)證流程���,攻擊者會利用不同協(xié)議的漏洞進(jìn)行攻擊�。
3.3 數(shù)據(jù)安全風(fēng)險(xiǎn)
(1)密鑰等系統(tǒng)信息沒有加密存儲��。由于部分物聯(lián)網(wǎng)終端結(jié)構(gòu)簡單���,不支持復(fù)雜的加密算法�����,密鑰等系統(tǒng)關(guān)鍵信息沒有加密存儲或者采用的加密算法相對簡單����,攻擊者獲取到密鑰或者關(guān)鍵信息后會直接進(jìn)行非法操作��。還有一些終端的密碼沒有采用復(fù)雜密碼規(guī)則或者使用系統(tǒng)默認(rèn)的簡單密碼����,攻擊者登陸到終端系統(tǒng)后可以直接控制終端,進(jìn)而控制大量終端進(jìn)行DDoS攻擊�����。
(2)用戶數(shù)據(jù)泄露危害大����。攝像頭、智能門鎖等物聯(lián)網(wǎng)終端直接接觸公眾���,終端使用過程中產(chǎn)生的數(shù)據(jù)涉及公眾的隱私�����,無論是終端中存儲的用戶數(shù)據(jù)還是用戶在使用數(shù)據(jù)過程中的傳輸數(shù)據(jù)��,一旦泄露會直接對公眾的生命財(cái)產(chǎn)造成重大威脅��。
(3)數(shù)據(jù)源污染�。隨著物聯(lián)網(wǎng)終端設(shè)備應(yīng)用越來越廣泛���,必定會產(chǎn)生海量的數(shù)據(jù)��,針對物聯(lián)網(wǎng)數(shù)據(jù)源的管控非常必要���,數(shù)據(jù)源頭一旦異常�,比如智能電表數(shù)據(jù)異常��,就會對個人的財(cái)產(chǎn)安全造成損害���。智慧城市�����、智慧農(nóng)業(yè)等應(yīng)用如果數(shù)據(jù)源出現(xiàn)問題��,針對數(shù)據(jù)源進(jìn)行的大數(shù)據(jù)分析結(jié)果就會出現(xiàn)偏差甚至錯誤���,會嚴(yán)重威脅社會穩(wěn)定、國家安全����。
4 物聯(lián)網(wǎng)終端不同模塊應(yīng)該具備的安全能力
4.1 硬件安全能力要求
物聯(lián)網(wǎng)硬件應(yīng)該具備防硬件拆除的安全能力,終端如果檢測到正在遭受非法拆除����,應(yīng)該具備預(yù)警能力。終端應(yīng)禁止感知終端閑置的外部接口(USB���、串口��,JTAG��、RJ45接口等)���;驗(yàn)證連接設(shè)備的調(diào)試/通信接口時(shí),密碼不能為弱口令��,應(yīng)存在連接超時(shí)檢查機(jī)制�����、接口自動鎖定機(jī)制��。通信模塊應(yīng)使用加密算法和完整性保護(hù)算法保證通信的加密���,避免側(cè)信道攻擊���。蜂窩通信模塊應(yīng)具有不可更改的設(shè)備IMEI號,為了避免2G偽基站 攻擊���,以及3G網(wǎng)絡(luò)逐漸退網(wǎng)��,建議采用4G/NB-IoT/eMTC網(wǎng)絡(luò)�����,避免使用2G/3G網(wǎng)絡(luò)����。BLE 4.2版本及以上的模塊應(yīng)使用低功耗安全連接(LE Secure Connections)功能。ZigBee模塊應(yīng)使用訪問控制模式或安全模式進(jìn)行通信���,不能使用非安全模式進(jìn)行 通信���。
4.2 軟件安全能力要求
4.2.1 操作系統(tǒng)安全能力要求
(1)物聯(lián)網(wǎng)終端操作系統(tǒng)應(yīng)該具備賬戶管理安全能力,比如對用戶進(jìn)行身份鑒別�����、提供用戶賬戶的分級管理(管理員�����、維護(hù)員、訪客等)����、禁止業(yè)務(wù)需求以外的端口(Telnet、SSH��、FTP��、SFTP等)�����、單點(diǎn)登錄控制��、鎖定長時(shí)間無操作用戶等��。
(2)物聯(lián)網(wǎng)終端操作系統(tǒng)應(yīng)該具備資源訪問控制安全能力�����,比如設(shè)置系統(tǒng)中客體(文件����、文件夾���、進(jìn)程等)的訪問屬性����、訪問控制屬性應(yīng)包含讀、寫�、執(zhí)行等訪問權(quán)限設(shè)置。
(3)物聯(lián)網(wǎng)終端操作系統(tǒng)應(yīng)該具備安全審計(jì)能力��,比如為操作系統(tǒng)事件生成審計(jì)記錄���,事件包括系統(tǒng) 運(yùn)行記錄�����、系統(tǒng)更新升級記錄�����、報(bào)警記錄�����、操作日志����、網(wǎng)絡(luò)流量記錄、用戶行為記錄���、配置信息等�����。審計(jì)記錄應(yīng)包括日期�、時(shí)間���、操作用戶、操作類型等�����。
(4)物聯(lián)網(wǎng)終端操作系統(tǒng)應(yīng)該具備安全防護(hù)能力���,比如按照策略進(jìn)行系統(tǒng)補(bǔ)丁更新和升級����,與服務(wù)端建立連接要有認(rèn)證過程��,保證更新的數(shù)據(jù)來源是合法和完整的��,應(yīng)具備安全防護(hù)能力,如惡意代碼防范�����、反編譯防護(hù)�。
4.2.2 應(yīng)用軟件安全能力要求
(1)物聯(lián)網(wǎng)終端應(yīng)用軟件應(yīng)具備賬號管理安全能力,比如對用戶進(jìn)行身份鑒別����、系統(tǒng)文件不應(yīng)明文存儲用戶賬號、密碼等敏感信息�����、用戶賬號相關(guān)動態(tài)信息(如驗(yàn)證碼)應(yīng)該有保護(hù)機(jī)制(如時(shí)效性等)����。
(2)物聯(lián)網(wǎng)終端應(yīng)用軟件安全防護(hù)能力,比如按照策略進(jìn)行軟件補(bǔ)丁更新和升級�����、應(yīng)具備安全防護(hù)能力����,如惡意代碼防范�、反編譯防護(hù)等��。
4.2.3 接入認(rèn)證安全能力要求
物聯(lián)網(wǎng)終端應(yīng)具備接入認(rèn)證安全能力����,比如終端應(yīng)該具備對控制端雙向接入認(rèn)證、身份識別機(jī)制��,終端應(yīng)能鑒別下達(dá)指令者的身份(如黑白名單)�����,當(dāng)鑒別應(yīng)答超過規(guī)定時(shí)限時(shí)�,接入系統(tǒng)應(yīng)能終止與待接入的感知層接入實(shí)體之間的當(dāng)前會話����。
4.3 數(shù)據(jù)安全能力要求
物聯(lián)網(wǎng)終端應(yīng)具備數(shù)據(jù)安全能力,比如密鑰�、用戶數(shù)據(jù)在產(chǎn)生、存儲���、傳輸��、銷毀���、恢復(fù)�、徹底刪除等過程中均受到安全機(jī)制的保護(hù)(如加密存儲等)��,不應(yīng)明文存儲數(shù)據(jù)庫連接密碼�����、FTP服務(wù)密碼�����、登錄密碼���、外部系統(tǒng)接口認(rèn)證密碼等敏感數(shù)據(jù)�����。數(shù)據(jù)傳輸應(yīng)保證敏感通信數(shù)據(jù)在傳遞過程中可抵御監(jiān)聽或篡改�,保障數(shù)據(jù)的保密性�、完整性和有效性。
5 結(jié)束語
隨著5G網(wǎng)絡(luò)逐步商用�,萬物互聯(lián)時(shí)代的到來,國家也積極推動物聯(lián)網(wǎng)等新型基礎(chǔ)設(shè)施建設(shè)的部署�,在政策與市場雙重驅(qū)動下物聯(lián)網(wǎng)發(fā)展迎來了重要機(jī)遇�。物聯(lián)網(wǎng)安全在物聯(lián)網(wǎng)發(fā)展過程中不可或缺���,物聯(lián)網(wǎng)終端安全更是物聯(lián)網(wǎng)安全的重中之重���。物聯(lián)網(wǎng)終端需要繼續(xù)提升安全能力,為物聯(lián)網(wǎng)快速發(fā)展添磚加瓦�、保駕護(hù)航。
參考文獻(xiàn)
[1] ITU. ITU Internet Reports 2005: The Internet of Things[S]. World Summit on the Information Society (WSIS), 2005.
[2] GSMA The Mobile Economy China 2019[EB/OL]. [2020-08-10]. https://data.gsmaintelligence.com/research/research/research-2019/the-mobile-economy-china-2019.
[3] 韓海庭. 提升終端安全能力打造物聯(lián)網(wǎng)安全內(nèi)核[N]. 人民郵電, 2020-01-14(006).
[4] 物聯(lián)網(wǎng)安全創(chuàng)新實(shí)驗(yàn)室. 物聯(lián)網(wǎng)終端安全白皮書[R], 2019.
[5] 李祥軍, 馮運(yùn)波. 物聯(lián)網(wǎng)終端安全分析及實(shí)踐[J]. 保密科學(xué)技術(shù), 2018(9):21-24.
[6] 周平. 物聯(lián)網(wǎng)終端安全分析及實(shí)踐[J]. 通訊世界, 2019, 26(10):50-51.
[7] 中國電子技術(shù)標(biāo)準(zhǔn)化研究院. 物聯(lián)網(wǎng)智能終端信息安全白皮書[R], 2017.
[8] GB/T 36951-2018. 信息安全技術(shù). 物聯(lián)網(wǎng)感知終端應(yīng)用安全技術(shù)要求[S]. 中國國家標(biāo)準(zhǔn)化管理委員會, 2018.
[9] GB/T 37093-2018. 信息安全技術(shù). 物聯(lián)網(wǎng)感知層接入通信網(wǎng)的安全要求[S]. 中國國家標(biāo)準(zhǔn)化管理委員 會, 2018.
[10] TAF-FG1-AS0030-V1.0.0:2019. 智能門鎖信息安全技術(shù)要求和評估方法[S]. 電信終端產(chǎn)業(yè)協(xié)會, 2019.
Research on Internet of Things terminals security capabilities
LIN Meiyu, WANG Yazhong
(Security Research Institute, China Academy of Information and Communications Technology, Beijing 100191, China)
Abstract: With the official commercialization of 5G, the Internet of Things has entered a period of rapid development, and the number of Internet of Things terminals has also shown an exponential growth. The following security issues of the Internet of Things have also attracted more and more attention. Internet of Things terminals have become the main target of Internet of Things attacks due to their simple structure, large number, and unattended problems. This article introduces the basic architecture of IoT terminals according to the characteristics of IoT terminals, points out the security risks faced by IoT terminals, and puts forward the security capabilities that different modules of IoT terminals should have for different risks.
Key words: Internet of Things terminals; terminal architecture; security risks; security capabilities
本文刊于《信息通信技術(shù)與政策》2020年 第10期
文章來源:信息通信技術(shù)與政策
在線咨詢
在線咨詢
0371-63319761