? 隨著“互聯網 +”時代的到來,物聯網發(fā)展迅猛,正在逐漸滲透到生活的各個領域之中, 物聯網設備規(guī)模呈現爆發(fā)性增長趨勢,萬物互聯時代正在到來,物聯網安全的重要地位也在物聯網快速的發(fā)展中愈加凸顯。另外物聯網因為其具有開放性、多源異構性、泛在性等特性,所以物聯網的安全關系到個人、家庭、社會、乃至國家的安全,種種安全威脅的出現,也在不斷的提醒著我們:萬物互聯,安全先行,下面讓我們一起了解下關于物聯網安全吧。
物聯網的安全層次可分為:感知層(設備層)、網絡層(傳輸層)、平臺層(云服務層)和應用層。(每個層次可能名字會有所不同,但是基本的功能和職責范圍大致相同)。如圖所示:
圖1-1 物聯網安全架構圖
感知層又稱為設備層,在物聯網中主要負責對信息的采集、識別和控制,由感知設備和網關組成。主要的感知設備包括:RFID裝置、各類傳感器、圖像捕捉裝置、GPS等。
感知層所面臨的安全威脅主要包括以下幾個方面:
(1)操作系統或者軟件過時,系統漏洞無法及時的修復。
(2)感知設備存在于戶外、且分散安裝,容易遭到物理攻擊,被篡改和仿冒導致安全性丟失。
(3)接入在物聯網中的大量的感知設備的標識、識別、認證和控制問題。
(4)隱私的泄露,RFID標簽、二維碼等的嵌入,使物聯網接入的用戶不受控制地被掃描、追蹤和定位,極大可能的造成用戶的隱私信息的泄露。
loT中對于感知層的安全設計具有以下的需求:
(1)物理防護:需要保護終端的失竊和從物理攻擊上對于感知設備進行復制和篡改。另外,確保設備在被突破后其中全部與身份、認證以及賬戶信息相關的數據都被擦除,這將使得相關信息不會被攻擊者利用;
(2)節(jié)點認證:終端節(jié)點的接入,需要進項進項驗證,防止非法節(jié)點或者被篡改后的節(jié)點接入;
(3)機密性:終端所存儲的數據或者所需要傳輸的數據都需要進行加密,因為目前大多數的傳感網絡內部是不需要認證和進行密鑰管理的;
(4)設備智能化:設備必須具有魯棒性,并且能夠在有限的支持下進行現場操作,且能邊緣處理,意味著敏感信息不需要上傳到云端,因此在設備層處理數據有助于強化整個網絡。
傳輸層又稱為網絡層,是連接感知層和應用層的信息傳遞網絡,即安全地發(fā)送/接收數據的媒介。傳輸層的主要功能是將由感知層采集的數據傳遞出去。主要包含的通信的技術有:短距離的通信有Wi-Fi、RFID、藍牙等;長距離的主要有:互聯網、移動通信網和廣域網等。
因為物聯網的傳輸層是一個多網絡重合的疊加型開放性網絡,所以其具有比一般的網絡更加嚴重的安全問題:
(1) 對服務器所進行的DOS攻擊、DDOS攻擊;
(2) 對網絡通信過程進行劫持、重放、篡改等中間人攻擊;
(3) ?跨域網絡攻擊;
(4) 封閉的物聯網應用/協議無法被安全設備識別,被篡改后無法及時發(fā)現;
loT中對于傳輸層的安全設計具有以下的需求:
(1)數據機密性:需要保證數據的機密性,從而確保在傳輸過程中數據或信息的不泄露;
(2)數據完整性:需要保證數據在整個傳輸過程中的完整性,從而確保數據不會被篡改,或者能夠及時感知或分辨被篡改的數據;
(3)DDOS、DOS攻擊的檢測與預防:DDOS攻擊為物聯網中較為常見的攻擊方式,要防止非法用戶對于傳感網絡中較為脆弱的節(jié)點發(fā)動的DDOS攻擊,從而避免大規(guī)模的終端數據的擁塞。
(4)數據的可用性:要確保通信網絡中的數據和信息在任何時候都能提供給合法的用戶。
云服務層又稱為平臺層,更具功能又可劃分為:終端管理平臺、連接管理平臺、應用開發(fā)平臺、和業(yè)務分析平臺。主要的功能是將從感知層獲取到的數據進行分析和處理,并進行控制和決策,同時將數據轉換為不同的格式,以便于數據的多平臺共享。
其所主要面臨的安全問題有:
(1)平臺所管理的設備分散、容易造成設備的丟失以及難以維護等;
(2)新平臺自身的漏洞和API開放等引入新的風險;
(3)越權訪問導致隱私數據和安全憑證等泄露;
(4)平臺遭遇DDOS攻擊以及漏洞掃面的風險極大;
loT中對于云服務層的安全設計具有以下的需求:
(1)物理硬件環(huán)境的安全:為了保證整個平臺的平穩(wěn)運行,我們需要保證整個云計算、云儲存的環(huán)境安全和設備設施的可靠性。
(2)系統的穩(wěn)定性:主要是指在遭到系統異常時,系統是否具有及時處理、恢復或者隔離問題服務的災難應急機制。
(3)數據的安全:這里的數據安全更多的是指在數據的傳輸交互過程中數據的完整性、保密性和不可抵賴性。因為云服務層無時無刻都在跟數據進行"打交道",所以數據的安全時至關重要的。
(4)API安全:因為云服務層需要對外提供相應的API服務,所以保證API的安全,防止非法訪問和非法數據請求是至關重要的,否則將極大的消耗數據庫的資源。
(5)設備的鑒別和驗證:需要具有可靠的密鑰管理機制,從而來實現和支持設備接入過程中安全傳輸的能力,并能夠阻斷異常的接入。
(6)全局的日志記錄:需要具有全局的日志的記錄能力,讓系統的異常能夠完整的進行進行,以便后面的系統升級和維護。
應用層是綜合的或有個體特性的具體業(yè)務層。因為應用層是直接面向于用戶,接觸到的也是用戶的隱私數據,所以也是風險最高的層級。
應用層所面臨的安全威脅有:
(1)如何根據不同的權限對同一數據進行篩選和處理;
(2)實現對于數據的保護和驗證;
(3)如何解決信息泄露后的追蹤問題;
(4)惡意代碼,或者應用程序本身所具有的安全問題;
loT中對于應用層的安全設計具有以下的需求:
(1)認證能力:需要能夠驗證用戶的合法性,防止非法用戶假冒合法用戶用的身份進行非法訪問,同時,需要防止合法用戶對于未授權業(yè)務的訪問;
(2)隱私保護:保護用戶的隱私不泄露,且具有泄漏后的追蹤能力;
(3)密鑰的安全性:需要具有一套完整的密鑰管理機制來實現對于密鑰的管理,從而代替用戶名/密碼的方式;
(4)數據銷毀:能夠具有一定的數據銷毀能力,是在特殊情況下數據的銷毀。
(5)知識產權的保護能力:因為應用層是直接對接與用戶,所以需要具有一定的抗反編譯的能力,從而來實現知識產權的保護。
我們從上面關于物聯網安全層次的分析中可以看出,物聯網的從信息的采集、匯聚、傳輸、決策、控制整個過程中都面臨了大量的安全問題,這些安全問題都具有以下幾個方面的特征:
(1)多源異構性及智能化不足:在物聯網的感知層中,感知節(jié)點存在多源異構,各個廠商提高和使用的協議都存在一定的差異,沒有特定的標準,導致無法進行統一的安全設計。同時,感知設備的功能簡單,無法進行復雜的安全保護工作。
(2)核心網絡的傳輸和數據的安全:在物聯網網絡中,核心網絡具有一定的相對完整的保護機制,但是物聯網節(jié)點以集群的方式存在,且數量龐大,各個節(jié)點之間的安全就無法保障,且當大量數據傳回中心節(jié)點時,容易造成網絡擁塞,從而造成拒絕服務的情況。
2.2 物聯網安全關鍵技術
物聯網作為互聯網的延伸,融合了多種網絡的特點,物聯網安全自然就會涉及到各個網絡的不同層次,在這些網絡中,已經應用了多種與安全相關的技術,下面是關于這些安全技術的一些梳理:
(1)數據處理與安全:物聯網除了面臨數據采集的安全外,還需要面對信息的傳輸過程的私密性以及網絡的可靠、可信和安全。物聯網能否大規(guī)模的應用很大程度上取決于是都能夠保障用戶數據和隱私的安全;
(2)密鑰管理機制:密鑰系統是安全的基礎,是實現感知信息隱私保護的手段之一;
(3)安全路由協議:物聯網的路由需要經過多類路由,所以主要面臨的問題就是多協議路由的融合問題,以及傳感網絡的安全路由;
(4)認證與訪問控制:認證是物聯網安全的第一道防線,主要是證明“我是我”的問題,能夠有效的防止偽裝類用戶。同時,對于消息的認證能夠有效的確保信息的安全有效。同時訪問控制是對合法用戶的非法請求的控制,能夠有效的減少隱私的泄露。
(5)入侵檢測和容錯機制:物聯網系統遭到入侵有時是不可避免的,但是需要有完善的容錯機制,確保能夠在入侵或者非法攻擊發(fā)生時,能夠及時的隔離問題系統和恢復正常的功能。
(6)安全分析和交付機制:除了能夠防止現有可見的安全威脅外,物聯網系統應該能夠預測未來的威脅,同時能夠根據出現的問題實現對設備的持續(xù)的更新和打補丁。
隨著物聯網迅猛發(fā)展的同時,物聯網安全也成為了最大的痛點。在物聯網安全時間頻發(fā)的背后,也證明了在物聯網安全領域存在著巨大的機遇。根據調查預計,2020年全球的物聯網安全時候出那個將從2015年的68.9億美元增長至289億美元。目前物聯網安全具有以下幾大趨勢:
(1)物聯網勒索軟件和“流氓軟件”將越來越普遍:黑客利用網絡攝像頭這樣的物聯網設備,將流量導入一個攜帶流氓軟件的網址,同時命令軟件對用戶進行勒索,讓用書贖回被加密的泄露的數據。
(2)物聯網攻擊將目標瞄準數字虛擬貨幣:虛擬貨幣因為其的私密性和不可追溯性,近年來市值的不斷飆升,自然物聯網的攻擊者們也不會放過這一巨大的市場,目前已經發(fā)現了物聯網僵尸網絡挖礦的情況劇增,導致黑客甚至利用視頻攝像頭進行比特幣挖礦。
(3)迎來量子計算時代,安全問題應該得到更加的重視:今年全球軟件企業(yè)的量子計算競賽更趨白熱化。在這些科技進步影響下,量子計算可能會在十年內實現商業(yè)化,化解量子計算可能存在的安全威脅顯得更為緊迫。
(4)大規(guī)模入侵將被“微型入侵”替代:“微型入侵”與大規(guī)模或者“綜合性攻擊”不同的是,它瞄準的是物聯網的弱點,但是規(guī)模較小,能逃過目前現有的安全監(jiān)控。它們能夠順應環(huán)境而變,進行重新自由的組合,形成新的攻擊。
(5)物聯網安全將更加的自動化和智能化:當物聯網的規(guī)模明顯擴大,覆蓋到了成千上萬臺設備級別時,可能就難以做好網絡和收集數據的管理工作。物聯網安全的自動化和智能化可以監(jiān)測不規(guī)律的流量模式,由此可能幫助網絡管理者和網絡安全人員處理異常情況的發(fā)生。
(6)對感知設備的攻擊將變得無處不在:物聯網算是傳感器網絡的一個衍生產品,因此互聯網傳感器本身就存在潛在安全漏洞。黑客可能會嘗試向傳感器發(fā)送一些人體無法感知的能量,來對傳感器設備進行攻擊。
(7)隱私保護將成為物聯網安全的重要組成部分:一方面物聯網平臺需要根據用戶的數據提供更加便捷、智能的服務,另一方面,對于用戶隱私數據的保護又成為了重中之重。
隨著物聯網安全的快速發(fā)展,發(fā)起攻擊的方式越來越多樣化,所以新技術在應用在物聯網安全中心顯得愈發(fā)的重要。
傳統的中心化系統中,信任機制比較容易建立,存在一個可信的第三方來管理所有的設備的身份信息。但是物聯網環(huán)境中設備眾多,未來可能會達到百億級別,這會對可信第三方造成很大的壓力。區(qū)塊鏈解決的核心問題是在信息不對稱、不確定的環(huán)境下,如何建立滿足經濟活動賴以發(fā)生、發(fā)展的“信任”生態(tài)體系。在物聯網環(huán)境中,所有日常家居物件都能自發(fā)、自動地與其它物件、或外界世界進行互動,但是必須解決物聯網設備之間的信任問題。
利用大數據分析平臺對物聯網安全漏洞進行挖掘。挖掘主要關注兩個方面,一個是網絡協議本身的漏洞挖掘,一個是嵌入式操作系統的漏洞挖掘。分別對應網絡層和感知層,應用層大多采用云平臺,屬于云安全的范疇,可應用已有的云安全防護措施。在現在的物聯網行業(yè)中,各類網絡協議被廣泛使用,同時這些網絡協議也帶來了大量的安全問題。需要利用一些漏洞挖掘技術對物聯網中的協議進行漏洞挖掘,先于攻擊者發(fā)現并及時修補漏洞,有效減少來自黑客的威脅,提升系統的安全性。
對于一些微型的入侵攻擊,龐大的安全系統難以察覺,并且短時間內做出反應,這時就需要要一些相對輕量化的安全機制,能夠做到對于入侵的快速反應,避免損失的擴大。同時輕量化的防護技術,能夠更好的兼容不同物聯網產品生產商的協議沖突。
深圳市伊視貝科技有限責任公司
地址:深圳市龍崗區(qū)星河WORLD A棟25層
熱線:18676762604
郵箱:info@esb-iot.com
