物联网安全技术是怎么回事
物联网安全是个全栈的行为,是“服、用、云、管、边、端”全生态统一协作联合布防才能生效的课题,仅仅从物联网设备端采取严防死守的策略并不能阻抗已经渗透到各个角落的APT攻击。因此我们可以从物联设备启动、Rootkit注入保护、DDOS攻击防御、设备安全准入、数据和协议安全等几个方面综合考查物联网安全的应对之策。除此之外,还要保证物联网管控平台、云平台、互联互通接口、物联网业务系统等基础设施的安全。
1.基于可信计算的安全启动技术
可信计算是由TCG(Trusted Computing Group,可信计算组织)推动和开发的安全计算技术,在计算和通信领域中广泛应用基于硬件安全模块的可信计算平台以提高整个系统和应用软件的安全性与完整性。作为一门新兴技术,其主要目标包括计算平台的完整性、平台的远程证明、数据存储的安全性、数字知识产权保护。
作为高级可持续威胁(APT),如果不是潜伏在系统的最深层,如果不是先于操作系统加载,如果不能在启动过程中制衡保护软件实现对自己“免杀”,那实在不好意思称自己是“合格的APT”。对于这样心高气傲神通广大的威胁代码,唯一的办法就是先于它掌控系统的运行权。可信计算技术就是这场“运行权战争”中的“定海神针”,采用层层度量的方式校验每一个启动步骤的完整性和正确性,通过信任链的可传导性来保证计算平台的完整性。
度量是一级级从底层向上逐级度量的,通常是以先启动的软硬件代码(例如安全芯片)作为信任根,并以此为标准对后一级启动的软硬件进行度量,如此实现信任链的向后传递,以保证系统计算环境可信。整个过程遵循“先度量再执行”的策略,例如在Windows系统启动时,可以以BIOS中的某段代码为核心信任根模块(可信根),对启动链上的BIOS/UEFI、WinLoader、操作系统镜像文件等进行逐级静态度量。
可信根作为整个系统信任链的底端必须可信,因此可信根一般是通过厂家在安全芯片中直接植入算法和密钥实现的,具有不可覆盖性,因此这部分代码也被称为可信软件基(TSB,Trusted Software Base)。
ARM作为老牌的处理平台厂商亦针对消费类物联设备的安全保密与可信计算提出了TrustZone技术。该技术本质上是一种硬件平台结构和安全框架,将片上系统的软硬件资源分为安全世界与非安全世界(类似X86系统下的0环和3环),通过访问权限的差异性来保证资源的安全性,非安全世界和安全世界通信需要通过中间的Monitor Mode进行转换。
2.Rootkit防御技术
Rootkit是系统安全领域老生常谈的一个话题,无论采用哪种处理器架构,也无论在什么操作系统中,Rootkit都鬼影相随。所谓Rootkit,就是系统中以隐藏自身、控制设备和获取隐私信息为目的的恶意代码。物联网设备“中的招”十有八九就是以获取信息和控制设备为特征的Rootkit恶意进程/代码模块,因此对于Rootkit的防御就显得尤为重要。
Rootkit的执行特征如下:
(1)将恶意代码放置在内存的数据区,通过堆栈溢出等手段在数据区执行这些代码。
(2)通过远程线程、默认加载等方式将恶意代码模块加载到应用进程中,即“模块注入”。
(3)通过挂钩操作系统的重要方法(例如系统调用或中断响应例程等)来获取自己渴求的数据。
(4)通过过滤型驱动挂钩网络协议栈,以获取重要网络流量并对数据包进行篡改。
(5)通过挂钩重要可执行模块的EAT/IAT(导出/导入地址表)的方式改变进程执行流程。
从上述Rootkit的运行特征可以反向推导出防范抵御Rootkit攻击的手段。Windows系统在抵御Rootkit方面走在了前面,由于Windows系统的运行环境和计算资源都比较宽松,因此拥有更多的机制和手段保障安全性。而对于物联网的系统,由于其功耗、计算资源等方面的限制,操作系统一般比较精简,因此有针对性地制定Rootkit防御机制就更显必要。
(1)物联网设备通信模块短小精悍,一般不存在协议栈的说法,因此通过过滤型驱动截取网络数据包的方式在物联网设备中不会存在。
(2)物联网系统不存在远程线程、默认加载等复杂的应用机制,因此无需考虑模块注入问题。
(3)堆栈溢出在物联网系统中是比较常见的,因此可以采用类似Win7的数据执行保护(DEP)机制阻止恶意代码在内存数据区被执行。
(4)物联网系统同样也存在中断响应例程、系统调用服务例程等重要的方法,依然需要防止这些重要部位被挂钩。可以采用类似Windows的PatchGuard机制防止这些重要部位被改写。
(5)可采用内核进程签名校验的机制阻断不明进程的安装和运行。
3.抗DDOS攻击技术
DDOS攻击也是网络安全领域亘古不变的话题,无论物联网还是视联网,只要还支持TCPIP协议就面临被DDOS攻击的危险。DDOS是一种攻击大类,核心思想是通过车轮战使目标系统疲于应付而无法正常运行其他进程,它包括细分的多种攻击手段,常见的有以下几种:
(1)SYN Flood
通过伪造大量不存在的IP地址,在极短时间内向服务器不间断发送SYN包,服务器回复确认包SYN/ACK,并等待客户端永远都不会响应的确认回复。如此服务器需要不断重发SYN/ACK直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,导致目标系统运行缓慢甚至瘫痪。这是利用TCP传输特性制造的“车轮战”。
(2)ICMP Flood
极短时间内向目标主机不断请求ICMP 回应,导致目标系统负担过重而不能处理正常的IO业务。这是利用ICMP协议制造的“车轮战”。
(3)UDP Flood
极短时间内向目标主机发送大量UDP 报文,致使目标系统负担过重而不能处理正常的IO业务。这是利用UDP协议制造的“车轮战”。
(4)ARP Flood
攻击者可以在极短时间内发送大量ARP请求包以阻塞正常网络宽带,使局域网中有限的网络资源被无用的广播信息所占用而造成网络拥堵。这是利用ARP包制造的“车流战”,瘫痪的是承载网络。
除了上述几种利用二三四层协议营造的DDOS攻击外,应用层、会话层协议亦可以制造DDOS攻击的效果,例如通过短时间超大量的HTTP请求使WEB服务器崩溃、在短时间内通过超大量的流媒体会话协议使视频服务器崩溃等等,这些攻击手段都迎合了DDOS攻击的本意,即极限施压使之疲于应付而崩溃。
一般情况下DDOS攻击的抵御是通过引流的办法,即首先需要防护系统判断发生了DDOS攻击,再启动流量引流机制,将DDOS攻击包引导到攻击缓冲区域进行消化。由于物联网领域设备数量庞大,尤其要注意防DDOS攻击的问题。
(1)在IPv4环境下多采用私网穿透的方式与外部系统进行通信。由于私网穿透通信的单向性,外部系统主动发起DDOS攻击的可能性较低,特别是在部署了对称性NAT服务的时候,从外向内通信的限制非常严格,也能在一定程度上阻断DDOS攻击流。
(2)物联网与互联网之间也会存在网络隔离设备,例如安全接入平台或网闸,其安全级别可以自主设置。虽然其通信效率较低,但能够对网络包进行深度检测(DPI),也能在一定程度上阻抗DDOS攻击流。
4.联网设备指纹技术
设备指纹是近年来新兴的物联网设备接入准入技术。其核心原理是通过设备的操作系统、厂商ID、MAC地址、端口号、IP地址、协议报文种类等属性生成一系列固定的且与每个设备相关的私有信息,以达到识别设备的唯一性。物联网平台通过设备指纹库识别设备,对于非指纹库内的设备可进行阻断和报警。传统识别设备唯一性的方法是通过ID,但这种方式存在相当大的可仿冒性和可替换性,且由于设备ID一般处于OSI协议栈的高层,仿冒的门槛也更低。而通过设备指纹标识设备的唯一性却具有很低的可仿冒性和可替换性。
(1)设备的操作系统会带有一定的标识,例如版本号、厂商ID等,对于这些属性的仿冒并不容易,可能要通过Patch的手段改动内核态变量。
(2)MAC地址、IP地址、端口号等属性具有设备的唯一性,虽然也具有仿冒性,但仿冒这些联合的属性也并不容易。
(3)协议报文虽然遵循一定的标准,但每个厂商的设备协议的报文头或报文体多少会有些私有信息存在,例如SIP协议头域中的User-Agent属性就会附带厂商信息。再比如协议交互的时间间隔、回复特征等这些更加细微的区别也是设备指纹的重要组成部分。
因此,通过设备指纹鉴定设备的唯一性、检测设备在线、设备私接、设备仿冒具有很高的不可仿冒性和不可替代性。
设备指纹生成包括主动探测和被动监听两种方式。
(1)主动探测方式的主要思想是主动向物联设备发送ICMP、UDP包,或者主动建立TCP连接,甚至主动发起一些应用层以上的协议来探测设备的回复信息(例如ICMP echo reply、ICMP端口不可达、HTTP Response等报文),根据这些报文来识别设备的特殊属性。有的厂家也会支持一些私有协议专门用以标识设备的不可仿冒性。
(2)被动监听方式的主要思想是通过网络探针监听设备的交互报文,并将这些报文旁路到采集端进行分析,通过源端口、源地址、MAC信息、报文特征等信息判别设备的不可替换性。
设备指纹已在视频监控领域有了较为广泛的应用。但在物联网其他领域,由于协议报文种类的繁杂性,且许多设备并不处于TCPIP网络中,因此尚无太多的应用场景。
5.数据安全技术
物联网数据安全包括数据本身的安全和协议安全两重内涵。但无论是哪种内涵,其本质都是对数据和协议报文的加解密,当然也包括协议的证书认证机制。在安防领域,公安部早已制定了GB35114标准,并根据密级高低划分了ABC三个等级,分别对协议报文进行认证加密、对视频NAL进行认证以及对视频内容本身加解密。
国家强制性标准的加持是对数据安全的注脚。
应该了解IoT安全的哪些信息?
联网设备可以为您的企业带来真正的提升,但任何连接到 Internet 的设备都可能容易遭受网络攻击。
据 451 Research 的调查表明,55% 的 IT 专业人士将 IoT 安全列为他们的首要任务。从企业服务器到云存储,网络罪犯可以找到一种方法来利用 IoT 生态系统内多个点的信息。这并不意味着您应该扔掉您的工作平板电脑,而改用钢笔和纸张。这只是意味着,您必须认真对待 IoT 安全。以下是一些 IoT 安全技巧:
监控移动设备
确保平板电脑等移动设备在每个工作日结束时均登记并上锁。如果平板电脑丢失,数据和信息可能会被访问和入侵。确保使用强访问密码或生物特征识别功能,这样一来,任何人都无法擅自登录丢失或被盗的设备。使用可限制设备上运行的应用程序、隔离业务和个人数据以及在设备被盗时擦除业务数据的安全产品。
实施自动反病毒更新
您需要在所有设备上安装软件,以防止允许黑客访问您的系统和数据的病毒。设置自动反病毒更新以保护设备免受网络攻击。
需要强登录凭证
许多人对他们使用的每台设备都使用相同的登录名和密码。虽然人们更容易记住这些凭证,但网络罪犯也更容易发起黑客攻击。确保每个登录名对于每个员工而言都是唯一的,并且需要强密码。始终更改新设备上的默认密码。切勿在设备间重复使用相同的密码。
部署端到端加密
联网设备会相互通信,当它们进行通信时,数据会从一个点传输到另一个点。您需要在每个交叉点加密数据。换言之,您需要端到端加密,以在信息从一个点到另一个点的传输过程中保护信息。
确保设备和软件更新可用并及时安装
购买设备时,请始终确保供应商提供更新,并在更新可用时立即应用。如上所述,尽可能实施自动更新。
跟踪设备可用功能并禁用未使用的功能
检查设备上的可用功能,并关闭不打算使用的任何功能以减少潜在的攻击机会。
选择专业网络安全提供商
您希望 IoT 为您的业务提供助力,而不是对其造成伤害。为帮助解决问题,许多企业依靠信誉良好的网络安全和反病毒提供商来访问漏洞,并提供独特的解决方案来防止网络攻击。
IoT 不是一种技术风潮。越来越多的公司可以通过联网设备兑现潜力,但您不能忽视安全问题。在构建 IoT 生态系统时,请确保您的公司、数据和流程受到保护。
物联网通讯协议的分类
IoT 物联网通信协议分为两大类:
接入协议:一般负责子网内设备间的组网及通信
通讯协议:主要是运行在传统互联网TCP/IP协议之上的设备通讯协议,负责设备通过互联网进行数据交换及通信。
物理层、数据链路层协议
1、远距离蜂窝通信
(1)2G/3G/4G通信协议,分别指第二、三、四代移动通信系统协议。
(2)NB-IoT
窄带物联网(NB-IoT)成为万物互联网络的一个重要分支。NB-IoT构建于蜂窝网络,只消耗大约180kHz的带宽,可直接部署于GSM网络、UMTS网络或LTE网络,以降低部署成本、实现平滑升级。NB-IoT聚焦于低功耗广覆盖(LPWA)物联网(IoT)市场,是一种可在全球范围内广泛应用的新兴技术。具有覆盖广、连接多、速率快、成本低、功耗低、架构优等特点。
应用场景:NB-IoT网络带来的场景应用包括智能停车、智能消防、智能水务、智能路灯、共享单车和智能家电等。
(3)5G
第五代移动通信技术,是最新一代蜂窝移动通信技术。5G的性能目标是高数据速率、减少延迟、节省能源、降低成本、提高系统容量和大规模设备连接。
应用场景:AR/VR、车联网、智能制造、智慧能源、无线医疗、无线家庭娱乐、联网无人机、超高清/全景直播、个人AI辅助、智慧城市。
2、远距离非蜂窝通信
(1)WiFi
由于前几年家用WiFi路由器以及智能手机的迅速普及,WiFi协议在智能家居领域也得到了广泛应用。WiFi协议最大的优势是可以直接接入互联网。相对于ZigBee,采用Wifi协议的智能家居方案省去了额外的网关,相对于蓝牙协议,省去了对手机等移动终端的依赖。
商用WiFi在城市公共交通、商场等公共场所的覆盖,将商用WiFi的场景应用潜力表露无疑。
(2)ZigBee
ZigBee是一种低速短距离传输的无线通信协议,是一种高可靠的无线数传网络,主要特色有低速、低耗电、低成本、支持大量网上节点、支持多种网上拓扑、低复杂度、快速、可靠、安全。ZigBee技术是一种新型技术,它最近出现,主要是依靠无线网络进行传输,它能够近距离的进行无线连接,属于无线网络通讯技术。
ZigBee技术的先天性优势,使得它在物联网行业逐渐成为一个主流技术,在工业、农业、智能 家居等领域得到大规模的应用。
(3)LoRa
LoRa™(LongRange,远距离)是一种调制技术,与同类技术相比,提供更远的通信距离。LoRa 网关、烟感、水监测、红外探测、定位、排插等广泛应用物联网产品。作为一种窄带无线技术,LoRa 是使用到达时间差来实现地理定位的。LoRa 定位的应用场景:智慧城市和交通监控、计量和物流、农业定位监控。
3、近距离通信
(1)RFID
射频识别(RFID)是 Radio Frequency Identification 的缩写。其原理为阅读器与标签之间进行非接触式的数据通信,达到识别目标的目的。RFID 的应用非常广泛,典型应用有动物晶片、汽车晶片防盗器、门禁管制、停车场管制、生产线自动化、物料管理。完整的RFID系统由读写器(Reader)、电子标签(Tag)和数据管理系统三部分组成。
(2)NFC
NFC的中文全称为近场通信技术。NFC是在非接触式射频识别(RFID)技术的基础上,结合无线互连技术研发而成,它为我们日常生活中越来越普及的各种电子产品提供了一种十分安全快捷的通信方式。NFC中文名称中的“近场”是指临近电磁场的无线电波。
应用场景:应用在门禁、考勤、访客、会议签到、巡更等领域。NFC具有人机交互、机器间交互等功能。
(3)Bluetooth
蓝牙技术是一种无线数据和语音通信开放的全球规范,它是基于低成本的近距离无线连接,为固定和移动设备建立通信环境的一种特殊的近距离无线技术连接。
蓝牙能在包括移动电话、PDA、无线耳机、笔记本电脑、相关外设等众多设备之间进行无线信息交换。利用“蓝牙”技术,能够有效地简化移动通信终端设备之间的通信,也能够成功地简化设备与因特网Internet之间的通信,从而数据传输变得更加迅速高效,为无线通信拓宽道路。
4、有线通信
(1)USB
USB,是英文Universal Serial Bus(通用串行总线)的缩写,是一个外部总线标准,用于规范电脑与外部设备的连接和通讯。是应用在PC领域的接口技术。
(2)串口通信协议
串口通信协议是指规定了数据包的内容,内容包含了起始位、主体数据、校验位及停止位,双方需要约定一致的数据包格式才能正常收发数据的有关规范。在串口通信中,常用的协议包括RS-232、RS-422和RS-485。
串口通信是指外设和计算机间,通过数据线按位进行传输数据的一种通讯方式。这种通信方式使用的数据线少,在远距离通信中可以节约通信成本,但其传输速度比并行传输低。大多数计算机(不包括笔记本)都包含两个RS-232串口。串口通信也是仪表仪器设备常用的通信协议。
(3)以太网
以太网是一种计算机局域网技术。IEEE组织的IEEE 802.3标准制定了以太网的技术标准,它规定了包括物理层的连线、电子信号和介质访问层协议的内容。
(4)MBus
MBus 远程抄表系统(symphonic mbus),是欧洲标准的2线的二总线, 主要用于消耗测量仪器诸如热表和水表系列。
网络层、传输协议
1、IPv4
互联网通信协议第四版,是网际协议开发过程中的第四个修订版本,也是此协议第一个被广泛部署的版本。IPv4是互联网的核心,也是使用最广泛的网际协议版本
2、IPv6
互联网协议第6版,由于IPv4最大的问题在于网络地址资源有限,严重制约了互联网的应用和发展。IPv6的使用,不仅能解决网络地址资源数量的问题,而且也解决了多种接入设备连入互联网的障碍
3、TCP
传输控制协议(TCP,Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议。TCP旨在适应支持多网络应用的分层协议层次结构。连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠TCP提供可靠的通信服务。TCP假设它可以从较低级别的协议获得简单的,可能不可靠的数据报服务。
4、6LoWPAN
6LoWPAN是一种基于IPv6的低速无线个域网标准,即IPv6 over IEEE 802.15.4。
应用层协议
1、MQTT协议
MQTT (Message Queue Telemetry Transport),翻译成中文就是,遥测传输协议,其主要提供了订阅/发布两种消息模式,更为简约、轻量,易于使用,特别适合于受限环境(带宽低、网络延迟高、网络通信不稳定)的消息分发,属于物联网(Internet of Thing)的一个标准传输协议。
在很多情况下,包括受限的环境中,如:机器与机器(M2M)通信和物联网(IoT)。其在,通过卫星链路通信传感器、偶尔拨号的医疗设备、智能家居、及一些小型化设备中已广泛使用。
2、CoAP协议
CoAP(Constrained Application Protocol)是一种在物联网世界的类Web协议,适用于需要通过标准互联网网络进行远程控制或监控的小型低功率传感器,开关,阀门和类似的组件,服务器对不支持的类型可以不响应
3、REST/HTTP协议
RESTful是一种基于资源的软件架构风格。所谓资源,就是网络上的一个实体,或者说是网络上的一个具体信息。一张图片、一首歌曲都是一个资源。RESTful API是基于HTTP协议的一种实现。(HTTP是一个应用层的协议,特点是简捷 快速)。
满足Rest规范的应用程序或设计就是RESTful,根据Rest规范设计的API,就叫做RESTful API
4、DDS协议
DDS(Data Distribution Service)分布式实时数据分发服务中间件协议,它是分布式实时网络里的“TCP/IP”,用来解决实时网络中的网络协议互联,其作用相当于“总线上的总线”。
5、AMQP协议
AMQP,即Advanced Message Queuing Protocol,一个提供统一消息服务的应用层标准高级消息队列协议,是应用层协议的一个开放标准,为面向消息的中间件设计。基于此协议的客户端与消息中间件可传递消息,并不受客户端/中间件不同产品,不同的开发语言等条件的限制。Erlang中的实现有RabbitMQ等。
6、XMPP协议
XMPP是一种基于标准通用标记语言的子集XML的协议,它继承了在XML环境中灵活的发展性。因此,基于XMPP的应用具有超强的可扩展性。经过扩展以后的XMPP可以通过发送扩展的信息来处理用户的需求,以及在XMPP的顶端建立如内容发布系统和基于地址的服务等应用程序。
通信协议对比
1、NB-IoT协议和LoRa协议比较
第一,频段。LoRa工作在1GHz以下的非授权频段,在应用时不需要额外付费,NB-IoT和蜂窝通信使用1GHz以下的频段是2113授权的,是需要收费的。
第二,电池供电寿命。LoRa模块在处理干扰、网络5261重迭、可伸缩性等方面具有独特的特性,但却不能提供像蜂窝协议一样的服务质量4102。NB-IoT出于对服务质量的考虑,不能提供类似LoRa一样的电池寿命。
第三,设备成本。对终端节点来说,LoRa协议比NB-IoT更简单,更容易开发并且1653对于微处理器的适用和兼容性更好。同时低成本、技术相对成熟的LoRa模块已经可以在市场上找到了,并且还会有升级版本陆续出来。
第四,网络覆盖和部署时间表。NB-IoT标准在2016年公布,除回网络部署之外,相应的商业化和产业链的建立还需要更长的时间和努力去探索。LoRa的整个产业链相对已经较为成熟了,产品也处于“蓄势待答发”的状态,同时全球很多国家正在进行或者已经完成了全国性的网络部署。
2、蓝牙、WiFi、ZigBee协议比较
目前来说,WiFi的优势是应用广泛,已经普及到千家万户;ZigBee的优势是低功耗和自组网;UWB无载波无线通信技术的优势是传输速率;蓝牙的优势组网简单。然而,这3种技术,也都有各自的不足,没有一种技术能完全满足智能家居的全部要求。
蓝牙技术的出现使得短距离无线通信成为可能,但其协议较复杂、功耗高、成本高等特点不太适用于要求低成本、低功耗的工业控制和家庭网络。尤其蓝牙最大的障碍在于传输范围受限,一般有效的范围在10米左右,抗干扰能力不强、信息安全问题等问题也是制约其进一步发展和大规模应用的主要因素。
WiFi也是是一种短距离无线传输技术,可以随时接入无线信号,移动性强,比较适合在办公室及家庭的环境下应用。当然WiFi也存在一个致命缺点。由于WiFi采用的是射频技术,通过空气发送和接收数据,使用无线电波传输数据信号,比较容易受到外界的干扰。
ZigBee则是国际通行的无线通讯技术,它的每个网络端口可以最多接入6.5万多个端口,适合家居、工业、农业等多个领域使用,而蓝牙和WiFi网端只能接入10个端口,显然不能适应家庭需要。ZigBee还具有低功耗和低成本优势。
3、MQTT协议和CoAP协议比较
MQTT是多对多通讯协议用于在不同客户端之间通过中间代理传送消息,解耦生产者与消费者,通过使得客户端发布,让代理决定路由并且拷贝消息。虽然MQTT支持一些持久化,最好还是作为实时数据通讯总线。
CoAP主要是一个点对点协议,用于在客户端与服务器之间传输状态信息。虽然支持观察资源,CoAP最好适合状态传输模型,不是完全基于事件。
MQTT客户端建立长连接TCP,这通常表示没有问题,CoAP客户端与服务器都发送与接收UDP数据包,在NAT环境中,隧道或者端口转发可以用于允许CoAP,或者像LWM2M,设备也许会先初始化前端连接。
MQTT不提供支持消息打类型标记或者其他元数据帮助客户端理解,MQTT消息可用于任何目的,但是所有的客户端必须知道向上的数据格式以允许通讯,CoAP,相反地,提供内置支持内容协商与发现,允许设备相互探测以找到交换数据的方式。
两种协议各有优缺点,选择合适的取决于自己的应用。
3279916262