1緒 論
當(dāng)今正是“物聯(lián)網(wǎng)”(Internet of Things, IoT)技術(shù)的黃金時代:嵌入式處理器的性能和片上資源的豐富度得到了長足的提升���,嵌入式設(shè)備可實現(xiàn)的功能逐步多樣化�;Wi-Fi(wireless fidelity)����、藍(lán)牙�����、5G(5th generation)等無線通信技術(shù)得到全面普及����,使得“萬物互聯(lián)”的門檻前所未有地降低����;同時�����,嵌入式設(shè)備與手機(jī)�、路由器等智能設(shè)備間的協(xié)作大大增加,極大地提升了嵌入式設(shè)備的功能性和用戶體驗��。物聯(lián)網(wǎng)技術(shù)已經(jīng)深入到了普通人生活的方方面面:從家中的掃地機(jī)器人���、智能音箱、藍(lán)牙開關(guān)��,到工業(yè)中的物流機(jī)器人�����、無人機(jī)等��,均是對物聯(lián)網(wǎng)技術(shù)的典型應(yīng)用�。
然而,物聯(lián)網(wǎng)設(shè)備的安全問題不可小覷��。與生活中常見的個人計算機(jī)(personal computer, PC)、手機(jī)等計算設(shè)備相比����,物聯(lián)網(wǎng)設(shè)備更易出現(xiàn)安全漏洞,也更易成為網(wǎng)絡(luò)攻擊的目標(biāo)�。其中的原因眾多,舉例如下:
物聯(lián)網(wǎng)設(shè)備的計算資源有限��,設(shè)備上通常不會部署完整的操作系統(tǒng)�����,因此物聯(lián)網(wǎng)設(shè)備上極少使用目前在 PC 和智能手機(jī)上常見的二進(jìn)制安全加固措施���,如:地址空間布局隨機(jī)化(address space layout randomization, ASLR)�����,可寫�、可執(zhí)行內(nèi)存不相交�,棧溢出保護(hù)(stacksmashing protection, SSP)等[5]。這使得設(shè)備上的軟件漏洞更易被攻擊者利用��,以獲得對設(shè)備的控制權(quán)�。
(資料圖)
同理����,物聯(lián)網(wǎng)設(shè)備上通常不存在防火墻等復(fù)雜安全機(jī)制����,物聯(lián)網(wǎng)設(shè)備的安全嚴(yán)重依賴于周邊網(wǎng)絡(luò)環(huán)境的安全性。
一部分(尤其是低端)物聯(lián)網(wǎng)設(shè)備上的安全機(jī)制設(shè)計過于簡單�����,且設(shè)備上的代碼沒有經(jīng)過充分的安全審計����,因此更容易存在安全弱點(diǎn),這增大了設(shè)備遭受安全攻擊的風(fēng)險��。
由于物聯(lián)網(wǎng)設(shè)備“無處不在”���、長時間在線的特性,物聯(lián)網(wǎng)設(shè)備更容易遭到掃描和攻擊�����。尤其一些長期暴露在公網(wǎng)上的設(shè)備�����,如路由器、“樹莓派”等��,此類設(shè)備是黑客重點(diǎn)研究��、掃描和攻擊的對象。一旦物聯(lián)網(wǎng)設(shè)備遭受攻擊�����,并進(jìn)入僵尸網(wǎng)絡(luò),將很有可能對同網(wǎng)絡(luò)上的其它設(shè)備造成長期的����、持久的損害,并且難以被設(shè)備的主人發(fā)現(xiàn)�����。
物聯(lián)網(wǎng)設(shè)備自身的特性,使得這些設(shè)備對于物理層面的側(cè)信道攻擊(side-channel attacks)更為敏感��。例如���,物聯(lián)網(wǎng)設(shè)備的功耗與 CPU 的執(zhí)行狀態(tài)具有很強(qiáng)的相關(guān)性���,攻擊者很容易通過測量物聯(lián)網(wǎng)設(shè)備的功耗變化來間接推算出 CPU 的執(zhí)行狀態(tài),并泄露出用戶密碼等機(jī)密信息�����。此外���,物聯(lián)網(wǎng)設(shè)備對于拒絕服務(wù)(denial of service, DoS)攻擊也更為敏感�����,例如攻擊者可以通過反復(fù)喚醒一臺物聯(lián)網(wǎng)設(shè)備來實現(xiàn)損耗其壽命的目的[8]����。
圖1 針對物聯(lián)網(wǎng)設(shè)備的攻擊類型
正因以上原因����,針對物聯(lián)網(wǎng)設(shè)備的安全分析和加固與傳統(tǒng) PC 設(shè)備有很大不同��,物聯(lián)網(wǎng)安全領(lǐng)域需要新的技術(shù)和方法的指導(dǎo)�。目前�����,學(xué)術(shù)界和業(yè)界已經(jīng)有了一些針對物聯(lián)網(wǎng)安全的研究��,但業(yè)界對于物聯(lián)網(wǎng)設(shè)備安全性的重視程度普遍不足����,針對物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊仍然非常活躍���。由于物聯(lián)網(wǎng)設(shè)備的市場占有率穩(wěn)步提升�����,物聯(lián)網(wǎng)安全逐步成為信息安全領(lǐng)域的一個重要議題����。
本文主要分為 4 大部分。在第一部分����,我們對物聯(lián)網(wǎng)技術(shù)的現(xiàn)狀,以及針對物聯(lián)網(wǎng)設(shè)備易受安全威脅的原因進(jìn)行了簡要闡述����。在第二部分,我們將對現(xiàn)有物聯(lián)網(wǎng)設(shè)備所面臨的主要威脅進(jìn)行綜述���。在第三部分�����,我們將描述一些物聯(lián)網(wǎng)設(shè)備所特有的安全機(jī)制���。在第四部分,我們將簡要闡述目前業(yè)界所建立起的針對物聯(lián)網(wǎng)設(shè)備的一些安全實踐�����。最后�,我們將對全文進(jìn)行總結(jié)。
2針對物聯(lián)網(wǎng)設(shè)備的安全威脅
傳統(tǒng)上�,一個物聯(lián)網(wǎng)系統(tǒng)大致可以分為 3 個層次,分別是[4]:
圖2 物聯(lián)網(wǎng)系統(tǒng)模型
1. 感知層(perception layer)���,負(fù)責(zé)提供物理上的傳感器和通信網(wǎng)絡(luò)����,如射頻識別(RFID����,radio frequency identification),全球定位系統(tǒng)(GPS�����,global positioning system)等�����;
2. 傳輸層(transportation layer),負(fù)責(zé)在物聯(lián)網(wǎng)設(shè)備與互聯(lián)網(wǎng)(Internet)之間建立通信�,例如藍(lán)牙網(wǎng)關(guān)等;
3. 應(yīng)用層(application layer)��,負(fù)責(zé)實現(xiàn)物聯(lián)網(wǎng)設(shè)備本身的功能��,如掃地機(jī)器人的自動尋路��、智能音箱的語音識別功能等�。
這3個不同層次的特性各不相同,因此也面臨不同的安全威脅���,詳述如下�����。
感知層安全�。感知層面臨的主要威脅有以下幾種類型:
物理攻擊����。在取得對設(shè)備的物理接觸之后,攻擊者將能夠直接提取設(shè)備上的敏感數(shù)據(jù)���,或是修改設(shè)備上的程序�����,在其中加入惡意代碼�����。此類攻擊需要與設(shè)備進(jìn)行物理接觸�,因此相對來說較容易防范�����;但設(shè)備廠商也有必要考慮設(shè)備本身在物理層面的安全性問題�,例如需要避免在設(shè)備的電路板上留下調(diào)試接口等。
身份偽裝��。在缺乏有效的身份驗證措施的物聯(lián)網(wǎng)網(wǎng)絡(luò)中����,容易發(fā)生身份冒充的問題,惡意設(shè)備可以通過這種方式竊取敏感數(shù)據(jù)���。另外���,不安全的設(shè)備初始化和配對過程也是重要的安全威脅來源���,例如一名攻擊者可以利用路由器首次開機(jī)、尚未設(shè)置密碼的時機(jī)�����,向其中注入惡意程序或配置�����。若要防止此類攻擊��,設(shè)備廠商應(yīng)仔細(xì)考慮身份驗證過程中可能存在的安全問題�����,并加入有效的身份驗證機(jī)制���。
拒絕服務(wù)攻擊(DoS)����。攻擊者可以通過長時間使設(shè)備處于高功耗狀態(tài)����,來耗竭設(shè)備的計算能力��。對此類攻擊的完全防范非常困難�,但設(shè)備廠商可以通過合理的安全設(shè)計���,將此類攻擊所造成的損失盡可能降低�����。例如,對于需要消耗大量算力的操作�,應(yīng)當(dāng)加入有效的客戶端身份驗證機(jī)制,或是限制客戶端執(zhí)行操作的頻率等等����。
數(shù)據(jù)傳輸攻擊。例如��,攻擊者可以對設(shè)備所傳輸?shù)臄?shù)據(jù)進(jìn)行抓包�,或?qū)嵤┲虚g人(MitM, man in the middle)攻擊。對此類攻擊的通用防范措施是在數(shù)據(jù)傳輸過程中增加加密與安全校驗機(jī)制���,如 Wi-Fi 中的 WPA(Wi-Fi Protected Access)���,以及 LTE(Long Term Evolution)中的 EEA(EPS Encryption Algorithm��;其中 EPS = Evolved Packet System)算法等����。
傳輸層安全���。此層的安全威脅主要涉及對接入網(wǎng)(如 Wi-Fi���,5G)的安全威脅,主要有 2 種攻擊類型�����,分別是數(shù)據(jù)傳輸攻擊和拒絕服務(wù)攻擊����。這兩種攻擊類型的防范方法與感知層安全中的類似,不再贅述�。
應(yīng)用層安全。此層的安全威脅與傳統(tǒng) PC 所面臨的安全威脅有一定的重合��,主要有以下這些類型:
數(shù)據(jù)泄露:程序中的設(shè)計疏漏可能導(dǎo)致用戶的隱私數(shù)據(jù)泄露給第三方���。若要盡可能避免此類漏洞出現(xiàn)����,需要對設(shè)備上的程序代碼進(jìn)行充分的安全審計和評估。
拒絕服務(wù)攻擊:與感知層安全中的拒絕服務(wù)攻擊類似�,不再贅述。
遠(yuǎn)程代碼執(zhí)行:利用設(shè)備程序中的安全漏洞�,攻擊者能夠控制設(shè)備執(zhí)行一些意料之外的動作,甚至執(zhí)行攻擊者所上傳的任意代碼��。此類安全威脅的防范方法與傳統(tǒng)漏洞的防范類似��,主要包括:加強(qiáng)代碼安全審計�����、對程序進(jìn)行模糊測試(fuzzing)�����、采用 ASLR 等二進(jìn)制安全加固措施等[5]�。但在防范此類漏洞時����,需要同時考慮設(shè)備本身的資源局限性��。
3物聯(lián)網(wǎng)設(shè)備上特有的安全機(jī)制
與傳統(tǒng) PC 設(shè)備相比�,物聯(lián)網(wǎng)設(shè)備具有許多獨(dú)特的特性���,例如:設(shè)備功能偏向于特異化而非通用化�;硬件成本受到較大限制�,板上資源的數(shù)量有限;設(shè)備常使用電池供電����,功率受到限制;設(shè)備設(shè)計和功能較為多樣化��;設(shè)備長時間運(yùn)行���,長時間聯(lián)網(wǎng)等���。由于以上這些特性,物聯(lián)網(wǎng)設(shè)備所面對的安全威脅和自身的安全性設(shè)計都與傳統(tǒng) PC 有很大不同����。在本節(jié)中,我們將描述目前學(xué)術(shù)界和業(yè)界的一些已有的,針對物聯(lián)網(wǎng)設(shè)備所設(shè)計的安全機(jī)制和特性[8]��。
輕量級加密算法��。由于物聯(lián)網(wǎng)設(shè)備通常都暴露在不安全的物理環(huán)境中���,且高度依賴于無線方式進(jìn)行通信�����,因此加密算法對于物聯(lián)網(wǎng)設(shè)備來說是一項“剛需”���。然而,PC 等計算設(shè)備上常見的密碼學(xué)算法����,如 AES(advanced encryption standard,高級加密標(biāo)準(zhǔn))等��,在確保高安全性的同時�,常需要消耗數(shù)量可觀的算力和能源���。例如��,AES 加密算法每加密 16 字節(jié)的數(shù)據(jù)���,需要進(jìn)行 10 到 14 輪迭代循環(huán)�����。因此�,如果物聯(lián)網(wǎng)設(shè)備長時間通過 AES 算法加密大量數(shù)據(jù)�����,則在性能和能耗方面都是不劃算的�。目前學(xué)術(shù)界已有一些針對輕量級加密算法的研究,例如由國際標(biāo)準(zhǔn)化組織(ISO���,International Organization for Standardization)所批準(zhǔn)的塊密碼算法 PRESENT [3]和 CLEIFA[9]��。
硬件指紋��。目前絕大部分計算設(shè)備都是以確定性(deterministic)的模式運(yùn)行的����,然而�����,下層的物理元件的制造工藝卻存在著一定的不確定性,這使得不同的成品之間存在著細(xì)微的物理差異�。這種不確定性可以作為一種特殊的設(shè)備指紋來使用。如果將某個物聯(lián)網(wǎng)設(shè)備的“物理指紋”記作函數(shù)f��,則f具有在物理上不可克隆的特性�����,稱為物理不可克隆函數(shù)(physically unclonable function, PUF)��。目前已有一些能夠?qū)崿F(xiàn) PUF 的邏輯電路設(shè)計方案���,例如 Arbiter PUF 電路[6]中含有多條相同的數(shù)據(jù)通路�����,當(dāng)每次被激活時�����,該電路將會輸出所有數(shù)據(jù)通路中最短的一條�。
輕量且安全的偽隨機(jī)數(shù)生成器�����。目前計算機(jī)中的隨機(jī)數(shù)生成器(random number generator, RNG)分為偽隨機(jī)數(shù)生成器(pseudo random number generator, PRNG)和真隨機(jī)數(shù)生成器(true random number generator, TRNG)兩種��。其中�,真隨機(jī)數(shù)生成器的數(shù)據(jù)來源通常是物理噪聲;偽隨機(jī)數(shù)生成器的數(shù)據(jù)來源通常是一個數(shù)據(jù)量有限的隨機(jī)數(shù)種子����。在密碼學(xué)算法中,為了確保隨機(jī)數(shù)的不可預(yù)測性�,兩種隨機(jī)數(shù)生成器都需要有可靠的外部隨機(jī)性來源。然而���,物聯(lián)網(wǎng)設(shè)備上的隨機(jī)性來源比傳統(tǒng) PC 上少得多��,因此�����,如何在物聯(lián)網(wǎng)設(shè)備上產(chǎn)生密碼學(xué)安全的隨機(jī)數(shù)����,是一個值得探究的問題���。目前已有一些研究致力于提供可用于物聯(lián)網(wǎng)設(shè)備的輕量級偽隨機(jī)數(shù)算法�,如 Warbler算法等[7]。
4現(xiàn)有的物聯(lián)網(wǎng)設(shè)備安全實踐
隨著物聯(lián)網(wǎng)設(shè)備的普及�,物聯(lián)網(wǎng)設(shè)備的安全性也逐步受到了物聯(lián)網(wǎng)設(shè)備廠商和云計算廠商的重視。尤其對于在企業(yè)環(huán)境中使用的物聯(lián)網(wǎng)設(shè)備來說����,物聯(lián)網(wǎng)設(shè)備的安全與企業(yè)的生產(chǎn)力有著直接關(guān)聯(lián),因此需要企業(yè)經(jīng)營者的高度重視�����。本節(jié)中將以亞馬遜網(wǎng)絡(luò)服務(wù)(Amazon Web Services�,AWS)所制訂的物聯(lián)網(wǎng)安全白皮書[2]為例,介紹一些在物聯(lián)網(wǎng)設(shè)備中可行的安全最佳實踐���。
1. 用安全框架進(jìn)行正式的安全風(fēng)險評估工作����。系統(tǒng)的安全評估是發(fā)現(xiàn)安全風(fēng)險的最有效方式����。
2. 企業(yè)應(yīng)對物聯(lián)網(wǎng)資產(chǎn)進(jìn)行妥善管理。例如����,可以按照重要性���、可修補(bǔ)性等特征對物聯(lián)網(wǎng)資產(chǎn)進(jìn)行分類�。唯有充分且有效的管理,才是應(yīng)對意外事件發(fā)生時的最佳支持�����。
3. 在部署物聯(lián)網(wǎng)設(shè)備時��,為每個設(shè)備分配唯一標(biāo)識符和憑據(jù)�。標(biāo)識符和憑據(jù)是身份認(rèn)證和訪問控制系統(tǒng)的基礎(chǔ),無論某個設(shè)備目前是否有相應(yīng)的需求�,都應(yīng)為其分配唯的一標(biāo)識符和憑據(jù),以防未來的不時之需��。
4. 設(shè)計合適的設(shè)備升級機(jī)制���。設(shè)備升級是修補(bǔ)已有的安全漏洞的最有效方式���。
5. 對設(shè)備上所存儲的固有數(shù)據(jù)進(jìn)行加密。固有數(shù)據(jù)包括系統(tǒng)程序����、機(jī)器學(xué)習(xí)模型��、專利數(shù)據(jù)等只讀數(shù)據(jù)�。這能夠在一定程度上避免消費(fèi)者對設(shè)備進(jìn)行逆向工程��,并竊取這些私有數(shù)據(jù)����。
6. 對任何需要傳輸?shù)臄?shù)據(jù)都進(jìn)行加密。這是避免一系列傳輸層攻擊(中間人攻擊���、抓包等)的最有效手段����。
7. 在保護(hù)物聯(lián)網(wǎng)設(shè)備的同時�����,也對物聯(lián)網(wǎng)設(shè)備背后的 IT 環(huán)境進(jìn)行同等程度的安全加固����。IT(包括服務(wù)器、運(yùn)維�、管理等)資源能夠為物聯(lián)網(wǎng)設(shè)備的正常工作提供充分的支持���,并且身份認(rèn)證、設(shè)備升級等任務(wù)也與 IT 資源息息相關(guān)��。因此����,應(yīng)對這些 IT 資源給予同等程度的重視�。
為物聯(lián)網(wǎng)設(shè)備和背后的 IT 環(huán)境配備強(qiáng)制的安全監(jiān)控措施。絕對的安全并不存在����,因此為了防控不期而至的攻擊,需要對物聯(lián)網(wǎng)設(shè)備和 IT 資源進(jìn)行定期的安全監(jiān)測��,避免攻擊造成難以挽回的損失��。
5總 結(jié)
隨著科技和社會的進(jìn)步��,計算設(shè)備正在逐步實現(xiàn)輕量化�、節(jié)能化,物聯(lián)網(wǎng)設(shè)備也借此機(jī)會實現(xiàn)了高速發(fā)展����。由于物聯(lián)網(wǎng)設(shè)備自身的獨(dú)特性��,物聯(lián)網(wǎng)設(shè)備所面臨的安全威脅比傳統(tǒng) PC 更為復(fù)雜和深刻���。然而,目前業(yè)界對于物聯(lián)網(wǎng)設(shè)備安全性的認(rèn)知和實踐仍有許多不足���,部分低端設(shè)備上仍然存在較多的嚴(yán)重漏洞[5]���,針對物聯(lián)網(wǎng)設(shè)備的攻擊仍然非常頻繁。
隨著物聯(lián)網(wǎng)技術(shù)和信息安全學(xué)科的發(fā)展�,物聯(lián)網(wǎng)安全問題逐步受到重視,一些企業(yè)已經(jīng)開始制定和發(fā)布針對物聯(lián)網(wǎng)的安全白皮書[2]�。而輕量級密碼學(xué)算法等研究成果的出現(xiàn),也說明物聯(lián)網(wǎng)安全問題在學(xué)術(shù)界正在得到更多研究者的關(guān)注和投入�����。由于針對傳統(tǒng) PC 的安全解決方案難以直接應(yīng)用到物聯(lián)網(wǎng)領(lǐng)域��,因此針對物聯(lián)網(wǎng)設(shè)備的安全解決方案仍需長期的探索��,期望目前的物聯(lián)網(wǎng)設(shè)備達(dá)到與 PC 同樣的安全水平是不切實際的����?�?梢灶A(yù)見�����,隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展與成熟�,物聯(lián)網(wǎng)安全將與 PC 軟件安全一樣��,成為信息安全領(lǐng)域中舉足輕重的分支���。
參考文獻(xiàn)
[1] Unit 42. 2020 Unit 42 IoT threat report, 2020.
[2] Amazon Web Services. Securing Internet of Things (IoT) with AWS, 2021.
[3] Soma Bandyopadhyay, Munmun Sengupta, Souvik Maiti, and Subhajit Dutta. A survey of middleware for internet of things. In Abdulkadir ?zcan, Jan Zizka, and Dhinaharan Nagamalai, editors, Recent Trends in Wireless and Mobile Networks, pages 288–296, Berlin, Heidelberg, 2011. Springer Berlin Heidelberg.
[4] Mario Frustaci, Pasquale Pace, Gianluca Aloi, and Giancarlo Fortino. Evaluating critical security issues of the iot world: Present and future challenges. IEEE Internet of Things Journal, 5(4):2483–2495, 2018.
[5] Octavio Gianatiempo and Octavio Galland. Exploring the hidden attack surface of OEM IoT devices: pwning thousands of routers with a vulnerability in Realtek’ s SDK for eCos OS. DEFCON, 30, 2022.
[6] Roel Maes. Physically Unclonable Functions: Constructions, Properties and Applications. Springer Publishing Company, Incorporated, 2013.
[7] Kalikinkar Mandal, Xinxin Fan, and Guang Gong. Design and implementation of warbler family of lightweight pseudorandom number generators for smart devices. ACM Trans.Embed. Comput. Syst., 15(1), feb 2016.
[8] Francesca Meneghello, Matteo Calore, Daniel Zucchetto, Michele Polese, and Andrea Zanella. Iot: Internet of threats? a survey of practical security vulnerabilities in real iot devices. IEEE Internet of Things Journal, 6(5):8182–8201, 2019.
[9] Rolf Weber. Internet of things –new security and privacy challenges. Computer Law & Security Review, 26:23–30, 01 2010.
