1緒 論
當(dāng)今正是“物聯(lián)網(wǎng)”(Internet of Things, IoT)技術(shù)的黃金時(shí)代:嵌入式處理器的性能和片上資源的豐富度得到了長(zhǎng)足的提升�,嵌入式設(shè)備可實(shí)現(xiàn)的功能逐步多樣化;Wi-Fi(wireless fidelity)����、藍(lán)牙、5G(5th generation)等無(wú)線通信技術(shù)得到全面普及����,使得“萬(wàn)物互聯(lián)”的門檻前所未有地降低;同時(shí)���,嵌入式設(shè)備與手機(jī)�����、路由器等智能設(shè)備間的協(xié)作大大增加,極大地提升了嵌入式設(shè)備的功能性和用戶體驗(yàn)��。物聯(lián)網(wǎng)技術(shù)已經(jīng)深入到了普通人生活的方方面面:從家中的掃地機(jī)器人��、智能音箱�����、藍(lán)牙開關(guān)���,到工業(yè)中的物流機(jī)器人�、無(wú)人機(jī)等,均是對(duì)物聯(lián)網(wǎng)技術(shù)的典型應(yīng)用���。
然而��,物聯(lián)網(wǎng)設(shè)備的安全問(wèn)題不可小覷���。與生活中常見的個(gè)人計(jì)算機(jī)(personal computer, PC)、手機(jī)等計(jì)算設(shè)備相比�����,物聯(lián)網(wǎng)設(shè)備更易出現(xiàn)安全漏洞��,也更易成為網(wǎng)絡(luò)攻擊的目標(biāo)��。其中的原因眾多���,舉例如下:
物聯(lián)網(wǎng)設(shè)備的計(jì)算資源有限���,設(shè)備上通常不會(huì)部署完整的操作系統(tǒng),因此物聯(lián)網(wǎng)設(shè)備上極少使用目前在 PC 和智能手機(jī)上常見的二進(jìn)制安全加固措施,如:地址空間布局隨機(jī)化(address space layout randomization, ASLR)�����,可寫�、可執(zhí)行內(nèi)存不相交,棧溢出保護(hù)(stacksmashing protection, SSP)等[5]���。這使得設(shè)備上的軟件漏洞更易被攻擊者利用�,以獲得對(duì)設(shè)備的控制權(quán)���。
(資料圖)
同理���,物聯(lián)網(wǎng)設(shè)備上通常不存在防火墻等復(fù)雜安全機(jī)制,物聯(lián)網(wǎng)設(shè)備的安全嚴(yán)重依賴于周邊網(wǎng)絡(luò)環(huán)境的安全性�����。
一部分(尤其是低端)物聯(lián)網(wǎng)設(shè)備上的安全機(jī)制設(shè)計(jì)過(guò)于簡(jiǎn)單�,且設(shè)備上的代碼沒有經(jīng)過(guò)充分的安全審計(jì)��,因此更容易存在安全弱點(diǎn)�,這增大了設(shè)備遭受安全攻擊的風(fēng)險(xiǎn)。
由于物聯(lián)網(wǎng)設(shè)備“無(wú)處不在”����、長(zhǎng)時(shí)間在線的特性���,物聯(lián)網(wǎng)設(shè)備更容易遭到掃描和攻擊。尤其一些長(zhǎng)期暴露在公網(wǎng)上的設(shè)備��,如路由器����、“樹莓派”等,此類設(shè)備是黑客重點(diǎn)研究����、掃描和攻擊的對(duì)象。一旦物聯(lián)網(wǎng)設(shè)備遭受攻擊�,并進(jìn)入僵尸網(wǎng)絡(luò),將很有可能對(duì)同網(wǎng)絡(luò)上的其它設(shè)備造成長(zhǎng)期的��、持久的損害����,并且難以被設(shè)備的主人發(fā)現(xiàn)。
物聯(lián)網(wǎng)設(shè)備自身的特性�,使得這些設(shè)備對(duì)于物理層面的側(cè)信道攻擊(side-channel attacks)更為敏感。例如,物聯(lián)網(wǎng)設(shè)備的功耗與 CPU 的執(zhí)行狀態(tài)具有很強(qiáng)的相關(guān)性���,攻擊者很容易通過(guò)測(cè)量物聯(lián)網(wǎng)設(shè)備的功耗變化來(lái)間接推算出 CPU 的執(zhí)行狀態(tài)���,并泄露出用戶密碼等機(jī)密信息。此外��,物聯(lián)網(wǎng)設(shè)備對(duì)于拒絕服務(wù)(denial of service, DoS)攻擊也更為敏感���,例如攻擊者可以通過(guò)反復(fù)喚醒一臺(tái)物聯(lián)網(wǎng)設(shè)備來(lái)實(shí)現(xiàn)損耗其壽命的目的[8]��。
圖1 針對(duì)物聯(lián)網(wǎng)設(shè)備的攻擊類型
正因以上原因�,針對(duì)物聯(lián)網(wǎng)設(shè)備的安全分析和加固與傳統(tǒng) PC 設(shè)備有很大不同��,物聯(lián)網(wǎng)安全領(lǐng)域需要新的技術(shù)和方法的指導(dǎo)�。目前,學(xué)術(shù)界和業(yè)界已經(jīng)有了一些針對(duì)物聯(lián)網(wǎng)安全的研究���,但業(yè)界對(duì)于物聯(lián)網(wǎng)設(shè)備安全性的重視程度普遍不足�����,針對(duì)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊仍然非常活躍。由于物聯(lián)網(wǎng)設(shè)備的市場(chǎng)占有率穩(wěn)步提升���,物聯(lián)網(wǎng)安全逐步成為信息安全領(lǐng)域的一個(gè)重要議題�。
本文主要分為 4 大部分�。在第一部分,我們對(duì)物聯(lián)網(wǎng)技術(shù)的現(xiàn)狀��,以及針對(duì)物聯(lián)網(wǎng)設(shè)備易受安全威脅的原因進(jìn)行了簡(jiǎn)要闡述���。在第二部分����,我們將對(duì)現(xiàn)有物聯(lián)網(wǎng)設(shè)備所面臨的主要威脅進(jìn)行綜述�����。在第三部分�,我們將描述一些物聯(lián)網(wǎng)設(shè)備所特有的安全機(jī)制。在第四部分��,我們將簡(jiǎn)要闡述目前業(yè)界所建立起的針對(duì)物聯(lián)網(wǎng)設(shè)備的一些安全實(shí)踐��。最后���,我們將對(duì)全文進(jìn)行總結(jié)�。
2針對(duì)物聯(lián)網(wǎng)設(shè)備的安全威脅
傳統(tǒng)上,一個(gè)物聯(lián)網(wǎng)系統(tǒng)大致可以分為 3 個(gè)層次�����,分別是[4]:
圖2 物聯(lián)網(wǎng)系統(tǒng)模型
1. 感知層(perception layer)��,負(fù)責(zé)提供物理上的傳感器和通信網(wǎng)絡(luò)�,如射頻識(shí)別(RFID,radio frequency identification)�����,全球定位系統(tǒng)(GPS��,global positioning system)等���;
2. 傳輸層(transportation layer)����,負(fù)責(zé)在物聯(lián)網(wǎng)設(shè)備與互聯(lián)網(wǎng)(Internet)之間建立通信��,例如藍(lán)牙網(wǎng)關(guān)等���;
3. 應(yīng)用層(application layer)�,負(fù)責(zé)實(shí)現(xiàn)物聯(lián)網(wǎng)設(shè)備本身的功能����,如掃地機(jī)器人的自動(dòng)尋路、智能音箱的語(yǔ)音識(shí)別功能等�。
這3個(gè)不同層次的特性各不相同,因此也面臨不同的安全威脅����,詳述如下。
感知層安全�。感知層面臨的主要威脅有以下幾種類型:
物理攻擊。在取得對(duì)設(shè)備的物理接觸之后�,攻擊者將能夠直接提取設(shè)備上的敏感數(shù)據(jù),或是修改設(shè)備上的程序��,在其中加入惡意代碼���。此類攻擊需要與設(shè)備進(jìn)行物理接觸���,因此相對(duì)來(lái)說(shuō)較容易防范;但設(shè)備廠商也有必要考慮設(shè)備本身在物理層面的安全性問(wèn)題��,例如需要避免在設(shè)備的電路板上留下調(diào)試接口等。
身份偽裝�。在缺乏有效的身份驗(yàn)證措施的物聯(lián)網(wǎng)網(wǎng)絡(luò)中,容易發(fā)生身份冒充的問(wèn)題�����,惡意設(shè)備可以通過(guò)這種方式竊取敏感數(shù)據(jù)�����。另外����,不安全的設(shè)備初始化和配對(duì)過(guò)程也是重要的安全威脅來(lái)源,例如一名攻擊者可以利用路由器首次開機(jī)���、尚未設(shè)置密碼的時(shí)機(jī)�����,向其中注入惡意程序或配置�����。若要防止此類攻擊����,設(shè)備廠商應(yīng)仔細(xì)考慮身份驗(yàn)證過(guò)程中可能存在的安全問(wèn)題,并加入有效的身份驗(yàn)證機(jī)制�。
拒絕服務(wù)攻擊(DoS)。攻擊者可以通過(guò)長(zhǎng)時(shí)間使設(shè)備處于高功耗狀態(tài)�����,來(lái)耗竭設(shè)備的計(jì)算能力����。對(duì)此類攻擊的完全防范非常困難���,但設(shè)備廠商可以通過(guò)合理的安全設(shè)計(jì)��,將此類攻擊所造成的損失盡可能降低�����。例如���,對(duì)于需要消耗大量算力的操作,應(yīng)當(dāng)加入有效的客戶端身份驗(yàn)證機(jī)制�����,或是限制客戶端執(zhí)行操作的頻率等等。
數(shù)據(jù)傳輸攻擊�。例如,攻擊者可以對(duì)設(shè)備所傳輸?shù)臄?shù)據(jù)進(jìn)行抓包��,或?qū)嵤┲虚g人(MitM, man in the middle)攻擊�����。對(duì)此類攻擊的通用防范措施是在數(shù)據(jù)傳輸過(guò)程中增加加密與安全校驗(yàn)機(jī)制�����,如 Wi-Fi 中的 WPA(Wi-Fi Protected Access)����,以及 LTE(Long Term Evolution)中的 EEA(EPS Encryption Algorithm;其中 EPS = Evolved Packet System)算法等���。
傳輸層安全�����。此層的安全威脅主要涉及對(duì)接入網(wǎng)(如 Wi-Fi�,5G)的安全威脅,主要有 2 種攻擊類型����,分別是數(shù)據(jù)傳輸攻擊和拒絕服務(wù)攻擊。這兩種攻擊類型的防范方法與感知層安全中的類似����,不再贅述。
應(yīng)用層安全����。此層的安全威脅與傳統(tǒng) PC 所面臨的安全威脅有一定的重合���,主要有以下這些類型:
數(shù)據(jù)泄露:程序中的設(shè)計(jì)疏漏可能導(dǎo)致用戶的隱私數(shù)據(jù)泄露給第三方����。若要盡可能避免此類漏洞出現(xiàn)��,需要對(duì)設(shè)備上的程序代碼進(jìn)行充分的安全審計(jì)和評(píng)估��。
拒絕服務(wù)攻擊:與感知層安全中的拒絕服務(wù)攻擊類似�,不再贅述。
遠(yuǎn)程代碼執(zhí)行:利用設(shè)備程序中的安全漏洞,攻擊者能夠控制設(shè)備執(zhí)行一些意料之外的動(dòng)作���,甚至執(zhí)行攻擊者所上傳的任意代碼�����。此類安全威脅的防范方法與傳統(tǒng)漏洞的防范類似����,主要包括:加強(qiáng)代碼安全審計(jì)����、對(duì)程序進(jìn)行模糊測(cè)試(fuzzing)、采用 ASLR 等二進(jìn)制安全加固措施等[5]�。但在防范此類漏洞時(shí),需要同時(shí)考慮設(shè)備本身的資源局限性�。
3物聯(lián)網(wǎng)設(shè)備上特有的安全機(jī)制
與傳統(tǒng) PC 設(shè)備相比,物聯(lián)網(wǎng)設(shè)備具有許多獨(dú)特的特性���,例如:設(shè)備功能偏向于特異化而非通用化����;硬件成本受到較大限制���,板上資源的數(shù)量有限����;設(shè)備常使用電池供電,功率受到限制�;設(shè)備設(shè)計(jì)和功能較為多樣化;設(shè)備長(zhǎng)時(shí)間運(yùn)行�,長(zhǎng)時(shí)間聯(lián)網(wǎng)等。由于以上這些特性�����,物聯(lián)網(wǎng)設(shè)備所面對(duì)的安全威脅和自身的安全性設(shè)計(jì)都與傳統(tǒng) PC 有很大不同��。在本節(jié)中��,我們將描述目前學(xué)術(shù)界和業(yè)界的一些已有的���,針對(duì)物聯(lián)網(wǎng)設(shè)備所設(shè)計(jì)的安全機(jī)制和特性[8]。
輕量級(jí)加密算法�。由于物聯(lián)網(wǎng)設(shè)備通常都暴露在不安全的物理環(huán)境中,且高度依賴于無(wú)線方式進(jìn)行通信�,因此加密算法對(duì)于物聯(lián)網(wǎng)設(shè)備來(lái)說(shuō)是一項(xiàng)“剛需”。然而���,PC 等計(jì)算設(shè)備上常見的密碼學(xué)算法���,如 AES(advanced encryption standard����,高級(jí)加密標(biāo)準(zhǔn))等����,在確保高安全性的同時(shí),常需要消耗數(shù)量可觀的算力和能源��。例如�,AES 加密算法每加密 16 字節(jié)的數(shù)據(jù),需要進(jìn)行 10 到 14 輪迭代循環(huán)����。因此,如果物聯(lián)網(wǎng)設(shè)備長(zhǎng)時(shí)間通過(guò) AES 算法加密大量數(shù)據(jù)���,則在性能和能耗方面都是不劃算的��。目前學(xué)術(shù)界已有一些針對(duì)輕量級(jí)加密算法的研究���,例如由國(guó)際標(biāo)準(zhǔn)化組織(ISO�,International Organization for Standardization)所批準(zhǔn)的塊密碼算法 PRESENT [3]和 CLEIFA[9]�����。
硬件指紋�。目前絕大部分計(jì)算設(shè)備都是以確定性(deterministic)的模式運(yùn)行的,然而�,下層的物理元件的制造工藝卻存在著一定的不確定性,這使得不同的成品之間存在著細(xì)微的物理差異�����。這種不確定性可以作為一種特殊的設(shè)備指紋來(lái)使用����。如果將某個(gè)物聯(lián)網(wǎng)設(shè)備的“物理指紋”記作函數(shù)f,則f具有在物理上不可克隆的特性�����,稱為物理不可克隆函數(shù)(physically unclonable function, PUF)����。目前已有一些能夠?qū)崿F(xiàn) PUF 的邏輯電路設(shè)計(jì)方案�����,例如 Arbiter PUF 電路[6]中含有多條相同的數(shù)據(jù)通路,當(dāng)每次被激活時(shí)����,該電路將會(huì)輸出所有數(shù)據(jù)通路中最短的一條。
輕量且安全的偽隨機(jī)數(shù)生成器�。目前計(jì)算機(jī)中的隨機(jī)數(shù)生成器(random number generator, RNG)分為偽隨機(jī)數(shù)生成器(pseudo random number generator, PRNG)和真隨機(jī)數(shù)生成器(true random number generator, TRNG)兩種。其中����,真隨機(jī)數(shù)生成器的數(shù)據(jù)來(lái)源通常是物理噪聲;偽隨機(jī)數(shù)生成器的數(shù)據(jù)來(lái)源通常是一個(gè)數(shù)據(jù)量有限的隨機(jī)數(shù)種子���。在密碼學(xué)算法中��,為了確保隨機(jī)數(shù)的不可預(yù)測(cè)性���,兩種隨機(jī)數(shù)生成器都需要有可靠的外部隨機(jī)性來(lái)源。然而�,物聯(lián)網(wǎng)設(shè)備上的隨機(jī)性來(lái)源比傳統(tǒng) PC 上少得多,因此�,如何在物聯(lián)網(wǎng)設(shè)備上產(chǎn)生密碼學(xué)安全的隨機(jī)數(shù),是一個(gè)值得探究的問(wèn)題����。目前已有一些研究致力于提供可用于物聯(lián)網(wǎng)設(shè)備的輕量級(jí)偽隨機(jī)數(shù)算法����,如 Warbler算法等[7]����。
4現(xiàn)有的物聯(lián)網(wǎng)設(shè)備安全實(shí)踐
隨著物聯(lián)網(wǎng)設(shè)備的普及,物聯(lián)網(wǎng)設(shè)備的安全性也逐步受到了物聯(lián)網(wǎng)設(shè)備廠商和云計(jì)算廠商的重視�����。尤其對(duì)于在企業(yè)環(huán)境中使用的物聯(lián)網(wǎng)設(shè)備來(lái)說(shuō)���,物聯(lián)網(wǎng)設(shè)備的安全與企業(yè)的生產(chǎn)力有著直接關(guān)聯(lián)��,因此需要企業(yè)經(jīng)營(yíng)者的高度重視�。本節(jié)中將以亞馬遜網(wǎng)絡(luò)服務(wù)(Amazon Web Services�,AWS)所制訂的物聯(lián)網(wǎng)安全白皮書[2]為例,介紹一些在物聯(lián)網(wǎng)設(shè)備中可行的安全最佳實(shí)踐��。
1. 用安全框架進(jìn)行正式的安全風(fēng)險(xiǎn)評(píng)估工作��。系統(tǒng)的安全評(píng)估是發(fā)現(xiàn)安全風(fēng)險(xiǎn)的最有效方式���。
2. 企業(yè)應(yīng)對(duì)物聯(lián)網(wǎng)資產(chǎn)進(jìn)行妥善管理����。例如��,可以按照重要性���、可修補(bǔ)性等特征對(duì)物聯(lián)網(wǎng)資產(chǎn)進(jìn)行分類�����。唯有充分且有效的管理�����,才是應(yīng)對(duì)意外事件發(fā)生時(shí)的最佳支持�����。
3. 在部署物聯(lián)網(wǎng)設(shè)備時(shí)��,為每個(gè)設(shè)備分配唯一標(biāo)識(shí)符和憑據(jù)����。標(biāo)識(shí)符和憑據(jù)是身份認(rèn)證和訪問(wèn)控制系統(tǒng)的基礎(chǔ),無(wú)論某個(gè)設(shè)備目前是否有相應(yīng)的需求��,都應(yīng)為其分配唯的一標(biāo)識(shí)符和憑據(jù)����,以防未來(lái)的不時(shí)之需。
4. 設(shè)計(jì)合適的設(shè)備升級(jí)機(jī)制����。設(shè)備升級(jí)是修補(bǔ)已有的安全漏洞的最有效方式。
5. 對(duì)設(shè)備上所存儲(chǔ)的固有數(shù)據(jù)進(jìn)行加密�����。固有數(shù)據(jù)包括系統(tǒng)程序����、機(jī)器學(xué)習(xí)模型、專利數(shù)據(jù)等只讀數(shù)據(jù)��。這能夠在一定程度上避免消費(fèi)者對(duì)設(shè)備進(jìn)行逆向工程��,并竊取這些私有數(shù)據(jù)���。
6. 對(duì)任何需要傳輸?shù)臄?shù)據(jù)都進(jìn)行加密���。這是避免一系列傳輸層攻擊(中間人攻擊、抓包等)的最有效手段����。
7. 在保護(hù)物聯(lián)網(wǎng)設(shè)備的同時(shí),也對(duì)物聯(lián)網(wǎng)設(shè)備背后的 IT 環(huán)境進(jìn)行同等程度的安全加固�����。IT(包括服務(wù)器����、運(yùn)維、管理等)資源能夠?yàn)槲锫?lián)網(wǎng)設(shè)備的正常工作提供充分的支持����,并且身份認(rèn)證、設(shè)備升級(jí)等任務(wù)也與 IT 資源息息相關(guān)����。因此,應(yīng)對(duì)這些 IT 資源給予同等程度的重視��。
為物聯(lián)網(wǎng)設(shè)備和背后的 IT 環(huán)境配備強(qiáng)制的安全監(jiān)控措施。絕對(duì)的安全并不存在����,因此為了防控不期而至的攻擊,需要對(duì)物聯(lián)網(wǎng)設(shè)備和 IT 資源進(jìn)行定期的安全監(jiān)測(cè)�����,避免攻擊造成難以挽回的損失�����。
5總 結(jié)
隨著科技和社會(huì)的進(jìn)步���,計(jì)算設(shè)備正在逐步實(shí)現(xiàn)輕量化�、節(jié)能化���,物聯(lián)網(wǎng)設(shè)備也借此機(jī)會(huì)實(shí)現(xiàn)了高速發(fā)展��。由于物聯(lián)網(wǎng)設(shè)備自身的獨(dú)特性��,物聯(lián)網(wǎng)設(shè)備所面臨的安全威脅比傳統(tǒng) PC 更為復(fù)雜和深刻���。然而����,目前業(yè)界對(duì)于物聯(lián)網(wǎng)設(shè)備安全性的認(rèn)知和實(shí)踐仍有許多不足�����,部分低端設(shè)備上仍然存在較多的嚴(yán)重漏洞[5]����,針對(duì)物聯(lián)網(wǎng)設(shè)備的攻擊仍然非常頻繁�。
隨著物聯(lián)網(wǎng)技術(shù)和信息安全學(xué)科的發(fā)展,物聯(lián)網(wǎng)安全問(wèn)題逐步受到重視����,一些企業(yè)已經(jīng)開始制定和發(fā)布針對(duì)物聯(lián)網(wǎng)的安全白皮書[2]。而輕量級(jí)密碼學(xué)算法等研究成果的出現(xiàn)��,也說(shuō)明物聯(lián)網(wǎng)安全問(wèn)題在學(xué)術(shù)界正在得到更多研究者的關(guān)注和投入����。由于針對(duì)傳統(tǒng) PC 的安全解決方案難以直接應(yīng)用到物聯(lián)網(wǎng)領(lǐng)域,因此針對(duì)物聯(lián)網(wǎng)設(shè)備的安全解決方案仍需長(zhǎng)期的探索��,期望目前的物聯(lián)網(wǎng)設(shè)備達(dá)到與 PC 同樣的安全水平是不切實(shí)際的�。可以預(yù)見,隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展與成熟����,物聯(lián)網(wǎng)安全將與 PC 軟件安全一樣,成為信息安全領(lǐng)域中舉足輕重的分支�����。
參考文獻(xiàn)
[1] Unit 42. 2020 Unit 42 IoT threat report, 2020.
[2] Amazon Web Services. Securing Internet of Things (IoT) with AWS, 2021.
[3] Soma Bandyopadhyay, Munmun Sengupta, Souvik Maiti, and Subhajit Dutta. A survey of middleware for internet of things. In Abdulkadir ?zcan, Jan Zizka, and Dhinaharan Nagamalai, editors, Recent Trends in Wireless and Mobile Networks, pages 288–296, Berlin, Heidelberg, 2011. Springer Berlin Heidelberg.
[4] Mario Frustaci, Pasquale Pace, Gianluca Aloi, and Giancarlo Fortino. Evaluating critical security issues of the iot world: Present and future challenges. IEEE Internet of Things Journal, 5(4):2483–2495, 2018.
[5] Octavio Gianatiempo and Octavio Galland. Exploring the hidden attack surface of OEM IoT devices: pwning thousands of routers with a vulnerability in Realtek’ s SDK for eCos OS. DEFCON, 30, 2022.
[6] Roel Maes. Physically Unclonable Functions: Constructions, Properties and Applications. Springer Publishing Company, Incorporated, 2013.
[7] Kalikinkar Mandal, Xinxin Fan, and Guang Gong. Design and implementation of warbler family of lightweight pseudorandom number generators for smart devices. ACM Trans.Embed. Comput. Syst., 15(1), feb 2016.
[8] Francesca Meneghello, Matteo Calore, Daniel Zucchetto, Michele Polese, and Andrea Zanella. Iot: Internet of threats? a survey of practical security vulnerabilities in real iot devices. IEEE Internet of Things Journal, 6(5):8182–8201, 2019.
[9] Rolf Weber. Internet of things –new security and privacy challenges. Computer Law & Security Review, 26:23–30, 01 2010.
