深度解析物聯(lián)網(wǎng)的安全問題

隨著新技術(shù)的不斷刷新，物聯(lián)網(wǎng)終是大勢所趨。物聯(lián)網(wǎng)再給人們帶來便捷、愉悅的生活的同時，安全問題也不容忽視，如隱私泄漏、數(shù)據(jù)泄露等。就物聯(lián)網(wǎng)安全問題，海爾UHomeOS研發(fā)總監(jiān)尹德帥從物聯(lián)網(wǎng)安全概述、物聯(lián)網(wǎng)安全需求、物聯(lián)網(wǎng)安全需求對操作系統(tǒng)要求、UHomeOS安全方案四個方面深度解析當下物聯(lián)網(wǎng)安全存在的問題及解決方案，下面是具體內(nèi)容。

1. 物聯(lián)網(wǎng)安全概述

1.1. 引言

維 基百科對于物聯(lián)網(wǎng)（Internet of Things）的定義為物聯(lián)網(wǎng)是將物理設(shè)備、車輛、建筑物和一些其它嵌入電子設(shè)備、軟件、傳感器等事物與網(wǎng)絡連接起來，使這些對象能夠收集和交換數(shù)據(jù)的網(wǎng)絡。物聯(lián)網(wǎng)允許遠端系統(tǒng)通過現(xiàn)有的網(wǎng)絡基礎(chǔ)設(shè)施感知和控制事物，可以將物理世界集成到基于計算機系統(tǒng)的網(wǎng)絡世界，從而提高效率、準確性和經(jīng)濟利益。經(jīng)過二十多年的發(fā)展，物聯(lián)網(wǎng)已經(jīng)逐步融入到我們的生活中來。從應用于家庭的智能恒溫器，智能電燈等設(shè)備，到與身體健康相關(guān)的智能穿戴設(shè)備。每一種智能設(shè)備的出現(xiàn)，都大大便利了人們的生活。

但是物聯(lián)網(wǎng)在給人們的生活帶來便利的同時，也會給人們帶來種種隱憂。許多智能電視帶有攝像頭和麥克風，即便電視沒有打開，入侵智能電視的攻擊者可以使用攝像頭來監(jiān)視你和你的家人，可以利用麥克風監(jiān) 聽你和家人的談話內(nèi)容。維 基解密近期公布機密文件，表明美國中情局利用三星智能電視漏洞監(jiān) 聽觀眾對話，突顯物聯(lián)網(wǎng)安全問題的重要性。除此之外攻擊者還可以獲取對于智能家庭中的燈光系統(tǒng)的訪問后，除了可以控制家庭中的燈光外，還可以訪問家庭的電力，從而可以增加家庭的電力消耗，導致極大的電費賬單。種種安全問題提示人們，在享受物聯(lián)網(wǎng)帶來的方便快捷的同時，也要關(guān)注物聯(lián)網(wǎng)的安全問題。

物聯(lián)網(wǎng)面臨的新的挑戰(zhàn)包括：

（1） 隱私問題日益引起關(guān)注和用戶困惑。

（2） 移動的普遍性使得安全問題變的不可控。

（3） 設(shè)備數(shù)量的巨大使得常規(guī)的安全措施捉襟見肘。

（4） 大量基于云的操作使得邊界安全不太奏效。

1.2. 物聯(lián)網(wǎng)安全與互聯(lián)網(wǎng)安全的關(guān)系

物聯(lián)網(wǎng)是互聯(lián)網(wǎng)的延伸，因此物聯(lián)網(wǎng)的安全可以大力借鑒互聯(lián)網(wǎng)安全，物聯(lián)網(wǎng)和互聯(lián)網(wǎng)的關(guān)系是密不可分。但是物聯(lián)網(wǎng)和互聯(lián)網(wǎng)在體系結(jié)構(gòu)、操作系統(tǒng)、通信協(xié)議、系統(tǒng)升級、運維管理、隱私問題、硬件平臺多樣性、安全環(huán)境方面有大量的不同。物聯(lián)網(wǎng)的安全既構(gòu)建在互聯(lián)網(wǎng)的安全上，也有因為其業(yè)務環(huán)境而具有自身的特點?？偟膩碚f，物聯(lián)網(wǎng)安全和互聯(lián)網(wǎng)安全的關(guān)系體現(xiàn)在：物聯(lián)網(wǎng)安全不是全新的概念，物聯(lián)網(wǎng)安全比互聯(lián)網(wǎng)安全多了感知層，傳統(tǒng)互聯(lián)網(wǎng)的安全機制可以部分應用到物聯(lián)網(wǎng)，物聯(lián)網(wǎng)安全比互聯(lián)網(wǎng)安全更復雜。物聯(lián)網(wǎng)與互聯(lián)網(wǎng)對比，見下表：

物聯(lián)網(wǎng) 互聯(lián)網(wǎng) 體系結(jié)構(gòu) 分為感知層、網(wǎng)絡層和應用層 集中在網(wǎng)絡層和應用層 操作系統(tǒng) 嵌入式操作系統(tǒng)為主，專為物聯(lián)網(wǎng)定制的操作系統(tǒng)為輔，例如UHomeOS等 通用操作系統(tǒng)，例如Windows、Linux、MacOS等 通信協(xié)議 藍牙、Wi-Fi、Zigbee及互聯(lián)網(wǎng)協(xié)議 TCP/IP、HTTP/HTTPs、MQTT 系統(tǒng)升級 一些專有系統(tǒng)兼容性差、軟硬件升級較困難，一般很少

進行系統(tǒng)升級，如需升級可能需要整個系統(tǒng)升級換代 采用通用系統(tǒng)、兼容性較好，軟硬件升級較容易，且軟件系統(tǒng)升級較頻繁 運維管理 不僅關(guān)注互聯(lián)網(wǎng)所關(guān)注的問題，還關(guān)注對物聯(lián)網(wǎng)設(shè)備遠

程控制和管理 互聯(lián)網(wǎng)運維通常關(guān)注系統(tǒng)響應、性能 隱私問題 物聯(lián)網(wǎng)的很多應用都與人們的日常生活相關(guān)，其應用過程中需要收集人們的日常生活信息，利用該信息可以直接或者間接地通過連接查詢追溯到某個人 用戶網(wǎng)絡行為、偏好方面的信息 硬件平臺 硬件平臺復雜多樣，形態(tài)各異，性能和運算能力差異巨大 平臺比較單一，種類較少 安全環(huán)境 安全環(huán)境復雜，有室內(nèi)、室外；有靜止、運動；有的監(jiān)控，有的無人監(jiān)控； 系統(tǒng)大多在受保護的環(huán)境中

2. 物聯(lián)網(wǎng)安全需求

2.1. 引言

物聯(lián)網(wǎng)新常態(tài)下安全的觀念和方向都要發(fā)生轉(zhuǎn)變。在傳統(tǒng)互聯(lián)網(wǎng)安全領(lǐng)域，我們強調(diào)對用戶進行強認證，對用戶的數(shù)據(jù)做加密，保障用戶在使用PC時的身份安全、應用安全、數(shù)據(jù)安全。而在萬物互聯(lián)時代，用戶卻不再是網(wǎng)絡的單一主體，而是網(wǎng)絡多個設(shè)備中一個普通的角色或者終端，每一臺設(shè)備都產(chǎn)生和傳輸數(shù)據(jù)，每一臺設(shè)備都成為了一個安全實體。如果仍以人員為安全管理的目標和基本單位進行管理，顯然安全保障的粒度和強度都不夠，已經(jīng)不符合實際的安全需要，網(wǎng)絡安全從人員安全的時代開始轉(zhuǎn)向設(shè)備安全的時代。

在設(shè)備安全的時代，每一臺設(shè)備都將成為我們關(guān)注的目標，例如：每一臺設(shè)備的接入是否授權(quán)，網(wǎng)絡通信兩端的設(shè)備是否彼此應該信任，設(shè)備收集到的數(shù)據(jù)是否能夠安全存儲和傳輸，都是需要考慮的新問題。解決這些問題，實際是要從設(shè)備的角度來解決身份的認證問題，以及數(shù)據(jù)的保密性、完整性問題。我們也需要為設(shè)備建立一套網(wǎng)絡信任體系，將數(shù)字證書的發(fā)放對象由人擴展到設(shè)備，利用加密、簽名技術(shù)解決設(shè)備的強認證、完整、保密問題。

2.2. 隱私保護

物聯(lián)網(wǎng)時代對用戶而言最關(guān)切的問題還有隱私問題。隱私不僅體現(xiàn)在用戶在使用設(shè)備的過程中，還體現(xiàn)在用戶在維修設(shè)備時。同傳統(tǒng)的設(shè)備相比物聯(lián)網(wǎng)的設(shè)備存儲有更多用戶的私密信息，例如設(shè)備存儲了用戶的包含用戶名稱和電話號碼的賬號信息、通話記錄、聊天記錄、語音記錄、采購記錄、甚至信用卡信息等等。這些信息一旦泄露會對用戶造成不可預計的麻煩和后顧之憂。

2.3. 數(shù)據(jù)安全

物聯(lián)網(wǎng)時代的設(shè)備相當大量的設(shè)備暴露在沒有固定安全保護的環(huán)境中，因此對數(shù)據(jù)安全的要求與傳統(tǒng)的數(shù)據(jù)安全相比具有更苛刻的需求。除了傳統(tǒng)的數(shù)據(jù)保護措施外，物聯(lián)網(wǎng)時代的數(shù)據(jù)安全要具有一定的移動性和更高的對數(shù)據(jù)安全危害的抵御能力。除此之外物聯(lián)網(wǎng)設(shè)備的設(shè)備種類復雜多樣，運算能力的差異導致在數(shù)據(jù)安全方案上需匹配多種多樣的設(shè)備。

2.4. 訪問控制管理

物聯(lián)網(wǎng)設(shè)備的設(shè)備另一大屬性是同一個設(shè)備會有不同的用戶，比如空調(diào)在家庭中是大家共有的，但每個家庭成員對空調(diào)的使用溫度是有不同喜好的。另外一個例子是諸如微波爐、電磁爐等設(shè)備對兒童而言具有一定的危害性，因此在家庭設(shè)備授權(quán)方面必須有很好的訪問控制管理。

2.5. 攻擊檢測及防御

物聯(lián)網(wǎng)設(shè)備的攻擊檢測及防御同互聯(lián)網(wǎng)時代的攻擊檢測及防御相比，具有檢測更加困難、防御更加嚴峻的特性。因為設(shè)備的分布性、移動性、多樣性及協(xié)議的廣泛性比以往更加復雜。比如對監(jiān)控攝像頭的攻擊由于操作系統(tǒng)的小巧和處于成本考慮使得攻擊更加容易，但攻擊證據(jù)和回溯會更加困難。因此選擇與設(shè)備的操作系統(tǒng)匹配的攻擊防御措施顯得十分突出。

2.6. 通信安全

物聯(lián)網(wǎng)的通信安全必須能滿足多種通信協(xié)議要求，而不僅僅是滿足以太網(wǎng)或者Wi-Fi通信安全。物聯(lián)網(wǎng)的通信協(xié)議種類繁多，諸如藍牙、Wi-Fi、ZigBee、zWave等基礎(chǔ)通信協(xié)議。也有基于之上的CoAP、MQTT、HTTP等等。因此通信安全會更加復雜、通信安全在物聯(lián)網(wǎng)時代更加嚴峻。

3. 物聯(lián)網(wǎng)安全需求對操作系統(tǒng)要求

3.1. 引言

物聯(lián)網(wǎng)時代的設(shè)備與通信屬性與傳統(tǒng)互聯(lián)網(wǎng)相比，對操作系統(tǒng)的安全有特殊的需求， 基于對現(xiàn)有一流設(shè)備的觀察，構(gòu)建安全設(shè)備更多的是一項科學，而非藝術(shù)。如果嚴格遵循眾所周知的原則和做法，構(gòu)建安全設(shè)備是可重復的。物聯(lián)網(wǎng)對所有高安全性聯(lián)網(wǎng)設(shè)備必備的八個屬性：基于硬件的信任根、小型可信計算基礎(chǔ)、深度防御、分區(qū)化、基于證書的身份驗證、安全更新和故障報告、防復制機制。

3.2. 高可靠高安全系統(tǒng)必備屬性

信任根是基于硬件的。單純的操作系統(tǒng)軟件對高安全設(shè)備而言是遠遠不夠的，硬件的防護可以檢測并減緩物理攻擊的危害，同時可以防止攻擊者重復使用某一攻擊手段。

可信計算基礎(chǔ)是最小化的?？尚庞嬎慊A(chǔ)的最小化在保證安全操作環(huán)境外，暴露給攻擊者的機會大大較少。

防御是深度的。防御必須是深度多樣化的，同時對攻擊造成的傷害必須可以采取減緩措施。

防護是分區(qū)化的。分區(qū)由硬件強制邊界提供保護，以防止一個軟件分區(qū)中的缺陷或漏洞傳播到系統(tǒng)中的其他軟件分區(qū)。

身份驗證是證書化的。證書是使用秘密私鑰簽名并使用已知公鑰驗證的身份和授權(quán)聲明。不同于基于共享機密的密碼或其他身份驗證機制，證書無法被竊取、偽造或用于驗證假冒者身份。

安全是可以更新的。即使在設(shè)備受到安全威脅后，具有可更新安全性的設(shè)備也可以自動更新到更安全的狀態(tài)。安全威脅不斷發(fā)展，攻擊者不斷發(fā)現(xiàn)新的攻擊媒介。為了應對新興威脅，必須定期更新設(shè)備安全性。在極端情況下，當設(shè)備的分區(qū)和分層受到零日漏洞的破壞時，較低的分層必須重建并更新系統(tǒng)較高級別的安全性。遠程證明和回滾保護可以保證一旦更新，設(shè)備就無法恢復到已知的脆弱狀態(tài)。沒有可更新安全性的設(shè)備存在潛在的危機。

安全是可以審計的。攻擊過程和破壞結(jié)果是可以記錄、可以追蹤的，達到事后審計效果。

系統(tǒng)影像是不可克隆的。系統(tǒng)不被克隆機制可以用來防止攻擊者采用重復的方法獲取系統(tǒng)信息，例如密鑰信息、密鑰機制及算法等。同時也可以防止系統(tǒng)被篡改。

4. UHomeOS安全方案

UHomeOS除了充分借鑒傳統(tǒng)互聯(lián)網(wǎng)的安全機制外，也充分實現(xiàn)和滿足了物聯(lián)網(wǎng)新的對安全的需求。具體為UHomeOS實現(xiàn)了安全的十大機制，即CPU模型是安全的、產(chǎn)品模型是安全的、認證模型是安全的、量產(chǎn)模型是安全的、售后模型是安全的、工具鏈模型是安全的、OS自身模型是安全的、信息交換模型是安全的、密鑰管理模型是安全的和算法模型是安全的。對于比較重要的安全模型描述如下：

4.1. CPU安全模型

CPU安全模型包括1）安全啟動即CPU啟動時，固件通過驗證操作系統(tǒng)的簽名來保證只有生產(chǎn)者認可的操作系統(tǒng)可以運行；2）防回滾保護即CPU可以防止低軟件版本下載和運行，其目的是一旦在操作系統(tǒng)在某一硬件版本入侵成功后，可以通過更改CPU硬件版本來防止入侵進一步發(fā)生；3）安全下載，只有生產(chǎn)商認可的操作系統(tǒng)方可以下載到硬件系統(tǒng)中；4）調(diào)試接口屏蔽與開啟即調(diào)試接口可以通過設(shè)置來開啟和關(guān)閉來保證系統(tǒng)的安全性；5）防止復制即操作系統(tǒng)的影像不可以被復制以防止固件系統(tǒng)信息和用戶信息泄露；6）硬件系統(tǒng)具備安全模塊能力比如硬件ID、硬件隨機數(shù)發(fā)生器、RSA公鑰散列發(fā)生器等。

4.2. 產(chǎn)品安全模型

產(chǎn)品安全模型包括1）產(chǎn)品身份識別即每個產(chǎn)品有唯一的識別碼；該唯一識別碼有助于追蹤設(shè)備運行狀況，防止設(shè)備被復制；2）影像防復制機制用來防止設(shè)備影像被復制，保護用戶數(shù)據(jù)隱私以及防止操作系統(tǒng)關(guān)鍵代碼篡改；3）深度防御機制用來應對各種對操作系統(tǒng)的威脅，即使操作系統(tǒng)一部分受到攻擊其他部分應不受影響，同時合適和恰當?shù)拇胧┯脕響獙簦?）安全系統(tǒng)更新即操作系統(tǒng)可以接受不斷更新，特別是成功的攻擊被發(fā)現(xiàn)后，操作系統(tǒng)的安全可更新機制保證系統(tǒng)免遭新的攻擊。

4.3. 系統(tǒng)量產(chǎn)安全模型

系統(tǒng)量產(chǎn)安全模型用來保證1）產(chǎn)線信息安全模型用來保證產(chǎn)線上的信息安全例如產(chǎn)品序列號、MAC信息等；2）產(chǎn)線密鑰安全用來保證密鑰管理的安全，防止密鑰泄露、丟失等。

4.4. 售后安全模型

售后安全模型指1）售后維修時操作系統(tǒng)信息是安全的、系統(tǒng)不被復制、篡改；2）用戶信息安全保證用戶在維護設(shè)備是用戶數(shù)據(jù)和信息是安全的。

4.5. 工具鏈安全模型

工具鏈安全模型包括1）安全下載即保證只有合法的操作系統(tǒng)影像才能下載到合法的硬件上；2）數(shù)據(jù)恢復安全保證用戶在維修設(shè)備時數(shù)據(jù)得到安全恢復；3）影像安全保證影像不被非法獲取和拷貝。

5. 結(jié)束語

物聯(lián)網(wǎng)仍然在如火如荼的處于快速發(fā)展當中，安全機制也會伴隨著攻擊者的進步而不斷進步。新的防攻擊機制，新的安全機制也會層出不窮。與此同時在物聯(lián)網(wǎng)建立起共同的安全機制顯得日益需要，因此組建共同的安全聯(lián)盟是下一步物聯(lián)網(wǎng)健康發(fā)展的推動力。