當(dāng)前位置:首頁 > 物聯(lián)網(wǎng) > 物聯(lián)網(wǎng)技術(shù)文庫
[導(dǎo)讀] 物聯(lián)網(wǎng)安全是個全棧的行為,是“服、用、云、管、邊、端”全生態(tài)統(tǒng)一協(xié)作聯(lián)合布防才能生效的課題,僅僅從物聯(lián)網(wǎng)設(shè)備端采取嚴(yán)防死守的策略并不能阻抗已經(jīng)滲透到各個角落的APT攻擊。因此我們可以從物聯(lián)設(shè)備啟

物聯(lián)網(wǎng)安全是個全棧的行為,是“服、用、云、管、邊、端”全生態(tài)統(tǒng)一協(xié)作聯(lián)合布防才能生效的課題,僅僅從物聯(lián)網(wǎng)設(shè)備端采取嚴(yán)防死守的策略并不能阻抗已經(jīng)滲透到各個角落的APT攻擊。因此我們可以從物聯(lián)設(shè)備啟動、Rootkit注入保護(hù)、DDOS攻擊防御、設(shè)備安全準(zhǔn)入、數(shù)據(jù)和協(xié)議安全等幾個方面綜合考查物聯(lián)網(wǎng)安全的應(yīng)對之策。除此之外,還要保證物聯(lián)網(wǎng)管控平臺、云平臺、互聯(lián)互通接口、物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)等基礎(chǔ)設(shè)施的安全。

1.基于可信計算的安全啟動技術(shù)

可信計算是由TCG(Trusted Computing Group,可信計算組織)推動和開發(fā)的安全計算技術(shù),在計算和通信領(lǐng)域中廣泛應(yīng)用基于硬件安全模塊的可信計算平臺以提高整個系統(tǒng)和應(yīng)用軟件的安全性與完整性。作為一門新興技術(shù),其主要目標(biāo)包括計算平臺的完整性、平臺的遠(yuǎn)程證明、數(shù)據(jù)存儲的安全性、數(shù)字知識產(chǎn)權(quán)保護(hù)。

作為高級可持續(xù)威脅(APT),如果不是潛伏在系統(tǒng)的最深層,如果不是先于操作系統(tǒng)加載,如果不能在啟動過程中制衡保護(hù)軟件實現(xiàn)對自己“免殺”,那實在不好意思稱自己是“合格的APT”。對于這樣心高氣傲神通廣大的威脅代碼,唯一的辦法就是先于它掌控系統(tǒng)的運行權(quán)。可信計算技術(shù)就是這場“運行權(quán)戰(zhàn)爭”中的“定海神針”,采用層層度量的方式校驗每一個啟動步驟的完整性和正確性,通過信任鏈的可傳導(dǎo)性來保證計算平臺的完整性。

度量是一級級從底層向上逐級度量的,通常是以先啟動的軟硬件代碼(例如安全芯片)作為信任根,并以此為標(biāo)準(zhǔn)對后一級啟動的軟硬件進(jìn)行度量,如此實現(xiàn)信任鏈的向后傳遞,以保證系統(tǒng)計算環(huán)境可信。整個過程遵循“先度量再執(zhí)行”的策略,例如在Windows系統(tǒng)啟動時,可以以BIOS中的某段代碼為核心信任根模塊(可信根),對啟動鏈上的BIOS/UEFI、WinLoader、操作系統(tǒng)鏡像文件等進(jìn)行逐級靜態(tài)度量(如圖1所示)。

圖1 操作系統(tǒng)啟動的信任鏈

可信根作為整個系統(tǒng)信任鏈的底端必須可信,因此可信根一般是通過廠家在安全芯片中直接植入算法和密鑰實現(xiàn)的,具有不可覆蓋性,因此這部分代碼也被稱為可信軟件基(TSB,Trusted Software Base)。

ARM作為老牌的處理平臺廠商亦針對消費類物聯(lián)設(shè)備的安全保密與可信計算提出了TrustZone技術(shù)。該技術(shù)本質(zhì)上是一種硬件平臺結(jié)構(gòu)和安全框架,將片上系統(tǒng)的軟硬件資源分為安全世界與非安全世界(類似X86系統(tǒng)下的0環(huán)和3環(huán)),通過訪問權(quán)限的差異性來保證資源的安全性,非安全世界和安全世界通信需要通過中間的Monitor Mode進(jìn)行轉(zhuǎn)換(如圖2所示)。

圖2 TrustZone架構(gòu)視圖

2.Rootkit防御技術(shù)

Rootkit是系統(tǒng)安全領(lǐng)域老生常談的一個話題,無論采用哪種處理器架構(gòu),也無論在什么操作系統(tǒng)中,Rootkit都鬼影相隨。所謂Rootkit,就是系統(tǒng)中以隱藏自身、控制設(shè)備和獲取隱私信息為目的的惡意代碼。物聯(lián)網(wǎng)設(shè)備“中的招”十有八九就是以獲取信息和控制設(shè)備為特征的Rootkit惡意進(jìn)程/代碼模塊,因此對于Rootkit的防御就顯得尤為重要。

Rootkit的執(zhí)行特征如下:

(1)將惡意代碼放置在內(nèi)存的數(shù)據(jù)區(qū),通過堆棧溢出等手段在數(shù)據(jù)區(qū)執(zhí)行這些代碼。

(2)通過遠(yuǎn)程線程、默認(rèn)加載等方式將惡意代碼模塊加載到應(yīng)用進(jìn)程中,即“模塊注入”。

(3)通過掛鉤操作系統(tǒng)的重要方法(例如系統(tǒng)調(diào)用或中斷響應(yīng)例程等)來獲取自己渴求的數(shù)據(jù)。

(4)通過過濾型驅(qū)動掛鉤網(wǎng)絡(luò)協(xié)議棧,以獲取重要網(wǎng)絡(luò)流量并對數(shù)據(jù)包進(jìn)行篡改。

(5)通過掛鉤重要可執(zhí)行模塊的EAT/IAT(導(dǎo)出/導(dǎo)入地址表)的方式改變進(jìn)程執(zhí)行流程。

從上述Rootkit的運行特征可以反向推導(dǎo)出防范抵御Rootkit攻擊的手段。Windows系統(tǒng)在抵御Rootkit方面走在了前面,由于Windows系統(tǒng)的運行環(huán)境和計算資源都比較寬松,因此擁有更多的機制和手段保障安全性。而對于物聯(lián)網(wǎng)的系統(tǒng),由于其功耗、計算資源等方面的限制,操作系統(tǒng)一般比較精簡,因此有針對性地制定Rootkit防御機制就更顯必要。

(1)物聯(lián)網(wǎng)設(shè)備通信模塊短小精悍,一般不存在協(xié)議棧的說法,因此通過過濾型驅(qū)動截取網(wǎng)絡(luò)數(shù)據(jù)包的方式在物聯(lián)網(wǎng)設(shè)備中不會存在。

(2)物聯(lián)網(wǎng)系統(tǒng)不存在遠(yuǎn)程線程、默認(rèn)加載等復(fù)雜的應(yīng)用機制,因此無需考慮模塊注入問題。

(3)堆棧溢出在物聯(lián)網(wǎng)系統(tǒng)中是比較常見的,因此可以采用類似Win7的數(shù)據(jù)執(zhí)行保護(hù)(DEP)機制阻止惡意代碼在內(nèi)存數(shù)據(jù)區(qū)被執(zhí)行。

(4)物聯(lián)網(wǎng)系統(tǒng)同樣也存在中斷響應(yīng)例程、系統(tǒng)調(diào)用服務(wù)例程等重要的方法,依然需要防止這些重要部位被掛鉤??梢圆捎妙愃芖indows的PatchGuard機制防止這些重要部位被改寫。

(5)可采用內(nèi)核進(jìn)程簽名校驗的機制阻斷不明進(jìn)程的安裝和運行。

3.抗DDOS攻擊技術(shù)

DDOS攻擊也是網(wǎng)絡(luò)安全領(lǐng)域亙古不變的話題,無論物聯(lián)網(wǎng)還是視聯(lián)網(wǎng),只要還支持TCPIP協(xié)議就面臨被DDOS攻擊的危險。DDOS是一種攻擊大類,核心思想是通過車輪戰(zhàn)使目標(biāo)系統(tǒng)疲于應(yīng)付而無法正常運行其他進(jìn)程,它包括細(xì)分的多種攻擊手段,常見的有以下幾種:

(1)SYN Flood

通過偽造大量不存在的IP地址,在極短時間內(nèi)向服務(wù)器不間斷發(fā)送SYN包,服務(wù)器回復(fù)確認(rèn)包SYN/ACK,并等待客戶端永遠(yuǎn)都不會響應(yīng)的確認(rèn)回復(fù)。如此服務(wù)器需要不斷重發(fā)SYN/ACK直至超時,這些偽造的SYN包將長時間占用未連接隊列,正常的SYN請求被丟棄,導(dǎo)致目標(biāo)系統(tǒng)運行緩慢甚至癱瘓。這是利用TCP傳輸特性制造的“車輪戰(zhàn)”。

(2)ICMP Flood

極短時間內(nèi)向目標(biāo)主機不斷請求ICMP 回應(yīng),導(dǎo)致目標(biāo)系統(tǒng)負(fù)擔(dān)過重而不能處理正常的IO業(yè)務(wù)。這是利用ICMP協(xié)議制造的“車輪戰(zhàn)”。

(3)UDP Flood

極短時間內(nèi)向目標(biāo)主機發(fā)送大量UDP 報文,致使目標(biāo)系統(tǒng)負(fù)擔(dān)過重而不能處理正常的IO業(yè)務(wù)。這是利用UDP協(xié)議制造的“車輪戰(zhàn)”。

(4)ARP Flood

攻擊者可以在極短時間內(nèi)發(fā)送大量ARP請求包以阻塞正常網(wǎng)絡(luò)寬帶,使局域網(wǎng)中有限的網(wǎng)絡(luò)資源被無用的廣播信息所占用而造成網(wǎng)絡(luò)擁堵。這是利用ARP包制造的“車流戰(zhàn)”,癱瘓的是承載網(wǎng)絡(luò)。

除了上述幾種利用二三四層協(xié)議營造的DDOS攻擊外,應(yīng)用層、會話層協(xié)議亦可以制造DDOS攻擊的效果,例如通過短時間超大量的HTTP請求使WEB服務(wù)器崩潰、在短時間內(nèi)通過超大量的流媒體會話協(xié)議使視頻服務(wù)器崩潰等等,這些攻擊手段都迎合了DDOS攻擊的本意,即極限施壓使之疲于應(yīng)付而崩潰。

一般情況下DDOS攻擊的抵御是通過引流的辦法,即首先需要防護(hù)系統(tǒng)判斷發(fā)生了DDOS攻擊,再啟動流量引流機制,將DDOS攻擊包引導(dǎo)到攻擊緩沖區(qū)域進(jìn)行消化。由于物聯(lián)網(wǎng)領(lǐng)域設(shè)備數(shù)量龐大,尤其要注意防DDOS攻擊的問題。

(1)在IPv4環(huán)境下多采用私網(wǎng)穿透的方式與外部系統(tǒng)進(jìn)行通信。由于私網(wǎng)穿透通信的單向性,外部系統(tǒng)主動發(fā)起DDOS攻擊的可能性較低,特別是在部署了對稱性NAT服務(wù)的時候,從外向內(nèi)通信的限制非常嚴(yán)格,也能在一定程度上阻斷DDOS攻擊流。

(2)物聯(lián)網(wǎng)與互聯(lián)網(wǎng)之間也會存在網(wǎng)絡(luò)隔離設(shè)備,例如安全接入平臺或網(wǎng)閘,其安全級別可以自主設(shè)置。雖然其通信效率較低,但能夠?qū)W(wǎng)絡(luò)包進(jìn)行深度檢測(DPI),也能在一定程度上阻抗DDOS攻擊流。

4.物聯(lián)網(wǎng)設(shè)備指紋技術(shù)

設(shè)備指紋是近年來新興的物聯(lián)網(wǎng)設(shè)備接入準(zhǔn)入技術(shù)。其核心原理是通過設(shè)備的操作系統(tǒng)、廠商ID、MAC地址、端口號、IP地址、協(xié)議報文種類等屬性生成一系列固定的且與每個設(shè)備相關(guān)的私有信息,以達(dá)到識別設(shè)備的唯一性。物聯(lián)網(wǎng)平臺通過設(shè)備指紋庫識別設(shè)備,對于非指紋庫內(nèi)的設(shè)備可進(jìn)行阻斷和報警。傳統(tǒng)識別設(shè)備唯一性的方法是通過ID,但這種方式存在相當(dāng)大的可仿冒性和可替換性,且由于設(shè)備ID一般處于OSI協(xié)議棧的高層,仿冒的門檻也更低。而通過設(shè)備指紋標(biāo)識設(shè)備的唯一性卻具有很低的可仿冒性和可替換性。

(1)設(shè)備的操作系統(tǒng)會帶有一定的標(biāo)識,例如版本號、廠商ID等,對于這些屬性的仿冒并不容易,可能要通過Patch的手段改動內(nèi)核態(tài)變量。

(2)MAC地址、IP地址、端口號等屬性具有設(shè)備的唯一性,雖然也具有仿冒性,但仿冒這些聯(lián)合的屬性也并不容易。

(3)協(xié)議報文雖然遵循一定的標(biāo)準(zhǔn),但每個廠商的設(shè)備協(xié)議的報文頭或報文體多少會有些私有信息存在,例如SIP協(xié)議頭域中的User-Agent屬性就會附帶廠商信息。再比如協(xié)議交互的時間間隔、回復(fù)特征等這些更加細(xì)微的區(qū)別也是設(shè)備指紋的重要組成部分。

因此,通過設(shè)備指紋鑒定設(shè)備的唯一性、檢測設(shè)備在線、設(shè)備私接、設(shè)備仿冒具有很高的不可仿冒性和不可替代性。

設(shè)備指紋生成包括主動探測和被動監(jiān)聽兩種方式。

(1)主動探測方式的主要思想是主動向物聯(lián)設(shè)備發(fā)送ICMP、UDP包,或者主動建立TCP連接,甚至主動發(fā)起一些應(yīng)用層以上的協(xié)議來探測設(shè)備的回復(fù)信息(例如ICMP echo reply、ICMP端口不可達(dá)、HTTP Response等報文),根據(jù)這些報文來識別設(shè)備的特殊屬性。有的廠家也會支持一些私有協(xié)議專門用以標(biāo)識設(shè)備的不可仿冒性。

(2)被動監(jiān)聽方式的主要思想是通過網(wǎng)絡(luò)探針監(jiān)聽設(shè)備的交互報文,并將這些報文旁路到采集端進(jìn)行分析,通過源端口、源地址、MAC信息、報文特征等信息判別設(shè)備的不可替換性。

圖3 一種基于OSI協(xié)議棧指紋回聲的物甄別系統(tǒng)

設(shè)備指紋已在視頻監(jiān)控領(lǐng)域有了較為廣泛的應(yīng)用。但在物聯(lián)網(wǎng)其他領(lǐng)域,由于協(xié)議報文種類的繁雜性,且許多設(shè)備并不處于TCPIP網(wǎng)絡(luò)中,因此尚無太多的應(yīng)用場景。

5.數(shù)據(jù)安全技術(shù)

物聯(lián)網(wǎng)數(shù)據(jù)安全包括數(shù)據(jù)本身的安全和協(xié)議安全兩重內(nèi)涵。但無論是哪種內(nèi)涵,其本質(zhì)都是對數(shù)據(jù)和協(xié)議報文的加解密,當(dāng)然也包括協(xié)議的證書認(rèn)證機制。在安防領(lǐng)域,公安部早已制定了GB35114標(biāo)準(zhǔn),并根據(jù)密級高低劃分了ABC三個等級,分別對協(xié)議報文進(jìn)行認(rèn)證加密、對視頻NAL進(jìn)行認(rèn)證以及對視頻內(nèi)容本身加解密。

國家強制性標(biāo)準(zhǔn)的加持是對數(shù)據(jù)安全的注腳。

來源: 《中國安防》

本站聲明: 本文章由作者或相關(guān)機構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫毥谦F公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險,如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應(yīng)對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學(xué)會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團(tuán))股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉