IoT設(shè)備受到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)伴隨著設(shè)備數(shù)量的增長而不斷增加，因此在設(shè)計(jì)產(chǎn)品時就必須考慮到系統(tǒng)的安全。

　　高德納咨詢公司最近的報(bào)告預(yù)測，到 2020 年，全世界將有 200.4 億的物聯(lián)網(wǎng)設(shè)備相互連接，且平均每天約還有 550 萬設(shè)備連接到整個網(wǎng)絡(luò)中來。此外，到 2020 年時，新增的商業(yè)設(shè)備和系統(tǒng)中將會有超過一半會包含 IoT 組件。

　　這個數(shù)字非常驚人，同時也說明標(biāo)準(zhǔn) PC 的安全和反病毒方案將不能滿足將來所互聯(lián)的 IoT 設(shè)備可能遭遇的網(wǎng)絡(luò)攻擊威脅。

　　最近，F(xiàn)orrester TechRadar 研究了使 IoT 嵌入式設(shè)備變得更安全的可能舉措。該研究定義了 IoT 安全的使用情形和商業(yè)價值，并展望了 13 個最相關(guān)的、最重要的 IoT 安全技術(shù)。除了 IoT 威脅檢測、IoT 塊環(huán)鏈、IoT 安全分析等比較新興的 IoT 安全技術(shù)之外，該研究還包括 IoT 授權(quán)、IoT 加密等比較核心的技術(shù)(如圖1)。

　　

 

　　圖 1 Forrester Research 著重展望了 13 個最相關(guān)的、最重要的 IoT 安全技術(shù)

　　日益增長的安全威脅

　　最近幾年，許多廣為人知的網(wǎng)絡(luò)攻擊已經(jīng)表明了缺乏 IoT 安全所能導(dǎo)致的威脅，其中最著名的攻擊可能是 “Stuxnet 蠕蟲病毒” 攻擊。Stuxnet 蠕蟲病毒有針對性地攻擊伊朗的鈾濃縮設(shè)施的工業(yè)可編程邏輯控制器(PLC)。專家認(rèn)為，Stuxnet 蠕蟲病毒至少攻擊了超過 1000 臺的離心機(jī)，這些離心機(jī)通過廣域網(wǎng)(WAN)連接到了運(yùn)行 Windows 操作系統(tǒng)的工業(yè)可編程邏輯控制器上。

　　即使你實(shí)施了一定的 IoT 安全措施，你所連接的小工具也可能成為犯罪分子攻擊的媒介。去年秋天，互聯(lián)網(wǎng) DNS 供應(yīng)商 Dyn 遭受到一次網(wǎng)絡(luò)攻擊，這次攻擊打亂了人們對公共網(wǎng)站的訪問。攻擊者能夠利用的聯(lián)網(wǎng)設(shè)備非常之多，甚至包括 DVR、相機(jī)等。

　　確保物聯(lián)網(wǎng)安全

　　確保物聯(lián)網(wǎng)設(shè)備安全是一件非常棘手的事。由于物聯(lián)網(wǎng)設(shè)備的形狀、尺寸和功能通常會大相徑庭，因此傳統(tǒng)的端點(diǎn)安全模型顯得有些不切實(shí)際。

　　最重要的是，就其本質(zhì)而言，物聯(lián)網(wǎng)設(shè)備在電源、性能和功能方面都比較受限，許多設(shè)備使用的是定制的、非標(biāo)準(zhǔn)的操作系統(tǒng)，例如 NANIX —— Linux 的一個早期可穿戴設(shè)備的版本。

　　由于有如此多的資源受限的設(shè)備，網(wǎng)絡(luò)管理員幾乎不可能知道所有設(shè)備的運(yùn)行情況。此外，還有一些情況甚至更復(fù)雜 —— 許多 IoT 設(shè)備具有非常長的生命周期卻幾乎沒有任何安全機(jī)制，例如商業(yè)或工業(yè)中的溫度傳感器。

　　此外，由于原始的設(shè)計(jì)不夠完善，或者由于資源有限(例如存儲空間和處理能力)，許多 IoT 設(shè)備打補(bǔ)丁或者升級非常不方便。

　　最后，由于許多設(shè)備使用的是非標(biāo)準(zhǔn)的或者歷史遺留的通信協(xié)議(例如 M2M)，它們很難被大多數(shù)安全設(shè)備識別。

　　物聯(lián)網(wǎng)安全八大關(guān)鍵技術(shù)

　　

 

　　圖 2 側(cè)信道分析(例如差分電源分析 DPA 或者差分電磁分析 DEMA)用于從未經(jīng)保護(hù)的處理器或者 FPGA 之中提取加密密鑰。

　　由于物聯(lián)網(wǎng)安全的挑戰(zhàn)不斷加大，因此需要技術(shù)和生產(chǎn)同時來解決這些問題。下面列舉了八個提升 IoT 安全性的關(guān)鍵技術(shù)：

　　網(wǎng)絡(luò)安全：IoT 網(wǎng)絡(luò)現(xiàn)在以無線網(wǎng)絡(luò)為主。在 2015 年，無線網(wǎng)絡(luò)的流量已經(jīng)超過了全球有線網(wǎng)絡(luò)的流量。由于新生的 RF 和無線通信協(xié)議和標(biāo)準(zhǔn)的出現(xiàn)，這使得 IoT 設(shè)備面臨著比傳統(tǒng)有限網(wǎng)絡(luò)更具挑戰(zhàn)性的安全問題。

　　身份授權(quán)：IoT 設(shè)備必須由所有合法用戶進(jìn)行身份驗(yàn)證。實(shí)現(xiàn)這種認(rèn)證的方法包括靜態(tài)口令、雙因素身份認(rèn)證、生物認(rèn)證和數(shù)字證書。物聯(lián)網(wǎng)的獨(dú)特之處在于設(shè)備(例如嵌入式傳感器)需要驗(yàn)證其他設(shè)備。

　　加密：加密主要用于防止對數(shù)據(jù)和設(shè)備的未經(jīng)授權(quán)訪問。這一點(diǎn)估計(jì)有點(diǎn)困難，因?yàn)?IoT 設(shè)備以及硬件配置是各種各樣的。一個完整的安全管理過程必須包括加密。

　　安全側(cè)信道攻擊：即使有足夠的加密和認(rèn)證，IoT 設(shè)備也還可能面臨另一個威脅，即側(cè)信道攻擊。這種攻擊的重點(diǎn)不在于信息的傳輸工程，而在于信息的呈現(xiàn)方式。側(cè)信道攻擊(SCA)會搜集設(shè)備的一些可操作性特性，例如執(zhí)行時間、電源消耗、恢復(fù)密鑰時的電磁輻射等，以進(jìn)一步獲取其它的價值(圖 2)。

　　安全分析和威脅預(yù)測：除了監(jiān)視和控制與安全有關(guān)的數(shù)據(jù)，還必須預(yù)測未來的威脅。必須對傳統(tǒng)的方法進(jìn)行改進(jìn)，尋找在既定策略之外的其它方案。預(yù)測需要新的算法和人工智能的應(yīng)用來訪問非傳統(tǒng)攻擊策略。

　　接口保護(hù)：大多數(shù)硬件和軟件設(shè)計(jì)人員通過應(yīng)用程序編程接口(API)來訪問設(shè)備，這些接口需要對需要交換數(shù)據(jù)(希望加密)的設(shè)備進(jìn)行驗(yàn)證和授權(quán)的能力。只有經(jīng)過授權(quán)，開發(fā)者和應(yīng)用程序才能在這些設(shè)備之間進(jìn)行通信。

　　交付機(jī)制：需要對設(shè)備持續(xù)得更新、打補(bǔ)丁，以應(yīng)對不斷變化的網(wǎng)絡(luò)攻擊。這涉及一些修復(fù)漏洞的專業(yè)知識，尤其是修復(fù)關(guān)鍵軟件漏洞的知識。

　　系統(tǒng)開發(fā)：IoT 安全需要在網(wǎng)絡(luò)設(shè)計(jì)中采用端到端的方法。此外，安全應(yīng)該至始至終貫穿在整個產(chǎn)品的開發(fā)生命周期中，但是如果產(chǎn)品只是傳感器，這就會變得略微困難。對于大多數(shù)設(shè)計(jì)者而言，安全只是一個事后的想法，是在產(chǎn)品實(shí)現(xiàn)(而不是設(shè)計(jì))完成后的一個想法。事實(shí)上，硬件和軟件設(shè)計(jì)都需要將安全考慮在整個系統(tǒng)當(dāng)中。

　　總結(jié)

 

　　由于 IoT 設(shè)備的快速增長以及這些設(shè)備之間無線連接所帶來的挑戰(zhàn)，產(chǎn)品設(shè)計(jì)者必須重視網(wǎng)絡(luò)安全問題。這里介紹的八個關(guān)鍵的 IoT 安全技術(shù)是傳統(tǒng)方法與最新方法的結(jié)合，是與工具的結(jié)合，最終以確保 IoT 的真正安全。