IoT設(shè)備受到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)伴隨著設(shè)備數(shù)量的增長而不斷增加,因此在設(shè)計(jì)產(chǎn)品時(shí)就必須考慮到系統(tǒng)的安全��。
高德納咨詢公司最近的報(bào)告預(yù)測,到 2020 年���,全世界將有 200.4 億的物聯(lián)網(wǎng)設(shè)備相互連接���,且平均每天約還有 550 萬設(shè)備連接到整個網(wǎng)絡(luò)中來。此外�,到 2020 年時(shí),新增的商業(yè)設(shè)備和系統(tǒng)中將會有超過一半會包含 IoT 組件�。
這個數(shù)字非常驚人,同時(shí)也說明標(biāo)準(zhǔn) PC 的安全和反病毒方案將不能滿足將來所互聯(lián)的 IoT 設(shè)備可能遭遇的網(wǎng)絡(luò)攻擊威脅�。
最近,F(xiàn)orrester TechRadar 研究了使 IoT 嵌入式設(shè)備變得更安全的可能舉措�。該研究定義了 IoT 安全的使用情形和商業(yè)價(jià)值,并展望了 13 個最相關(guān)的����、最重要的 IoT 安全技術(shù)。除了 IoT 威脅檢測�、IoT 塊環(huán)鏈���、IoT 安全分析等比較新興的 IoT 安全技術(shù)之外,該研究還包括 IoT 授權(quán)���、IoT 加密等比較核心的技術(shù)(如圖1)����。
圖 1 Forrester Research 著重展望了 13 個最相關(guān)的�����、最重要的 IoT 安全技術(shù)
日益增長的安全威脅
最近幾年��,許多廣為人知的網(wǎng)絡(luò)攻擊已經(jīng)表明了缺乏 IoT 安全所能導(dǎo)致的威脅���,其中最著名的攻擊可能是 “Stuxnet 蠕蟲病毒” 攻擊�����。Stuxnet 蠕蟲病毒有針對性地攻擊伊朗的鈾濃縮設(shè)施的工業(yè)可編程邏輯控制器(PLC)�����。專家認(rèn)為��,Stuxnet 蠕蟲病毒至少攻擊了超過 1000 臺的離心機(jī)��,這些離心機(jī)通過廣域網(wǎng)(WAN)連接到了運(yùn)行 Windows 操作系統(tǒng)的工業(yè)可編程邏輯控制器上�。
即使你實(shí)施了一定的 IoT 安全措施���,你所連接的小工具也可能成為犯罪分子攻擊的媒介�。去年秋天���,互聯(lián)網(wǎng) DNS 供應(yīng)商 Dyn 遭受到一次網(wǎng)絡(luò)攻擊��,這次攻擊打亂了人們對公共網(wǎng)站的訪問���。攻擊者能夠利用的聯(lián)網(wǎng)設(shè)備非常之多,甚至包括 DVR����、相機(jī)等。
確保物聯(lián)網(wǎng)安全
確保物聯(lián)網(wǎng)設(shè)備安全是一件非常棘手的事�����。由于物聯(lián)網(wǎng)設(shè)備的形狀��、尺寸和功能通常會大相徑庭,因此傳統(tǒng)的端點(diǎn)安全模型顯得有些不切實(shí)際���。
最重要的是����,就其本質(zhì)而言�����,物聯(lián)網(wǎng)設(shè)備在電源���、性能和功能方面都比較受限��,許多設(shè)備使用的是定制的�、非標(biāo)準(zhǔn)的操作系統(tǒng)�,例如 NANIX —— Linux 的一個早期可穿戴設(shè)備的版本。
由于有如此多的資源受限的設(shè)備����,網(wǎng)絡(luò)管理員幾乎不可能知道所有設(shè)備的運(yùn)行情況。此外��,還有一些情況甚至更復(fù)雜 —— 許多 IoT 設(shè)備具有非常長的生命周期卻幾乎沒有任何安全機(jī)制��,例如商業(yè)或工業(yè)中的溫度傳感器。
此外����,由于原始的設(shè)計(jì)不夠完善����,或者由于資源有限(例如存儲空間和處理能力),許多 IoT 設(shè)備打補(bǔ)丁或者升級非常不方便����。
最后,由于許多設(shè)備使用的是非標(biāo)準(zhǔn)的或者歷史遺留的通信協(xié)議(例如 M2M)�����,它們很難被大多數(shù)安全設(shè)備識別����。
物聯(lián)網(wǎng)安全八大關(guān)鍵技術(shù)
圖 2 側(cè)信道分析(例如差分電源分析 DPA 或者差分電磁分析 DEMA)用于從未經(jīng)保護(hù)的處理器或者 FPGA 之中提取加密密鑰。
由于物聯(lián)網(wǎng)安全的挑戰(zhàn)不斷加大�,因此需要技術(shù)和生產(chǎn)同時(shí)來解決這些問題。下面列舉了八個提升 IoT 安全性的關(guān)鍵技術(shù):
網(wǎng)絡(luò)安全:IoT 網(wǎng)絡(luò)現(xiàn)在以無線網(wǎng)絡(luò)為主�。在 2015 年,無線網(wǎng)絡(luò)的流量已經(jīng)超過了全球有線網(wǎng)絡(luò)的流量����。由于新生的 RF 和無線通信協(xié)議和標(biāo)準(zhǔn)的出現(xiàn)����,這使得 IoT 設(shè)備面臨著比傳統(tǒng)有限網(wǎng)絡(luò)更具挑戰(zhàn)性的安全問題�����。
身份授權(quán):IoT 設(shè)備必須由所有合法用戶進(jìn)行身份驗(yàn)證�����。實(shí)現(xiàn)這種認(rèn)證的方法包括靜態(tài)口令��、雙因素身份認(rèn)證���、生物認(rèn)證和數(shù)字證書�����。物聯(lián)網(wǎng)的獨(dú)特之處在于設(shè)備(例如嵌入式傳感器)需要驗(yàn)證其他設(shè)備��。
加密:加密主要用于防止對數(shù)據(jù)和設(shè)備的未經(jīng)授權(quán)訪問�����。這一點(diǎn)估計(jì)有點(diǎn)困難���,因?yàn)?IoT 設(shè)備以及硬件配置是各種各樣的��。一個完整的安全管理過程必須包括加密。
安全側(cè)信道攻擊:即使有足夠的加密和認(rèn)證����,IoT 設(shè)備也還可能面臨另一個威脅,即側(cè)信道攻擊�。這種攻擊的重點(diǎn)不在于信息的傳輸工程,而在于信息的呈現(xiàn)方式��。側(cè)信道攻擊(SCA)會搜集設(shè)備的一些可操作性特性���,例如執(zhí)行時(shí)間���、電源消耗、恢復(fù)密鑰時(shí)的電磁輻射等���,以進(jìn)一步獲取其它的價(jià)值(圖 2)�。
安全分析和威脅預(yù)測:除了監(jiān)視和控制與安全有關(guān)的數(shù)據(jù),還必須預(yù)測未來的威脅��。必須對傳統(tǒng)的方法進(jìn)行改進(jìn)�����,尋找在既定策略之外的其它方案���。預(yù)測需要新的算法和人工智能的應(yīng)用來訪問非傳統(tǒng)攻擊策略�����。
接口保護(hù):大多數(shù)硬件和軟件設(shè)計(jì)人員通過應(yīng)用程序編程接口(API)來訪問設(shè)備��,這些接口需要對需要交換數(shù)據(jù)(希望加密)的設(shè)備進(jìn)行驗(yàn)證和授權(quán)的能力����。只有經(jīng)過授權(quán)���,開發(fā)者和應(yīng)用程序才能在這些設(shè)備之間進(jìn)行通信�����。
交付機(jī)制:需要對設(shè)備持續(xù)得更新����、打補(bǔ)丁,以應(yīng)對不斷變化的網(wǎng)絡(luò)攻擊���。這涉及一些修復(fù)漏洞的專業(yè)知識����,尤其是修復(fù)關(guān)鍵軟件漏洞的知識�����。
系統(tǒng)開發(fā):IoT 安全需要在網(wǎng)絡(luò)設(shè)計(jì)中采用端到端的方法���。此外,安全應(yīng)該至始至終貫穿在整個產(chǎn)品的開發(fā)生命周期中����,但是如果產(chǎn)品只是傳感器,這就會變得略微困難�。對于大多數(shù)設(shè)計(jì)者而言,安全只是一個事后的想法�,是在產(chǎn)品實(shí)現(xiàn)(而不是設(shè)計(jì))完成后的一個想法。事實(shí)上�,硬件和軟件設(shè)計(jì)都需要將安全考慮在整個系統(tǒng)當(dāng)中。
總結(jié)
由于 IoT 設(shè)備的快速增長以及這些設(shè)備之間無線連接所帶來的挑戰(zhàn),產(chǎn)品設(shè)計(jì)者必須重視網(wǎng)絡(luò)安全問題��。這里介紹的八個關(guān)鍵的 IoT 安全技術(shù)是傳統(tǒng)方法與最新方法的結(jié)合�,是與工具的結(jié)合,最終以確保 IoT 的真正安全����。
微信掃一掃
