雷鋒網(wǎng)編者按：物聯(lián)網(wǎng)安全產(chǎn)品的核心在于技術(shù)，物聯(lián)網(wǎng)的安全是互聯(lián)網(wǎng)安全的延伸，我們可以利用互聯(lián)網(wǎng)已有的安全技術(shù)，結(jié)合物聯(lián)網(wǎng)安全問題的實(shí)際需要，改進(jìn)已有技術(shù)，將改進(jìn)后的技術(shù)應(yīng)用到物聯(lián)網(wǎng)中，從而解決物聯(lián)網(wǎng)的安全問題。如：互聯(lián)網(wǎng)環(huán)境中的防火墻技術(shù)，主要是對TCP/IP協(xié)議數(shù)據(jù)包進(jìn)行解析，而在物聯(lián)網(wǎng)環(huán)境中，防火墻還需要對物聯(lián)網(wǎng)中的特定協(xié)議進(jìn)行解析，如工控環(huán)境中的Modbus、PROFIBUS等協(xié)議。

此外，物聯(lián)網(wǎng)還有其獨(dú)特性，如終端設(shè)備眾多，設(shè)備之間缺乏信任的問題，互聯(lián)網(wǎng)中現(xiàn)有的技術(shù)難以解決此類問題，所以我們還需要探索一些新的技術(shù)來解決物聯(lián)網(wǎng)中特有的新問題。

下述文章節(jié)選自綠盟科技技術(shù)刊《物聯(lián)網(wǎng)安全綜述》，雷鋒網(wǎng)已獲授權(quán)發(fā)布。

由于物聯(lián)網(wǎng)將許多原本與網(wǎng)絡(luò)隔離的設(shè)備連接到網(wǎng)絡(luò)中，大大增加了設(shè)備遭受攻擊的風(fēng)險。同時物聯(lián)網(wǎng)中的設(shè)備資源受限，很多設(shè)備在設(shè)計(jì)時較少考慮安全問題。還有物聯(lián)網(wǎng)中協(xié)議眾多，沒有統(tǒng)一標(biāo)準(zhǔn)等等這些安全隱患都可能被黑客利用，造成極大的安全問題，所以，我們需要利用一些漏洞挖掘技術(shù)對物聯(lián)網(wǎng)中的服務(wù)平臺，協(xié)議、嵌入式操作系統(tǒng)進(jìn)行漏洞挖掘，先于攻擊者發(fā)現(xiàn)并及時修補(bǔ)漏洞，有效減少來自黑客的威脅，提升系統(tǒng)的安全性。因此主動發(fā)掘并分析系統(tǒng)安全漏洞，對物聯(lián)網(wǎng)安全具有重要的意義。

通過對物聯(lián)網(wǎng)安全需求和對策的分析，我們總結(jié)出以下需要重點(diǎn)關(guān)注的技術(shù)，下面分別從已有技術(shù)在物聯(lián)網(wǎng)環(huán)境中的應(yīng)用、新技術(shù)的探索和物聯(lián)網(wǎng)相關(guān)設(shè)備、平臺、系統(tǒng)的漏洞挖掘和安全設(shè)計(jì)三個方面介紹物聯(lián)網(wǎng)安全技術(shù)研究的一些思路。

一、已有技術(shù)在物聯(lián)網(wǎng)環(huán)境中的應(yīng)用

 

 物聯(lián)網(wǎng)安全相關(guān)技術(shù)

1.異常行為檢測

異常行為檢測對應(yīng)的物聯(lián)網(wǎng)安全需求為攻擊檢測和防御、日志和審計(jì)。

文章前面已經(jīng)提到過，異常行為檢測的方法通常有兩個：一個是建立正常行為的基線，從而發(fā)現(xiàn)異常行為，另一種是對日志文件進(jìn)行總結(jié)分析，發(fā)現(xiàn)異常行為。

物聯(lián)網(wǎng)與互聯(lián)網(wǎng)的異常行為檢測技術(shù)也有一些區(qū)別，如利用大數(shù)據(jù)分析技術(shù)，對全流量進(jìn)行分析，進(jìn)行異常行為檢測，在互聯(lián)網(wǎng)環(huán)境中，這種方法主要是對 TCP/IP 協(xié)議的流量進(jìn)行檢測和分析，而在物聯(lián)網(wǎng)環(huán)境中，還需要對其它的協(xié)議流量進(jìn)行分析，如工控環(huán)境中的 Modbus、PROFIBUS 等協(xié)議流量。

此外，物聯(lián)網(wǎng)的異常行為檢測也會應(yīng)用到新的應(yīng)用領(lǐng)域中，如在車聯(lián)網(wǎng)環(huán)境中對汽車進(jìn)行異常行為檢測。360研究員李均利用機(jī)器學(xué)習(xí)的方法，為汽車的不同數(shù)據(jù)之間的相關(guān)性建立了一個模型，這個模型包含了諸多規(guī)則。依靠對行為模式、數(shù)據(jù)相關(guān)性和數(shù)據(jù)的協(xié)調(diào)性的分析對黑客入侵進(jìn)行檢測。

2. 代碼簽名

對應(yīng)的物聯(lián)網(wǎng)安全需求：設(shè)備保護(hù)和資產(chǎn)管理、攻擊檢測和防御。

通過代碼簽名可以保護(hù)設(shè)備不受攻擊，保證所有運(yùn)行的代碼都是被授權(quán)的，保證惡意代碼在一個正常代碼被加載之后不會覆蓋正常代碼，保證代碼在簽名之后不會被篡改。相較于互聯(lián)網(wǎng)，物聯(lián)網(wǎng)中的代碼簽名技術(shù)不僅可以應(yīng)用在應(yīng)用級別，還可以應(yīng)用在固件級別，所有的重要設(shè)備，包括傳感器、交換機(jī)等都要保證所有在上面運(yùn)行的代碼都經(jīng)過簽名，沒有被簽名的代碼不能運(yùn)行。

由于物聯(lián)網(wǎng)中的一些嵌入式設(shè)備資源受限，其處理器能力，通信能力，存儲空間有限，所以需要建立一套適合物聯(lián)網(wǎng)自身特點(diǎn)的、綜合考慮安全性、效率和性能的代碼簽名機(jī)制。

3.白盒密碼

對應(yīng)的物聯(lián)網(wǎng)安全需求：設(shè)備保護(hù)和資產(chǎn)管理。

物聯(lián)網(wǎng)感知設(shè)備的系統(tǒng)安全、數(shù)據(jù)訪問和信息通信通常都需要加密保護(hù)。但由于感知設(shè)備常常散布在無人區(qū)域或者不安全的物理環(huán)境中，這些節(jié)點(diǎn)很可能會遭到物理上的破壞或者俘獲。如果攻擊者俘獲了一個節(jié)點(diǎn)設(shè)備，就可以對設(shè)備進(jìn)行白盒攻擊。傳統(tǒng)的密碼算法在白盒攻擊環(huán)境中不能安全使用，甚至顯得極度脆弱，密鑰成為任何使用密碼技術(shù)實(shí)施保護(hù)系統(tǒng)的單一故障點(diǎn)。在當(dāng)前的攻擊手段中，很容易通過對二進(jìn)制文件的反匯編、靜態(tài)分析，對運(yùn)行環(huán)境的控制結(jié)合使用控制 CPU 斷點(diǎn)、觀測寄存器、內(nèi)存分析等來獲取密碼。在已有的案例中我們看到，在未受保護(hù)的軟件中，密鑰提取攻擊通常可以在幾個小時內(nèi)成功提取以文字?jǐn)?shù)據(jù)陣列方式存放的密鑰代碼。

白盒密碼算法是一種新的密碼算法， 它與傳統(tǒng)密碼算法的不同點(diǎn)是能夠抵抗白盒攻擊環(huán)境下的攻擊。白盒密碼使得密鑰信息可充分隱藏、防止窺探，因此確保了在感知設(shè)備中安全地應(yīng)用原有密碼系統(tǒng)，極大提升了安全性。

白盒密碼作為一個新興的安全應(yīng)用技術(shù)，能普遍應(yīng)用在各個行業(yè)領(lǐng)域、應(yīng)用在各個技術(shù)實(shí)現(xiàn)層面。例如，HCE 云支付、車聯(lián)網(wǎng)，在端點(diǎn)（手機(jī)終端、車載終端）層面實(shí)現(xiàn)密鑰與敏感數(shù)據(jù)的安全保護(hù)；在云計(jì)算上，可對云上的軟件使用白盒密碼，保證在云這個共享資源池上，進(jìn)行加解密運(yùn)算時用戶需要保密的信息不會被泄露。

4.over-the air （OTA）

對應(yīng)的物聯(lián)網(wǎng)安全需求：設(shè)備保護(hù)和資產(chǎn)管理。

空中下載技術(shù)（over-the air，OTA），最初是運(yùn)營商通過移動通信網(wǎng)絡(luò)（GSM或者CDMA）的空中接口對SIM卡數(shù)據(jù)以及應(yīng)用進(jìn)行遠(yuǎn)程管理的技術(shù)，后來逐漸擴(kuò)展到固件升級，軟件安全等方面。

隨著技術(shù)的發(fā)展，物聯(lián)網(wǎng)設(shè)備中總會出現(xiàn)脆弱性，所以設(shè)備在銷售之后，需要持續(xù)的打補(bǔ)丁。而物聯(lián)網(wǎng)的設(shè)備往往數(shù)量巨大，如果花費(fèi)人力去人工更新每個設(shè)備是不現(xiàn)實(shí)的，所以O(shè)TA技術(shù)在設(shè)備銷售之前應(yīng)該被植入到物聯(lián)網(wǎng)設(shè)備之中。

5.深度包檢測 （DPI） 技術(shù)

對應(yīng)的物聯(lián)網(wǎng)安全需求：攻擊檢測和防御。

互聯(lián)網(wǎng)環(huán)境中通常使用防火墻來監(jiān)視網(wǎng)絡(luò)上的安全風(fēng)險，但是這樣的防火墻針對的是TCP/IP協(xié)議，而物聯(lián)網(wǎng)環(huán)境中的網(wǎng)絡(luò)協(xié)議通常不同于傳統(tǒng)的TCP/IP協(xié)議，如工控中的Modbus協(xié)議等，這使得控制整個網(wǎng)絡(luò)風(fēng)險的能力大打折扣。因此，需要開發(fā)能夠識別特定網(wǎng)絡(luò)協(xié)議的防火墻，與之相對應(yīng)的技術(shù)則為深度包檢測技術(shù)。

深度包檢測技術(shù)（deep packet inspection，DPI）是一種基于應(yīng)用層的流量檢測和控制技術(shù)，當(dāng)IP數(shù)據(jù)包、TCP或UDP數(shù)據(jù)流通過基于DPI技術(shù)的帶寬管理系統(tǒng)時，該系統(tǒng)通過深入讀取IP包載荷的內(nèi)容來對OSI七層協(xié)議中的應(yīng)用層信息進(jìn)行重組，從而得到整個應(yīng)用程序的內(nèi)容，然后按照系統(tǒng)定義的管理策略對流量進(jìn)行整形操作。

思科和羅克韋爾自動化聯(lián)手開發(fā)了一項(xiàng)符合工業(yè)安全應(yīng)用規(guī)范的深度數(shù)據(jù)包檢測 （DPI） 技術(shù)。采用 DPI 技術(shù)的工業(yè)防火墻有效擴(kuò)展了車間網(wǎng)絡(luò)情況的可見性。它支持通信模式的記錄，可在一系列安全策略的保護(hù)之下提供決策制定所需的重要信息。用戶可以記錄任意網(wǎng)絡(luò)連接或協(xié)議（比如 EtherNet/IP）中的數(shù)據(jù)，包括通信數(shù)據(jù)的來源、目標(biāo)以及相關(guān)應(yīng)用程序。

在全廠融合以太網(wǎng) （CPwE） 架構(gòu)中的工業(yè)區(qū)域和單元區(qū)域之間，采用 DPI 技術(shù)的車間應(yīng)用程序能夠指示防火墻拒絕某個控制器的固件下載。這樣可防止濫用固件，有助于保護(hù)運(yùn)營的完整性。只有授權(quán)用戶才能執(zhí)行下載操作。

6.防火墻

對應(yīng)的物聯(lián)網(wǎng)安全需求：攻擊檢測和防御。

物聯(lián)網(wǎng)環(huán)境中，存在很小并且通常很關(guān)鍵的設(shè)備接入網(wǎng)絡(luò)，這些設(shè)備由 8 位的 MCU 控制。由于資源受限，對于這些設(shè)備的安全實(shí)現(xiàn)非常有挑戰(zhàn)。這些設(shè)備通常會實(shí)現(xiàn)TCP/IP協(xié)議棧，使用 Internet 來進(jìn)行報告、配置和控制功能。由于資源和成本方面的考慮，除密碼認(rèn)證外，許多使用8位 MCU 的設(shè)備并不支持其他的安全功能。

Zilog和Icon Labs聯(lián)合推出了使用8位MCU的設(shè)備的安全解決方案。Zilog 提供 MCU，Icon Labs將Floodgate防火墻集成到MCU中，提供基于規(guī)則的過濾，SPI（Stateful Packet Inspection）和基于門限的過濾（threshold-based filtering）。防火墻控制嵌入式系統(tǒng)處理的數(shù)據(jù)包，鎖定非法登錄嘗試、拒絕服務(wù)攻擊、packet floods、端口掃描和其他常見的網(wǎng)絡(luò)威脅。

 

嵌入式防火墻

7.訪問控制

對應(yīng)的物聯(lián)網(wǎng)安全需求：認(rèn)證、訪問控制管理。

傳統(tǒng)企業(yè)網(wǎng)絡(luò)架構(gòu)通過建立一個固定的邊界使內(nèi)部網(wǎng)絡(luò)與外部世界分離，這個邊界包含一系列的防火墻策略來阻止外部用戶的進(jìn)入，但是允許內(nèi)部用戶對外的訪問。由于封鎖了外部對于內(nèi)部應(yīng)用和設(shè)施的可見性和可訪問性，傳統(tǒng)的固定邊界確保了內(nèi)部服務(wù)對于外部威脅的安全。企業(yè)網(wǎng)絡(luò)架構(gòu)中的固定的邊界模型正在變得過時，BYOD和釣魚攻擊提供了對于內(nèi)部網(wǎng)絡(luò)的不可信訪問，以及SaaS和IaaS正在改變邊界的位置。

軟件定義邊界（Software Defined Perimeter，SDP）使得應(yīng)用所有者部署的邊界可以保持傳統(tǒng)模型中對于外部用戶的不可見性和不可訪問性，該邊界可以部署在任意的位置，如網(wǎng)絡(luò)上、云中、托管中心中、私營企業(yè)網(wǎng)絡(luò)上，或者穿過這些位置的一些全部。

SDP用應(yīng)用所有者可控的邏輯組件取代了物理設(shè)備，只有在設(shè)備證實(shí)和身份認(rèn)證之后，SDP才提供對于應(yīng)用基礎(chǔ)設(shè)施的訪問。

大量設(shè)備連接到Internet中，管理這些設(shè)備、從這些設(shè)備中提取信息的后端應(yīng)用通常很關(guān)鍵，扮演了隱私或敏感數(shù)據(jù)的監(jiān)護(hù)人的角色。SDP可以被用來隱藏服務(wù)器和服務(wù)器與設(shè)備的交互，從而最大化地保障安全和運(yùn)行時間

二、新技術(shù)的探索

1.區(qū)塊鏈

對應(yīng)的物聯(lián)網(wǎng)安全需求：認(rèn)證

區(qū)塊鏈（Blockchain ，BC）是指通過去中心化和去信任的方式集體維護(hù)一個可靠數(shù)據(jù)庫的技術(shù)方案。該技術(shù)方案主要讓參與系統(tǒng)中的任意多個節(jié)點(diǎn)，通過一串使用密碼學(xué)方法相關(guān)聯(lián)產(chǎn)生的數(shù)據(jù)塊（block），每個數(shù)據(jù)塊中包含了一定時間內(nèi)的系統(tǒng)全部信息交流數(shù)據(jù)，并且生成數(shù)據(jù)指紋用于驗(yàn)證其信息的有效性和鏈接（chain）下一個數(shù)據(jù)庫塊。結(jié)合區(qū)塊鏈的定義，需要有這幾個特征：去中心化（Decentralized）、去信任（Trustless）、集體維護(hù)（Collectively maintain）、可靠數(shù)據(jù)庫（Reliable Database）、開源性、匿名性。區(qū)塊鏈解決的核心問題不是“數(shù)字貨幣”，而是在信息不對稱、不確定的環(huán)境下，如何建立滿足經(jīng)濟(jì)活動賴以發(fā)生、發(fā)展的“信任”生態(tài)體系。這在物聯(lián)網(wǎng)上是一個道理，所有日常家居物件都能自發(fā)、自動地與其它物件、或外界世界進(jìn)行互動，但是必須解決物聯(lián)網(wǎng)設(shè)備之間的信任問題。

越來越多的侵犯用戶隱私的報告說明第三方收集和控制大量的個人數(shù)據(jù)的模式需要被改變。IBM認(rèn)為物聯(lián)網(wǎng)設(shè)備的運(yùn)行環(huán)境應(yīng)該是去中心化的，它們彼此相連，形成分布式云網(wǎng)絡(luò)。而要打造這樣一種分布式云網(wǎng)絡(luò)，就要解決節(jié)點(diǎn)信任問題——在傳統(tǒng)的中心化系統(tǒng)中，信任機(jī)制比較容易建立，存在一個可信的第三方來管理所有的設(shè)備的身份信息。但是物聯(lián)網(wǎng)環(huán)境中設(shè)備眾多，可能會達(dá)到百億級別，這會對可信第三方造成很大的壓力。IBM 認(rèn)為中本聰?shù)谋忍貛艆^(qū)塊鏈技術(shù)可以完滿地解決這個問題。

Guy Zyskind等人提出一種分散式的個人數(shù)據(jù)管理系統(tǒng)，來實(shí)現(xiàn)用戶數(shù)據(jù)的保護(hù)，確保用戶可以擁有并管理自己的數(shù)據(jù)。實(shí)現(xiàn)了將區(qū)塊鏈應(yīng)用于自動訪問控制管理而不需要可信第三方。與比特幣不同，系統(tǒng)交易（transaction）不是嚴(yán)格的金融交易——他們被用于攜帶指令，比如存儲、查詢和共享數(shù)據(jù)的指令。

三、物聯(lián)網(wǎng)相關(guān)設(shè)備、平臺、系統(tǒng)的漏洞挖掘和安全設(shè)計(jì)

物聯(lián)網(wǎng)相關(guān)設(shè)備、平臺、系統(tǒng)的漏洞挖掘技術(shù)，有助于發(fā)現(xiàn) 0day 漏洞和未知威脅，從而提升 IDS、防火墻等安全產(chǎn)品的檢測和防護(hù)能力。

將安全產(chǎn)品嵌入到設(shè)備之中，或者產(chǎn)品設(shè)計(jì)時采用物聯(lián)網(wǎng)設(shè)備安全框架，在物聯(lián)網(wǎng)設(shè)備生產(chǎn)之時就考慮安全問題，可以極大提升物聯(lián)網(wǎng)設(shè)備的安全性。

1.物聯(lián)網(wǎng)平臺漏洞挖掘

隨著物聯(lián)網(wǎng)的發(fā)展，將會出現(xiàn)越來越多的物聯(lián)網(wǎng)平臺。BAT 三家均已推出了智能硬件開放平臺。國外免費(fèi)的物聯(lián)網(wǎng)云平臺有 Temboo、Carriots、NearBus 和 Ubidots 。不過，目前對于物聯(lián)網(wǎng)平臺的安全性的分析還不多，相信以后物聯(lián)網(wǎng)平臺的安全性將會越來越多地吸引到人們的關(guān)注。

Samsung SmartThings 是一個智能家庭編程平臺，密歇根大學(xué)和微軟研究院的研究人員對其上的499個應(yīng)用和132個設(shè)備管理器（device handlers）進(jìn)行了靜態(tài)代碼分析（static code analysis），論文發(fā)表在S&P 2016上。主要有兩點(diǎn)發(fā)現(xiàn)，一是，雖然SmartThings實(shí)現(xiàn)了一個特權(quán)分離模型（privilege separation model），但是，有兩個固有的設(shè)計(jì)缺陷（intrinsic design flaws），可導(dǎo)致 APP 越權(quán)；二是關(guān)于SmartThings的事件子系統(tǒng)，設(shè)備與 APP 之間通過其進(jìn)行異步通信，該子系統(tǒng)并未對包含敏感信息（如lock codes）的事件提供足夠的保護(hù)。研究人員利用框架設(shè)計(jì)漏洞實(shí)現(xiàn)了四個攻擊的概念證明：修改門鎖密碼，竊取已有的門鎖密碼，禁用家庭的假期模式，觸發(fā)一次虛假的火災(zāi)告警。

2.物聯(lián)網(wǎng)協(xié)議的 0Day 漏洞主動挖掘技術(shù)

在現(xiàn)代的汽車、工控等物聯(lián)網(wǎng)行業(yè)，各種網(wǎng)絡(luò)協(xié)議被廣泛使用，這些網(wǎng)絡(luò)協(xié)議帶來了大量的安全問題。很多研究者開始針對工控等系統(tǒng)，特別是具有控制功能的網(wǎng)絡(luò)協(xié)議的安全性展開研究。研究人員在 QCon2016 的議題中提到用網(wǎng)絡(luò)協(xié)議 fuzzing 技術(shù)對 0Day 漏洞進(jìn)行挖掘。

3.物聯(lián)網(wǎng)操作系統(tǒng)漏洞挖掘

物聯(lián)網(wǎng)設(shè)備大多使用嵌入式操作系統(tǒng)，嵌入式系統(tǒng)通常內(nèi)核較小，專用性強(qiáng)，系統(tǒng)精簡，高實(shí)時性，安全在嵌入式系統(tǒng)中處于較低的位置，隨著設(shè)備逐漸接入互聯(lián)網(wǎng)，操作系統(tǒng)的安全性需要重點(diǎn)關(guān)注。

2015年， 44CON 倫敦峰會中，研究人員采用了Fuzzing框架Sulley對VxWorks系統(tǒng)的多個協(xié)議進(jìn)行了Fuzzing，挖掘到一些漏洞，并結(jié)合VxWorks的WDB RPC實(shí)現(xiàn)了一個遠(yuǎn)程調(diào)試器，進(jìn)行了相關(guān)調(diào)試分析

4.嵌入式設(shè)備安全框架

嵌入式設(shè)備眾多，而且大多在安全設(shè)計(jì)方面考慮不足。聯(lián)網(wǎng)的設(shè)備往往存在極大的潛在威脅。作為設(shè)備制造商，應(yīng)在嵌入式設(shè)備的設(shè)計(jì)過程中就將安全框架考慮進(jìn)入，對嵌入式設(shè)備進(jìn)行安全設(shè)計(jì)。

Icon Labs[5]是嵌入式設(shè)備安全廠商，提出Floodgate安全框架，用于構(gòu)建安全的嵌入式設(shè)備。Floodgate安全框架模塊既可以作為單獨(dú)的產(chǎn)品使用，也可以集成到已有的嵌入式Linux和任何RTOS中。

                                             

 Floodgate架構(gòu)

Floodgate Firewall，是一個嵌入式防火墻，提供狀態(tài)包檢測（Stateful Packet Inspection，SPI）、基于規(guī)則的過濾和基于門限的過濾來保護(hù)嵌入式設(shè)備免受來自互聯(lián)網(wǎng)的威脅。

Floodgate IDS對嵌入式Linux和RTOS設(shè)備提供保護(hù)，其能檢測出固件、配置信息和靜態(tài)數(shù)據(jù)的改變。Floodgate Secure Boot確保只有從OEM認(rèn)證的固件才允許在這臺設(shè)備上運(yùn)行。Floodgate Agent提供對于嵌入式和物聯(lián)網(wǎng)設(shè)備的態(tài)勢感知、安全事件報告、命令審計(jì)日志和安全策略管理，同時也提供與企業(yè)安全管理系統(tǒng)的集成。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。