物联网安全综述报告

物联网安全综述报告

文章目录

• 物联网安全综述报告
• 1. 物联网安全概述
• 2. 物联网安全层次及其需求分析
• 2.1 感知层概述及需求分析
• 2.2 传输层概述及需求分析
• 2.3 云服务层概述及需求分析
• 2.4 应用层概述及需求分析
• 3. 物联网安全特征及关键技术
• 3.1 物联网安全特征
• 3.2 物联网安全关键技术
• 4. 物联网安全发展趋势
• 5. 物联网安全技术探索
• 5.1 去中心化认证
• 5.2 大数据安全分析
• 5.3 轻量化防御技术
• 6. 参考文献

1. 物联网安全概述

随着“互联网 +”时代的到来，物联网发展迅猛，正在逐渐渗透到生活的各个领域之中， 物联网设备规模呈现爆发性增加趋势，万物互联时代正在到来，物联网安全的重要地位也在物联网快速的发展中越发凸显。物联网根据业务形态可分为：工业控制物联网、车载物联网、智能家居物联网等三个部分，且不一样的业务形态又对于安全具备不一样的业务需求：

• 工业物联网：主要涉及到国家安全、再加上目前工业控制网络基本是明文协议很容易遭受攻击，全需求基本是传统安全的思路。
• 车联网：涉及到驾车人生命安全，安全需求集中在车载核心物联网硬件安全上。
• 智能家居：涉及到我的家庭隐私安全，安全需求更多的是对于隐私的保护上。

根据惠普安全研究院调查的10个最流行的物联网智能设备后发现几乎全部设备都存在高危漏洞，一些关键数据以下：

80%的IOT设备存在隐私泄露或滥用风险；

80%的IOT设备容许使用弱密码；

70%的IOT设备与互联网或局域网的通信没有加密；

60%的IOT设备的web 界面存在安全漏洞；

60%的IOT设备下载软件更新时没有使用加密；

物联网在给咱们带来便利的同时，物联网的设备、网络、应用等也在面临着严峻的安全威胁，例如：

1. 2015年，两名网络安全专家经过中间人攻击的方式，对高速公路上的吉普车实现了远程控制（例如，控制空调、收音机、挡风玻璃刮水器和制动器等）。此次袭击展现了中间人攻击的危害性，也致使厂商召回了140万辆汽车。；
2. “水滴直播”、“海康威视”事件中的摄像头遭到入侵而被偷窥；
3. 美国制造零日漏洞病毒，利用 “震网”攻入伊朗核电站，破坏伊朗核实施计划等；
4. 2015年，英国的网络供应商Talk Talk遭受几个网络安全漏洞的攻击，致使未经加密存储的客户数据暴露在云端。黑客可以轻松访问和窃取数百万客户的信用卡和银行详细信息。

物联网由于其具备开放性、多源异构性、泛在性等特性，因此物联网的安全关系到我的、家庭、社会、乃至国家的安全，种种安全威胁的出现，也在不断的提醒着咱们：万物互联，安全先行。

2. 物联网安全层次及其需求分析

物联网的安全层次可分为：感知层（设备层）、网络层（传输层）、平台层（云服务层）和应用层。（每一个层次可能名字会有所不一样，可是基本的功能和职责范围大体相同）。如图所示：

图2-1 物联网安全架构图

2.1 感知层概述及需求分析

感知层又称为设备层，在物联网中主要负责对信息的采集、识别和控制，由感知设备和网关组成。主要的感知设备包括：RFID装置、各种传感器、图像捕捉装置、GPS等。

感知层所面临的安全威胁主要包括如下几个方面：

（1）操做系统或者软件过期，系统漏洞没法及时的修复。

（2）感知设备存在于户外、且分散安装，容易遭到物理攻击，被篡改和仿冒致使安全性丢失。

（3）接入在物联网中的大量的感知设备的标识、识别、认证和控制问题。

（4）隐私的泄露，RFID标签、二维码等的嵌入，使物联网接入的用户不受控制地被扫描、追踪和定位，极大可能的形成用户的隐私信息的泄露。

loT中对于感知层的安全设计具备如下的需求：

（1）物理防御：须要保护终端的失窃和从物理攻击上对于感知设备进行复制和篡改。另外，确保设备在被突破后其中所有与身份、认证以及帐户信息相关的数据都被擦除，这将使得相关信息不会被攻击者利用；

（2）节点认证：终端节点的接入，须要进项进项验证，防止非法节点或者被篡改后的节点接入；

（3）机密性：终端所存储的数据或者所须要传输的数据都须要进行加密，由于目前大多数的传感网络内部是不须要认证和进行密钥管理的；

（4）设备智能化：设备必须具备鲁棒性，而且可以在有限的支持下进行现场操做，且能边缘处理，意味着敏感信息不须要上传到云端，所以在设备层处理数据有助于强化整个网络。

2.2 传输层概述及需求分析

传输层又称为网络层，是链接感知层和应用层的信息传递网络，即安全地发送/接收数据的媒介。传输层的主要功能是将由感知层采集的数据传递出去。主要包含的通讯的技术有：短距离的通讯有Wi-Fi、RFID、蓝牙等；长距离的主要有：互联网、移动通讯网和广域网等。

由于物联网的传输层是一个多网络重合的叠加型开放性网络，因此其具备比通常的网络更加严重的安全问题：

（1） 对服务器所进行的DOS攻击、DDOS攻击；

（2） 对网络通讯过程进行劫持、重放、篡改等中间人攻击；

（3） 跨域网络攻击；

（4） 封闭的物联网应用/协议没法被安全设备识别，被篡改后没法及时发现；

loT中对于传输层的安全设计具备如下的需求：

（1）数据机密性：须要保证数据的机密性，从而确保在传输过程当中数据或信息的不泄露；

（2）数据完整性：须要保证数据在整个传输过程当中的完整性，从而确保数据不会被篡改，或者可以及时感知或分 辨被篡改的数据；

（3）DDOS、DOS攻击的检测与预防：DDOS攻击为物联网中较为常见的攻击方式，要防止非法用户对于传感网络中较为脆弱的节点发动的DDOS攻击，从而避免大规模的终端数据的拥塞。

（4）数据的可用性：要确保通讯网络中的数据和信息在任什么时候候都能提供给合法的用户。

2.3 云服务层概述及需求分析

云服务层又称为平台层，更具功能又可划分为：终端管理平台、链接管理平台、应用开发平台、和业务分析平台。主要的功能是将从感知层获取到的数据进行分析和处理，并进行控制和决策，同时将数据转换为不一样的格式，以便于数据的多平台共享。

其所主要面临的安全问题有：

（1）平台所管理的设备分散、容易形成设备的丢失以及难以维护等；

（2）新平台自身的漏洞和API开放等引入新的风险；

（3）越权访问致使隐私数据和安全凭证等泄露；

（4）平台遭遇DDOS攻击以及漏洞扫面的风险极大；

loT中对于云服务层的安全设计具备如下的需求：

（1）物理硬件环境的安全：为了保证整个平台的平稳运行，咱们须要保证整个云计算、云储存的环境安全和设备设施的可靠性。

（2）系统的稳定性：主要是指在遭到系统异常时，系统是否具备及时处理、恢复或者隔离问题服务的灾难应急机制。

（3）数据的安全：这里的数据安全更多的是指在数据的传输交互过程当中数据的完整性、保密性和不可抵赖性。由于云服务层无时无刻都在跟数据进行"打交道"，因此数据的安全时相当重要的。

（4）API安全：由于云服务层须要对外提供相应的API服务，因此保证API的安全，防止非法访问和非法数据请求是相当重要的，不然将极大的消耗数据库的资源。

（5）设备的鉴别和验证：须要具备可靠的密钥管理机制，从而来实现和支持设备接入过程当中安全传输的能力，并可以阻断异常的接入。

（6）全局的日志记录：须要具备全局的日志的记录能力，让系统的异常可以完整的进行进行，以便后面的系统升级和维护。

2.4 应用层概述及需求分析

应用层是综合的或有个体特性的具体业务层。由于应用层是直接面向于用户，接触到的也是用户的隐私数据，因此也是风险最高的层级。

应用层所面临的安全威胁有：

（1）如何根据不一样的权限对同一数据进行筛选和处理；

（2）实现对于数据的保护和验证；

（3）如何解决信息泄露后的追踪问题；

（4）恶意代码，或者应用程序自己所具备的安全问题；

loT中对于应用层的安全设计具备如下的需求：

（1）认证能力：须要可以验证用户的合法性，防止非法用户假冒合法用户用的身份进行非法访问，同时，须要防止合法用户对于未受权业务的访问；

（2）隐私保护：保护用户的隐私不泄露，且具备泄漏后的追踪能力；

（3）密钥的安全性：须要具备一套完整的密钥管理机制来实现对于密钥的管理，从而代替用户名/密码的方式；

（4）数据销毁：可以具备必定的数据销毁能力，是在特殊状况下数据的销毁。

（5）知识产权的保护能力：由于应用层是直接对接与用户，因此须要具备必定的抗反编译的能力，从而来实现知识产权的保护。

3. 物联网安全特征及关键技术

3.1 物联网安全特征

咱们从上面关于物联网安全层次的分析中能够看出，物联网的从信息的采集、汇聚、传输、决策、控制整个过程当中都面临了大量的安全问题，这些安全问题都具备如下几个方面的特征：

（1）多源异构性及智能化不足：在物联网的感知层中，感知节点存在多源异构，各个厂商提升和使用的协议都存在必定的差别，没有特定的标准，致使没法进行统一的安全设计。同时，感知设备的功能简单，没法进行复杂的安全保护工做。

（2）核心网络的传输和数据的安全：在物联网网络中，核心网络具备必定的相对完整的保护机制，可是物联网节点以集群的方式存在，且数量庞大，各个节点之间的安全就没法保障，且当大量数据传回中心节点时，容易形成网络拥塞，从而形成拒绝服务的状况。

3.2 物联网安全关键技术

物联网做为互联网的延伸，融合了多种网络的特色，物联网安全天然就会涉及到各个网络的不一样层次，在这些网络中，已经应用了多种与安全相关的技术，下面是关于这些安全技术的一些梳理：

（1）数据处理与安全：物联网除了面临数据采集的安全外，还须要面对信息的传输过程的私密性以及网络的可靠、可信和安全。物联网可否大规模的应用很大程度上取决因而都可以保障用户数据和隐私的安全；

（2）密钥管理机制：密钥系统是安全的基础，是实现感知信息隐私保护的手段之一；

（3）安全路由协议：物联网的路由须要通过多类路由，因此主要面临的问题就是多协议路由的融合问题，以及传感网络的安全路由；

（4）认证与访问控制：认证是物联网安全的第一道防线，主要是证实“我是我”的问题，可以有效的防止假装类用户。同时，对于消息的认证可以有效的确保信息的安全有效。同时访问控制是对合法用户的非法请求的控制，可以有效的减小隐私的泄露。

（5）入侵检测和容错机制：物联网系统遭到入侵有时是不可避免的，可是须要有完善的容错机制，确保可以在入侵或者非法攻击发生时，可以及时的隔离问题系统和恢复正常的功能。

（6）安全分析和交付机制：除了可以防止现有可见的安全威胁外，物联网系统应该可以预测将来的威胁，同时可以根据出现的问题实现对设备的持续的更新和打补丁。

4. 物联网安全发展趋势

随着物联网迅猛发展的同时，物联网安全也成为了最大的痛点。在物联网安全时间频发的背后，也证实了在物联网安全领域存在着巨大的机遇。根据调查研究公司MarketsandMarkets预计，2020年全球的物联网安全时候出那个将从2015年的68.9亿美圆增加至289亿美圆。目前物联网安全具备如下几大趋势：

（1）物联网勒索软件和“流氓软件”将愈来愈广泛：黑客利用网络摄像头这样的物联网设备，将流量导入一个携带流氓软件的网址，同时命令软件对用户进行勒索，让用书赎回被加密的泄露的数据。

（2）物联网攻击将目标瞄准数字虚拟货币：虚拟货币由于其的私密性和不可追溯性，近年来市值的不断飙升，天然物联网的攻击者们也不会放过这一巨大的市场，目前已经发现了物联网僵尸网络挖矿的状况剧增，致使黑客甚至利用视频摄像头进行比特币挖矿。

（3）迎来量子计算时代，安全问题应该获得更加的重视：今年全球软件企业的量子计算竞赛更趋白热化。短短几个月内，英特尔公司就造出了包含 17 个量子位的全新芯片，并且已经交付测试；微软公司也详细展现了用于开发量子程序的新型编程语言；IBM 公司则发布了50个量子位的量子电脑原型。Louis Parks是物联网安全软件公司 SecureRF 的首席执行官，他认为，在这些科技进步影响下，量子计算可能会在十年内实现商业化，化解量子计算可能存在的安全威胁显得更为紧迫。

（4）大规模入侵将被“微型入侵”替代：“微型入侵”与大规模或者“综合性攻击”不一样的是，它瞄准的是物联网的弱点，可是规模较小，能逃过目前现有的安全监控。它们可以顺应环境而变，进行从新自由的组合，造成新的攻击，例如： IoTroop。

（5）物联网安全将更加的自动化和智能化：当物联网的规模明显扩大，覆盖到了成千上万台设备级别时，可能就难以作好网络和收集数据的管理工做。物联网安全的自动化和智能化能够监测不规律的流量模式，由此可能帮助网络管理者和网络安全人员处理异常状况的发生。

（6）对感知设备的攻击将变得无处不在：物联网算是传感器网络的一个衍生产品，所以互联网传感器自己就存在潜在安全漏洞。黑客可能会尝试向传感器发送一些人体没法感知的能量，来对传感器设备进行攻击。

（7）隐私保护将成为物联网安全的重要组成部分：一方面物联网平台须要根据用户的数据提供更加便捷、智能的服务，另外一方面，对于用户隐私数据的保护又成为了重中之重。

5. 物联网安全技术探索

随着物联网安全的快速发展，发起攻击的方式愈来愈多样化，因此新技术在应用在物联网安全中心显得愈发的重要。

5.1 去中心化认证

传统的中心化系统中，信任机制比较容易创建，存在一个可信的第三方来管理全部的设备的身份信息。可是物联网环境中设备众多，将来可能会达到百亿级别，这会对可信第三方形成很大的压力。区块链解决的核心问题是在信息不对称、不肯定的环境下，如何创建知足经济活动赖以发生、发展的“信任”生态体系。在物联网环境中，全部平常家居物件都能自发、自动地与其它物件、或外界世界进行互动，可是必须解决物联网设备之间的信任问题。

5.2 大数据安全分析

利用大数据分析平台对物联网安全漏洞进行挖掘。挖掘主要关注两个方面，一个是网络协议自己的漏洞挖掘，一个是嵌入式操做系统的漏洞挖掘。分别对应网络层和感知层，应用层大多采用云平台，属于云安全的范畴，可应用已有的云安全防御措施。在如今的物联网行业中，各种网络协议被普遍使用，同时这些网络协议也带来了大量的安全问题。须要利用一些漏洞挖掘技术对物联网中的协议进行漏洞挖掘，先于攻击者发现并及时修补漏洞，有效减小来自黑客的威胁，提高系统的安全性。

5.3 轻量化防御技术

对于一些微型的入侵攻击，庞大的安全系统难以察觉，而且短期内作出反应，这时就须要要一些相对轻量化的安全机制，可以作到对于入侵的快速反应，避免损失的扩大。同时轻量化的防御技术，可以更好的兼容不一样物联网产品生产商的协议冲突。

6. 参考文献

1. IBM,《IBM 观点：物联网安全》,2015
2. 绿盟科技，《2017 物联网安全研究报告》,2017
3. 魅影儿，《物联网安全风险威胁报告》，2017
4. George Cora，《四大层次、六大原则解析物联网安全架构》，2017
5. 武传坤，《物联网安全架构初探》，2010
6. 弈心逐梦，《物联网安全的安全需求分析》, 2017
7. 杨庚，《南京邮电大学学报（天然科学版）：物联网安全特征与关键技术》，2010
8. Brian Buntz，《2018年 IoT 安全八大趋势》，2017
9. 优软众创平台，《物联网安全八大关键技术》，2017
10. 《中国区块链技术和应用发展白皮书（2016）
11. 电子发烧友论坛，《2017年物联网安全的六大趋势以及对策》，2017