見招拆招 八大物聯(lián)網(wǎng)安全關(guān)鍵技術(shù)盤點(diǎn)
IoT設(shè)備受到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)伴隨著設(shè)備數(shù)量的增長(zhǎng)而不斷增加,因此在設(shè)計(jì)產(chǎn)品時(shí)就必須考慮到系統(tǒng)的安全。
高德納咨詢公司最近的報(bào)告預(yù)測(cè),到2020年,全世界將有200.4億的物聯(lián)網(wǎng)設(shè)備相互連接,且平均每天約還有550萬(wàn)設(shè)備連接到整個(gè)網(wǎng)絡(luò)中來(lái)。此外,到2020年時(shí),新增的商業(yè)設(shè)備和系統(tǒng)中將會(huì)有超過(guò)一半會(huì)包含IoT組件。
這個(gè)數(shù)字非常驚人,同時(shí)也說(shuō)明標(biāo)準(zhǔn)PC的安全和反病毒方案將不能滿足將來(lái)所互聯(lián)的IoT設(shè)備可能遭遇的網(wǎng)絡(luò)攻擊威脅。
最近,F(xiàn)orrester TechRadar研究了使IoT嵌入式設(shè)備變得更安全的可能舉措。該研究定義了IoT安全的使用情形和商業(yè)價(jià)值,并展望了13個(gè)最相關(guān)的、最重要的IoT安全技術(shù)。除了IoT威脅檢測(cè)、IoT塊環(huán)鏈、IoT安全分析等比較新興的 IoT安全技術(shù)之外,該研究還包括IoT授權(quán)、IoT加密等比較核心的技術(shù)(如圖1)。
圖1 Forrester Research著重展望了13個(gè)最相關(guān)的、最重要的IoT安全技術(shù)
日益增長(zhǎng)的安全威脅
最近幾年,許多廣為人知的網(wǎng)絡(luò)攻擊已經(jīng)表明了缺乏 IoT 安全所能導(dǎo)致的威脅,其中最著名的攻擊可能是 “Stuxnet 蠕蟲病毒” 攻擊。Stuxnet 蠕蟲病毒有針對(duì)性地攻擊伊朗的鈾濃縮設(shè)施的工業(yè)可編程邏輯控制器(PLC)。專家認(rèn)為,Stuxnet 蠕蟲病毒至少攻擊了超過(guò)1000臺(tái)的離心機(jī),這些離心機(jī)通過(guò)廣域網(wǎng)(WAN)連接到了運(yùn)行Windows操作系統(tǒng)的工業(yè)可編程邏輯控制器上。
即使你實(shí)施了一定的IoT安全措施,你所連接的小工具也可能成為犯罪分子攻擊的媒介。去年秋天,互聯(lián)網(wǎng)DNS供應(yīng)商Dyn遭受到一次網(wǎng)絡(luò)攻擊,這次攻擊打亂了人們對(duì)公共網(wǎng)站的訪問(wèn)。攻擊者能夠利用的聯(lián)網(wǎng)設(shè)備非常之多,甚至包括 DVR、相機(jī)等。
確保物聯(lián)網(wǎng)安全
確保物聯(lián)網(wǎng)設(shè)備安全是一件非常棘手的事。由于物聯(lián)網(wǎng)設(shè)備的形狀、尺寸和功能通常會(huì)大相徑庭,因此傳統(tǒng)的端點(diǎn)安全模型顯得有些不切實(shí)際。
最重要的是,就其本質(zhì)而言,物聯(lián)網(wǎng)設(shè)備在電源、性能和功能方面都比較受限,許多設(shè)備使用的是定制的、非標(biāo)準(zhǔn)的操作系統(tǒng),例如 NANIX —— Linux的一個(gè)早期可穿戴設(shè)備的版本。
由于有如此多的資源受限的設(shè)備,網(wǎng)絡(luò)管理員幾乎不可能知道所有設(shè)備的運(yùn)行情況。此外,還有一些情況甚至更復(fù)雜 —— 許多IoT設(shè)備具有非常長(zhǎng)的生命周期卻幾乎沒有任何安全機(jī)制,例如商業(yè)或工業(yè)中的溫度傳感器。
此外,由于原始的設(shè)計(jì)不夠完善,或者由于資源有限(例如存儲(chǔ)空間和處理能力),許多IoT設(shè)備打補(bǔ)丁或者升級(jí)非常不方便。
最后,由于許多設(shè)備使用的是非標(biāo)準(zhǔn)的或者歷史遺留的通信協(xié)議(例如 M2M),它們很難被大多數(shù)安全設(shè)備識(shí)別。
物聯(lián)網(wǎng)安全八大關(guān)鍵技術(shù)
圖2 側(cè)信道分析(例如差分電源分析DPA或者差分電磁分析 DEMA)用于從未經(jīng)保護(hù)的處理器或者FPGA之中提取加密密鑰。
由于物聯(lián)網(wǎng)安全的挑戰(zhàn)不斷加大,因此需要技術(shù)和生產(chǎn)同時(shí)來(lái)解決這些問(wèn)題。下面列舉了八個(gè)提升IoT安全性的關(guān)鍵技術(shù)。
1.網(wǎng)絡(luò)安全:IoT網(wǎng)絡(luò)現(xiàn)在以無(wú)線網(wǎng)絡(luò)為主。在2015年,無(wú)線網(wǎng)絡(luò)的流量已經(jīng)超過(guò)了全球有線網(wǎng)絡(luò)的流量。由于新生的RF和無(wú)線通信協(xié)議和標(biāo)準(zhǔn)的出現(xiàn),這使得IoT設(shè)備面臨著比傳統(tǒng)有限網(wǎng)絡(luò)更具挑戰(zhàn)性的安全問(wèn)題。
2.身份授權(quán):IoT 設(shè)備必須由所有合法用戶進(jìn)行身份驗(yàn)證。實(shí)現(xiàn)這種認(rèn)證的方法包括靜態(tài)口令、雙因素身份認(rèn)證、生物認(rèn)證和數(shù)字證書。物聯(lián)網(wǎng)的獨(dú)特之處在于設(shè)備(例如嵌入式傳感器)需要驗(yàn)證其他設(shè)備。
3.加密:加密主要用于防止對(duì)數(shù)據(jù)和設(shè)備的未經(jīng)授權(quán)訪問(wèn)。這一點(diǎn)估計(jì)有點(diǎn)困難,因?yàn)?IoT 設(shè)備以及硬件配置是各種各樣的。一個(gè)完整的安全管理過(guò)程必須包括加密。
4.安全側(cè)信道攻擊:即使有足夠的加密和認(rèn)證,IoT 設(shè)備也還可能面臨另一個(gè)威脅,即側(cè)信道攻擊。這種攻擊的重點(diǎn)不在于信息的傳輸工程,而在于信息的呈現(xiàn)方式。側(cè)信道攻擊(SCA)會(huì)搜集設(shè)備的一些可操作性特性,例如執(zhí)行時(shí)間、電源消耗、恢復(fù)密鑰時(shí)的電磁輻射等,以進(jìn)一步獲取其它的價(jià)值(圖 2)。
5.安全分析和威脅預(yù)測(cè):除了監(jiān)視和控制與安全有關(guān)的數(shù)據(jù),還必須預(yù)測(cè)未來(lái)的威脅。必須對(duì)傳統(tǒng)的方法進(jìn)行改進(jìn),尋找在既定策略之外的其它方案。預(yù)測(cè)需要新的算法和人工智能的應(yīng)用來(lái)訪問(wèn)非傳統(tǒng)攻擊策略。
6.接口保護(hù):大多數(shù)硬件和軟件設(shè)計(jì)人員通過(guò)應(yīng)用程序編程接口(API)來(lái)訪問(wèn)設(shè)備,這些接口需要對(duì)需要交換數(shù)據(jù)(希望加密)的設(shè)備進(jìn)行驗(yàn)證和授權(quán)的能力。只有經(jīng)過(guò)授權(quán),開發(fā)者和應(yīng)用程序才能在這些設(shè)備之間進(jìn)行通信。
7.交付機(jī)制:需要對(duì)設(shè)備持續(xù)得更新、打補(bǔ)丁,以應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)攻擊。這涉及一些修復(fù)漏洞的專業(yè)知識(shí),尤其是修復(fù)關(guān)鍵軟件漏洞的知識(shí)。
8.系統(tǒng)開發(fā):IoT 安全需要在網(wǎng)絡(luò)設(shè)計(jì)中采用端到端的方法。此外,安全應(yīng)該至始至終貫穿在整個(gè)產(chǎn)品的開發(fā)生命周期中,但是如果產(chǎn)品只是傳感器,這就會(huì)變得略微困難。對(duì)于大多數(shù)設(shè)計(jì)者而言,安全只是一個(gè)事后的想法,是在產(chǎn)品實(shí)現(xiàn)(而不是設(shè)計(jì))完成后的一個(gè)想法。事實(shí)上,硬件和軟件設(shè)計(jì)都需要將安全考慮在整個(gè)系統(tǒng)當(dāng)中。
總結(jié)
由于IoT設(shè)備的快速增長(zhǎng)以及這些設(shè)備之間無(wú)線連接所帶來(lái)的挑戰(zhàn),產(chǎn)品設(shè)計(jì)者必須重視網(wǎng)絡(luò)安全問(wèn)題。這里介紹的八個(gè)關(guān)鍵的IoT安全技術(shù)是傳統(tǒng)方法與最新方法的結(jié)合,是與工具的結(jié)合,最終以確保IoT的真正安全。