物聯網經過多年的發展,引領信息產業革命的新一輪浪潮。隨着物聯網的深入應用,其對人們的日常生活以及社會經濟發展已產生了極大的影響,如何提高網絡安全,是物聯網行業目前面臨的關鍵問題。本文通過對物聯網安全威脅分析,提出了提升物聯網安全的應對措施。
物聯網安全威脅
(1)隱私威脅。物聯網中的通信方式主要採用無線通信,以及大量使用電子標籤和無人值守設備進行通信,但受制於成本、性能方面的限制,物聯網大部分所使用的終端屬於弱終端,很容易被非法入侵,甚至破壞,這就意味着使用者在使用過程中隱私信息很有可能被攻擊者獲取,例如,攻擊者通過獲得使用者的身份信息、興趣愛好,甚至是商業機密等信息,將給使用者帶來安全隱患。
(2)身份冒充。有些物聯網的管理密碼設置過於簡單,有些還是出廠默認密碼,這些設備因其無人值守特性,被劫持後短時間內是難於發現,此時就可以僞裝成客戶端或者服務器進行數據發送、執行某些惡意操作。例如,對某些門禁系統進行設置,可以輕易的進出房間。
(3)信令擁塞。物聯網中的終端與服務器的認證方式採用的是一對一進行,這就導致如果在物聯網中的終端數量巨大,當這些終端就在進行業務數據交換時,就會向服務器進行大規模的認證請求,此時這些信息就會導致服務器過載,從而使網絡中的信令通道發生擁塞,間接引發 DDOS 攻擊。
(4)惡意程序。惡意程序通過許多方式進入到無線網絡環境和傳感網絡環境中。一旦入侵成功,它的傳播性、隱蔽性、破壞性等相比 TCP /IP 網絡而言更加難以防範,如類似於蠕蟲這樣的惡意代碼,本身又不需要寄生文件,要檢測和清除這樣的惡意代碼將很困難。
(5)殭屍網絡。殭屍網絡( botnet) 由一系列被惡意軟件感染的主機組成。攻擊者通過各種途徑傳播殭屍程序感染互聯網上的大量主機,組成一個殭屍網絡,進而可以被攻擊者用於執行一系列惡意活動,例如分佈式拒絕服務攻擊、發送垃圾郵件、竊取個人信息、執行分佈式計算任務等。這種網絡攻擊可以導致整個物聯網的基礎網絡或者重要應用系統癱瘓,也可以導致大量機密或個人隱私泄漏,還可以用來從事網絡欺詐等其他違法犯罪活動。
物聯網安全應對措施
(1)強化身份認證。身份認證有效地對抗冒充、非法訪問、重演等威脅。對物聯網應用而言,因設計人員考慮便利性大多會採用一次認證即可通行整個網絡系統,因此,在統一的系統的接入口就需要可靠的身份認證。同時,爲了防備攻擊者將一些不受信任的設備接入物聯網,如被攻擊者控制的路由器,還需要對所用的設備進行身份認證。爲解決身份認證問題,可根據業務的安全敏感程度在如密碼強度、動靜態密碼、驗證輸入、不公開憑證、電子證書及生物識別技術等方面進行強化設計,在一些關鍵節點還需要多重身份認證。
(2)完善加密機制。由於物聯網中網絡連接和業務使用緊密結合,對有必要受保護的鏈接進行加密。對一些安全要求不是很高的業務,實現安全機制對業務的透明,可以採用逐跳加密方式在統一的物聯網業務平臺上實施安全管理不同的業務。但因爲逐跳加密需要在各傳送節點上對數據進行解密,所以各節點都有可能解讀被加密消息的明文,因此對於高安全需求的業務,可通過端到端進行加密保密措施。
(3)淨化網絡環境。網絡環境是整個物聯網正常運行的基礎,從廠商到使用者都應對其安全引起重視。通信協議往往成爲攻擊者的一個很好的突破口,因此,廠商在應用發佈前應做好充分測試,並對已有的固件進行查缺補漏,及時更新漏洞補丁。同時,作爲使用者應提升系統的安全檢查頻率來加固系統,或者更換一些容易出問題的設備,特別是對殭屍網絡,應及時清理,以此應對不斷變化的網絡攻擊。
(4)實現多層次防禦。通過多層次的防禦措施,加強訪問控制,來更好的保障物聯網的安全。防火牆作爲專用網絡與公共網絡連接的第一道防線,實現過濾數據、用戶的訪問行爲,則可在前端部署使用安全網關防火牆或是端點防護,但若攻擊者以特徵碼偵測而進階的攻擊,就必須在下階段使用用戶行爲分析( USA) 或是安全信息與事件管理( SIEM) 做防禦,通過大數據對於用戶與設備之間行爲分析,再進階以機械學習( Machine Learning) 做防禦,除了分析及監控現有數據,還要預測未來的威脅。
幾維安全IoT固件虛擬化系統
幾維安全IoT固件虛擬化系統是一款面向智能汽車、移動遊戲、移動金融、反欺詐、IoT物聯網等行業的核心程序加密產品。支持對C/C++代碼進行虛擬化保護,在項目工程編譯時直接對指定的函數【代碼】實施虛擬化編譯,生成受保護的固件程序。憑藉自定義CPU指令的特性,代碼一旦加密,永不解密,攻擊者無法逆向還原代碼,分析其核心業務邏輯。可幫助中大型企業在通信、支付、算法、核心技術等模塊進行深度加密,避免因逆向破解問題對公司造成經濟或者名譽上的損失。
(1)幾維安全IoT固件虛擬化技術原理
代碼虛擬化基於 LLVM 編譯器中間層 LLVM IR 實現,通過設計獨有加密的虛擬 CPU 解釋器以及完備虛擬指令,將原始 CPU 指令進行加密轉換處理爲只能由 KiwiVM 虛擬解釋器解釋執行的虛擬指令,能夠完全隱藏函數代碼邏輯,以及函數、變量之間的依賴關係,讓代碼無法被逆向工程。
代碼虛擬化將函數的最終入口替換成JUMPOUT,對外僅公開的標準化的虛擬化加載指令,攻擊者無法逆向還原虛擬機的私有指令集,從而避免攻擊者分析原始函數的代碼邏輯。
(2)虛擬化加密效果
未經過虛擬化保護的固件,攻擊者通過反彙編器或反編譯器,能夠將程序的原始機器碼,翻譯成較便於閱讀理解的彙編代碼或高級代碼。硬件中的IoT固件,本質上還是二進制文件,通過IDA Pro等工具可以輕鬆反編譯,生成近似源代碼的C代碼,如下圖。
反編譯未虛擬化後的代碼截圖:
反編譯虛擬化後的代碼截圖:
虛擬化後的核心代碼已無法再被逆向分析,從而避免潛在的漏洞被挖掘、核心技術被竊取、密鑰泄漏等問題。
物聯網作爲一種新型信息產業,與人們的日常生活和社會發展產生越發緊密的聯繫,加強物聯網安全也就越發重要。目前我國物聯網發展是重應用而輕安全,因此,安全技術的提升還很有必要。針對目前的主要安全問題,制定好相應的解決對策,只有物聯網的安全得到保障,才能對社會進步和發展起到更好的推動作用。
推薦閱讀:
2、IoT 安全固件虛擬化,支持對 C/C++代碼進行虛擬化保護