物聯(lián)網(wǎng)安全技術(shù)是怎么回事

描述

　　物聯(lián)網(wǎng)安全是個(gè)全棧的行為，是“服、用、云、管、邊、端”全生態(tài)統一協(xié)作聯(lián)合布防才能生效的課題，僅僅從物聯(lián)網(wǎng)設備端采取嚴防死守的策略并不能阻抗已經(jīng)滲透到各個(gè)角落的APT攻擊。因此我們可以從物聯(lián)設備啟動(dòng)、Rootkit注入保護、DDOS攻擊防御、設備安全準入、數據和協(xié)議安全等幾個(gè)方面綜合考查物聯(lián)網(wǎng)安全的應對之策。除此之外，還要保證物聯(lián)網(wǎng)管控平臺、云平臺、互聯(lián)互通接口、物聯(lián)網(wǎng)業(yè)務(wù)系統等基礎設施的安全。

　　1.基于可信計算的安全啟動(dòng)技術(shù)

　　可信計算是由TCG（Trusted Computing Group，可信計算組織）推動(dòng)和開(kāi)發(fā)的安全計算技術(shù)，在計算和通信領(lǐng)域中廣泛應用基于硬件安全模塊的可信計算平臺以提高整個(gè)系統和應用軟件的安全性與完整性。作為一門(mén)新興技術(shù)，其主要目標包括計算平臺的完整性、平臺的遠程證明、數據存儲的安全性、數字知識產(chǎn)權保護。

　　作為高級可持續威脅（APT），如果不是潛伏在系統的最深層，如果不是先于操作系統加載，如果不能在啟動(dòng)過(guò)程中制衡保護軟件實(shí)現對自己“免殺”，那實(shí)在不好意思稱(chēng)自己是“合格的APT”。對于這樣心高氣傲神通廣大的威脅代碼，唯一的辦法就是先于它掌控系統的運行權?？尚庞嬎慵夹g(shù)就是這場(chǎng)“運行權戰爭”中的“定海神針”，采用層層度量的方式校驗每一個(gè)啟動(dòng)步驟的完整性和正確性，通過(guò)信任鏈的可傳導性來(lái)保證計算平臺的完整性。

　　度量是一級級從底層向上逐級度量的，通常是以先啟動(dòng)的軟硬件代碼（例如安全芯片）作為信任根，并以此為標準對后一級啟動(dòng)的軟硬件進(jìn)行度量，如此實(shí)現信任鏈的向后傳遞，以保證系統計算環(huán)境可信。整個(gè)過(guò)程遵循“先度量再執行”的策略，例如在Windows系統啟動(dòng)時(shí)，可以以BIOS中的某段代碼為核心信任根模塊（可信根），對啟動(dòng)鏈上的BIOS/UEFI、WinLoader、操作系統鏡像文件等進(jìn)行逐級靜態(tài)度量。

　　可信根作為整個(gè)系統信任鏈的底端必須可信，因此可信根一般是通過(guò)廠(chǎng)家在安全芯片中直接植入算法和密鑰實(shí)現的，具有不可覆蓋性，因此這部分代碼也被稱(chēng)為可信軟件基（TSB，Trusted Software Base）。

　　ARM作為老牌的處理平臺廠(chǎng)商亦針對消費類(lèi)物聯(lián)設備的安全保密與可信計算提出了TrustZone技術(shù)。該技術(shù)本質(zhì)上是一種硬件平臺結構和安全框架，將片上系統的軟硬件資源分為安全世界與非安全世界（類(lèi)似X86系統下的0環(huán)和3環(huán)），通過(guò)訪(fǎng)問(wèn)權限的差異性來(lái)保證資源的安全性，非安全世界和安全世界通信需要通過(guò)中間的Monitor Mode進(jìn)行轉換。

　　2.Rootkit防御技術(shù)

　　Rootkit是系統安全領(lǐng)域老生常談的一個(gè)話(huà)題，無(wú)論采用哪種處理器架構，也無(wú)論在什么操作系統中，Rootkit都鬼影相隨。所謂Rootkit，就是系統中以隱藏自身、控制設備和獲取隱私信息為目的的惡意代碼。物聯(lián)網(wǎng)設備“中的招”十有八九就是以獲取信息和控制設備為特征的Rootkit惡意進(jìn)程/代碼模塊，因此對于Rootkit的防御就顯得尤為重要。

　　Rootkit的執行特征如下：

　?。?）將惡意代碼放置在內存的數據區，通過(guò)堆棧溢出等手段在數據區執行這些代碼。

　?。?）通過(guò)遠程線(xiàn)程、默認加載等方式將惡意代碼模塊加載到應用進(jìn)程中，即“模塊注入”。

　?。?）通過(guò)掛鉤操作系統的重要方法（例如系統調用或中斷響應例程等）來(lái)獲取自己渴求的數據。

　?。?）通過(guò)過(guò)濾型驅動(dòng)掛鉤網(wǎng)絡(luò )協(xié)議棧，以獲取重要網(wǎng)絡(luò )流量并對數據包進(jìn)行篡改。

　?。?）通過(guò)掛鉤重要可執行模塊的EAT/IAT（導出/導入地址表）的方式改變進(jìn)程執行流程。

　　從上述Rootkit的運行特征可以反向推導出防范抵御Rootkit攻擊的手段。Windows系統在抵御Rootkit方面走在了前面，由于Windows系統的運行環(huán)境和計算資源都比較寬松，因此擁有更多的機制和手段保障安全性。而對于物聯(lián)網(wǎng)的系統，由于其功耗、計算資源等方面的限制，操作系統一般比較精簡(jiǎn)，因此有針對性地制定Rootkit防御機制就更顯必要。

　?。?）物聯(lián)網(wǎng)設備通信模塊短小精悍，一般不存在協(xié)議棧的說(shuō)法，因此通過(guò)過(guò)濾型驅動(dòng)截取網(wǎng)絡(luò )數據包的方式在物聯(lián)網(wǎng)設備中不會(huì )存在。

　?。?）物聯(lián)網(wǎng)系統不存在遠程線(xiàn)程、默認加載等復雜的應用機制，因此無(wú)需考慮模塊注入問(wèn)題。

　?。?）堆棧溢出在物聯(lián)網(wǎng)系統中是比較常見(jiàn)的，因此可以采用類(lèi)似Win7的數據執行保護（DEP）機制阻止惡意代碼在內存數據區被執行。

　?。?）物聯(lián)網(wǎng)系統同樣也存在中斷響應例程、系統調用服務(wù)例程等重要的方法，依然需要防止這些重要部位被掛鉤?？梢圆捎妙?lèi)似Windows的PatchGuard機制防止這些重要部位被改寫(xiě)。

　?。?）可采用內核進(jìn)程簽名校驗的機制阻斷不明進(jìn)程的安裝和運行。

　　3.抗DDOS攻擊技術(shù)

　　DDOS攻擊也是網(wǎng)絡(luò )安全領(lǐng)域亙古不變的話(huà)題，無(wú)論物聯(lián)網(wǎng)還是視聯(lián)網(wǎng)，只要還支持TCPIP協(xié)議就面臨被DDOS攻擊的危險。DDOS是一種攻擊大類(lèi)，核心思想是通過(guò)車(chē)輪戰使目標系統疲于應付而無(wú)法正常運行其他進(jìn)程，它包括細分的多種攻擊手段，常見(jiàn)的有以下幾種：

　?。?）SYN Flood

　　通過(guò)偽造大量不存在的IP地址，在極短時(shí)間內向服務(wù)器不間斷發(fā)送SYN包，服務(wù)器回復確認包SYN/ACK，并等待客戶(hù)端永遠都不會(huì )響應的確認回復。如此服務(wù)器需要不斷重發(fā)SYN/ACK直至超時(shí)，這些偽造的SYN包將長(cháng)時(shí)間占用未連接隊列，正常的SYN請求被丟棄，導致目標系統運行緩慢甚至癱瘓。這是利用TCP傳輸特性制造的“車(chē)輪戰”。

　?。?）ICMP Flood

　　極短時(shí)間內向目標主機不斷請求ICMP回應，導致目標系統負擔過(guò)重而不能處理正常的IO業(yè)務(wù)。這是利用ICMP協(xié)議制造的“車(chē)輪戰”。

　?。?）UDP Flood

　　極短時(shí)間內向目標主機發(fā)送大量UDP報文，致使目標系統負擔過(guò)重而不能處理正常的IO業(yè)務(wù)。這是利用UDP協(xié)議制造的“車(chē)輪戰”。

　?。?）ARP Flood

　　攻擊者可以在極短時(shí)間內發(fā)送大量ARP請求包以阻塞正常網(wǎng)絡(luò )寬帶，使局域網(wǎng)中有限的網(wǎng)絡(luò )資源被無(wú)用的廣播信息所占用而造成網(wǎng)絡(luò )擁堵。這是利用ARP包制造的“車(chē)流戰”，癱瘓的是承載網(wǎng)絡(luò )。

　　除了上述幾種利用二三四層協(xié)議營(yíng)造的DDOS攻擊外，應用層、會(huì )話(huà)層協(xié)議亦可以制造DDOS攻擊的效果，例如通過(guò)短時(shí)間超大量的HTTP請求使WEB服務(wù)器崩潰、在短時(shí)間內通過(guò)超大量的流媒體會(huì )話(huà)協(xié)議使視頻服務(wù)器崩潰等等，這些攻擊手段都迎合了DDOS攻擊的本意，即極限施壓使之疲于應付而崩潰。

　　一般情況下DDOS攻擊的抵御是通過(guò)引流的辦法，即首先需要防護系統判斷發(fā)生了DDOS攻擊，再啟動(dòng)流量引流機制，將DDOS攻擊包引導到攻擊緩沖區域進(jìn)行消化。由于物聯(lián)網(wǎng)領(lǐng)域設備數量龐大，尤其要注意防DDOS攻擊的問(wèn)題。

　?。?）在IPv4環(huán)境下多采用私網(wǎng)穿透的方式與外部系統進(jìn)行通信。由于私網(wǎng)穿透通信的單向性，外部系統主動(dòng)發(fā)起DDOS攻擊的可能性較低，特別是在部署了對稱(chēng)性NAT服務(wù)的時(shí)候，從外向內通信的限制非常嚴格，也能在一定程度上阻斷DDOS攻擊流。

　?。?）物聯(lián)網(wǎng)與互聯(lián)網(wǎng)之間也會(huì )存在網(wǎng)絡(luò )隔離設備，例如安全接入平臺或網(wǎng)閘，其安全級別可以自主設置。雖然其通信效率較低，但能夠對網(wǎng)絡(luò )包進(jìn)行深度檢測（DPI），也能在一定程度上阻抗DDOS攻擊流。

　　4.物聯(lián)網(wǎng)設備指紋技術(shù)

　　設備指紋是近年來(lái)新興的物聯(lián)網(wǎng)設備接入準入技術(shù)。其核心原理是通過(guò)設備的操作系統、廠(chǎng)商ID、MAC地址、端口號、IP地址、協(xié)議報文種類(lèi)等屬性生成一系列固定的且與每個(gè)設備相關(guān)的私有信息，以達到識別設備的唯一性。物聯(lián)網(wǎng)平臺通過(guò)設備指紋庫識別設備，對于非指紋庫內的設備可進(jìn)行阻斷和報警。傳統識別設備唯一性的方法是通過(guò)ID，但這種方式存在相當大的可仿冒性和可替換性，且由于設備ID一般處于OSI協(xié)議棧的高層，仿冒的門(mén)檻也更低。而通過(guò)設備指紋標識設備的唯一性卻具有很低的可仿冒性和可替換性。

　?。?）設備的操作系統會(huì )帶有一定的標識，例如版本號、廠(chǎng)商ID等，對于這些屬性的仿冒并不容易，可能要通過(guò)Patch的手段改動(dòng)內核態(tài)變量。

　?。?）MAC地址、IP地址、端口號等屬性具有設備的唯一性，雖然也具有仿冒性，但仿冒這些聯(lián)合的屬性也并不容易。

　?。?）協(xié)議報文雖然遵循一定的標準，但每個(gè)廠(chǎng)商的設備協(xié)議的報文頭或報文體多少會(huì )有些私有信息存在，例如SIP協(xié)議頭域中的User-Agent屬性就會(huì )附帶廠(chǎng)商信息。再比如協(xié)議交互的時(shí)間間隔、回復特征等這些更加細微的區別也是設備指紋的重要組成部分。

　　因此，通過(guò)設備指紋鑒定設備的唯一性、檢測設備在線(xiàn)、設備私接、設備仿冒具有很高的不可仿冒性和不可替代性。

　　設備指紋生成包括主動(dòng)探測和被動(dòng)監聽(tīng)兩種方式。

　?。?）主動(dòng)探測方式的主要思想是主動(dòng)向物聯(lián)設備發(fā)送ICMP、UDP包，或者主動(dòng)建立TCP連接，甚至主動(dòng)發(fā)起一些應用層以上的協(xié)議來(lái)探測設備的回復信息（例如ICMP echo reply、ICMP端口不可達、HTTP Response等報文），根據這些報文來(lái)識別設備的特殊屬性。有的廠(chǎng)家也會(huì )支持一些私有協(xié)議專(zhuān)門(mén)用以標識設備的不可仿冒性。

　?。?）被動(dòng)監聽(tīng)方式的主要思想是通過(guò)網(wǎng)絡(luò )探針監聽(tīng)設備的交互報文，并將這些報文旁路到采集端進(jìn)行分析，通過(guò)源端口、源地址、MAC信息、報文特征等信息判別設備的不可替換性。

　　圖3一種基于OSI協(xié)議棧指紋回聲的物甄別系統

　　設備指紋已在視頻監控領(lǐng)域有了較為廣泛的應用。但在物聯(lián)網(wǎng)其他領(lǐng)域，由于協(xié)議報文種類(lèi)的繁雜性，且許多設備并不處于TCPIP網(wǎng)絡(luò )中，因此尚無(wú)太多的應用場(chǎng)景。

　　5.數據安全技術(shù)

　　物聯(lián)網(wǎng)數據安全包括數據本身的安全和協(xié)議安全兩重內涵。但無(wú)論是哪種內涵，其本質(zhì)都是對數據和協(xié)議報文的加解密，當然也包括協(xié)議的證書(shū)認證機制。在安防領(lǐng)域，公安部早已制定了GB35114標準，并根據密級高低劃分了ABC三個(gè)等級，分別對協(xié)議報文進(jìn)行認證加密、對視頻NAL進(jìn)行認證以及對視頻內容本身加解密。

　　國家強制性標準的加持是對數據安全的注腳。

　　來(lái)源：《中國安防》