1、物联网安全白皮书目录HYPERLINKl_bookmark0引言HYPERLINKl_bookmark0.物联网安全概述1HYPERLINKl_bookmark01.11HYPERLINKl_bookmark1物联网安全的体系结构3HYPERLINKl_bookmark2研究项目和标准化组织4HYPERLINKl_bookmark2物联网安全项目4HYPERLINKl_bookmark3TRUST6HYPERLINKl_bookmark3OWASPInternetofThingsProject6HYPERLINKl
2、_bookmark3CSA6HYPERLINKl_bookmark4NIST7HYPERLINKl_bookmark5二物联网安全需求及对策HYPERLINKl_bookmark4IoTSecurityFoundation7HYPERLINKl_bookmark5.9HYPERLINKl_bookmark5引言9HYPERLINKl_bookmark5隐私保护9HYPERLINKl_bookmark62.3认证10HYPERLINKl_bookmark6访问控制管理10HYPERLINKl_bookmark7数
3、据保护11HYPERLINKl_bookmark7物理安全11HYPERLINKl_bookmark7设备保护和资产管理11HYPERLINKl_bookmark8攻击检测和防御12HYPERLINKl_bookmark8拒绝服务攻击12HYPERLINKl_bookmark8病毒攻击12HYPERLINKl_bookmark8APT攻击12HYPERLINKl_bookmark92.8.4蜜罐13HYPERLINKl_bookmark9态势感知13HYPERLINKl_bookmark9异常行为检测13HYPERL
5、ookmark13已有技术在物联网环境中的应用17HYPERLINKl_bookmark13异常行为检测17HYPERLINKl_bookmark13代码签名17HYPERLINKl_bookmark14白盒密码18HYPERLINKl_bookmark14over-theair(OTA)18HYPERLINKl_bookmark14深度包检测(DPI)技术18HYPERLINKl_bookmark15防火墙19HYPERLINKl_bookmark16访问控制20HYPERLINKl_bookmark17新技术的探索21
7、.24HYPERLINKl_bookmark194.1引言24HYPERLINKl_bookmark20赛门铁克25HYPERLINKl_bookmark21CUJO27HYPERLINKl_bookmark22Vidder28HYPERLINKl_bookmark23NexDefense29HYPERLINKl_bookmark25五总结及思考HYPERLINKl_bookmark24Intel30HYPERLINKl_bookmark25.37HYPERLINKl_bookmark25物联网安全可以作为切入点的领
8、域37HYPERLINKl_bookmark25物联网安全研究点37.物联网安全概述引言早在1999年,MITAutoID研究室的KevinAshton在研究将射频识别信息与互联网相连接的时候首先提到了物联网的概念;同年,在美国召开的移动计算和网络国际会议就提出,“传感网是下一个世纪人类面临的又一个发展机遇”;2005年11月17日,信息社会世界峰会(WSIS)上,国际电信联盟(ITU)发布了ITU互联网报告2005:物联网,正式提出了“物联网”的概念;2009年8月,温家宝总理到无锡物联网产业研究院考察时,明确指示在物联网的发展中,要早一点谋划
11、网的安全问题。CSA发布的白皮书SecurityGuidanceforEarlyAdoptersoftheInternetofThings(IoT)1中提到IoT带来如下新的挑战:1/download/new-security-guidance-for-early-adopters-of-the-iot/物联网安全白皮书物联网安全综述(1)增加的隐私问题经常让人感到困惑。(2)平台安全的局限性使得基本的安全控制面临挑战。(3)普遍存在的移动性使得追踪和资产管理面临挑战。(4)设备的数量巨大使得常规的更新和维护操作面临挑战。(5)基于云的操作使得边界安全
12、不太有效。物联网是互联网的延伸,因此物联网的安全也是互联网安全的延伸,物联网和互联网的关系是密不可分、相辅相成的。但是物联网和互联网在网络的组织形态、网络功能以及性能上的要求都是不同的,物联网对实时性、安全可信性、资源保证等方面有很高的要求,物联网与互联网的区别在表1.1中得到体现。物联网的安全既构建在互联网的安全上,也有因为其业务环境而具有自身的特点。总的来说,物联网安全和互联网安全的关系体现在:物联网安全不是全新的概念,物联网安全比互联网安全多了感知层,传统互联网的安全机制可以应用到物联网,物联网安全比互联网安全更复杂。表1.1物联网和互联网对比物联网互联网体系结构分为感知
13、层、网络层和应用层比物联网少了感知层操作系统广泛使用嵌入式操作系统,如:VxWorks等通用操作系统(Window、UNIX、Linux等),功能相对强大系统实时性一些领域如:工业控制对系统数据传输、信息处理的实时性要求较高一些领域如:智能家居对系统的实时性要求不高大部分系统的实时性要求不高,信息传输允许延迟,可以停机和重启恢复通信协议Zigbee,蓝牙,WiFi也会用到互联网的协议(HTTP、HTTPS、XMPP等)TCP/IP、HTTP、FTP、SMTP等系统升级一些专有系统兼容性差、软硬件升级较困难,一般很少进行系统升级,如需升级可能需要整个系统升级换代采用通用系统、兼容性较好
16、线近距离接入,如无线局域网、ZigBee、蓝牙、红外,也可以是无线远距离接入,如移动通信网络、WiMAX等,还可能是其他形式的接入,如有线网络接入、现场总线、卫星通信等。网络层的承载是核心网,通常是IPv4网络。网络层是物联网信息和数据的传输层,将感知层采集到的数据传输到应用层进行进一步的处理。应用层对通过网络层传输过来的数据进行分析处理,最终为用户提供丰富的特定服务,如智能电网、智能物流、远程医疗、智能交通、智能家居、智慧城市等。依靠感知层提供的数据和网络层的传输,进行相应的处理后,可能再次通过网络层反馈给感知层。应用层对物联网信息和数据进行融合处理和利用,达到信息最终为人所使用
18、以确保物联网设备在未来数十年的安全。(2)研究和实现安全、开源的软硬件框架来对物联网应用进行原型和构建,使其可以正确使用这些新的机制。研究涉及三个方面:(1)分析如何将物理世界的巨大的数据流与现有数据集成?(2)安全泛在的传感和分析系统如何保护用户安全?(3)软硬件系统什么样的软硬件系统可以使得对于物联网安全应用的开发和现在的Web应用一样容易?2015年6月确定了第一年的研究计划:(1)20年的安全物联网设备周边的计算机基础设施发展迅速(我们会更换手机,服务器也会去更新),但是设备本身依然处于部署状态,因此必须能够准备好以适应和经受安全局面的改变。20年的安全方面的工作主要有三
19、个方面:第一,设计未来嵌入式SoC所需要的密码学原语。密码学趋于计算密集,因此如果运行在软件中会消耗大量的嵌入式设备的功耗,硬件的支持使得密码学更有效率,但是能够在未来20年使用的加密算法会与今天正在使用的有很大的不同。在未来,量子计算机会成为现实,因此物联网设备需要可以抵抗量子攻击的签名算法。由于嵌入式SoC的成本降低,可以在其中加入可编程密码部件的支持。第二,关于随机数生成。随机数是密码学和计算机安全的基础,然而,物联网设备使用的低功耗微控制器中很少具备现代处理器中用于生成随机数的硬件部件(如x86的RDRAND和RDSEED指令)。此外,正确和安全的生成随机数需
20、要精心设计。物联网安全的一个关键是快速而价格低廉的随机数生成方法,这使得任何人可以轻易并入设备中。我们将探索软硬件结合的方法来在嵌入式设备的整个生命周期提供足够的随机性。第三,设计和实现新的、安全的嵌入式操作性系统。当下的嵌入式系统主要使用低层次的C语言编写。在20世纪末,这导致了缓冲区溢出和许多其他的安全漏洞。桌面和服务器上的操作系统使用多种技术和硬件机制来抵抗这些攻击,但是嵌入式处理器并不具备这样的能力。我们的假设是使用一个类型安全的系统语言可以提供一个可证明安全的操作系统内核,从而允许多个不可信的应用(如智能手表上加载的多个应用)同时运行。(2)应用开发框架大部分的物联网应用
21、遵从MGC架构,由三部分组成,嵌入式设备(eMbeddeddevices)、网关设备(Gatewaydevice)如手机和云中(Cloud)或网络中的服务器。这些设备使用自己的语言、操作系统和应用框架,在这些系统之间验证和建立安全特性很困难。我们将研究新的操作系统、网络协议和工具来使得一个通过所有这些设备的应用依旧可以维持其安全特性。如果安全很难使用,开发人员则会选择不使用。因此,我们的目标是使得安全物联网应用的开发和现代的网站开发一样容易。我们将研究如何支持软件定义的硬件(software-denedhardware),使得软件工程师可以根据代码中所需的库和特性来指定物联网设备。现
24、cationplatforms),就像当下的手机一样。有两个理由支持这种观点:一是对于用户体验和交互性来说拥有本地接口和数据存储是非常有用的,二是即使与互联网的连接中断,这些应用也需要持续工作。物理网关对于嵌入式设备可以提供有用的安全保护。低功耗操作和受限的软件支持意味着频繁的固件更新代价太高甚至不可能实现。反而,网关可以主动更新软件(高级防火墙)以保护嵌入式设备免受攻击。实现这些特性需要重新思考运行在网关上的操作系统和其机制。研究人员正在探索类似IntelSGX和ARMTrustZone这样的技术如何对网关和其上的应用提供新的安全保护。TRUSTTRUST2是斯坦福大
25、学的计算机安全实验室3的一个项目,针对的是物理基础设施的安全研究。该项目定位于下一代的SCADA和网络嵌入式系统,它们控制关键的物理基础设施(如电网、天然气、水利、交通等)以及未来的基础设施(如智能建筑)和结构(如active-bridges,它的结构完整性依赖于动态控制或actuators)。该研究具有前瞻性,随着工业化与信息化的融合,原有的工业控制环境发生了变化,为了更好地抵抗来自互联网的攻击,有必要设计下一代的SCADA和网络嵌入式系统。OWASPInternetofThingsProject开放式Web应用程序安全项目(OWASP,OpenWebAppli
30、驱动的,来指导网络空间安全活动,并使企业将考虑网络空间安全威胁作为企业威胁管理的一部分,架构主要包括三个部分:架构核心、架构轮廓和架构实现层。这个架构使企业-不管规模是多少、面临的网络安全威胁有多严重或者网络空间安全问题的复杂性都可以应用这些规则和最佳实践来进行风险管理以提高关键基础设施的安全性和恢复力。IoTSecurityFoundationIoTS7的成员包括ARM、华为等公司。他们的目标是帮助物联网实现安全性,使得物联网能够被广泛使用,同时他的优点能够被最大化的利用。为了实现这个目标,他们要提升技术理论水平和了解业界的最佳实践,为那些生产或者使用物联网设备的人提供支持。包含五
31、个工作组:(1)自认证方案这个工作组的目标是为创建低成本的、易于实现的并且与目标相匹配的自认证系统进行需求分析,以提高物联网产品的安全标准。(2)面向用户产品这个工作组的目标是为不同层次的用户设备提供与之相对应的最佳安全实践指南。(3)修补现有的设备低成本的IoT系统主要的挑战是如何保证系统在他的生命周期中的可维护性和可更新性,这个工作组的目标是为系统部署受限的资源要素提供最佳实践指南。(4)负责任的披露HYPERLINK/cps//cps/working-groups/当一个研究人员在你的产品中发现了一个脆弱点以后将会发生什么?这个工作组的目标是建立一个交流通道,并且建立
36、据的泄露和篡改问题。如基于修改的医疗数据,医疗服务提供者有可能错误地对患者进行诊断和治疗。(2)对策很多公司都提供了DLP产品。对于物联网环境下的数据安全问题,信息安全公司一般采用将已有的DLP产品作为解决方案的一部分进行推出。物理安全(1)威胁部署在远端的缺乏物理安全控制的物联网资产有可能被盗窃或破坏。(2)对策尽可能加入已有的物理安全防护措施。并非技术层面的问题,更应作为标准的一部分进行规范。设备保护和资产管理(1)威胁设备的配置文件被修改。设备的数量巨大使得常规的更新和维护操作面临挑战。未认证代码执行。断电引发的异常。设备逆向工程。(2)对策定期审查配置。固件自动升级(
37、over-theair(OTA)。定义对于物联网设备的全生命周期控制。对代码签名以确保所有运行的代码都是经过认证的,以及在运行时防护。断电保护。用白盒密码来应对逆向工程。物联网环境下有两点尤其要注意,一是众多设备如何升级,二是对于设备的逆向工程。对于第一点,应定义对于物联网设备的全生命周期控制,并提供设备固件自动升级的方式;对于第二点,目前已知的技术是采用白盒密码。攻击检测和防御拒绝服务攻击(1)威胁在物联网中拒绝服务攻击主要分为两种,一种是对设备进行攻击,如:一直给电子标签发送恶意请求信息,使标签无法响应合法请求,另一种是控制很多物联网设备对其它系统进行攻击。(2)对策针对第一种
40、,附件,主题;恶意链接和网站等信息,及时进行防护。)建立防火墙和网关,进行访问控制。定期检查配置信息,及时更新升级。)收集日志进行分析和溯源。)全网流量行为的模型建立和分析。)对用户的访问习惯进行监测。在检测到APT攻击的同时,也可以对APT攻击进行监测和溯源分析,并将威胁情报共享。蜜罐蜜罐是设置好故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,可以让人随时了解针对系统所发动的最新的攻击和漏洞。态势感知态势感知是在大规模系统环境中,对能够引起系统状态发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。这里我们将对一个态势感知系统中比较重要
41、的几部分进行介绍。异常行为检测异常行为检测的方法一般是运用大数据分析技术,在特定的环境中,如工控领域等可以进行全流量分析和深度包检测。一个异常行为检测系统应能自动进行异常行为检测,对客户的网络进行分析,知道什么是正常的行为,并建立一个基线,然后如果发现不正常的或者可疑的行为就会报警。除监视应用程序的行为外,它还应监视文件,设置,事件和日志,并报告异常行为。总结来说有两种方法,一个是建立正常行为的基线,从而发现异常行为,另一种是对日志文件进行总结分析,发现异常行为。脆弱性评估客户如何知道他们是否采用了足够的安全措施,或者是否采用了正确的步骤来保护他们的资产和业务。客户需要从众多的公布的标准和最
46、网中,从而解决物联网的安全问题。如:互联网环境中的防火墙技术,主要是对TCP/IP协议数据包进行解析,而在物联网环境中,防火墙还需要对物联网中的特定协议进行解析,如工控环境中的Modbus、PROFIBUS等协议。此外物联网还有其独特性,如终端设备众多,设备之间缺乏信任的问题,互联网中现有的技术难以解决此类问题,所以我们还需要探索一些新的技术来解决物联网中特有的新问题。此外,由于物联网将许多原本与网络隔离的设备连接到网络中,大大增加了设备遭受攻击的风险。同时物联网中的设备资源受限,很多设备在设计时较少考虑安全问题。还有物联网中协议众多,没有统一标准等等这些安全隐患都可能被黑客利用,造
50、要HYPERLINK/news/201605/yi85tcbQlReaA0cy.html/news/201605/yi85tcbQlReaA0cy.html建立一套适合物联网自身特点的、综合考虑安全性、效率和性能的代码签名机制。白盒密码对应的物联网安全需求:设备保护和资产管理。物联网感知设备的系统安全、数据访问和信息通信通常都需要加密保护。但由于感知设备常常散布在无人区域或者不安全的物理环境中,这些节点很可能会遭到物理上的破坏或者俘获。如果攻击者俘获了一个节点设备,就可以对设备进行白盒攻击。传统的密码算法在白盒攻击环境中不能安全使用,甚至显得极度脆弱,密钥成为任何使用密码技术实施保护系
51、统的单一故障点。在当前的攻击手段中,很容易通过对二进制文件的反汇编、静态分析,对运行环境的控制结合使用控制CPU断点、观测寄存器、内存分析等来获取密码。在已有的案例中我们看到,在未受保护的软件中,密钥提取攻击通常可以在几个小时内成功提取以文字数据阵列方式存放的密钥代码。白盒密码算法9是一种新的密码算法,它与传统密码算法的不同点是能够抵抗白盒攻击环境下的攻击。白盒密码使得密钥信息可充分隐藏、防止窥探,因此确保了在感知设备中安全地应用原有密码系统,极大提升了安全性。白盒密码作为一个新兴的安全应用技术,能普遍应用在各个行业领域、应用在各个技术实现层面。例如,HCE云支付、车联网,在端点(
52、手机终端、车载终端)层面实现密钥与敏感数据的安全保护;在云计算上,可对云上的软件使用白盒密码,保证在云这个共享资源池上,进行加解密运算时用户需要保密的信息不会被泄露。over-theair(OTA)对应的物联网安全需求:设备保护和资产管理。空中下载技术(over-theair,OTA),最初是运营商通过移动通信网络(GSM或者CDMA)的空中接口对SIM卡数据以及应用进行远程管理的技术,后来逐渐扩展到固件升级,软件安全等方面。随着技术的发展,物联网设备中总会出现脆弱性,所以设备在销售之后,需要持续的打补丁。而物联网的设备往往数量巨大,如果花费人力去人工更新每个设备是不现实的,所以
53、OTA技术在设备销售之前应该被植入到物联网设备之中。深度包检测(DPI)技术对应的物联网安全需求:攻击检测和防御。互联网环境中通常使用防火墙来监视网络上的安全风险,但是这样的防火墙针对的是TCP/IP协议,而物联网环境中的网络协议通常不同于传统的TCP/IP协议,如工控中的Modbus协议等,这使得控制整个网络风险的能力大打折扣。因此,需要开发能够识别特定网络协议的防火墙,与之相对应的技术则为深度包检测技术。HYPERLINK/webback/UploadFile/DownloadDoc/46825c79-0829-46d1-acdd-03cf7de742/webback
54、/UploadFile/DownloadDoc/46825c79-0829-46d1-acdd-03cf7de7428d.pdf深度包检测技术(deeppacketinspection,DPI)是一种基于应用层的流量检测和控制技术,当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时,该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。思科和罗克韦尔10自动化联手开发了一项符合工业安全应用规范的深度数据包检测(DPI)技术。采用DPI技术的工业防
56、实现非常有挑战。这些设备通常会实现TCP/IP协议栈,使用Internet来进行报告、配置和控制功能。由于资源和成本方面的考虑,除密码认证外,许多使用8位MCU的设备并不支持其他的安全功能。Zilog11和IconLabs12联合推出了使用8位MCU的设备的安全解决方案。Zilog提供MCU,IconLabs将Floodgate防火墙13集成到MCU中,提供基于规则的过滤,SPI(StatefulPacketInspection)和基于门限的过滤(threshold-basedltering)。防火墙控制嵌入式系统处理的数据包,锁定非法
58、te-firewall/prod/products/device-protection/floodgate-firewall访问控制图3.2嵌入式防火墙对应的物联网安全需求:认证、访问控制管理传统企业网络架构通过建立一个固定的边界使内部网络与外部世界分离,这个边界包含一系列的防火墙策略来阻止外部用户的进入,但是允许内部用户对外的访问。由于封锁了外部对于内部应用和设施的可见性和可访问性,传统的固定边界确保了内部服务对于外部威胁的安全。企业网络架构中的固定的边界模型正在变得过时,BYOD和钓鱼攻击提供了对于内部网络的不可信访问,以及SaaS和IaaS正在改变边界的位置。软件定义边界(