物聯(lián)網(wǎng)終端安全技術(shù)挑戰(zhàn)與機(jī)遇

厲正吉

（中國(guó)移動(dòng)通信有限公司研究院，北京 100053）

物聯(lián)網(wǎng)終端安全技術(shù)挑戰(zhàn)與機(jī)遇

厲正吉

（中國(guó)移動(dòng)通信有限公司研究院，北京 100053）

隨著NB-IoT、eMTC等蜂窩物聯(lián)網(wǎng)技術(shù)的制定和成熟，物聯(lián)網(wǎng)應(yīng)用蓬勃發(fā)展，終端安全問(wèn)題也日益突顯。針對(duì)物聯(lián)網(wǎng)環(huán)境下的安全需要，分析了當(dāng)前物聯(lián)網(wǎng)終端面臨的各種安全問(wèn)題，研究了應(yīng)對(duì)這些安全問(wèn)題時(shí)面臨的新挑戰(zhàn)，在這些挑戰(zhàn)之下也出現(xiàn)了新的機(jī)遇，可以催生新的產(chǎn)業(yè)。

終端 物聯(lián)網(wǎng)安全 非授權(quán)訪問(wèn)

1 引言

物聯(lián)網(wǎng)通過(guò)部署具有一定感知、計(jì)算、執(zhí)行和通信等能力的各種設(shè)備，獲取物理世界的信息，通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)信息的傳輸和處理，實(shí)現(xiàn)了人與物、物與物的互聯(lián)。物聯(lián)網(wǎng)有諸多安全問(wèn)題亟待解決，比如在線支付時(shí)需要保護(hù)用戶支付數(shù)據(jù)的完整性和機(jī)密性，使用家庭網(wǎng)絡(luò)攝像頭時(shí)需要保護(hù)用戶的個(gè)人隱私。

物聯(lián)網(wǎng)要能夠?qū)W(wǎng)絡(luò)的訪問(wèn)進(jìn)行控制，確認(rèn)用戶身份，保證傳輸和存儲(chǔ)數(shù)據(jù)的機(jī)密性，保證物聯(lián)網(wǎng)的可用性，防止網(wǎng)絡(luò)遭受各種威脅，對(duì)影響網(wǎng)絡(luò)和業(yè)務(wù)的意外事故具備相應(yīng)的應(yīng)對(duì)措施。

根據(jù)物聯(lián)網(wǎng)分層模型，物聯(lián)網(wǎng)在邏輯上可以分為三層：感知層、網(wǎng)絡(luò)層和應(yīng)用層。跟分層模型相對(duì)應(yīng)，物聯(lián)網(wǎng)安全需求可以劃分為：感知層末端節(jié)點(diǎn)的安全需求和感知層安全需求，網(wǎng)絡(luò)層安全需求，業(yè)務(wù)層、應(yīng)用層的安全需求以及各種支撐系統(tǒng)運(yùn)維系統(tǒng)的安全需求[1]。

物聯(lián)網(wǎng)終端處于感知層的末端，是整個(gè)物聯(lián)網(wǎng)的“神經(jīng)末梢”，物聯(lián)網(wǎng)安全首先要解決的是終端的安全問(wèn)題。

2 安全需求

物聯(lián)網(wǎng)終端的安全需求包括物理安全防護(hù)、訪問(wèn)控制、機(jī)密性、私密性、完整性、可用性等多個(gè)方面。

2.1 物理安全防護(hù)

物聯(lián)網(wǎng)終端需要具備足夠的物理安全防護(hù)措施以保證工作期間自身物理實(shí)體不被損壞，為終端功能的正常運(yùn)行提供必要的保障。

對(duì)于戶外安裝的終端設(shè)備，需要具備足夠的防水功能，具有足夠的機(jī)械強(qiáng)度。對(duì)于只允許專(zhuān)業(yè)人員開(kāi)啟的設(shè)備，可以加裝鎖具、進(jìn)行鉛封。

2.2 訪問(wèn)控制

物聯(lián)網(wǎng)終端必需加強(qiáng)訪問(wèn)控制，防止非授權(quán)用戶的訪問(wèn)。比如使用網(wǎng)絡(luò)攝像頭時(shí)，必須對(duì)網(wǎng)絡(luò)攝像頭默認(rèn)的賬戶密碼進(jìn)行修改。對(duì)于一些使用Zigbee、藍(lán)牙等短距離通信技術(shù)的智能表計(jì)，當(dāng)其他設(shè)備要與之通信時(shí)必須進(jìn)行身份驗(yàn)證，防止非授權(quán)設(shè)備讀取表計(jì)數(shù)據(jù)。

2.3 機(jī)密性

物聯(lián)網(wǎng)終端在傳輸數(shù)據(jù)時(shí)需要對(duì)數(shù)據(jù)進(jìn)行必要的加密，以防他人惡意竊取數(shù)據(jù)，獲取用戶機(jī)密。

現(xiàn)實(shí)中，終端廠家在開(kāi)發(fā)加密機(jī)制的終端時(shí)，需要考慮算法的選擇、密鑰的分發(fā)和存儲(chǔ)機(jī)制等，這存在一定的研發(fā)難度，而且除非出現(xiàn)安全事故，否則用戶一般無(wú)法確認(rèn)物聯(lián)網(wǎng)終端是否具有加密機(jī)制，這就導(dǎo)致一些終端廠家索性忽略機(jī)密性，安全隱患極大。

2.4 私密性

物聯(lián)網(wǎng)終端內(nèi)存有用戶的私密數(shù)據(jù)，比如身份證號(hào)碼、指紋、聲紋、虹膜等個(gè)人信息，通信錄等隱私信息。物聯(lián)網(wǎng)終端需要有足夠的安全機(jī)制保證這些私密信息在無(wú)用戶授權(quán)的情況下，他人無(wú)法讀取。終端通常可以采用單獨(dú)的安全處理器、存儲(chǔ)區(qū)或者TrustZone等來(lái)保證私密性。

2.5 完整性

物聯(lián)網(wǎng)終端應(yīng)當(dāng)保證自身軟件的完整性，不能被外部惡意程序入侵。對(duì)于支持安裝應(yīng)用的終端，必須對(duì)應(yīng)用開(kāi)發(fā)者進(jìn)行驗(yàn)證，不允許安裝無(wú)法通過(guò)驗(yàn)證和來(lái)源不明的應(yīng)用。物聯(lián)網(wǎng)終端在進(jìn)行系統(tǒng)軟件升級(jí)時(shí)也要對(duì)升級(jí)軟件包進(jìn)行驗(yàn)證。終端在與外界進(jìn)行通信時(shí)，也要防止惡意程序經(jīng)由各種漏洞侵入終端的軟件系統(tǒng)。終端開(kāi)機(jī)時(shí)，需要對(duì)自身的文件系統(tǒng)進(jìn)行完整性和一致性的檢驗(yàn)，出錯(cuò)后可以從備份中恢復(fù)受損的文件系統(tǒng)。

2.6 可用性

多數(shù)物聯(lián)網(wǎng)終端一經(jīng)部署就進(jìn)入無(wú)人值守的自動(dòng)工作狀態(tài)，這就要求終端具備一定的可靠性，保證在使用壽命范圍內(nèi)的持續(xù)可用性。比如低功耗廣覆蓋（LPWA）領(lǐng)域，某些終端具備5 Wh電池10年續(xù)航能力，這不僅是對(duì)終端的低功耗要求，也是對(duì)終端持續(xù)可用性的要求，終端在無(wú)人值守的情況下能夠至少正常工作10年。

3 面臨的安全問(wèn)題

近年來(lái)，隨著物聯(lián)網(wǎng)終端品類(lèi)的快速增長(zhǎng)，各種應(yīng)用爆發(fā)，涉及到的軟件、硬件組件越來(lái)越多，各種安全問(wèn)題也有愈演愈烈的趨勢(shì)。物聯(lián)網(wǎng)終端安全問(wèn)題中危害大、防范難的軟件安全問(wèn)題具體可以分為如下六個(gè)方面。

3.1 非授權(quán)訪問(wèn)

這是惡意入侵物聯(lián)網(wǎng)終端的第一步。隨著物聯(lián)網(wǎng)終端智能化程度和處理能力的增強(qiáng)，很大一部分終端都內(nèi)置了Linux系統(tǒng)，又由于種種原因，很多設(shè)備的root口令被公開(kāi)，通過(guò)SSH登錄后，就獲得了對(duì)終端的完全控制。除了root口令，其它口令如果不夠復(fù)雜，也存在一定的安全隱患。

2017年5月“蠕蟲(chóng)”式的勒索軟件WannaCry通過(guò)Windows SMB協(xié)議的漏洞在全球范圍內(nèi)快速傳播，100多個(gè)國(guó)家和地區(qū)超過(guò)10萬(wàn)臺(tái)電腦遭到了攻擊和感染，危害極大。

為了防止此類(lèi)問(wèn)題的發(fā)生，一方面要注意加強(qiáng)系統(tǒng)口令的保護(hù)，另一方面也要注意操作系統(tǒng)的升級(jí)。

還有一些更加“低層”的入侵形式。2011年，“白天是計(jì)算機(jī)科學(xué)家，夜晚是黑客”的Ralf Weinmann博士設(shè)計(jì)了一個(gè)假冒GSM基站。當(dāng)iPhone在這個(gè)基站上注冊(cè)時(shí)，在鑒權(quán)過(guò)程中，假基站發(fā)出一條專(zhuān)門(mén)設(shè)計(jì)的非法消息，iPhone使用的基帶芯片解碼這條消息時(shí)會(huì)發(fā)生緩沖區(qū)溢出，之后將打開(kāi)自動(dòng)接聽(tīng)功能。于是，iPhone就變成了一部竊聽(tīng)器。2017年4月，Ralf Weinmann發(fā)現(xiàn)華為海思Balong基帶處理器的MIAMI漏洞，利用該漏洞，同樣可以把使用了該芯片的手機(jī)、筆記本或者其他物聯(lián)網(wǎng)設(shè)備變成竊聽(tīng)器。這種利用基帶處理器實(shí)現(xiàn)的OTA入侵應(yīng)該引起足夠的重視。非授權(quán)訪問(wèn)的攻擊點(diǎn)下沉到通信處理器層面，這是一個(gè)需要警惕的現(xiàn)象。

3.2 信息泄露

信息泄露可能會(huì)給終端用戶帶來(lái)直接危害。比如根據(jù)水表、電表或者燃?xì)獗淼脑敿?xì)計(jì)量，可以準(zhǔn)確地推斷出某處住房是否有人、有多少人。不法分子根據(jù)這些數(shù)據(jù)完全可以做到“遠(yuǎn)程踩點(diǎn)”。

保證信息不泄露的關(guān)鍵在于保證終端不被非法入侵。但是，還有一些不需要入侵的“無(wú)創(chuàng)”型信息泄露。以手機(jī)為例，各種傳感器、無(wú)線通信功能攜帶了非常多的“旁路”信息可供利用：網(wǎng)頁(yè)里的JavaScript程序無(wú)需授權(quán)就可以讀取陀螺儀數(shù)據(jù)，而陀螺儀會(huì)受人講話的干擾，JavaScript程序記錄并分析陀螺儀數(shù)據(jù)，雖然采樣率不足（一般最高為200 Hz）無(wú)法完全還原出人聲，但是在說(shuō)話人識(shí)別、孤立詞識(shí)別方面取得了一定的成功率[2]。更簡(jiǎn)單的情況是，比如通過(guò)加速度傳感器的輸出判斷手機(jī)姿態(tài)，進(jìn)而判斷是否在通話也有較高的成功率。當(dāng)手指點(diǎn)擊屏幕時(shí)會(huì)對(duì)無(wú)線信號(hào)的傳播產(chǎn)生微弱影響，點(diǎn)擊的位置不同影響也不同，據(jù)此通過(guò)考察Wi-Fi信號(hào)CSI的變化可以在一定程序上推斷出用戶的點(diǎn)擊位置，從而實(shí)現(xiàn)用戶密碼竊取等[3]。類(lèi)似的旁路攻擊隱蔽性強(qiáng)，防范困難。

3.3 拒絕服務(wù)

一些具備關(guān)鍵功能的物聯(lián)網(wǎng)終端有可能受到拒絕服務(wù)攻擊，比如門(mén)禁，功能失效后，會(huì)危及財(cái)產(chǎn)安全。為了盡量減少遭受拒絕服務(wù)攻擊的可能性，一方面終端需要識(shí)別攻擊并采取一點(diǎn)防御措施，另一方面網(wǎng)絡(luò)設(shè)備也需要基本攻擊鑒別能力并較早地將攻擊方進(jìn)行隔離。

3.4 假冒節(jié)點(diǎn)攻擊網(wǎng)絡(luò)

物聯(lián)網(wǎng)終端被入侵后，可能被遠(yuǎn)程控制成為他人發(fā)動(dòng)分布式拒絕服務(wù)攻擊（DDoS）的工具。比如2016年Linux Mirai惡意軟件入侵了大量的家用路由器、網(wǎng)絡(luò)攝像頭、數(shù)字?jǐn)z像機(jī)等設(shè)備，這些設(shè)備在遠(yuǎn)程控制下成功發(fā)起了多起DDoS攻擊，其中在9月20日對(duì)某博客網(wǎng)站的攻擊中流量超過(guò)620 Gb/s，9月底的另一次攻擊中流量為破記錄的1.5 Tb/s[4]。

3.5 自私性威脅

物聯(lián)網(wǎng)終端接入網(wǎng)絡(luò)后不能出于自私而濫用網(wǎng)絡(luò)資源。為了避免終端出現(xiàn)此類(lèi)自私行為，需要對(duì)終端進(jìn)行入網(wǎng)認(rèn)證測(cè)試，確保終端行為符合網(wǎng)絡(luò)協(xié)議及無(wú)線電監(jiān)管規(guī)定。

3.6 惡意代碼攻擊

惡意代碼侵入終端后，可以獲取信息、修改終端行為，乃至使終端完全喪失功能。終端內(nèi)運(yùn)行的軟件需要經(jīng)過(guò)嚴(yán)格的測(cè)試、驗(yàn)證，盡可能避免出現(xiàn)漏洞。可以采用源代碼靜態(tài)分析軟件對(duì)代碼進(jìn)行分析，也可以對(duì)代碼進(jìn)行充分的白盒測(cè)試、模塊測(cè)試，保證測(cè)試結(jié)果至少達(dá)到語(yǔ)句覆蓋和條件組合覆蓋，還可以考慮使用支持契約編程等高級(jí)特性的編程語(yǔ)言，使用測(cè)試驅(qū)動(dòng)的開(kāi)發(fā)方式等多管齊下的方式，保證軟件質(zhì)量。

4 應(yīng)對(duì)思路和方法探討

物聯(lián)網(wǎng)的安全問(wèn)題縱然嚴(yán)峻，但也“不要驚慌”。Maciej Kranz在他的物聯(lián)網(wǎng)專(zhuān)著[5]里分析了企業(yè)應(yīng)該如何應(yīng)對(duì)物聯(lián)網(wǎng)安全問(wèn)題。這里著重討論個(gè)人用戶如何應(yīng)對(duì)終端方面的安全問(wèn)題。

4.1 事前預(yù)防

需要掌握一定的終端安全知識(shí)，注意不能使用默認(rèn)或者簡(jiǎn)單的口令。購(gòu)置終端時(shí)也要考慮終端廠家的可靠性，盡量選擇成熟企業(yè)的產(chǎn)品。為家庭網(wǎng)絡(luò)起用防火墻，關(guān)注路由器流量統(tǒng)計(jì)數(shù)據(jù)是否有異常。周期性檢查各物聯(lián)網(wǎng)終端工作是否正常，如是否能收到正常的智能水表、智能電表的計(jì)費(fèi)信息。注意進(jìn)行終端軟件更新，使軟件處于最新?tīng)顟B(tài)。

4.2 事中鑒別

熟悉各種終端運(yùn)行狀態(tài)，發(fā)現(xiàn)異常時(shí)，進(jìn)一步檢查，確認(rèn)問(wèn)題，視影響采取斷網(wǎng)、斷電等方法。

4.3 事后減損

安全問(wèn)題解決后，需要評(píng)估損失，數(shù)據(jù)丟失時(shí)可以采取相關(guān)措施恢復(fù)數(shù)據(jù)；設(shè)備無(wú)法運(yùn)行時(shí)，需要重新下載版本或者恢復(fù)出廠設(shè)置；個(gè)人隱私數(shù)據(jù)丟失時(shí)，尤其是涉及金融信息時(shí)，需要立即通知金融機(jī)構(gòu)以減免財(cái)產(chǎn)損失。總之，安全問(wèn)題發(fā)生后，要采取一切措施盡量減小損失。

對(duì)于企業(yè)用戶，更重要的是自上而下建立健全的安全防控應(yīng)對(duì)體系。相比個(gè)人用戶的損失，安全問(wèn)題對(duì)于企業(yè)用戶的影響更大，必須未雨綢繆，防患于未然。

從另一個(gè)角度來(lái)看，無(wú)論是企業(yè)還是個(gè)人，都需要專(zhuān)業(yè)的安全專(zhuān)家，協(xié)助開(kāi)展預(yù)防、鑒別、減損工作。這對(duì)于整個(gè)安全行業(yè)而言，無(wú)疑是一個(gè)很大的機(jī)遇。

5 結(jié)束語(yǔ)

隨著通信技術(shù)、傳感器技術(shù)的進(jìn)步，物聯(lián)網(wǎng)終端越來(lái)越多樣化，功能越來(lái)越豐富，研發(fā)過(guò)程中涉及到的技術(shù)層次也越來(lái)越多。為了使成品能盡快上市，研發(fā)時(shí)往往會(huì)“拿來(lái)主義”，直接將一些開(kāi)源組件以搭積木的方式拼湊到一起，至于每個(gè)組件是否可靠、是否存在漏洞，則很少關(guān)心。早在1984年UNIX開(kāi)發(fā)者之一的Ken Thompson在圖靈獎(jiǎng)獲獎(jiǎng)演講《對(duì)信任之信任的反思》[6]中提醒人們：出自名家名企之手的編譯器尚且不可信賴，更何況層出不窮的各種開(kāi)源組件了。安全行業(yè)應(yīng)該抓住機(jī)遇，積極挖掘漏洞，應(yīng)對(duì)攻擊，保障物聯(lián)網(wǎng)終端的安全。

總之，應(yīng)該正視安全問(wèn)題，采取合適的應(yīng)對(duì)措施，完全可以將風(fēng)險(xiǎn)控制在合理的范圍內(nèi)，使人們充分享受到物聯(lián)網(wǎng)所帶來(lái)的福利。

[1]中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì). YDB 101-2012物聯(lián)網(wǎng)安全需求[S]. 2012.

[2]M Yan, G Nakibly, G Nakibly. Gyrophone： recognizing speech from gyroscope signals[C]//Usenix Conference on Security Symposium, 2014： 1053-1067.

[3]M Li, Y Meng, J Liu, et al. When CSI Meets Public WiFi： Inferring Your Mobile Phone Password via WiFi Signals[C]//Acm Sigsac Conference, 2016： 1068-1079.

[4]US-CERT. Heightened DDoS Threat Posed by Mirai and Other Botnets[EB/OL]. (2016-10-14)[2017-06-20].https：//www.us-cert.gov/ncas/alerts/TA16-288A.

[5]Maciej Kranz. Building the Internet of Things： Implement New Business Models, Disrupt Competitors, Transform Your Industry[M]. America： Wiley, 2016.

[6]Ken Thompson. Reflections on Trusting Trust[J].Communications of the ACM, 1984,27(8)： 761-763.

[7]解晶晶. 基于敏捷開(kāi)發(fā)的軟件配置管理[J]. 電子信息對(duì)抗技術(shù), 2016,31(1)： 74-78.

[8]裴蘭珍,羅赟騫,景劼,等. 網(wǎng)絡(luò)安全漏洞滲透測(cè)試框架綜述[J]. 電子信息對(duì)抗技術(shù), 2016,31(2)： 10-13.

Challenges and Opportunities of IoT Terminal Security Technology

LI Zhengji
(China Mobile Research Institute, Beijing 100053, China)

With the development and maturation of cellular IoT technology such as NB-IoT and eMTC, IoT applications grow vigorously and the terminal security problem becomes increasingly important. According to the security requirements in IoT environment, different security problems faced by IoT terminals at present were analyzed, while the new challenges brought by these security problems were investigated. In the meantime, these challenges pose the new opportunities to create the new industries.

terminal IoT security unauthorized access

10.3969/j.issn.1006-1010.2017.20.009

TP309.1

A

1006-1010(2017)20-0054-04

厲正吉. 物聯(lián)網(wǎng)終端安全技術(shù)挑戰(zhàn)與機(jī)遇[J]. 移動(dòng)通信, 2017,41(20)： 54-57.

2017-06-25

責(zé)任編輯：劉妙 liumiao@mbcom.cn

厲正吉：碩士畢業(yè)于電信科學(xué)技術(shù)研究院，現(xiàn)任中國(guó)移動(dòng)通信有限公司研究院項(xiàng)目經(jīng)理，主要的研究方向?yàn)槲锫?lián)網(wǎng)技術(shù)及其相關(guān)應(yīng)用。