IoT智能硬件安全威脅分析與應對方法

樊期光 彭華熹 齊文杰 彭 晉 何 申

(中國移動通信有限公司研究院 北京 100053)(fanqiguang@chinamobile.com)

1 IoT智能硬件安全概述

1.1 IoT智能硬件的發(fā)展

IoT智能硬件指具備通信能力、能夠?qū)崿F(xiàn)數(shù)據(jù)發(fā)送及接收、具備信息采集或控制等功能的設備，如視頻監(jiān)控、傳感器等.物聯(lián)網(wǎng)可通過多種接入網(wǎng)絡實現(xiàn)設備與設備、設備與應用、設備與人之間的通信.

隨著物聯(lián)網(wǎng)的快速發(fā)展，IoT智能硬件已廣泛應用于個人穿戴、家庭安防、交通物流、智慧金融、智能家居、環(huán)境監(jiān)測等行業(yè)，IoT智能硬件無處不在且形態(tài)多樣，功能及計算能力差異大，在提供服務的過程中會生成復雜的本地和云端數(shù)據(jù).根據(jù)Gartner的預測，2020年全球聯(lián)網(wǎng)設備數(shù)量將達260億[1]，物聯(lián)網(wǎng)市場規(guī)模超過1.9萬億美元，IDC也給出1.7萬億美元規(guī)模的預測.

1.2 IoT智能硬件安全問題

在2017年6月開始實行的《中國人民共和國網(wǎng)絡安全法》中明確了關鍵信息基礎設施定義：“公告通信和信息服務、能源、交通、水利、金融、公共服務等重要行業(yè)領域，以及其他一旦遭受破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施.”當前，IoT智能硬件相關技術已經(jīng)滲透并深入應用到智慧城市、智慧農(nóng)業(yè)、智慧糧庫、智慧能源系統(tǒng)、智慧海洋、智慧醫(yī)療等領域，涉及到關鍵信息基礎設施的各個方面，IoT智能硬件的安全問題已經(jīng)成為關鍵信息基礎保護的重中之重.

根據(jù)統(tǒng)計結果顯示，70%的IoT智能硬件設備本身存在被攻擊的風險.IoT智能硬件可能會被黑客利用從事犯罪活動，包括監(jiān)控現(xiàn)場、授權其他用戶遠程控制等.不論是黑帽大會安全專家通過簡單應用發(fā)出命令遠程控制胰島素泵，可隨意增加降低病人血糖值，還是BBC和Forbes等媒體報道家庭攝像頭被遠程控制，或者是Jeep汽車被篡改固件導致車輛失控，種種的事件顯示出當前的IoT智能硬件安全形勢不容樂觀.

根據(jù)Business Insider的調(diào)查[2]，39%的受訪者認為安全問題是阻礙物聯(lián)網(wǎng)投資最重要的屏障，即便如此，62%的管理人員依然計劃或正在擴大采購基于IoT智能硬件的系統(tǒng),而其個人和家庭消費市場更是異常火熱，這給IoT智能硬件的安全帶來了極大的挑戰(zhàn).

2 IoT智能硬件安全威脅分析

2.1 IoT智能硬件安全威脅分析模型

物聯(lián)網(wǎng)是一個基于感知技術，融合了各類應用的服務型網(wǎng)絡系統(tǒng).可以利用現(xiàn)有各類網(wǎng)絡，通過自組網(wǎng)能力，無縫連接、融合形成物聯(lián)網(wǎng)，實現(xiàn)物與物、人與物之間的識別與感知，發(fā)揮智能作用.在業(yè)界，物聯(lián)網(wǎng)通常被分為3個層次：底層是感知世界的感知層；中間是數(shù)據(jù)傳輸?shù)木W(wǎng)絡層；最上層則是應用層.

感知層是所有數(shù)據(jù)的來源，物聯(lián)網(wǎng)發(fā)展的最終目標是實現(xiàn)萬物互聯(lián)，所以感知層的目標是全面感知和收集所需的外界信息，感知層通過從智能標簽RFID、GPS、環(huán)境傳感器、工業(yè)傳動器、攝像頭等各種各樣的IoT智能硬件中獲取原始數(shù)據(jù)，所以IoT智能硬件的安全就是整個物聯(lián)網(wǎng)安全的源頭.

根據(jù)目前比較普遍存在的安全風險和IoT智能硬件本身的技術架構，本文定義了IoT智能硬件的安全威脅分析模型，如圖1所示.我們將IoT智能硬件的安全問題分為4部分：硬件安全、系統(tǒng)安全、應用安全以及數(shù)據(jù)安全.

圖1 IoT智能硬件安全威脅分析模型

2.2 IoT智能硬件安全威脅分析

2.2.1硬件安全威脅

由于部分IoT智能硬件長期暴露在外的特性，IoT智能硬件的物理安全可能會比傳統(tǒng)互聯(lián)網(wǎng)終端受到更加嚴重的威脅.無論是城市交通、工業(yè)環(huán)境或者農(nóng)業(yè)環(huán)境中所部署的IoT智能硬件等傳感器分布范圍廣、設備數(shù)量多、待機時間長，如果長時間無人值守，則這些設備很可能因為其暴露的調(diào)試接口或者芯片設計缺陷導致數(shù)據(jù)直接被黑客捕獲，從而引發(fā)大面積攻擊事件[3].對于小型家用和個人IoT智能硬件，攻擊者可以通過較為容易的方式對其進行側信道攻擊[4-5]，從而獲得更多更敏感的隱私數(shù)據(jù).

除此之外，由于設備部署環(huán)境的原因，設備丟失或被盜是物聯(lián)網(wǎng)設備面臨的普遍威脅，由設備丟失或被盜引發(fā)的隱私、機密信息泄露，進而可能導致企業(yè)或個人的財務名譽受損.

2.2.2系統(tǒng)(固件)安全威脅

由于部分物聯(lián)網(wǎng)感知層設備受硬件資源限制，無法完成大量的計算任務，在使用特定硬件架構的物聯(lián)網(wǎng)終端上，傳統(tǒng)的訪問控制、沙箱、病毒查殺等系統(tǒng)防御技術可能無法實現(xiàn)，導致物聯(lián)網(wǎng)感知層設備的系統(tǒng)安全十分薄弱.文獻[6]通過分析大量嵌入式設備系統(tǒng)固件，發(fā)現(xiàn)了許多可以利用的高危系統(tǒng)漏洞.

除此以外，文獻[7]對比分析包括Android things，RIOT，ARM mbed，Lite OS在內(nèi)等多款現(xiàn)有比較流行的IoT智能硬件操作系統(tǒng)，并指出了其主要存在的3個問題：終端系統(tǒng)安全設計的缺失、原有安全機制的直接沿用或沒有充分利用自身硬件架構特性.現(xiàn)有IoT智能硬件系統(tǒng)在設計之初，普遍只關注其功能要求，大多并沒有考慮對系統(tǒng)安全進行額外的設計，例如RIOT，其安全特性主要是針對多種通信協(xié)議作了改進[8]，即使像ARM mbed[9]在設計時將安全考慮在內(nèi)，但其對于操作系統(tǒng)本身也并沒有采取有效的保護措施，僅僅是為了保護通信安全添加了SSL功能.啟動代碼沒有進行合法性、完整性驗證，系統(tǒng)和預置應用組件等漏洞未及時修補，系統(tǒng)權限開放過多或權限限制不嚴格等問題普遍存在.

2.2.3應用安全威脅

目前物聯(lián)網(wǎng)設備廠商普遍缺乏安全意識和安全能力，在終端業(yè)務應用的設計和開發(fā)過程中可能并未考慮審核安全問題，導致應用存在各種邏輯缺陷或者編碼漏洞，甚至有些廠商為了節(jié)約成本直接調(diào)用第三方組件，可能導致在設備出廠前就已經(jīng)引入了公開的漏洞.隨著物聯(lián)網(wǎng)設備在工業(yè)等關鍵設施中的廣泛應用，其安全問題也越發(fā)嚴重，攻擊者可以通過入侵控制基礎設備的關鍵應用程序從而造成嚴重的物理破壞.

應用軟件在邏輯設計上的缺陷或錯誤，可能被不法者利用，通過植入木馬、病毒等方式來攻擊或控制整個設備，甚至破壞系統(tǒng).

2.2.4數(shù)據(jù)安全威脅

如本節(jié)開始所述，IoT智能硬件是所有數(shù)據(jù)的源頭，每個終端以及終端之間的交互通常都會涉及大量個人隱私信息或者其他業(yè)務數(shù)據(jù)，當前，物聯(lián)網(wǎng)終端受到硬件資源限制，傳統(tǒng)數(shù)據(jù)安全保護機制無法引入，敏感數(shù)據(jù)缺少保護機制，同時沒有明確的數(shù)據(jù)采集、傳輸和訪問控制范圍，未經(jīng)用戶允許，設備擅自采集大量的用戶隱私信息、隱私信息存儲位置不安全或者未加密、數(shù)據(jù)訪問控制權限過高等缺陷將會帶來嚴重的數(shù)據(jù)泄露風險，這些數(shù)據(jù)很有可能被攻擊者直接篡改或者加以利用.

總的來說，IoT智能硬件各層面臨的安全風險繁多，其原因包括以下幾方面：

1) 成本原因.市場競爭環(huán)境要求廠商盡可能使用低成本完成物聯(lián)網(wǎng)功能，因此安全性高的解決方案很可能不會被采納.

2) 技術原因.使用者缺乏安全意識或技能，公眾缺乏安全意識，導致出現(xiàn)設備管理或權限配置不當、主從設備使用不當、認證信息過于簡單或未修改默認配置等問題.

3) 管理原因.缺乏標準要求和指南手冊來指導和規(guī)范IoT智能硬件的設計、研發(fā)、生產(chǎn)、供應鏈管理、入庫、入網(wǎng).

3 IoT智能硬件安全防護方案

基于上述IoT智能硬件安全威脅模型和分析，建議應從硬件、系統(tǒng)、應用和數(shù)據(jù)各層面引入相應的防護技術，以提升IoT智能硬件整體安全性.

3.1 硬件安全防護

IoT智能硬件的硬件安全包括調(diào)試接口安全、芯片安全以及PCB板的布線、連接器安全等.硬件安全防護能力是IoT智能硬件安全的第1道防線，特別是對物理攻擊的防范至關重要.

第一，應該增加硬件層面的主動篡改保護功能，對終端硬件模塊和物理接口進行一定程度的安全保障，如采用環(huán)氧樹脂覆蓋調(diào)試接口，當設備被打開后通過自毀電路裝置進行芯片破壞等方案防止被攻擊.

第三，核心器件應盡量選擇機密性更好的封裝方式，并將敏感的數(shù)據(jù)線或地址線封裝到PCB板內(nèi)層.

3.2 系統(tǒng)(固件)安全防護

IoT智能硬件的系統(tǒng)(固件)是整個終端的核心，承載著所有功能和業(yè)務應用以及底層硬件資源調(diào)度和管理，所以其安全在一定程度上影響產(chǎn)品整體安全.通常大規(guī)模網(wǎng)絡攻擊和漏洞利用均是系統(tǒng)漏洞或者固件配置不合理的問題.

IoT智能硬件系統(tǒng)(固件)的安全應滿足以下幾點：

第一，安全的系統(tǒng)(固件)升級機制.系統(tǒng)(固件)升級非常重要，因為軟件的漏洞幾乎不可避免，所以采用及時進行漏洞修補和安全升級至關重要.

第二，系統(tǒng)權限限制.采用最小權限原則，保證系統(tǒng)(固件)對系統(tǒng)資源的調(diào)用等行為總是在受控的情況下.

第三，加強密鑰管理.IoT智能硬件應減少共享密鑰的使用，采用個性化的密鑰、身份和配置，避免單個產(chǎn)品被破解后產(chǎn)品整體淪陷.

隨著物聯(lián)網(wǎng)應用場景越來越多，通用的安全防護手段并不能完全適應所有應用場景下的IoT智能硬件，不同場景下的個性化安全需求側重點也各不相同.

智能家居場景下[10-12]，IoT智能硬件系統(tǒng)(固件)的首要安全任務就是隱私數(shù)據(jù)保護，因為這些數(shù)據(jù)不僅只包含與用戶身份認證直接相關的密碼、指紋以及虹膜等隱私信息，還包含了家庭水電燃氣以及家庭消防和警報數(shù)據(jù)等.智能家居終端的操作系統(tǒng)需要在不影響應用端使用這些隱私數(shù)據(jù)的同時防止隱私數(shù)據(jù)泄露.

智能醫(yī)療場景下,IoT智能硬件系統(tǒng)(固件)除了需要嚴格保護隱私數(shù)據(jù)，對設備的關鍵程序操作也需要加強實時監(jiān)控，確保異常行為在實施前可以被終止，切實地保證醫(yī)療設備的安全運行.

智能汽車應用場景下，對于車輛CAN總線的防護和隔離至關重要.用戶訪問車載系統(tǒng)必須進行身份驗證，系統(tǒng)內(nèi)應防止攻擊者借助安全性較低的系統(tǒng)程序(如車載娛樂系統(tǒng)、導航系統(tǒng)等)對CAN總線非法訪問.系統(tǒng)內(nèi)應采用訪問控制，將系統(tǒng)資源和應用程序相隔離，從而保護系統(tǒng)關鍵文件不被非法訪問.

工業(yè)應用場景下，現(xiàn)階段IoT智能硬件的安全性主要依靠入侵檢測與防御系統(tǒng)[13]，如何提高入侵檢測的正確率是保證工業(yè)安全性的關鍵.通過關鍵設備控制命令的相關參數(shù)確定設備正常運行時的值域范圍，配合專家的意見修訂值域用來與實時通信中的控制命令參數(shù)進行比對確定入侵，從而確保異常程序行為不被執(zhí)行.

3.3 應用安全防護

IoT智能硬件的應用包括設備內(nèi)置應用和對應手機客戶端應用，它們承載著所有的業(yè)務功能，很多用戶的敏感數(shù)據(jù)也會存儲在相關的業(yè)務應用中，關鍵應用的安全性會影響到整體業(yè)務的安全.應用安全的防護主要分為3個階段的防護：應用設計開發(fā)階段、應用發(fā)布階段、應用運維階段.

在應用設計開發(fā)階段，應針對業(yè)務場景認真分析安全需求并應用相應的安全技術，提高開發(fā)人員的代碼安全意識，嚴格執(zhí)行代碼審計，嚴格控制內(nèi)置應用權限，減少程序漏洞的出現(xiàn).

在應用發(fā)布階段，對開發(fā)完成的應用進行加固和代碼混淆，同時運用反編譯保護、完整性保護、數(shù)據(jù)保護等技術手段，以防止程序被反編譯和破解.

在應用運維階段，要建立應用程序風險識別能力，實時分析終端上應用程序的安全態(tài)勢以及風險分布，通過威脅情報收集，預測安全風險趨勢，做好預警工作，及時處理應用出現(xiàn)的各類安全事件.

3.4 數(shù)據(jù)安全防護

IoT智能硬件收集的數(shù)據(jù)涉及到企業(yè)的經(jīng)濟及商業(yè)機密，一旦泄露可能會導致企業(yè)破產(chǎn)、人身威脅，甚至威脅到國土安全.數(shù)據(jù)安全方案建議如下：第一，保證安全的網(wǎng)絡傳輸，包括采用雙向多因素認證、足夠強度的加密、獨立VPN或APN、安全成熟的傳輸協(xié)議等方案；第二，采用成熟可靠的加密算法，加密存儲重要密鑰、密碼、系統(tǒng)配置等文件及敏感信息.

4 IoT智能硬件安全評測模型

為了加強IoT智能硬件安全的管理，針對各產(chǎn)品類型的IoT智能硬件安全水平進行客觀、綜合評價，進行安全評測是行之有效且必須的手段.

安全評測模型從分層模型入手，針對各層開展安全評測，主要包括硬件安全、系統(tǒng)安全、應用安全、數(shù)據(jù)安全4個方面，評測的關鍵點和相關技術如圖2所示:

圖2 IoT智能硬件安全評測關鍵點和相關技術

IoT智能硬件種類繁多，使用場景多樣，安全評測方法一刀切是不現(xiàn)實的.評測者需要首先了解相關背景，才能對評測需求有一個整體的把控，有重點、有目標地進行測試.其次，評測者應進一步了解產(chǎn)品的整體實現(xiàn)架構和方案，這樣既可以評估設計、實現(xiàn)方案與場景是否和需求匹配，又可以對后續(xù)詳細的測試進行總體指導.

測試完成后，是研發(fā)人員修復問題的階段.評測人員結合需求和測試結果，進行相應的復測，直到產(chǎn)品安全達標或需求終止.

5 總結與展望

本文分析了IoT智能硬件的安全威脅和原因，并給出了相應的安全防護建議，并在本文最后提出了安全防護分層模型，強調(diào)安全評測是保證設備安全入網(wǎng)的關鍵環(huán)節(jié)，建議在IoT智能硬件產(chǎn)品的研發(fā)過程中引入安全評測，以提前發(fā)現(xiàn)問題，保證物聯(lián)網(wǎng)IoT智能硬件安全.