物聯網中智能設備安全策略

（核工業計算機應用研究所 北京 100048）

物聯網的出現掀起了全球信息產業的一場新的革命，隨著信息技術的發展，物聯網已經深入人們生活的方方面面。而隨著物聯網應用的日益廣泛，物聯網環境下的信息安全問題也日益突出[1]。探討物聯網環境中智能設備的信息安全問題并提出相應解決方案是必須和必要的。

由于智能設備“輕量級”的特點，針對傳統PC 操作系統的安全保護措施，如運行性能、處理能力、成本效率等問題無法被應用于智能設備的安全防護之中。因此，目前針對智能設備的安全攻防研究還僅僅停留在探索階段[2]。智能設備的安全性能好壞往往取決于生產設備的廠商自身的安全研發意識以及物聯網系統用戶的安全使用，不同類型、不同廠商、不同芯片指令集的智能設備的安全性能往往參差不齊，給設備使用者帶來不小的安全隱患。

本文以此希望對物聯網系統中安全問題得到全面的感知，同時將研究得到的安全相關經驗技術用于指導安全實踐，并對以后針對物聯網中智能設備安全問題的研究與分析提供一定的啟發意義。

1 物聯網中智能設備的攻擊技術

由于智能設備的定義，每臺設備必須在網絡環境中才能正常發揮其全部功能，因此針對智能設備的各類網絡行為進行攻擊往往是黑客最常采用的方式。

針對物聯網系統發起的攻擊往往是由點到面逐步進行的，攻擊者會首先嘗試鎖定需要攻擊的目標。通常選取攻擊目標的方式有兩種：其一采用對周圍網絡環境或是特定性目標網絡環境進行掃描的方式來搜尋周圍網絡環境中可能存在安全漏洞的智能設備；另一種則是直接挑選具有價值的智能設備或是智能設備的使用者進行APT攻擊，這類攻擊通常隱蔽性較高，持續時間較長，相應造成的損失也較大。

隨后攻擊者會嘗試構造攻擊向量，構造的方式通常有三種：對于那些安全防護措施本身較低的智能設備，攻擊者會嘗試直接挖掘或是利用現有的針對此型號智能設備的漏洞或是后門進行攻擊；而對于那些用于控制智能設備的應用軟件本身存在缺陷的案例，攻擊者更加傾向于直接攻擊這些應用軟件，通常的做法是直接向目標軟件所在的設備（手機、平板或是PC設備）植入病毒來竊取目標的Cookie 或是直接獲取對目標設備軟件的控制權限。此外還有一種攻擊向量的構造方式是直接針對目標智能設備所在的應用平臺發起攻擊，通常出現在針對汽車類型智能設備進行的攻擊案例當中，構造此類攻擊向量所需要花費的成本也相應較大，風險也非常之高，一般的攻擊者不會采取這種方式進行攻擊。

在攻擊者獲取了目標智能設備控制權限之后，會對已控制的設備進行價值評估。通常，只有那些能夠與外圍網絡進行網絡數據交換的智能設備才會被攻擊者進一步利用來鏈接其服務器，而對于那些僅限于物聯網內部進行數據通信的設備（例如攝像頭、智能插座等），攻擊者會用其作為跳板進一步攻擊物聯網環境中的其他智能設備。當攻擊者達到了自己的攻擊期望后，便可以操控被攻擊的物聯網系統實現一定的目標。竊取物聯網環境中用于的私人信息，與在物聯網系統中留存后門以備后續使用，是攻擊結果中最最常見的兩類。

2 物聯網中智能設備安全策略

2.1 針對智能設備的防御策略

（1）文件系統反解析策略

智能設備大多采用只讀型文件系統，常用的文件系統有SquashFS、CromFS、Cloop、CramFS 等等。我們為每一種文件系統都制定了反解析策略，這些策略的實現方式略有差別，但是中心思想都是一致的。

最簡單的反解析方式便是在文件系統壓縮數據塊前部放置13 字節的頭部信息。這些頭部信息可以用來更加直截了當的解壓縮每一個壓縮數據塊。其中最后的未壓縮數據塊大小可以被省略，因為SquashFS 代碼本身可以通過計算得出未被壓縮的數據塊大小，或是至少可以知道數據塊的最大邊界。

另外一種反解析方式是針對文件系統中每一個壓縮數據塊都添加一部分lzma 索引頭部。下面給出的是一種最通用的數據塊索引頭數據結構構造方式，實際上采用這種方式進行文件系統反解析在實現上比較靈活，廠商可以針對自己的智能設備自行定制此索引頭部采用的數據結構。

除去上述這些方法之外，SquashFS文件系統二進制文件中含有特殊位置字節用來標示其為SquashFS 壓縮方式，我們也可以改變固件文件二進制文件中的這些特征字節，來讓解析軟件誤以為這是一個損壞的或是非標準的SquashFS文件系統固件，以此來達到反解析效果。

（2）物聯網中智能設備集中式主動防御策略

根據主動防御系統的定義，一個完備的主動防御系統應當涵蓋以下三個部分：資源訪問規則控制；資源訪問掃描；程序行為活動分析引擎[3]。而在物聯網智能設備領域，我們無法為物聯網環境中的每一臺智能設備都制定一份主動防護策略。

在結構設計方面，提出“集中式”的主動防御策略。具體實現方式是在物聯網中普通智能設備上僅僅嵌入行為收集和數據傳輸的相關代碼模塊，而將數據處理部分代碼統一集中到一臺智能設備當中。這臺用作數據處理的智能設備僅僅用來分析其他智能設備提交上來的行為情況，并定期與物聯網管理者進行溝通，以發動安全攻擊預警或是更新自身安全防護策略。

在行為規則方面，所有與原先設計不相符合的設備行為都被判定為是非法的。因此在規則制定上采用“非白即黑”的方式。另外，智能設備通常攜帶許多次要功能，諸如固件版本更新、系統自愈、存儲空間掃描等，對于這種設備定義中合法但是不常用的行為，主動防御系統傾向于在設備發生這種行為時像管理員提交選項，管理員可以通過選擇同意或禁止來針對這些非常用行為進行監管。這樣做的好處是可以直觀地對流入流出整個物聯網系統的所有數據包信息進行監控，在實現過程當中僅僅需要將設備廠商提供的官方平臺數據包格式添加到主動防御設備的白名單即可。

2.2 智能設備應對進攻的反向追蹤策略

（1）針對物聯網系統惡意攻擊的探測策略

在物聯網系統的正常運作當中，尤其是在網絡中添加了上一節中描述的智能設備行為白名單之后，向非存活設備發送數據包這種行為在物聯網內部是不會出現的，因此我們可以判斷：針對智能設備網絡系統中非存活設備的主動連接行為是具有惡意的，可以將其標志為一次針對物聯網設備發起的攻擊的先兆。我們可以向上一節中提到的主動防御設備或是物聯網拓撲中的主路由節點設備中添加相應的代碼，來使其維護物聯網網絡環境中存活的設備列表，從而判斷出一個數據包是不是正在發送至非存活設備。物聯網中正常設備的列表可以通過管理員手動維護，也可以采用其他相關路由協議自主的維護。

（2）物聯網系統的鏡像蜜罐防護層

由于物聯網中智能設備多數使用嵌入式方式研發，具備輕量級的特點，因此能更加輕易地被虛擬化技術加以實現，物聯網的鏡像蜜罐防護層便是在這一理論基礎上提出和實現的。鏡像蜜罐防護層中的原子成員便是一個個的蜜罐，它們與物聯網系統中的真實智能設備同處于一個網絡結構中，充當其中智能設備的鏡像。對于物聯網系統中重要性較低、功能較為簡單的智能設備，其鏡像蜜罐大多采用低交互式的方式實現，即為采用虛擬化技術來模擬出一個蜜罐系統，這樣做的好處是方便控制蜜罐防護層的成本，并提升整個網絡的運行效率；而對于網絡中重要層級較高的智能設備以及網絡中樞節點，則采用高交互式的蜜罐加以實現，這些蜜罐相較于虛擬化技術生產出的低交互式蜜罐，往往具有自己真實的物理存儲設備與運算模塊，能夠完成更加強大的日志記錄功能與攻擊過程實現功能，偽裝性也較高。對于那些網絡通信帶寬較差、通信成本較高的物聯網系統，則可以為其中的每一類智能設備設置一個蜜罐系統，這樣可以大大減少物聯網環境中中樞路由節點的轉發壓力與網絡帶寬壓力。

（3）智能設備安全問題的非技術性策略

針對物聯網系統中出現的各項安全問題進行防護的過程中，僅僅采用技術性手段是遠遠不夠的。物聯網系統中的智能設備相較于傳統計算機設備，在功能和架構方面都有自己獨有的特征。因此，在解決物聯網系統中智能設備的安全問題時，除了采用技術性手段加以強化和維護，更應該從監管、部門協作、安全風險意識等其他著眼點來給出解決方案。

首先，物聯網系統中智能設備的研發廠商需要提升自己的安全意識，不能僅僅將技術資金投入在設備的功能性和易用性方面，更應該提升設備的安全防護能力。對于那些出產設備數量較多的廠商，應當盡快制定自己的一套能夠搭載在自己的智能設備上面的安全防護模型。

其次，對于物聯網系統的管理者和使用者，需要加強安全監管意識。科學的值班制度以及詳細的管理人最小權限制度的制定應當被提上每一個物聯網系統架設和應用的日程[4]。

最后，物聯網領域的各個部門應加強與傳統互聯網安全研究部門之間的合作。通常物聯網領域廠商或部門具有較強的物聯網搭設和嵌入式研發經驗，而安全測試和互聯網安全方面的知識有所欠缺；而安全研究部門雖然空有一身安全技術卻因為得不到廠商提供的較為詳細的設備資料和研發架構而針對物聯網安全問題無從下手。只有將兩個領域中的優勢加以集中，才能從根源上解決物聯網中現存的安全問題，并使得物聯網領域在安全與效率方面取得雙豐收。

3 總結

目前針對智能設備的安全攻防研究還僅僅停留在探索階段。與此同時，針對物聯網系統及其中智能設備的攻擊由于門檻較低，原理較簡單，檢測追查成本較高而漸漸吸引著越來越多攻擊者的注意。本文首先從物聯網中智能設備安全現狀與研究意義的分析出發，對智能設備安全漏洞進行分析，緊接著闡述了智能設備典型的攻擊技術，旨在闡明安全事件中黑客的攻擊著眼點以及物聯網系統的安全薄弱環節；隨后文章提出了物聯網系統防御策略或是針對物聯網攻擊的反向追蹤策略，并對一些非技術性細節給出了安全建議。全文按照發現問題、分析問題、提出解決方案的思路，由淺入深地解析了物聯網中智能設備的問題，增加了物聯網系統抵御安全攻擊與反向追蹤攻擊來源的能力，為之后物聯網安全領域的研究提供了一定的借鑒意義。