物聯網終端安全接入的探討

【摘要】本文分析物聯網終端的安全風險，從物聯網終端設配的安全防范措施、建立“端—端”安全防護體系、提升端管的技術管理服務、“政產學研用”共同構建安全生態四個方面闡述建立安全防護機制、體系的策略，以提升物聯網終端安全防護能力，推動物聯網應用。

【關鍵詞】物聯網終端 安全風險 安全防護

【中圖分類號】G64 【文獻標識碼】A

【文章編號】0450-9889（2022）03-0131-04

從技術層面來看，物聯網終端設備具備通信模塊、數據模塊、硬件模塊、系統模塊和應用模塊。它有兩個主要功能：一是可實現對物聯網真實物體信息的采集、識別和控制;二是物聯網可通過終端的通信接入模塊，將采集到的數據信息傳輸到決策服務端，并接收決策指導。物聯網相關應用層出不窮，基于物聯網的智能終端已被各行各業廣泛應用，如智慧家居、智慧農業、智慧醫療、智慧交通等。物聯網已走進人們的生活和生產中，物聯網終端為人們日常生活提供無處不在的連接，從而方便人們的生活、生產，提高人們生活質量，提升企業生產效率。

近幾年來，物聯網的消費指數呈現增長態勢。在未來，工業物聯網也將引領整個行業持續增長。據中國信通院發布的《物聯網終端安全白皮書（2019）》，到2025年，物聯網終端應用將增長4.7倍，年增長率達21%，數值有望突破19億。2019年工業和信息化部宣布啟用5G商用服務，標志我國正式進入5G時代。5G網絡具有高速率、低時延等特性，能夠更好地滿足物聯網終端連接需求，為物聯網提供更有利的發展空間。但是物聯網給人們帶來方便快捷的同時安全問題也伴隨而生。由物聯網終端安全引發的安全事件屢屢發生，可謂是“禍從端起”，不法分子通過掃描網絡尋找物聯網終端的漏洞，然后對其進行攻擊，惡意控制、竊取和篡改數據等。攻擊者還會通過物聯網終端的漏洞植入惡意軟件，一旦一端被攻破那么就會形成“連鎖”反應，造成物聯網產業鏈的用戶個人隱私數據泄露。隱藏在物聯網背后的安全威脅層出不窮，它直接影響物聯網上下游企業的正常運轉，物聯網也成為與不法分子戰斗的戰場。如何確保物聯網各類終端、智能設備的安全成為迫切需要政府、企業共同解決的難題。

一、物聯網終端安全風險分析

物聯網是互聯網的延伸和擴展，是新一代信息技術的重要組成部分。物聯網終端具有低成本、低功耗、能通信、能感知等特點，不利于直接在終端上運行安全策略、加密算法等安全機制，運算能力弱，容易被黑客利用終端的弱點進行入侵和攻擊，為子網帶來各種安全風險。常見的物聯網終端安全風險主要有三個方面。

（一）硬件安全風險

終端常工作在無人值守的環境中，且存在設計缺陷，接口未加入保護系統，攻擊者可利用自然條件對終端的調試接口進行攻擊，并直接從中獲取終端信息，然后發起網絡攻擊，形成連鎖反應，造成大片網絡終端數據丟失。也因為終端沒有信息屏蔽機制，所以攻擊者可進一步攻擊信道，通過終端信道數據傳輸過程猜測終端密鑰等關鍵數據，獲取更多用戶隱私數據。

（二）軟件安全風險

物聯網企業為節省開發成本，往往直接采用開源的操作系統，或是沒有經過加密接口軟件，使得終端應用軟件存在漏洞。攻擊者通過軟件開源的漏洞植入木馬或病毒入侵控制終端。從而帶來安全風險。從這一點來看，雖然軟件的安全漏洞不能避免，物聯網終端又無法植入傳統的數據安全保護機制，但是可以提供軟件更新機制以提升軟件的安全性，由服務端自動監測升級。然而在升級的過程中又很難保證信息的完整性和合法性。這也有可能被攻擊者利用，造成更大的安全隱患。

（三）數據安全風險

物聯網終端作為信息感知、采集、存儲隱私數據的終端，受硬件資源限制，缺少相關數據安全保護機制。它在數據傳輸過程中采用明文傳送，或是簡單的加密方式傳輸，容易被攻擊者攔截數據。攻擊者也比較容易通過物聯網終端入侵網絡，獲取用戶隱私數據，或者利用終端的漏洞篡改數據、偽造數據源并傳回決策服務器。這些風險給物聯網造成重大威脅。

二、物聯網終端設配的安全防范措施

物聯網已應用到各行各業中，為我們的生活和生產提供方便。但物聯網技術還不夠成熟，相關的網絡安全法律法規也還不夠完善，在日常的應用和管理中用戶的數據與隱私受到很大的威脅。比如，硬件的設計缺陷，系統安全存在的漏洞，都會造成用戶隱私泄露，無法保證用戶的信息安全。物聯網終端安全主要指硬件、通信、數據應用和數據采集的安全。在萬物互聯的時代，為了保護數據安全，提升物聯網終端設備的安全性，可從上述三個方面加以防范。

（一）硬件安全防范措施

要在硬件的層面做好安全防范工作。比如，攻擊者篡改硬件組件控制終端，或對信道進行攻擊，獲取終端敏感信息、查找系統的漏洞，攻擊弱點，然后進一步入侵整個網絡。物聯網生產企業在硬件設計上要充分考慮硬件的安全性，比如可利用端點硬化設備防篡改，防止非法拆卸，避免攻擊者直接對硬件進行攻擊。同時，要對硬件的配置接口進行必要的保護，禁止端口轉發，在不需要時關閉端口，在初始化的時候做好授權管理，設置訪問密鑰和加密方式。從而做好硬件的安全防范措施，防止數據外泄。

（二）軟件安全防范措施

軟件安全是我們在應用過程中容易忽略的問題，認為軟件能夠使用就可以，不太考慮它的安全性，這種大意容易被攻擊者利用。應用程序的開放服務端口、弱口令的身份認證和授權機制、缺少安全機制的升級更新等都會被攻擊者利用。

1.禁用不必要服務端口

在日常的應用中，端口與相應服務映射對應應用，很多的高危漏洞由服務端口配置不當引發。端口配置不當或非法更改應用程序端口、公共API，都比較容易被攻擊者利用，多以無加密或弱口令的“通過通信協議”方式竊取敏感數據。在應用中，使用者要提高安全意識，加固系統，禁止不常用的端口，防止攻擊者用來推斷指定端口監聽相關服務。重要的端口可設置ACL方式，僅允許可信任的源IP連接。

2.弱口令安全機制防范措施

物聯網終端常在露天或開放的場所應用，但其又存在弱口令、弱協議和授權不足等現象，不能保證接入安全認證，因此存在比較大的安全隱患。另外，物聯網終端計算資源有限，無法構建完整的安全防御體系，在應用過程中容易受攻擊者入侵。可通過加固應用的安全機制來提高安全性，比如，提升終端接入標準、終端安全認證、設置安全策略和復雜的口令（由大小寫、不規則符號和數字組成的口令）等方式，提高物聯網終端安全防御能力。

3.軟件升級安全機制防范措施

物聯網企業為了節約成本，普遍使用開源的軟件，或使用沒有經過安全檢測的第三方組件。這些軟件可能存在安全漏洞，因此在使用過程中需要對這些軟件進行升級更新。在軟件升級的過程中，因為沒有相應的安全升級機制，所以容易被攻擊者利用。這種不能保證完整性和合法性的升級，會給物聯網終端帶來安全威脅。可在終端與服務端之間建立安全的通訊機制，即在升級過程中設置終端認證機制，只有匹配的信息才能進行升級。

4.數據安全防范措施

物聯網終端是物聯網的神經末梢，它主要的作用是采集物理世界真實信息并將其上傳到服務端，同時接收服務端的決策指令。數據從終端到服務端傳輸的過程中，因終端受資源限制，故運算能力弱、不能存儲數據，因此端與端的數據只能實時傳輸，但又缺少相應的安全通信機制。因此物聯網終端在數據傳輸過程中容易被攻擊者竊取、篡改，甚至偽造數據以騙取合法的訪問，然后入侵整個網絡，進而造成整個網絡的數據泄漏或癱瘓，給物聯網服務造成巨大的損害。由此可見，物聯網終端既是數據的入口，又是物聯網終端與服務端的關口。只有加強入口的安全設置，才能提升整個終端的安全性。另外，物聯網終端采集和傳輸的數據單一，容易鑒別，因此要針對這個特點在終端與服務端設置相應的安全監測機制，對終端進行實時監測與捕捉，以便及時發現異常數據并預警，以利于管理人員進行有效防范和及時處置。

三、建立“端—端”安全防護體系

物聯網主要是通過終端采集數據、網絡傳輸數據、服務端收集和存儲數據來實現其功能，每天有海量的感知終端通過復雜的通信網絡傳輸龐大的數據到云端，云端存儲和處理數據后向終端發出指令，完成交易。物聯網中的每個設備都是獨立運行，比較容易受到攻擊，在“端—端”之間面臨非法入侵、惡意代碼、流量攻擊等安全威脅，數據也會在往返過程中面臨黑客的攔截篡改，并由此入侵平臺竊取數據。為保障物聯網數據傳輸的安全性和有效性，可從感知層、網絡層、云端（平臺層）建立“端—端”安全防護體系（如圖1所示，見下頁），實現數據邊界感知監測，進行數據加密，確保鏈路安全傳輸，防止云端數據泄露。

（一）感知層安全防護體系

感知層安全防護體系以接入安全認證為基礎，硬件嵌入輕量級密碼，通過標識認證與服務端構建主動的安全體系，通過態勢感知實現自我安全防御。這從源頭上解決了安全威脅、攻擊等問題，構建端到端可信認證的網絡環境，實現終端與云平臺可信與安全。

（二）網絡層安全防護體系

網絡層安全防護以端到端的數據加密技術來確保數據的安全傳輸，通過數據挖掘、機器學習等技術，使異常數據主動與平臺進行聯動實現安全態勢感知。當發現非法攻擊和掃描時，對協議分析、數據行為建模、異常檢測，建立自學策略，形成快速部署，策略下發和攻擊阻斷等可管可控、安全可視的網絡安全防護體系。

（三）應用平臺安全防護體系

應用平臺安全防護以物聯網安全管理中心為核心，對接入終端進行統一的身份認證、管理配置、狀態檢查，對全網終端設備進行異常行為監測和分析。物聯網應用平臺為運營者提供一個開放、靈活的物聯網生態環境，通過平臺可快速定制物聯網應用策略，提供靈活的運營業務。通過主動感知、全面監測、追溯分析判斷物聯網終端周邊的資產態勢、威脅態勢，并做出行為健康評估，快速建立物聯網端到端的安全防護體系。

四、提升端管的技術管理服務

物聯網終端是物聯網連接物理世界的感知器，具有數據采集、預處理、加密、控制和傳輸等功能。目前，由于物聯網終端技術標準不統一、不規范，種類五花八門，形態各異，造成行業終端設計處于各自為政的階段，用戶使用很難兼容。可是，物聯網使用終端卻是無人值守，如果缺乏相應的技術管理，那么會造成終端無法定位、問題處理不及時。這些弱點就會被非法攻擊者利用，造成數據泄漏，給用戶和商家帶來經濟損失。因此，國家層面、移動運營商和行業設計開發端到端的軟件運營管理平臺應對物聯網終端設備進行統一管理和控制，設計的軟件要兼容協議、配置、維護、監控，軟硬件接口要標準化，解決物聯網終端信息孤島問題，化解信息安全傳輸隱患。運營管理平臺可實現對數據的集中管理、數據傳輸、分組統計、終端監測、終端信息更改和升級以及終端故障處理，實現物聯網終端與服務端之間的數據交互。多方聯動構建的“運—管—服”服務體系，可有效解決物聯網終端健康狀態感知、性能管控，形成物聯網的良性發展態勢。“三分技術，七分管理”，要提高我們的安全意識，安全使用和管理設備，使我們的生活更美好。

五、“政產學研用”構建安全生態

物聯網安全不僅涉及技術問題，而且涉及國家的信息安全問題，“沒有網絡安全就沒有信息安全”。國務院頒布的《關鍵信息基礎設施安全保護條例》自2021年9月1日起施行，它明確了關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重。在國家層面建立健全物聯網安全保障體系，充分發揮政府及社會各方面的作用，共同保護關鍵信息基礎設施安全。物聯網安全管理和能力提升需要多方聯動，在國家政策導引下，企業、行業要加速物聯網終端安全生產，運營商要加強鏈路通信安全，構建產業平臺，要從終端、網絡、平臺、應用等功能提升物聯網產業鏈的安全能力，為上下游企業提供更安全的服務測試與驗證，全面實現終端安全保障。因此，筆者建議科學研究院、高校、企業聯合成立“物聯網安全實驗室”，共同推動物聯網終端安全認證和檢測;在實踐中構建“物因端連，數從端起”應用環境，提升物聯網終端安全性，防止“災從端起”;凝聚“政產學研用”多方力量，“以端促網”，構建物聯網安全生態，全力打造安全可靠的網絡安全環境。

“物因端連，數從端起，禍從端出”。我們要認識到，物聯網終端正面臨硬件、軟件和數據等方面的安全威脅，因此要從源頭開始，構建安全終端，提升終端安全認證能力;構建“運—營—管—服”體系結構的產業服務平臺，利用“技術+管理”的方式有效保障行業健康發展。在國家引導下，行業產業合作，積極推動行業自律和安全生態建設。借多方力量，形成“政產學研用”產業安全生態，共同打造良性發展、安全可靠的網絡安全空間。

參考文獻

[1]韓海庭.提升終端安全能力打造物聯網安全內核[J].人民郵電，2020（1）.

[2]林美玉，王亞忠.物聯網終端安全能力研究[J].信息通信技術與政策，2020（10）.

[3]朱彩霞.物聯網終端安全問題與解決措施[J].信息通信，2020（4）.

[4]吳慶升，李曉敏.未來終端安全防護的發展方向[J].信息安全與管理，2019（16）.

[5]萬軍，劉振棟.構建“端管云”聯動的物聯網安全防護系統[J].計算機產品與流通，2020（4）.

注：本文系廣西機電職業技術學院項目2020年院級項目“物聯網終端安全接入的設計與應用”（編號：2019YKYZ002，主持人：陳勝華）;2019年度廣西高校中青年教師科研基礎能力提升項目“智能家居的網絡安全性設計研究”（編號：2019KY1285，主持人：陳勝華）的研究成果。

作者簡介：陳勝華（1979— ），廣西玉林人，高級工程師，講師，“雙師”中級，現就職于廣西機電職業技術學院，研究方向為計算機網絡安全。

（責編 盧建龍）