我欲封天耳根小说,风凌天下,听中国有声小说

物聯網安全技術怎么了？

（2025年3月29日更新）

描述

芯片采購網專注于整合國內外授權IC代理商現貨資源，芯片庫存實時查詢，行業價格合理，采購方便IC芯片，國內專業芯片采購平臺。

物聯網安全是一種全堆棧行為，是服務、使用、云、管道、邊緣、端全生態統一合作聯合防御可以有效的主題，僅從物聯網設備端采取嚴格防御策略不能阻止滲透到每個角落APT攻擊。因此，我們可以從物聯網設備開始，Rootkit注入保護、DDOS綜合考察物聯網安全的對策，包括攻擊防御、設備安全準入、數據和協議安全。此外，還應確保物聯網控制平臺、云平臺、互聯接口、物聯網業務系統等基礎設施的安全。

1.基于可信計算的安全啟動技術

可信計算是由TCG（Trusted Computing Group，基于硬件安全模塊的可信計算平臺廣泛應用于計算和通信領域，以提高整個系統和應用軟件的安全性和完整性。作為一種新興技術，其主要目標包括計算平臺的完整性、平臺的遠程證明、數據存儲的安全性等。

作為高級可持續威脅（APT），如果不是潛伏在系統的最深層，如果不是在操作系統加載之前，如果在啟動過程中不能制衡保護軟件來實現自己的免殺APT”。對于的辦法就是控制系統的運行權。可信計算技術是這場運行權戰爭中的定海神針。通過信任鏈的可傳導性，驗證每個啟動步驟的完整性和正確性，確保計算平臺的完整性。

測量是一級從底層逐級測量的，通常以先啟動的軟硬件代碼(如安全芯片)為信任根，以此為標準測量后啟動的軟硬件，從而實現信任鏈的向后傳輸，保證系統計算環境的可信度。整個過程遵循先測量再執行的策略Windows當系統啟動時，可以BIOS中間的代碼是核心信任根模塊信任根模塊(可信根)BIOS/UEFI、WinLoader、逐級靜態測量操作系統鏡像文件。

可信根作為整個系統信任鏈的底信根必須可信。因此，可信根通常是通過制造商直接將算法和密鑰植入安全芯片而實現的，這是不可覆蓋的。因此，這部分代碼也被稱為可信軟件基礎（TSB，Trusted Software Base）。

ARM作為一個老的處理平臺，制造商還提出了消費物聯網設備的安全保密和可信計算TrustZone技術。本質上，該技術是一種硬件平臺結構和安全框架，將電影系統的軟硬件資源分為安全世界和非安全世界（類似于X86系統下的0環和3環)通過訪問權限的差異來保證資源的安全。非安全世界和安全世界需要通過中間通信Monitor Mode進行轉換。

2.Rootkit防御技術

Rootkit無論采用哪種處理器架構，還是在哪種操作系統中，都是系統安全領域常見的話題，Rootkit都是鬼影相伴。所謂Rootkit，是系統中隱藏自己、控制設備、獲取隱私信息的惡意代碼。十有八九的物聯網設備招是以獲取信息和控制設備為特征的Rootkit因此，對于惡意過程/代碼模塊Rootkit防御尤為重要。

Rootkit執行特點如下：

(1)將惡意代碼放置在內存數據區，通過堆棧溢出等方式在數據區執行。

(2)惡意代碼模塊通過遠程線程和默認加載加載到應用過程中，即注入模塊。

(3)通過掛鉤操作系統的重要方法(如系統調用或中斷響應程序等)獲取所需數據。

(4)通過過濾驅動掛鉤網絡協議棧，獲取重要的網絡流量，篡改數據包。

(5)通過掛鉤重要可執行模塊EAT/IAT改變過程執行過程的方式(導出/導入地址表)。

從上述Rootkit可以反向推導防御的運行特征Rootkit攻擊手段。Windows系統在抵御Rootkit因為Windows系統的運行環境和計算資源相對寬松，因此有更多的機制和手段來確保安全。對于物聯網系統，由于其功耗和計算資源的限制，操作系統一般相對簡化，因此有針對性地制定Rootkit防御機制更為必要。

(1)物聯網設備的通信模塊短小精悍，一般沒有協議棧，所以物聯網設備中不會存在通過濾驅動攔截網絡數據包的方式。

(2)物聯網系統沒有復雜的應用機制，如遠程線程和默認加載，因此無需考慮模塊注入。

(3)堆棧溢出在物聯網系統中很常見，因此可以使用類似的堆棧溢出Win保護7的數據（DEP）機制防止內存數據區執行惡意代碼。

（4）物聯網系統還有重要的方法，如中斷響應范圍、系統呼叫服務范圍等，仍然需要防止這些重要部件連接。類似的可以使用Windows的PatchGuard機制防止這些重要部位被重寫。

(5)不明過程的安裝和運行可以通過內核過程簽名驗證機制來阻斷。

3.抗DDOS攻擊技術

DDOS攻擊是物聯網還是視聯網，攻擊也是網絡安全領域永恒的話題，只要支持TCPIP協議面臨被子DDOS攻擊的危險。DDOS核心思想是通過車輪戰NXP代理使目標系統倦了應對，無法正常運行其他過程，包括各種細分攻擊手段，常見的有以下幾種：

（1）SYN Flood

通過偽造大量不存在的偽造IP地址在很短的時間內連續發送到服務器SYN服務器回復確認包SYN/ACK，等待客戶永遠不會回應的確認回復。這樣的服務器需要不斷重新發送SYN/ACK這些偽造，這些偽造SYN包將長期占用未連接隊列，正常SYN請求被丟棄，導致目標系統運行緩慢甚至癱瘓。這是利用TCP傳輸特性制造的車輪戰。

（2）ICMP Flood

在很短的時間內不斷向目標主機要求ICMP回應導致目標系統負擔過重，無法正常處理IO業務。這是利用ICMP協議制造的車輪戰。

（3）UDP Flood

在很短的時間內向目標主機發送大量的目標主機UDP目標系統負擔過重，無法正常處理IO業務。這是利用UDP協議制造的車輪戰。

（4）ARP Flood

攻擊者可以在很短的時間內發送大量的攻擊ARP請求包阻塞正常的網絡寬帶，使局域網中有限的網絡資源被無用的廣播信息占用，導致網絡擁堵。這是利用ARP包裝制造的車流戰癱瘓了承載網絡。

除上述二三四層協議外，DDOS除了攻擊，還可以制造應用層和會話層協議DDOS例如，攻擊的效果在短時間內超過大量HTTP請求使WEB服務器崩潰，視頻服務器通過大量流媒體會話協議在短時間內崩潰，這些攻擊都迎合了DDOS攻擊的初衷，即極限壓力使其疲于應而崩潰。

一般情況下DDOS攻擊的抵抗是通過排水的方法，即需要保護系統的判斷DDOS攻擊，然后啟動流量排水機制，DDOS攻擊包引導消化到攻擊緩沖區。由于物聯網領域設備數量龐大，應特別注意防御DDOS攻擊問題。

（1）在IPv4.私網穿透主要用于與外部系統通信。由于私網穿透通信的單向性，外部系統主動啟動DDOS特別是在部署對稱性時，攻擊的可能性較低NAT服務時，對外向內通信的限制非常嚴格，可以在一定程度上阻斷DDOS攻擊流。

（2）物聯網和互聯網之間也會有網絡隔離設備，如安全訪問平臺或網絡閘門，可以獨立設置其安全水平。雖然其通信效率較低，但可以對網絡包進行深度檢測（DPI），也可以在一定程度上阻抗DDOS攻擊流。

4.物聯網設備指紋技術

設備指紋是近年來新興的物聯網設備接入準入技術。其核心原理是通過設備的操作系統和制造商ID、MAC地址、端口號、IP為了識別設備的獨特性，生成一系列與每個設備相關的固定私有信息，如地址、協議報文類型等屬性。通過設備指紋庫識別設備，物聯網平臺可以阻斷和報警非指紋庫中的設備。傳統的識別設備唯一性的方法是通過ID，然而，由于設備的原因，這種方法具有相當大的可仿性和可替代性ID一般處于OSI高層協議棧，仿冒門檻也較低。但通過設備指紋標識設備的獨特性具有較低的可仿冒性和可替代性。

(1)設備的操作系統會有一定的標識，如版本號、制造商ID等等，假冒這些屬性并不容易，可能要通過Patch改變內核變量的手段。

（2）MAC地址、IP地址、端口號等屬性具有設備的獨特性，雖然也具有模仿性，但模仿這些聯合屬性并不容易。

(3)雖然協議報文遵循一定的標準，但每個廠家設備協議的報文頭或報文體都會有一些私人信息，比如SIP協議頭域User-Agent屬性將附帶制造商信息。另一個例子是協議交互的時間間隔和回復特征，這些更微妙的差異也是設備指紋的重要組成部分。

因此，通過設備指紋識別設備的獨特性、在線檢測設備、私接設備和假冒設備具有很高的不可仿冒性和不可替代性。

生成設備指紋包括主動檢測和被動監測。

(1)主動探測方法的主要思想是主動發送到物聯網設備ICMP、UDP包，或主動建立TCP連接，甚至主動發起一些應用層以上的協議來探索設備的回復信息(例如ICMP echo reply、ICMP端口、端口、HTTP Response等待報紙)，根據這些報紙識別設備的特殊屬性。一些制造商還將支持一些私人協議來識別設備的不可偽造性。

(2)被動監控模式的主要思路是通過網絡探針監控設備的互動報告，通過源端口、源地址、MAC判斷設備的不可替代性，如信息、報文特征等。

圖3一種基于OSI協議棧指紋回聲的物分系統

設備指紋已廣泛應用于視頻監控領域。然而，在物聯網的其他領域，由于協議報告類型的復雜性，許多設備不在TCPIP因此，網絡中的應用場景并不多。

5.數據安全技術

物聯網數據安全包括數據本身的安全和協議安全。但無論內涵如何，其本質都是解密數據和協議報告，當然也包括協議的證書認證機制。在安全領域，公安部已經制定了GB35114標準按密級高低劃分ABC三個等級:認證加密協議報紙，視頻NAL對視頻內容本身進行認證和解密。

加持國家強制性標準是數據安全的注腳。

來源:中國安防