国产精品久久精品牛牛影视-国产精品久久精品视-国产精品久久九九-国产精品久久久-国产精品久久久99

芯片采購(gòu),IC采購(gòu),芯片采購(gòu)平臺(tái)
芯片
每日新聞?lì)^條
物聯(lián)網(wǎng)安全技術(shù)怎么了?
(2025年3月29日更新)

描述

芯片采購(gòu)網(wǎng)專注于整合國(guó)內(nèi)外授權(quán)IC代理商現(xiàn)貨資源,芯片庫(kù)存實(shí)時(shí)查詢,行業(yè)價(jià)格合理,采購(gòu)方便IC芯片,國(guó)內(nèi)專業(yè)芯片采購(gòu)平臺(tái)

物聯(lián)網(wǎng)安全是一種全堆棧行為,是服務(wù)、使用、云、管道、邊緣、端全生態(tài)統(tǒng)一合作聯(lián)合防御可以有效的主題,僅從物聯(lián)網(wǎng)設(shè)備端采取嚴(yán)格防御策略不能阻止?jié)B透到每個(gè)角落APT攻擊。因此,我們可以從物聯(lián)網(wǎng)設(shè)備開(kāi)始,Rootkit注入保護(hù)、DDOS綜合考察物聯(lián)網(wǎng)安全的對(duì)策,包括攻擊防御、設(shè)備安全準(zhǔn)入、數(shù)據(jù)和協(xié)議安全。此外,還應(yīng)確保物聯(lián)網(wǎng)控制平臺(tái)、云平臺(tái)、互聯(lián)接口、物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)等基礎(chǔ)設(shè)施的安全。

1.基于可信計(jì)算的安全啟動(dòng)技術(shù)

可信計(jì)算是由TCG(Trusted Computing Group,基于硬件安全模塊的可信計(jì)算平臺(tái)廣泛應(yīng)用于計(jì)算和通信領(lǐng)域,以提高整個(gè)系統(tǒng)和應(yīng)用軟件的安全性和完整性。作為一種新興技術(shù),其主要目標(biāo)包括計(jì)算平臺(tái)的完整性、平臺(tái)的遠(yuǎn)程證明、數(shù)據(jù)存儲(chǔ)的安全性等。

作為高級(jí)可持續(xù)威脅(APT),如果不是潛伏在系統(tǒng)的最深層,如果不是在操作系統(tǒng)加載之前,如果在啟動(dòng)過(guò)程中不能制衡保護(hù)軟件來(lái)實(shí)現(xiàn)自己的免殺APT”。對(duì)于的辦法就是控制系統(tǒng)的運(yùn)行權(quán)。可信計(jì)算技術(shù)是這場(chǎng)運(yùn)行權(quán)戰(zhàn)爭(zhēng)中的定海神針。通過(guò)信任鏈的可傳導(dǎo)性,驗(yàn)證每個(gè)啟動(dòng)步驟的完整性和正確性,確保計(jì)算平臺(tái)的完整性。

測(cè)量是一級(jí)從底層逐級(jí)測(cè)量的,通常以先啟動(dòng)的軟硬件代碼(如安全芯片)為信任根,以此為標(biāo)準(zhǔn)測(cè)量后啟動(dòng)的軟硬件,從而實(shí)現(xiàn)信任鏈的向后傳輸,保證系統(tǒng)計(jì)算環(huán)境的可信度。整個(gè)過(guò)程遵循先測(cè)量再執(zhí)行的策略Windows當(dāng)系統(tǒng)啟動(dòng)時(shí),可以BIOS中間的代碼是核心信任根模塊信任根模塊(可信根)BIOS/UEFI、WinLoader、逐級(jí)靜態(tài)測(cè)量操作系統(tǒng)鏡像文件。

可信根作為整個(gè)系統(tǒng)信任鏈的底信根必須可信。因此,可信根通常是通過(guò)制造商直接將算法和密鑰植入安全芯片而實(shí)現(xiàn)的,這是不可覆蓋的。因此,這部分代碼也被稱為可信軟件基礎(chǔ)(TSB,Trusted Software Base)。

ARM作為一個(gè)老的處理平臺(tái),制造商還提出了消費(fèi)物聯(lián)網(wǎng)設(shè)備的安全保密和可信計(jì)算TrustZone技術(shù)。本質(zhì)上,該技術(shù)是一種硬件平臺(tái)結(jié)構(gòu)和安全框架,將電影系統(tǒng)的軟硬件資源分為安全世界和非安全世界(類似于X86系統(tǒng)下的0環(huán)和3環(huán))通過(guò)訪問(wèn)權(quán)限的差異來(lái)保證資源的安全。非安全世界和安全世界需要通過(guò)中間通信Monitor Mode進(jìn)行轉(zhuǎn)換。

2.Rootkit防御技術(shù)

Rootkit無(wú)論采用哪種處理器架構(gòu),還是在哪種操作系統(tǒng)中,都是系統(tǒng)安全領(lǐng)域常見(jiàn)的話題,Rootkit都是鬼影相伴。所謂Rootkit,是系統(tǒng)中隱藏自己、控制設(shè)備、獲取隱私信息的惡意代碼。十有八九的物聯(lián)網(wǎng)設(shè)備招是以獲取信息和控制設(shè)備為特征的Rootkit因此,對(duì)于惡意過(guò)程/代碼模塊Rootkit防御尤為重要。

Rootkit執(zhí)行特點(diǎn)如下:

(1)將惡意代碼放置在內(nèi)存數(shù)據(jù)區(qū),通過(guò)堆棧溢出等方式在數(shù)據(jù)區(qū)執(zhí)行。

(2)惡意代碼模塊通過(guò)遠(yuǎn)程線程和默認(rèn)加載加載到應(yīng)用過(guò)程中,即注入模塊。

(3)通過(guò)掛鉤操作系統(tǒng)的重要方法(如系統(tǒng)調(diào)用或中斷響應(yīng)程序等)獲取所需數(shù)據(jù)。

(4)通過(guò)過(guò)濾驅(qū)動(dòng)掛鉤網(wǎng)絡(luò)協(xié)議棧,獲取重要的網(wǎng)絡(luò)流量,篡改數(shù)據(jù)包。

(5)通過(guò)掛鉤重要可執(zhí)行模塊EAT/IAT改變過(guò)程執(zhí)行過(guò)程的方式(導(dǎo)出/導(dǎo)入地址表)。

從上述Rootkit可以反向推導(dǎo)防御的運(yùn)行特征Rootkit攻擊手段。Windows系統(tǒng)在抵御Rootkit因?yàn)閃indows系統(tǒng)的運(yùn)行環(huán)境和計(jì)算資源相對(duì)寬松,因此有更多的機(jī)制和手段來(lái)確保安全。對(duì)于物聯(lián)網(wǎng)系統(tǒng),由于其功耗和計(jì)算資源的限制,操作系統(tǒng)一般相對(duì)簡(jiǎn)化,因此有針對(duì)性地制定Rootkit防御機(jī)制更為必要。

(1)物聯(lián)網(wǎng)設(shè)備的通信模塊短小精悍,一般沒(méi)有協(xié)議棧,所以物聯(lián)網(wǎng)設(shè)備中不會(huì)存在通過(guò)濾驅(qū)動(dòng)攔截網(wǎng)絡(luò)數(shù)據(jù)包的方式。

(2)物聯(lián)網(wǎng)系統(tǒng)沒(méi)有復(fù)雜的應(yīng)用機(jī)制,如遠(yuǎn)程線程和默認(rèn)加載,因此無(wú)需考慮模塊注入。

(3)堆棧溢出在物聯(lián)網(wǎng)系統(tǒng)中很常見(jiàn),因此可以使用類似的堆棧溢出Win保護(hù)7的數(shù)據(jù)(DEP)機(jī)制防止內(nèi)存數(shù)據(jù)區(qū)執(zhí)行惡意代碼。

(4)物聯(lián)網(wǎng)系統(tǒng)還有重要的方法,如中斷響應(yīng)范圍、系統(tǒng)呼叫服務(wù)范圍等,仍然需要防止這些重要部件連接。類似的可以使用Windows的PatchGuard機(jī)制防止這些重要部位被重寫(xiě)。

(5)不明過(guò)程的安裝和運(yùn)行可以通過(guò)內(nèi)核過(guò)程簽名驗(yàn)證機(jī)制來(lái)阻斷。

3.抗DDOS攻擊技術(shù)

DDOS攻擊是物聯(lián)網(wǎng)還是視聯(lián)網(wǎng),攻擊也是網(wǎng)絡(luò)安全領(lǐng)域永恒的話題,只要支持TCPIP協(xié)議面臨被子DDOS攻擊的危險(xiǎn)。DDOS核心思想是通過(guò)車輪戰(zhàn)NXP代理使目標(biāo)系統(tǒng)倦了應(yīng)對(duì),無(wú)法正常運(yùn)行其他過(guò)程,包括各種細(xì)分攻擊手段,常見(jiàn)的有以下幾種:

(1)SYN Flood

通過(guò)偽造大量不存在的偽造IP地址在很短的時(shí)間內(nèi)連續(xù)發(fā)送到服務(wù)器SYN服務(wù)器回復(fù)確認(rèn)包SYN/ACK,等待客戶永遠(yuǎn)不會(huì)回應(yīng)的確認(rèn)回復(fù)。這樣的服務(wù)器需要不斷重新發(fā)送SYN/ACK這些偽造,這些偽造SYN包將長(zhǎng)期占用未連接隊(duì)列,正常SYN請(qǐng)求被丟棄,導(dǎo)致目標(biāo)系統(tǒng)運(yùn)行緩慢甚至癱瘓。這是利用TCP傳輸特性制造的車輪戰(zhàn)。

(2)ICMP Flood

在很短的時(shí)間內(nèi)不斷向目標(biāo)主機(jī)要求ICMP回應(yīng)導(dǎo)致目標(biāo)系統(tǒng)負(fù)擔(dān)過(guò)重,無(wú)法正常處理IO業(yè)務(wù)。這是利用ICMP協(xié)議制造的車輪戰(zhàn)。

(3)UDP Flood

在很短的時(shí)間內(nèi)向目標(biāo)主機(jī)發(fā)送大量的目標(biāo)主機(jī)UDP目標(biāo)系統(tǒng)負(fù)擔(dān)過(guò)重,無(wú)法正常處理IO業(yè)務(wù)。這是利用UDP協(xié)議制造的車輪戰(zhàn)。

(4)ARP Flood

攻擊者可以在很短的時(shí)間內(nèi)發(fā)送大量的攻擊ARP請(qǐng)求包阻塞正常的網(wǎng)絡(luò)寬帶,使局域網(wǎng)中有限的網(wǎng)絡(luò)資源被無(wú)用的廣播信息占用,導(dǎo)致網(wǎng)絡(luò)擁堵。這是利用ARP包裝制造的車流戰(zhàn)癱瘓了承載網(wǎng)絡(luò)。

除上述二三四層協(xié)議外,DDOS除了攻擊,還可以制造應(yīng)用層和會(huì)話層協(xié)議DDOS例如,攻擊的效果在短時(shí)間內(nèi)超過(guò)大量HTTP請(qǐng)求使WEB服務(wù)器崩潰,視頻服務(wù)器通過(guò)大量流媒體會(huì)話協(xié)議在短時(shí)間內(nèi)崩潰,這些攻擊都迎合了DDOS攻擊的初衷,即極限壓力使其疲于應(yīng)而崩潰。

一般情況下DDOS攻擊的抵抗是通過(guò)排水的方法,即需要保護(hù)系統(tǒng)的判斷DDOS攻擊,然后啟動(dòng)流量排水機(jī)制,DDOS攻擊包引導(dǎo)消化到攻擊緩沖區(qū)。由于物聯(lián)網(wǎng)領(lǐng)域設(shè)備數(shù)量龐大,應(yīng)特別注意防御DDOS攻擊問(wèn)題。

(1)在IPv4.私網(wǎng)穿透主要用于與外部系統(tǒng)通信。由于私網(wǎng)穿透通信的單向性,外部系統(tǒng)主動(dòng)啟動(dòng)DDOS特別是在部署對(duì)稱性時(shí),攻擊的可能性較低NAT服務(wù)時(shí),對(duì)外向內(nèi)通信的限制非常嚴(yán)格,可以在一定程度上阻斷DDOS攻擊流。

(2)物聯(lián)網(wǎng)和互聯(lián)網(wǎng)之間也會(huì)有網(wǎng)絡(luò)隔離設(shè)備,如安全訪問(wèn)平臺(tái)或網(wǎng)絡(luò)閘門(mén),可以獨(dú)立設(shè)置其安全水平。雖然其通信效率較低,但可以對(duì)網(wǎng)絡(luò)包進(jìn)行深度檢測(cè)(DPI),也可以在一定程度上阻抗DDOS攻擊流。

4.物聯(lián)網(wǎng)設(shè)備指紋技術(shù)

設(shè)備指紋是近年來(lái)新興的物聯(lián)網(wǎng)設(shè)備接入準(zhǔn)入技術(shù)。其核心原理是通過(guò)設(shè)備的操作系統(tǒng)和制造商ID、MAC地址、端口號(hào)、IP為了識(shí)別設(shè)備的獨(dú)特性,生成一系列與每個(gè)設(shè)備相關(guān)的固定私有信息,如地址、協(xié)議報(bào)文類型等屬性。通過(guò)設(shè)備指紋庫(kù)識(shí)別設(shè)備,物聯(lián)網(wǎng)平臺(tái)可以阻斷和報(bào)警非指紋庫(kù)中的設(shè)備。傳統(tǒng)的識(shí)別設(shè)備唯一性的方法是通過(guò)ID,然而,由于設(shè)備的原因,這種方法具有相當(dāng)大的可仿性和可替代性ID一般處于OSI高層協(xié)議棧,仿冒門(mén)檻也較低。但通過(guò)設(shè)備指紋標(biāo)識(shí)設(shè)備的獨(dú)特性具有較低的可仿冒性和可替代性。

(1)設(shè)備的操作系統(tǒng)會(huì)有一定的標(biāo)識(shí),如版本號(hào)、制造商ID等等,假冒這些屬性并不容易,可能要通過(guò)Patch改變內(nèi)核變量的手段。

(2)MAC地址、IP地址、端口號(hào)等屬性具有設(shè)備的獨(dú)特性,雖然也具有模仿性,但模仿這些聯(lián)合屬性并不容易。

(3)雖然協(xié)議報(bào)文遵循一定的標(biāo)準(zhǔn),但每個(gè)廠家設(shè)備協(xié)議的報(bào)文頭或報(bào)文體都會(huì)有一些私人信息,比如SIP協(xié)議頭域User-Agent屬性將附帶制造商信息。另一個(gè)例子是協(xié)議交互的時(shí)間間隔和回復(fù)特征,這些更微妙的差異也是設(shè)備指紋的重要組成部分。

因此,通過(guò)設(shè)備指紋識(shí)別設(shè)備的獨(dú)特性、在線檢測(cè)設(shè)備、私接設(shè)備和假冒設(shè)備具有很高的不可仿冒性和不可替代性。

生成設(shè)備指紋包括主動(dòng)檢測(cè)和被動(dòng)監(jiān)測(cè)。

(1)主動(dòng)探測(cè)方法的主要思想是主動(dòng)發(fā)送到物聯(lián)網(wǎng)設(shè)備ICMP、UDP包,或主動(dòng)建立TCP連接,甚至主動(dòng)發(fā)起一些應(yīng)用層以上的協(xié)議來(lái)探索設(shè)備的回復(fù)信息(例如ICMP echo reply、ICMP端口、端口、HTTP Response等待報(bào)紙),根據(jù)這些報(bào)紙識(shí)別設(shè)備的特殊屬性。一些制造商還將支持一些私人協(xié)議來(lái)識(shí)別設(shè)備的不可偽造性。

(2)被動(dòng)監(jiān)控模式的主要思路是通過(guò)網(wǎng)絡(luò)探針監(jiān)控設(shè)備的互動(dòng)報(bào)告,通過(guò)源端口、源地址、MAC判斷設(shè)備的不可替代性,如信息、報(bào)文特征等。

圖3一種基于OSI協(xié)議棧指紋回聲的物分系統(tǒng)

設(shè)備指紋已廣泛應(yīng)用于視頻監(jiān)控領(lǐng)域。然而,在物聯(lián)網(wǎng)的其他領(lǐng)域,由于協(xié)議報(bào)告類型的復(fù)雜性,許多設(shè)備不在TCPIP因此,網(wǎng)絡(luò)中的應(yīng)用場(chǎng)景并不多。

5.數(shù)據(jù)安全技術(shù)

物聯(lián)網(wǎng)數(shù)據(jù)安全包括數(shù)據(jù)本身的安全和協(xié)議安全。但無(wú)論內(nèi)涵如何,其本質(zhì)都是解密數(shù)據(jù)和協(xié)議報(bào)告,當(dāng)然也包括協(xié)議的證書(shū)認(rèn)證機(jī)制。在安全領(lǐng)域,公安部已經(jīng)制定了GB35114標(biāo)準(zhǔn)按密級(jí)高低劃分ABC三個(gè)等級(jí):認(rèn)證加密協(xié)議報(bào)紙,視頻NAL對(duì)視頻內(nèi)容本身進(jìn)行認(rèn)證和解密。

加持國(guó)家強(qiáng)制性標(biāo)準(zhǔn)是數(shù)據(jù)安全的注腳。

來(lái)源:中國(guó)安防

芯片采購(gòu)網(wǎng)|IC采購(gòu)|IC代理商 - 國(guó)內(nèi)專業(yè)的芯片采購(gòu)平臺(tái)
芯片采購(gòu)網(wǎng)專注整合國(guó)內(nèi)外授權(quán)IC代理商的現(xiàn)貨資源,輕松采購(gòu)IC芯片,是國(guó)內(nèi)專業(yè)的芯片采購(gòu)平臺(tái)
主站蜘蛛池模板: 国产精品k | 精品成人免费一区二区在线播放 | 性激烈的欧美三级高清视频 | 国产精品成人h视频 | 中国国产一级毛片视频 | 国产欧美精品一区二区 | 国产三级香港在线观看 | 国产精品自产拍在线观看 | 精品国产福利久久久 | 国内真实实拍伦视频在线观看 | 日本一区精品久久久久影院 | 成人无遮挡毛片免费看 | 可以免费观看一级毛片黄a 可以免费观看欧美一级毛片 | 222在线看片免费 | 欧美成人精品福利在线视频 | 国产第一区精品视频ai换脸 | 中文字幕亚洲无线码 | 一级特黄aa毛片免费观看 | 色婷婷六月丁香七月婷婷 | 久久99精品福利久久久 | 成人精品人成网站 | 天天看天天摸色天天综合网 | 欧美一区二区在线观看免费网站 | 国产高清在线免费视频 | 亚洲综合网在线观看首页 | 一级黄色小视频 | 亚洲国产午夜看片 | 国产香蕉在线 | 欧美精品久久久久久久影视 | 精品一区二区三区中文 | 免费观看欧美一区二区三区 | 国产精品三级在线观看 | 99久久久精品免费观看国产 | 成人一级片| 精品一区二区久久久久久久网站 | 亚洲精品亚洲人成在线播放 | 国产产一区二区三区久久毛片国语 | 中文字幕一区二区三区四区 | 欧美激情一区二区三区不卡 | 国产丝袜美腿高跟白浆 | 成人春色在线观看免费网站 |