描述
芯片采購(gòu)網(wǎng)專注于整合國(guó)內(nèi)外授權(quán)IC代理商現(xiàn)貨資源,芯片庫(kù)存實(shí)時(shí)查詢,行業(yè)價(jià)格合理,采購(gòu)方便IC芯片,國(guó)內(nèi)專業(yè)芯片采購(gòu)平臺(tái)。
物聯(lián)網(wǎng)安全是一種全堆棧行為,是服務(wù)、使用、云、管道、邊緣、端全生態(tài)統(tǒng)一合作聯(lián)合防御可以有效的主題,僅從物聯(lián)網(wǎng)設(shè)備端采取嚴(yán)格防御策略不能阻止?jié)B透到每個(gè)角落APT攻擊。因此,我們可以從物聯(lián)網(wǎng)設(shè)備開(kāi)始,Rootkit注入保護(hù)、DDOS綜合考察物聯(lián)網(wǎng)安全的對(duì)策,包括攻擊防御、設(shè)備安全準(zhǔn)入、數(shù)據(jù)和協(xié)議安全。此外,還應(yīng)確保物聯(lián)網(wǎng)控制平臺(tái)、云平臺(tái)、互聯(lián)接口、物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)等基礎(chǔ)設(shè)施的安全。
1.基于可信計(jì)算的安全啟動(dòng)技術(shù)
可信計(jì)算是由TCG(Trusted Computing Group,基于硬件安全模塊的可信計(jì)算平臺(tái)廣泛應(yīng)用于計(jì)算和通信領(lǐng)域,以提高整個(gè)系統(tǒng)和應(yīng)用軟件的安全性和完整性。作為一種新興技術(shù),其主要目標(biāo)包括計(jì)算平臺(tái)的完整性、平臺(tái)的遠(yuǎn)程證明、數(shù)據(jù)存儲(chǔ)的安全性等。
作為高級(jí)可持續(xù)威脅(APT),如果不是潛伏在系統(tǒng)的最深層,如果不是在操作系統(tǒng)加載之前,如果在啟動(dòng)過(guò)程中不能制衡保護(hù)軟件來(lái)實(shí)現(xiàn)自己的免殺APT”。對(duì)于的辦法就是控制系統(tǒng)的運(yùn)行權(quán)。可信計(jì)算技術(shù)是這場(chǎng)運(yùn)行權(quán)戰(zhàn)爭(zhēng)中的定海神針。通過(guò)信任鏈的可傳導(dǎo)性,驗(yàn)證每個(gè)啟動(dòng)步驟的完整性和正確性,確保計(jì)算平臺(tái)的完整性。
測(cè)量是一級(jí)從底層逐級(jí)測(cè)量的,通常以先啟動(dòng)的軟硬件代碼(如安全芯片)為信任根,以此為標(biāo)準(zhǔn)測(cè)量后啟動(dòng)的軟硬件,從而實(shí)現(xiàn)信任鏈的向后傳輸,保證系統(tǒng)計(jì)算環(huán)境的可信度。整個(gè)過(guò)程遵循先測(cè)量再執(zhí)行的策略Windows當(dāng)系統(tǒng)啟動(dòng)時(shí),可以BIOS中間的代碼是核心信任根模塊信任根模塊(可信根)BIOS/UEFI、WinLoader、逐級(jí)靜態(tài)測(cè)量操作系統(tǒng)鏡像文件。
可信根作為整個(gè)系統(tǒng)信任鏈的底信根必須可信。因此,可信根通常是通過(guò)制造商直接將算法和密鑰植入安全芯片而實(shí)現(xiàn)的,這是不可覆蓋的。因此,這部分代碼也被稱為可信軟件基礎(chǔ)(TSB,Trusted Software Base)。
ARM作為一個(gè)老的處理平臺(tái),制造商還提出了消費(fèi)物聯(lián)網(wǎng)設(shè)備的安全保密和可信計(jì)算TrustZone技術(shù)。本質(zhì)上,該技術(shù)是一種硬件平臺(tái)結(jié)構(gòu)和安全框架,將電影系統(tǒng)的軟硬件資源分為安全世界和非安全世界(類似于X86系統(tǒng)下的0環(huán)和3環(huán))通過(guò)訪問(wèn)權(quán)限的差異來(lái)保證資源的安全。非安全世界和安全世界需要通過(guò)中間通信Monitor Mode進(jìn)行轉(zhuǎn)換。
2.Rootkit防御技術(shù)
Rootkit無(wú)論采用哪種處理器架構(gòu),還是在哪種操作系統(tǒng)中,都是系統(tǒng)安全領(lǐng)域常見(jiàn)的話題,Rootkit都是鬼影相伴。所謂Rootkit,是系統(tǒng)中隱藏自己、控制設(shè)備、獲取隱私信息的惡意代碼。十有八九的物聯(lián)網(wǎng)設(shè)備招是以獲取信息和控制設(shè)備為特征的Rootkit因此,對(duì)于惡意過(guò)程/代碼模塊Rootkit防御尤為重要。
Rootkit執(zhí)行特點(diǎn)如下:
(1)將惡意代碼放置在內(nèi)存數(shù)據(jù)區(qū),通過(guò)堆棧溢出等方式在數(shù)據(jù)區(qū)執(zhí)行。
(2)惡意代碼模塊通過(guò)遠(yuǎn)程線程和默認(rèn)加載加載到應(yīng)用過(guò)程中,即注入模塊。
(3)通過(guò)掛鉤操作系統(tǒng)的重要方法(如系統(tǒng)調(diào)用或中斷響應(yīng)程序等)獲取所需數(shù)據(jù)。
(4)通過(guò)過(guò)濾驅(qū)動(dòng)掛鉤網(wǎng)絡(luò)協(xié)議棧,獲取重要的網(wǎng)絡(luò)流量,篡改數(shù)據(jù)包。
(5)通過(guò)掛鉤重要可執(zhí)行模塊EAT/IAT改變過(guò)程執(zhí)行過(guò)程的方式(導(dǎo)出/導(dǎo)入地址表)。
從上述Rootkit可以反向推導(dǎo)防御的運(yùn)行特征Rootkit攻擊手段。Windows系統(tǒng)在抵御Rootkit因?yàn)閃indows系統(tǒng)的運(yùn)行環(huán)境和計(jì)算資源相對(duì)寬松,因此有更多的機(jī)制和手段來(lái)確保安全。對(duì)于物聯(lián)網(wǎng)系統(tǒng),由于其功耗和計(jì)算資源的限制,操作系統(tǒng)一般相對(duì)簡(jiǎn)化,因此有針對(duì)性地制定Rootkit防御機(jī)制更為必要。
(1)物聯(lián)網(wǎng)設(shè)備的通信模塊短小精悍,一般沒(méi)有協(xié)議棧,所以物聯(lián)網(wǎng)設(shè)備中不會(huì)存在通過(guò)濾驅(qū)動(dòng)攔截網(wǎng)絡(luò)數(shù)據(jù)包的方式。
(2)物聯(lián)網(wǎng)系統(tǒng)沒(méi)有復(fù)雜的應(yīng)用機(jī)制,如遠(yuǎn)程線程和默認(rèn)加載,因此無(wú)需考慮模塊注入。
(3)堆棧溢出在物聯(lián)網(wǎng)系統(tǒng)中很常見(jiàn),因此可以使用類似的堆棧溢出Win保護(hù)7的數(shù)據(jù)(DEP)機(jī)制防止內(nèi)存數(shù)據(jù)區(qū)執(zhí)行惡意代碼。
(4)物聯(lián)網(wǎng)系統(tǒng)還有重要的方法,如中斷響應(yīng)范圍、系統(tǒng)呼叫服務(wù)范圍等,仍然需要防止這些重要部件連接。類似的可以使用Windows的PatchGuard機(jī)制防止這些重要部位被重寫(xiě)。
(5)不明過(guò)程的安裝和運(yùn)行可以通過(guò)內(nèi)核過(guò)程簽名驗(yàn)證機(jī)制來(lái)阻斷。
3.抗DDOS攻擊技術(shù)
DDOS攻擊是物聯(lián)網(wǎng)還是視聯(lián)網(wǎng),攻擊也是網(wǎng)絡(luò)安全領(lǐng)域永恒的話題,只要支持TCPIP協(xié)議面臨被子DDOS攻擊的危險(xiǎn)。DDOS核心思想是通過(guò)車輪戰(zhàn)NXP代理使目標(biāo)系統(tǒng)倦了應(yīng)對(duì),無(wú)法正常運(yùn)行其他過(guò)程,包括各種細(xì)分攻擊手段,常見(jiàn)的有以下幾種:
(1)SYN Flood
通過(guò)偽造大量不存在的偽造IP地址在很短的時(shí)間內(nèi)連續(xù)發(fā)送到服務(wù)器SYN服務(wù)器回復(fù)確認(rèn)包SYN/ACK,等待客戶永遠(yuǎn)不會(huì)回應(yīng)的確認(rèn)回復(fù)。這樣的服務(wù)器需要不斷重新發(fā)送SYN/ACK這些偽造,這些偽造SYN包將長(zhǎng)期占用未連接隊(duì)列,正常SYN請(qǐng)求被丟棄,導(dǎo)致目標(biāo)系統(tǒng)運(yùn)行緩慢甚至癱瘓。這是利用TCP傳輸特性制造的車輪戰(zhàn)。
(2)ICMP Flood
在很短的時(shí)間內(nèi)不斷向目標(biāo)主機(jī)要求ICMP回應(yīng)導(dǎo)致目標(biāo)系統(tǒng)負(fù)擔(dān)過(guò)重,無(wú)法正常處理IO業(yè)務(wù)。這是利用ICMP協(xié)議制造的車輪戰(zhàn)。
(3)UDP Flood
在很短的時(shí)間內(nèi)向目標(biāo)主機(jī)發(fā)送大量的目標(biāo)主機(jī)UDP目標(biāo)系統(tǒng)負(fù)擔(dān)過(guò)重,無(wú)法正常處理IO業(yè)務(wù)。這是利用UDP協(xié)議制造的車輪戰(zhàn)。
(4)ARP Flood
攻擊者可以在很短的時(shí)間內(nèi)發(fā)送大量的攻擊ARP請(qǐng)求包阻塞正常的網(wǎng)絡(luò)寬帶,使局域網(wǎng)中有限的網(wǎng)絡(luò)資源被無(wú)用的廣播信息占用,導(dǎo)致網(wǎng)絡(luò)擁堵。這是利用ARP包裝制造的車流戰(zhàn)癱瘓了承載網(wǎng)絡(luò)。
除上述二三四層協(xié)議外,DDOS除了攻擊,還可以制造應(yīng)用層和會(huì)話層協(xié)議DDOS例如,攻擊的效果在短時(shí)間內(nèi)超過(guò)大量HTTP請(qǐng)求使WEB服務(wù)器崩潰,視頻服務(wù)器通過(guò)大量流媒體會(huì)話協(xié)議在短時(shí)間內(nèi)崩潰,這些攻擊都迎合了DDOS攻擊的初衷,即極限壓力使其疲于應(yīng)而崩潰。
一般情況下DDOS攻擊的抵抗是通過(guò)排水的方法,即需要保護(hù)系統(tǒng)的判斷DDOS攻擊,然后啟動(dòng)流量排水機(jī)制,DDOS攻擊包引導(dǎo)消化到攻擊緩沖區(qū)。由于物聯(lián)網(wǎng)領(lǐng)域設(shè)備數(shù)量龐大,應(yīng)特別注意防御DDOS攻擊問(wèn)題。
(1)在IPv4.私網(wǎng)穿透主要用于與外部系統(tǒng)通信。由于私網(wǎng)穿透通信的單向性,外部系統(tǒng)主動(dòng)啟動(dòng)DDOS特別是在部署對(duì)稱性時(shí),攻擊的可能性較低NAT服務(wù)時(shí),對(duì)外向內(nèi)通信的限制非常嚴(yán)格,可以在一定程度上阻斷DDOS攻擊流。
(2)物聯(lián)網(wǎng)和互聯(lián)網(wǎng)之間也會(huì)有網(wǎng)絡(luò)隔離設(shè)備,如安全訪問(wèn)平臺(tái)或網(wǎng)絡(luò)閘門(mén),可以獨(dú)立設(shè)置其安全水平。雖然其通信效率較低,但可以對(duì)網(wǎng)絡(luò)包進(jìn)行深度檢測(cè)(DPI),也可以在一定程度上阻抗DDOS攻擊流。
4.物聯(lián)網(wǎng)設(shè)備指紋技術(shù)
設(shè)備指紋是近年來(lái)新興的物聯(lián)網(wǎng)設(shè)備接入準(zhǔn)入技術(shù)。其核心原理是通過(guò)設(shè)備的操作系統(tǒng)和制造商ID、MAC地址、端口號(hào)、IP為了識(shí)別設(shè)備的獨(dú)特性,生成一系列與每個(gè)設(shè)備相關(guān)的固定私有信息,如地址、協(xié)議報(bào)文類型等屬性。通過(guò)設(shè)備指紋庫(kù)識(shí)別設(shè)備,物聯(lián)網(wǎng)平臺(tái)可以阻斷和報(bào)警非指紋庫(kù)中的設(shè)備。傳統(tǒng)的識(shí)別設(shè)備唯一性的方法是通過(guò)ID,然而,由于設(shè)備的原因,這種方法具有相當(dāng)大的可仿性和可替代性ID一般處于OSI高層協(xié)議棧,仿冒門(mén)檻也較低。但通過(guò)設(shè)備指紋標(biāo)識(shí)設(shè)備的獨(dú)特性具有較低的可仿冒性和可替代性。
(1)設(shè)備的操作系統(tǒng)會(huì)有一定的標(biāo)識(shí),如版本號(hào)、制造商ID等等,假冒這些屬性并不容易,可能要通過(guò)Patch改變內(nèi)核變量的手段。
(2)MAC地址、IP地址、端口號(hào)等屬性具有設(shè)備的獨(dú)特性,雖然也具有模仿性,但模仿這些聯(lián)合屬性并不容易。
(3)雖然協(xié)議報(bào)文遵循一定的標(biāo)準(zhǔn),但每個(gè)廠家設(shè)備協(xié)議的報(bào)文頭或報(bào)文體都會(huì)有一些私人信息,比如SIP協(xié)議頭域User-Agent屬性將附帶制造商信息。另一個(gè)例子是協(xié)議交互的時(shí)間間隔和回復(fù)特征,這些更微妙的差異也是設(shè)備指紋的重要組成部分。
因此,通過(guò)設(shè)備指紋識(shí)別設(shè)備的獨(dú)特性、在線檢測(cè)設(shè)備、私接設(shè)備和假冒設(shè)備具有很高的不可仿冒性和不可替代性。
生成設(shè)備指紋包括主動(dòng)檢測(cè)和被動(dòng)監(jiān)測(cè)。
(1)主動(dòng)探測(cè)方法的主要思想是主動(dòng)發(fā)送到物聯(lián)網(wǎng)設(shè)備ICMP、UDP包,或主動(dòng)建立TCP連接,甚至主動(dòng)發(fā)起一些應(yīng)用層以上的協(xié)議來(lái)探索設(shè)備的回復(fù)信息(例如ICMP echo reply、ICMP端口、端口、HTTP Response等待報(bào)紙),根據(jù)這些報(bào)紙識(shí)別設(shè)備的特殊屬性。一些制造商還將支持一些私人協(xié)議來(lái)識(shí)別設(shè)備的不可偽造性。
(2)被動(dòng)監(jiān)控模式的主要思路是通過(guò)網(wǎng)絡(luò)探針監(jiān)控設(shè)備的互動(dòng)報(bào)告,通過(guò)源端口、源地址、MAC判斷設(shè)備的不可替代性,如信息、報(bào)文特征等。
圖3一種基于OSI協(xié)議棧指紋回聲的物分系統(tǒng)
設(shè)備指紋已廣泛應(yīng)用于視頻監(jiān)控領(lǐng)域。然而,在物聯(lián)網(wǎng)的其他領(lǐng)域,由于協(xié)議報(bào)告類型的復(fù)雜性,許多設(shè)備不在TCPIP因此,網(wǎng)絡(luò)中的應(yīng)用場(chǎng)景并不多。
5.數(shù)據(jù)安全技術(shù)
物聯(lián)網(wǎng)數(shù)據(jù)安全包括數(shù)據(jù)本身的安全和協(xié)議安全。但無(wú)論內(nèi)涵如何,其本質(zhì)都是解密數(shù)據(jù)和協(xié)議報(bào)告,當(dāng)然也包括協(xié)議的證書(shū)認(rèn)證機(jī)制。在安全領(lǐng)域,公安部已經(jīng)制定了GB35114標(biāo)準(zhǔn)按密級(jí)高低劃分ABC三個(gè)等級(jí):認(rèn)證加密協(xié)議報(bào)紙,視頻NAL對(duì)視頻內(nèi)容本身進(jìn)行認(rèn)證和解密。
加持國(guó)家強(qiáng)制性標(biāo)準(zhǔn)是數(shù)據(jù)安全的注腳。
來(lái)源:中國(guó)安防
- 快手自研完成SL200視頻壓縮芯片 正在內(nèi)測(cè)中
- 物盡其用!科學(xué)家們腦子大開(kāi),把摩天大樓變成了儲(chǔ)能之王
- 三維快速模擬仿真電磁計(jì)算分析軟件
- 安塔爾火箭將放棄俄羅斯發(fā)動(dòng)機(jī),開(kāi)發(fā)新的一級(jí)助推器
- 如何應(yīng)對(duì)近地軌道應(yīng)用中的挑戰(zhàn)?
- 蘋(píng)果VR設(shè)備即將亮相 A股產(chǎn)鏈公司變動(dòng)
- Bourns 歡慶 75 周年 跨越 3/4 世紀(jì)的重要里程碑
- 恩智浦半導(dǎo)體任命Jennifer Wuamett公司首席可持續(xù)發(fā)展官
- 《IDC PeerScape: 企業(yè)低代碼開(kāi)發(fā)實(shí)踐洞察報(bào)告正式發(fā)布
- 大型海外工廠已停止接單 國(guó)內(nèi)IGBT企業(yè)有望填補(bǔ)空缺
- 何小鵬:小鵬汽車有望 2025 實(shí)現(xiàn)真正的自動(dòng)駕駛
- 夢(mèng)之墨T系列幫助浙江大學(xué)生成功舉辦工程實(shí)踐與創(chuàng)新能力競(jìng)賽
