
描述
芯片采購網專注于整合國內外授權IC代理商現貨資源,芯片庫存實時查詢,行業價格合理,采購方便IC芯片,國內專業芯片采購平臺。
物聯網安全是一種全堆棧行為,是服務、使用、云、管道、邊緣、端全生態統一合作聯合防御可以有效的主題,僅從物聯網設備端采取嚴格防御策略不能阻止滲透到每個角落APT攻擊。因此,我們可以從物聯網設備開始,Rootkit注入保護、DDOS綜合考察物聯網安全的對策,包括攻擊防御、設備安全準入、數據和協議安全。此外,還應確保物聯網控制平臺、云平臺、互聯接口、物聯網業務系統等基礎設施的安全。
1.基于可信計算的安全啟動技術
可信計算是由TCG(Trusted Computing Group,基于硬件安全模塊的可信計算平臺廣泛應用于計算和通信領域,以提高整個系統和應用軟件的安全性和完整性。作為一種新興技術,其主要目標包括計算平臺的完整性、平臺的遠程證明、數據存儲的安全性等。
作為高級可持續威脅(APT),如果不是潛伏在系統的最深層,如果不是在操作系統加載之前,如果在啟動過程中不能制衡保護軟件來實現自己的免殺APT”。對于的辦法就是控制系統的運行權。可信計算技術是這場運行權戰爭中的定海神針。通過信任鏈的可傳導性,驗證每個啟動步驟的完整性和正確性,確保計算平臺的完整性。
測量是一級從底層逐級測量的,通常以先啟動的軟硬件代碼(如安全芯片)為信任根,以此為標準測量后啟動的軟硬件,從而實現信任鏈的向后傳輸,保證系統計算環境的可信度。整個過程遵循先測量再執行的策略Windows當系統啟動時,可以BIOS中間的代碼是核心信任根模塊信任根模塊(可信根)BIOS/UEFI、WinLoader、逐級靜態測量操作系統鏡像文件。
可信根作為整個系統信任鏈的底信根必須可信。因此,可信根通常是通過制造商直接將算法和密鑰植入安全芯片而實現的,這是不可覆蓋的。因此,這部分代碼也被稱為可信軟件基礎(TSB,Trusted Software Base)。
ARM作為一個老的處理平臺,制造商還提出了消費物聯網設備的安全保密和可信計算TrustZone技術。本質上,該技術是一種硬件平臺結構和安全框架,將電影系統的軟硬件資源分為安全世界和非安全世界(類似于X86系統下的0環和3環)通過訪問權限的差異來保證資源的安全。非安全世界和安全世界需要通過中間通信Monitor Mode進行轉換。
2.Rootkit防御技術
Rootkit無論采用哪種處理器架構,還是在哪種操作系統中,都是系統安全領域常見的話題,Rootkit都是鬼影相伴。所謂Rootkit,是系統中隱藏自己、控制設備、獲取隱私信息的惡意代碼。十有八九的物聯網設備招是以獲取信息和控制設備為特征的Rootkit因此,對于惡意過程/代碼模塊Rootkit防御尤為重要。
Rootkit執行特點如下:
(1)將惡意代碼放置在內存數據區,通過堆棧溢出等方式在數據區執行。
(2)惡意代碼模塊通過遠程線程和默認加載加載到應用過程中,即注入模塊。
(3)通過掛鉤操作系統的重要方法(如系統調用或中斷響應程序等)獲取所需數據。
(4)通過過濾驅動掛鉤網絡協議棧,獲取重要的網絡流量,篡改數據包。
(5)通過掛鉤重要可執行模塊EAT/IAT改變過程執行過程的方式(導出/導入地址表)。
從上述Rootkit可以反向推導防御的運行特征Rootkit攻擊手段。Windows系統在抵御Rootkit因為Windows系統的運行環境和計算資源相對寬松,因此有更多的機制和手段來確保安全。對于物聯網系統,由于其功耗和計算資源的限制,操作系統一般相對簡化,因此有針對性地制定Rootkit防御機制更為必要。
(1)物聯網設備的通信模塊短小精悍,一般沒有協議棧,所以物聯網設備中不會存在通過濾驅動攔截網絡數據包的方式。
(2)物聯網系統沒有復雜的應用機制,如遠程線程和默認加載,因此無需考慮模塊注入。
(3)堆棧溢出在物聯網系統中很常見,因此可以使用類似的堆棧溢出Win保護7的數據(DEP)機制防止內存數據區執行惡意代碼。
(4)物聯網系統還有重要的方法,如中斷響應范圍、系統呼叫服務范圍等,仍然需要防止這些重要部件連接。類似的可以使用Windows的PatchGuard機制防止這些重要部位被重寫。
(5)不明過程的安裝和運行可以通過內核過程簽名驗證機制來阻斷。
3.抗DDOS攻擊技術
DDOS攻擊是物聯網還是視聯網,攻擊也是網絡安全領域永恒的話題,只要支持TCPIP協議面臨被子DDOS攻擊的危險。DDOS核心思想是通過車輪戰NXP代理使目標系統倦了應對,無法正常運行其他過程,包括各種細分攻擊手段,常見的有以下幾種:
(1)SYN Flood
通過偽造大量不存在的偽造IP地址在很短的時間內連續發送到服務器SYN服務器回復確認包SYN/ACK,等待客戶永遠不會回應的確認回復。這樣的服務器需要不斷重新發送SYN/ACK這些偽造,這些偽造SYN包將長期占用未連接隊列,正常SYN請求被丟棄,導致目標系統運行緩慢甚至癱瘓。這是利用TCP傳輸特性制造的車輪戰。
(2)ICMP Flood
在很短的時間內不斷向目標主機要求ICMP回應導致目標系統負擔過重,無法正常處理IO業務。這是利用ICMP協議制造的車輪戰。
(3)UDP Flood
在很短的時間內向目標主機發送大量的目標主機UDP目標系統負擔過重,無法正常處理IO業務。這是利用UDP協議制造的車輪戰。
(4)ARP Flood
攻擊者可以在很短的時間內發送大量的攻擊ARP請求包阻塞正常的網絡寬帶,使局域網中有限的網絡資源被無用的廣播信息占用,導致網絡擁堵。這是利用ARP包裝制造的車流戰癱瘓了承載網絡。
除上述二三四層協議外,DDOS除了攻擊,還可以制造應用層和會話層協議DDOS例如,攻擊的效果在短時間內超過大量HTTP請求使WEB服務器崩潰,視頻服務器通過大量流媒體會話協議在短時間內崩潰,這些攻擊都迎合了DDOS攻擊的初衷,即極限壓力使其疲于應而崩潰。
一般情況下DDOS攻擊的抵抗是通過排水的方法,即需要保護系統的判斷DDOS攻擊,然后啟動流量排水機制,DDOS攻擊包引導消化到攻擊緩沖區。由于物聯網領域設備數量龐大,應特別注意防御DDOS攻擊問題。
(1)在IPv4.私網穿透主要用于與外部系統通信。由于私網穿透通信的單向性,外部系統主動啟動DDOS特別是在部署對稱性時,攻擊的可能性較低NAT服務時,對外向內通信的限制非常嚴格,可以在一定程度上阻斷DDOS攻擊流。
(2)物聯網和互聯網之間也會有網絡隔離設備,如安全訪問平臺或網絡閘門,可以獨立設置其安全水平。雖然其通信效率較低,但可以對網絡包進行深度檢測(DPI),也可以在一定程度上阻抗DDOS攻擊流。
4.物聯網設備指紋技術
設備指紋是近年來新興的物聯網設備接入準入技術。其核心原理是通過設備的操作系統和制造商ID、MAC地址、端口號、IP為了識別設備的獨特性,生成一系列與每個設備相關的固定私有信息,如地址、協議報文類型等屬性。通過設備指紋庫識別設備,物聯網平臺可以阻斷和報警非指紋庫中的設備。傳統的識別設備唯一性的方法是通過ID,然而,由于設備的原因,這種方法具有相當大的可仿性和可替代性ID一般處于OSI高層協議棧,仿冒門檻也較低。但通過設備指紋標識設備的獨特性具有較低的可仿冒性和可替代性。
(1)設備的操作系統會有一定的標識,如版本號、制造商ID等等,假冒這些屬性并不容易,可能要通過Patch改變內核變量的手段。
(2)MAC地址、IP地址、端口號等屬性具有設備的獨特性,雖然也具有模仿性,但模仿這些聯合屬性并不容易。
(3)雖然協議報文遵循一定的標準,但每個廠家設備協議的報文頭或報文體都會有一些私人信息,比如SIP協議頭域User-Agent屬性將附帶制造商信息。另一個例子是協議交互的時間間隔和回復特征,這些更微妙的差異也是設備指紋的重要組成部分。
因此,通過設備指紋識別設備的獨特性、在線檢測設備、私接設備和假冒設備具有很高的不可仿冒性和不可替代性。
生成設備指紋包括主動檢測和被動監測。
(1)主動探測方法的主要思想是主動發送到物聯網設備ICMP、UDP包,或主動建立TCP連接,甚至主動發起一些應用層以上的協議來探索設備的回復信息(例如ICMP echo reply、ICMP端口、端口、HTTP Response等待報紙),根據這些報紙識別設備的特殊屬性。一些制造商還將支持一些私人協議來識別設備的不可偽造性。
(2)被動監控模式的主要思路是通過網絡探針監控設備的互動報告,通過源端口、源地址、MAC判斷設備的不可替代性,如信息、報文特征等。
圖3一種基于OSI協議棧指紋回聲的物分系統
設備指紋已廣泛應用于視頻監控領域。然而,在物聯網的其他領域,由于協議報告類型的復雜性,許多設備不在TCPIP因此,網絡中的應用場景并不多。
5.數據安全技術
物聯網數據安全包括數據本身的安全和協議安全。但無論內涵如何,其本質都是解密數據和協議報告,當然也包括協議的證書認證機制。在安全領域,公安部已經制定了GB35114標準按密級高低劃分ABC三個等級:認證加密協議報紙,視頻NAL對視頻內容本身進行認證和解密。
加持國家強制性標準是數據安全的注腳。
來源:中國安防
- 快手自研完成SL200視頻壓縮芯片 正在內測中
- 物盡其用!科學家們腦子大開,把摩天大樓變成了儲能之王
- 三維快速模擬仿真電磁計算分析軟件
- 安塔爾火箭將放棄俄羅斯發動機,開發新的一級助推器
- 如何應對近地軌道應用中的挑戰?
- 蘋果VR設備即將亮相 A股產鏈公司變動
- Bourns 歡慶 75 周年 跨越 3/4 世紀的重要里程碑
- 恩智浦半導體任命Jennifer Wuamett公司首席可持續發展官
- 《IDC PeerScape: 企業低代碼開發實踐洞察報告正式發布
- 大型海外工廠已停止接單 國內IGBT企業有望填補空缺
- 何小鵬:小鵬汽車有望 2025 實現真正的自動駕駛
- 夢之墨T系列幫助浙江大學生成功舉辦工程實踐與創新能力競賽
