,,

物聯(lián)網安全技術怎么了？

（2024年11月23日更新）

描述

芯片采購網專注于整合國內外授權IC代理商現(xiàn)貨資源，芯片庫存實時查詢，行業(yè)價格合理，采購方便IC芯片，國內專業(yè)芯片采購平臺。

物聯(lián)網安全是一種全堆棧行為，是服務、使用、云、管道、邊緣、端全生態(tài)統(tǒng)一合作聯(lián)合防御可以有效的主題，僅從物聯(lián)網設備端采取嚴格防御策略不能阻止?jié)B透到每個角落APT攻擊。因此，我們可以從物聯(lián)網設備開始，Rootkit注入保護、DDOS綜合考察物聯(lián)網安全的對策，包括攻擊防御、設備安全準入、數(shù)據和協(xié)議安全。此外，還應確保物聯(lián)網控制平臺、云平臺、互聯(lián)接口、物聯(lián)網業(yè)務系統(tǒng)等基礎設施的安全。

1.基于可信計算的安全啟動技術

可信計算是由TCG（Trusted Computing Group，基于硬件安全模塊的可信計算平臺廣泛應用于計算和通信領域，以提高整個系統(tǒng)和應用軟件的安全性和完整性。作為一種新興技術，其主要目標包括計算平臺的完整性、平臺的遠程證明、數(shù)據存儲的安全性等。

作為高級可持續(xù)威脅（APT），如果不是潛伏在系統(tǒng)的最深層，如果不是在操作系統(tǒng)加載之前，如果在啟動過程中不能制衡保護軟件來實現(xiàn)自己的免殺APT”。對于的辦法就是控制系統(tǒng)的運行權�？尚庞嬎慵夹g是這場運行權戰(zhàn)爭中的定海神針。通過信任鏈的可傳導性，驗證每個啟動步驟的完整性和正確性，確保計算平臺的完整性。

測量是一級從底層逐級測量的，通常以先啟動的軟硬件代碼(如安全芯片)為信任根，以此為標準測量后啟動的軟硬件，從而實現(xiàn)信任鏈的向后傳輸，保證系統(tǒng)計算環(huán)境的可信度。整個過程遵循先測量再執(zhí)行的策略Windows當系統(tǒng)啟動時，可以BIOS中間的代碼是核心信任根模塊信任根模塊(可信根)BIOS/UEFI、WinLoader、逐級靜態(tài)測量操作系統(tǒng)鏡像文件。

可信根作為整個系統(tǒng)信任鏈的底信根必須可信。因此，可信根通常是通過制造商直接將算法和密鑰植入安全芯片而實現(xiàn)的，這是不可覆蓋的。因此，這部分代碼也被稱為可信軟件基礎（TSB，Trusted Software Base）。

ARM作為一個老的處理平臺，制造商還提出了消費物聯(lián)網設備的安全保密和可信計算TrustZone技術。本質上，該技術是一種硬件平臺結構和安全框架，將電影系統(tǒng)的軟硬件資源分為安全世界和非安全世界（類似于X86系統(tǒng)下的0環(huán)和3環(huán))通過訪問權限的差異來保證資源的安全。非安全世界和安全世界需要通過中間通信Monitor Mode進行轉換。

2.Rootkit防御技術

Rootkit無論采用哪種處理器架構，還是在哪種操作系統(tǒng)中，都是系統(tǒng)安全領域常見的話題，Rootkit都是鬼影相伴。所謂Rootkit，是系統(tǒng)中隱藏自己、控制設備、獲取隱私信息的惡意代碼。十有八九的物聯(lián)網設備招是以獲取信息和控制設備為特征的Rootkit因此，對于惡意過程/代碼模塊Rootkit防御尤為重要。

Rootkit執(zhí)行特點如下：

(1)將惡意代碼放置在內存數(shù)據區(qū)，通過堆棧溢出等方式在數(shù)據區(qū)執(zhí)行。

(2)惡意代碼模塊通過遠程線程和默認加載加載到應用過程中，即注入模塊。

(3)通過掛鉤操作系統(tǒng)的重要方法(如系統(tǒng)調用或中斷響應程序等)獲取所需數(shù)據。

(4)通過過濾驅動掛鉤網絡協(xié)議棧，獲取重要的網絡流量，篡改數(shù)據包。

(5)通過掛鉤重要可執(zhí)行模塊EAT/IAT改變過程執(zhí)行過程的方式(導出/導入地址表)。

從上述Rootkit可以反向推導防御的運行特征Rootkit攻擊手段。Windows系統(tǒng)在抵御Rootkit因為Windows系統(tǒng)的運行環(huán)境和計算資源相對寬松，因此有更多的機制和手段來確保安全。對于物聯(lián)網系統(tǒng)，由于其功耗和計算資源的限制，操作系統(tǒng)一般相對簡化，因此有針對性地制定Rootkit防御機制更為必要。

(1)物聯(lián)網設備的通信模塊短小精悍，一般沒有協(xié)議棧，所以物聯(lián)網設備中不會存在通過濾驅動攔截網絡數(shù)據包的方式。

(2)物聯(lián)網系統(tǒng)沒有復雜的應用機制，如遠程線程和默認加載，因此無需考慮模塊注入。

(3)堆棧溢出在物聯(lián)網系統(tǒng)中很常見，因此可以使用類似的堆棧溢出Win保護7的數(shù)據（DEP）機制防止內存數(shù)據區(qū)執(zhí)行惡意代碼。

（4）物聯(lián)網系統(tǒng)還有重要的方法，如中斷響應范圍、系統(tǒng)呼叫服務范圍等，仍然需要防止這些重要部件連接。類似的可以使用Windows的PatchGuard機制防止這些重要部位被重寫。

(5)不明過程的安裝和運行可以通過內核過程簽名驗證機制來阻斷。

3.抗DDOS攻擊技術

DDOS攻擊是物聯(lián)網還是視聯(lián)網，攻擊也是網絡安全領域永恒的話題，只要支持TCPIP協(xié)議面臨被子DDOS攻擊的危險。DDOS核心思想是通過車輪戰(zhàn)NXP代理使目標系統(tǒng)倦了應對，無法正常運行其他過程，包括各種細分攻擊手段，常見的有以下幾種：

（1）SYN Flood

通過偽造大量不存在的偽造IP地址在很短的時間內連續(xù)發(fā)送到服務器SYN服務器回復確認包SYN/ACK，等待客戶永遠不會回應的確認回復。這樣的服務器需要不斷重新發(fā)送SYN/ACK這些偽造，這些偽造SYN包將長期占用未連接隊列，正常SYN請求被丟棄，導致目標系統(tǒng)運行緩慢甚至癱瘓。這是利用TCP傳輸特性制造的車輪戰(zhàn)。

（2）ICMP Flood

在很短的時間內不斷向目標主機要求ICMP回應導致目標系統(tǒng)負擔過重，無法正常處理IO業(yè)務。這是利用ICMP協(xié)議制造的車輪戰(zhàn)。

（3）UDP Flood

在很短的時間內向目標主機發(fā)送大量的目標主機UDP目標系統(tǒng)負擔過重，無法正常處理IO業(yè)務。這是利用UDP協(xié)議制造的車輪戰(zhàn)。

（4）ARP Flood

攻擊者可以在很短的時間內發(fā)送大量的攻擊ARP請求包阻塞正常的網絡寬帶，使局域網中有限的網絡資源被無用的廣播信息占用，導致網絡擁堵。這是利用ARP包裝制造的車流戰(zhàn)癱瘓了承載網絡。

除上述二三四層協(xié)議外，DDOS除了攻擊，還可以制造應用層和會話層協(xié)議DDOS例如，攻擊的效果在短時間內超過大量HTTP請求使WEB服務器崩潰，視頻服務器通過大量流媒體會話協(xié)議在短時間內崩潰，這些攻擊都迎合了DDOS攻擊的初衷，即極限壓力使其疲于應而崩潰。

一般情況下DDOS攻擊的抵抗是通過排水的方法，即需要保護系統(tǒng)的判斷DDOS攻擊，然后啟動流量排水機制，DDOS攻擊包引導消化到攻擊緩沖區(qū)。由于物聯(lián)網領域設備數(shù)量龐大，應特別注意防御DDOS攻擊問題。

（1）在IPv4.私網穿透主要用于與外部系統(tǒng)通信。由于私網穿透通信的單向性，外部系統(tǒng)主動啟動DDOS特別是在部署對稱性時，攻擊的可能性較低NAT服務時，對外向內通信的限制非常嚴格，可以在一定程度上阻斷DDOS攻擊流。

（2）物聯(lián)網和互聯(lián)網之間也會有網絡隔離設備，如安全訪問平臺或網絡閘門，可以獨立設置其安全水平。雖然其通信效率較低，但可以對網絡包進行深度檢測（DPI），也可以在一定程度上阻抗DDOS攻擊流。

4.物聯(lián)網設備指紋技術

設備指紋是近年來新興的物聯(lián)網設備接入準入技術。其核心原理是通過設備的操作系統(tǒng)和制造商ID、MAC地址、端口號、IP為了識別設備的獨特性，生成一系列與每個設備相關的固定私有信息，如地址、協(xié)議報文類型等屬性。通過設備指紋庫識別設備，物聯(lián)網平臺可以阻斷和報警非指紋庫中的設備。傳統(tǒng)的識別設備唯一性的方法是通過ID，然而，由于設備的原因，這種方法具有相當大的可仿性和可替代性ID一般處于OSI高層協(xié)議棧，仿冒門檻也較低。但通過設備指紋標識設備的獨特性具有較低的可仿冒性和可替代性。

(1)設備的操作系統(tǒng)會有一定的標識，如版本號、制造商ID等等，假冒這些屬性并不容易，可能要通過Patch改變內核變量的手段。

（2）MAC地址、IP地址、端口號等屬性具有設備的獨特性，雖然也具有模仿性，但模仿這些聯(lián)合屬性并不容易。

(3)雖然協(xié)議報文遵循一定的標準，但每個廠家設備協(xié)議的報文頭或報文體都會有一些私人信息，比如SIP協(xié)議頭域User-Agent屬性將附帶制造商信息。另一個例子是協(xié)議交互的時間間隔和回復特征，這些更微妙的差異也是設備指紋的重要組成部分。

因此，通過設備指紋識別設備的獨特性、在線檢測設備、私接設備和假冒設備具有很高的不可仿冒性和不可替代性。

生成設備指紋包括主動檢測和被動監(jiān)測。

(1)主動探測方法的主要思想是主動發(fā)送到物聯(lián)網設備ICMP、UDP包，或主動建立TCP連接，甚至主動發(fā)起一些應用層以上的協(xié)議來探索設備的回復信息(例如ICMP echo reply、ICMP端口、端口、HTTP Response等待報紙)，根據這些報紙識別設備的特殊屬性。一些制造商還將支持一些私人協(xié)議來識別設備的不可偽造性。

(2)被動監(jiān)控模式的主要思路是通過網絡探針監(jiān)控設備的互動報告，通過源端口、源地址、MAC判斷設備的不可替代性，如信息、報文特征等。

圖3一種基于OSI協(xié)議棧指紋回聲的物分系統(tǒng)

設備指紋已廣泛應用于視頻監(jiān)控領域。然而，在物聯(lián)網的其他領域，由于協(xié)議報告類型的復雜性，許多設備不在TCPIP因此，網絡中的應用場景并不多。

5.數(shù)據安全技術

物聯(lián)網數(shù)據安全包括數(shù)據本身的安全和協(xié)議安全。但無論內涵如何，其本質都是解密數(shù)據和協(xié)議報告，當然也包括協(xié)議的證書認證機制。在安全領域，公安部已經制定了GB35114標準按密級高低劃分ABC三個等級:認證加密協(xié)議報紙，視頻NAL對視頻內容本身進行認證和解密。

加持國家強制性標準是數(shù)據安全的注腳。

來源:中國安防