张伟 中国移动通信集团安徽有限公司蚌埠分公司网络部
物联网的安全问题与防护措施
张伟 中国移动通信集团安徽有限公司蚌埠分公司网络部
随着信息技术的快速发展,物联网已经成为时代的大趋势,越来越多的个体将被接入物联网的体系内,因为物联网让个体间的联系更加的紧密,所以任何一个针对个体的网络攻击都有可能蔓延到更广的范围内,攻击带来的损害程度也将远比对于单独PC端、移动端的攻击大很多。因为从物联网的普及程度来看,一旦出现安全性问题,将会对人们的生产生活造成巨大的损失。本文分析了物联网在应用时出现的普遍问题,同时针对这些问题,提出了切实可行的安全防护措施。
物联网 安全 问题 措施
物联网概念自提出以来,便受到各界的广泛关注,物联网技术是信息产业的又一次浪潮。目前,物联网已经在智慧电力、智能家居、医疗健康、环境监测等领域得到了初步应用,正改变着人类的生活和工作方式。
然而,大部分物联网设备在设计之初主要应用在专网、或者不联网的领域,并没有将互联网作为应用场景。比如安防摄像头,最初都是通过硬盘来存储数据,其产品特性也主要考虑编解码、清晰度等特性。但随着摄像头数量增多,越来越多设备需要远程控制能力,也因此开始连接互联网。此时,缺少安全防护的问题开始大规模暴露。以内置密码来说,暴露在互联网上的设备很多都未对内置初始密码进行修改,一旦成千上万的这种设备被人操控,就能有针对性地发动DDoS攻击。近期,物联网设备遭恶意软件感染发起的DDos攻击占据新闻头条。10月21日导致“半个美国互联网”瘫痪的Ddos攻击就显示了由大量的物联网设备组成的僵尸网络发起Ddos攻击的破坏力,黑客操控感染了恶意软件Mirai的物联网设备发起了DDOS攻击。据事后分析,造成如此严重后果的只是10万个被黑的IoT设备。无独有偶,11月初有黑客对一个非洲国家利比里亚的互联网发起大规模DDoS攻击,企图关闭整个国家的互联网。这次攻击的频率超过了500Gbps,但只持续了很短的一段时间。
1.1 物联网概念
1999年美国麻省理工学院(MIT)首次提出了物联网(The Internet of Things,IoT)的概念。国际电信联盟(ITU)2005年度报告中提到:物联网将实现任何时间、任何地点、任何人、任何物体之间的信息通信。物联网有3大特征:一是全面感知,即通过RFID(Radio Frequency Identification)和传感器等传感设备随时随地获取物体的相关数据和位置信息;二是可靠传输,即通过将物体接入网络,利用通信网络,将物体的信息进行可靠的传输;三是智能处理,即利用各种智能计算技术,对感知到的海量数据和信息进行分析和处理,实现智能化的决策和控制。
1.2 物联网体系架构
到目前为止,国际上还没有制定出物联网框架体系架构标准。现在被业界广泛认可的是ITU-T建议的三层架构,包括应用层、网络层、感知层,物联网架构如图所示。
物联网各层的主要任务和功能如下:
感知层:完成节点数据收集、物体感知和控制。感知层包含两个部分:感知节点和感知层网络。感知节点用来采集数据和实现对物体的控制,感知层网络将感知节点采集的数据传送至网关或将指令发送到感知节点控制器。
网络层:把感知层采集的数据传输至处理层,处理层再对数据进行加工处理,处理层采用数据挖掘技术对数据进行分类、聚合和处理。
应用层:根据具体行业和用户需求,实现具体的物联网服务。目前物联网提供的服务有:智慧农业、智慧城市、环境监测、工业控制等。
物联网的核心技术主要有三个特点:可跟踪、可监控、可连接。因此,物联网所面临的安全性威胁也主要是这三方面的,具体来讲,主要包括感知、传输和应用三个层面。由于网络环境纷繁复杂,所以从感知方面来讲,在接触这些信息的时候,物联网就面临着多重威胁;其次是传输,感知节点在传输的过程中是暴露在整个错综复杂的网络环境之下的,这时候最容易受到不良信息的攻击;最后是应用方面,随着物联网在各行各业的应用越来越广泛,运营的过程中,稍有不慎,就会出现多种多样的安全性问题。
从一定层面上来讲,物联网在应用过程中可能面临以下几种安全性问题:如隐私泄漏,这是一个非常普遍的现象,因为射频识别技术的广泛应用,它就有更多地可能被恶意扩大传播范围,通过网络输出到更多人的视线之内,给人们正常的生产生活造成很大困扰;再如拒绝服务现象,这也是一个很常见的问题,当信息从感知层传输到输出层时,由于信息量的庞大或者使用人群较多,极有可能造成网络拥堵的现象,产生变相拒绝服务的情况,这也会给人们的生活造成一定的麻烦;除此之外,在物联网领域,还充斥着恶意代码攻击、伪造信息等各种安全威胁。
2.1 感知层的安全威胁
感知层面临的威胁主要有针对无线传感网络WSN的安全威胁和针对射频识别(RFID)的安全威胁。
2.1.1 针对WSN的安全威胁
WSN的安全威胁主要是传感节点的数据采集和传输安全。由于传感节点大多部署在无人监控的环境,无线本身存在开放性,因此无线传输易受到外界干扰和非法用户攻击。
窃听攻击:通过非法手段,窃听RFID阅读器和RFID标签之间通信数据;
节点捕获:统计这非法获得身份信息、控制节点,造成数据泄露;
重放攻击:采用非法技术获取网络信息,不断的重发此类信息,造成网络故障。
路由信息虚假:恶意篡改路由信息,造成虚假错误信息传送,浪费网络资源。
拒绝服务:网关节点收到DoS攻击,会不断消耗网络资源,最终造成网络瘫痪。
2.1.2 针对RFID的安全威胁
RFID的安全威胁主要指在RFID阅读器和标签进行通信时遭到的攻击,此类攻击通常会导致用户隐私泄露。此外,还由于RFID标签是可擦写的,因此RFID标签数据的安全性和有效性将得不到保证。
克隆攻击:伪造或者复制与原目标相同的RFID标签;
欺骗攻击:假冒合法的RFID标签,获得访问权限后进行攻击;
非法授权:在未授权的情况下非法督促RFID标签数据;
拒绝服务:持续向RFID标签发送恶意请求信息,是标签合法请求无法响应。
假冒攻击:攻击者冒充合法的RFID阅读器窃取RFID标签数据。
2.2 网络层安全威胁
网络层主要负责将传感层采集的数据传送到处理层,以便处理层对数据进行智能分析和决策。由于物联网设备通常采用无线技术,而无线数据容易被窃听、修改、插入、删除和重传。
流量分析:监听网络流量,分析相关参数;
伪装攻击:恶意节点通过伪装成正常节点吸引数据包,以此进行数据篡改或毁坏数据;
黑洞攻击:将所有可能的流量引导到一个节点,消耗网络资源和节点能量;
Hello泛洪:恶意节点用异常高的发射功率传输消息,使其他节点相信他们是邻居,从而造成误导,生成虚假路由;
灰洞攻击:将数据包吸引到被俘获的节点,并选择性的丢弃数据包,造成某区域数据丢失,或者数据被篡改。
2.3 应用层安全威胁
应用层的安全威胁主要包括数据处理和业务控制、管理和认证机制、个人隐私保护等。由于传感节点大都处于无人值守的状态,所以面临节点业务配置的问题。在物联网具体应用中,传感节点会收集用户大量隐私数据,用户的这些隐私数据极易遭到泄露。
基于物联网设备目前面临的安全风险及由此造成的破坏力,有必要引起人们的重视和警惕。物联网节点分布广、数量多、环境复杂,安全性相对脆弱。物联网设备通常是内存较小的计算装置,存储空间普遍不足以安装常规IT安全设备,物联网设备的安全性也很难得到准确而可靠地评估。同样,即使发现了安全漏洞,也无法用常规方式解决。而且,由于物联网设备通常都是无人值守的,攻击者就可以轻易地接触到这些设备,从而对它们造成破坏。针对物联网设备的特性和面临的安全威胁,本文提出以下几个应对措施:
3.1 通过技术完善物联网设备的安全性
设备制造商应提升物理网设备的安全性,应支持物联网设备的在线自动补丁更新,及时修复设备漏洞和缺陷;物联网设备之间的通信应采用加密方式传输和身份验证,防止通信流量被窃听和冒名访问;设备在入网时应强制修改默认密码,避免设备使用默认密码联网导致弱口令,从而被利用入侵;使用安全的远程管理方式,避免使用telnet,http等不安全的远程管理方式。
3.2 加强对物联网的安全监管
物联网的安全监管必不可少,尤其对安监、物流、公共交通、电力和供热行业等特殊行业,所有使用物联网技术的设备都必须受到保护。要构建物联网的安全防护和监控平台,能够实时感知物联网设备的安全态势,及时发现被入侵和感染恶意程序的物联网设备。
3.3 构建开放合作的物联网安全平台
物联网设备制造商,通信运营商、客户和安全行业应建立某种形式的合作机制和开放平台,通过云服务、大数据平台等技术建立更加安全、更加开放的智能硬件生态圈。通过多方协作,避免各自为阵,单打独斗,共同面对物联网面临的安全威胁。
3.4 安全管理机制和法律法规的完善
对于物联网这种新兴的产物,在我国还没有统一标准和针对性的安全管理机制,物联网的安全,涉及技术、管理与法规等问题,需要国家层面进行协调完善。如何协同各部门和各地区的优势,共同推动物联网跨界融合发展仍有不少工作需要做。要强化安全标准的研制、验证和实施,建立健全物联网安全防护制度,确保工业、能源、电力、交通等涉及公共安全和基础设施的物联网应用的安全可控。
总的来说,物联网安全问题的解决需要根据物联网自身的特点以及它在各个领域的应用情况,推行因地制宜的解决方案。任何事物都有其两面性。物联网技术在给人们带来经济发展和生活便利的同时,又带来一些信息安全和隐私泄露等方面的问题。相信在不远的将来,问题将会得到解决,“感知中国”将不再是梦想。