2.2 物联网安全威胁分析
互联网信息安全所面临的威胁主要包括:利用网络的开放性,采取病毒和黑客入侵等手段,渗透计算机系统,进行干扰、篡改、窃取或破坏;利用在计算机CPU(中央处理器)芯片或在操作系统、数据库管理系统、应用程序中预先安置从事情报收集、受控激发破坏的程序,来破坏系统或收集和发送敏感信息;利用计算机及其外围设备电磁窃取侦截各种情报资料等。
信息系统和网络是颇具诱惑力的受攻击目标。它们抵抗着来自黑客的全方位威胁实体的攻击。因此,它们必须具备限制受破坏程度的能力并在遭受攻击后得以快速恢复。信息保障技术框架认为有以下5类攻击类型,如表2-1所示。
表2-1 攻击类型
1.被动攻击
被动攻击包括被动监视公共媒体(如无线电、卫星、微波和公共交换网)上的信息传输。抵抗这类攻击的对策包括使用虚拟专用网(VPN)、加密保护网络及使用加保护的分布式网络(如物理上受保护的网络/安全的在线分布式网络)。典型被动攻击实例如表2-2所示。
表2-2 典型被动攻击实例
2.主动攻击
主动攻击包括企图避开或打破安全防护、引入恶意代码(如计算机病毒)及转换数据或系统的完整性。典型对策包括增强的区域边界保护(如防火墙和边界护卫)、基于网络管理交互身份认证的访问控制、受保护远程访问、质量安全管理、自动病毒检测工具、审计和入侵检测。典型主动攻击实例如表2-3所示。
表2-3 典型主动攻击实例
3.临近攻击
临近攻击中未授权者物理上接近网络、系统或设备,目的是修改、收集或拒绝访问信息。这种接近可以是秘密进入或公开接近,也可以是两者都有。典型临近攻击实例如表2-4所示。
表2-4 典型临近攻击实例
4.内部人员攻击
内部人员攻击由内部的人员实施,他们要么被授权在信息安全处理系统的物理范围内,要么对信息安全处理系统具有直接访问权。有恶意的和非恶意的(不小心或无知的用户)两种内部人员攻击。根据非恶意攻击中用户的安全结果,非恶意情况也被认为是一种攻击。
(1)恶意内部人员攻击。例如,美国联邦调查局的评估显示80%的攻击和入侵来自组织内部,因为内部人员知道系统的布局、有价值的数据在哪里及哪种安全防范系统在工作。内部人员攻击来自区域内部,是最难以检测和防范的。
通常,阻止系统合法访问者越界进入他们未被授权的更秘密的区域是比较困难的。内部人员攻击可以集中在破坏数据或访问方面,包括修改系统保护措施。恶意内部人员攻击者可以使用隐秘通道将机密数据发送到其他受保护的网络中。然而,一个内部人员攻击者还可以通过其他很多途径来破坏信息系统。
(2)非恶意内部人员攻击。这类攻击由授权的人们引起,他们并非故意破坏信息或信息处理系统,而是由于其特殊行为对系统无意地产生了破坏。这些破坏可能由于缺乏知识或不小心所致。
典型对策包括:安全意识和训练,审计和入侵检测;安全策略和增强安全性;关键数据服务和局域网的特殊访问控制等;在计算机和网络元素中的信任技术,或者一个较强的身份识别与认证能力。典型内部人员攻击实例如表2-5所示。
表2-5 典型内部人员攻击实例
5.供应链攻击
供应链攻击是指在软件与硬件开发出来之后到安装之前这段时间,或者当它从一个地方传输到另一个地方时,攻击者恶意修改软/硬件。在工厂,可以通过加强处理配置控制将这类威胁降低到最低。通过使用受控分发或使用由最终用户检验的签名软件和存取控制可以解除分发威胁。典型供应链攻击实例如表2-6所示。
表2-6 典型供应链攻击实例
物联网中存在着大量低成本的传感器节点和RFID标签等远端控制节点,这些节点具有数量多、分布广、功能和性能受限、生命周期长、所处环境也可能无法保障必要的物理安全等特点,给节点的管理和密钥分发等问题都带来了新的挑战。由于物联网中多种异构网络的接入,因此使攻击者更容易在基于不同协议网络间的连接过程中找到系统弱点,实施攻击。总而言之,在物联网系统中使用多种通信技术的同时,也使其包含了更多的新型安全问题。物联网安全除了面临传统互联网的安全威胁,还面临物联网的感知层、网络层、应用层所独有的威胁。
2.2.1 感知层安全威胁分析
感知层的任务是全面感知外界信息,或者说是收集原始信息。该层的典型设备包括RFID装置、各类传感器(如红外、超声、温度、湿度、速度等)、图像捕捉装置(摄像头)、位置感知器(GPS)、激光扫描仪等。这些设备收集的信息通常具有明确的应用目的,因此传统上这些信息直接被处理并应用,如公路摄像头捕捉的图像信息直接用于交通监控。但是在物联网应用中,多种类型的感知信息可能会同时处理、综合利用,甚至不同感应信息的结果将影响其他控制调节行为,如湿度的感应结果可能会影响到温度或光照控制的调节。同时,物联网应用强调的是信息共享,这是物联网区别于传感网的最大特点之一。例如,交通监控录像信息可能还同时被用于公安侦破、城市改造规划设计、城市环境监测等。于是,如何处理这些感知信息将直接影响到信息的有效应用。为了使同样的信息被不同应用领域有效使用,应该有综合处理平台,这就是物联网的应用层,因此这些感知信息需要传输到一个处理平台。
感知层可能遇到的安全挑战包括下列情况。
(1)感知节点所感知的信息被非法获取(泄密)。
(2)感知层的关键节点被非法控制——安全性全部丢失。
(3)感知层的普通节点被非法控制(攻击者掌握节点密钥)。
(4)感知层的普通节点被非法捕获(由于没有得到节点密钥,因此没有被控制)。
(5)感知层的节点(普通节点或关键节点)受来自网络的DOS(拒绝服务)攻击。
(6)接入到物联网的超大量感知节点的标志、识别、认证和控制问题。
如果感知节点所感知的信息不采取安全防护措施或安全防护的强度不够,则这些信息很可能被第三方非法获取,某些时候这些信息泄露可能会造成很大的危害。由于安全防护措施的成本因素或使用便利性等因素的存在,很可能使某些感知节点不会采取安全防护措施或采取很简单的安全防护措施,因此将导致大量的信息被公开传输,很可能在意想不到时引起严重后果。
攻击者捕获关键节点不等于控制该节点,一个感知层的关键节点实际被非法控制的可能性很小,因为需要掌握该节点的密钥(与感知层内部节点通信的密钥或与远程信息处理平台共享的密钥)是很困难的。如果攻击者掌握了一个关键节点与其他节点的共享密钥,那么他就可以控制此关键节点,并由此获得通过该关键节点传出的所有信息。但如果攻击者不知道该关键节点与远程信息处理平台的共享密钥,那么他不能篡改发送的信息,只能阻止部分或全部信息的发送,这样就容易被远程信息处理平台觉察到。
感知层遇到比较普遍的情况是:某些普通节点被攻击者控制而发起攻击,关键节点与这些普通节点交互的所有信息都被攻击者获取。攻击者的目的可能不仅是被动窃听,还通过所控制的感知节点传输一些错误数据。因此,感知层的安全需求应包括对恶意节点行为的判断和对这些节点的阻断,以及在阻断一些恶意节点(假定这些被阻断的节点分布是随机的)后,感知层的连通性如何保障。
对感知层的分析(很难说是否为攻击行为,因为有别于主动攻击网络的行为)更为常见的情况是:攻击者捕获一些感知节点,不需要解析它们的预置密钥或通信密钥(这种解析需要代价和时间),只需要鉴别节点种类,如检查节点是用于检测温度、湿度还是噪声等。有时这种分析对攻击者是很有用的。因此,安全的感知层应该有保护其工作类型的安全机制。
既然感知层最终要接入其他外部网络(包括互联网),那么就难免受到来自外部网络的攻击。目前能预期到的主要攻击除非法访问外,应该是拒绝服务(DoS)攻击了。因为感知节点通常资源(计算和通信能力)有限,所以对抗DoS攻击的能力比较弱,在互联网环境中不被识别为DoS攻击的访问就可能使感知网络瘫痪,因此,感知层的安全应包括节点对抗DoS攻击的能力。考虑到外部访问可能直接针对感知层内部的某个节点(如远程控制启动或关闭红外装置),而感知层内部普通节点的资源一般比网关节点要小,因此,网络对抗DoS攻击的能力应包括关键节点和普通节点两种情况。
感知层接入互联网或其他类型网络所带来的问题不仅仅是感知层如何对抗外来攻击的问题,更重要的是如何与外部设备相互认证的问题,而认证过程又需要特别注意感知层资源的有限性,因此认证机制付出的计算和通信代价都必须尽可能小。此外,对外部互联网来说,其所连接的不同感知系统或网络的数量可能是一个庞大的数字,如何区分这些系统或网络及其内部节点,并有效地识别它们,是安全机制能够建立的前提。
2.2.2 网络层安全威胁分析
物联网的网络层主要用于把感知层收集到的信息安全可靠地传输到应用层,然后根据不同的应用需求进行信息处理,即网络层主要是网络基础设施,包括互联网、移动网和一些专业网(如国家电力专用网、广播电视网)等。在信息传输过程中,可能经过一个或多个不同架构的网络进行信息交接。例如,普通电话座机与手机之间的通话就是一个典型的跨网络架构的信息传输实例。在信息传输过程中跨网络传输是很正常的,在物联网环境中这一现象更突出,而且很可能在正常而普通的事件中产生信息安全隐患。
网络环境目前遇到前所未有的安全挑战,而物联网网络层所处的网络环境也存在安全挑战,甚至是更大的挑战。同时,由于不同架构的网络需要相互连通,因此在跨网络架构的安全认证等方面会面临更大挑战。初步分析认为,物联网网络层将会遇到下列安全挑战。
(1)非法接入。
(2)DoS攻击、DDoS攻击。
(3)假冒攻击、中间人攻击等。
(4)跨异构网络的网络攻击。
(5)信息窃取、篡改。
网络层很可能面临非授权节点非法接入的问题,如果网络层不采取网络接入控制措施,就很可能被非法接入,其结果可能是网络层负担加重或传输错误信息。
在物联网发展过程中,目前的互联网或下一代互联网将是物联网网络层的核心载体,多数信息要经过互联网传输。互联网遇到的DoS攻击和分布式拒绝服务攻击(DDoS)仍然存在,因此需要有更好的防范措施和灾难恢复机制。考虑到物联网所连接的终端设备性能和对网络需求的巨大差异,对网络攻击的防护能力也会有很大差别,因此很难设计通用的安全方案,应针对不同网络性能和网络需求有不同的防范措施。
在网络层,异构网络的信息交换将成为安全性的脆弱点,特别是在网络认证方面,难免存在中间人攻击和其他类型的攻击(如异步攻击、合谋攻击等)。这些攻击都需要有更好的安全防护措施。
信息在网络中传输时,很可能被攻击者非法获取到相关信息,甚至篡改信息。因此,必须采取保密措施进行加密保护。
2.2.3 应用层安全威胁分析
物联网应用层的重要特征是智能,智能的技术实现少不了自动处理技术,其目的是使处理过程方便、迅速,而非智能的处理手段可能无法应对海量数据。但自动过程对恶意数据,特别是恶意指令信息的判断能力是有限的,而智能也仅限于按照一定规则进行过滤和判断,攻击者很容易避开这些规则,正如垃圾邮件过滤一样,这么多年来一直是一个棘手的问题。因此应用层的安全挑战包括如下几方面。
(1)来自超大量终端的海量数据的识别和处理。
(2)智能变为低能。
(3)自动变为失控(可控性是信息安全的重要指标之一)。
(4)灾难控制和恢复。
(5)非法人为干预(内部攻击)。
(6)设备(特别是移动设备)的丢失。
物联网时代需要处理的信息是非常庞杂的,需要处理的平台也是分布式的。当不同性质的数据通过一个处理平台处理时,该平台需要多个功能各异的其他处理平台协同处理。但首先应该知道将哪些数据分配到哪个处理平台,因此数据类别分类是必需的。同时,安全的要求使得许多信息都是以加密形式存在的,因此如何快速有效地处理海量加密数据是智能处理阶段遇到的一个重大挑战。
应用层设计的是综合的或有个体特性的具体应用业务,它所涉及的某些安全问题通过前面几个逻辑层的安全解决方案可能仍然无法解决。在这些问题中,隐私保护就是典型的一种。无论感知层、网络层还是应用层,都不涉及隐私保护的问题,但它却是一些特殊应用场景的实际需求,即应用层的特殊安全需求。物联网的数据共享有多种情况,涉及不同权限的数据访问。此外,在应用层还将涉及知识产权保护、计算机取证、计算机数据销毁等安全需求和相应技术。
应用层的安全挑战和安全需求主要来自下述几个方面。
(1)如何根据不同访问权限对同一数据库内容进行筛选。
(2)如何提供用户隐私信息保护,同时又能正确认证。
(3)如何解决信息泄露追踪问题。
(4)如何进行计算机取证。
(5)如何销毁计算机数据。
(6)如何保护电子产品和软件的知识产权。
由于物联网需要根据不同应用需求对共享数据分配不同的访问权限,因此不同权限访问同一数据可能会得到不同的结果。例如,道路交通监控视频数据在用于城市规划时只需要很低的分辨率即可,因为城市规划需要的是交通堵塞的大概情况;当用于交通管制时就需要清晰一些,因为需要知道交通实际情况,以便能够及时发现哪里发生了交通事故,以及交通事故的基本情况等;当用于公安侦查时可能需要更清晰的图像,以便能够准确识别汽车牌照等信息。因此如何以安全方式处理信息是应用中的一项挑战。随着个人和商业信息的网络化,越来越多的信息被认为是用户隐私信息,这也是应用层需要考虑的安全。
在物联网环境的商业活动中,无论采取什么技术措施,都难以避免恶意行为的发生。如果能根据恶意行为所造成后果的严重程度给予相应的惩罚,那么就可以减少恶意行为的发生。这从技术上需要收集相关证据。因此,计算机取证就显得非常重要,当然这有一定的技术难度,主要是因为计算机平台种类多,包括多种计算机操作系统、虚拟操作系统、移动设备操作系统等。与计算机取证相对应的是数据销毁。数据销毁的目的是销毁那些在密码算法或密码协议实施过程中所产生的临时中间变量,一旦密码算法或密码协议实施完毕,这些中间变量将不再有用。但这些中间变量如果落入攻击者手中,则可能为攻击者提供重要的参数,从而增大攻击成功的可能性。因此,这些临时中间变量需要及时安全地从计算机内存和存储单元中删除。计算机数据销毁技术不可避免地会被计算机犯罪提供证据销毁工具,从而增大计算机取证的难度。因此如何处理好计算机取证和计算机数据销毁这对矛盾是一项具有挑战性的技术难题,也是物联网应用中需要解决的问题。
物联网的主要市场将是商业应用,在商业应用中存在大量需要保护的知识产权产品,包括电子产品和软件等。在物联网的应用中,对电子产品的知识产权保护将会提高到一个新的高度,对应的技术要求也是一项新的挑战。