物聯(lián)網(wǎng)中智能設(shè)備安全策略

（核工業(yè)計(jì)算機(jī)應(yīng)用研究所 北京 100048）

物聯(lián)網(wǎng)的出現(xiàn)掀起了全球信息產(chǎn)業(yè)的一場(chǎng)新的革命，隨著信息技術(shù)的發(fā)展，物聯(lián)網(wǎng)已經(jīng)深入人們生活的方方面面。而隨著物聯(lián)網(wǎng)應(yīng)用的日益廣泛，物聯(lián)網(wǎng)環(huán)境下的信息安全問(wèn)題也日益突出[1]。探討物聯(lián)網(wǎng)環(huán)境中智能設(shè)備的信息安全問(wèn)題并提出相應(yīng)解決方案是必須和必要的。

由于智能設(shè)備“輕量級(jí)”的特點(diǎn)，針對(duì)傳統(tǒng)PC 操作系統(tǒng)的安全保護(hù)措施，如運(yùn)行性能、處理能力、成本效率等問(wèn)題無(wú)法被應(yīng)用于智能設(shè)備的安全防護(hù)之中。因此，目前針對(duì)智能設(shè)備的安全攻防研究還僅僅停留在探索階段[2]。智能設(shè)備的安全性能好壞往往取決于生產(chǎn)設(shè)備的廠商自身的安全研發(fā)意識(shí)以及物聯(lián)網(wǎng)系統(tǒng)用戶的安全使用，不同類型、不同廠商、不同芯片指令集的智能設(shè)備的安全性能往往參差不齊，給設(shè)備使用者帶來(lái)不小的安全隱患。

本文以此希望對(duì)物聯(lián)網(wǎng)系統(tǒng)中安全問(wèn)題得到全面的感知，同時(shí)將研究得到的安全相關(guān)經(jīng)驗(yàn)技術(shù)用于指導(dǎo)安全實(shí)踐，并對(duì)以后針對(duì)物聯(lián)網(wǎng)中智能設(shè)備安全問(wèn)題的研究與分析提供一定的啟發(fā)意義。

1 物聯(lián)網(wǎng)中智能設(shè)備的攻擊技術(shù)

由于智能設(shè)備的定義，每臺(tái)設(shè)備必須在網(wǎng)絡(luò)環(huán)境中才能正常發(fā)揮其全部功能，因此針對(duì)智能設(shè)備的各類網(wǎng)絡(luò)行為進(jìn)行攻擊往往是黑客最常采用的方式。

針對(duì)物聯(lián)網(wǎng)系統(tǒng)發(fā)起的攻擊往往是由點(diǎn)到面逐步進(jìn)行的，攻擊者會(huì)首先嘗試鎖定需要攻擊的目標(biāo)。通常選取攻擊目標(biāo)的方式有兩種：其一采用對(duì)周圍網(wǎng)絡(luò)環(huán)境或是特定性目標(biāo)網(wǎng)絡(luò)環(huán)境進(jìn)行掃描的方式來(lái)搜尋周圍網(wǎng)絡(luò)環(huán)境中可能存在安全漏洞的智能設(shè)備；另一種則是直接挑選具有價(jià)值的智能設(shè)備或是智能設(shè)備的使用者進(jìn)行APT攻擊，這類攻擊通常隱蔽性較高，持續(xù)時(shí)間較長(zhǎng)，相應(yīng)造成的損失也較大。

隨后攻擊者會(huì)嘗試構(gòu)造攻擊向量，構(gòu)造的方式通常有三種：對(duì)于那些安全防護(hù)措施本身較低的智能設(shè)備，攻擊者會(huì)嘗試直接挖掘或是利用現(xiàn)有的針對(duì)此型號(hào)智能設(shè)備的漏洞或是后門進(jìn)行攻擊；而對(duì)于那些用于控制智能設(shè)備的應(yīng)用軟件本身存在缺陷的案例，攻擊者更加傾向于直接攻擊這些應(yīng)用軟件，通常的做法是直接向目標(biāo)軟件所在的設(shè)備（手機(jī)、平板或是PC設(shè)備）植入病毒來(lái)竊取目標(biāo)的Cookie 或是直接獲取對(duì)目標(biāo)設(shè)備軟件的控制權(quán)限。此外還有一種攻擊向量的構(gòu)造方式是直接針對(duì)目標(biāo)智能設(shè)備所在的應(yīng)用平臺(tái)發(fā)起攻擊，通常出現(xiàn)在針對(duì)汽車類型智能設(shè)備進(jìn)行的攻擊案例當(dāng)中，構(gòu)造此類攻擊向量所需要花費(fèi)的成本也相應(yīng)較大，風(fēng)險(xiǎn)也非常之高，一般的攻擊者不會(huì)采取這種方式進(jìn)行攻擊。

在攻擊者獲取了目標(biāo)智能設(shè)備控制權(quán)限之后，會(huì)對(duì)已控制的設(shè)備進(jìn)行價(jià)值評(píng)估。通常，只有那些能夠與外圍網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)交換的智能設(shè)備才會(huì)被攻擊者進(jìn)一步利用來(lái)鏈接其服務(wù)器，而對(duì)于那些僅限于物聯(lián)網(wǎng)內(nèi)部進(jìn)行數(shù)據(jù)通信的設(shè)備（例如攝像頭、智能插座等），攻擊者會(huì)用其作為跳板進(jìn)一步攻擊物聯(lián)網(wǎng)環(huán)境中的其他智能設(shè)備。當(dāng)攻擊者達(dá)到了自己的攻擊期望后，便可以操控被攻擊的物聯(lián)網(wǎng)系統(tǒng)實(shí)現(xiàn)一定的目標(biāo)。竊取物聯(lián)網(wǎng)環(huán)境中用于的私人信息，與在物聯(lián)網(wǎng)系統(tǒng)中留存后門以備后續(xù)使用，是攻擊結(jié)果中最最常見(jiàn)的兩類。

2 物聯(lián)網(wǎng)中智能設(shè)備安全策略

2.1 針對(duì)智能設(shè)備的防御策略

（1）文件系統(tǒng)反解析策略

智能設(shè)備大多采用只讀型文件系統(tǒng)，常用的文件系統(tǒng)有SquashFS、CromFS、Cloop、CramFS 等等。我們?yōu)槊恳环N文件系統(tǒng)都制定了反解析策略，這些策略的實(shí)現(xiàn)方式略有差別，但是中心思想都是一致的。

最簡(jiǎn)單的反解析方式便是在文件系統(tǒng)壓縮數(shù)據(jù)塊前部放置13 字節(jié)的頭部信息。這些頭部信息可以用來(lái)更加直截了當(dāng)?shù)慕鈮嚎s每一個(gè)壓縮數(shù)據(jù)塊。其中最后的未壓縮數(shù)據(jù)塊大小可以被省略，因?yàn)镾quashFS 代碼本身可以通過(guò)計(jì)算得出未被壓縮的數(shù)據(jù)塊大小，或是至少可以知道數(shù)據(jù)塊的最大邊界。

另外一種反解析方式是針對(duì)文件系統(tǒng)中每一個(gè)壓縮數(shù)據(jù)塊都添加一部分lzma 索引頭部。下面給出的是一種最通用的數(shù)據(jù)塊索引頭數(shù)據(jù)結(jié)構(gòu)構(gòu)造方式，實(shí)際上采用這種方式進(jìn)行文件系統(tǒng)反解析在實(shí)現(xiàn)上比較靈活，廠商可以針對(duì)自己的智能設(shè)備自行定制此索引頭部采用的數(shù)據(jù)結(jié)構(gòu)。

除去上述這些方法之外，SquashFS文件系統(tǒng)二進(jìn)制文件中含有特殊位置字節(jié)用來(lái)標(biāo)示其為SquashFS 壓縮方式，我們也可以改變固件文件二進(jìn)制文件中的這些特征字節(jié)，來(lái)讓解析軟件誤以為這是一個(gè)損壞的或是非標(biāo)準(zhǔn)的SquashFS文件系統(tǒng)固件，以此來(lái)達(dá)到反解析效果。

（2）物聯(lián)網(wǎng)中智能設(shè)備集中式主動(dòng)防御策略

根據(jù)主動(dòng)防御系統(tǒng)的定義，一個(gè)完備的主動(dòng)防御系統(tǒng)應(yīng)當(dāng)涵蓋以下三個(gè)部分：資源訪問(wèn)規(guī)則控制；資源訪問(wèn)掃描；程序行為活動(dòng)分析引擎[3]。而在物聯(lián)網(wǎng)智能設(shè)備領(lǐng)域，我們無(wú)法為物聯(lián)網(wǎng)環(huán)境中的每一臺(tái)智能設(shè)備都制定一份主動(dòng)防護(hù)策略。

在結(jié)構(gòu)設(shè)計(jì)方面，提出“集中式”的主動(dòng)防御策略。具體實(shí)現(xiàn)方式是在物聯(lián)網(wǎng)中普通智能設(shè)備上僅僅嵌入行為收集和數(shù)據(jù)傳輸?shù)南嚓P(guān)代碼模塊，而將數(shù)據(jù)處理部分代碼統(tǒng)一集中到一臺(tái)智能設(shè)備當(dāng)中。這臺(tái)用作數(shù)據(jù)處理的智能設(shè)備僅僅用來(lái)分析其他智能設(shè)備提交上來(lái)的行為情況，并定期與物聯(lián)網(wǎng)管理者進(jìn)行溝通，以發(fā)動(dòng)安全攻擊預(yù)警或是更新自身安全防護(hù)策略。

在行為規(guī)則方面，所有與原先設(shè)計(jì)不相符合的設(shè)備行為都被判定為是非法的。因此在規(guī)則制定上采用“非白即黑”的方式。另外，智能設(shè)備通常攜帶許多次要功能，諸如固件版本更新、系統(tǒng)自愈、存儲(chǔ)空間掃描等，對(duì)于這種設(shè)備定義中合法但是不常用的行為，主動(dòng)防御系統(tǒng)傾向于在設(shè)備發(fā)生這種行為時(shí)像管理員提交選項(xiàng)，管理員可以通過(guò)選擇同意或禁止來(lái)針對(duì)這些非常用行為進(jìn)行監(jiān)管。這樣做的好處是可以直觀地對(duì)流入流出整個(gè)物聯(lián)網(wǎng)系統(tǒng)的所有數(shù)據(jù)包信息進(jìn)行監(jiān)控，在實(shí)現(xiàn)過(guò)程當(dāng)中僅僅需要將設(shè)備廠商提供的官方平臺(tái)數(shù)據(jù)包格式添加到主動(dòng)防御設(shè)備的白名單即可。

2.2 智能設(shè)備應(yīng)對(duì)進(jìn)攻的反向追蹤策略

（1）針對(duì)物聯(lián)網(wǎng)系統(tǒng)惡意攻擊的探測(cè)策略

在物聯(lián)網(wǎng)系統(tǒng)的正常運(yùn)作當(dāng)中，尤其是在網(wǎng)絡(luò)中添加了上一節(jié)中描述的智能設(shè)備行為白名單之后，向非存活設(shè)備發(fā)送數(shù)據(jù)包這種行為在物聯(lián)網(wǎng)內(nèi)部是不會(huì)出現(xiàn)的，因此我們可以判斷：針對(duì)智能設(shè)備網(wǎng)絡(luò)系統(tǒng)中非存活設(shè)備的主動(dòng)連接行為是具有惡意的，可以將其標(biāo)志為一次針對(duì)物聯(lián)網(wǎng)設(shè)備發(fā)起的攻擊的先兆。我們可以向上一節(jié)中提到的主動(dòng)防御設(shè)備或是物聯(lián)網(wǎng)拓?fù)渲械闹髀酚晒?jié)點(diǎn)設(shè)備中添加相應(yīng)的代碼，來(lái)使其維護(hù)物聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境中存活的設(shè)備列表，從而判斷出一個(gè)數(shù)據(jù)包是不是正在發(fā)送至非存活設(shè)備。物聯(lián)網(wǎng)中正常設(shè)備的列表可以通過(guò)管理員手動(dòng)維護(hù)，也可以采用其他相關(guān)路由協(xié)議自主的維護(hù)。

（2）物聯(lián)網(wǎng)系統(tǒng)的鏡像蜜罐防護(hù)層

由于物聯(lián)網(wǎng)中智能設(shè)備多數(shù)使用嵌入式方式研發(fā)，具備輕量級(jí)的特點(diǎn)，因此能更加輕易地被虛擬化技術(shù)加以實(shí)現(xiàn)，物聯(lián)網(wǎng)的鏡像蜜罐防護(hù)層便是在這一理論基礎(chǔ)上提出和實(shí)現(xiàn)的。鏡像蜜罐防護(hù)層中的原子成員便是一個(gè)個(gè)的蜜罐，它們與物聯(lián)網(wǎng)系統(tǒng)中的真實(shí)智能設(shè)備同處于一個(gè)網(wǎng)絡(luò)結(jié)構(gòu)中，充當(dāng)其中智能設(shè)備的鏡像。對(duì)于物聯(lián)網(wǎng)系統(tǒng)中重要性較低、功能較為簡(jiǎn)單的智能設(shè)備，其鏡像蜜罐大多采用低交互式的方式實(shí)現(xiàn)，即為采用虛擬化技術(shù)來(lái)模擬出一個(gè)蜜罐系統(tǒng)，這樣做的好處是方便控制蜜罐防護(hù)層的成本，并提升整個(gè)網(wǎng)絡(luò)的運(yùn)行效率；而對(duì)于網(wǎng)絡(luò)中重要層級(jí)較高的智能設(shè)備以及網(wǎng)絡(luò)中樞節(jié)點(diǎn)，則采用高交互式的蜜罐加以實(shí)現(xiàn)，這些蜜罐相較于虛擬化技術(shù)生產(chǎn)出的低交互式蜜罐，往往具有自己真實(shí)的物理存儲(chǔ)設(shè)備與運(yùn)算模塊，能夠完成更加強(qiáng)大的日志記錄功能與攻擊過(guò)程實(shí)現(xiàn)功能，偽裝性也較高。對(duì)于那些網(wǎng)絡(luò)通信帶寬較差、通信成本較高的物聯(lián)網(wǎng)系統(tǒng)，則可以為其中的每一類智能設(shè)備設(shè)置一個(gè)蜜罐系統(tǒng)，這樣可以大大減少物聯(lián)網(wǎng)環(huán)境中中樞路由節(jié)點(diǎn)的轉(zhuǎn)發(fā)壓力與網(wǎng)絡(luò)帶寬壓力。

（3）智能設(shè)備安全問(wèn)題的非技術(shù)性策略

針對(duì)物聯(lián)網(wǎng)系統(tǒng)中出現(xiàn)的各項(xiàng)安全問(wèn)題進(jìn)行防護(hù)的過(guò)程中，僅僅采用技術(shù)性手段是遠(yuǎn)遠(yuǎn)不夠的。物聯(lián)網(wǎng)系統(tǒng)中的智能設(shè)備相較于傳統(tǒng)計(jì)算機(jī)設(shè)備，在功能和架構(gòu)方面都有自己獨(dú)有的特征。因此，在解決物聯(lián)網(wǎng)系統(tǒng)中智能設(shè)備的安全問(wèn)題時(shí)，除了采用技術(shù)性手段加以強(qiáng)化和維護(hù)，更應(yīng)該從監(jiān)管、部門協(xié)作、安全風(fēng)險(xiǎn)意識(shí)等其他著眼點(diǎn)來(lái)給出解決方案。

首先，物聯(lián)網(wǎng)系統(tǒng)中智能設(shè)備的研發(fā)廠商需要提升自己的安全意識(shí)，不能僅僅將技術(shù)資金投入在設(shè)備的功能性和易用性方面，更應(yīng)該提升設(shè)備的安全防護(hù)能力。對(duì)于那些出產(chǎn)設(shè)備數(shù)量較多的廠商，應(yīng)當(dāng)盡快制定自己的一套能夠搭載在自己的智能設(shè)備上面的安全防護(hù)模型。

其次，對(duì)于物聯(lián)網(wǎng)系統(tǒng)的管理者和使用者，需要加強(qiáng)安全監(jiān)管意識(shí)?？茖W(xué)的值班制度以及詳細(xì)的管理人最小權(quán)限制度的制定應(yīng)當(dāng)被提上每一個(gè)物聯(lián)網(wǎng)系統(tǒng)架設(shè)和應(yīng)用的日程[4]。

最后，物聯(lián)網(wǎng)領(lǐng)域的各個(gè)部門應(yīng)加強(qiáng)與傳統(tǒng)互聯(lián)網(wǎng)安全研究部門之間的合作。通常物聯(lián)網(wǎng)領(lǐng)域廠商或部門具有較強(qiáng)的物聯(lián)網(wǎng)搭設(shè)和嵌入式研發(fā)經(jīng)驗(yàn)，而安全測(cè)試和互聯(lián)網(wǎng)安全方面的知識(shí)有所欠缺；而安全研究部門雖然空有一身安全技術(shù)卻因?yàn)榈貌坏綇S商提供的較為詳細(xì)的設(shè)備資料和研發(fā)架構(gòu)而針對(duì)物聯(lián)網(wǎng)安全問(wèn)題無(wú)從下手。只有將兩個(gè)領(lǐng)域中的優(yōu)勢(shì)加以集中，才能從根源上解決物聯(lián)網(wǎng)中現(xiàn)存的安全問(wèn)題，并使得物聯(lián)網(wǎng)領(lǐng)域在安全與效率方面取得雙豐收。

3 總結(jié)

目前針對(duì)智能設(shè)備的安全攻防研究還僅僅停留在探索階段。與此同時(shí)，針對(duì)物聯(lián)網(wǎng)系統(tǒng)及其中智能設(shè)備的攻擊由于門檻較低，原理較簡(jiǎn)單，檢測(cè)追查成本較高而漸漸吸引著越來(lái)越多攻擊者的注意。本文首先從物聯(lián)網(wǎng)中智能設(shè)備安全現(xiàn)狀與研究意義的分析出發(fā)，對(duì)智能設(shè)備安全漏洞進(jìn)行分析，緊接著闡述了智能設(shè)備典型的攻擊技術(shù)，旨在闡明安全事件中黑客的攻擊著眼點(diǎn)以及物聯(lián)網(wǎng)系統(tǒng)的安全薄弱環(huán)節(jié)；隨后文章提出了物聯(lián)網(wǎng)系統(tǒng)防御策略或是針對(duì)物聯(lián)網(wǎng)攻擊的反向追蹤策略，并對(duì)一些非技術(shù)性細(xì)節(jié)給出了安全建議。全文按照發(fā)現(xiàn)問(wèn)題、分析問(wèn)題、提出解決方案的思路，由淺入深地解析了物聯(lián)網(wǎng)中智能設(shè)備的問(wèn)題，增加了物聯(lián)網(wǎng)系統(tǒng)抵御安全攻擊與反向追蹤攻擊來(lái)源的能力，為之后物聯(lián)網(wǎng)安全領(lǐng)域的研究提供了一定的借鑒意義。