必须要了解的物联网安全知识
不看这几篇好文,就别说自己了解物联网
物联网安全概述
物联网的本质,是从端到云的数据交互及计算过程。根据这个特点,可以将物联网划分为3个层次:云、网络和设备,也就形成了物联网的攻击面。
其中,云层包括云端提供的服务,例如物联网平台、日志等等;
网络层代表云和设备、设备与设备之间的传输过程;
设备层包括了IoT设备、网关设备及其上的系统和应用。
对黑客而言,以上三个层次都具有攻击的价值。在IoT架构中,我们可以把安全威胁归类为以下几种:
- 身份伪装
通过获取的认证信息,将恶意的设备、服务伪装成合法设备和服务。
- 拒绝服务
使服务、设备或网络传输过程瘫痪。
- 数据篡改
对系统、应用和数据进行篡改。
- 信息窃取
窃取隐私信息。
- 越权
强迫应用进行超过其权限范围的行为。
结合安全威胁类型和IoT系统架构,总结出了如下的威胁模型:
在IoT架构的不同层次上,均有与设备端OS相关的安全威胁存在;而IoT设备资源受限、物理暴露等特性,直接导致了设备端安全能力的不足。接下来,结合具体场景,对与设备端OS相关的安全风险逐一进行分析。
安全风险分析与防范手段
S1:身份伪装
阿里云已经为IoT设备提供方便的上云方式。对于设备认证,阿里云目前提供了设备证书、LinkID2等认证方案。对于开发者来说,最常用的方式是通过设备认证信息认证:开发者从云端服务获取设备认证信息,并将其烧写到设备上。当设备连接云端时,阿里云会根据设备认证信息对设备进行认证。在这种场景下,如果能够通过漏洞或物理接触窃取到设备认证信息,黑客就能够将其他设备伪装成用户的设备,从而向用户发送伪造数据。
防范手段
- 通过加密保护设备认证信息。
- 在具备SE的情况下,利用SE对加密密钥进行保护。
- 在不具备SE的情况下,利用keychain对加密密钥进行保护。
N2:数据篡改 & N3:信息窃取:
对于设备之间、设备端与云端之间的不安全通信,黑客可以发起中间人攻击,截获数据包并提取隐私数据,或者对数据包中的数据进行篡改和继续转发。
防范手段:
- 为传输过程进行TLS加密保护。
D1:身份伪装
通过DNS欺骗,黑客可以直接伪装云端服务。如果设备端应用未进行双向验证,黑客可以伪装云端服务与设备进行数据交互、操纵设备;在设备间通信时,如果设备上开启了被动连接服务,黑客可以利用窃取的认证信息伪造合法设备与目标设备交互。
防范手段:
- 提供认证服务端的能力,例如提供CA证书。
- 通过ID2支持双向认证。
- 禁用设备上的被动连接服务,设备之间通过云端通信。
D2:数据篡改
与服务器不同的是,IoT设备常常会处于“暴露”的状态。这意味着在设备端,黑客不仅能够利用应用和内核中的漏洞对设备上的系统、应用和文件进行篡改,还能通过物理接触的方式篡改设备上的内容。物联网产品从出厂后到投入使用的整个生命周期中,会接触到许多不同的角色,任何一个环节都可能出现威胁。
防范手段-针对利用漏洞的情况:
- 利用KSPP降低内核漏洞的威胁。
- 注:KSPP(Kernel Self-Protection Project)是为了让 Linux 内核本身具有对漏洞利用的防御能力,主要工作是参考 PaX/Grsecurity 的实现来移植或者重新实现类似的功能然后推进到 Linux 内核主线。
- 通过安全扫描保证设备端应用的安全性,并通过OTA支持漏洞补丁。
- 利用沙箱机制限制应用漏洞的能力。
- 提供只读rootfs。
- 通过安全启动 + IMA的整体方案防止篡改。
- 提供TEE保护隐私信息。
防范手段-针对物理接触的情况:
- 根据场景提供不同粒度的加密方案。
- 利用SE或keychain提供加密可信基。
- 通过安全启动 + IMA的整体方案防止篡改。
D3:信息窃取
设备上不仅会保存了隐私数据,还有应用的可执行文件。通过漏洞或物理接触,黑客可以直接获取用户隐私(例如摄像头数据、密钥等),还能获得应用的二进制文件以进行逆向分析。
防范手段-针对利用漏洞的情况:
- 利用沙箱限制应用漏洞的能力。
- 利用KSPP降低内核漏洞的威胁。
- 通过安全扫描保证设备端应用的安全性,并通过OTA支持漏洞补丁。
- 提供TEE保护隐私信息。
防范手段-针对物理接触的情况:
- 根据场景提供不同粒度的加密方案。
- 利用SE或keychain提供加密可信基。
- 提供代码混淆能力。
D4:越权
当黑客利用漏洞攻破设备上的某个应用时,他可能会迫使应用进行默认权限之上的行为:例如关闭系统、访问其他应用的数据、大量占用系统资源。黑客可以通过越权直接进行攻击,或者为其他攻击方式提供条件。
防范手段:
- 通过安全扫描保证设备端应用的安全性,并通过OTA支持漏洞补丁。
- 利用沙箱限制应用漏洞的能力。
必须要了解的物联网安全知识相关推荐
- 物联网入门怎么学?物联网基础知识
最近无际看了一些关于物联网的文章,发现大多数写的都让人望而却步. 什么Linux.ARM.C++.Zigbee.蓝牙.Wifi.NB-IOT等等看的头皮发麻. 我很不喜欢把一个简单的东西复杂化增加大家 ...
- 物联网基础知识_联网| 基础知识能力问答 套装1
物联网基础知识 1) There are the following statements that are given below, which of them are correct about ...
- 物联网基础知识介绍及常见的几种无线通讯方式和应用
物联网基础知识介绍 一.物联网定义 二.物联网的特征 三.常用的无线通信方式比较 四.常用的无线通信应用开发 五.物联网体系结构 更多内容... 一.物联网定义 物联网(Internet of Thi ...
- 物联网基础知识:IMSI号介绍与解析
物联网项目都会使用物联网卡,物联网卡有一个参数:国际移动用户识别码,即 IMSI (International Mobile Subscriber Identification Number),这个参 ...
- NB-IoT(窄带物联网)相关知识
注:本人在组建机器学习开发团队,项目是"基于数字图像处理的简谱识别系统",现在已经初步建成系统,诚心招纳此方向的高手或者有编程基础的爱好者加入.(不是公司,不发工资)QQ:9577 ...
- 物联网课程学习目标_CCS开放物联网平台知识课堂|教你轻松学习物联网平台硬件设备接入...
Hello Everbaby CCS-IOT知识课堂上一节课为大家带来了<物联网知识普及>,这一节课我们将正式进入操作环节,学习物联网设备的接入与调试 . 由于世界上的物包罗万象,生产厂商 ...
- 【ESP8266教程】零基础入门学用物联网-基础知识篇(太极创客团队)学习笔记
前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容. 提示:以下是本篇文章正文内容, ...
- 干货来了,这些物联网基础知识你了解吗
"物联网"已成为当今社会炙手可热的IT技术概念,"物联网"的逐步实现,使得人们的生活模式发生翻天覆地的变化.关于互联网,大家已经耳熟能详,"物联网&q ...
- 物联网基础知识——《物联网概论》笔记(1)
这学期选了物联网课,借了<物联网导论>,这周粗略的通读一遍,顺便做个笔记.☺ 笔记链接: https://www.notion.so/3-7849f40e87e74e56b7fa47fd4 ...
最新文章
- 使用node.js构建命令行工具
- 流利的验证组件:FluentValidation
- DrawerLayoutDemo【侧边栏(侧滑菜单)简单实现】
- 使用Navicat for Oracle新建用户无法登陆(用户名大小写问题)
- 狂神说mysql笔记_Mybatis学习笔记(狂神说)
- 超级SEO静态页面生成系统源码
- docker多个容器一起打包_如何实现多个docker容器同时执行一条命令?
- Danfo.js专题 - Danfo.js与Dnotebook简介与入门
- canbus是什么意思_CANBUS是什么意思
- 读取ZIP文件时ZipEntry的size为-1的解决办法
- 中兴e9000服务器,ZXCTN 9000-E设备系列_ZXCTN 9000-E系列中兴传输设备_中兴设备 - 诺深达华为光端机...
- Robotframework之下拉列表select
- 网络爬虫-学习记录(三)使用Selenium并对去哪儿网站进行爬取
- 前复权 后复权和不复权是什么意思
- 纯前端项目文件部署到远程服务器
- mysql数据库启动_MySQL数据库之Mysql启动的方式(四种)
- js统计字符串中字母个数以及统计最多字母数
- 【190411】VC++ 双摄像头视频监控捕捉程序源代码
- 01-SNAP与snappy介绍及安装
- jq处理数据库中的json数据