構(gòu)建“端管云”聯(lián)動的物聯(lián)網(wǎng)安全防護系統(tǒng)

袁勇，許蓓蓓，路曉明，王姍姍

（中移（杭州）信息技術(shù)有限公司，杭州 311100）

構(gòu)建“端管云”聯(lián)動的物聯(lián)網(wǎng)安全防護系統(tǒng)

袁勇，許蓓蓓，路曉明，王姍姍

（中移（杭州）信息技術(shù)有限公司，杭州 311100）

本文首先分析了物聯(lián)網(wǎng)當前的安全現(xiàn)狀，從端管云三個方面梳理了存在的主要安全風險。隨后提出了“端管云”聯(lián)動的物聯(lián)網(wǎng)安全防護系統(tǒng)，解決設(shè)備及應(yīng)用的安全接入、身份認證、安全通道、密鑰管理及數(shù)據(jù)保護，解決設(shè)備硬件、固件的檢測及加固，解決異?；驉阂庑袨楦婢c處置，并通過閉環(huán)的運營體系保證物聯(lián)網(wǎng)系統(tǒng)的安全。

物聯(lián)網(wǎng)；端管云聯(lián)動閉環(huán)運營體系；身份認證；安全通道

1 背景

自物聯(lián)網(wǎng)被提出以來，物聯(lián)網(wǎng)安全一直備受關(guān)注。2010年，意大利 Medaglia和Serbanati[1]提出物聯(lián)網(wǎng)在用戶隱私保護和敏感信息傳輸過程中存在諸多問題。瑞士Weber[2]和方濱興院士[3]指出需要對感知層面的安全風險進行規(guī)避，并建議企業(yè)進行必要風險評估與風險管理。英國Leusse[4]提出了一種面向服務(wù)思想的安全架構(gòu)。德國Struker[5]提出通過口令管理機制來降低感知節(jié)點被攻擊的風險。Fabian團隊[6]提出了EPC網(wǎng)絡(luò)所面臨的安全挑戰(zhàn)， 對比了VPN、TLS等應(yīng)對措施的優(yōu)缺點和有效性。

本文梳理了物聯(lián)網(wǎng)主要存在的安全風險，提出“端管云”聯(lián)動的安全防護系統(tǒng)”，并秉承“沒有攻不破的系統(tǒng)”理念構(gòu)建“以終為始，動態(tài)防護，建立閉環(huán)的安全運營體系”。

2 物聯(lián)網(wǎng)安全風險分析

針對物聯(lián)網(wǎng)領(lǐng)域的安全攻擊手段多樣、安全邊界擴大的特點，本文從“端、管、云”3個方面梳理了存在的主要安全風險。

2.1 設(shè)備安全防護風險

物聯(lián)網(wǎng)設(shè)備存在弱口令、固件安全漏洞等安全問題，設(shè)備安全防護能受限，導(dǎo)致用戶隱私泄露、設(shè)備易被控制。此外，如何實現(xiàn)設(shè)備管控、發(fā)現(xiàn)設(shè)備異常并進行處置，降低設(shè)備安全風險，也對設(shè)備安全管控提出了挑戰(zhàn)。

2.2 網(wǎng)絡(luò)安全防護風險

大部分物聯(lián)網(wǎng)設(shè)備與業(yè)務(wù)平臺之間業(yè)務(wù)數(shù)據(jù)明文傳輸，導(dǎo)致數(shù)據(jù)在傳輸過程中能夠被竊聽和篡改，因此需要為物聯(lián)網(wǎng)設(shè)備提供一套完整的通道數(shù)據(jù)保護方案。

同時，由于物聯(lián)網(wǎng)設(shè)備種類多，攻擊流量大、破壞性強等威脅特點，物聯(lián)網(wǎng)設(shè)備正在變成黑客發(fā)起DDOS攻擊的首選攻擊載體。如何通過分析物聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢及攻擊趨勢，并進行相應(yīng)處置，成為亟需解決的問題。

2.3 物聯(lián)網(wǎng)業(yè)務(wù)平臺側(cè)安全風險

提供通用的物聯(lián)網(wǎng)平臺的標準化安全能力，提升業(yè)務(wù)平臺/能力接入平臺的整體安全性，是平臺需解決的安全目標。

3 物聯(lián)網(wǎng)安全防護思路

針對物聯(lián)網(wǎng)領(lǐng)域攻擊手段多樣、安全邊界擴大的特點，本文從空間上構(gòu)建了“端管云”聯(lián)動的安全防護系統(tǒng)，從時間上建立了一套“檢測、預(yù)警、防護、處置”的閉環(huán)運營體系，快速發(fā)現(xiàn)新型攻擊并反制處置，保證物聯(lián)網(wǎng)防護能力的不斷進化和安全水平不斷提升。

3.1 構(gòu)建端到端的防護系統(tǒng)

在物聯(lián)網(wǎng)環(huán)境中，安全風險遍布“端管云”3個層面[7]，傳統(tǒng)的基于網(wǎng)絡(luò)邊界劃分的安全防護手段已不再適應(yīng)當前的安全需求。如圖1所示，通過設(shè)備側(cè)安全組件與物聯(lián)網(wǎng)安全平臺的聯(lián)動，構(gòu)建端到端的縱深安全防護系統(tǒng)。

3.2 閉環(huán)安全運營體系

以前構(gòu)建安全防護系統(tǒng)時，我們傾向于一個牢不可破的系統(tǒng)，但血淋淋的事實告訴我們“沒有攻不破的系統(tǒng)”。態(tài)勢感知、追蹤溯源、應(yīng)急處置是未來系統(tǒng)防御的主要手段。

（1）定期檢查。在設(shè)備入網(wǎng)前我們會對其進行基線和滲透測試，提前發(fā)現(xiàn)并修復(fù)設(shè)備存在的安全漏洞；同時定期對系統(tǒng)進行合規(guī)和漏洞掃描、測試，及時排除安全隱患。

（2）定時預(yù)警。通過采集網(wǎng)絡(luò)流量分析攻擊趨勢，通過系統(tǒng)日志分析入侵行為，通過威脅情報追蹤溯源。

（3）動態(tài)保護。安全策略動態(tài)下發(fā)到安全設(shè)備，動態(tài)調(diào)度安全算法并動態(tài)更新。

圖1 端管云聯(lián)動的安全防護體系

（4）應(yīng)急處置。對一些安全事件及時給出預(yù)警或處置，比如進行設(shè)備限流、遠程阻斷、固件升級等。

4 物聯(lián)網(wǎng)安全防護系統(tǒng)功能架構(gòu)

4.1 功能架構(gòu)

物聯(lián)網(wǎng)端管云聯(lián)動安全防護系統(tǒng)基于安全能力特點可以分為統(tǒng)一安全網(wǎng)關(guān)、安全檢測中心、態(tài)勢感知中心三大平臺，功能架構(gòu)圖如圖2所示。

4.2 功能說明

4.2.1 統(tǒng)一安全網(wǎng)關(guān)

通過對于設(shè)備及應(yīng)用的身份認證、安全通道、密鑰管理及數(shù)據(jù)保護，實現(xiàn)設(shè)備及應(yīng)用的安全接入。

安全認證：通過證書、SIM卡鑒權(quán)能力復(fù)用、身份鑒權(quán)等方式，提供對設(shè)備及應(yīng)用的分級認證，解決身份偽冒及多種接入（如寬帶接入、蜂窩網(wǎng)絡(luò)接入等）方式下的安全認證問題。

訪問控制：通過對設(shè)備及應(yīng)用進行權(quán)限分級及控制，實現(xiàn)對于平臺能力及數(shù)據(jù)的訪問控制。

安全通道：通過將VPN、DTLS等通道算法輕量化，并提供敏感數(shù)據(jù)的消息驗證，實現(xiàn)物聯(lián)網(wǎng)設(shè)備及應(yīng)用與平臺之間的安全通信。

密鑰管理：基于安全的密鑰協(xié)商，實現(xiàn)設(shè)備的一次一密，解決設(shè)備弱口令問題。

會話管理：對設(shè)備、應(yīng)用與平臺交互的會話及有效期進行管理，保障設(shè)備消息可達的同時實現(xiàn)平臺資源消耗最小化。

圖2 方案功能架構(gòu)

固件升級：通過安全固件簽名驗證、固件OTA升級的方式，保證對設(shè)備固件升級的可管、可控。

4.2.2 安全檢測中心

通過設(shè)備檢測、安全加固技術(shù)，實現(xiàn)對于設(shè)備硬件、固件的檢測及加固。

設(shè)備檢測：從硬件、系統(tǒng)、數(shù)據(jù)安全等方面對提供全面的設(shè)備安全檢測服務(wù)，發(fā)現(xiàn)設(shè)備安全問題并及時進行漏洞修復(fù)。

設(shè)備加固：通過對固件代碼混淆、核心代碼及硬件配置文件加密等方法，實現(xiàn)對設(shè)備固件的安全加固。

應(yīng)用檢測：通過自動檢測系統(tǒng)，實現(xiàn)物聯(lián)網(wǎng)應(yīng)用漏洞的靜態(tài)檢測和動態(tài)檢測，精準定位漏洞位置，檢測報告及修復(fù)建議。

應(yīng)用加固：對移動應(yīng)用進行加密加固保護，防止應(yīng)用被反編譯，從而避免應(yīng)用被惡意篡改，防止APP被盜取源碼、植入惡意病毒、添加廣告等，保護APP安全，杜絕破解和盜版。

設(shè)備健康管理：通過對設(shè)備進行檢測，對設(shè)備安全狀態(tài)、漏洞情況等進行安全評估及評級，實現(xiàn)對于設(shè)備健康的管理。

4.2.3 態(tài)勢感知中心

通過流量分析、設(shè)備行為分析、平臺攻擊監(jiān)控，建立設(shè)備、應(yīng)用、網(wǎng)絡(luò)及平臺的安全模型，結(jié)合應(yīng)用實際進行異常告警與處置。

流量異常分析：對網(wǎng)絡(luò)流量態(tài)勢、僵木蠕病毒等進行監(jiān)測，對異常態(tài)勢進行及時告警。

異常行為分析：對平臺側(cè)主機日志、訪問日志等進行分析，發(fā)現(xiàn)平臺側(cè)異常行為，對平臺安全態(tài)勢進行感知和告警。

接口安全風控：對接口調(diào)用日志進行安全風控，對應(yīng)用的異常操作行為進行實時風險識別和安全審計。

設(shè)備安全分析：結(jié)合設(shè)備的日志、流量特征及僵木蠕檢測，發(fā)現(xiàn)感染設(shè)備，追溯攻擊源，實現(xiàn)對設(shè)備的安全管控。

5 關(guān)鍵實現(xiàn)技術(shù)

5.1 差異化的設(shè)備注冊及密鑰協(xié)商技術(shù)

物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)環(huán)境具有多樣性的特點，常見的網(wǎng)絡(luò)環(huán)境有蜂窩網(wǎng)（3G/4G、NB-IoT）和Wi-Fi。由于不同網(wǎng)絡(luò)環(huán)境下的物聯(lián)網(wǎng)設(shè)備對于計算能力和功耗的要求不同，因此在不同的環(huán)境下需要采用不同的密鑰協(xié)商策略。

5.1.1 設(shè)備注冊

設(shè)備注冊指設(shè)備首次激活時，物聯(lián)網(wǎng)設(shè)備進行信息上報過程。通過設(shè)備注冊，平臺能夠?qū)κ状渭せ畹脑O(shè)備信息進行記錄，分配唯一的設(shè)備標識。在蜂窩環(huán)境下，核心網(wǎng)網(wǎng)關(guān)可以在設(shè)備注冊請求中插入設(shè)備綁定手機號，提高更高強度的注冊設(shè)備真實性認證。

5.1.2 密鑰協(xié)商

在蜂窩網(wǎng)環(huán)境下，通過三/五元組為每臺密鑰進行根密鑰的協(xié)商；在Wi-Fi環(huán)境下，通過非對稱密鑰為每臺設(shè)備完成初始化根密鑰的協(xié)商。每臺設(shè)備的根密鑰都是隨機產(chǎn)生的，確保一機一密，同時限制根密鑰使用頻次和時間。

5.2 差異化可信身份認證技術(shù)

基于設(shè)備業(yè)務(wù)風險等級，為設(shè)備采取不同強度的認證策略，保證設(shè)備的認證安全，具體流程如圖3所示。

5.2.1 初級認證強度

物聯(lián)網(wǎng)設(shè)備基于上一步協(xié)商的根密鑰簽發(fā)token，物聯(lián)網(wǎng)平臺通過物聯(lián)網(wǎng)進行token的有效性驗證，從而判定設(shè)備身份的合法性。

5.2.2 高級認證強度

對于一些重要敏感業(yè)務(wù)，物聯(lián)網(wǎng)業(yè)務(wù)平臺除了對于設(shè)備進行基于token的認證之外，還會進行用戶授權(quán)的確認（如SIM盾），確保物聯(lián)網(wǎng)設(shè)備的行為是在設(shè)備經(jīng)過可信認證并經(jīng)過用戶可信授權(quán)的情況下進行的。

5.3 差異化的輕量級通道保護技術(shù)

根據(jù)設(shè)備的安全需求及運算能力，為設(shè)備及平臺提供安全通道建立能力。對于NB-IoT等低功耗且運算能力較弱的設(shè)備，可通過建立基于共享密鑰的DTLS的輕量化安全傳輸通道；對于安全性要求較高的設(shè)備，可通過基于TLS的VPN通道，保障設(shè)備與平臺的傳輸安全。有效地防止數(shù)據(jù)在傳輸過程中被竊聽、篡改等。

圖3 差異化可信身份認證技術(shù)

5.4 設(shè)備加固及健康管理技術(shù)

通過設(shè)備檢測、安全加固技術(shù)，實現(xiàn)對于設(shè)備硬件、固件的事前檢測加固、事中健康狀態(tài)管理，為事后安全事件追蹤提供依據(jù)。

5.4.1 設(shè)備安全加固

通過協(xié)助對設(shè)備進行安全風險檢測、安全風險整改、集成通用安全組件、固件代碼混淆等方法，實現(xiàn)對設(shè)備固件的安全加固。

5.4.2 設(shè)備健康管理

對于已經(jīng)上線的設(shè)備，物聯(lián)網(wǎng)安全平臺根據(jù)設(shè)備安全測評情況，結(jié)合定期安全基線核查、新型漏洞評估等手段，對設(shè)備安全狀態(tài)、漏洞情況等進行安全評估及評級，實現(xiàn)對于設(shè)備健康狀態(tài)的管理。

5.5 基于大數(shù)據(jù)的威脅感知檢測技術(shù)

通過流量分析、設(shè)備行為分析、平臺攻擊監(jiān)控，建立設(shè)備、應(yīng)用、網(wǎng)絡(luò)及平臺的安全模型，結(jié)合應(yīng)用實際進行異常告警與處置。

5.5.1 流量日志采集

除了從物聯(lián)網(wǎng)設(shè)備、業(yè)務(wù)平臺、安全設(shè)備采集日志之外，還從核心網(wǎng)采集數(shù)據(jù)流量進行分，為上層數(shù)據(jù)資產(chǎn)管理及威脅分析提供最原始的數(shù)據(jù)支撐，流量日志采集。

5.5.2 異常行為分析

基于資產(chǎn)基準庫，針對平臺上的各類數(shù)據(jù)訪問行為、異常外連流量、服務(wù)進程異常等行為狀態(tài)進行實時分析、關(guān)聯(lián)及告警，實現(xiàn)對流量的安全動態(tài)監(jiān)控。

（1）數(shù)據(jù)訪問行為審計

對所有上層業(yè)務(wù)及用戶在平臺中數(shù)據(jù)訪問行為，基于訪問流量的分組解析方式進行安全監(jiān)測，全面掌控平臺整體數(shù)據(jù)訪問狀態(tài)。

（2）非法流量監(jiān)測

通過對集群主機的出入流量進行監(jiān)測，及時發(fā)現(xiàn)非法的外連流量，確保平臺數(shù)據(jù)不被竊取。

（3）異常服務(wù)進程監(jiān)控

在資產(chǎn)基準庫中確定合法的網(wǎng)絡(luò)服務(wù)類型，對平臺主機中非法的或不必要的異常進程實現(xiàn)全面排查。

5.5.3 惡意攻擊分析

基于采集的各類日志及基礎(chǔ)數(shù)據(jù)，利用大數(shù)據(jù)分析方法對平臺存在的主要安全威脅和攻擊事件進行檢測，并對整個平臺的安全威脅情況進行刻畫，為威脅預(yù)警、安全威脅展現(xiàn)、攻擊畫像、趨勢預(yù)測等上層應(yīng)用提供數(shù)據(jù)支撐，能夠及時發(fā)現(xiàn)并預(yù)警。

（1）DDoS攻擊檢測

分析物聯(lián)網(wǎng)網(wǎng)絡(luò)流量包中的源地址、目的地址、網(wǎng)絡(luò)協(xié)議及網(wǎng)絡(luò)分組大小等信息，基于DDoS攻擊流量特征，判斷網(wǎng)絡(luò)中是否存在DDoS攻擊，并通過NAT日志進行有效定位，做到及時處置。

（2）僵木蠕病毒檢測

根據(jù)各類病毒特征，有效檢測物聯(lián)網(wǎng)網(wǎng)絡(luò)中可能存在的僵木蠕病毒傳播行為，并及時定位受感染終端及用戶，通知相關(guān)設(shè)備及工具進行殺毒工作。

6 結(jié)束語

由于物聯(lián)網(wǎng)操作系統(tǒng)多元化、通信方式多樣化、業(yè)務(wù)形態(tài)多樣化、產(chǎn)業(yè)鏈長，傳統(tǒng)的安全解決方案已經(jīng)不再適用于物聯(lián)網(wǎng)環(huán)境中。構(gòu)建“端管云”聯(lián)動的物聯(lián)網(wǎng)安全防護系統(tǒng)是物聯(lián)網(wǎng)安全的未來發(fā)展方向。需要建立一套“以終為始，動態(tài)防護”閉環(huán)安全運營體系，能夠第一時間發(fā)現(xiàn)系統(tǒng)存在的安全風險及異常行為，進行通報和預(yù)警，并能夠及時進行動態(tài)安全處置。

[1] Medaglia C M， Serbanati A. An overview of privacy and security issues in the internet of things[C]. In： The Internet of Things.Springer New York， 2010： 389 395.

[2] Weber R H. Internet of Things—new security and privacy challenges[J].Computer Law & Security Review， 2010， 26(1)： 23 30.

[3] Fang B X. Security of internet of things[J]. Information and Communications Technologies， 2010， 4(6)：4.

[4] Leusse P， Periorellis P， Dimitrakos T， et al. Self managed security cell， a security model for the Internet of Things and Services[C]. In：2009 First International Conference on Future Internet. IEEE， 2009：47 52.

[5] Wonnemann C，Struker J. Password management for EPC Class 1 Generation 2 transponders[C]. In： 2008 10th IEEE Conference on E-Commerce Technology and the 5th IEEE Conference on Enterprise Computing， E-Commerce and E-Services， IEEE， 2008： 29 35.

[6] Fabian B， Günther O. Security challenges of the EPCglobal network[J]. Communications of the ACM， 2009， 52(7)： 121 125.

[7] 王姍姍，曹鵬. 構(gòu)建覆蓋“端管云”的業(yè)務(wù)保障系統(tǒng)[J]. 電信工程技術(shù)與標準化，2017(8).

Study of security for IoT though end pipe cloud linkage

YUAN Yong, XU Bei-bei, LU Xiao-ming, WANG Shan-shan
(China Mobile (Hangzhou) Information Technology Company Ltd, Hangzhou 311100, China)

People are entering the Internet of things with the development of information technology. The security of Internet of things (IoT) is an important determinant of whether IoT can be sustainable and healthy. The current security situation of IoT and main security risks of end pipe cloud were analyzed firstly. Then, the security solution architecture by the end pipe cloud linkage was stated, which to solve the equipment and application of security access, authentication, secure channel, key management and data protection, solve the detection and reinforcement of the equipment and a plication, solve the alarm and disposal of abnormal or malicious behavior, and through the operation of closed-loop system guarantee security for IoT.

Internet of things; end pipe cloud linkage; the operation of closed-loop; system authentication; secure channel

TN918

A

1008-5599（2017）11-0021-05

2017-10-11