物聯(lián)網終端安全技術挑戰(zhàn)與機遇

厲正吉

（中國移動通信有限公司研究院，北京 100053）

物聯(lián)網終端安全技術挑戰(zhàn)與機遇

厲正吉

（中國移動通信有限公司研究院，北京 100053）

隨著NB-IoT、eMTC等蜂窩物聯(lián)網技術的制定和成熟，物聯(lián)網應用蓬勃發(fā)展，終端安全問題也日益突顯。針對物聯(lián)網環(huán)境下的安全需要，分析了當前物聯(lián)網終端面臨的各種安全問題，研究了應對這些安全問題時面臨的新挑戰(zhàn)，在這些挑戰(zhàn)之下也出現(xiàn)了新的機遇，可以催生新的產業(yè)。

終端 物聯(lián)網安全 非授權訪問

1 引言

物聯(lián)網通過部署具有一定感知、計算、執(zhí)行和通信等能力的各種設備，獲取物理世界的信息，通過網絡實現(xiàn)信息的傳輸和處理，實現(xiàn)了人與物、物與物的互聯(lián)。物聯(lián)網有諸多安全問題亟待解決，比如在線支付時需要保護用戶支付數(shù)據(jù)的完整性和機密性，使用家庭網絡攝像頭時需要保護用戶的個人隱私。

物聯(lián)網要能夠對網絡的訪問進行控制，確認用戶身份，保證傳輸和存儲數(shù)據(jù)的機密性，保證物聯(lián)網的可用性，防止網絡遭受各種威脅，對影響網絡和業(yè)務的意外事故具備相應的應對措施。

根據(jù)物聯(lián)網分層模型，物聯(lián)網在邏輯上可以分為三層：感知層、網絡層和應用層。跟分層模型相對應，物聯(lián)網安全需求可以劃分為：感知層末端節(jié)點的安全需求和感知層安全需求，網絡層安全需求，業(yè)務層、應用層的安全需求以及各種支撐系統(tǒng)運維系統(tǒng)的安全需求[1]。

物聯(lián)網終端處于感知層的末端，是整個物聯(lián)網的“神經末梢”，物聯(lián)網安全首先要解決的是終端的安全問題。

2 安全需求

物聯(lián)網終端的安全需求包括物理安全防護、訪問控制、機密性、私密性、完整性、可用性等多個方面。

2.1 物理安全防護

物聯(lián)網終端需要具備足夠的物理安全防護措施以保證工作期間自身物理實體不被損壞，為終端功能的正常運行提供必要的保障。

對于戶外安裝的終端設備，需要具備足夠的防水功能，具有足夠的機械強度。對于只允許專業(yè)人員開啟的設備，可以加裝鎖具、進行鉛封。

2.2 訪問控制

物聯(lián)網終端必需加強訪問控制，防止非授權用戶的訪問。比如使用網絡攝像頭時，必須對網絡攝像頭默認的賬戶密碼進行修改。對于一些使用Zigbee、藍牙等短距離通信技術的智能表計，當其他設備要與之通信時必須進行身份驗證，防止非授權設備讀取表計數(shù)據(jù)。

2.3 機密性

物聯(lián)網終端在傳輸數(shù)據(jù)時需要對數(shù)據(jù)進行必要的加密，以防他人惡意竊取數(shù)據(jù)，獲取用戶機密。

現(xiàn)實中，終端廠家在開發(fā)加密機制的終端時，需要考慮算法的選擇、密鑰的分發(fā)和存儲機制等，這存在一定的研發(fā)難度，而且除非出現(xiàn)安全事故，否則用戶一般無法確認物聯(lián)網終端是否具有加密機制，這就導致一些終端廠家索性忽略機密性，安全隱患極大。

2.4 私密性

物聯(lián)網終端內存有用戶的私密數(shù)據(jù)，比如身份證號碼、指紋、聲紋、虹膜等個人信息，通信錄等隱私信息。物聯(lián)網終端需要有足夠的安全機制保證這些私密信息在無用戶授權的情況下，他人無法讀取。終端通?？梢圆捎脝为毜陌踩幚砥?、存儲區(qū)或者TrustZone等來保證私密性。

2.5 完整性

物聯(lián)網終端應當保證自身軟件的完整性，不能被外部惡意程序入侵。對于支持安裝應用的終端，必須對應用開發(fā)者進行驗證，不允許安裝無法通過驗證和來源不明的應用。物聯(lián)網終端在進行系統(tǒng)軟件升級時也要對升級軟件包進行驗證。終端在與外界進行通信時，也要防止惡意程序經由各種漏洞侵入終端的軟件系統(tǒng)。終端開機時，需要對自身的文件系統(tǒng)進行完整性和一致性的檢驗，出錯后可以從備份中恢復受損的文件系統(tǒng)。

2.6 可用性

多數(shù)物聯(lián)網終端一經部署就進入無人值守的自動工作狀態(tài)，這就要求終端具備一定的可靠性，保證在使用壽命范圍內的持續(xù)可用性。比如低功耗廣覆蓋（LPWA）領域，某些終端具備5 Wh電池10年續(xù)航能力，這不僅是對終端的低功耗要求，也是對終端持續(xù)可用性的要求，終端在無人值守的情況下能夠至少正常工作10年。

3 面臨的安全問題

近年來，隨著物聯(lián)網終端品類的快速增長，各種應用爆發(fā)，涉及到的軟件、硬件組件越來越多，各種安全問題也有愈演愈烈的趨勢。物聯(lián)網終端安全問題中危害大、防范難的軟件安全問題具體可以分為如下六個方面。

3.1 非授權訪問

這是惡意入侵物聯(lián)網終端的第一步。隨著物聯(lián)網終端智能化程度和處理能力的增強，很大一部分終端都內置了Linux系統(tǒng)，又由于種種原因，很多設備的root口令被公開，通過SSH登錄后，就獲得了對終端的完全控制。除了root口令，其它口令如果不夠復雜，也存在一定的安全隱患。

2017年5月“蠕蟲”式的勒索軟件WannaCry通過Windows SMB協(xié)議的漏洞在全球范圍內快速傳播，100多個國家和地區(qū)超過10萬臺電腦遭到了攻擊和感染，危害極大。

為了防止此類問題的發(fā)生，一方面要注意加強系統(tǒng)口令的保護，另一方面也要注意操作系統(tǒng)的升級。

還有一些更加“低層”的入侵形式。2011年，“白天是計算機科學家，夜晚是黑客”的Ralf Weinmann博士設計了一個假冒GSM基站。當iPhone在這個基站上注冊時，在鑒權過程中，假基站發(fā)出一條專門設計的非法消息，iPhone使用的基帶芯片解碼這條消息時會發(fā)生緩沖區(qū)溢出，之后將打開自動接聽功能。于是，iPhone就變成了一部竊聽器。2017年4月，Ralf Weinmann發(fā)現(xiàn)華為海思Balong基帶處理器的MIAMI漏洞，利用該漏洞，同樣可以把使用了該芯片的手機、筆記本或者其他物聯(lián)網設備變成竊聽器。這種利用基帶處理器實現(xiàn)的OTA入侵應該引起足夠的重視。非授權訪問的攻擊點下沉到通信處理器層面，這是一個需要警惕的現(xiàn)象。

3.2 信息泄露

信息泄露可能會給終端用戶帶來直接危害。比如根據(jù)水表、電表或者燃氣表的詳細計量，可以準確地推斷出某處住房是否有人、有多少人。不法分子根據(jù)這些數(shù)據(jù)完全可以做到“遠程踩點”。

保證信息不泄露的關鍵在于保證終端不被非法入侵。但是，還有一些不需要入侵的“無創(chuàng)”型信息泄露。以手機為例，各種傳感器、無線通信功能攜帶了非常多的“旁路”信息可供利用：網頁里的JavaScript程序無需授權就可以讀取陀螺儀數(shù)據(jù)，而陀螺儀會受人講話的干擾，JavaScript程序記錄并分析陀螺儀數(shù)據(jù)，雖然采樣率不足（一般最高為200 Hz）無法完全還原出人聲，但是在說話人識別、孤立詞識別方面取得了一定的成功率[2]。更簡單的情況是，比如通過加速度傳感器的輸出判斷手機姿態(tài)，進而判斷是否在通話也有較高的成功率。當手指點擊屏幕時會對無線信號的傳播產生微弱影響，點擊的位置不同影響也不同，據(jù)此通過考察Wi-Fi信號CSI的變化可以在一定程序上推斷出用戶的點擊位置，從而實現(xiàn)用戶密碼竊取等[3]。類似的旁路攻擊隱蔽性強，防范困難。

3.3 拒絕服務

一些具備關鍵功能的物聯(lián)網終端有可能受到拒絕服務攻擊，比如門禁，功能失效后，會危及財產安全。為了盡量減少遭受拒絕服務攻擊的可能性，一方面終端需要識別攻擊并采取一點防御措施，另一方面網絡設備也需要基本攻擊鑒別能力并較早地將攻擊方進行隔離。

3.4 假冒節(jié)點攻擊網絡

物聯(lián)網終端被入侵后，可能被遠程控制成為他人發(fā)動分布式拒絕服務攻擊（DDoS）的工具。比如2016年Linux Mirai惡意軟件入侵了大量的家用路由器、網絡攝像頭、數(shù)字攝像機等設備，這些設備在遠程控制下成功發(fā)起了多起DDoS攻擊，其中在9月20日對某博客網站的攻擊中流量超過620 Gb/s，9月底的另一次攻擊中流量為破記錄的1.5 Tb/s[4]。

3.5 自私性威脅

物聯(lián)網終端接入網絡后不能出于自私而濫用網絡資源。為了避免終端出現(xiàn)此類自私行為，需要對終端進行入網認證測試，確保終端行為符合網絡協(xié)議及無線電監(jiān)管規(guī)定。

3.6 惡意代碼攻擊

惡意代碼侵入終端后，可以獲取信息、修改終端行為，乃至使終端完全喪失功能。終端內運行的軟件需要經過嚴格的測試、驗證，盡可能避免出現(xiàn)漏洞。可以采用源代碼靜態(tài)分析軟件對代碼進行分析，也可以對代碼進行充分的白盒測試、模塊測試，保證測試結果至少達到語句覆蓋和條件組合覆蓋，還可以考慮使用支持契約編程等高級特性的編程語言，使用測試驅動的開發(fā)方式等多管齊下的方式，保證軟件質量。

4 應對思路和方法探討

物聯(lián)網的安全問題縱然嚴峻，但也“不要驚慌”。Maciej Kranz在他的物聯(lián)網專著[5]里分析了企業(yè)應該如何應對物聯(lián)網安全問題。這里著重討論個人用戶如何應對終端方面的安全問題。

4.1 事前預防

需要掌握一定的終端安全知識，注意不能使用默認或者簡單的口令。購置終端時也要考慮終端廠家的可靠性，盡量選擇成熟企業(yè)的產品。為家庭網絡起用防火墻，關注路由器流量統(tǒng)計數(shù)據(jù)是否有異常。周期性檢查各物聯(lián)網終端工作是否正常，如是否能收到正常的智能水表、智能電表的計費信息。注意進行終端軟件更新，使軟件處于最新狀態(tài)。

4.2 事中鑒別

熟悉各種終端運行狀態(tài)，發(fā)現(xiàn)異常時，進一步檢查，確認問題，視影響采取斷網、斷電等方法。

4.3 事后減損

安全問題解決后，需要評估損失，數(shù)據(jù)丟失時可以采取相關措施恢復數(shù)據(jù)；設備無法運行時，需要重新下載版本或者恢復出廠設置；個人隱私數(shù)據(jù)丟失時，尤其是涉及金融信息時，需要立即通知金融機構以減免財產損失?？傊踩珕栴}發(fā)生后，要采取一切措施盡量減小損失。

對于企業(yè)用戶，更重要的是自上而下建立健全的安全防控應對體系。相比個人用戶的損失，安全問題對于企業(yè)用戶的影響更大，必須未雨綢繆，防患于未然。

從另一個角度來看，無論是企業(yè)還是個人，都需要專業(yè)的安全專家，協(xié)助開展預防、鑒別、減損工作。這對于整個安全行業(yè)而言，無疑是一個很大的機遇。

5 結束語

隨著通信技術、傳感器技術的進步，物聯(lián)網終端越來越多樣化，功能越來越豐富，研發(fā)過程中涉及到的技術層次也越來越多。為了使成品能盡快上市，研發(fā)時往往會“拿來主義”，直接將一些開源組件以搭積木的方式拼湊到一起，至于每個組件是否可靠、是否存在漏洞，則很少關心。早在1984年UNIX開發(fā)者之一的Ken Thompson在圖靈獎獲獎演講《對信任之信任的反思》[6]中提醒人們：出自名家名企之手的編譯器尚且不可信賴，更何況層出不窮的各種開源組件了。安全行業(yè)應該抓住機遇，積極挖掘漏洞，應對攻擊，保障物聯(lián)網終端的安全。

總之，應該正視安全問題，采取合適的應對措施，完全可以將風險控制在合理的范圍內，使人們充分享受到物聯(lián)網所帶來的福利。

[1]中國通信標準化協(xié)會. YDB 101-2012物聯(lián)網安全需求[S]. 2012.

[2]M Yan, G Nakibly, G Nakibly. Gyrophone： recognizing speech from gyroscope signals[C]//Usenix Conference on Security Symposium, 2014： 1053-1067.

[3]M Li, Y Meng, J Liu, et al. When CSI Meets Public WiFi： Inferring Your Mobile Phone Password via WiFi Signals[C]//Acm Sigsac Conference, 2016： 1068-1079.

[4]US-CERT. Heightened DDoS Threat Posed by Mirai and Other Botnets[EB/OL]. (2016-10-14)[2017-06-20].https：//www.us-cert.gov/ncas/alerts/TA16-288A.

[5]Maciej Kranz. Building the Internet of Things： Implement New Business Models, Disrupt Competitors, Transform Your Industry[M]. America： Wiley, 2016.

[6]Ken Thompson. Reflections on Trusting Trust[J].Communications of the ACM, 1984,27(8)： 761-763.

[7]解晶晶. 基于敏捷開發(fā)的軟件配置管理[J]. 電子信息對抗技術, 2016,31(1)： 74-78.

[8]裴蘭珍,羅赟騫,景劼,等. 網絡安全漏洞滲透測試框架綜述[J]. 電子信息對抗技術, 2016,31(2)： 10-13.

Challenges and Opportunities of IoT Terminal Security Technology

LI Zhengji
(China Mobile Research Institute, Beijing 100053, China)

With the development and maturation of cellular IoT technology such as NB-IoT and eMTC, IoT applications grow vigorously and the terminal security problem becomes increasingly important. According to the security requirements in IoT environment, different security problems faced by IoT terminals at present were analyzed, while the new challenges brought by these security problems were investigated. In the meantime, these challenges pose the new opportunities to create the new industries.

terminal IoT security unauthorized access

10.3969/j.issn.1006-1010.2017.20.009

TP309.1

A

1006-1010(2017)20-0054-04

厲正吉. 物聯(lián)網終端安全技術挑戰(zhàn)與機遇[J]. 移動通信, 2017,41(20)： 54-57.

2017-06-25

責任編輯：劉妙 liumiao@mbcom.cn

厲正吉：碩士畢業(yè)于電信科學技術研究院，現(xiàn)任中國移動通信有限公司研究院項目經理，主要的研究方向為物聯(lián)網技術及其相關應用。