华为西班牙网络安全局Redes共建可信可管的物联网世界20170320incibe33页

A共建可信可管的物联网世界物联网快速发展，安全问题不容忽视物联网需要多重的端到端安全防御体系物联网安全实践参考物联网安全典型案例共建可信可管的物联网世界总结缩略语关于INCIBE、RED.ES与华为010613172226摘要物联网（InternetofThings，简称IoT）将海量的设备互联，使得网络更加开放复杂，业务更加丰富多样。IoT将带我们进入一个万物感知、万物互联、万物智能的全新世界，然而同时，IoT世界也面临巨大的安全挑战。本文分析了IoT安全技术的发展现状，提出了多重的端到端安全防御机制应作为应对IoT安全威胁的有效保障，并进一步总结了IoT安全的实践供参考。目前IoT技术正在飞速发展，新的安全问题和安全威胁依旧层出不穷，IoT安全需要整个产业链的共建、共荣。所以我们倡导IoT的安全需要政府、国际组织和行业来共同建设，在政策引导、法律颁布、标准制定、技术创新和产业生态等方面加大投入，以促进IoT产业的健康发展。1共建可信可管的物联网世界安全问题不容忽视物联网快速发展13共建可信可管的物联网世界物联网安全的威胁和挑战诱人的数字之下可能蕴藏着巨大的危机：据CNN报道，2016年10月21日，美国东部遭遇史上最大规模的DDoS攻击，攻击流量超过1Tbps，近半个美国的网络遭到攻击并瘫痪。造成这次事故的元凶，不是大家一贯所熟悉的PC和服务器等IT设备，而是IoT中很容易被人们所忽略的IPC摄像头、家庭路由器、数字视频录像机等微型智能设备。这些设备感染了Mirai恶意软件，造成的攻击导致亚马逊等百余家知名网站出现数小时的瘫痪。据《金融时报》报道，2015年12月23日，乌克兰伊万诺-弗兰科夫斯克地区超过一半区域断电几小时，大量用户受到影响。黑客以BlackEnergy病毒为攻击工具，通过远程控制电力控制系统节点下达断电指令，并通过对系统数据擦除覆盖、关机等系列操作阻碍系统恢复。2015年7月，《连线》杂志报道了一起吉普大切诺基被黑客远程控制的事故。菲亚特-克莱斯勒针对此次事件发布了“网络级安全措施”，防止汽车通过移动通信网络被远程控制，为了进一步保障安全，该公司还面向美国的140万辆汽车发出了“自愿安全召回”说明。图1-2.物联网安全事件不断2015年7月，汽车远程被控制事件2016年10月21日，DDOS攻击事件2015年12月23日，乌克兰电网事件安全威胁将长期存在，这是需要面对的事实，因为传统网络里IT安全手段已经很丰富了，依然存在大量的安全问题，IoT世界也将面临同样的挑战。从个人、家庭、社会到国家，此类重大安全事件层出不穷，Forrester对全球组织的一项调查表明，47%使用或计划使用IoT的商业组织在行业应用中曾遇到过安全问题1。更深入的调查显示：★27%的控制系统被攻破或感染★80%的设备采用简单密码；★70%的通信过程未加密；★90%的固件升级或更新未做签名,大量设备可能不更新，甚至无法更新。随着生产力的提高和生活的便利化，在这个渐渐被IoT设备包围的世界中，随之而来的将是无处不在的安全威胁。从IoT的三个层面（见图1-3）来看有哪些安全威胁：感知层的泛Sensor无处不在，导致IoT端点不可信：★终端在户外、分散安装、易被接触到又没有纳入管理，导致物理攻击、篡改和仿冒。1[Forrester,“Security:TheVitalElementoftheInternetofThings,”2015]。4共建可信可管的物联网世界平台&应用业务开放性物流管理工业控制IoT业务平台空间信息管理QOSICT管理健康监测目录服务视频监控24h泛Sensor无处不在感知摄像头湿度Sensor电视RFID温度Sensor车载手机图1-3IoT三个层次及特征IP化/融合化网络ONT接入交换机IoT网关工业交换机GSM/3G/4G/5GPSTN/ISDNWLAN/WSN工业以太网★终端驱动的不可信，可能会泄密和被控制。★OS或软件过时，漏洞无法及时修复。★考虑成本问题，终端资源、计算能力受限，防病毒等传统的保护手段和高安全技术可能无法应用。网络层的IP化和融合化，打开了威胁的大门：★无线协议本身缺陷如缺乏有效认证可能导致接入侧泄密。★封闭的工业应用&协议无法被安全设备识别，被篡改和入侵后无法及时发现。★未加密的通信过程容易发生劫持、重放、篡改和窃听等中间人攻击。★IP化后面临IP体系的安全问题：如来自互联网的攻击和入侵。平台和应用层的业务开放化带来新的安全风险：★平台层面所管理的设备分散、繁多，设备的升级过程和安全状态等难以管理。★新的通信协议可能带来应用层的安全问题和漏洞，比如畸形攻击、泛洪攻击等★新平台自身漏洞和API开放等容易引入新的风险。★越权访问导致隐私和安全凭证等重要数据有被泄露的风险。★应用丰富、数据中心出口多，DDoS等网络攻击风险高。5共建可信可管的物联网世界★参差不齐的IoT应用有不可信风险。另外，设备、网络和应用的厂商差异化，导致单一厂商无法进行全面的安全防护，甚至无法看到整个攻击面。最后，隐私——可能是IoT面临的巨大法律挑战之一。IoT涉及对大量终端设备上人类活动的持续监控，意味着海量单个设备会生成、发送并接收大量个人信息和数据。而监控可能会引发对隐私和个人数据保护的多种要求。这此类要求并非是IoT时代中新出现的。一直以来，大家都会关注每一次新技术革新所带来的隐私保护问题，所以在IoT时代关注隐私也就不足为奇了，而IoT时代涉及的设备更多、数据量更大，挑战可能更大。物联网安全的行业诉求IoT的安全与其应用行业(如图1-4所示)关系紧密。由于各行各业在自身业务属性、服务对象、管理主体、工作方式等方面的差异性，IoT安全在不同行业里的体现形式及相应需求也千差万别。工业和能源：工控系统和智能电网的安全，如ICS/SCADA的安全。一旦工业控制系统遭到攻击，将可能导致整个系统停运，带来停产、停电等严重的后果。交通：智能车辆保护、无人驾驶飞行器的安全和保护、卫星通信系统的保护。一旦遭受黑客攻击，可能会造成严重的交通事故，威胁人们的生命安全。医疗：对连网的医疗设备的保护，医学和药物研究数据的加密，医疗数据的安全和无处不在的存储。试想如果安装在人身体里的无线心脏除颤器遭受黑客控制，病人的生命安全如何得到保障？智慧城市：海量传感器所收集的治安、卫生、交通等信息传输和存储的安全。一旦轨道交通被不法者利用，就有可能发生调配失度、列车出轨的危险。金融：多种多样的移动支付带来了新的金融欺诈风险。一旦有漏洞被黑客利用，个人和企业的财产将遭受不可避免的损失。……因此，IoT安全不仅事关商业利益，更已经影响到了国计民生的方方面面，构建IoT安全环境刻不容缓。交通智慧城市医疗工业金融能源图1-4IoT应用6共建可信可管的物联网世界安全防御体系物联网需要多重的端到端27共建可信可管的物联网世界从上述IoT的威胁和挑战来看，IoT时代安全风险无处不在，大到系统平台，小到传感器，IoT市场预期很高却危机四伏，任何一处风险都有可能使得威胁扩散到整个网络与核心系统。因此安全问题需要从规划建设IoT之时就考虑，建立一种多重的端到端安全防御体系（如图2-1所示）,确保即使在遭遇攻击时整个系统仍可持续运行。IoT多重安全体现在IoT设备芯片、终端及其OS安全、网络安全、管理平台、应用和企业运营的安全，因此我们可以从这几个层面来看每层的安全防护技术和措施。保证每个层面安全的同时，还需要基于端管云的相互依赖和支撑关系来构建端到端的安全防御体系，这其中基于IoT整网的安全态势感知尤为重要。图2-1IoT多重端到端安全架构芯片和OS安全为保证设备的安全，安全芯片是各类高安全IoT设备的首选，芯片厂商通过TPM、TEE等技术（见图2-2）实现硬件级的高强度加密和隔离，提供可信环境和安全存储，将重要密钥在可信芯片中存储，防止数据泄密；同时支持设备安全启动，对软件和固件的启动、升级进行签名，保护数据完整性。未来IoT需要低成本、低能耗且标准统一的芯片级安全技术。安全@网络★防火墙识别并过滤IoT协议和应用★防火墙处理百万并发连接★无线和固网加密传输安全@云★通过大数据分析和机器学习进行威胁建模☆IoT网络安全态势感知☆未知威胁检测☆预警及实时协同防护安全@终端★芯片安全(TPM/TEE)★操作系统安全(隔离)★终端安全插件(轻量化)网络安全智能中心3G/4G/NB-IoT网关芯片&操作系统IoT防火墙平安城市梯联网......智慧家庭公共事业......IoT平台8共建可信可管的物联网世界图2-2TEE芯片安全TEE区根密钥当然，作为完整解决方案，安全的操作系统必不可少，通常轻量化的IoTOS调度机制中，不区分用户态和内核态，使用统一的内存空间，所有应用和内核均运行在特权模式。系统服务将会面临众多不确定的安全隐患。如果使用轻量级安全OS的隔离机制，使得用户态与内核态隔离、应用与应用隔离，并支持内核内存保护机制，及内核隔离调度机制，那么业务系统的可靠性与安全性都会得到极大提高。安全OS通过内存管理重新进行合理布局，使得内核空间和应用空间分离；并采用Syscall机制实现内核态和用户态权限分离，通过VM实现不同应用之间的权限保护；基于MPU或MMU来提供给用户可配置的内存保护接口。具体安全保护措施（如图2-3所示）包括：★设计合理的内存布局★区分内核态和用户态★应用进程之间进行隔离★提供内存保护接口通过轻量级隔离机制实现的安全区是操作系统的安全保障。应用可借助内存保护单元创建基于安全区独立的应用安全域。安全OS建立的轻量级隔离机制主要特性体现在以下方面：★安全访问控制：沙盒与沙盒之间的相互隔离，安全访问通道的建立使用，恶意代码非法访问的有效管控；★安全核：为固件更新（FOTA）、安全存储、秘钥管理、加解密、设备ID等提供安全保护基础。由此安全OS能够提供可信的身份认证、安全的固件更新、Internet服务访问权限管控和加解密及密钥管理等功能。终端安全IoT终端包括接入传感器和设备，能够采集相关的数据，并通过网络进行设备连接和数据上报，具备低功耗、低成本、低计算存储能力、易接触、运行周期长、接口及协议复杂等特征。如上特征导致传统的安全防御架构不再适用，需要一种能适应IoT终端特点的新安全防护措施（如图2-4所示）：9共建可信可管的物联网世界图2-3OS安全机制应用1沙箱数据/堆栈应用2内核堆栈操作系统/应用数据/堆栈内核数据用户群内核态应用级特权级APP1IRQReturnAPP2系统调用内核禁止禁止禁止禁止允许★物理安全：IoT复杂环境下的防水，防尘，防震，防电磁干扰。★接入安全：防仿冒的非法终端接入网络，防止IoT设备沦为DDoS“肉鸡”。通过轻量级易集成的安全应用插件进行终端异常分析和加密通信等，实现终端入侵防护，从而防止终端成为跳板、攻击关键网络节点。同时需要轻量化的强制认证机制和分布式认证、区块链等新型技术。★运行环境安全：通过轻量级实时嵌入式操作系统内核级安全机制进行防护；业务代码安全启动支持软件签名，保证只有合法没有被篡改的软件包才能加载；同时通过安全访问白名单防止恶意代码非法访问。★业务数据安全：本地数据安全，如数据隔离、防止拷贝和泄露等。★统一管理：提供全生命周期的安全管理，包括设备激活、身份认证、安全存储、安全启动、完整性检查、软件升级和设备退服在内的完整的生命周期管理。图2-4终端安全防护措施统一纳管接入安全业务数据安全运行环境安全物理安全IoT终端的安全需要从硬件到软件综合考虑，包括硬件芯片级的安全、OS安全和OS层以上的终端安全加固。终端的可信和可管是最基本的安全要求，IoT难以在不可信的基础上大规模扩展。因此，各厂商需要依据数据的敏10共建可信可管的物联网世界感程度、终端的智能程度和不同的网络架构特点，甄选各种终端安全技术来适配复杂的海量IoT终端，如为平衡引入安全机制所带来的资源消耗和成本，选择使用轻量化安全加密和分布式认证等新型安全技术。网络层安全万物互联意味着网络要支撑多样的业务和庞大的流量，需要用到各类通信技