物联网安全:给通信入口加把锁

  物联网概念被炒了几年,经过几年的沉淀,泡沫慢慢散去。目前的物联网更加务实,更加贴近民生。物联网的应用也逐渐丰富起来,应用领域之广、技术手段之多样也得到各行业的青睐。

  但是物联网应用发展的同时,物联网安全也应得到足够的重视。互联网存在的安全隐患只是在用户数据、业务实现、系统稳定性等层面存在一定的风险,而物联网安全却与工业控制化系统、社会的基础应用以及人身安全密切相关,一旦受到攻击,我国的公共服务、社会服务以及人身安全将会遭受严重损失。

  物联网安全和

  国家利益、人身安全紧密相关

  物联网对互联网高度依赖,一旦攻击者通过互联网入侵物联网,就可能给用户人身、财产和隐私带来直接损失。

  由于物联网对互联网的高度依赖性,互联网中存在的病毒攻击、黑客入侵和非法访问等安全问题也会在物联网中发生,甚至危害更大。一旦攻击者成功入侵物联网安全中心或数据中心,就可能窃取或破坏与生命、健康、财产安全密切相关的重要信息,给用户人身、财产和隐私带来直接损失。

  例如,如果攻击者破解了用户手机的住宅密钥,就可以通过物联网打开用户的家门,达到攻击者相应的目的。如果没有破解成功,无法进入家门,攻击者可通过房间内无线信号源破解,成功控制整个房间的家电,这时候释放天然气并控制微波炉等加热设备的开启时间,将会成为操控性能极强的“诡雷”。

  另外,攻击者通过病毒、木马远程控制用户的移动终端,可实时获取终端传输数据,如标书文件、手机支付、邮件信息等重要数据。如果移动终端内存储大量的商业秘密、机要信息,后果是颠覆性的。

  2009年7月8日,哈医大一院启用了用于心脏保护的远程监控起搏器,成为物联网技术在智能医疗领域的一次典型应用,一时间智能医疗技术被更多物联网厂商关注起来,对智能医疗设备和解决方案的投入也日益增多。

  但2012年10月19日国内外媒体刊登了一则题为《国外黑客成功控制起搏器,可远程执行致命电击》的新闻,内容大致为心脏起搏器容易被“黑”。新闻里提到,安全研究人员Barnaby Jack对起搏器发射机做出逆向工程指令,发现攻击者可以在30英尺内重写固件,发送致命电击。在一个未公开的视频演示中,Barnaby Jack使用笔记本向起搏器发出了一系列830伏特的电击。

  由此可见物联网未来与受众的工作、生活、健康甚至生命息息相关,如果安全性得不到足够的重视,无论是物联网厂商还是物联网用户,都会面临极大的安全威胁。

  物联网安全的核心三元

  移动终端/固定终端安全,传输线路/专线安全,以及承载物联网的业务安全是物联网安全的核心三元。

  传统的物联网架构分为三层:感知层、网络层、应用层。随着物联网十大领域应用的推广,物联网应用的概念慢慢被终端层、传输层、业务层所取代,而安全防范也更具有针对性,如移动终端/固定终端安全、传输线路/专线安全,以及承载物联网的业务安全,这三层被作为物联网安全的核心三元。

  业务系统安全威胁包括盗用/破坏设备信息,信息修改、隐私泄漏,核心权限泄漏。承载链路安全威胁包括篡改、盗取信息,对完整性的攻击,拒绝服务。终端安全威胁包括病毒、木马,欺诈、盗取信息和拒绝服务。

  承载链路安全大部分问题由运营商来解决,业务系统安全及终端安全却与物联网厂商息息相关。大致罗列业务系统安全威胁TOP10与终端安全威胁TOP10如下表。

  目前,物联网的攻击方法多种多样,大致分为以下几类:RFID数据读写修改金额;物联网承载网络数据劫持;交互过程伪造身份欺骗验证服务器;远程读取数据造成客户隐私泄漏;攻击数据中心“拖库” 客户隐私泄漏;攻击后台系统控制终端&行为操作;