深度解析物聯(lián)網(wǎng)的安全問題

隨著新技術(shù)的不斷刷新，物聯(lián)網(wǎng)終是大勢(shì)所趨。物聯(lián)網(wǎng)再給人們帶來便捷、愉悅的生活的同時(shí)，安全問題也不容忽視，如隱私泄漏、數(shù)據(jù)泄露等。就物聯(lián)網(wǎng)安全問題，海爾UHomeOS研發(fā)總監(jiān)尹德帥從物聯(lián)網(wǎng)安全概述、物聯(lián)網(wǎng)安全需求、物聯(lián)網(wǎng)安全需求對(duì)操作系統(tǒng)要求、UHomeOS安全方案四個(gè)方面深度解析當(dāng)下物聯(lián)網(wǎng)安全存在的問題及解決方案，下面是具體內(nèi)容。

1. 物聯(lián)網(wǎng)安全概述

1.1. 引言

維 基百科對(duì)于物聯(lián)網(wǎng)（Internet of Things）的定義為物聯(lián)網(wǎng)是將物理設(shè)備、車輛、建筑物和一些其它嵌入電子設(shè)備、軟件、傳感器等事物與網(wǎng)絡(luò)連接起來，使這些對(duì)象能夠收集和交換數(shù)據(jù)的網(wǎng)絡(luò)。物聯(lián)網(wǎng)允許遠(yuǎn)端系統(tǒng)通過現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施感知和控制事物，可以將物理世界集成到基于計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)世界，從而提高效率、準(zhǔn)確性和經(jīng)濟(jì)利益。經(jīng)過二十多年的發(fā)展，物聯(lián)網(wǎng)已經(jīng)逐步融入到我們的生活中來。從應(yīng)用于家庭的智能恒溫器，智能電燈等設(shè)備，到與身體健康相關(guān)的智能穿戴設(shè)備。每一種智能設(shè)備的出現(xiàn)，都大大便利了人們的生活。

但是物聯(lián)網(wǎng)在給人們的生活帶來便利的同時(shí)，也會(huì)給人們帶來種種隱憂。許多智能電視帶有攝像頭和麥克風(fēng)，即便電視沒有打開，入侵智能電視的攻擊者可以使用攝像頭來監(jiān)視你和你的家人，可以利用麥克風(fēng)監(jiān) 聽你和家人的談話內(nèi)容。維 基解密近期公布機(jī)密文件，表明美國中情局利用三星智能電視漏洞監(jiān) 聽觀眾對(duì)話，突顯物聯(lián)網(wǎng)安全問題的重要性。除此之外攻擊者還可以獲取對(duì)于智能家庭中的燈光系統(tǒng)的訪問后，除了可以控制家庭中的燈光外，還可以訪問家庭的電力，從而可以增加家庭的電力消耗，導(dǎo)致極大的電費(fèi)賬單。種種安全問題提示人們，在享受物聯(lián)網(wǎng)帶來的方便快捷的同時(shí)，也要關(guān)注物聯(lián)網(wǎng)的安全問題。

物聯(lián)網(wǎng)面臨的新的挑戰(zhàn)包括：

（1） 隱私問題日益引起關(guān)注和用戶困惑。

（2） 移動(dòng)的普遍性使得安全問題變的不可控。

（3） 設(shè)備數(shù)量的巨大使得常規(guī)的安全措施捉襟見肘。

（4） 大量基于云的操作使得邊界安全不太奏效。

1.2. 物聯(lián)網(wǎng)安全與互聯(lián)網(wǎng)安全的關(guān)系

物聯(lián)網(wǎng)是互聯(lián)網(wǎng)的延伸，因此物聯(lián)網(wǎng)的安全可以大力借鑒互聯(lián)網(wǎng)安全，物聯(lián)網(wǎng)和互聯(lián)網(wǎng)的關(guān)系是密不可分。但是物聯(lián)網(wǎng)和互聯(lián)網(wǎng)在體系結(jié)構(gòu)、操作系統(tǒng)、通信協(xié)議、系統(tǒng)升級(jí)、運(yùn)維管理、隱私問題、硬件平臺(tái)多樣性、安全環(huán)境方面有大量的不同。物聯(lián)網(wǎng)的安全既構(gòu)建在互聯(lián)網(wǎng)的安全上，也有因?yàn)槠錁I(yè)務(wù)環(huán)境而具有自身的特點(diǎn)?？偟膩碚f，物聯(lián)網(wǎng)安全和互聯(lián)網(wǎng)安全的關(guān)系體現(xiàn)在：物聯(lián)網(wǎng)安全不是全新的概念，物聯(lián)網(wǎng)安全比互聯(lián)網(wǎng)安全多了感知層，傳統(tǒng)互聯(lián)網(wǎng)的安全機(jī)制可以部分應(yīng)用到物聯(lián)網(wǎng)，物聯(lián)網(wǎng)安全比互聯(lián)網(wǎng)安全更復(fù)雜。物聯(lián)網(wǎng)與互聯(lián)網(wǎng)對(duì)比，見下表：

物聯(lián)網(wǎng) 互聯(lián)網(wǎng) 體系結(jié)構(gòu) 分為感知層、網(wǎng)絡(luò)層和應(yīng)用層 集中在網(wǎng)絡(luò)層和應(yīng)用層 操作系統(tǒng) 嵌入式操作系統(tǒng)為主，專為物聯(lián)網(wǎng)定制的操作系統(tǒng)為輔，例如UHomeOS等 通用操作系統(tǒng)，例如Windows、Linux、MacOS等 通信協(xié)議 藍(lán)牙、Wi-Fi、Zigbee及互聯(lián)網(wǎng)協(xié)議 TCP/IP、HTTP/HTTPs、MQTT 系統(tǒng)升級(jí) 一些專有系統(tǒng)兼容性差、軟硬件升級(jí)較困難，一般很少

進(jìn)行系統(tǒng)升級(jí)，如需升級(jí)可能需要整個(gè)系統(tǒng)升級(jí)換代 采用通用系統(tǒng)、兼容性較好，軟硬件升級(jí)較容易，且軟件系統(tǒng)升級(jí)較頻繁 運(yùn)維管理 不僅關(guān)注互聯(lián)網(wǎng)所關(guān)注的問題，還關(guān)注對(duì)物聯(lián)網(wǎng)設(shè)備遠(yuǎn)

程控制和管理 互聯(lián)網(wǎng)運(yùn)維通常關(guān)注系統(tǒng)響應(yīng)、性能 隱私問題 物聯(lián)網(wǎng)的很多應(yīng)用都與人們的日常生活相關(guān)，其應(yīng)用過程中需要收集人們的日常生活信息，利用該信息可以直接或者間接地通過連接查詢追溯到某個(gè)人 用戶網(wǎng)絡(luò)行為、偏好方面的信息 硬件平臺(tái) 硬件平臺(tái)復(fù)雜多樣，形態(tài)各異，性能和運(yùn)算能力差異巨大 平臺(tái)比較單一，種類較少 安全環(huán)境 安全環(huán)境復(fù)雜，有室內(nèi)、室外；有靜止、運(yùn)動(dòng)；有的監(jiān)控，有的無人監(jiān)控； 系統(tǒng)大多在受保護(hù)的環(huán)境中

2. 物聯(lián)網(wǎng)安全需求

2.1. 引言

物聯(lián)網(wǎng)新常態(tài)下安全的觀念和方向都要發(fā)生轉(zhuǎn)變。在傳統(tǒng)互聯(lián)網(wǎng)安全領(lǐng)域，我們強(qiáng)調(diào)對(duì)用戶進(jìn)行強(qiáng)認(rèn)證，對(duì)用戶的數(shù)據(jù)做加密，保障用戶在使用PC時(shí)的身份安全、應(yīng)用安全、數(shù)據(jù)安全。而在萬物互聯(lián)時(shí)代，用戶卻不再是網(wǎng)絡(luò)的單一主體，而是網(wǎng)絡(luò)多個(gè)設(shè)備中一個(gè)普通的角色或者終端，每一臺(tái)設(shè)備都產(chǎn)生和傳輸數(shù)據(jù)，每一臺(tái)設(shè)備都成為了一個(gè)安全實(shí)體。如果仍以人員為安全管理的目標(biāo)和基本單位進(jìn)行管理，顯然安全保障的粒度和強(qiáng)度都不夠，已經(jīng)不符合實(shí)際的安全需要，網(wǎng)絡(luò)安全從人員安全的時(shí)代開始轉(zhuǎn)向設(shè)備安全的時(shí)代。

在設(shè)備安全的時(shí)代，每一臺(tái)設(shè)備都將成為我們關(guān)注的目標(biāo)，例如：每一臺(tái)設(shè)備的接入是否授權(quán)，網(wǎng)絡(luò)通信兩端的設(shè)備是否彼此應(yīng)該信任，設(shè)備收集到的數(shù)據(jù)是否能夠安全存儲(chǔ)和傳輸，都是需要考慮的新問題。解決這些問題，實(shí)際是要從設(shè)備的角度來解決身份的認(rèn)證問題，以及數(shù)據(jù)的保密性、完整性問題。我們也需要為設(shè)備建立一套網(wǎng)絡(luò)信任體系，將數(shù)字證書的發(fā)放對(duì)象由人擴(kuò)展到設(shè)備，利用加密、簽名技術(shù)解決設(shè)備的強(qiáng)認(rèn)證、完整、保密問題。

2.2. 隱私保護(hù)

物聯(lián)網(wǎng)時(shí)代對(duì)用戶而言最關(guān)切的問題還有隱私問題。隱私不僅體現(xiàn)在用戶在使用設(shè)備的過程中，還體現(xiàn)在用戶在維修設(shè)備時(shí)。同傳統(tǒng)的設(shè)備相比物聯(lián)網(wǎng)的設(shè)備存儲(chǔ)有更多用戶的私密信息，例如設(shè)備存儲(chǔ)了用戶的包含用戶名稱和電話號(hào)碼的賬號(hào)信息、通話記錄、聊天記錄、語音記錄、采購記錄、甚至信用卡信息等等。這些信息一旦泄露會(huì)對(duì)用戶造成不可預(yù)計(jì)的麻煩和后顧之憂。

2.3. 數(shù)據(jù)安全

物聯(lián)網(wǎng)時(shí)代的設(shè)備相當(dāng)大量的設(shè)備暴露在沒有固定安全保護(hù)的環(huán)境中，因此對(duì)數(shù)據(jù)安全的要求與傳統(tǒng)的數(shù)據(jù)安全相比具有更苛刻的需求。除了傳統(tǒng)的數(shù)據(jù)保護(hù)措施外，物聯(lián)網(wǎng)時(shí)代的數(shù)據(jù)安全要具有一定的移動(dòng)性和更高的對(duì)數(shù)據(jù)安全危害的抵御能力。除此之外物聯(lián)網(wǎng)設(shè)備的設(shè)備種類復(fù)雜多樣，運(yùn)算能力的差異導(dǎo)致在數(shù)據(jù)安全方案上需匹配多種多樣的設(shè)備。

2.4. 訪問控制管理

物聯(lián)網(wǎng)設(shè)備的設(shè)備另一大屬性是同一個(gè)設(shè)備會(huì)有不同的用戶，比如空調(diào)在家庭中是大家共有的，但每個(gè)家庭成員對(duì)空調(diào)的使用溫度是有不同喜好的。另外一個(gè)例子是諸如微波爐、電磁爐等設(shè)備對(duì)兒童而言具有一定的危害性，因此在家庭設(shè)備授權(quán)方面必須有很好的訪問控制管理。

2.5. 攻擊檢測(cè)及防御

物聯(lián)網(wǎng)設(shè)備的攻擊檢測(cè)及防御同互聯(lián)網(wǎng)時(shí)代的攻擊檢測(cè)及防御相比，具有檢測(cè)更加困難、防御更加嚴(yán)峻的特性。因?yàn)樵O(shè)備的分布性、移動(dòng)性、多樣性及協(xié)議的廣泛性比以往更加復(fù)雜。比如對(duì)監(jiān)控?cái)z像頭的攻擊由于操作系統(tǒng)的小巧和處于成本考慮使得攻擊更加容易，但攻擊證據(jù)和回溯會(huì)更加困難。因此選擇與設(shè)備的操作系統(tǒng)匹配的攻擊防御措施顯得十分突出。

2.6. 通信安全

物聯(lián)網(wǎng)的通信安全必須能滿足多種通信協(xié)議要求，而不僅僅是滿足以太網(wǎng)或者Wi-Fi通信安全。物聯(lián)網(wǎng)的通信協(xié)議種類繁多，諸如藍(lán)牙、Wi-Fi、ZigBee、zWave等基礎(chǔ)通信協(xié)議。也有基于之上的CoAP、MQTT、HTTP等等。因此通信安全會(huì)更加復(fù)雜、通信安全在物聯(lián)網(wǎng)時(shí)代更加嚴(yán)峻。

3. 物聯(lián)網(wǎng)安全需求對(duì)操作系統(tǒng)要求

3.1. 引言

物聯(lián)網(wǎng)時(shí)代的設(shè)備與通信屬性與傳統(tǒng)互聯(lián)網(wǎng)相比，對(duì)操作系統(tǒng)的安全有特殊的需求， 基于對(duì)現(xiàn)有一流設(shè)備的觀察，構(gòu)建安全設(shè)備更多的是一項(xiàng)科學(xué)，而非藝術(shù)。如果嚴(yán)格遵循眾所周知的原則和做法，構(gòu)建安全設(shè)備是可重復(fù)的。物聯(lián)網(wǎng)對(duì)所有高安全性聯(lián)網(wǎng)設(shè)備必備的八個(gè)屬性：基于硬件的信任根、小型可信計(jì)算基礎(chǔ)、深度防御、分區(qū)化、基于證書的身份驗(yàn)證、安全更新和故障報(bào)告、防復(fù)制機(jī)制。

3.2. 高可靠高安全系統(tǒng)必備屬性

信任根是基于硬件的。單純的操作系統(tǒng)軟件對(duì)高安全設(shè)備而言是遠(yuǎn)遠(yuǎn)不夠的，硬件的防護(hù)可以檢測(cè)并減緩物理攻擊的危害，同時(shí)可以防止攻擊者重復(fù)使用某一攻擊手段。

可信計(jì)算基礎(chǔ)是最小化的?？尚庞?jì)算基礎(chǔ)的最小化在保證安全操作環(huán)境外，暴露給攻擊者的機(jī)會(huì)大大較少。

防御是深度的。防御必須是深度多樣化的，同時(shí)對(duì)攻擊造成的傷害必須可以采取減緩措施。

防護(hù)是分區(qū)化的。分區(qū)由硬件強(qiáng)制邊界提供保護(hù)，以防止一個(gè)軟件分區(qū)中的缺陷或漏洞傳播到系統(tǒng)中的其他軟件分區(qū)。

身份驗(yàn)證是證書化的。證書是使用秘密私鑰簽名并使用已知公鑰驗(yàn)證的身份和授權(quán)聲明。不同于基于共享機(jī)密的密碼或其他身份驗(yàn)證機(jī)制，證書無法被竊取、偽造或用于驗(yàn)證假冒者身份。

安全是可以更新的。即使在設(shè)備受到安全威脅后，具有可更新安全性的設(shè)備也可以自動(dòng)更新到更安全的狀態(tài)。安全威脅不斷發(fā)展，攻擊者不斷發(fā)現(xiàn)新的攻擊媒介。為了應(yīng)對(duì)新興威脅，必須定期更新設(shè)備安全性。在極端情況下，當(dāng)設(shè)備的分區(qū)和分層受到零日漏洞的破壞時(shí)，較低的分層必須重建并更新系統(tǒng)較高級(jí)別的安全性。遠(yuǎn)程證明和回滾保護(hù)可以保證一旦更新，設(shè)備就無法恢復(fù)到已知的脆弱狀態(tài)。沒有可更新安全性的設(shè)備存在潛在的危機(jī)。

安全是可以審計(jì)的。攻擊過程和破壞結(jié)果是可以記錄、可以追蹤的，達(dá)到事后審計(jì)效果。

系統(tǒng)影像是不可克隆的。系統(tǒng)不被克隆機(jī)制可以用來防止攻擊者采用重復(fù)的方法獲取系統(tǒng)信息，例如密鑰信息、密鑰機(jī)制及算法等。同時(shí)也可以防止系統(tǒng)被篡改。

4. UHomeOS安全方案

UHomeOS除了充分借鑒傳統(tǒng)互聯(lián)網(wǎng)的安全機(jī)制外，也充分實(shí)現(xiàn)和滿足了物聯(lián)網(wǎng)新的對(duì)安全的需求。具體為UHomeOS實(shí)現(xiàn)了安全的十大機(jī)制，即CPU模型是安全的、產(chǎn)品模型是安全的、認(rèn)證模型是安全的、量產(chǎn)模型是安全的、售后模型是安全的、工具鏈模型是安全的、OS自身模型是安全的、信息交換模型是安全的、密鑰管理模型是安全的和算法模型是安全的。對(duì)于比較重要的安全模型描述如下：

4.1. CPU安全模型

CPU安全模型包括1）安全啟動(dòng)即CPU啟動(dòng)時(shí)，固件通過驗(yàn)證操作系統(tǒng)的簽名來保證只有生產(chǎn)者認(rèn)可的操作系統(tǒng)可以運(yùn)行；2）防回滾保護(hù)即CPU可以防止低軟件版本下載和運(yùn)行，其目的是一旦在操作系統(tǒng)在某一硬件版本入侵成功后，可以通過更改CPU硬件版本來防止入侵進(jìn)一步發(fā)生；3）安全下載，只有生產(chǎn)商認(rèn)可的操作系統(tǒng)方可以下載到硬件系統(tǒng)中；4）調(diào)試接口屏蔽與開啟即調(diào)試接口可以通過設(shè)置來開啟和關(guān)閉來保證系統(tǒng)的安全性；5）防止復(fù)制即操作系統(tǒng)的影像不可以被復(fù)制以防止固件系統(tǒng)信息和用戶信息泄露；6）硬件系統(tǒng)具備安全模塊能力比如硬件ID、硬件隨機(jī)數(shù)發(fā)生器、RSA公鑰散列發(fā)生器等。

4.2. 產(chǎn)品安全模型

產(chǎn)品安全模型包括1）產(chǎn)品身份識(shí)別即每個(gè)產(chǎn)品有唯一的識(shí)別碼；該唯一識(shí)別碼有助于追蹤設(shè)備運(yùn)行狀況，防止設(shè)備被復(fù)制；2）影像防復(fù)制機(jī)制用來防止設(shè)備影像被復(fù)制，保護(hù)用戶數(shù)據(jù)隱私以及防止操作系統(tǒng)關(guān)鍵代碼篡改；3）深度防御機(jī)制用來應(yīng)對(duì)各種對(duì)操作系統(tǒng)的威脅，即使操作系統(tǒng)一部分受到攻擊其他部分應(yīng)不受影響，同時(shí)合適和恰當(dāng)?shù)拇胧┯脕響?yīng)對(duì)攻擊；4）安全系統(tǒng)更新即操作系統(tǒng)可以接受不斷更新，特別是成功的攻擊被發(fā)現(xiàn)后，操作系統(tǒng)的安全可更新機(jī)制保證系統(tǒng)免遭新的攻擊。

4.3. 系統(tǒng)量產(chǎn)安全模型

系統(tǒng)量產(chǎn)安全模型用來保證1）產(chǎn)線信息安全模型用來保證產(chǎn)線上的信息安全例如產(chǎn)品序列號(hào)、MAC信息等；2）產(chǎn)線密鑰安全用來保證密鑰管理的安全，防止密鑰泄露、丟失等。

4.4. 售后安全模型

售后安全模型指1）售后維修時(shí)操作系統(tǒng)信息是安全的、系統(tǒng)不被復(fù)制、篡改；2）用戶信息安全保證用戶在維護(hù)設(shè)備是用戶數(shù)據(jù)和信息是安全的。

4.5. 工具鏈安全模型

工具鏈安全模型包括1）安全下載即保證只有合法的操作系統(tǒng)影像才能下載到合法的硬件上；2）數(shù)據(jù)恢復(fù)安全保證用戶在維修設(shè)備時(shí)數(shù)據(jù)得到安全恢復(fù)；3）影像安全保證影像不被非法獲取和拷貝。

5. 結(jié)束語

物聯(lián)網(wǎng)仍然在如火如荼的處于快速發(fā)展當(dāng)中，安全機(jī)制也會(huì)伴隨著攻擊者的進(jìn)步而不斷進(jìn)步。新的防攻擊機(jī)制，新的安全機(jī)制也會(huì)層出不窮。與此同時(shí)在物聯(lián)網(wǎng)建立起共同的安全機(jī)制顯得日益需要，因此組建共同的安全聯(lián)盟是下一步物聯(lián)網(wǎng)健康發(fā)展的推動(dòng)力。