物聯網安全是個全棧的行為,是“服、用、云、管、邊、端”全生態統一協作聯合布防才能生效的課題,僅僅從物聯網設備端采取嚴防死守的策略并不能阻抗已經滲透到各個角落的APT攻擊。因此我們可以從物聯設備啟動、Rootkit注入保護、DDOS攻擊防御、設備安全準入、數據和協議安全等幾個方面綜合考查物聯網安全的應對之策。除此之外,還要保證物聯網管控平臺、云平臺、互聯互通接口、物聯網業務系統等基礎設施的安全。
1.基于可信計算的安全啟動技術
可信計算是由TCG(Trusted Computing Group,可信計算組織)推動和開發的安全計算技術,在計算和通信領域中廣泛應用基于硬件安全模塊的可信計算平臺以提高整個系統和應用軟件的安全性與完整性。作為一門新興技術,其主要目標包括計算平臺的完整性、平臺的遠程證明、數據存儲的安全性、數字知識產權保護。
作為可持續威脅(APT),如果不是潛伏在系統的深層,如果不是先于操作系統加載,如果不能在啟動過程中制衡保護軟件實現對自己“免殺”,那實在不好意思稱自己是“合格的APT”。對于這樣心高氣傲神通廣大的威脅代碼,的辦法就是先于它掌控系統的運行權。可信計算技術就是這場“運行權戰爭”中的“定海神針”,采用層層度量的方式校驗每一個啟動步驟的完整性和正確性,通過信任鏈的可傳導性來保證計算平臺的完整性。
度量是一級級從底層向上逐級度量的,通常是以先啟動的軟硬件代碼(例如安全芯片)作為信任根,并以此為標準對后一級啟動的軟硬件進行度量,如此實現信任鏈的向后傳遞,以保證系統計算環境可信。整個過程遵循“先度量再執行”的策略,例如在Windows系統啟動時,可以以BIOS中的某段代碼為核心信任根模塊(可信根),對啟動鏈上的BIOS/UEFI、WinLoader、操作系統鏡像文件等進行逐級靜態度量(如圖1所示)。
圖1 操作系統啟動的信任鏈
可信根作為整個系統信任鏈的底端必須可信,因此可信根一般是通過廠家在安全芯片中直接植入算法和密鑰實現的,具有不可覆蓋性,因此這部分代碼也被稱為可信軟件基(TSB,Trusted Software Base)。
ARM作為老牌的處理平臺廠商亦針對消費類物聯設備的安全保密與可信計算提出了TrustZone技術。該技術本質上是一種硬件平臺結構和安全框架,將片上系統的軟硬件資源分為安*與非安*(類似X86系統下的0環和3環),通過訪問權限的差異性來保證資源的安全性,非安*和安*通信需要通過中間的Monitor Mode進行轉換(如圖2所示)。
圖2 TrustZone架構視圖
2.Rootkit防御技術
Rootkit是系統安全領域老生常談的一個話題,無論采用哪種處理器架構,也無論在什么操作系統中,Rootkit都鬼影相隨。所謂Rootkit,就是系統中以隱藏自身、控制設備和獲取隱私信息為目的的惡意代碼。物聯網設備“中的招”十有八九就是以獲取信息和控制設備為特征的Rootkit惡意進程/代碼模塊,因此對于Rootkit的防御就顯得尤為重要。
Rootkit的執行特征如下:
(1)將惡意代碼放置在內存的數據區,通過堆棧溢出等手段在數據區執行這些代碼。
(2)通過遠程線程、默認加載等方式將惡意代碼模塊加載到應用進程中,即“模塊注入”。
(3)通過掛鉤操作系統的重要方法(例如系統調用或中斷響應例程等)來獲取自己渴求的數據。
(4)通過過濾型驅動掛鉤網絡協議棧,以獲取重要網絡流量并對數據包進行篡改。
(5)通過掛鉤重要可執行模塊的EAT/IAT(導出/導入地址表)的方式改變進程執行流程。
從上述Rootkit的運行特征可以反向推導出防范抵御Rootkit攻擊的手段。Windows系統在抵御Rootkit方面走在了前面,由于Windows系統的運行環境和計算資源都比較寬松,因此擁有更多的機制和手段保障安全性。而對于物聯網的系統,由于其功耗、計算資源等方面的限制,操作系統一般比較精簡,因此有針對性地制定Rootkit防御機制就更顯必要。
(1)物聯網設備通信模塊短小精悍,一般不存在協議棧的說法,因此通過過濾型驅動截取網絡數據包的方式在物聯網設備中不會存在。
(2)物聯網系統不存在遠程線程、默認加載等復雜的應用機制,因此無需考慮模塊注入問題。
(3)堆棧溢出在物聯網系統中是比較常見的,因此可以采用類似Win7的數據執行保護(DEP)機制阻止惡意代碼在內存數據區被執行。
(4)物聯網系統同樣也存在中斷響應例程、系統調用服務例程等重要的方法,依然需要防止這些重要部位被掛鉤。可以采用類似Windows的PatchGuard機制防止這些重要部位被改寫。
(5)可采用內核進程簽名校驗的機制阻斷不明進程的安裝和運行。
3.抗DDOS攻擊技術
DDOS攻擊也是網絡安全領域亙古不變的話題,無論物聯網還是視聯網,只要還支持TCPIP協議就面臨被DDOS攻擊的危險。DDOS是一種攻擊大類,核心思想是通過車輪戰使目標系統疲于應付而無法正常運行其他進程,它包括細分的多種攻擊手段,常見的有以下幾種:
(1)SYN Flood
通過偽造大量不存在的IP地址,在極短時間內向服務器不間斷發送SYN包,服務器回復確認包SYN/ACK,并等待客戶端永遠都不會響應的確認回復。如此服務器需要不斷重發SYN/ACK直至超時,這些偽造的SYN包將長時間占用未連接隊列,正常的SYN請求被丟棄,導致目標系統運行緩慢甚至癱瘓。這是利用TCP傳輸特性制造的“車輪戰”。
(2)ICMP Flood
極短時間內向目標主機不斷請求ICMP 回應,導致目標系統負擔過重而不能處理正常的IO業務。這是利用ICMP協議制造的“車輪戰”。
(3)UDP Flood
極短時間內向目標主機發送大量UDP 報文,致使目標系統負擔過重而不能處理正常的IO業務。這是利用UDP協議制造的“車輪戰”。
(4)ARP Flood
攻擊者可以在極短時間內發送大量ARP請求包以阻塞正常網絡寬帶,使局域網中有限的網絡資源被無用的廣播信息所占用而造成網絡擁堵。這是利用ARP包制造的“車流戰”,癱瘓的是承載網絡。
除了上述幾種利用二三四層協議營造的DDOS攻擊外,應用層、會話層協議亦可以制造DDOS攻擊的效果,例如通過短時間超大量的HTTP請求使WEB服務器崩潰、在短時間內通過超大量的流媒體會話協議使視頻服務器崩潰等等,這些攻擊手段都迎合了DDOS攻擊的本意,即極限施壓使之疲于應付而崩潰。
一般情況下DDOS攻擊的抵御是通過引流的辦法,即首先需要防護系統判斷發生了DDOS攻擊,再啟動流量引流機制,將DDOS攻擊包引導到攻擊緩沖區域進行消化。由于物聯網領域設備數量龐大,尤其要注意防DDOS攻擊的問題。
(1)在*4環境下多采用私網穿透的方式與外部系統進行通信。由于私網穿透通信的單向性,外部系統主動發起DDOS攻擊的可能性較低,特別是在部署了對稱性NAT服務的時候,從外向內通信的限制非常嚴格,也能在一定程度上阻斷DDOS攻擊流。
(2)物聯網與互聯網之間也會存在網絡隔離設備,例如安全接入平臺或網閘,其安全級別可以自主設置。雖然其通信效率較低,但能夠對網絡包進行深度檢測(DPI),也能在一定程度上阻抗DDOS攻擊流。
4.物聯網設備指紋技術
設備指紋是近年來新興的物聯網設備接入準入技術。其核心原理是通過設備的操作系統、廠商ID、MAC地址、端口號、IP地址、協議報文種類等屬性生成一系列固定的且與每個設備相關的私有信息,以達到識別設備的性。物聯網平臺通過設備指紋庫識別設備,對于非指紋庫內的設備可進行阻斷和報警。傳統識別設備性的方法是通過ID,但這種方式存在相當大的可仿冒性和可替換性,且由于設備ID一般處于OSI協議棧的高層,仿冒的門檻也更低。而通過設備指紋標識設備的性卻具有很低的可仿冒性和可替換性。
(1)設備的操作系統會帶有一定的標識,例如版本號、廠商ID等,對于這些屬性的仿冒并不容易,可能要通過Patch的手段改動內核態變量。
(2)MAC地址、IP地址、端口號等屬性具有設備的性,雖然也具有仿冒性,但仿冒這些聯合的屬性也并不容易。
(3)協議報文雖然遵循一定的標準,但每個廠商的設備協議的報文頭或報文體多少會有些私有信息存在,例如SIP協議頭域中的User-Agent屬性就會附帶廠商信息。再比如協議交互的時間間隔、回復特征等這些更加細微的區別也是設備指紋的重要組成部分。
因此,通過設備指紋鑒定設備的性、檢測設備在線、設備私接、設備仿冒具有很高的不可仿冒性和不可替代性。
設備指紋生成包括主動探測和被動監聽兩種方式。
(1)主動探測方式的主要思想是主動向物聯設備發送ICMP、UDP包,或者主動建立TCP連接,甚至主動發起一些應用層以上的協議來探測設備的回復信息(例如ICMP echo reply、ICMP端口不可達、HTTP Response等報文),根據這些報文來識別設備的特殊屬性。有的廠家也會支持一些私有協議專門用以標識設備的不可仿冒性。
(2)被動監聽方式的主要思想是通過網絡探針監聽設備的交互報文,并將這些報文旁路到采集端進行分析,通過源端口、源地址、MAC信息、報文特征等信息判別設備的不可替換性。
圖3 一種基于OSI協議棧指紋回聲的物甄別系統
設備指紋已在視頻監控領域有了較為廣泛的應用。但在物聯網其他領域,由于協議報文種類的繁雜性,且許多設備并不處于TCPIP網絡中,因此尚無太多的應用場景。
5.數據安全技術
物聯網數據安全包括數據本身的安全和協議安全兩重內涵。但無論是哪種內涵,其本質都是對數據和協議報文的加解密,當然也包括協議的證書認證機制。在安防領域,公安部早已制定了GB35114標準,并根據密級高低劃分了ABC三個等級,分別對協議報文進行認證加密、對視頻NAL進行認證以及對視頻內容本身加解密。
國家強制性標準的加持是對數據安全的注腳。(作者:譚喆 深圳力維智聯技術有限公司)
