■文/北京智輝空間科技有限公司 李其倫

1 引言

早在1999年，MIT AutoID 研究室的Kevin Ashton 在研究將射頻識別信息與互聯(lián)網(wǎng)相連接的時候首先提到了物聯(lián)網(wǎng)的概念。同年，在美國召開的移動計算和網(wǎng)絡(luò)國際會議就提出，“傳感網(wǎng)是下一個世紀(jì)人類面臨的又一個發(fā)展機(jī)遇”。2005年11月17日，信息社會世界峰會（WSIS）上，國際電信聯(lián)盟（ITU）發(fā)布了《ITU互聯(lián)網(wǎng)報告2005：物聯(lián)網(wǎng)》，正式提出了“物聯(lián)網(wǎng)”的概念。我國在2009年就明確表示在物聯(lián)網(wǎng)的發(fā)展中，要早一點(diǎn)謀劃未來，攻破核心技術(shù)，并且明確要求盡快建立中國的傳感信息中心，或者叫“感知中國”中心。物聯(lián)網(wǎng)已經(jīng)被視為繼計算機(jī)和互聯(lián)網(wǎng)之后的第三次信息技術(shù)革命。

但是物聯(lián)網(wǎng)在給人們的生活帶來便利的同時，也會給人們帶來種種隱憂。2014年，研究人員演示了如何在15秒的時間內(nèi)入侵家里的恒溫控制器，通過對恒溫控制器數(shù)據(jù)的收集，入侵者就可以了解到家中什么時候有人，他們的日程安排是什么等信息。許多智能電視帶有攝像頭，即便電視沒有打開，入侵智能電視的攻擊者可以使用攝像頭來監(jiān)視你和你的家人。攻擊者在獲取對于智能家庭中的燈光系統(tǒng)的訪問后，除了可以控制家庭中的燈光外，還可以訪問家庭的電力，從而可以增加家庭的電力消耗，導(dǎo)致極大的電費(fèi)賬單。種種安全問題提示人們，在享受物聯(lián)網(wǎng)帶來的方便快捷的同時，也要關(guān)注物聯(lián)網(wǎng)的安全問題。

2 物聯(lián)網(wǎng)（IoT）產(chǎn)品和平臺的安全問題

（1）增加的隱私問題經(jīng)常讓人感到困惑。

（2）平臺安全的局限性使得基本的安全控制面臨挑戰(zhàn)。

（3）普遍存在的移動性使得追蹤和資產(chǎn)管理面臨挑戰(zhàn)。

（4）設(shè)備的數(shù)量巨大使得常規(guī)的更新和維護(hù)操作面臨挑戰(zhàn)。

（5）基于云的操作使得邊界安全不太有效。

為此我們需要做更多的安全防護(hù)，物聯(lián)網(wǎng)安全產(chǎn)品的核心在于技術(shù)。由于物聯(lián)網(wǎng)的安全是互聯(lián)網(wǎng)安全的延伸，那么我們可以利用互聯(lián)網(wǎng)已有的安全技術(shù)，結(jié)合物聯(lián)網(wǎng)安全問題的實際需要，改進(jìn)已有技術(shù)，將改進(jìn)后的技術(shù)應(yīng)用到物聯(lián)網(wǎng)中，從而解決物聯(lián)網(wǎng)的安全問題。如：互聯(lián)網(wǎng)環(huán)境中的防火墻技術(shù)，主要是對TCP／IP協(xié)議數(shù)據(jù)包進(jìn)行解析，而在物聯(lián)網(wǎng)環(huán)境中，防火墻還需要對物聯(lián)網(wǎng)中的特定協(xié)議進(jìn)行解析，如工控環(huán)境中的Modbus、PROFIBUS等協(xié)議。此外物聯(lián)網(wǎng)還有其獨(dú)特性，如終端設(shè)備眾多，設(shè)備之間缺乏信任的問題，互聯(lián)網(wǎng)中現(xiàn)有的技術(shù)難以解決此類問題，所以我們還需要探索一些新的技術(shù)來解決物聯(lián)網(wǎng)中特有的新問題。

3 基于芯片組與物聯(lián)網(wǎng)技術(shù)的無鑰匙系統(tǒng)

基于領(lǐng)先的芯片組與先進(jìn)的物聯(lián)網(wǎng)技術(shù)產(chǎn)生的無鑰匙系統(tǒng)，致力完美地滿足日益增長的個人和企業(yè)端需求。我們藉由融合性高的開放式管理平臺，推動用戶使用數(shù)字身份和空間互動。在為用戶提供便捷方便的同時，首先考慮的就是安全問題。無鑰匙系統(tǒng)從產(chǎn)品硬件芯片端、移動端、云端整體打造了一個安全體系，從物理機(jī)制、硬件加密、數(shù)字簽名、傳輸加密等多處入手，確保系統(tǒng)在各種極端情況下能承受攻擊。我們開展了異常行為檢測、代碼簽名、白盒密碼、空中下載技術(shù)、區(qū)塊鏈技術(shù)等基礎(chǔ)安全建設(shè)。

3.1 異常行為檢測

對應(yīng)的物聯(lián)網(wǎng)安全需求為攻擊檢測和防御、日志和審計。

她給玩偶工廠打去電話，很快，一個工程師模樣的禿頭男人前來拜訪。男人弄明白她的要求，差點(diǎn)從椅子上蹦起來。

平臺時刻對異常行為檢測。前面已經(jīng)提到過，異常行為檢測的方法通常有兩個：一個是建立正常行為的基線，從而發(fā)現(xiàn)異常行為，另一種是對日志文件進(jìn)行總結(jié)分析，發(fā)現(xiàn)異常行為。

物聯(lián)網(wǎng)與互聯(lián)網(wǎng)的異常行為檢測技術(shù)也有一些區(qū)別，如利用大數(shù)據(jù)分析技術(shù)，對全流量進(jìn)行分析，進(jìn)行異常行為檢測，在互聯(lián)網(wǎng)環(huán)境中，這種方法主要是對TCP／IP協(xié)議的流量進(jìn)行檢測和分析，而在物聯(lián)網(wǎng)環(huán)境中，還需要對其它的協(xié)議流量進(jìn)行分析。此外，物聯(lián)網(wǎng)的異常行為檢測也會應(yīng)用到新的智能鎖的領(lǐng)域。依靠對常用用戶行為模式、數(shù)據(jù)相關(guān)性和數(shù)據(jù)的協(xié)調(diào)性分析對黑客入侵進(jìn)行檢測。

3.2 代碼簽名

對應(yīng)的物聯(lián)網(wǎng)安全需求為設(shè)備保護(hù)和資產(chǎn)管理、攻擊檢測和防御。

通過代碼簽名可以保護(hù)設(shè)備不受攻擊，保證所有運(yùn)行的代碼都是被授權(quán)的，保證惡意代碼在一個正常代碼被加載之后不會覆蓋正常代碼，保證代碼在簽名之后不會被篡改。相較于互聯(lián)網(wǎng)，物聯(lián)網(wǎng)中的代碼簽名技術(shù)不僅可以應(yīng)用在應(yīng)用級別，還可以應(yīng)用在固件級別，所有的重要設(shè)備，包括傳感器、交換機(jī)等都要保證所有在上面運(yùn)行的代碼都經(jīng)過簽名，沒有被簽名的代碼不能運(yùn)行。所有的硬件都有唯一的代碼簽名，云端配合唯一認(rèn)證。

由于物聯(lián)網(wǎng)中的一些嵌入式設(shè)備資源受限，其處理器能力、通信能力及存儲空間有限，所以需要建立一套適合物聯(lián)網(wǎng)自身特點(diǎn)的、綜合考慮安全性、效率和性能的代碼簽名機(jī)制。因此我們在使用底層硬件的時候，考慮最先進(jìn)、運(yùn)算能力最強(qiáng)、功耗最低的硬件平臺做基礎(chǔ)開發(fā)。

3.3 白盒密碼

對應(yīng)的物聯(lián)網(wǎng)安全需求為設(shè)備保護(hù)和資產(chǎn)管理。

物聯(lián)網(wǎng)感知設(shè)備的系統(tǒng)安全、數(shù)據(jù)訪問和信息通信通常都需要加密保護(hù)。但由于感知設(shè)備常常散布在無人區(qū)域或者不安全的物理環(huán)境中，這些節(jié)點(diǎn)很可能會遭到物理上的破壞或者俘獲。如果攻擊者俘獲了一個節(jié)點(diǎn)設(shè)備，就可以對設(shè)備進(jìn)行白盒攻擊。傳統(tǒng)的密碼算法在白盒攻擊環(huán)境中不能安全使用，甚至顯得極度脆弱，密鑰成為任何使用密碼技術(shù)實施保護(hù)系統(tǒng)的單一故障點(diǎn)。在當(dāng)前的攻擊手段中，很容易通過對二進(jìn)制文件的反匯編、靜態(tài)分析，對運(yùn)行環(huán)境的控制結(jié)合使用控制CPU斷點(diǎn)、觀測寄存器、內(nèi)存分析等來獲取密碼。在已有的案例中我們看到，在未受保護(hù)的軟件中，密鑰提取攻擊通?？梢栽趲讉€小時內(nèi)成功提取以文字?jǐn)?shù)據(jù)陣列方式存放的密鑰代碼。

白盒密碼算法是一種新的密碼算法，它與傳統(tǒng)密碼算法的不同點(diǎn)是能夠抵抗白盒攻擊環(huán)境下的攻擊。白盒密碼使得密鑰信息可充分隱藏、防止窺探，因此確保了在感知設(shè)備中安全地應(yīng)用原有密碼系統(tǒng)，極大提升了安全性。

白盒密碼作為一個新興的安全應(yīng)用技術(shù)，能普遍應(yīng)用在各個行業(yè)領(lǐng)域、應(yīng)用在各個技術(shù)實現(xiàn)層面。例如，HCE云支付、車聯(lián)網(wǎng)，在端點(diǎn)（手機(jī)終端、車載終端）層面實現(xiàn)密鑰與敏感數(shù)據(jù)的安全保護(hù)；在云計算上，可對云上的軟件使用白盒密碼，保證在云這個共享資源池上，進(jìn)行加解密運(yùn)算時用戶需要保密的信息不會被泄露。我們針對無人值守的門鎖，如基站鎖等，均加入白盒密碼算法。

3.4 空中下載技術(shù)

空中下載技術(shù)（over－the air，OTA），最初是運(yùn)營商通過移動通信網(wǎng)絡(luò)（GSM或者CDMA）的空中接口對SIM卡數(shù)據(jù)以及應(yīng)用進(jìn)行遠(yuǎn)程管理的技術(shù)，后來逐漸擴(kuò)展到固件升級，軟件安全等方面。隨著技術(shù)的發(fā)展，物聯(lián)網(wǎng)設(shè)備中總會出現(xiàn)脆弱性，所以設(shè)備在銷售之后，需要持續(xù)的打補(bǔ)丁。而物聯(lián)網(wǎng)的設(shè)備往往數(shù)量巨大，如果花費(fèi)人力去人工更新每個設(shè)備是不現(xiàn)實的，所以O(shè)TA技術(shù)在設(shè)備銷售之前應(yīng)該被植入到物聯(lián)網(wǎng)設(shè)備之中。我們的關(guān)鍵硬件，均可實現(xiàn)空中升級，確保隨時打補(bǔ)丁。

3.5 區(qū)塊鏈技術(shù)

對應(yīng)的物聯(lián)網(wǎng)安全需求為認(rèn)證。

區(qū)塊鏈（Blockchain，BC）是指通過去中心化和去信任的方式集體維護(hù)一個可靠數(shù)據(jù)庫的技術(shù)方案。該技術(shù)方案主要讓參與系統(tǒng)中的任意多個節(jié)點(diǎn)，通過一串使用密碼學(xué)方法相關(guān)聯(lián)產(chǎn)生的數(shù)據(jù)塊（block），每個數(shù)據(jù)塊中包含了一定時間內(nèi)的系統(tǒng)全部信息交流數(shù)據(jù)，并且生成數(shù)據(jù)指紋用于驗證其信息的有效性和鏈接（chain）下一個數(shù)據(jù)庫塊。結(jié)合區(qū)塊鏈的定義，需要有這些特征：去中心化（Decentralized）、去信任（Trustless）、集體維護(hù)（Collectively maintain）、可靠數(shù)據(jù)庫（Reliable Database）、開源性、匿名性。區(qū)塊鏈解決的核心問題不是“數(shù)字貨幣”，而是在信息不對稱、不確定的環(huán)境下，如何建立滿足經(jīng)濟(jì)活動賴以發(fā)生、發(fā)展的“信任”生態(tài)體系。這在物聯(lián)網(wǎng)上是一個道理，所有日常家居物件都能自發(fā)、自動地與其它物件、或外界世界進(jìn)行互動，但是必須解決物聯(lián)網(wǎng)設(shè)備之間的信任問題。

4 結(jié)語

目前，大部分物聯(lián)網(wǎng)設(shè)備制造商并沒有很強(qiáng)的安全背景，也缺乏標(biāo)準(zhǔn)來說明一個產(chǎn)品是否是安全的。很多安全問題來自于不安全的設(shè)計。信息安全廠商可以做到三點(diǎn)：一是提供安全的開發(fā)規(guī)范，進(jìn)行安全開發(fā)培訓(xùn)，指導(dǎo)物聯(lián)網(wǎng)領(lǐng)域的開發(fā)人員進(jìn)行安全開發(fā)，提高產(chǎn)品的安全性；二是將安全模塊內(nèi)置于物聯(lián)網(wǎng)產(chǎn)品中，比如工控領(lǐng)域?qū)τ趯崟r性的要求很高，而且一旦部署可能很多年都不會對其進(jìn)行替換，這里的安全可能更偏重于安全評估和檢測，如果將安全模塊融入設(shè)備的制造過程，將能顯著降低安全模塊的開銷，對設(shè)備提供更好的安全防護(hù)；三是對出廠設(shè)備進(jìn)行安全檢測，及時發(fā)現(xiàn)設(shè)備中的漏洞并協(xié)助廠商進(jìn)行修復(fù)。