PDF 免费下载

浅析物联网安全防护技术 Analysis on IoT Security Technology 汪襄南 1, 王冰 2, 霍纯敬 2 (1. 中讯邮电咨询设计院有限公司, 北京 100048;2. 中国联通北京分公司, 北京 100061) Wang Xiangnan 1,Wang Bing 2,Huo Chunjing 2 (1. China Information Technology Designing & Consulting Institute Co.,Ltd.,Beijing 100048,China;2. China Unicom Beijing Branch,Beijing 100061,China) 摘要 : 物联网已渗透到日常生活的方方面面, 安全问题逐渐显现, 安全防范的重要性不言而喻首先简述了物联网发展的背景及运营商的物联网建设部署和业务发展现状, 结合近期物联网安全攻击事件及其影响, 通过对物联网安全风险几个方面的研究, 阐述分析了物联网安全现状及防范手段, 最后对未来物联网安全防范技术进行展望和探讨关键词 : 物联网 ; 网络安全 ; 分布式拒绝服务攻击 ; 区块链 doi:10.12045/j.issn.1007-3043.2019.06.005 中图分类号 :TN929.5 文献标识码 :A 文章编号 :1007-3043(2019)06-0019-05 Abstract: IoT has been applied to all aspects of daily life,and security issues have gradually emerged. The importance of safety precautions is obvious. Firstly,the background of the development of IoT and the development status of operators' IoT construction, deployment and business are briefly described. Combined with recent IoT security attacks and their impacts,through the study of several aspects of IoT security risks,the security status and preventive measures of IoT are elaborated and analyzed. Finally,the future security prevention technology is prospected and discussed. Keywords: IoT;Network security;ddos;blockchain 引用格式 : 汪襄南, 王冰, 霍纯敬. 浅析物联网安全防护技术 [J]. 邮电设计技术,2019(6):19-23. 1 概述物联网 (IoT) 已经成为一种日益复杂的生态系统, 各类物联网终端日趋智能化和自动化物联网相关业务的发展以及网络的演进速度已远远超前于安全防护能力在此前提下, 电信运营商如何在现有通信网络架构的模式下防范物联网安全风险, 已经成为亟待研究和探讨的关键问题 1.1 物联网背景及相关概念物联网 (IoT) 引领着网络下一代的潮流, 其发展必收稿日期 :2019-04-10 将对世界产生巨大的影响据 Gartner 报告统计, 到 2025 年全球物联网连接数将达到 250 亿, 万物互联的蓝海即将到来, 物联网的连接数量将呈现爆炸式增长互联网实现了全球点对点的信息传递, 而正在以指数级进化的物联网设备, 未来必将越过奇点, 成为与人类一样的网络世界平等参与者在通信领域, 传统方式下的信息是通过点对点传输的, 所以可通过追踪传输路径并拦截信息对网络的安全风险问题进行溯源而在万物互联时代, 电信运营商现有的通信网络架构难以承载亿级的物联网设备接入, 而且物联网终端的多元性使用户对安全问题的感知度高低不 19

一, 所以必须探讨新的解决方案来保障基础网络设施及关键数据的安全根据国际电信联盟 ITU 的定义, 物联网是指通过二维码识读设备射频识别装置红外感应器全球定位系统和激光扫描器等信息传感设备, 按约定的协议, 把任何物品与互联网相连接, 进行信息交换和通信, 以实现智能化识别定位跟踪监控和管理的一种网络物联网主要解决物与物人与物人与人之间的互连从最初的机器通信 (M2M Machine to Machine) 到物联网 (IoT) 再到万物互联 (IoE Inter net of Everything), 物联网超越了人口的限制, 开拓了全新的市场蓝海, 国际运营商已纷纷将物联网作为其新的业务增长点 1.2 运营商物联网建设现状目前运营商的物联网业务以发卡模式为主, 尚未形成端到端的运营模式, 应用服务层主要由服务提供商提供, 终端感知层由用户自行管理运营商主要负责网络能力层和连接管理层的建设与维护在网络能力层建设物联网专用核心网, 疏导物联网流量在连接管理层建设物联网专用平台, 提供 API 接口供企业用户调用, 向用户提供批量发卡和集中管理卡的业务物联网网络层级示意图如图 1 所示应用服务层连接管理层网络能力层终端感知层云计算 MSC/VLR MGW GERAN UTRAN 模卡一体化终端 M-HLR 图 1 APP 大数据应用控制中心 M-SMSC 物联网网络层级示意图 2 物联网安全现状及案例截至 2017 年, 我国物联网连接数突破 1 亿, 占全球总量 31% 我国运营商云管端的物联网体系已初步形成, 业务呈现碎片化趋势车联网智能抄表环境监测智能家电移动传媒移动支付 M-GGSN E-UTRAN SGSNSGW 单模块移动嵌入式普通终端 UICC 卡终端 SIM 卡物联网平台专用网元 2015 年起, 越来越多的物联网智能设备出现在互联网上, 大量涌现的物联网智能设备开始在分布式反射拒绝攻击 (DRDoS 攻击 ) 中扮演重要角色由于物联网智能设备主要通过 SSDP 协议进行交互, 物联网设备又具有高带宽低监控水平全天候在线等特点, 因此其反射攻击具有比其他类攻击更为广泛的设备基础 Gartner 的研究报告称在互联网终端中,27% 的控制系统已被攻破或被感染,80% 的设备采用简单密码,70% 的设备通信过程不加密,90% 的固件升级更新过程不进行签名验证, 较易沦为攻击者发动 DRDoS 攻击的傀儡机所以笔者认为物联网安全对物联网业务的重要性不言而喻网络攻防趋势如图 2 所示 Incidents 与传统互联网网络安全防范相比, 物联网的安全防范工作更加艰难首先, 物联网终端的智能化水平存在差异, 而且终端资源 ( 计算能力存储空间 ) 受限 ; 其次, 目前物联网缺乏通用的安全通信及安全检测协议 ; 最后, 与传统电脑终端服务器相比, 物联网设备自身安全防护能力较差物联网终端更易受病毒木马蠕虫和恶意软件的攻击, 导致设备无法使用关键信息泄露成为傀儡机甚至危及整个网络系统的安全, Lots of attacks 下面介绍下过去发生的影响较为广泛的物联网安全案例 Resolve the problem 2.1 Mirai 病毒图 2 物联网僵尸网络病毒 Mirai 是新型的物联网病毒, 可以发动大规模的分布式 DDOS 攻击该病毒通过高效扫描物联网系统设备, 感染采用出厂密码或者弱密码加密的物联网设备 New type of attachs Miscreant R&D We are here Post mortem 网络攻防趋势 Prepare Survive 防火墙不能有效防范该病毒的入侵和传播,IoT 设备在不知不觉中被感染, 成为僵尸网络中的一份子攻击者就可以利用被感染的设备扩大传播范围, 发起 20 2019/06/DTPT

大规模的外网攻击, 同时监控内网, 组织有规模的内网攻击 2.2 IoT Reaper 木马 IoT Reaper 木马 ( 也被称为 IoT roop) 是在 2017 年 10 月发现的一种新型物联网木马, 其原型是 Mirai, 但比 Mirai 强大, 它是利用漏洞实现跨平台的物联网设备访问,IoT Reaper 攻击模型如图 3 所示 downloader loader IoT Reaper 放弃了 Mirai 中利用弱口令猜测的方式, 转为利用 IoT 设备的漏洞进行植入目前全球范围约有 200 万台物联网设备被感染, 可以发动比 Mirai 规模更大的 DDoS 攻击, 据监测, 该类攻击的源 IP 地址分布中中国排名第 1 2.3 Memcached DDoS 反射攻击 Memcached 是一个高性能的开源分布式内存对象缓存系统, 主要用于提高 Web 应用的扩展性, 能够有效解决大数据缓存的问题, 因为其结构简洁部署简单, 目前被广泛的应用于云结构和基础设施即服务 (IaaS) 网络中 implant serve download infecting/infected device 图 3 waiting for implant scanning IoT Reaper 攻击模型 Memcached 基于内存的 key-value 存储小块数据, 并使用该数据完成数据库调用 API 调用或页面渲染等, 攻击者正是利用 key-value 这项功能构造了大流量的 Memcached 反射攻击 Memcached 简单高效, 但其在初始设计上没有过多考虑安全性及健壮性, 留下了很多安全隐患, 例如在默认状态下, 它不做鉴权认证, 而且 TCP 11211 及 UDP 11211 端口全部开放 2018 年 2 月, 全球爆发了 Memcached DDoS 攻击, 峰值流量高达 1.7 Tbit/s, 溯源结果表明, 在这次攻击中分布在中国的被利用的 Memcached 服务器位列第 2 位, 占比 12.7%, 中国位于北京的服务器排名第 2, 所以对此类攻击的防护也亟需重视 report reporter heart beat waiting for command controller device on internet 3 近期物联网安全防范技术研究从以上实际案例中可以看出, 物联网安全问题的研究和安全部署时不我待笔者认为电信基础运营商主要负责网络能力层和连接管理层的建设与维护, 需要保证网络管道的可达性与安全性, 其安全风险主要集中在 3 个方面 : 物联网终端安全问题网络安全风险问题物联网运营平台安全问题 3.1 终端安全问题物联网终端普遍成本低, 智能程度低, 但终端安全风险会威胁到整个物联网或者网络层的可用性, 所以必须对此做一定防范首先对设备进行强口令设置, 并且建议安装防病毒软件, 定期升级 ; 其次建议在物联网中搭建恶意代码监测系统, 通过采集 Gn 口流量, 进行 DPI 深入包分析, 通过抓包识别恶意代码特征并进行告警和拦截例如针对 Memcached DDoS 反射攻击, 通过执行以下代码, 分析其主要特征 from scapy.all import import binascii payload=binascii. unhexlify('000100000001000073 746174730d0a ) pkt=ether()/ip(src= "10.1.138.170",dst= "172. 17.10.103")/UDP(sport=666,dport=11211)/payload sendp(pkt,iface="eth1",loop=0,verbose=false) 对 Memcached DDoS 的抓包分析如图 4 所示图 4 Memcached DDoS 抓包截图 3.2 网络安全风险问题目前常见的物联网攻击与传统互联网攻击形式 21

相似, 为保障网络性能, 首先防范的仍然是巨型流量攻击造成的网络阻断与网络可用性降低以 2018 年发生的 DDOS 攻击规模来看, 攻击峰值流量已达到 Tbit/s 级别, 物联网海量设备接入后, 其攻击流量规模呈几何级别增长, 已经对网络基础运营造成了不可忽视的影响对于大流量反射攻击, 需要进一步分析其包特征, 网络边缘将异常流量数据包直接丢弃, 并进行异常流量清洗等安全防护, 物联网的安全部署如图 5 所示防火墙流量异常分析设备物联网业平台 1 物联网接入 + 核心网城域网骨干网物联网业务台 2 物联网业务台 3 IPS 物联网终端流量清洗城域网异常设备流量清洗系统流量清洗设备流量异常分析设备骨干网异常流量清洗系统图 5 近期物联网安全部署示意图黑客只需要执行以下一段简短的代码执行程序就可以让设备发出巨大流量 : from scapy.all import import binascii # cmd = "get a a a a a a a a a a a a a <729 times>" payload=binascii. unhexlify('000100000001000067 65742061206120612061206120612061206120612 ') pkt=ether()/ip(src= "10.1.138.170",dst= "172. 17.10.103")/UDP(sport=80,dport=11211)/payload sendp(pkt,iface="eth1",loop=0,verbose=false) 可以通过抓包进一步分析反射 DDoS 攻击特征 ( 见图 6) 图 6 反射 DDOS 攻击特征抓取分析截图从以上数据中可以看出, 攻击者只需发送 1 个数据包, 但反射器可发送 50 万个数据包, 单一 IP 地址可产生高达 6G 的攻击流量面对如此巨大流量的攻击, 运营商首先要在骨干网层面做好相应的安全预案模板, 可通过设置白名单等手段做到快速响应和一键阻断同时, 各自治域需要对其对接的 PEER 进行安全流量控制, 防范来自僵尸网络大量终端所带来的巨型流量风险在核心网层面, 可以在 Gi 出口位置部署防火墙 IPS 等安全设备, 定期进行核心网设备的漏洞扫描与弱口令验证, 加强其健壮性并通过现有已部署的 flow 设备监控异常流量, 完成近源清洗具体的步骤应有 : a) 首先分析判断受攻击的 IP 地址是否为物联网设备地址 b) 追踪新物联网僵尸网络感染设备的范围 c) 关联检测物联网地址的外发流量新指征以进 22 2019/06/DTPT

行进一步流量抑制 4 物联网安全防范技术展望网络安全领域的问题, 目前已得到世界各国的重视, 其重要性甚至可以上升到国家安全层面未来的网络将是人与机器共舞的全新世界, 需要一种不同于传统人为控制的完全透明和公平执行的秩序中期来讲, 物联网的安全运营业务将由传统的硬件交付转变为服务交付虽然安全防护类设备不可或缺, 但专业的安全服务安全评估安全培训以及安全运营服务 (MSS) 也将成为未来安全市场发展的重点 Gartner 将 MSS 定义为 : 通过安全运营中心 (SOC) 的共享服务, 实施 IT 安全功能的远程监控和管理其服务可以包括防火墙服务 IPS/IDS 防 DDoS 攻击基础设施日志收集与报告分析故障与安全事件响应运营商首先要考虑建立可运营的 SOC, 提供安全运营服务, 将物联网纳入管理和监控, 从而建立信息广泛统一预警的安全威胁情报中心同时通过丰富的采集及监控手段, 获取大量数据, 增强风险预报的精度与效率, 并且跟随网络演进的步伐同步升级监控及防护系统长期来看, 物联网的智能设备将会呈现指数级增长态势, 随之也会带来一系列问题首先是成本问题, 传统物联网需要部署中心化的云平台, 这需要高昂的建设维护成本 ; 其次是扩展性问题, 海量的设备接入给网络带来扩容压力, 而中心化的平台存在性能瓶颈 ; 同时, 大规模物联网终端接入将带来巨大的信息安全风险, 而安全隐私和信任是物联网发展的前提显然, 只有去中心化区域自治扁平化的网络结构才能满足未来物联网业务发展的需求区块链技术是一种天然的去中心化的协议, 它将分布式数据库作为载体, 任意节点间的权利义务均等, 没有权威服务器, 系统中的所有数据块由整个系统中具有维护功能的节点来共同维护, 每个节点分享权力和义务, 通过广泛分布的节点进行验证, 确保信息不可伪造和进行篡改成功的去中心化物联网不仅是点对点的, 而且是无需信任的, 也不存在中心化的单点故障各物联网设备间可建立一种高度加密的轻量级通信机制也许在不远的将来, 这种无需信任的点对点通信协议, 将演进成比 TCP/IP 协议更适合于物联网的传输层协议虽然区块链技术在物联网安全方面的应用市场前景广阔, 但目前它在基础网络的应用还处在萌芽期, 要达到规模商用还需克服重重挑战首先, 物联网终端需要具备加密和验证区块链交易的计算能力 ; 其次, 随着区块链的增长, 节点存储空间的需求也越来越大 ; 而且生成一个区块需要系统内多个节点参与记录并验证通过, 会增加时延 5 结束语物联网安全模式需要 IoT 生态系统的每一部分进行合作协调和连接终端网络平台必须一起发力, 相互整合为了实现这种最佳的物联网安全模式,IoT 生态系统的各组成部分均要考虑其安全性, 从而建立稳固的底部和顶层结构海量接入的设备必将给网络带来更多的安全威胁, 运营商需要主动出击, 迎接物联网带来的机遇和挑战参考文献 : [1] Gartner:2017 年物联网 10 大趋势分析研究报告 [EB/OL].[2018-12-29]. https://www.sohu.com/a/127276007_526275. [2] 信息安全技术信息系统安全等级保护基本要求第 4 部分物联网安全扩展 [EB/OL].[2018-12-29]. https://max.book118.com/html/ 2018/0126/150703180.shtm [3] IBM 物联网白皮书 [EB/OL].[2018-12-29]. https://www.8btc.com/ article/32272. [4] 于敏辉, 刘波. 区块链与物联网解决方案分析 [J]. 集成电路应用, 2017(12):87-88. [5] 宋国栋. 基于区块链构建去中心化自治安全的物联网 [J]. 中兴通讯技术 ( 简讯 ),2016(12). [6] 杨光, 耿贵宁, 都婧, 等. 物联网安全威胁与措施 [J]. 清华大学学报 ( 自然科学版 ),2011(10):1335-1340. [7] 武传坤. 物联网安全关键技术与挑战 [J]. 密码学报,2015,2(1): 40-53. [8] 孙建华, 陈昌祥. 物联网安全初探 [J]. 通信技术,2012,45(7): 100-102. [9] 赵阔, 邢永恒. 区块链技术驱动下的物联网安全研究综述 [J]. 信息网络安全,2017(5):1-6. [10] 姜威, 姜泽睿. 以区块链技术为核心的物联网安全解决对策研究 [J]. 通信技术,2018,51(6):159-162. 作者简介 : 汪襄南, 高级工程师, 学士, 主要从事网络安全方面工作 ; 王冰, 高级工程师, 硕士, 主要从事网络分析网络建设方面工作 ; 霍纯敬, 工程师, 学士, 主要从事网络运营维护方面工作 23

201906