作者:(美)布莱恩·罗素(Brian Russell),(美)德鲁·范·杜伦(Drew Van Duren)
出版社:机械工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
物联网安全(原书第2版)试读:
前言
当前,很少有人会对物联网(Internet of Things,IoT)在信息安全、功能安全和隐私保护方面的安全隐患提出质疑。鉴于物联网在产业界巨大的应用前景以及用户的多样性,在决定写作本书时我们面临的主要挑战和目标,是如何以一种尽可能实用而又与具体行业无关的方式识别并凝炼出物联网安全的核心概念。同样重要的是,在考虑到当前以及未来不断涌现的数量无法估计的物联网产品、系统和应用时,我们需要对现实应用及其背后的理论予以同样的重视。为此,本书囊括了部分信息安全(以及功能安全)的基础知识。我们按照够用的原则把这些内容纳入进来,是因为几乎所有重要的安全讨论和分析都会涉及这些基础知识。在本书介绍的安全主题中,有些适用于设备(终端),有些适用于设备间的通信连接,其他的则适用于有一定规模的组织机构。
本书的另一个目的在于把物联网相关的安全指导准则解释清楚,而不是完全照搬当前网络、主机、操作系统、软件等对象采用的大量现成的网络安全理论,尽管其中某些内容对于物联网安全依然能够发挥作用。本书在撰写时并未打算针对某一特定行业,或者专注于销售某款产品的公司,而是致力于筛选出实用的安全技术并结合物联网自身特点加以调整,同传统网络安全采用的技术相比,无论在显著特点还是细微差别方面,物联网安全技术都有所不同,而本书介绍的安全技术会将物联网的特点及其同传统网络安全的细微差别充分考虑在内。
当前,从传统制造业(例如家电、玩具、汽车等)到新兴的技术公司,联网设备与服务的研发销售速度惊人,并且增速仍在不断提高。但遗憾的是,并非所有联网设备与服务都是安全的,已经有安全研究人员毫不客气地指出了这一事实,他们对此深感忧虑。尽管这些安全研究人员的很多意见有理有据,但其中部分批评意见也确实表现出了些许傲慢。
然而有趣的是,有些传统行业的技术在高可信(high-assurance)的功能安全和容错设计方面还是很先进的。在产品和复杂系统的工程实现中,用到了大量机械、电气、工业、航空航天和控制工程等主干工程学科的知识与高可信的功能安全设计,从而使得这些产品和复杂系统具有非常高的功能安全性。而很多网络安全工程师对这些学科完全不了解,也意识不到这些学科领域中的知识对功能安全和容错设计的重要作用。
因此,在保障物联网安全的过程中,我们遇到了一个重大障碍,那就是在设计、部署所谓的“信息物理系统”(Cyber-Physical System,CPS)时,会涉及功能安全、功能实现以及信息安全等方面的学科知识,但是融汇各个学科开展协作的情况却非常糟糕。对于在信息物理系统中物理工程学科同数字工程学科的融合方式,大中专院校的课程设置以及企业工程部门也鲜有涉及。我们希望,无论是工程师、安全工程师,还是各类技术管理人员,都能够了解如何更好地开展协作以实现保障功能安全和信息安全的目标。
在受益于物联网的同时,我们还必须最大限度地阻止当前和未来物联网可能给我们带来的危害。要做到这一点,我们就需要采取适当的方式来保障物联网的信息安全与功能安全。我们期望读者能够从本书中有所收获,了解如何对物联网提供安全保障。本书的读者对象
通过对本书的阅读,当读者所在机构接入物联网设备时,他们就知道如何来保障机构中数据的安全了。本书面向的读者对象主要为信息安全专业人士(包括渗透测试人员、安全架构师以及白帽黑客)。同时,业务分析人员和管理人员也能够从本书中获益。本书内容
第1章介绍了物联网的基本概念,包括物联网的定义、功能、具体应用和实现等内容。
第2章介绍了物联网面对的各种威胁以及针对这些威胁的应对措施。
第3章主要聚焦于开发人员或者厂商对物联网设备进行安全设计与安全部署时可以采用的各种工程方法。
第4章介绍了部分工具和方法,利用这些工具和方法可以为企业级物联网实现的定制开发提供安全保障。
第5章介绍了物联网系统安全生命周期,关注于物联网系统运维层面,包括规划、部署、管理、监控与检测、修复以及处置等内容。
第6章对应用密码学的相关知识进行了介绍。
第7章深入介绍了物联网的身份标识与访问控制管理机制。
第8章研究了物联网隐私泄露的相关问题,可帮助读者了解如何缓解隐私泄露风险。
第9章介绍如何制定物联网的合规性程序。
第10章对物联网相关的云端安全概念进行了介绍。
第11章对物联网安全事件管理和取证进行了介绍。本书所需的实验环境
为了完成书中的实验,建议读者安装4.3版本的SecureITree软件,并准备一台通用的台式或笔记本计算机,在Windows、Mac或Linux操作系统中部署好Java 8的运行环境。警告或者重要提示采用该标记进行指示。提示与小技巧采用该标记进行指示。第1章 勇敢的新世界
面对变革之风,有人砌围墙,有人转风车。——中国谚语
尽管每一代人都对自己所处时代的技术进步深以为傲,认为同前人相比有过之而无不及,但是也总会有人忽视或者根本认识不到思想、创新、协作、竞争以及沟通在历史长河中所发挥的深远影响作用,这些人可能也并不少见,而恰恰正是思想、创新、协作、竞争以及沟通使得智能手机和无人机等新工具、新设备成为可能。事实上,虽然前人可能并未用过我们今天使用的工具,但是他们肯定设想过这些工具的出现。因为,科幻小说中已经多次出现过惊人的预测,无论是Arthur C.Clarke设想的地球轨道卫星,还是E.E.Doc Smith在经典科幻故事中提出的思想和行为的融合(这让我们想起了当前已经出现的新型脑机接口),都在今天成为现实。
虽然物联网(Internet of Things,IoT)是一个崭新的名词术语,但是当前以及未来物联网背后所蕴含的思想却并不是首次出现。作为工程领域中最伟大的先驱之一,尼古拉·特斯拉(Nikola Tesla)在1926年Colliers杂志的一次专访中提到:“如果无线技术得以完美应用,那么整个地球就将变成一颗巨型大脑,实际上也就是说,所有事物都会成为真实而规律的整体中的一个粒子,而且相比于我们当前使用的电话,我们赖以实现的装备也会相当简单。人们在上衣口袋中就能装上这样一个。”(来源:http://www.tfcbooks.com/tesla/1926-01-30.htm)
1950年,英国科学家阿兰·图灵(Alan Turing)也提到:“建议最好能够为机器提供所能买到的最好的传感器部件,并教会机器理解和使用英语。就好像教小孩子学说话一样。”(来源:Computing Machinery and Intelligence.Mind 49:433-460)
无须怀疑,在数字信号处理、通信、制造、传感器和控制理论方面取得的惊人进展,正在将我们以及前人的梦想一步步地变为现实。这些进展强有力地证明了思想、需求和愿望构成了一个生态系统,促使人们出于对幸福生活的向往、生存发展的需要,不断地创造出新的生产工具,提出新的解决方案。
我们必须认识到当前人类的意识和行为尚未达到乌托邦的思想境界,并且以后也不会,即便我们对人类的未来充满希望,但是仍需要在美丽的幻想与上述现实中间取得平衡。人类社会中,总会有犯罪:或公开,或隐蔽;总会有无辜的人卷入到阴谋陷阱、金融诈骗和敲诈勒索当中;总会有意外;总会有奸商和骗子去伤害他人,并从他人的痛苦中牟取利益。简言之,就像总会有窃贼破门而入搜刮财物一样,也总会有人出于同样的原因入侵并破坏信息设备和系统。你的损失就是他们的收益。更糟的是,对物联网而言,攻击者的意图可能会包括物理破坏甚至人身伤亡。今天,如果正确配置了心脏起搏器,那么一次按键就可能救人性命。同样,简单的一次按键也可以导致汽车刹车系统失效,或者,使伊朗的核研究设施陷入瘫痪。
物联网安全的重要性不言而喻,在深入了解物联网安全之前,我们首先需要了解以下内容:
·物联网的定义
·网络安全与物联网安全
·物联网的现状
·物联网生态系统
·物联网的未来1.1 物联网的定义
现在,我们首先来考虑一个问题,就是如何定义物联网,以及如何将物联网同当前由计算机组成的互联网区分开来。物联网当然不只是一个关于移动端到移动端(mobile-to-mobile)技术的新名词,其中还蕴含着诸多含义。目前,已经有很多机构提出了对物联网的定义,在本书中我们主要选用以下3种定义形式:
·国际电信联盟(International Telecommunication Union,ITU)成员均认可将物联网定义为:“信息社会的全球性基础设施,基于现有的以及不断演进的、可互操作的信息与通信技术,通过(物理和虚拟)设备的互联互通来提供更加高级的服务。”
·电气与电子工程师协会(the Institute of Electrical and Electronics Engineer,IEEE)对小型物联网应用场景的描述是:“物联网是指能够将唯一标识的‘实物’(thing)连接到互联网的网络。这里的‘实物’具有感知/执行能力,同时可能具备一定的可编程能力。利用该‘实物’的唯一标识和感知能力,任意对象可以在任意时刻从任意位置采集相应‘实物’的信息,并且可以改变‘实物’的状态。”
·电气与电子工程师协会对大型物联网应用场景的描述是:“物联网构想了一种能够实现自我配置、可自适应的复杂网络,该网络采用标准通信协议建立实物与互联网之间的连接。连接互联网的实物在数字世界中具有物理或虚拟的表示形式、感知/执行能力、可编程特性以及唯一身份标识。表示形式包含了实物的身份标识、状态、位置等信息,也可以包含其他有关业务、社交乃至个人的信息。利用实物的唯一身份标识、数据采集与通信以及执行能力,实物可以对外提供服务,该过程中可以人工干预也可以不借助人工干预。可以通过智能接口调用服务,而且在考虑安全性的前提下,可以由任意对象在任意位置、任意时间发起调用。”
上述定义互为补充。同时也有所重叠,几乎囊括了所有能够设想出的、通过互联网或无线网络同其他实物在物理/逻辑层面建立连接的实物。读者无须在意定义之间的细微差别,物联网向商业团体、政府以及个人提供的服务才是物联网的价值所在,也是我们需要保障的内容。作为物联网安全从业人员,我们必须深刻了解这些服务的作用,并确保这些服务的可用性与安全性。信息物理系统的定义
信息物理系统(Cyber-Physical System,CPS)是物联网的一个大型重叠子集。其涉及众多工程学科领域的交叉融合,其中每个学科领域都早已明确定义了学科范畴,包括了基础理论、学科传统、应用技术以及各个学科领域从业人员需掌握的相关课程。在信息物理系统中涉及的学科包括工程动力学、流体力学、热力学、控制理论、数字电路设计等等。那么,物联网与信息物理系统的区别在哪里呢?根据IEEE的定义,两者之间的主要区别在于信息物理系统并非一定要建立互联网之间的连接,其中信息物理系统由联网传感器、执行器和监测与控制系统组成。在同互联网隔离的情况下,信息物理系统依然可以实现其业务功能。从通信的角度来看,根据定义,物联网一般由连接到互联网的实物组成,并且通过应用聚合在一起,进而实现其业务功能。图1-1展示了信息物理系统、物联网以及互联网之间的关系。
换言之,只要信息物理系统与互联网建立连接,就可以将信息物理系统纳入到物联网当中,所以可以将物联网看作信息物理系统的一个超集。通常来说,在功能安全、信息安全、可用性和功能性等方面,信息物理系统均经过了严格设计。如果有企业想部署物联网系统,应当注意从信息物理系统严谨的设计当中吸取经验教训。如果读者想了解构建韧性信息物理系统的有关内容,可以借鉴美国国家标准技术研究院(National Institute of Standards and Technology,NIST)提出的信息物理系统框架(Framework for Cyber-Physical Systems,https://s3.amazonaws.com/nist-sgcps/cpspwg/files/pwgglobal/CPS_PWG_Framework_for_Cyber_Physical_Systems_Release_1_0Final.pdf)以及物联网赋能的智慧城市框架等相关内容(https://www.nist.gov/el/cyber-physical-systems)。图1-1 信息物理系统、物联网以及互联网之间的关系需要注意的是,即使从技术上实现了与互联网的隔离,但几乎所有的信息物理系统仍会以某种方式建立与互联网之间的连接,用到的方式包括供应链、操作人员或者带外软件更新管理系统等。因此,针对物理隔离系统的安全研究也从未中断,同时研究结果不断表明即便采用了物理隔离,能够有效入侵隔离系统的方法也依然存在。1.2 网络安全与物联网安全
与传统意义上的网络安全不同,物联网安全是网络安全与其他工程学科相融合的产物。相比于单纯的数据、服务器、网络基础架构和信息安全,物联网安全的内涵要更加丰富。而且,物联网安全还需要包括对联网物理系统状态的直接或分布式的监测和控制。如果读者喜欢使用“网络安全”这个名词的话,会发现对于硬件设备以及同硬件设备交互的现实物理世界的物理安全和信息安全隐患,网络安全通常并不关注。而正是通过网络对物理处理流程的数字化控制,使得物联网安全与传统安全有所区别,即物联网安全不再仅仅局限于包括机密性、完整性、不可否认性等基本信息安全保障原则,还需要包括对现实世界中收发信息的实体资源和设备的安全保障。换言之,物联网能够真实模拟现实世界中的操作,并且拥有实体部件。也正是因为物联网设备都是物理实体,所以大多数物联网设备都涉及系统的功能安全。因为如果这样的设备遭到攻击,就可能会危害到人身和财产安全,甚至导致人身伤亡。
因而,与联网设备和主机不同,孤立、静态的通用安全规则对于物联网相关的安全问题而言并不适用。因此,如果系统和复杂系统(system-of-system)用到了物联网设备,就需要专门定制适用的安全规则。现如今,只要配备了合适的电子接口,那么几乎所有实体设备都可以连接到互联网上。因此,物联网设备的安全性也会受到设备使用方式、设备控制或影响的物理流程或状态、设备所接入系统的敏感程度等诸多因素的影响。
信息物理系统在功能安全和信息安全设计方面通常和很多物联网系统存在交集,两个领域虽然之前沿着截然不同的路径不断发展,但是如今这两条路径出现了重叠。在本书的后续章节中,我们会对物联网安全中的功能安全进行更加深入的研究,但现在我们首先在这里简要说明一下功能安全和信息安全之间的区别,该区别由知名学者Barry Boehm博士指出,Axelrod W.C.在美国马萨诸塞州Artech出版社于2013年出版的《Engineering Safe and Secure Software Systems》一书中对此进行了完整表述。Axelrod在书中深刻而精准地指出了功能安全和信息安全两者之间的关系:
·功能安全:信息系统不会危害现实世界的安全。
·信息安全:现实世界不会危害信息系统的安全。
因此,相比于传统的网络、主机和网络安全,物联网和物联网安全显然要复杂得多。对于航空航天等关注功能安全的行业而言,经过多年的演进,它们已经找到了一套行之有效的功能安全设计方法并形成了相关标准,因为,如果飞机出现故障可能会对现实世界以及现实世界中的人员造成伤害。与汽车制造业类似,飞机中接入互联网的设备也在急速增多,所以当前飞机制造业在信息安全领域正在奋起直追。1.3 物联网的现状
随着技术不断发展,摩尔定律正在快速地改变着世界,同时设备、社交网络乃至我们的身体、汽车和其他对象也正在变得互联互通起来,对这些内容我们听得耳朵都起茧子了。
然而,还可以用另一种方式审视物联网技术的进展,那就是当网络延伸到不仅仅是最后1公里或者最后1英寸,而是无形数字信号与有形物理实体的分界线处时,发生了什么。不管网络扩展到伺服电动机控制器、温度传感器、加速计、电灯、步进电动机、洗衣机监控器,还是心脏起搏器电池的电压监控器,其作用效果都是相同的:信源(information source)和信宿(information sink)大大方便了人们对现实和虚拟世界的监测和控制。对于物联网来说,无论是作为主体还是客体,其实都可以把现实物理世界看作数字信息世界的一个直连组件。
今天,物联网技术正在许多行业不断推广。例如,在欧洲,物联网创新联盟(Alliance for Internet of Things Innovation,AIOTI,参见链接https://aioti.eu/)筹划了一系列试点项目,这组项目聚焦于展示物联网在现实世界中的应用案例。表1-1对试点项目进行了介绍,并展示了物联网对我们日常生活的渗透和潜在影响。物联网设备可不仅仅只是可以连接互联网的玩具。如今,物联网系统正在真实引领着人类社会的变革,并推动着商业生产力的发展。表1-1 AIOTI试点项目及项目介绍
物联网对传统行业的变革影响巨大。而同样显而易见的是,当我们开始依赖物联网技术对传统行业的改造时,拒绝服务或者对服务加以篡改也会给这些行业带来巨大的影响。因此,在系统开发时,需要时刻将信息安全与韧性记在脑中。接下来,我们将开始对物联网生态系统的介绍,它们已经对我们的日常生活产生了深远影响。1.3.1 基于物联网赋能的电网
电力、天然气等公共事业公司派员工挨家挨户抄表的日子正在快速远去。如今的住宅都会安装一套分布式能源(Distributed Energy Resource,DER)系统,它可以同配电网就电力需求与负荷数据进行通信。在配电网中,智能设备可以采集数据并对数据加以分析,进而识别出异常状态和不稳定的情况。然后,这些设备可以协同工作来找到解决措施,纠正不稳定性,同时避免电压骤降和断电所付出的高昂代价。
还有其他物联网技术正在重塑能源运营的业务流程,提高其现代化水平。例如,发生自然灾害后,运维人员就可以部署无人机(Unmanned Aerial System,UAS)勘查输电线路的损坏情况。随着世界各地航空管理部门陆续出台法规来规范无人机平台的使用,自主飞行会逐步放开,从而无人机将更加广泛地用于故障的快速识别与故障恢复。
随着电动汽车充电开始逐渐对电网形成压力,必须找到新型的分布式发电方法。在太阳能等清洁能源解决方案中,个人也可以参与发电,同时也可以同其他个人和公用事业单位进行能源交易。在这里,我们提出微电网(microgrid)的概念。它同时配备发电和配电系统,业主完全可以实现用电的自给自足。微电网控制系统不仅依赖从边缘设备(如太阳能电池板和风力涡轮发电机)获取的数据,还需要用到从其他互联网服务采集到的数据。控制系统可以通过Web服务获取到能源的实时价格,这样系统就可以确定发电、向公用事业公司采购或者销售能源的最佳时机。
如果将天气预报作为输入,同样的控制系统也可以用来预测太阳能电池板在某段时间的发电量。随着微电网模型的不断成熟,还涌现出了新型的社区微电网,比如位于纽约布鲁克林的LO3 Energy公司。LO3 Energy公司实现了首个基于区块链的社区微电网(https://lo3energy.com/),社区居民彼此可以直接出售多余的太阳能,在LO3 Energy公司提出的解决方案中,可以将每户居民视作连接到大型物联网系统中的一个物联网节点。1.3.2 交通运输系统的现代化
物联网已经给交通运输业带来了巨大改变,并且有望继续带来变革。德国博世(Bosch)和大陆集团(Continental)等公司已经先后投入巨资进行半自动驾驶辅助系统的开发,而梅赛德斯-奔驰[1](Mercedes-Benz)和奥迪(Audi)等公司则正在进行Level 4和Level 5级别的全自动驾驶汽车研制。这些车辆和系统都依赖于传感器,由传感器收集数据并将数据反馈给车内的电子控制单元(Electronic Control Unit,ECU)。借助遍布全球的试点项目,网联汽车(Connected Vehicle,CV)技术迅速成熟,其中最大的试点项目[2]是纽约市网联汽车部署试点项目,有多达8000余辆汽车参与到该项目中来。通用汽车也采用网联汽车技术对部分车型进行改装。例如,2017年款的凯迪拉克CTS就采用了车辆到车辆(Vehicle-to-Vehicle,V2V)通信技术,在5.9GHz频段上同道路中的同行车辆共享车辆位置、速度和交通情况。此外,借助V2V技术可以共享的车辆行驶数据还包括纬度、经度、航向角、车速、横向和纵向加速度、节气门位置、制动状态、转向角、前大灯状态、雨刮器状态、转向信号灯状态以及车辆长度和宽度。
智能交通系统(Intelligent Transportation System,ITS)的设计初衷是优化智慧城市的交通。举个例子,智能交通系统可以发送排队告警信息,让车辆和驾驶员知道当前路段是否正在形成拥堵。然后,车辆导航系统可以针对拥堵路段迅速重新规划行驶路线,绕过拥堵路段,进而缓解拥堵状况。车辆通过建立同联网路侧设备的连接,可以为诸如此类的应用提供帮助,其中联网路侧设备也称为路侧单元(Roadside Unit,RSU)。采用专用短程通信(Dedicated Short Range Communication,DSRC)等通信协议,RSU采集车辆生态系统中的数据并进行代理转发和传输,其中也包括同本地路侧设备(交通信号控制机、动态消息标志等)和交通管理中心(Traffic Management Center,TMCS)交互的数据。[1] L1级:辅助驾驶,车辆对方向盘和加减速中的一项操作提供支持,人类驾驶员负责其他驾驶动作。L2级:部分自动驾驶,车辆对方向盘和加减速中的多项操作提供支持,人类驾驶员负责其他驾驶动作。L3级:条件自动驾驶,由车辆完成大部分驾驶操作,人类驾驶员需要集中注意力以备不时之需。L4级:高度自动驾驶,由车辆完成所有驾驶操作,人类驾驶员不需要集中注意力,但限定道路和环境条件。L5级:完全自动驾驶,由车辆完成所有驾驶操作,人类驾驶员不需要集中注意力,不限定道路和环境。——译者注[2] 本书作者是该项目的安全顾问。——译者注1.3.3 智能制造
术语“工业4.0”主要用于描述通过自动化和数据交换来赋能智慧工厂的信息物理系统。数据分析系统负责对传感器数据进行融合和处理,采用智能制造用例训练机器学习算法,其中涉及的用例包括远程监控、智能能耗管理、预测维护以及人机协作。利用这些用例提供的功能可以减少停机时间、优化业务流程并降低成本消耗。以俄亥俄州托莱多市的一家吉普牧马人SUV制造厂为例,该厂的组装线连接了超过60000个物联网终端和259台机器人(来源:https://customers.microsoft.com/en-us/story/the-internet-of-things-transformsa-jeep-factory)。采用这种部署方式,工厂可以根据从实时传感器采集到的数据按照需求调整生产计划,从而提高生产的灵活性。这样做的益处就是在降低成本的同时提高企业利润。“工业4.0”也引领着机器人技术在制造业方面的应用。当前已经出现了多种类型的机器人平台,譬如能够对视频流进行实时捕捉和分析的视觉机器人,以及可在人类引导下完成任务的协作机器人。机器人系统依赖于运动传感器、加速度计、温度传感器、压力传感器和距离传感器等多种类型的传感器。同时,这些机器人平台可以整合计算机视觉能力,也可以通过复杂算法来实现导航和路径规划等功能。1.3.4 遍布全球的智慧城市
在美国市场研究机构Navigant Research(https://www.navigantresearch.com/news-and-views/navigant-research-identifies-355-smart-city-projects-in-221-cities-around-the-world)发布的《智慧城市动态跟踪2018》报告中指出,2018年,全球范围内超过221个城市至少实施了一项智慧城市项目。例如,美国芝加哥市启动实施了Array of Things项目,在市内的灯柱上安装了500多个多功能传感器。传感器对包括温度、气压、光线、振动、一氧化碳、二氧化氮、二氧化硫、臭氧、环境声强、行人和车辆交通状况以及地表温度等在内的信息进行测量(来源:https://arrayofthings.github.io/faq.html)。当前,智慧城市也正在逐步接受开放数据的理念,市民可以访问到物联网传感器收集的数据。例如,荷兰阿姆斯特丹的市民就可以查询到全市的所有开放数据项目。
智慧城市创新应用的其他实例还包括联网的LED路灯以及实现能源清洁高效利用的建筑。例如,美国圣迭戈市建设了智慧城市开放式城市平台(Smart City Open Urban Platform,SCOUP),以跟踪和减少城市房地产投资开发过程中的温室气体排放(https://www.sandiego.gov/sustainability/smart-city)。
智慧城市是复杂物联网的一个实例,因为智慧城市需要整合复杂系统来实现众多功能。当前,已经涌现出了诸如“智慧城市安全保障”(https://securingsmartcities.org/)之类的组织,这些组织中的专家可以帮助城市管理者就安全技术的选型及技术实现提供指导。1.3.5 跨行业协作的重要性
虽然本书的大部分内容致力于介绍物联网安全,但是前面提到的物联网在各行各业的应用实例已经清晰表明,全球范围内对跨学科安全工程师的需求在不断提高。除了某些大学开设的计算机科学、网络工程课程以及专业的安全认证培训(如SANS)之外,我们很难在学术课程中找到有关物联网安全的内容。大多数物联网安全从业人员在计算机科学和网络技能方面都具备很强的业务能力,但对核心工程课程涉及的物理安全和功能安全等领域却不甚精通。因此,物联网在信息物理融合方面面临着功能安全性与信息安全性在思考角度与解决方式等方面的冲突和难题:
·每个人都需要对信息安全负责。
·在信息领域同现实世界的交汇中存在严重的安全隐患,威胁着物联网和信息物理系统的安全。
·大部分传统的核心工程学科很少会关注信息安全设计(尽管某些学科会关注功能安全性)。
·很多信息安全工程师对核心工程学科(例如机械、化工、电气)并不了解,并且也不了解具备容错能力的功能安全设计。
由于物联网设备会同现实中设计制造出的实体对象建立连接,而由此带来的问题比其他任何难题都要复杂得多。物联网设备工程师可能擅长解决各种功能安全性问题,但是却并不了解设计决策可能给信息安全性带来的影响。同样,经验丰富的信息安全工程师可能也不了解设备在物理设计方面的细微差别,从而也就搞不清楚设备与现实世界的交互过程,更谈不上修复设备的安全缺陷了。换言之,核心工程学科通常关注于功能设计,即如何制造设备来完成人们希望实现的功能。而信息安全工程则需要切换视角,思考利用设备都可以实现哪些操作,以及用户会怎样采用最初的设计师从未设想过的方式来操作设备。恶意攻击者实施入侵的思路也正基于这一视角。制冷系统工程师以前只需要关心基本的热力学系统设计,从不会考虑采用加密的访问控制方案。而现在,智能冰箱的设计师则需要考虑这些内容,因为恶意攻击者会查找冰箱发送的非授权数据,或者尝试对其进行漏洞利用,进而以其为跳板拓展到家庭网络的其他节点上。
幸运的是,信息安全设计正在不断成熟,逐渐成为跨学科专业。我们认为,相比于对当前的信息安全工程师开展培训,让信息安全工程师了解各个物理工程学科,不如帮助各行各业的工程专家了解基本的信息安全原理,后者似乎更加高效一些。要提高物联网的信息安全水平,需要各个行业的核心工程学科(源自于学科课程设置)包含信息安全的相关原理与基本原则。否则,这些行业将永远无法有效应对新兴威胁。面对安全威胁,工程师要做出有效应对就需要在适当的时间采用有效的技术来缓解威胁,且实现代价最小(也就是说,最初的设计要具有一定的灵活性与前瞻性)。举个例子,热力学过程控制工程师在设计电厂时,需要掌握关于控制系统处理过程、功能安全冗余等内容在内的大量知识。如果他们对信息安全设计原理有所了解,那么就可以依据其他网络同电厂网络的连通情况,在对传感器、冗余状态估计逻辑或者冗余驱动器进行操作时处于更加有利的态势。另外,基于上述了解,工程师便于搞清楚某些状态变量和时序信息的敏感程度,从而利用网络、主机、应用、传感器和执行器的安全控制措施来保护这些信息。同时,工程师还可以更加准确地刻画出网络攻击同控制系统之间的交互,这些攻击行为可能导致系统超出气压和温度的耐受阈值进而引发爆炸。传统的网络信息安全工程师普遍不具备物理工程技术背景,因此并不了解这些设计决策背后的思考过程。
医疗器械和生物医药公司、汽车与飞机制造商、能源行业甚至游戏厂商和广大的消费品市场都会被物联网的浪潮波及。这些起初曾经彼此相互独立的行业,必须学会如何协作,来保护自己的设备和基础设施免遭网络攻击。遗憾的是,在这些行业中仍有一些人笃信,需要结合具体行业的特点对大部分信息安全防护措施进行专门的定制开发和部署。标准化组织通常也会支持这种思路。但是,这种孤立的、浅层次的防护方法并不明智而且较为短视。同时,这种思路还可能阻碍跨行业信息安全协作与学习,进而难以制定出通用的应对措施,而跨行业的协作交流对于改进安全态势极有帮助。
在物联网环境中,各类威胁机会均等,也就是说,针对某个行业的威胁同样会存在于其他行业之中。今天如果某套设备遭到了入侵,那么几乎所有其他行业中的相同设备也都面临着同样的威胁。医院的智能灯泡如果遭到入侵,就可能被利用对医疗器械发起各种攻击,窃取患者隐私。在某些情况下,由于供应链环节上存在交集,或者某一行业的物联网解决方案也可能为其他行业所采纳,所以各个行业之间均存在着联系。也正因为如此,各个行业都应该能够及时获取到工业控制系统遭受攻击的实时情报,并从攻击行为中吸取经验教训,结合自身情况加以调整。在现实世界的威胁中,漏洞无时不在,而对于物联网,漏洞的挖掘、分析、认知和分享还需要加以改进。切不可认为某一个行业、某一家政府机构、某一个标准组织独自就可以掌握所有的威胁情报和信息共享。安全是一个生态系统。1.4 物联网生态系统
在物联网世界论坛提出的参考模型中,将物联网生态系统划分为了7个层次。这7个层次分别是:
·物理设备与控制器
·互联互通
·消息传输协议
·数据汇聚
·数据抽象
·应用
·协作与处理
下面,我们将从这7个层次来介绍物联网生态系统的组成。1.4.1 物理设备与控制器
物联网设备类型众多,专门为其中的某一类设备提出安全建议是一项较为困难的工作。然而,究其核心,物联网设备其实就是具备感知和通信能力的硬件设备。同时,某些物联网设备还具备执行、存储和处理能力。1.硬件
当前市面上主流的物联网开发板包括Arduino、BeagleBoard、Pinocchio、Raspberry Pi和CubieBoard等。这些开发板主要用于搭建物联网解决方案的原型系统。开发板中包含可以用作设备大脑的微控制器(MCU)、内存,还有很多用于数字信号和模拟信号传输的GPIO(General Purpose Input/Output,通用输入/输出)引脚。同时开发板也可以与其他模块化板卡堆叠使用,进而实现通信功能,或者构建新的传感器、执行器,最终构建完成一套完整的物联网设备。
ARM、Intel、Broadcom、Atmel、Texas Instruments(TI)、Freescale和Microchip Technology等公司的MCU产品都可以用于物联网开发。MCU其实就是一块集成电路(Integrated Circuit,IC),其中包含处理器、只读存储器(Read Only Memory,ROM)和随机访问存储器(Random Access Memory,RAM)。在这些设备中内存资源经常是受限的。通常,通过为MCU添加完整的网络协议栈、接口以及无线或蜂窝移动通信信号收发器,制造商就可以将传统设备改造为物联网设备。所有这些工作最终构成了片上系统和小型子板(单片机)。
就物联网中所使用的传感器而言,其类型没有任何限制。举例来说,温度传感器、加速计、空气质量传感器、电位计、距离传感器、湿度传感器以及振动传感器等类型的传感器都可以用作物联网设备的传感器。这些传感器通常以硬连线的方式接入MCU,实现本地处理、响应执行等功能,也可以用作其他系统的中继。2.实时操作系统
物联网设备通常采用实时操作系统(Real Time Operating System,RTOS)进行进程和内存管理,并为消息传输等通信服务提供支撑。对实时操作系统的选型应从产品所需的性能、安全和功能性等多方面进行考虑。当前可用的RTOS如表1-2所示。表1-2 实时操作系统
虽然许多物联网设备尺寸在不断缩小,但是借助强大功能的SoC单元可以运行多种能够实现安全引导的操作系统,同时具有严格的访问控制、进程隔离、可信执行环境、内核分离、信息流控制等功能,另外还可以同安全加密架构相集成。功能安全攸关的物联网设备还需要采用符合行业标准的RTOS。常用的行业标准规范包括:
·DO-178B:机载系统和设备合格审定中的软件考量
·IEC 61508:工业控制系统的功能安全
·ISO 62304:医疗器械软件
·SIL3/SIL4:交通运输和核系统的功能安全完整性等级
其他一些重要的安全属性同安全配置及安全敏感参数的存储有关。通常情况下,如果未向RAM提供备用电源或者也没有其他持久性存储设备,那么操作系统重启后配置设置就会丢失。因此,很多情况下会将配置文件保存在持久性存储设备中,需要时再从中提取出网络等各种配置信息,基于这些配置信息,设备就可以正常运行并进行通信。更加值得关注的是设备在重启时对存储于其中的root用户口令、其他账户口令以及密钥的处理方式。上面每种情况都可能存在一个或多个安全隐患,安全工程师对此要予以关注。3.网关
边缘设备和Web服务之间的端到端(end-to-end)连接主要通过一系列实体网关和云网关设备来实现,每台网关都会汇聚大量数据。Dell、Intel等公司都在市场上推出了物联网网关设备。Systech等公司还推出了多协议网关,采用多组天线和接收器,多协议网关可以将不同类型的物联网设备互连在一起。同时,各大厂商还推出了面向普通用户的消费级网关,也称为Hub,用来为智能家居通信提供支持。三星公司推出的SmartThings Hub就是一个例子。4.物联网集成平台与解决方案
Xively、Thingspeak等公司均提出了灵活的开发解决方案,用来将新兴的物联网设备集成到企业架构当中。在智慧城市领域,Accella和SCOPE等平台都是基于云端的智慧城市开放平台和生态系统,借助上述平台可以将各种物联网系统集成到企业解决方案当中。
同时,这些平台也为物联网设备开发人员提供了API接口,开发人员可以利用API接口开发新的功能和服务。物联网开发人员已经开始越来越多地应用这些API接口,利用它们可以方便地将物联网设备集成到企业的IT环境当中。例如,如果要实现基于HTTP协议的通信,那么物联网设备就可以采用ThingsPeak API。之后,机构还可以通过调用API从传感器中捕获数据、分析数据,继而对数据进行操作。与之类似,AllJoyn是AllSeen联盟的一个开源项目。该项目主要聚焦于物联网设备之间的互操作性,也就是说,即使设备采用了不同传输机制,设备之间也可以进行互操作。随着物联网的不断成熟,不同的物联网组件、协议和API会不断地“黏合”在一起,进而共同构建起功能强大的企业级物联网系统。而这种趋势带来了这样一个问题:这些系统的安全性怎么样呢?1.4.2 互联互通
物联网的互联互通已经比较成熟了,有很多通信和消息传输标准都可以被物联网系统采用。1.传输层协议
无论是TCP协议(Transmission Control Protocol,传输控制协议)还是UDP协议(User Datagram Protocol,用户数据报协议)在物联网系统中都有用武之地。举个例子,REST就是基于TCP协议的,而且MQTT协议在设计之初也是用来同TCP协议配合使用的。但是,由于需要对时延、带宽受限的网络和设备提供支持,所以也可以从TCP协议转向采用UDP协议。例如,MQTT-SN就是MQTT的定制版本,其采用UDP协议进行通信。其他如CoAP等协议也被设计为能够基于UDP协议工作。如果传输层严重依赖UDP协议,那么可以采用DTLS协议(Datagram Transport Layer Security,数据报传输层安全协议)等协议替换TLS协议(Transport Layer Security,传输层安全协议),从而确保UDP通信的安全。2.网络层协议
无论是IPv4协议还是IPv6协议,在众多物联网系统中均占有一席之地。而由于很多物联网设备运行在网络受限的环境当中,因此需要对协议栈进行定制,举个例子,物联网设备可以采用6LoWPAN协议(IPv6 over Low Power Wireless Personal Area Network,基于低功耗无线个域网的IPv6协议),进而在网络受限的环境中使用IPv6协议。而且,受各种因素所限,物联网设备无线连接到互联网的传输速率较低,而6LoWPAN协议的设计初衷也包括为数据传输速率较低的无线互联网连接提供支持,从而可以满足此类设备的需求。
除此之外,6LoWPAN也可以基于802.15.4协议实现,即LRWPAN协议(Low Rate Wireless Personal Area Network,低速无线个域网络),作用是创建适配层为IPv6协议提供支持。在适配层可以对IPv6与UDP协议首部进行压缩,还可以实现数据分片,从而为不同用途的传感器提供支持,其中就包括用于楼宇自动化与安全保障的传感器。利用6LoWPAN协议,设计者既可以采用IEEE 802.15.4协议实现链路层加密,也可以采用DTLS等协议实现传输层加密。3.数据链路层和物理层协议
低功耗蓝牙(Bluetooth Low Energy,BLE)、ZWave和ZigBee等射频(Radio Frequency,RF)协议可以用于物联网设备之间、物联网设备同网关之间的通信,然后这些设备再使用LTE或以太网等协议与云端通信。Tjensvold、Jan Magne于2007年9月18日发表的论文(《Comparison of the IEEE 802.11,802.15.1,802.15.4,and 802.15.6 wireless standards》)对802.11、802.15.1、802.15.4和802.15.6等无线通信标准进行了比较。该论文的URL链接为https://janmagnet.files.wordpress.com/2008/07/comparison-ieee-802-standards.pdf。
在能源行业中,主要采用WirelessHART标准和Insteon等电力线通信(Power Line Communication,PLC)技术进行设备间的通信。电力线通信报文直接通过已有的电力线进行路由转发,从而实现了对接电设备的控制与监控,读者可以参考链接https://www.eetimes.com/document.asp?doc_id=1279014进行了解。无论是家用场景还是行业用例,都可以采用电力线通信技术。
IEEE 802.15.4协议
相对于ZigBee、6LoWPAN、WirelessHART以及Thread等物联网通信协议,IEEE 802.15.4作为物理层和数据链路层协议其作用非常重要。IEEE 802.15.4协议的设计初衷是用来实现点对点(point-to-point)或星形拓扑网络的通信,适用于低功耗或低速网络环境。采用IEEE 802.15.4协议的设备工作频率范围为915MHz~2.4GHz,数据传输速率最高可达250kb/s,通信距离约为10m。该协议物理层可以管理射频网络访问,MAC层可以管理数据链路中数据帧的收发。4.ZWave协议
ZWave协议支持网络中3种数据帧的传输,分别是单播、多播和广播。其中,单播通信(即直接通信)需要接收方予以确认,而多播和广播均不需要确认。采用ZWave协议的网络由控制端(controller)和被控端(slave)组成。当然,实际应用中也存在变化。例如,有些用例中就同时采用了主控制端和二级控制端。其中,主控制端主要负责网络中节点的添加/移除。ZWave协议可以在908.42MHz(北美)与868.42MHz(欧洲)频率上运行,传输速度为l00kb/s,传输距离约为30m。5.低功耗蓝牙
蓝牙/智能蓝牙(Bluetooth Smart)也被称为低功耗蓝牙,是蓝牙协议的改进版本,目的是延长电池寿命。智能蓝牙默认进入休眠模式,只在需要时才被唤醒,以实现省电的目的。两种协议的工作频率均为2.4GHz。智能蓝牙采用了高速跳频技术,并且支持采用AES加密技术对通信内容进行加密。6.蜂窝移动通信
LTE通常指的是4G蜂窝移动通信技术,也是物联网设备常用的通信方式。在典型的LTE网络中,诸如智能手机(也可以是物联网设备)之类的用户设备(User Equipment,UE)内置USIM卡,通过USIM卡实现认证信息的安全存储。而利用存储在USIM卡中的认证信息,可以向运营商的鉴权中心(Authentication Center,AuC)进行身份认证。使用时,需要向USIM卡(制造时)和鉴权中心(订阅时)分发对称预共享密钥,然后使用该对称密钥生成接入安全管理实体(Access Security Management Entity,ASME)。利用ASME再生成其他密钥,用于信令和用户通信的加密。
由于5G通信具有更高的吞吐量可以支持的连接数更多,因此在未来5G通信的应用场景下,物联网系统的部署方式会更加多样。物联网设备可以同云端直接建立连接,同时还可以加入集中控制器功能,来对部分基础设施中的地理位置分散的大量传感器/执行器提供支持。未来,随着功能更加强大的蜂窝移动通信的推广应用,云端将成为传感器数据、Web服务交互以及大量企业应用接口的汇聚点。
试读结束[说明:试读内容隐藏了图片]