从物联网架构分析物联网安全风险

物联网安全风险分析

物联网( the Intemnet of Things, IoT)是近些年提出的概念，在实际应用中，可以把感应器、处理器和无线通信模块嵌入或装备到电网、铁路、桥梁、隧道、公路、建筑等各种物体中，使它们相互连接，构成物联网。它有两层意思：第一，物联网是互联网、移动通信网和传感网等网络的融合，是在互联网基础之上的延伸和扩展的一种网络；第二，其用户端延伸和扩展到了任何物品与物品之间，进行信息交换和通信。

 

 

物联网的基本框架可分为感知层、网络层和应用层三大层次。其中感知层位于物联网三层结构中的最底层，其功能为“感知”，即通过传感网络获取环境信息。感知层是物联网的核心，是信息采集的关键部分。感知层包括二维码标签和识读器、RFID标签和 写器、摄像头、GPS、传感器、M2M终端、传感器网关等，主要功能是识别物体、采集信息，与人体结构中皮肤和五官的作用类似。对我们人类而言，是使用五官和皮肤，通过视觉、味觉、嗅觉、听觉和触觉感知外部世界。而感知层就是物联网的五官和皮肤，用于识别外界物体和采集信息。感知层解决的是人类世界和物理世界的数据获取问题。

 

传输层主要包括有线和无线通信网，负责连接感知层、应用层，并为其间数据传递提供通道(电信网、互联网、卫星通信),同时也承担终端设备与用户终端之间的信息交互(蓝牙、WIFI、近场通信等)。

 

应用层位于物联网三层结构中的最顶层，其功能为“处理”，即通过云计算平台进行信息处理。应用层与最低端的感知层一起，是物联网的显著特征和核心所在，应用层可以对感知层采集数据进行计算、处理和知识挖掘，从而实现对物理世界的实时控制、精确管理和科学决策。

 

为实现对物联网全方位的安全防护，需要我们分别对这三大层次风险进行分析，以期实现对各层次的安全加固。

 

1、感知层风险分析

物联网感知层由传感器及网关组成，主要功能是实现对信息的采集、识别和控制，因此物联网感知层存在以下几个方面的安全隐患：

• 终端物理安全。由于感知终端或节点处于不安全物理环境，有可能被偷盗，非法位置移动、人为破坏以及自然环境引发的威胁，可能造成感知终端或节点的丢失、位置移动或无法工作。

• 终端自身安全。感知设备通常无法拥有完备的安全防护能力，缺乏相应的安全防护体系，这使得感知设备易遭到攻击和破坏；其次许多物联网设备由于未及时更新，或者缺乏相应的更新机制导致物联网终端设备存在的软件漏洞风险极高。

• 网络通信及结构安全。目前许多适用于通用计算设备的安全防护功能由于计算资源或系统类别的限制很难在物联网上实现，因此物联网通信机制存在较大的安全隐患。例如：许多物联网设备都是部分或全部明文传输，缺乏加密的通信机制；许多物联网都未对代码或配置项变更进行权限限制，缺乏成熟的授权或认证机制，容易发生恶意敏感操作或数据未授权访问；一些家庭内网络很少进行网络分段隔离或防火墙设置，使得物联网设备极易遭受同网段病毒感染、恶意访问或操控。

• 数据泄露风险。物联网系统泄露用户隐私数据的风险较高。主要存在云端、物联网终端设备本身两个来源的泄露风险。一方面，云端服务平台可能遭受外部攻击或内部泄密，或者由于云服务用户弱密码认证等原因，均有可能导致用户敏感数据泄露；另一方面，设备与设备之间也存在数据泄露渠道，在同一网段或相邻网段的设备可能会查看到其他设备的信息，比如屋主名字，精确的地理位置信息，甚至消费者购买的东西等。

• 恶意软件感染。一旦感知终端、节点被物理俘获或逻辑攻破，攻击者可利用简单的工具分析出终端或节点所存储的机密信息；同时，攻击者可以利用感知终端或节点的漏洞进行木马、病毒的攻击，使得终端节点被非法控制或处于不可用状态获取未授权的访问，或者实施攻击。例如引发大规模DDos攻击。除了被用于拒绝服务攻击，被这些病毒感染的物联网设备还可用于窥探他人隐私，勒索所劫持设备，或者被利用作为攻击物联网设备所连接的网络渗透入口等。

• 服务中断。可用性或连接的丢失可能会影响物联网设备的功能特性，一些情况下还可能降低安全性，例如楼宇警报系统一旦连接中断的话，将会直接影响楼宇的整体安全性。

 

2、传输层风险分析

物联网的传输层主要用于将感知层获取的信息在网络中进行传递和处理。由于物联网涉及的网络多种多样，从感知层的无线、红外线等射频网络，通过无线接入网，例如窄带物联网络、无线局域网、蜂窝移动通信网、无线自组网等，经过互联网，到达物联网应用层平台，因此物联网传输层面临的网络安全威胁更为复杂，具体有一下几方面安全隐患：

• 无线数据传输链路具有脆弱性。物联网的数据传输一般借助无线射频信号进行通信，无线网络固有的脆弱性使系统很容易受到各种形式的攻击。攻击者可以通过发射干扰信号使读写器无法接受正常电子标签内的数据，或者使基站无法正常工作，造成通信中断。另外无线传输网络容易导致信号传输过程中难以得到有效防护，容易被攻击者劫持、窃听甚至篡改。
• 传输网络易受到拒绝服务攻击。由于物联网中节点数量庞大，且以集群方式存在，攻击者可以利用控制的节点向网络发送恶意数据包，发动拒绝服务攻击，造成网络拥塞、瘫痪、服务中断。
• 非授权接入和访问网络。用户非授权接入网络，非法使用网络资源，或对网络发起攻击；用户非授权访问网络，获取网络内部数据，如用户信息、配置信息、路由信息等。
• 通信网络运营商应急管控风险。对于通信网络运营商来说传统的短信、数据、语音等通信功能管控主要依据单一设备、单一功能、单一用户进行。但物联网设备终端规模大，且不同业务的短信、数据等通信功能组合较多，若不能在网络侧通过地域、业务、用户等多维度实施通信功能批量应急管控，则无法应对海量终端被控引发的风险。

 

3、应用层风险分析

物联网应用层是整个物联网业务系统的功能核心。感知层传感器数据收集处理、处理结果向用户界面接口反馈等基本功能都由应用层实现；此外，用户分级认证、系统维护管理、可用性监控等系统运行所必须的关键任务都由应用层完成。不同行业物联网业务系统虽然业务功能、拓扑结构大相径庭，但其设计原理、架构方式彼此类似，如图所示：

 

 

感知层传感器采集的数据及用户请求通过通信网络发送到web前端层并由其处理后转发至应用程序服务器层进行业务处理，处理过程中涉及数据存储部分功能会与数据库层进行数据交互。从模型分析物联网应用层安全风险如下：

• 应用层存储大量用户数据，成为攻击焦点。物联网业务系统的各种应用数据都存储在数据库层中，由于用户数据高度集中，容易成为黑客攻击的目标，一旦遭受到攻击或入侵将导致数据泄露、系统业务功能被控制等安全问题。

• 虚拟化、容器技术提高性能同时带来安全风险。目前大多数物联网业务系统都搭建在虚拟化云平台之上以实现高效的计算及业务吞吐，但虚拟化和弹性计算技术的使用，使得用户、数据的边界模糊，带来一系列更突出的安全风险，如虚拟机逃逸、虚拟机镜像文件泄露、虚拟网络攻击、虚拟化软件漏洞等安全问题。

• 系统基础环境及组件存在漏洞，易受黑客攻击。物联网业务系统自身的漏洞，如云平台漏洞、大数据系统漏洞等都会导致系统受到非法攻击。通常物联网业务系统中会设计很多组件，如操作系统、数据库、中间件、web应用等，这些程序自身的漏洞或设计缺陷容易导致非授权访问、数据泄露、远程控制等后果。   

• 物联网业务API接口开放、应用逻辑多样，容易引入新风险。业务逻辑漏洞通常是由于设计者或开发者在设计实现业务流程时没有完全考虑到可能的异常情况，导致攻击者可以绕过或篡改业务流程。比如绕过认证环节远程对物联网设备进行控制；通过篡改用户标识实现越权访问物联网业务系统中其他用户的数据等。物联网业务系统API接口开放则可能会造成接口未授权调用，导致批量获取系统中敏感数据、消耗系统资源等风险。