必须要了解的物联网安全知识

简介: 物联网的本质,是从端到云的数据交互及计算过程。根据这个特点,可以将物联网划分为3个层次:云、网络和设备,也就形成了物联网的攻击面。

物联网安全概述

物联网的本质,是从端到云的数据交互及计算过程。根据这个特点,可以将物联网划分为3个层次:云、网络和设备,也就形成了物联网的攻击面。

其中,云层包括云端提供的服务,例如物联网平台、日志等等;

网络层代表云和设备、设备与设备之间的传输过程;

设备层包括了IoT设备、网关设备及其上的系统和应用。
image.png
对黑客而言,以上三个层次都具有攻击的价值。在IoT架构中,我们可以把安全威胁归类为以下几种:

身份伪装
通过获取的认证信息,将恶意的设备、服务伪装成合法设备和服务。

拒绝服务
使服务、设备或网络传输过程瘫痪。

数据篡改
对系统、应用和数据进行篡改。

信息窃取
窃取隐私信息。

越权
强迫应用进行超过其权限范围的行为。

结合安全威胁类型和IoT系统架构,总结出了如下的威胁模型:
image.png
在IoT架构的不同层次上,均有与设备端OS相关的安全威胁存在;而IoT设备资源受限、物理暴露等特性,直接导致了设备端安全能力的不足。接下来,结合具体场景,对与设备端OS相关的安全风险逐一进行分析。

安全风险分析与防范手段

S1:身份伪装

阿里云已经为IoT设备提供方便的上云方式。对于设备认证,阿里云目前提供了设备证书、LinkID2等认证方案。对于开发者来说,最常用的方式是通过设备认证信息认证:开发者从云端服务获取设备认证信息,并将其烧写到设备上。当设备连接云端时,阿里云会根据设备认证信息对设备进行认证。在这种场景下,如果能够通过漏洞或物理接触窃取到设备认证信息,黑客就能够将其他设备伪装成用户的设备,从而向用户发送伪造数据。

防范手段

通过加密保护设备认证信息。
在具备SE的情况下,利用SE对加密密钥进行保护。
在不具备SE的情况下,利用keychain对加密密钥进行保护。

N2:数据篡改 & N3:信息窃取:

对于设备之间、设备端与云端之间的不安全通信,黑客可以发起中间人攻击,截获数据包并提取隐私数据,或者对数据包中的数据进行篡改和继续转发。

防范手段:

为传输过程进行TLS加密保护。

D1:身份伪装

通过DNS欺骗,黑客可以直接伪装云端服务。如果设备端应用未进行双向验证,黑客可以伪装云端服务与设备进行数据交互、操纵设备;在设备间通信时,如果设备上开启了被动连接服务,黑客可以利用窃取的认证信息伪造合法设备与目标设备交互。

防范手段:

提供认证服务端的能力,例如提供CA证书。
通过ID2支持双向认证。
禁用设备上的被动连接服务,设备之间通过云端通信。

D2:数据篡改

与服务器不同的是,IoT设备常常会处于“暴露”的状态。这意味着在设备端,黑客不仅能够利用应用和内核中的漏洞对设备上的系统、应用和文件进行篡改,还能通过物理接触的方式篡改设备上的内容。物联网产品从出厂后到投入使用的整个生命周期中,会接触到许多不同的角色,任何一个环节都可能出现威胁。

防范手段-针对利用漏洞的情况:

利用KSPP降低内核漏洞的威胁。
注:KSPP(Kernel Self-Protection Project)是为了让 Linux 内核本身具有对漏洞利用的防御能力,主要工作是参考 PaX/Grsecurity 的实现来移植或者重新实现类似的功能然后推进到 Linux 内核主线。
通过安全扫描保证设备端应用的安全性,并通过OTA支持漏洞补丁。
利用沙箱机制限制应用漏洞的能力。
提供只读rootfs。
通过安全启动 + IMA的整体方案防止篡改。
提供TEE保护隐私信息。
防范手段-针对物理接触的情况:

根据场景提供不同粒度的加密方案。
利用SE或keychain提供加密可信基。
通过安全启动 + IMA的整体方案防止篡改。

D3:信息窃取

设备上不仅会保存了隐私数据,还有应用的可执行文件。通过漏洞或物理接触,黑客可以直接获取用户隐私(例如摄像头数据、密钥等),还能获得应用的二进制文件以进行逆向分析。

防范手段-针对利用漏洞的情况:

利用沙箱限制应用漏洞的能力。
利用KSPP降低内核漏洞的威胁。
通过安全扫描保证设备端应用的安全性,并通过OTA支持漏洞补丁。
提供TEE保护隐私信息。
防范手段-针对物理接触的情况:

根据场景提供不同粒度的加密方案。
利用SE或keychain提供加密可信基。
提供代码混淆能力。

D4:越权

当黑客利用漏洞攻破设备上的某个应用时,他可能会迫使应用进行默认权限之上的行为:例如关闭系统、访问其他应用的数据、大量占用系统资源。黑客可以通过越权直接进行攻击,或者为其他攻击方式提供条件。

防范手段:

通过安全扫描保证设备端应用的安全性,并通过OTA支持漏洞补丁。
利用沙箱限制应用漏洞的能力。

相关实践学习
钉钉群中如何接收IoT温控器数据告警通知
本实验主要介绍如何将温控器设备以MQTT协议接入IoT物联网平台,通过云产品流转到函数计算FC,调用钉钉群机器人API,实时推送温湿度消息到钉钉群。
阿里云AIoT物联网开发实战
本课程将由物联网专家带你熟悉阿里云AIoT物联网领域全套云产品,7天轻松搭建基于Arduino的端到端物联网场景应用。 开始学习前,请先开通下方两个云产品,让学习更流畅: IoT物联网平台:https://iot.console.aliyun.com/ LinkWAN物联网络管理平台:https://linkwan.console.aliyun.com/service-open
相关文章
|
1月前
|
安全 物联网 物联网安全
揭秘区块链技术在物联网(IoT)安全中的革新应用
揭秘区块链技术在物联网(IoT)安全中的革新应用
|
1月前
|
安全 物联网 网络安全
智能设备的安全隐患:物联网(IoT)安全指南
智能设备的安全隐患:物联网(IoT)安全指南
104 12
|
1月前
|
安全 物联网 物联网安全
智能物联网安全:物联网设备的防护策略与最佳实践
【10月更文挑战第26天】随着物联网(IoT)技术的快速发展,智能设备已广泛应用于智能家居、工业控制和智慧城市等领域。然而,设备数量的激增也带来了严重的安全问题,如黑客攻击、数据泄露和恶意控制,对个人隐私、企业运营和国家安全构成威胁。因此,加强物联网设备的安全防护至关重要。
102 7
|
1月前
|
监控 安全 物联网安全
物联网安全与隐私保护技术
物联网安全与隐私保护技术
74 0
|
1月前
|
安全 物联网 物联网安全
智能物联网安全:物联网设备的防护策略与最佳实践
【10月更文挑战第27天】随着物联网技术的快速发展,智能设备已广泛应用于生活和工业领域。然而,物联网设备的安全问题日益凸显,主要威胁包括中间人攻击、DDoS攻击和恶意软件植入。本文探讨了物联网设备的安全防护策略和最佳实践,包括设备认证和加密、定期更新、网络隔离以及安全标准的制定与实施,旨在确保设备安全和数据保护。
77 0
|
2月前
|
安全 物联网 物联网安全
探索未来网络:物联网安全的最佳实践
随着物联网设备的普及,我们的世界变得越来越互联。然而,这也带来了新的安全挑战。本文将探讨在设计、实施和维护物联网系统时,如何遵循一些最佳实践来确保其安全性。通过深入分析各种案例和策略,我们将揭示如何保护物联网设备免受潜在威胁,同时保持其高效运行。
76 5
|
3月前
|
机器学习/深度学习 安全 物联网安全
探索未来网络:物联网安全的最佳实践与创新策略
本文旨在深入探讨物联网(IoT)的安全性问题,分析其面临的主要威胁与挑战,并提出一系列创新性的解决策略。通过技术解析、案例研究与前瞻展望,本文不仅揭示了物联网安全的复杂性,还展示了如何通过综合手段提升设备、数据及网络的安全性。我们强调了跨学科合作的重要性,以及在快速发展的技术环境中保持敏捷与适应性的必要性,为业界和研究者提供了宝贵的参考与启示。
|
3月前
|
存储 安全 物联网
探索未来网络:物联网安全的挑战与对策
本文深入探讨了物联网(IoT)技术的基本概念、发展现状以及面临的主要安全挑战,并提出了相应的解决策略。通过对当前物联网设备的安全漏洞和攻击手段的分析,文章强调了加强设备认证、数据加密和隐私保护等措施的重要性。同时,呼吁业界共同努力,制定统一的安全标准和规范,以促进物联网技术的健康发展。
|
2月前
|
存储 安全 物联网
|
3月前
|
存储 安全 物联网
智能家居安全:物联网设备的风险与防护
在智能家居的浪潮中,物联网技术让生活更加便捷。然而,随之而来的安全问题也不容忽视。本文将揭示智能家居设备可能面临的安全风险,并提供实用的防护措施,帮助用户构建一个更安全的智能生活环境。

热门文章

最新文章

相关产品

  • 物联网平台