頂象全場景IoT安全方案解決物聯網兩大難題

12月22日，第一屆“物聯網安全沙龍”在杭州召開。來自浙江省物聯網產業協會、中國移動、頂象技術、瑩石網絡、鴻泉數字等機構和企業的專家、學者等近百人就物聯網安全現狀及物聯網安全案例進行了探討。會上，頂象技術展示了全場景IoT安全解決方案。

物聯網威脅層出不窮

2016年10月，半個北美洲的網站服務斷線，而黑客發動攻擊的“僵尸網絡”攻擊的大部分是防護薄弱的網絡攝像頭。國內同樣也發生了類似威脅。2017年上半年，北京、浙江多地爆出家用攝像頭風險，導致攝像頭成為黑客遠程監控家庭的設備。物聯網安全受到威脅，損失的可能不僅僅是公民信息資料，更有可能傷害到生命健康或者生產設備。浙江省物聯網產業協會秘書長紀衛平表示：“隨著全聯接時代的到來，物聯網已經廣泛應用在各行各業，也產生了諸多新的問題和安全威脅，因此建設完善可信的物聯網安全生態系統對物聯網企業和用戶都是十分必要的舉措。”頂象技術CEO陳樹華表示：“物聯網任何一個環節出問題都會造成大面積的影響，可以說物聯網的威脅會超出大家的想象”。

2014年，GeekPwn上，安全人員第一次破解了特斯拉汽車的系統。此后，特斯拉成為很多安全研究人員的挖掘漏洞、入侵破解的重要對象。特斯拉是純電動汽車并且有網絡連接，可以通過網絡對汽車進行控制，而且特斯拉本身也非常依賴電子控制系統。2016年1月，IBM安全專家遠程遙控兩公里內的無人機起飛降落，攻擊者只需要多掌握一點無線電通信的基礎知識就能夠完成劫持操作。2016年10月，黑客操控150萬個智能設備組成的僵尸網絡爆發，導致半個北美洲的網站服務斷線。2016年12月，澳大利亞的一位安全專家利用日產電動車的車載應用軟件存在的漏洞，實現遠程對汽車下達開車、剎車、調節座椅、調節溫度等指令。2017年6月，央視報道，大量家庭攝像頭遭入侵，有人攻破攝像頭的IP地址，并將拍攝到的“實時影像”出售給偷窺者。2017年11月，阿里巴巴安全研究人員做了遠程劫持無人機的演示，一個專業人員無需軟件漏洞就能Root（獲得管理員權限）無人機。

2017年11月，媒體爆出，韓國某品牌的智能掃地機器人存在安全漏洞，黑客可以遠程操控其在用戶家中自由行動，從而變成監控家庭人員和行動的監視器。2017年11月，大疆無人機爆出管理漏洞，攻擊者可以從GitHub獲得大疆管理員密碼，從而可以任意下載用戶信息、飛行日志等私密信息等。

頂象全景式IoT安全解決方案

如何實現物聯網產品的便利性和安全性是每個物聯網企業和用戶所關心的。在首屆“物聯網安全沙龍”現場，頂象技術展示了全場景IoT安全解決方案。該方案在端服務器、移動端和設備端進行防護，通過固件一機一密、數據一機一密、業務風險防控的三重組合提供了全場景的物聯網安全保障。

虛機源碼保護保障設備固件安全。在設備固件端部署頂象IoT安全編譯器，將源碼編譯生成虛擬加密指令，而且每臺設備均不相同。首先，使用頂象獨創的虛擬CPU直接運行加密的指令，由于完全不同于常見的x86或ARM指令，從而杜絕了逆向工具破解的可能。其次，在原始代碼塊中則隨機插入垃圾指令或隨機插入新的代碼塊，制造虛假的程序控制流，混淆入侵者的選擇。

另外，在保證不改變源代碼功能的前提下，將源代碼中的條件（IF）、循環（WHILE/FOR/ DO）等控制語句轉化為調度器統一調用，從而隱藏原始執行流程。頂象IoT安全編譯器兼容各種處理器和操作系統，能夠無縫集成GCC/CLANG/KEIL/IAR等主流IoT開發平臺，不改變任何現有開發流程。

安全SDK保障物聯網數據安全。在移動端和服務器端部署頂象安全SDK，保障數據和傳輸的安全。首先，設備固件中不再內置統一密鑰，而是通過身份認證后從KeyCenter獲取。其次，加密數據與設備綁定，實現一機一密的超高安全性，無法脫機解密。再有，密鑰加解密過程運行于安全環境中，因此外界無法逆向破解算法邏輯。最后，結合設備認證的數據鏈路保護，保證數據傳輸的保密、不可篡改。

頂象安全SDK的數據加密支持普通AES、白盒AES、SHA1哈希、SHA256哈希、PC4、XXTEA、MD5哈希、國密SM3、國密SM4等算法的加密、解密、加簽、驗簽等國內外主流加密算法。

IoT業務風險防控及時發現攻擊者。在服務器端部署頂象IoT業務風險防控技術，及時發現非法訪問和攻擊。頂象IoT業務風險防控能夠有效識別設備上報的非正常數據和App發起的惡意指令，拒絕攻擊者對服務器端數據的扒取，從而有效防護對業務系統的訪問。

陳樹華表示：“物聯網具有設備多樣性、操作系統多樣性、業務形態多性等特點，而且產生了巨量的數據，頂象全場景IoT安全解決方案良好解決了物聯網威脅多樣性和大數據安全的兩大難題”。

萬億級物聯網市場亟待護航

統計顯示，全球物聯網連接設備數量在2015年約為100億臺，預計2020年將達300億臺。

麥肯錫全球研究院最新預測，到2025年物聯網的經濟影響價值將達3.9萬億美元至11.1萬億美元。而埃森哲聯合Frontier Economics，預估了物聯網對中國12個產業的累計GDP影響：未來15年，僅在制造業，物聯網就可創造1960億美元的累計GDP增長，進一步擴大物聯網的影響，物聯網創造的經濟價值將從1960億美元躍升至7360億美元，增加276%。

關于頂象技術

頂象技術是互聯網業務安全的專家，致力于打造零風險的數字世界，成立于2017年4月，紅杉資本中國基金成員企業。頂象技術擁有領先的風控技術和智能終端安全技術，其首創的“共享安全”理念已成為新一代安全產品的標準架構。

通過全景式業務安全風控體系、無感驗證、虛機源碼保護、安全SDK等方案和產品，賦予電商、金融、IoT、航空、游戲、社交等企業提供BAT級的業務安全能力，讓平臺和用戶免受“薅羊毛”、交易欺詐、賬號盜用、內容被竊取、系統和App遭破解等風險威脅。

截至目前，頂象技術累計攔截惡意請求和攻擊過億次，監測到風險設備超百萬，有效識別95%以上的威脅，為餓了么、Momenta、億聯位置、泰隆銀行、千尋位置、迅蟻網絡等近千家企業和網絡平臺提供業務安全保障。endprint