IoT智能硬件安全威脅分析與應對方法

樊期光 彭華熹 齊文杰 彭 晉 何 申

(中國移動通信有限公司研究院 北京 100053)(fanqiguang@chinamobile.com)

1 IoT智能硬件安全概述

1.1 IoT智能硬件的發展

IoT智能硬件指具備通信能力、能夠實現數據發送及接收、具備信息采集或控制等功能的設備，如視頻監控、傳感器等.物聯網可通過多種接入網絡實現設備與設備、設備與應用、設備與人之間的通信.

隨著物聯網的快速發展，IoT智能硬件已廣泛應用于個人穿戴、家庭安防、交通物流、智慧金融、智能家居、環境監測等行業，IoT智能硬件無處不在且形態多樣，功能及計算能力差異大，在提供服務的過程中會生成復雜的本地和云端數據.根據Gartner的預測，2020年全球聯網設備數量將達260億[1]，物聯網市場規模超過1.9萬億美元，IDC也給出1.7萬億美元規模的預測.

1.2 IoT智能硬件安全問題

在2017年6月開始實行的《中國人民共和國網絡安全法》中明確了關鍵信息基礎設施定義：“公告通信和信息服務、能源、交通、水利、金融、公共服務等重要行業領域，以及其他一旦遭受破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施.”當前，IoT智能硬件相關技術已經滲透并深入應用到智慧城市、智慧農業、智慧糧庫、智慧能源系統、智慧海洋、智慧醫療等領域，涉及到關鍵信息基礎設施的各個方面，IoT智能硬件的安全問題已經成為關鍵信息基礎保護的重中之重.

根據統計結果顯示，70%的IoT智能硬件設備本身存在被攻擊的風險.IoT智能硬件可能會被黑客利用從事犯罪活動，包括監控現場、授權其他用戶遠程控制等.不論是黑帽大會安全專家通過簡單應用發出命令遠程控制胰島素泵，可隨意增加降低病人血糖值，還是BBC和Forbes等媒體報道家庭攝像頭被遠程控制，或者是Jeep汽車被篡改固件導致車輛失控，種種的事件顯示出當前的IoT智能硬件安全形勢不容樂觀.

根據Business Insider的調查[2]，39%的受訪者認為安全問題是阻礙物聯網投資最重要的屏障，即便如此，62%的管理人員依然計劃或正在擴大采購基于IoT智能硬件的系統,而其個人和家庭消費市場更是異常火熱，這給IoT智能硬件的安全帶來了極大的挑戰.

2 IoT智能硬件安全威脅分析

2.1 IoT智能硬件安全威脅分析模型

物聯網是一個基于感知技術，融合了各類應用的服務型網絡系統.可以利用現有各類網絡，通過自組網能力，無縫連接、融合形成物聯網，實現物與物、人與物之間的識別與感知，發揮智能作用.在業界，物聯網通常被分為3個層次：底層是感知世界的感知層；中間是數據傳輸的網絡層；最上層則是應用層.

感知層是所有數據的來源，物聯網發展的最終目標是實現萬物互聯，所以感知層的目標是全面感知和收集所需的外界信息，感知層通過從智能標簽RFID、GPS、環境傳感器、工業傳動器、攝像頭等各種各樣的IoT智能硬件中獲取原始數據，所以IoT智能硬件的安全就是整個物聯網安全的源頭.

根據目前比較普遍存在的安全風險和IoT智能硬件本身的技術架構，本文定義了IoT智能硬件的安全威脅分析模型，如圖1所示.我們將IoT智能硬件的安全問題分為4部分：硬件安全、系統安全、應用安全以及數據安全.

圖1 IoT智能硬件安全威脅分析模型

2.2 IoT智能硬件安全威脅分析

2.2.1硬件安全威脅

由于部分IoT智能硬件長期暴露在外的特性，IoT智能硬件的物理安全可能會比傳統互聯網終端受到更加嚴重的威脅.無論是城市交通、工業環境或者農業環境中所部署的IoT智能硬件等傳感器分布范圍廣、設備數量多、待機時間長，如果長時間無人值守，則這些設備很可能因為其暴露的調試接口或者芯片設計缺陷導致數據直接被黑客捕獲，從而引發大面積攻擊事件[3].對于小型家用和個人IoT智能硬件，攻擊者可以通過較為容易的方式對其進行側信道攻擊[4-5]，從而獲得更多更敏感的隱私數據.

除此之外，由于設備部署環境的原因，設備丟失或被盜是物聯網設備面臨的普遍威脅，由設備丟失或被盜引發的隱私、機密信息泄露，進而可能導致企業或個人的財務名譽受損.

2.2.2系統(固件)安全威脅

由于部分物聯網感知層設備受硬件資源限制，無法完成大量的計算任務，在使用特定硬件架構的物聯網終端上，傳統的訪問控制、沙箱、病毒查殺等系統防御技術可能無法實現，導致物聯網感知層設備的系統安全十分薄弱.文獻[6]通過分析大量嵌入式設備系統固件，發現了許多可以利用的高危系統漏洞.

除此以外，文獻[7]對比分析包括Android things，RIOT，ARM mbed，Lite OS在內等多款現有比較流行的IoT智能硬件操作系統，并指出了其主要存在的3個問題：終端系統安全設計的缺失、原有安全機制的直接沿用或沒有充分利用自身硬件架構特性.現有IoT智能硬件系統在設計之初，普遍只關注其功能要求，大多并沒有考慮對系統安全進行額外的設計，例如RIOT，其安全特性主要是針對多種通信協議作了改進[8]，即使像ARM mbed[9]在設計時將安全考慮在內，但其對于操作系統本身也并沒有采取有效的保護措施，僅僅是為了保護通信安全添加了SSL功能.啟動代碼沒有進行合法性、完整性驗證，系統和預置應用組件等漏洞未及時修補，系統權限開放過多或權限限制不嚴格等問題普遍存在.

2.2.3應用安全威脅

目前物聯網設備廠商普遍缺乏安全意識和安全能力，在終端業務應用的設計和開發過程中可能并未考慮審核安全問題，導致應用存在各種邏輯缺陷或者編碼漏洞，甚至有些廠商為了節約成本直接調用第三方組件，可能導致在設備出廠前就已經引入了公開的漏洞.隨著物聯網設備在工業等關鍵設施中的廣泛應用，其安全問題也越發嚴重，攻擊者可以通過入侵控制基礎設備的關鍵應用程序從而造成嚴重的物理破壞.

應用軟件在邏輯設計上的缺陷或錯誤，可能被不法者利用，通過植入木馬、病毒等方式來攻擊或控制整個設備，甚至破壞系統.

2.2.4數據安全威脅

如本節開始所述，IoT智能硬件是所有數據的源頭，每個終端以及終端之間的交互通常都會涉及大量個人隱私信息或者其他業務數據，當前，物聯網終端受到硬件資源限制，傳統數據安全保護機制無法引入，敏感數據缺少保護機制，同時沒有明確的數據采集、傳輸和訪問控制范圍，未經用戶允許，設備擅自采集大量的用戶隱私信息、隱私信息存儲位置不安全或者未加密、數據訪問控制權限過高等缺陷將會帶來嚴重的數據泄露風險，這些數據很有可能被攻擊者直接篡改或者加以利用.

總的來說，IoT智能硬件各層面臨的安全風險繁多，其原因包括以下幾方面：

1) 成本原因.市場競爭環境要求廠商盡可能使用低成本完成物聯網功能，因此安全性高的解決方案很可能不會被采納.

2) 技術原因.使用者缺乏安全意識或技能，公眾缺乏安全意識，導致出現設備管理或權限配置不當、主從設備使用不當、認證信息過于簡單或未修改默認配置等問題.

3) 管理原因.缺乏標準要求和指南手冊來指導和規范IoT智能硬件的設計、研發、生產、供應鏈管理、入庫、入網.

3 IoT智能硬件安全防護方案

基于上述IoT智能硬件安全威脅模型和分析，建議應從硬件、系統、應用和數據各層面引入相應的防護技術，以提升IoT智能硬件整體安全性.

3.1 硬件安全防護

IoT智能硬件的硬件安全包括調試接口安全、芯片安全以及PCB板的布線、連接器安全等.硬件安全防護能力是IoT智能硬件安全的第1道防線，特別是對物理攻擊的防范至關重要.

第一，應該增加硬件層面的主動篡改保護功能，對終端硬件模塊和物理接口進行一定程度的安全保障，如采用環氧樹脂覆蓋調試接口，當設備被打開后通過自毀電路裝置進行芯片破壞等方案防止被攻擊.

第三，核心器件應盡量選擇機密性更好的封裝方式，并將敏感的數據線或地址線封裝到PCB板內層.

3.2 系統(固件)安全防護

IoT智能硬件的系統(固件)是整個終端的核心，承載著所有功能和業務應用以及底層硬件資源調度和管理，所以其安全在一定程度上影響產品整體安全.通常大規模網絡攻擊和漏洞利用均是系統漏洞或者固件配置不合理的問題.

IoT智能硬件系統(固件)的安全應滿足以下幾點：

第一，安全的系統(固件)升級機制.系統(固件)升級非常重要，因為軟件的漏洞幾乎不可避免，所以采用及時進行漏洞修補和安全升級至關重要.

第二，系統權限限制.采用最小權限原則，保證系統(固件)對系統資源的調用等行為總是在受控的情況下.

第三，加強密鑰管理.IoT智能硬件應減少共享密鑰的使用，采用個性化的密鑰、身份和配置，避免單個產品被破解后產品整體淪陷.

隨著物聯網應用場景越來越多，通用的安全防護手段并不能完全適應所有應用場景下的IoT智能硬件，不同場景下的個性化安全需求側重點也各不相同.

智能家居場景下[10-12]，IoT智能硬件系統(固件)的首要安全任務就是隱私數據保護，因為這些數據不僅只包含與用戶身份認證直接相關的密碼、指紋以及虹膜等隱私信息，還包含了家庭水電燃氣以及家庭消防和警報數據等.智能家居終端的操作系統需要在不影響應用端使用這些隱私數據的同時防止隱私數據泄露.

智能醫療場景下,IoT智能硬件系統(固件)除了需要嚴格保護隱私數據，對設備的關鍵程序操作也需要加強實時監控，確保異常行為在實施前可以被終止，切實地保證醫療設備的安全運行.

智能汽車應用場景下，對于車輛CAN總線的防護和隔離至關重要.用戶訪問車載系統必須進行身份驗證，系統內應防止攻擊者借助安全性較低的系統程序(如車載娛樂系統、導航系統等)對CAN總線非法訪問.系統內應采用訪問控制，將系統資源和應用程序相隔離，從而保護系統關鍵文件不被非法訪問.

工業應用場景下，現階段IoT智能硬件的安全性主要依靠入侵檢測與防御系統[13]，如何提高入侵檢測的正確率是保證工業安全性的關鍵.通過關鍵設備控制命令的相關參數確定設備正常運行時的值域范圍，配合專家的意見修訂值域用來與實時通信中的控制命令參數進行比對確定入侵，從而確保異常程序行為不被執行.

3.3 應用安全防護

IoT智能硬件的應用包括設備內置應用和對應手機客戶端應用，它們承載著所有的業務功能，很多用戶的敏感數據也會存儲在相關的業務應用中，關鍵應用的安全性會影響到整體業務的安全.應用安全的防護主要分為3個階段的防護：應用設計開發階段、應用發布階段、應用運維階段.

在應用設計開發階段，應針對業務場景認真分析安全需求并應用相應的安全技術，提高開發人員的代碼安全意識，嚴格執行代碼審計，嚴格控制內置應用權限，減少程序漏洞的出現.

在應用發布階段，對開發完成的應用進行加固和代碼混淆，同時運用反編譯保護、完整性保護、數據保護等技術手段，以防止程序被反編譯和破解.

在應用運維階段，要建立應用程序風險識別能力，實時分析終端上應用程序的安全態勢以及風險分布，通過威脅情報收集，預測安全風險趨勢，做好預警工作，及時處理應用出現的各類安全事件.

3.4 數據安全防護

IoT智能硬件收集的數據涉及到企業的經濟及商業機密，一旦泄露可能會導致企業破產、人身威脅，甚至威脅到國土安全.數據安全方案建議如下：第一，保證安全的網絡傳輸，包括采用雙向多因素認證、足夠強度的加密、獨立VPN或APN、安全成熟的傳輸協議等方案；第二，采用成熟可靠的加密算法，加密存儲重要密鑰、密碼、系統配置等文件及敏感信息.

4 IoT智能硬件安全評測模型

為了加強IoT智能硬件安全的管理，針對各產品類型的IoT智能硬件安全水平進行客觀、綜合評價，進行安全評測是行之有效且必須的手段.

安全評測模型從分層模型入手，針對各層開展安全評測，主要包括硬件安全、系統安全、應用安全、數據安全4個方面，評測的關鍵點和相關技術如圖2所示:

圖2 IoT智能硬件安全評測關鍵點和相關技術

IoT智能硬件種類繁多，使用場景多樣，安全評測方法一刀切是不現實的.評測者需要首先了解相關背景，才能對評測需求有一個整體的把控，有重點、有目標地進行測試.其次，評測者應進一步了解產品的整體實現架構和方案，這樣既可以評估設計、實現方案與場景是否和需求匹配，又可以對后續詳細的測試進行總體指導.

測試完成后，是研發人員修復問題的階段.評測人員結合需求和測試結果，進行相應的復測，直到產品安全達標或需求終止.

5 總結與展望

本文分析了IoT智能硬件的安全威脅和原因，并給出了相應的安全防護建議，并在本文最后提出了安全防護分層模型，強調安全評測是保證設備安全入網的關鍵環節，建議在IoT智能硬件產品的研發過程中引入安全評測，以提前發現問題，保證物聯網IoT智能硬件安全.