25、物联网安全措施全解析

物联网安全措施全解析

1. 物联网安全概述

物联网（IoT）已经广泛应用于工业、商业、医疗和住宅等多个领域。它通过网络物理系统等前沿技术将现实世界与信息系统相连，构建出一个网络空间。然而，物联网安全面临着诸多尚未妥善解决的技术挑战。

物联网系统的安全问题主要包括 IT 安全和 OT 安全。OT 安全虽然已受到行业关注，但缺乏正式定义和系统研究。OT 安全主要涉及操作，与安全密切相关；而 IT 安全则侧重于信息。

2. 物联网系统安全保护建议

2.1 减少不必要的网络暴露

许多物联网系统并非需要一直连接网络。以电表读数为例，每天只需进行几次读数，每次读数仅需几秒。大多数时候，作为物联网终端设备的电表无需连接网络。

攻击者通常会通过扫描互联网来寻找攻击目标。如果物联网设备在网络端口被扫描时断开连接，攻击者可能会跳过该系统。

实际操作中，除了预定的抄表时间，可能还会有临时抄表的需求。因此，电表需要不时连接网络，并在短时间后断开。假设电表连接网络的时间为 t 秒，断开后等待 T 秒再进行下一次连接（T 通常远大于 t）。若发送临时抄表命令，需持续发送 T + t 秒以确保命令到达电表。例如，当 t = 5 秒，T = 55 秒时，电表连接网络的概率为 t/(T + t) = 0.083，即网络扫描发现电表的概率仅为 8.3%，而非一直连接网络时的 100%。

制定网络断开策略时，需要分析具体情况，总体原则是在网络暴露（越少越好）和网络连接（满足应用需求）之间找到合理平衡。

2.2 启用入侵容忍机制

无论采取何种安全保护措施，都应假设物联网系统存在被入侵的可能性。特别是在一些物联网设备资源有限的情况下，安全保护能力也会受到限制。一旦系统被入侵，最好的方法是尽量减少攻击者造成的损害。针对 OT 安全保护，入侵容忍机制是最有效的方法。

2.3 保持足够的系统冗余

系统冗余有助于提高系统运行的可靠性，主要包括以下几个方面：
- 设备冗余 ：在传感器数据收集过程中，少数传感器故障不应影响所收集数据的整体可用性。冗余并非简单地复制数据，而是获取不同的环境数据样本。
- 网络冗余 ：在数据传输过程中，少数连接中断不应影响网络的数据传输能力。
- 数据存储冗余 ：重要数据应进行一定程度的复制或采用类似机制存储，以便在部分数据不可用时仍能恢复原始数据。不过，这些冗余技术仍需进一步研究。

3. 物联网安全的特殊特征

与传统 IT 系统安全相比，物联网安全具有以下特点：
1. 涵盖多种信息安全服务 ：包括机密性、完整性和可用性。
2. 适用于资源受限环境 ：许多物联网设备处理能力和电池电量较低，因此安全解决方案应具备轻量级的特点。
3. 包含运营安全 ：除了传统的信息安全服务，还涉及 OT 安全，如稳定性、可靠性和入侵容忍性。
4. 双向保护 ：既要保护物联网系统免受外部攻击，也要防止物联网设备被用于攻击其他网络资源。

4. 物联网感知层的安全措施及测试方法

4.1 物理安全措施

4.1.1 防止设备被盗

许多物联网设备安装在公共场所，尤其是低成本设备。如果这些设备处理机密数据，即使采用了加密算法，被盗后在实验室中仍可能泄露加密密钥等秘密信息。成功攻击一台物联网设备可能会对其他设备及相关通信设备构成安全威胁。

保护物联网设备不被盗的方法有：
- 物理固定：将设备固定在坚固的基座上，如放入金属箱并锁好。
- 监控：对设备进行监控。
- 安全区域：将设备放置在有安全保护的特殊区域，限制未经授权人员进入。
- 隐蔽位置：将设备安装在难以到达或发现的地方，如电线杆顶部或野外。

测试方法：最实用的方法是现场人工检查。

4.1.2 防止设备克隆

攻击者对克隆物联网系统中的传感器设备兴趣不大，但对克隆 RFID 标签很感兴趣。对于没有安全保护的 RFID 标签，克隆非常容易，只需读取标签 ID 并写入空白标签即可。如果 RFID 标签用于无钥匙进入系统（如 RKE），克隆可能会导致严重的安全问题。

保护 RFID 标签不被克隆的方法有：
- 个性化通信协议：使用 RFID 标签与读取器之间的个性化通信协议。
- 数据加密：对 RFID 标签与读取器之间传输的数据进行加密。

第一种方法的安全保护有限，因为了解特定通信协议就可能克隆标签；第二种方法安全性更高，但实施成本高，尚未广泛应用。从长远来看，第二种方法在大规模 RFID 标签保护方面具有明显优势。

测试方法：首先检查保护措施在原理上是否合适，然后尝试使用设备进行克隆，看是否成功。克隆测试属于攻击模拟测试，应包括传统方法和新方法。

4.1.3 防止 DoS 攻击

DoS（拒绝服务）攻击是传统信息系统中常见的攻击方式，目的是使目标系统无法提供正常服务。传统的 DoS 攻击是耗尽目标服务器的资源（如 CPU、内存或网络带宽），这种策略也适用于物联网设备。

此外，针对物联网设备的 DoS 攻击还可以通过持续发送查询、连接请求或应用数据来消耗设备能量，最终耗尽电池电量。即使消息被验证为非法，接收和处理消息的过程也会消耗能量。这种攻击可能持续较长时间，且可以分阶段进行，不影响能量消耗的效果。

传统信息系统防范 DoS 攻击的方法是检查可疑进程并终止它们，但这可能会误阻止一些正常连接。而物联网设备可能无法检查执行进程，一种有效的减少 DoS 攻击影响的方法是使用睡眠/休眠机制。当物联网设备在一段时间内没有收到授权消息时，进入睡眠状态，此时设备对 DoS 攻击具有免疫力。

测试方法：有效的测试方法是攻击模拟测试，攻击模拟方式可能会随时间变化，因此保护方法应能够应对不同的 DoS 攻击。

4.1.4 重要设备备份

物联网设备不仅包括小型设备，还包括普通 PC 甚至工作站。在工业物联网（IIoT）中，控制多个 PLC 或其他控制设备的主控制站被视为重要的物联网设备，许多应用中需要为这些重要设备提供备份。备份不仅是替换物理机器，还包括适当的配置、软件更新和必要的更新数据。

测试方法：检查备份机器是否存在，并测试其在主设备关闭时能否正常替代工作，可通过现场人工检查进行测试。

4.1.5 关键设备热备用

热备用是指在系统中存在一个冗余设备，与主设备同时运行。当主设备出现故障时，热备用设备立即接管其功能。在一些工业控制系统和 IIoT 中，对于重要设备如主控制站或监狱监控系统，热备用是必要的。

测试方法：通过现场人工检查，将主设备系统切换到备用设备，检查系统是否正常运行。

4.1.6 设备身份唯一性

即使在一个应用环境中物联网设备的身份是唯一的，但在不同应用中出现相同身份且无线信号相互干扰时，仍可能发生身份冲突。为避免这种情况，可以采取以下措施：
- 全球唯一身份：定义确保全球唯一的身份。
- 复合身份：先定义网络身份以避免冲突，然后确保每个应用内部网络中身份的唯一性，并将设备身份与特定应用内的网络身份相结合。

在实际应用中，全球唯一身份可能不太方便且并非必要。如果网络身份冲突的可能性很小，复合身份定义方法是可以接受的。

测试方法：检查物联网设备是否具有全球唯一身份，或者检查应用系统内身份的唯一性以及不同应用系统发生身份冲突的概率。这是一种粗粒度的测试，在实际测试前需要明确可接受的概率水平。

以下是物联网感知层物理安全措施的总结表格：
|安全措施|具体内容|测试方法|
| ---- | ---- | ---- |
|防止设备被盗|物理固定、监控、放置在安全区域或隐蔽位置|现场人工检查|
|防止设备克隆|使用个性化通信协议或数据加密|攻击模拟测试|
|防止 DoS 攻击|使用睡眠/休眠机制|攻击模拟测试|
|重要设备备份|提供适当配置和更新数据的备份机器|现场人工检查|
|关键设备热备用|冗余设备与主设备同时运行，故障时接管功能|现场人工检查|
|设备身份唯一性|定义全球唯一身份或复合身份|检查身份唯一性和冲突概率|

下面是物联网感知层安全措施的 mermaid 流程图：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A(物联网感知层安全措施):::process --> B(物理安全措施):::process
    A --> C(执行环境安全措施):::process
    A --> D(网络安全措施):::process
    A --> E(数据安全措施):::process
    A --> F(密钥管理安全措施):::process
    A --> G(可用性相关安全措施):::process
    B --> B1(防止设备被盗):::process
    B --> B2(防止设备克隆):::process
    B --> B3(防止 DoS 攻击):::process
    B --> B4(重要设备备份):::process
    B --> B5(关键设备热备用):::process
    B --> B6(设备身份唯一性):::process

5. 物联网感知层其他安全措施及测试方法

5.1 执行环境安全措施

执行环境安全涵盖操作安全和软件安全等方面。操作安全要确保物联网设备按预定规则和流程运行，避免因操作失误或异常导致系统故障或数据泄露。软件安全则需保证物联网设备上运行的软件无漏洞、无恶意代码，防止软件被篡改或利用。

测试执行环境安全时，可采用以下方法：
- 代码审查 ：人工检查软件代码，查找潜在的安全漏洞，如缓冲区溢出、SQL 注入等。
- 漏洞扫描 ：使用专业的漏洞扫描工具，对软件进行自动化扫描，检测已知的安全漏洞。
- 模拟攻击测试 ：模拟各种可能的攻击场景，测试软件在攻击下的稳定性和安全性。

5.2 网络安全措施

网络安全是物联网安全的重要组成部分，主要包括以下方面：
- 访问控制 ：限制对物联网设备和网络的访问，只允许授权的用户和设备进行连接。可采用认证和授权机制，如用户名和密码认证、数字证书认证等。
- 加密通信 ：对物联网设备之间的通信数据进行加密，防止数据在传输过程中被窃取或篡改。常用的加密算法有 AES、RSA 等。
- 防火墙 ：在物联网网络边界设置防火墙，阻止未经授权的网络访问，过滤恶意流量。

网络安全措施的测试方法如下：
- 渗透测试 ：模拟黑客攻击，尝试突破物联网网络的安全防线，检测网络的安全性。
- 流量分析 ：分析网络流量，检测异常流量模式，如 DDoS 攻击、恶意软件传播等。
- 配置检查 ：检查网络设备的配置，确保配置符合安全要求，避免因配置错误导致安全漏洞。

5.3 数据安全措施

数据安全涉及数据的机密性、完整性和可用性。为保障数据安全，可采取以下措施：
- 数据加密 ：对存储在物联网设备和服务器中的数据进行加密，防止数据在存储过程中被窃取。
- 数据备份 ：定期对重要数据进行备份，确保在数据丢失或损坏时能够恢复。
- 数据访问控制 ：限制对数据的访问权限，只允许授权的用户和应用程序访问数据。

数据安全措施的测试方法有：
- 数据完整性检查 ：检查数据在存储和传输过程中是否被篡改，可通过计算数据的哈希值进行验证。
- 数据恢复测试 ：定期进行数据恢复测试，确保备份数据能够正常恢复。
- 访问控制测试 ：测试数据访问控制机制的有效性，检查是否存在越权访问的情况。

5.4 密钥管理安全措施

密钥管理是物联网安全的关键环节，直接关系到数据加密和认证的安全性。密钥管理安全措施包括：
- 密钥生成 ：使用安全的随机数生成器生成密钥，确保密钥的随机性和不可预测性。
- 密钥存储 ：将密钥安全地存储在加密的存储设备中，防止密钥泄露。
- 密钥分发 ：采用安全的密钥分发协议，将密钥安全地分发给需要的设备和用户。
- 密钥更新 ：定期更新密钥，降低密钥被破解的风险。

密钥管理安全措施的测试方法如下：
- 密钥强度测试 ：测试密钥的强度，确保密钥符合安全要求。
- 密钥存储安全性测试 ：检查密钥存储设备的安全性，防止密钥被非法访问。
- 密钥分发和更新测试 ：测试密钥分发和更新协议的有效性，确保密钥能够安全地分发和更新。

5.5 可用性相关安全措施

可用性是物联网系统正常运行的重要保障，可用性相关安全措施包括：
- 冗余设计 ：采用冗余设备和系统，确保在部分设备或系统出现故障时，整个系统仍能正常运行。
- 负载均衡 ：通过负载均衡技术，将流量均匀分配到多个设备和服务器上，避免单个设备或服务器过载。
- 故障恢复 ：建立快速的故障恢复机制，在设备或系统出现故障时能够迅速恢复正常运行。

可用性相关安全措施的测试方法有：
- 故障模拟测试 ：模拟设备或系统故障，测试系统的故障恢复能力。
- 负载测试 ：对系统进行负载测试，评估系统在高负载情况下的性能和可用性。
- 冗余系统测试 ：测试冗余设备和系统的有效性，确保在主设备或系统故障时能够正常切换。

以下是物联网感知层其他安全措施及测试方法的总结表格：
|安全措施|具体内容|测试方法|
| ---- | ---- | ---- |
|执行环境安全|操作安全和软件安全，采用代码审查、漏洞扫描等保障|代码审查、漏洞扫描、模拟攻击测试|
|网络安全|访问控制、加密通信、防火墙等|渗透测试、流量分析、配置检查|
|数据安全|数据加密、备份、访问控制|数据完整性检查、数据恢复测试、访问控制测试|
|密钥管理安全|密钥生成、存储、分发和更新|密钥强度测试、密钥存储安全性测试、密钥分发和更新测试|
|可用性相关安全|冗余设计、负载均衡、故障恢复|故障模拟测试、负载测试、冗余系统测试|

下面是物联网感知层安全措施整体的 mermaid 流程图：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A(物联网感知层安全措施):::process --> B(物理安全措施):::process
    A --> C(执行环境安全措施):::process
    A --> D(网络安全措施):::process
    A --> E(数据安全措施):::process
    A --> F(密钥管理安全措施):::process
    A --> G(可用性相关安全措施):::process
    B --> B1(防止设备被盗):::process
    B --> B2(防止设备克隆):::process
    B --> B3(防止 DoS 攻击):::process
    B --> B4(重要设备备份):::process
    B --> B5(关键设备热备用):::process
    B --> B6(设备身份唯一性):::process
    C --> C1(代码审查):::process
    C --> C2(漏洞扫描):::process
    C --> C3(模拟攻击测试):::process
    D --> D1(渗透测试):::process
    D --> D2(流量分析):::process
    D --> D3(配置检查):::process
    E --> E1(数据完整性检查):::process
    E --> E2(数据恢复测试):::process
    E --> E3(访问控制测试):::process
    F --> F1(密钥强度测试):::process
    F --> F2(密钥存储安全性测试):::process
    F --> F3(密钥分发和更新测试):::process
    G --> G1(故障模拟测试):::process
    G --> G2(负载测试):::process
    G --> G3(冗余系统测试):::process

综上所述，物联网安全是一个复杂的系统工程，需要从多个方面采取综合的安全措施，并进行有效的测试和评估。只有这样，才能确保物联网系统的安全稳定运行，为用户提供可靠的服务。在实际应用中，应根据物联网系统的具体需求和特点，选择合适的安全措施，并不断优化和改进安全策略，以应对不断变化的安全威胁。