我的位置 首页  >  新闻动态  >  国内新闻

10万终端被入侵,损失惨重!解读物联网安全防御的核心与应对

来源:科技成果转化中心时间:2019-05-21
      

一、10万终端被入侵,损失惨重

自北青QNEWS报道:5月17日,湖北省公安厅网络安全保卫总队通报了“武汉网警破获湖北省首例入侵物联网系统案”,案件中一物联网科技公司10万台设备一夜之间脱网掉线,无法正常运行,造成严重经济损失来。

经审查核实,该公司离职员工通过破解了该公司的物联网服务器,利用系统的漏洞将终端设备进行恶意升级,从而导致100余台设备系统损坏,无法正常工作,同时离职人员还模拟了终端设备,远程给该公司服务器发送伪造离线报文,导致10万台设备离线。目前公安机关已经对该公司离职员工进行拘留,进行下一步审查。

目前,我国物联网安全防御严重缺失。相比互联网技术,物联网技术应用刚刚开始,很多厂家忽视了对产品的安全防御,将精力投入到市场的推广中,殊不知,当设备铺设越来越多的时候,安全风险也将变得越来越大。本案例中,造成安全漏洞的主要问题有两个:

其一,从服务器端来讲,物联网服务器本身缺乏安全防御措施,老王估计该服务器没有严格的授权管理,所以,离职员工可以有机可乘,植入相关木马程序,对物联网终端实施恶意的升级工作。

其二,从终端设备来讲,物联网终端缺失接入认证机制,导致离职员工可以模拟物联网终端,并向物联网服务器发起攻击。

本案的发生,再一次提醒物联网设备厂家:物联网安全防御是极其重要的事情,设备厂家不能仅考虑产品的应用推广,设备的安全绝不能轻视。该公司设备应用涉及全国十余个省、100多个市的100余台物联网终端设备出现故障,自助充电桩、自助洗衣机、自助吹风机、按摩椅、摇摇车、抓娃娃机等10万台设备一夜之间脱网,无法正常运行,造成严重经济损失。


二、物联网安全防御的核心

那么,当我们面对一套物联网系统的时候,安全防御要首先应该考虑的问题是什么?物联网安全防御的核心是什么呢?

物联网是物物连接的网络,就像互联网一样,在一个庞大的各种设备连接的网络中,如何知道每一个设备是真实存在的,这是最基础的,也是最重要的。如果业务应用都不能够分辨物联网设备的真假,那这个业务也无从谈起。就像上面的案例中,黑客可以模拟一个设备给服务器发信息,显然在它的物联网中,终端的真实性无从分辨。

其次,如果业务应用可以分辨出物联网终端的真假了,那还需要考虑的问题就是设备之间的通讯数据不被他人非法修改或者偷走。这些数据的真实性才是物联网业务应用的价值所在,如果被偷走或者修改了,那物联网业务应用的价值就没有了。所以,必须要保证物联网中设备通讯数据安全,这一点类似我们互联网的数据链路加密。

物联网的数据中,还有一种重要的数据,那就是控制指令。互联网中链路加密是在网络层的,所以无论是数据,图片还是指令,在网络层都会被加密传输,但这样的方式对于物联网来讲,由于业务控制指令要对应用进行远程控制,所以一旦发生非法抓包后的重放攻击事件,安全风险是无法想象的。所以,在物联网中,控制指令必须在应用层单独处理,实施安全加固,这样,才可以保证指令的安全。一方面,避免重放攻击,另一方面,即使非法抓包后,也可以让这条被非法抓取的指令失效,从而保证了物联网业务控制指令的安全。

综上所述,物联网要实施安全防御,最基本需要实现的就是物联网接入认证、数据加密传输、控制指令加固这三大功能。而实现这个基础的核心就是建立一套满足物联网应用要求的,安全可靠的安全体系。


、物联网安全防御体系的选择

对于物联网安全防御来讲,首先要考虑的是:如何选择一套满足物联网应用的、安全可靠的安全体系。

我们先来看一些物联网的最基本的共性特点:

1、终端设备多,甚至海量计算,且分布区域广

2、端设备低功耗,性能不高

3、窄带通讯

针对这样的特点,对于一套安全体系来讲,就必须满足:

1、可以有海量密钥,且分发方便,简单

2、安全认证运算效率高,功耗低

4、传输数据小,满足点对点交叉认证

针对安全认证技术,在密码学公钥体制中,主要存在两大体制,一种是目前已经成熟的 PKI(即:Public Key Infrastructure) 体系,也就是我们常说的证书体系。经过10多年的发展,PKI证书认证体系为基于人类行为的网络应用起到了非常好的安全保障,而且已经被应用到各类互联网电子业务应用中。但是PKI证书体系是中心化体制,每次认证对中心的压力非常大,同时认证时对带宽、功耗的要求较高,所以并不适用海量物联网终端的认证。而另一种以物联网标识为基础的标识公钥体系正走入物联网,满足物联网安全防御的应用。

标识体系与PKI体系这两种公钥体制的核心技术是一致的,都是数字签名与密钥交换(协商),所达到的目标也基本一致。但相比PKI体系而言,标识体系不需要使用第三方证书,而是通过物联网标识作为公钥来完成对物联网设备的身份授权和认证,相比 PKI体系而言,在物联网应用中,标识体系密钥的管理更简单,高效,实现物联网安全防御更加灵活、方便。

华北电力大学物联网专业学科带头人魏振华教授带领自己的物联网安全团队,在成熟、完备的标识公钥体制基础上,提出了一套自主的标识公钥体制安全技术:IPK(即:Identity Public Key)。IPK安全技术可实现应用去中心化、点对点认证。IPK运算效率高,低功耗,完全满足边缘计算要求。针对物联网终端节点多、低功耗、窄带传输等特点,可实现对物联网终端的数字签名与认证,保障物联网应用的安全。华电魏振华物联网安全团队的IPK安全技术已经广泛应用于能源物联网、智能无人机、智能汽车、工业物联网领域,并受到行业应用的好评。


、物联网安全防御离不开国有自主、国有算法的支撑

物联网是今后科技发展、经济稳定的基础。各种各样的大数据通过物联网终端收集上来,为国家的各行各业提供大数据支撑,所以如何保护物联网的安全,让物联网能够真正为我们所用就显得非常重要。

目前,国际局势风云变幻,中美经济对抗也是暗流涌动。在互联网通讯、芯片等核心技术中,我们一直在受到国外产品的制约,尤其在安全防御的密码算法方面,如果采用国外的算法,很多数据都将存在泄露隐患。所以,在物联网新技术发展的过程中,我们必须要有国有安全的概念,尽量采用国产硬件和软件产品,在物联网的安全防御上,一定要采用国有密码算法,这样才可以真正去除安全隐患,保障网络安全。

2019年,我国颁布了多项安全法律、法规,同时也将国家密码法列入2019年政府工作计划,足见我国对安全的重视。INSComment引石安评作为国密密码的推广者,也呼吁每一个物联网应用或设备的厂家,要在产品设计初期就将产品的安全防御考虑进去,未雨绸缪,将物联网安全做成自己产品或设备的基础生命线!




文章来源:引石安评INSComment


       (科技成果转化中心供稿)