物联网安保钻研现状

背 景

物联网架构基于三层系统,该系统由感知/配件层、网络/通讯层和接口/服务层组成。组成物联网系统的要素包括配件/设备、通讯/信息协定和接口/服务[1]。因此,物联网安保缓解的实施应包括一切物联网层的安保架构,如图1所示。

图1:典型的物联网安保架构

配件,如传感器和制动器,形成物联网中最关键的元件。在配件层经常使用的典型微处置器通常基于ARM、MIPS或X86架构。理想的状况下,开发人员还应该添加安保配件,其中或者包括明码处置器或安保芯片。

关于配件操作系统,物联网设备通经常常使用实时操作系统(RTOS),该系统包括微内核、配件形象层、通讯驱动程序、进程隔离、安保疏导和运行沙盒等性能。关于运行软件层,有自定义运行程序、加密协定以落第三方库和驱动程序。

配件选用关于物联网设备的安保至关关键。关于物联网配件的关注点包括身份验证才干、端到端流量加密、安保疏导加载环节、固件降级时期数字签名的强迫口头以及透明买卖。

物联网系统的下一个关键组成局部包括通讯和信息协定。智能对象网络可以经过网关,经过亚马逊Kinesis等云服务间接与云通讯。但是,物联网的关键概念是成功无线传感器网络(WSN)作为物联网中的关键通讯技术。WSN具备轻量级协定,用于设备之间以及边缘网关之间的通讯。此外,WSN支持灵活通讯,通常基于802.15.4规范。在IEEE协定中,802.15.4实用于低速率WPAN,适宜物联网系统的要求。该协定的一些好处是它的可扩展性,以及它可以自我保养、耗电少、操作老本低的理想。但是,也可以选用蓝牙、ZigBee、PLC、WiFi、4G和5G作为通讯协定,以满足物联网环节的须要。

物联网中的另一个关键组件是聚合器,它可以是物联网架构(如WiFi路由器)的网关。网关提供到多个“事物”的下游衔接。云是物联网系统中的另一个外围元素。一些盛行的云服务提供商(CSP)包括亚马逊网络服务、微软Azure、谷歌云平台和IBM云(仅举几个例子)。云为物联网提供服务,包括信息传递、存储、数据处置和剖析。此外,CSP还提供了新的支持性能,支持信息队列遥测传输(MQTT),通罕用于机器对机器(M2M)通讯和代表性形态传输(REST)通讯协定。

除了的服务,5G等新通讯技术的出现将使云的作用变得愈减轻要。4G和5G蜂窝衔接准许远距离无线通讯。此外,经过经常使用IPV6使一切物联网设备可寻址的才干,使得物联网设备能够间接衔接到云。

物联网安保简介

物联网在未来一段时期将由于通讯技术的分散、设备的可用性和计算系统的增强失掉极速增长。因此,为了包全物联网系统中的配件和网络,物联网安保至关关键。但是,由于网络设备的思维依然相对较新,在消费关系设备时还没有思索到安保性。

由于物联网系统中设备和通讯协定的多样性,以及提供的各种接口和服务,不适宜基于传统IT网络处置打算实施安保环节[2]。理想上,传统网络中驳回的现有安保措施或者不够。放开式Web运行程序安保名目(OWASP)列出的攻打向量触及物联网系统的三层,即配件、通讯链路和接口/服务。射频识别(RFID)和无线传感器网络(WSN)被视为物联网网络的一局部。因此,表1中列出了对这两个系统的或者攻打。

表1:对RFID和WSN的或者攻打:

参考物联网安保架构,物联网安保疑问与一切三个物联网层都关系。例如,缺少传输加密触及设备与云、设备与网关、设备与移动运行程序、一台设备与另一台设备以及网关与云之间的通讯链路不安保[3]。

由于认证和授权程序不充沛,造成了访问物联网设备的一个十分盛行的载体。在的物联网系统中,支持身份验证的协定有MQTT、DDS、Zigbee和Zwave。虽然如此,即使开发人员提供了物联网通讯、配对和信息传递所需的身份验证工具,通讯仍有被劫持的时机。此外,不安保的网络服务或者会造成不良行为者或要挟探求网络并经过网络流传。目前,认证是成功网络层安保通讯的最罕用的安保方法。虽然由于设备的限度存在不实际践的疑问,但一些钻研人员倡导经过适配层在物联网环境中实施IPSec。目前正在启动基于公钥治理的轻量级认证的钻研。

安保性能无余是由于物联网设备中经常经常使用的硬编码证书。由于许多设备经常使用相反的明码,硬编码明码很容易被破坏。物理安保性差是配件破绽形成的另一个攻打要素[4]。加密设备的关键阻碍是传感器等设备的便捷性。此外,在产品的可开售性方面或者存在抵触。但是,在设备中实施轻量级加密以确保用户的秘密性和安保性或者是值得的。

不安保的web和云接口是运行层物联网系统中或者成为攻打向量的破绽。因此,云网关必定装备安保控制,以限度不良介入者修正性能。在运行层运行动物度量和多级身份验证启动访问控制或者是一个很好的处置打算。由于安保要挟的变动趋向,依据档次和或者的对策提出了的安保应战[5]。表2给出了的一些应战和倡导的对策。

表2:物联网安保以前面临的应战及倡导的对策:

保证物联网系统的安保带来了许多共同的应战,如无法靠的通讯、和平环境以及数据和特权包全无余。

如表2所示,感知层存在更多的安保应战。这或者有几个要素,例如容易物理访问终端节点、易受攻打设备的网络接口以及不安保的网络服务。因此,可以得出论断,关于物联网系统,物理设备或终端节点是对手的关键攻打面。

物联网安保机制的开展

运行安保缓解的关键指标是预先服务隐衷、隐秘性,确保物联网用户、基础设备、数据和设备的安保,并保证物联网生态系统提供的服务的可用性。因此,通常依据经典要挟向量运行缓解和对策。身份验证依然是最盛行的安保技术,而信赖治理由于其防止或检测恶意节点的才干而越来越受欢迎。另一方面,加密技术的钻研重点是针对低功耗和受限设备的轻量级和低老本加密[6]。

认证

身份验证是识别网络中的用户和设备并授予授权人员和非操纵设备访问权限的环节。身份验证是减轻对物联网系统的攻打的一种方法,例如回复攻打、两边人攻打、模拟攻打和Sybil攻打。如图1中的图表所示,身份验证目前依然是最罕用的方法(60%),用于在运行层向用户授予访问权限,并在物联网网络中向设备授予访问权限。

图2:物联网钻研的访问控制方法

传输层安保(TLS)宽泛用于通讯认证和加密。针对受限设备,TLS提供TL S-PSK(经常使用预共享密钥)和TLS-DHE-RSA认证方法(经常使用RSA和Diffie-Hellman(DH)密钥替换),这是公钥和加密协定。在该打算中,要口头相互认证的两个实体必定经过事前共享秘密信息(预共享密钥)来证实彼此的非法性。由于在认证环节中只经常使用对称密钥加密,因此该打算实用于传感器等受限设备[10]。目前,为物联网设计了三种类型的认证协定:基于非对称明码系统的协定(表3)、基于对称明码系统协定(表4)和混合协定。

表3:物联网的非对称轻量级加密算法

表4:物联网的对称轻量级明码算法

由于物联网环境中的用户和设备创立双向通讯,因此设备和主机之间存在相互通讯。该设备将向主机发送数据以及接纳主机发送的控制数据。因此,在物联网系统中,相互认证关于审核设备和主机的有效性至关关键。

加密

为了成功端到端的安保性,节点被加密。但是,由于物联网系统的异质性,一些节点或者能够嵌入通用微进程。但是,低资源和受限的设备只能嵌入特定运行的IC。因此,传统的明码原语由于计算才干低、电池寿命有限、体积小、内存小和电源有限,不适宜低资源智能设备。因此,轻量级加密或者是这些设备的有效加密。

信托治理

关于设备信赖治理的出版物越来越多。物联网信赖治理的指标是检测和消弭恶意节点,并提供安保访问控制。智能和灵活的信赖计算,以验证物联网网络中介入节点的信赖值,是信赖治理钻研的最先进技术之一。但是,大少数钻研集中于检测恶意节点;仅提出了几种基于信赖的访问控制方法。理想上,由于可扩展性和存储敏感数据的智能设备数量渺小,迫切须要一种智能化、透明和容易的访问控制治理,以便为不同的节点/用户提供不同的访问级别。

虽然目前只要20%(见图2)的访问控制方法经常使用信赖评价,但它依然是一种有出路的安保机制。这或者是由于它能够计算节点的灵活信赖分数。这使得每个节点的信赖值能够被逐渐评价。此外,Caminha等人提出了经常使用机器学习(ML)启动智能信赖评价。这或者能够减轻要挟节点信赖值的开关攻打。此外,信赖治理或者能够补偿身份验证的显著弱点,例如来自损坏节点的攻打。

Zhang等人示意[7],物联网网络中访问控制的信赖计算,即基于信赖的访问控制(TBAC),依然是相对较新的,但已在商业运行中成功实施。Bernal等人提出了一种用于物联网的信赖感知控制系统,该系统可优化多维信赖属性。由于设备的资源限度,信赖评价像许多提案一样集中化。

安保路由

传感器和制动器是物联网中的关键元件。虽然这些设备通常是低功耗和资源受限的,但它们是自组织的并共享信息。同时,它们还充任数据存储并口头一些计算。因此,可伸缩性、自主性和能效关于任何路由处置打算都很关键。这些传感器节点中的一些是边界路由器,用于将低功耗有损网络(LLN)衔接到互联网或左近的局域网(LAN)。由于物联网网络的规模很大,这些设备的IP地址基于IPv6。低功耗无线团体局域网(6LoWPAN)上的IPv6是一个IETF IPv6适配层,可成功低功耗和有损网络上的IP衔接。但是,由于在6LoWPAN层没有身份验证,安保破绽的或者性很高。

RPL(低功耗和有损网络协定)设计用于多点通讯,同时支持LLN中的点对点和多点通讯。DODAG(Destination Oriented Directed Acyclic Graph)是节点路由协定的RPL拓扑。即使RPL满足LLN的一切路由要求,它也容易遭到许多安保攻打,如表5所示。

表5:对RPL的攻打

为了动员Sinkhole、Blackhole或Sybil攻打,恶意节点将尝试找到一种形式来介入数据包和控制包的路由或转发门路。因此,它将应用在假定一切介入节点都是可信的状况下设计的路由协定的破绽。

新技术

最近有两种新技术惹起了人们的兴味。SDN(软件定义网络)和区块链是与物联网安保处置打算融合的盛行新技术之一。SDN的关键思维是将网络控制和数据控制分开。因此,可以对网络启动集中控制和灵活治理,以应答物联网环境中的阻碍,如物联网设备中的资源调配。此外,物联网目前面临的一些应战,如牢靠性、安保性、可扩展性和QoS,或者能够有效地启动广告设计。

区块链是加密货币的主干。基于物联网的运行程序将应用其安保和私有的买卖以及通讯和流程的分散。迄今为止,它的运行在金融运行方面取得了严重成功。去中心化、伪匿名和安保买卖是区块链技术在物联网中的好处之一。

总 结

本文总结了物联网安保钻研的背景、现状、钻研内容、以前面临的应战和处置打算,对今后的钻研上班有踊跃的意义。

参考文献

[1] Aziz, A.; Schelén, O.; Bodin, U. A Study on Industrial IoT for the Mining Industry: Synthesized Architecture and Open Research irections.IoT2020,1, 529-550.

[2] N. Neshenko, E. Bou-Harb, J. Crichigno, G. Kaddoum and N. Ghani, "Demystifying IoT Security: An Exhaustive Survey on IoT Vulnerabilities and a First Empirical Look on Internet-Scale IoT Exploitations," in IEEE Communications Surveys & Tutorials, vol. 21, no. 3, pp. 2702-2733, thirdquarter 2019, doi: 10.1109/COMST.2019.2910750.

[3] H. Wu, H. Han, X. Wang and S. Sun, "Research on Artificial Intelligence Enhancing Internet of Things Security: A Survey," in IEEE Access, vol. 8, pp. 153826-153848, 2020, doi: 10.1109/ACCESS.2020.3018170.

[4] Jurcut, A.D., Ranaweera, P. and Xu, L. (2020). Introduction to IoT Security. In IoT Security (eds M. Liyanage, A. Braeken, P. Kumar and M. Ylianttila).

[5] Tawalbeh, L.; Muheidat, F.; Tawalbeh, M.; Quwaider, M. IoT Privacy and Security: Challenges and Solutions.Appl. Sci.2020,10, 4102.

[6] Ali, R.F., Muneer, A., Dominic, P.D.D., Taib, S.M., Ghaleb, E.A.A. (2021). Internet of Things (IoT) Security Challenges and Solutions: A Systematic Literature Review. In: Abdullah, N., Manickam, S., Anbar, M. (eds) Advances in Cyber Security. ACeS 2021. Communications in Computer and Information Science, vol 1487. Springer, Singapore.

[7] Mardiana binti Mohamad Noor, Wan Haslina Hassan,Current research on Internet of Things (IoT) security: A survey,Computer Networks,Volume 148,2019,Pages 283-294,ISSN 1389-1286,​

您可能还会对下面的文章感兴趣: