物联网安全思考

原创 2015年11月19日 19:04:35

     没有如期推出博客实在抱歉,小三下次一定准时,现在小三在智慧研究院主要负责物联网操作系统的设计以及物联网安全的部署。上一期谈了一下我对研究院物联网系统的一些架构,这期我们来聊一聊物联网系统的安全。

     总的来说,上周小三因为安全问题去跟华为、阿里巴巴、腾讯、中国工信部的安全部门和战略中心进行了一些简单的会议沟通,寻求一些合作机会,共同的去对物联网安全进行一些部署,下个月,小三将去日本和美国,去松下、日产、苹果、谷歌、IBM进行一些技术交流,讨论一下IOT以后的发展以及IOT生态圈的安全问题。所以我们先简单的来谈一下物联网安全吧,如果我从国外出差回来有了更深入的理解,我会补上。

    物联网系统的安全就不止是嵌入式设备端或者说通讯协议还是云的安全了,而是整个体系的安全,大家都知道有一家叫乌云的公司,他是一家白帽子公司(光明正大的黑客),他们在各种智能设备上寻找漏洞进行攻击、破解。并且战果累累。比较著名的事件是深圳欧瑞博智能插座被黑事件,还有青岛某国际白电企业智能家居被破解事件(由于小三的身份问题,不能明言)。乌云从嵌入式设备端、设备与云通讯端为入口对产品进行攻击,然后成功的达到了目的。好吧,背景就是这样的,那我们先来看看物联网的数据框架

上图就是物联网的一个最基本的框架,至少目前是这样的,未来的话肯定是更有趣,涉及到机密,我不便透露,看到这个架构,你会发现通信太多了,在安全考虑方面,有数据的地方,就存在安全的问题、有输入的地方就存在安全问题,那确实安全问题太多了,而且物联网安全是一个非常重要的概念,第一,他关系用户体验,比如你回家刚想和老婆亲热一下,然后门开了、窗帘开了......,又或者夏天回家,空调本来识别到你需要制冷,结果他给你提供了制热,这用户体验就不好了,原因可能就是被黑客劫持了你的控制数据;第二,你去上班了,家里的门被远程打开了,这不晕菜吗!那么问题我们都看到了,我们该怎样去做呢,怎样去对这套系统进行加固呢,小三发表一下自己的看法:

首先,系统的安全其实说简单了,就是最小权限原则,关闭不需要的网络端口,我们守好我们通讯的端口,这是专注,不给你太多攻击的机会。为了防止非法用户入侵以及非法指令进入,要建立密钥管理体系以及加密验证管理,最后还要对输入变量进行检查,防止segment fault的篡改。

上面讲的可能有点太理论,那么在实践中怎样去做呢,我从攻击的角度来描述一下:

1、手机APP的漏洞挖掘和安全研究:通过黑盒的方式对APP进行漏洞挖掘,发现在安全策略、代码编写、逻辑设计和协议实现等方面存在的常见漏洞。当然APP我都建议加壳保护,如果这这基本的你都不做,那我就只能说,你玩毛啊。
2、智能设备本身:测试智能设备自身系统在编码实现过程中可能存在的问题,例如命令注入、内存破坏、权限绕过等漏洞。
3、智能设备与网关之间的数据通讯:针对智能家具环境下,各智能终端与网关设备在数据交互中常见的漏洞类型进行挖掘,例如未经授权添加、删除设备,设备强制下线、敏感信息明文传输、HTTPS/SSL使用不当等漏洞
4、云端的数据渗透测试。通过渗透技术对WEB端进行渗透测试,找出云端的安全漏洞。例如SQL注入,提权,最终控制云端。

了解了攻击,是不是就能对安全进行针对性的修复了!小三最近一直在做这方面的工作,做的部署也比较大,连C库我都进行了重构,未来是物联网的黄金十年,安全却是百年不变的话题,毕竟资源越多、风险越强,这是互联网和物联网永远逃脱不了的。小三也是技术出身,欢迎各位发文探讨或者私信交流。


【物联网安全】物联网安全主要的现有安全问题

分析现有的物联网安全问题,可以将问题分为两类,一类是物联网和传统互联网都有的通用安全问题,另一类是物联网特有的安全问题。 通用安全问题 物联网由传统互联网发展而来,继承了传统互联网时代遗留的安全问...

物联网核心安全系列——智能门锁安全问题

现今社会正在逐步转型迈向智能城市、智能社区、智能家居,智能服务的时代,但人们享受到智能便捷服务的同时,也要慢下节奏,仔细思考、衡量这些物联网产品背后存在的信息安全隐患有多大。         智能门...

【物联网安全】应用层(安全、服务层)对终端设备的标识管理服务

设备管理服务 Ÿ  设备标识 设备标识的意义在于区分物联网中的设备实体。通过对物联网中所有的实体设备进行标识,以确保所有接入物联网的设备是合法的。设备标识不仅需要设备识别号,还需要安全服务器分发的密钥...

CSDN物联网学习7 物联网安全:转守为攻

李知周 大数据安全科学家 使用大数据与机器学习猎杀黑客一、 物联网的安全挑战1.案例2016年 10 月 21 日早晨,美国互联网服务商 Dynamic Network Service(简称Dyn)...
  • xundh
  • xundh
  • 2017年07月01日 18:07
  • 306

物联网安全有哪些关键技术?

物联网作为互联网的延伸,被称为世界信息产业的第三次浪潮。据有关专家预测,2017年是物联网商用元年。物联网产业由政府推动走向市场主导,大量新兴的物联网技术应用会走进我们的生活。而随着物联网产业市场的扩...

【物联网安全】应用层与感知终端之间的交互流程

理想的认证环境是在物理、系统、网络都安全的基础上,开始认证环节。集中认证的方式是更为安全的认证方式。 在安全环境下,终端与应用服务之间的安全交互大体流程: 在进行过安全配置的环境下,终端设...

《物联网安全基础》笔记五

基于平衡树的策略主要是依赖于一个树状结构来降低秘密搜索的复杂性   基于平衡树的策略使得各个标签之间共享秘密   前向安全性即在当前标签中的秘密被泄露后,在此之前的标签的会话的信息也不会泄漏 ...

IoT: 物联网安全测试经验总结

前言 今年早些时候,我参与了许多关于物联网解决方案的安全测试。主要目标是找出体系结构和解决方案中的漏洞。在这篇文章中,我将讨论一些与物联网解决方案的问题和挑战。 什么是物联网? ...
  • god_7z1
  • god_7z1
  • 2017年02月11日 12:46
  • 4000

物联网核心安全系列——物联网安全需求

万物互联的物联网时代即将到来,越来越多的智能硬件厂商开始瞄准这一领域发力。智慧城市、智能出行、智慧生活、智能家居、智能机器人开始逐渐走入日常生活。到目前为止,智能硬件的安全问题尚未得到厂商与普通消费者...

物联网安全

是否可以考虑:E2EE端到端加密 ECDH
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:物联网安全思考
举报原因:
原因补充:

(最多只允许输入30个字)