物联网安全思考

原创 2015年11月19日 19:04:35

     没有如期推出博客实在抱歉,小三下次一定准时,现在小三在智慧研究院主要负责物联网操作系统的设计以及物联网安全的部署。上一期谈了一下我对研究院物联网系统的一些架构,这期我们来聊一聊物联网系统的安全。

     总的来说,上周小三因为安全问题去跟华为、阿里巴巴、腾讯、中国工信部的安全部门和战略中心进行了一些简单的会议沟通,寻求一些合作机会,共同的去对物联网安全进行一些部署,下个月,小三将去日本和美国,去松下、日产、苹果、谷歌、IBM进行一些技术交流,讨论一下IOT以后的发展以及IOT生态圈的安全问题。所以我们先简单的来谈一下物联网安全吧,如果我从国外出差回来有了更深入的理解,我会补上。

    物联网系统的安全就不止是嵌入式设备端或者说通讯协议还是云的安全了,而是整个体系的安全,大家都知道有一家叫乌云的公司,他是一家白帽子公司(光明正大的黑客),他们在各种智能设备上寻找漏洞进行攻击、破解。并且战果累累。比较著名的事件是深圳欧瑞博智能插座被黑事件,还有青岛某国际白电企业智能家居被破解事件(由于小三的身份问题,不能明言)。乌云从嵌入式设备端、设备与云通讯端为入口对产品进行攻击,然后成功的达到了目的。好吧,背景就是这样的,那我们先来看看物联网的数据框架

上图就是物联网的一个最基本的框架,至少目前是这样的,未来的话肯定是更有趣,涉及到机密,我不便透露,看到这个架构,你会发现通信太多了,在安全考虑方面,有数据的地方,就存在安全的问题、有输入的地方就存在安全问题,那确实安全问题太多了,而且物联网安全是一个非常重要的概念,第一,他关系用户体验,比如你回家刚想和老婆亲热一下,然后门开了、窗帘开了......,又或者夏天回家,空调本来识别到你需要制冷,结果他给你提供了制热,这用户体验就不好了,原因可能就是被黑客劫持了你的控制数据;第二,你去上班了,家里的门被远程打开了,这不晕菜吗!那么问题我们都看到了,我们该怎样去做呢,怎样去对这套系统进行加固呢,小三发表一下自己的看法:

首先,系统的安全其实说简单了,就是最小权限原则,关闭不需要的网络端口,我们守好我们通讯的端口,这是专注,不给你太多攻击的机会。为了防止非法用户入侵以及非法指令进入,要建立密钥管理体系以及加密验证管理,最后还要对输入变量进行检查,防止segment fault的篡改。

上面讲的可能有点太理论,那么在实践中怎样去做呢,我从攻击的角度来描述一下:

1、手机APP的漏洞挖掘和安全研究:通过黑盒的方式对APP进行漏洞挖掘,发现在安全策略、代码编写、逻辑设计和协议实现等方面存在的常见漏洞。当然APP我都建议加壳保护,如果这这基本的你都不做,那我就只能说,你玩毛啊。
2、智能设备本身:测试智能设备自身系统在编码实现过程中可能存在的问题,例如命令注入、内存破坏、权限绕过等漏洞。
3、智能设备与网关之间的数据通讯:针对智能家具环境下,各智能终端与网关设备在数据交互中常见的漏洞类型进行挖掘,例如未经授权添加、删除设备,设备强制下线、敏感信息明文传输、HTTPS/SSL使用不当等漏洞
4、云端的数据渗透测试。通过渗透技术对WEB端进行渗透测试,找出云端的安全漏洞。例如SQL注入,提权,最终控制云端。

了解了攻击,是不是就能对安全进行针对性的修复了!小三最近一直在做这方面的工作,做的部署也比较大,连C库我都进行了重构,未来是物联网的黄金十年,安全却是百年不变的话题,毕竟资源越多、风险越强,这是互联网和物联网永远逃脱不了的。小三也是技术出身,欢迎各位发文探讨或者私信交流。


【物联网安全】目前物联网安全相关的应对方案

根据物联网的产业现状,业界内的知名组织如ITU、ISO/IEC、oneM2M、3GPP、IEEE等积极的进行着标准和方案的制定推广工作,以推进物联网的发展。一系列的标准和方案对物联网特有的安全问题有所...
  • dreamstone_xiaoqw
  • dreamstone_xiaoqw
  • 2017年08月30日 08:37
  • 195

CSDN物联网学习7 物联网安全:转守为攻

李知周 大数据安全科学家 使用大数据与机器学习猎杀黑客一、 物联网的安全挑战1.案例2016年 10 月 21 日早晨,美国互联网服务商 Dynamic Network Service(简称Dyn)...
  • xundh
  • xundh
  • 2017年07月01日 18:07
  • 485

物联网安全的重要性

物联网的发展加速了科技融入生活的进程,使人们开始了解并体验智能化生活。比如智能家居带来的家庭自动化,智慧城市带来的城市数字化,物联网带来的好处远不止这些,它的发展前景也将更美好。但在,物联网可以实现智...
  • u013628152
  • u013628152
  • 2015年02月06日 15:16
  • 1671

2017年物联网安全的六大趋势以及对策

物联网安全将会成为年轻物联网产业的尖锐问题,而物联网安全专家的缺乏也使得跟上黑客的步伐变得很难。 IoT带来如下新的挑战: (1) 增加的隐私问题经常让人感到困惑。 (2)...
  • liang890319
  • liang890319
  • 2017年06月02日 09:22
  • 4657

【物联网安全】物联网安全层次模型

根据解决问题的类型不同,将安全功能分层,组合成安全方案。安全方案的第一层都将在物联网中发挥不可替代的作用。 图示 4 安全方案层次结构 安全服务层 安全服务层为物联网提供安全的服务。由安全服务器与应...
  • dreamstone_xiaoqw
  • dreamstone_xiaoqw
  • 2017年08月30日 08:42
  • 249

【物联网安全】物联网安全的安全需求分析

在了解发展趋势的前提下,基于目前物联网的应用场景,分析安全层次,进而总结安全需求。 1. 物联网发展趋势 物联网的出展技术可以总结为多样化、层次化和丰富化。即: 接入方案多样化 有蜂窝移动网络(...
  • dreamstone_xiaoqw
  • dreamstone_xiaoqw
  • 2017年08月29日 17:42
  • 306

基于嵌入式操作系统的物联网安全

基于嵌入式操作系统的物联网安全
  • ztguang
  • ztguang
  • 2017年04月19日 23:54
  • 850

对《物联网安全导论》的认知、学习、理解(一)

密码学技术复习: 1、古典密码学 a、代替密码 中心思想:明文中的每个字符被替换成密文中另一个字符。 典型例子:凯撒密码 b、置换密码 中心思想:不改变明文字符,按照某一个规则重新排列消息中的比特或...
  • reallocing1
  • reallocing1
  • 2014年12月04日 18:50
  • 920

物联网等保测评必读(即将出台的等保标准,听听主笔人怎么说之十一)

——《信息安全技术 网络安全等级保护测评要求 第4部分:物联网安全扩展要求》解读 物联网系统有其自身不同于传统信息系统的特点,有鉴于此,物联网等保测评无论从对象选择、到测试方法、到评估手段,都具...
  • featherli2016
  • featherli2016
  • 2017年08月08日 18:10
  • 339

未来十年的物联网设备安全评估方法大集合

本文从端对端生态系统方法论、安全测试环境的设置、移动应用或控制系统测试、物联网设备本身的检查等方面分析了未来十年物联网的安全评估方案,一起来看看吧~...
  • huidurelease
  • huidurelease
  • 2017年05月22日 17:49
  • 427
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:物联网安全思考
举报原因:
原因补充:

(最多只允许输入30个字)