描述
芯片采購網(wǎng)專注于整合國內(nèi)外授權(quán)IC代理商現(xiàn)貨資源,芯片庫存實(shí)時(shí)查詢,行業(yè)價(jià)格合理,采購方便IC芯片,國內(nèi)專業(yè)芯片采購平臺。
物聯(lián)網(wǎng)安全是一種全堆棧行為,是服務(wù)、使用、云、管道、邊緣、端全生態(tài)統(tǒng)一合作聯(lián)合防御可以有效的主題,僅從物聯(lián)網(wǎng)設(shè)備端采取嚴(yán)格防御策略不能阻止?jié)B透到每個(gè)角落APT攻擊。因此,我們可以從物聯(lián)網(wǎng)設(shè)備開始,Rootkit注入保護(hù)、DDOS綜合考察物聯(lián)網(wǎng)安全的對策,包括攻擊防御、設(shè)備安全準(zhǔn)入、數(shù)據(jù)和協(xié)議安全。此外,還應(yīng)確保物聯(lián)網(wǎng)控制平臺、云平臺、互聯(lián)接口、物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)等基礎(chǔ)設(shè)施的安全。
1.基于可信計(jì)算的安全啟動(dòng)技術(shù)
可信計(jì)算是由TCG(Trusted Computing Group,基于硬件安全模塊的可信計(jì)算平臺廣泛應(yīng)用于計(jì)算和通信領(lǐng)域,以提高整個(gè)系統(tǒng)和應(yīng)用軟件的安全性和完整性。作為一種新興技術(shù),其主要目標(biāo)包括計(jì)算平臺的完整性、平臺的遠(yuǎn)程證明、數(shù)據(jù)存儲的安全性等。
作為高級可持續(xù)威脅(APT),如果不是潛伏在系統(tǒng)的最深層,如果不是在操作系統(tǒng)加載之前,如果在啟動(dòng)過程中不能制衡保護(hù)軟件來實(shí)現(xiàn)自己的免殺APT”。對于的辦法就是控制系統(tǒng)的運(yùn)行權(quán)。可信計(jì)算技術(shù)是這場運(yùn)行權(quán)戰(zhàn)爭中的定海神針。通過信任鏈的可傳導(dǎo)性,驗(yàn)證每個(gè)啟動(dòng)步驟的完整性和正確性,確保計(jì)算平臺的完整性。
測量是一級從底層逐級測量的,通常以先啟動(dòng)的軟硬件代碼(如安全芯片)為信任根,以此為標(biāo)準(zhǔn)測量后啟動(dòng)的軟硬件,從而實(shí)現(xiàn)信任鏈的向后傳輸,保證系統(tǒng)計(jì)算環(huán)境的可信度。整個(gè)過程遵循先測量再執(zhí)行的策略Windows當(dāng)系統(tǒng)啟動(dòng)時(shí),可以BIOS中間的代碼是核心信任根模塊信任根模塊(可信根)BIOS/UEFI、WinLoader、逐級靜態(tài)測量操作系統(tǒng)鏡像文件。
可信根作為整個(gè)系統(tǒng)信任鏈的底信根必須可信。因此,可信根通常是通過制造商直接將算法和密鑰植入安全芯片而實(shí)現(xiàn)的,這是不可覆蓋的。因此,這部分代碼也被稱為可信軟件基礎(chǔ)(TSB,Trusted Software Base)。
ARM作為一個(gè)老的處理平臺,制造商還提出了消費(fèi)物聯(lián)網(wǎng)設(shè)備的安全保密和可信計(jì)算TrustZone技術(shù)。本質(zhì)上,該技術(shù)是一種硬件平臺結(jié)構(gòu)和安全框架,將電影系統(tǒng)的軟硬件資源分為安全世界和非安全世界(類似于X86系統(tǒng)下的0環(huán)和3環(huán))通過訪問權(quán)限的差異來保證資源的安全。非安全世界和安全世界需要通過中間通信Monitor Mode進(jìn)行轉(zhuǎn)換。
2.Rootkit防御技術(shù)
Rootkit無論采用哪種處理器架構(gòu),還是在哪種操作系統(tǒng)中,都是系統(tǒng)安全領(lǐng)域常見的話題,Rootkit都是鬼影相伴。所謂Rootkit,是系統(tǒng)中隱藏自己、控制設(shè)備、獲取隱私信息的惡意代碼。十有八九的物聯(lián)網(wǎng)設(shè)備招是以獲取信息和控制設(shè)備為特征的Rootkit因此,對于惡意過程/代碼模塊Rootkit防御尤為重要。
Rootkit執(zhí)行特點(diǎn)如下:
(1)將惡意代碼放置在內(nèi)存數(shù)據(jù)區(qū),通過堆棧溢出等方式在數(shù)據(jù)區(qū)執(zhí)行。
(2)惡意代碼模塊通過遠(yuǎn)程線程和默認(rèn)加載加載到應(yīng)用過程中,即注入模塊。
(3)通過掛鉤操作系統(tǒng)的重要方法(如系統(tǒng)調(diào)用或中斷響應(yīng)程序等)獲取所需數(shù)據(jù)。
(4)通過過濾驅(qū)動(dòng)掛鉤網(wǎng)絡(luò)協(xié)議棧,獲取重要的網(wǎng)絡(luò)流量,篡改數(shù)據(jù)包。
(5)通過掛鉤重要可執(zhí)行模塊EAT/IAT改變過程執(zhí)行過程的方式(導(dǎo)出/導(dǎo)入地址表)。
從上述Rootkit可以反向推導(dǎo)防御的運(yùn)行特征Rootkit攻擊手段。Windows系統(tǒng)在抵御Rootkit因?yàn)閃indows系統(tǒng)的運(yùn)行環(huán)境和計(jì)算資源相對寬松,因此有更多的機(jī)制和手段來確保安全。對于物聯(lián)網(wǎng)系統(tǒng),由于其功耗和計(jì)算資源的限制,操作系統(tǒng)一般相對簡化,因此有針對性地制定Rootkit防御機(jī)制更為必要。
(1)物聯(lián)網(wǎng)設(shè)備的通信模塊短小精悍,一般沒有協(xié)議棧,所以物聯(lián)網(wǎng)設(shè)備中不會(huì)存在通過濾驅(qū)動(dòng)攔截網(wǎng)絡(luò)數(shù)據(jù)包的方式。
(2)物聯(lián)網(wǎng)系統(tǒng)沒有復(fù)雜的應(yīng)用機(jī)制,如遠(yuǎn)程線程和默認(rèn)加載,因此無需考慮模塊注入。
(3)堆棧溢出在物聯(lián)網(wǎng)系統(tǒng)中很常見,因此可以使用類似的堆棧溢出Win保護(hù)7的數(shù)據(jù)(DEP)機(jī)制防止內(nèi)存數(shù)據(jù)區(qū)執(zhí)行惡意代碼。
(4)物聯(lián)網(wǎng)系統(tǒng)還有重要的方法,如中斷響應(yīng)范圍、系統(tǒng)呼叫服務(wù)范圍等,仍然需要防止這些重要部件連接。類似的可以使用Windows的PatchGuard機(jī)制防止這些重要部位被重寫。
(5)不明過程的安裝和運(yùn)行可以通過內(nèi)核過程簽名驗(yàn)證機(jī)制來阻斷。
3.抗DDOS攻擊技術(shù)
DDOS攻擊是物聯(lián)網(wǎng)還是視聯(lián)網(wǎng),攻擊也是網(wǎng)絡(luò)安全領(lǐng)域永恒的話題,只要支持TCPIP協(xié)議面臨被子DDOS攻擊的危險(xiǎn)。DDOS核心思想是通過車輪戰(zhàn)NXP代理使目標(biāo)系統(tǒng)倦了應(yīng)對,無法正常運(yùn)行其他過程,包括各種細(xì)分攻擊手段,常見的有以下幾種:
(1)SYN Flood
通過偽造大量不存在的偽造IP地址在很短的時(shí)間內(nèi)連續(xù)發(fā)送到服務(wù)器SYN服務(wù)器回復(fù)確認(rèn)包SYN/ACK,等待客戶永遠(yuǎn)不會(huì)回應(yīng)的確認(rèn)回復(fù)。這樣的服務(wù)器需要不斷重新發(fā)送SYN/ACK這些偽造,這些偽造SYN包將長期占用未連接隊(duì)列,正常SYN請求被丟棄,導(dǎo)致目標(biāo)系統(tǒng)運(yùn)行緩慢甚至癱瘓。這是利用TCP傳輸特性制造的車輪戰(zhàn)。
(2)ICMP Flood
在很短的時(shí)間內(nèi)不斷向目標(biāo)主機(jī)要求ICMP回應(yīng)導(dǎo)致目標(biāo)系統(tǒng)負(fù)擔(dān)過重,無法正常處理IO業(yè)務(wù)。這是利用ICMP協(xié)議制造的車輪戰(zhàn)。
(3)UDP Flood
在很短的時(shí)間內(nèi)向目標(biāo)主機(jī)發(fā)送大量的目標(biāo)主機(jī)UDP目標(biāo)系統(tǒng)負(fù)擔(dān)過重,無法正常處理IO業(yè)務(wù)。這是利用UDP協(xié)議制造的車輪戰(zhàn)。
(4)ARP Flood
攻擊者可以在很短的時(shí)間內(nèi)發(fā)送大量的攻擊ARP請求包阻塞正常的網(wǎng)絡(luò)寬帶,使局域網(wǎng)中有限的網(wǎng)絡(luò)資源被無用的廣播信息占用,導(dǎo)致網(wǎng)絡(luò)擁堵。這是利用ARP包裝制造的車流戰(zhàn)癱瘓了承載網(wǎng)絡(luò)。
除上述二三四層協(xié)議外,DDOS除了攻擊,還可以制造應(yīng)用層和會(huì)話層協(xié)議DDOS例如,攻擊的效果在短時(shí)間內(nèi)超過大量HTTP請求使WEB服務(wù)器崩潰,視頻服務(wù)器通過大量流媒體會(huì)話協(xié)議在短時(shí)間內(nèi)崩潰,這些攻擊都迎合了DDOS攻擊的初衷,即極限壓力使其疲于應(yīng)而崩潰。
一般情況下DDOS攻擊的抵抗是通過排水的方法,即需要保護(hù)系統(tǒng)的判斷DDOS攻擊,然后啟動(dòng)流量排水機(jī)制,DDOS攻擊包引導(dǎo)消化到攻擊緩沖區(qū)。由于物聯(lián)網(wǎng)領(lǐng)域設(shè)備數(shù)量龐大,應(yīng)特別注意防御DDOS攻擊問題。
(1)在IPv4.私網(wǎng)穿透主要用于與外部系統(tǒng)通信。由于私網(wǎng)穿透通信的單向性,外部系統(tǒng)主動(dòng)啟動(dòng)DDOS特別是在部署對稱性時(shí),攻擊的可能性較低NAT服務(wù)時(shí),對外向內(nèi)通信的限制非常嚴(yán)格,可以在一定程度上阻斷DDOS攻擊流。
(2)物聯(lián)網(wǎng)和互聯(lián)網(wǎng)之間也會(huì)有網(wǎng)絡(luò)隔離設(shè)備,如安全訪問平臺或網(wǎng)絡(luò)閘門,可以獨(dú)立設(shè)置其安全水平。雖然其通信效率較低,但可以對網(wǎng)絡(luò)包進(jìn)行深度檢測(DPI),也可以在一定程度上阻抗DDOS攻擊流。
4.物聯(lián)網(wǎng)設(shè)備指紋技術(shù)
設(shè)備指紋是近年來新興的物聯(lián)網(wǎng)設(shè)備接入準(zhǔn)入技術(shù)。其核心原理是通過設(shè)備的操作系統(tǒng)和制造商ID、MAC地址、端口號、IP為了識別設(shè)備的獨(dú)特性,生成一系列與每個(gè)設(shè)備相關(guān)的固定私有信息,如地址、協(xié)議報(bào)文類型等屬性。通過設(shè)備指紋庫識別設(shè)備,物聯(lián)網(wǎng)平臺可以阻斷和報(bào)警非指紋庫中的設(shè)備。傳統(tǒng)的識別設(shè)備唯一性的方法是通過ID,然而,由于設(shè)備的原因,這種方法具有相當(dāng)大的可仿性和可替代性ID一般處于OSI高層協(xié)議棧,仿冒門檻也較低。但通過設(shè)備指紋標(biāo)識設(shè)備的獨(dú)特性具有較低的可仿冒性和可替代性。
(1)設(shè)備的操作系統(tǒng)會(huì)有一定的標(biāo)識,如版本號、制造商ID等等,假冒這些屬性并不容易,可能要通過Patch改變內(nèi)核變量的手段。
(2)MAC地址、IP地址、端口號等屬性具有設(shè)備的獨(dú)特性,雖然也具有模仿性,但模仿這些聯(lián)合屬性并不容易。
(3)雖然協(xié)議報(bào)文遵循一定的標(biāo)準(zhǔn),但每個(gè)廠家設(shè)備協(xié)議的報(bào)文頭或報(bào)文體都會(huì)有一些私人信息,比如SIP協(xié)議頭域User-Agent屬性將附帶制造商信息。另一個(gè)例子是協(xié)議交互的時(shí)間間隔和回復(fù)特征,這些更微妙的差異也是設(shè)備指紋的重要組成部分。
因此,通過設(shè)備指紋識別設(shè)備的獨(dú)特性、在線檢測設(shè)備、私接設(shè)備和假冒設(shè)備具有很高的不可仿冒性和不可替代性。
生成設(shè)備指紋包括主動(dòng)檢測和被動(dòng)監(jiān)測。
(1)主動(dòng)探測方法的主要思想是主動(dòng)發(fā)送到物聯(lián)網(wǎng)設(shè)備ICMP、UDP包,或主動(dòng)建立TCP連接,甚至主動(dòng)發(fā)起一些應(yīng)用層以上的協(xié)議來探索設(shè)備的回復(fù)信息(例如ICMP echo reply、ICMP端口、端口、HTTP Response等待報(bào)紙),根據(jù)這些報(bào)紙識別設(shè)備的特殊屬性。一些制造商還將支持一些私人協(xié)議來識別設(shè)備的不可偽造性。
(2)被動(dòng)監(jiān)控模式的主要思路是通過網(wǎng)絡(luò)探針監(jiān)控設(shè)備的互動(dòng)報(bào)告,通過源端口、源地址、MAC判斷設(shè)備的不可替代性,如信息、報(bào)文特征等。
圖3一種基于OSI協(xié)議棧指紋回聲的物分系統(tǒng)
設(shè)備指紋已廣泛應(yīng)用于視頻監(jiān)控領(lǐng)域。然而,在物聯(lián)網(wǎng)的其他領(lǐng)域,由于協(xié)議報(bào)告類型的復(fù)雜性,許多設(shè)備不在TCPIP因此,網(wǎng)絡(luò)中的應(yīng)用場景并不多。
5.數(shù)據(jù)安全技術(shù)
物聯(lián)網(wǎng)數(shù)據(jù)安全包括數(shù)據(jù)本身的安全和協(xié)議安全。但無論內(nèi)涵如何,其本質(zhì)都是解密數(shù)據(jù)和協(xié)議報(bào)告,當(dāng)然也包括協(xié)議的證書認(rèn)證機(jī)制。在安全領(lǐng)域,公安部已經(jīng)制定了GB35114標(biāo)準(zhǔn)按密級高低劃分ABC三個(gè)等級:認(rèn)證加密協(xié)議報(bào)紙,視頻NAL對視頻內(nèi)容本身進(jìn)行認(rèn)證和解密。
加持國家強(qiáng)制性標(biāo)準(zhǔn)是數(shù)據(jù)安全的注腳。
來源:中國安防
- 顯卡價(jià)格繼續(xù)跳水!AMD兩款已跌破原價(jià)
- 通膨拖累 大尺寸驅(qū)動(dòng)IC報(bào)價(jià)恐怕再跌10%
- 加快智能投資布局 智能電網(wǎng)產(chǎn)業(yè)迎來了前所未有的發(fā)展機(jī)遇
- TT Electronics公司新型防火繞線電阻系列產(chǎn)品具有高浪涌耐受性和線電壓保護(hù)熔斷功能
- M1 Ultra 版蘋果 Mac Studio 比 M1 Max 版更重
- 美光推出 5400 SATA SSD — 面向關(guān)鍵基礎(chǔ)設(shè)施的高級存儲方案
- 在智能術(shù)與安霸在智能駕駛艙視覺感知領(lǐng)域達(dá)成深度合作
- 汽車級芯片的難度堪比地獄級,但長三角想爭口氣,一本手冊透露了國產(chǎn)化的信心…
- 日本電產(chǎn)(Nidec/尼得科研發(fā)了超小直徑直線振動(dòng)馬達(dá)系列產(chǎn)品
- 47.5%,Meta要在元宇宙中挖掘金礦
- 超薄高速通信型光耦護(hù)航通信產(chǎn)品
- 博通將以約610億美元的現(xiàn)金和股票收購 VMware
