物联网安全公司及产品介绍

112 阅读 0 评论 74 点赞

我是靠谱客的博主天真太阳，这篇文章主要介绍物联网安全公司及产品介绍，现在分享给大家，希望可以做个参考。

复制代码

本文是物联网安全系列文章的最后一篇，通过上期介绍物联网安全技术研究的思路之后，笔者为大家选取了五家公司，在介绍公司产品的同时，也会对其所关注的行业的需求进行一些介绍。在最后，文章对物联网安全可以切入的点，以及可以深入研究的点，进行总结和思考。

一. 引言
消费行业的市场处于物联网普及的开端，可穿戴设备、智能家庭产品、照明设备和其他的智能设备正在成为主流。商业和公共部门对于物联网的采用在消费市场之后，Verizon在2015年的物联网报告中预测2011年到2020年之间的企业对企业（Business-to-Business，B2B）的物联网连接每年将以28%的速度增长。工业，如制造型、能源、交通和零售已经采用了物联网initiatives。埃森哲在其2015年的工业物联网市场定位报告中预测，到2030年，单纯美国的工业物联网将价值7.1万亿美元，将支持效率、安全、生产力和service provisioning的增强。

全球的多个城市也正在采用物联网，依赖于从数以千计的按地理位置分布的不同类型的传感器捕获的数据，它们正在往智慧城市的道路上发展。在医疗行业，我们可以看到制造商已经开始在设备中加入网络连接性和智能以探索物联网的应用，例如患者床边设备。我们同样可以看到个人和商业之间的物联网能力的互联性正在开始，智能穿戴设备很快就可以搜集数据，然后将其传输给云中的医疗服务提供商。交通行业是另一个令人振奋的行业，车联网已经萌芽，随着无人驾驶汽车的实验，基于物联网的路边设备对于传感数据的收集和分析的能力将变得越来越重要。在能源行业，集成和互联的系统（如现代变电站综合系统、智能电网系统）趋于增加系统的自动化和远程访问能力，以在近乎实时的情况下向大范围的用户传输信息以及控制相关的多个任务，以求精简运作和性能。

本章选取了五家公司，在介绍公司产品的同时，也会对其所关注的行业的需求进行一个介绍。赛门铁克提出了一个通用的物联网安全架构。CUJO是一家智能家庭领域的安全公司，其主打产品为智能防火墙，在智能设备在家庭中日益普及的今天，以智能防火墙作为切入点非常值得关注。Vidder的技术基础是软件定义边界（Software Defined Perimeter，SDP），其借助于软件定义网络的思想来做访问控制，实现了认证与实际数据访问的分离。NexDefense是一家工控安全领域的公司，其主打产品Sophia是一个工业网络异常检测系统。Intel 发布了关于解决下一代汽车安全和隐私问题的汽车安全最佳实践的白皮书，提出了一种三层纵深汽车安全防御体系。
二. 物联网安全公司及其产品介绍
2.1 赛门铁克
由于物联网设备的资源受限，因此并不完全支持传统的安全解决方案。赛门铁克[①]将物联网安全分为四个部分：通信保护、设备保护、设备管理和理解当前的系统。这几个部分可以结合起来组成一个功能强大的、易于部署的安全架构来移除物联网中的大部分的安全威胁，如APT和复杂的威胁。白皮书“An Internet of Things Reference Architecture”中对这四部分进行了介绍。

通信保护需要对于设备和远程系统之间的通信进行加密和认证，作为认证机构（CA）的领导者，赛门铁克已经在十亿以上的物联网设备中嵌入了设备证书密钥。

设备保护需要对代码签名以确保所有运行的代码都是经过认证的，以及在运行时防护。运行时防护可以通过基于主机的保护（Host based protections）方法。

设备管理需要提供设备固件安全升级的方法，通常可将over-the air（OTA）内置在设备中。

理解当前的系统需要对系统进行安全分析以检测出系统中的异常行为。很多已经运行的系统不能轻易被取代，对系统的检测和分析可以作为临时的解决方案进行部署。

下图是赛门铁克对于PC时代和物联网时代的安全做法的对比。

图4.1 赛门铁克对于PC时代和物联网时代的安全做法对比
赛门铁克[②]在工控系统安全方面主要有两类解决方案，一是针对操作者如何保护工厂和基础设施的安全，二是针对设备供应商如何在其产品中增加安全性。

赛门铁克利用分析技术和机器学习对ICS网络建模以使用户理解自己的网络，从而检测高级威胁。

Symantec Embedded Security: Critical System Protection（SES CSP）是一个轻量级的安全客户端，通过保护终端和嵌入式设备来保护物联网安全。它在不影响设备性能的情况下向制造商和资产所有者提供embedded systems robust signatureless, host-based protection in managed and unmanaged scenarios。由于是基于策略的防护，SES CSP不需要像杀毒软件那样进行安全内容更新。

赛门铁克对汽车安全领域的分析沿用了上文提出的安全框架，同样分为四部分：

保护所有通信保护各传感器，执行器，微控制器（MCU），以及微处理器安全和有效地管理整个车辆通过空中下载（OTA）减轻高级威胁
图4.2 汽车安全需要注意的四个点
赛门铁克[1]嵌入式安全：保护关键系统，保护关键单元和大多数汽车的IVI系统。保护OBD-II接口设备，包括经销商的诊断设备和UBI加密狗。设备认证嵌入式安全证书可以用来认证数据。赛门铁克代码签名证书目前支持全系列代码签名的，包括安全启动签名代码。

嵌入式汽车安全分析用来监测CAN总线或FlexRay总线。这个软件可轻松部署到单板计算机中，包括用于IVI的SBS。为汽车安全启动设计的代码签名，由赛门铁克全球领先的备份证书机构（CA）和代码签名基础设施支持。嵌入式软件保护同样建立在我们的代码签名证书和CA服务的基础上，但是做的并不只是代码签名。在签名之前，嵌入式模糊处理和其他形式保护直接进入代码，使汽车制造商代码可以自己保护自己，甚至在有限的MCU，例如几十年的老8位和16位器件。全球物联网安全性分析，从数以百万计的汽车中收集数据进行分析，以抵抗高级威胁。总之，不管你们如何保护每个模块，无论做的多么好，你总是需要一个监测和分析框架，以检测最先进的威胁。

赛门铁克嵌入式安全：关键系统防护，可配置在许多这些模块中，加强良好代码的白名单，确保它们只能执行提前批准的代码，并控制这些代码的行为。使用白名单和沙盒作为最小特权保护战略的一部分，只允许已知的代码执行已知的功能。赛门铁克公司嵌入式安全：关键系统保护不仅直接监视应用程序的行为，而且也监视文件，设置，事件和日志，并报告异常行为。特点包括复杂的基于策略的审核和监控；日志整合，便于搜索；先进的事件分析和反应能力。

[1] https://www.symantec.com/solutions/automotive
2.2 CUJO
智能家居（smart home, home automation）是以住宅为平台，利用综合布线技术、网络通信技术、 安全防范技术、自动控制技术、音视频技术将家居生活有关的设施集成，构建高效的住宅设施与家庭日程事务的管理系统，提升家居安全性、便利性、舒适性、艺术性，并实现环保节能的居住环境。但是“便利”向来是把双刃剑，在物联网中传输的数据越多，信息暴露的可能性就越大，存在的安全隐患也因此而剧增。

在智能家庭中，一个很流行的应用是Nest公司的智能恒温器，该设备可以控制家庭的温度。但是，由于设备搜集家庭中的人的信息，因此，智能恒温器知道家中什么时候有人，他们的日程安排是什么，他们什么时候起床、什么时候睡觉，他们偏好于多少温度。

许多智能电视带有摄像头，即便电视没有打开，入侵智能电视的攻击者可以使用摄像头来监视你和你的家人。由于缺乏安全标准，攻击者甚至会锁定电视从而达到勒索的目的。

许多智能家庭的用户将车库开门器、门锁、摄像头等安防系统连接到网络上，通过手机APP可对其进行控制。攻击者一旦攻破这样的系统很明显会带来问题。比如攻击者在你去度假的时候打开房门，或者在午夜打开车库门等等。

攻击者在获取对于智能家庭中的灯光系统的访问后，除了控制家庭中的灯光外，还可以访问家庭的电力，从而可以增加家庭的电力消耗，导致极大的电费账单。

CUJO[④]是一个智能防火墙，可以使连接到家庭网络的设备远离网络威胁。CUJO在本地采样网络流量数据，然后发送元数据到云端用于分析。出于保护用户隐私，并没有发送全部的文件和内容到云端。如果检测到威胁或者受怀疑的活动，CUJO会下发锁定命令（issue a block），在移动APP上也会收到相应的通知。

CUJO扮演用户设备和与它们相连的网络之间的网关的角色，将数据包头发送到云中用于设备行为分析，通过将流量信息与商业威胁情报源进行对比，以确保未授权的IP并没有连接到用户的网络中。

移动APP的功能有：

（1）控制和监测用户网络中的所有设备

（2）实时接收威胁通知

（3）控制选定设备的网络访问

图4.3 CUJO 与其它产品功能对比

2.3 Vidder
Cryptzone通过问卷调研，对于企业网络访问安全有三个发现：

（1）很多企业使用的是过时的方法，在旧的网络安全模型下，缺乏对于限制授权用户和第三方的访问的解决方案。

（2）大部分的信息安全方面的破坏来自于内部威胁（insider threats）。

（3）一些公司并没有经常回顾访问策略，有的甚至已经几年没有这么做了。当策略制定好后，它们不会或者不去自动实施这些安全策略。

因此，我们需要一个新的安全模型，这个模型可以理解上下文信息，如用户位置，用户使用什么设备来建立连接的，何时建立连接的，以及用户的角色。这些信息可以集成到特定上下文的访问规则中，基于上下文参数的认证检查和对于资源的访问能够提供对于边界内部和外部的威胁的更好的防护。

对于用户的访问控制并不仅仅是在用户访问网络之前对于用户的认证，安全的一个基本方法就是要意识到任何人都可以声称他/她是某个人。

Vidder[⑤]公司的产品为PrecisionAccess。PrecisionAccess使得用户和不同公司、组织、控制区域的应用进行安全连接。PrecisionAccess基于SDP。PrecisionAccess基于预认证（pre-authentication）建立连通性。预认证的意思是在提供应用的可见性和连通性之前首先验证用户的可信和权限。它通过三种方式对抗基于网络的攻击：透明MFA可以抵抗证书丢失，服务器隔离可以抵抗服务器利用， TLS双向认证可以抵抗连接劫持。

PrecisionAccess的架构如下图所示，由三个组件组成，PA控制器、PA网关和PA客户端。PA控制器决定了哪些PA客户端可以互相连接。控制器有可能将信息转发到外部的认证服务，比如证实、地理定位、身份服务器等。PA客户端与PA控制器进行通信来请求可连接的主机列表。控制器可以在提供信息之前向PA网关之内的主机请求信息，如软硬件清单。初始时，PA网关之内的主机只与PA控制器进行通信，只在控制器的请求下与PA客户端建立连接。

图4.4 Vidder 架构图

2.4 NexDefense
针对工业控制系统的攻击将导致严重的后果。2010年6月，伊朗布什尔核电站遭到“震网”病毒攻击，1/5的离心机报废。2014年，德国的一个钢铁厂，遭受到高级持续性威胁（APT）攻击，攻击者的行为导致工控系统的控制组件和整个生产线被迫停止运转，由于不是正常的关闭炼钢炉，从而给钢厂带来了重大破坏。2014年，仅仅在美国就发生了245起攻击事件。2015年12月，乌克兰电网系统遭受黑客攻击，数百户家庭供电被迫中断。

工业4.0驱动制造业、过程控制、基础设施、其他工业控制系统的连通性，对于这些系统的威胁不断上升。

NexDefense[⑥]建于2012年，致力于实时保护关键基础设施中的系统的完整性，打击复杂的安全威胁。Sophia是该公司提供的商用安全软件，保持对于威胁的持续洞察和控制，使安全专业人员在不牺牲效率、性能的情况下增加合规性，它能够增加关键基础设施中的工业控制系统的安全性和可靠性。

面向领域：电力、油气、国防。

Sophia是一个工业网络异常检测系统，由美国能源部、Battelle Energy Alliance和Idaho National Laboratory （INL）的网络安全专家协作完成。最初应用于能源和国防组织，用于评估实时威胁和应急协议。它致力于寻找可以降低风险、减少责任（reduce liabilities）和确保自动化和控制系统的完整性的最佳方法和工具。

它可以检测到正常的自动化操作和系统控制操作中的偏差，然后提供预警。Sophia跟踪网络中的所有设备，知道什么状态是正常的，什么状态是不正常的，对不正常的通信进行报警。

通过对packet level 数据包级别的监测，来检测网络通信的改变，并对这些改变进行报警。可以提供相应的数据来帮助用户做决定，从而增加ICS/SCADA的安全性和可靠性。

它的特点有：

被动（没有对于ICS/SCADA的扫描和数据发送）、在线、综合实时通信分析。在生产环境中可安全使用。用户在一两天内即可精通。网络流量3D可视化。对于不在白名单中的非正常ICS/SCADA操作进行检测和报警。支持线下分析。适用于新的或遗留系统。支持第三方的离线分析。
2.5 Intel
随着车联网的普及，汽车上的无线技术使用也越来越多， 在给人们的生活带来便利的同时，也带来了很多的安全问题。2015年爆出黑客可以利用美国通用公司OnStar系统的漏洞来远程操纵汽车。可见智能汽车安全问题应该得到我们的高度重视。

现代汽车通信与以往有很大不同，目前出现了三种汽车通信方式：

（1） Car-to-Car Communication （V2C） 汽车与汽车之间。汽车之间交互信息，相互提醒路上的障碍物或者其它危害。

（2） Car-to-Infrastructure Communication （V2I），汽车和基础设施之间通过无线进行通信，例如交通信号，各种网络节点。

（3） Car-to-X Communication （V2X），汽车和任意物体之间。泛指任意的信息交换，例如汽车与移动电话，或者互联网应用和云服务。

如此广泛的交流方法意味着黑客可利用的方面非常多，因为任何暴漏在网络中的节点都可能遭受到攻击，或者通过被攻击的节点去连接其他的节点。

另一个问题就是汽车平均十几年的时间才换一次，这导致了行驶在道路上的车辆可能有不同的系统和不同的安全等级，相互通信的组件之间也可能会有不同的安全等级，并且对车辆系统和组件之间宽的兼容性的要求可能会增加新的可以利用的点。一个旧的不安全的智能手机连接到一个新的汽车中可能会导致汽车受到攻击。

同时攻击者也可以通过无线的方式利用汽车中的娱乐信息系统，可以侵入“CAN 总线”，向其他设备发送指令。

总结来说，攻击者攻击一辆汽车，要迈过两道重要的“关卡”[⑦]：

（1） 攻破 Wi-Fi 或蜂窝网络进入汽车系统内部；

（2） 绕过系统内部的验证机制，对重要设备的发送指令。

Intel 发布了关于解决下一代汽车安全和隐私问题的汽车安全最佳实践的白皮书[⑧]，文章中提出了一种三层纵深汽车安全防御体系，将在本小节中作重点介绍。

Intel白皮书中指出：下一代车辆会使用的系统有：

Advanced driver assistant systems（ADAS）。智能照明控制、自适应巡航控制、车道偏离警示系统和提车辅助。Advanced fleet management （车队管理）。实时远程信息处理（车联网），司机疲劳驾驶检测和包裹跟踪Smart transportation。（Vehicle-to-infrastructure）车辆和基础设施通信。例如交通灯控制，避免碰撞等。Autonomous driving自动驾驶。实现无人驾驶车辆的零事故死亡率或者撞车率。指出了下一代车辆最可能被攻击的几个点：

图4.5 汽车可能被攻击的几个点
Intel提出的安全纵深防御由三层组成︰硬件安全模块、 硬件安全服务和软件安全服务，如图4.5所示。

硬件安全保护：它的主要职责是安全启动，将环境带到可信赖的初始环境状态，安全存储和一个受信任的执行环境。

硬件安全服务：基于硬件安全建造，并提供快速加密性能、 永恒不变的设备标识、 消息验证和执行隔离。

软件安全服务：在硬件的基础上通过入侵检测和保护服务（IDPS）、防火墙、黑名单/白名单。恶意软件检测、加密服务、生物特征识别，over-the-air更新和其他功能加强安全性。

下面会简要介绍各个层次的主要技术。

图4.6 汽车安全纵深防御架构
1.硬件安全
硬件安全系统就像汽车的物理保护系统一样，它可以保护汽车的操作组件免受意外或者故意损害。在计算机安全产业有很多硬件安全技术可以用来保护ECUs和总线的安全，这些措施包括：

安全启动和软件证明功能：通过检查数字签名和产品秘钥来检测引导加载程序和关键操作系统是否被篡改。不合法的文件将不能运行。

可信执行技术：如可信任的处理器模块：使用密码技术来为每个被批准组件产生唯一标识符，将启动环境中的成分与一个已知的好的代码进行比较，如果代码不匹配则不允许执行。

篡改保护：加密的加密密钥，知识产权，帐户凭证，在编译时其他有价值的信息，并在一个小的执行窗口中解密，防止逆向工程并对消息进行监测，防止消息篡改。

加密加速：优化硬件减少加密工作负载，提高加密性能，并使对称或公钥加密更容易地广泛地应用到应用程序和通信中

主动内存保护：通过在硬件中嵌入pointerchecking减少代码漏洞，来防止缓冲区溢出等情况。

设备标识直接在设备上：使制造商能够知道唯一确定每个设备的身份，确保安全识别和防止未经批准的设备访问该制造商的网络或系统。这种技术，集成到芯片，也可以加密身份标识保持匿名。

2.软件安全

汽车网络和控制单元在硬件架构上被隔离保护，使它们很难受到攻击，但攻击者只要花费足够的时间和金钱依然可以闯入这些系统中。此外更多的ECUs通过常规协议连接起来增加了汽车可攻击的点。而且在ECUs中增加硬件安全能力是很困难的，所以我们需要基于软件的安全保护措施，保护汽车软件技术包括：

安全启动：与硬件协作，以确保加载的软件组件是有效的，以为其他系统提供信任根。

虚拟化：常用的软件和硬件的结合，使得它可以为单一的ECU创建一个防御屏障，分隔面向外部的功能和那些驱动车辆的功能，减少了巩固多个系统到一个单一的ECU的复杂性。

软件容器：用于单独系统和应用程序隔离，使之更新或替换单独的功能时，不会影响整体操作或镜像功能，从而实现快速故障转移。

认证：通过一个物理钥匙解锁车门并发动汽车不再是足够的，并正在通过软件增强认证能力，因为汽车提供跨越多种功能和配置文件的个性化服务。汽车需要电子密钥，密码和生物识别来管理和授权访问的个人信息，

允许正确的行为：黑客从一个系统跳到另一个系统或者从一个被俘获的组件发送信息给一个正常的组件是很常见的。防止这种网络活动是检测和纠正意外或者恶意威胁的关键。

3.网络安全：

车联网中传输了很多操作和个人信息，包括：位置，导航历史记录，麦克风录音等，为了保护操作安全和用户隐私，保护通信过程中的信息和数据安全十分重要。保护通信的措施主要有：

消息验证：验证消息从被批准的发送源中发送过来，以防欺骗或者重放攻击。

所有系统行为的可预测性：根据预先定义好的征程行为限制网络通信，限制不正常的行为。

防火墙：明确只允许预先批准的系统和传感器之间通信和传递消息，未经批准的和不恰当的信息会被限制，并将这次不合法的尝试发送给安全系统。

4.云安全服务

车辆安全性是必不可少的，有些额外的安全服务要求实时更新，因此系统需要能够连接到基于云的安全服务，以便于能够及时检测和预防威胁。

与云的安全认证通道：在远程控制，软件更新和其通信过程中，利用硬件辅助的加密实现数数据保护。

车辆活动的远程监控：包括适当的隐私约束以帮助检测异常行为，发现行为异常的车辆，过滤和删除恶意软件。

威胁情报交换：汽车的经销商、制造商甚至政府机构能够合作起来，能够快速将零日漏洞（zero-day exploit）和恶意软件通知相应的车辆。

OTA：当发现漏洞的时候，可以更新系统，大幅度降低召回成本。

证书管理：联网的车辆组件、车主和司机认证，为用户的配置文件和账户提供安全管理，身份证明以及相关联的加密密钥和服务。证书的安全性是数据隐私的关键。

5.供应链风险管理

为了保持安全架构的可信和完整性，检测和避免零部件被渗透和污染十分重要，必须要防止攻击者物理地访问车内的硬件。已知的保护供应链的最佳实践包括：

授权分销渠道：用于采购的用来建造和维护车辆的所有硬件和软件。追踪记录：检测在安全系统中的所有重要部件。持续的备件和维修部件的供应计划：包括一个长期的部件可用性策略。
6.数据隐私和匿名

数据隐私有两个方面 ︰个人数据的机密性和不在用户控制范围内的数据泄露。为了保证数据的机密性，数据在车内或者车外存储和传输的时候都需要进行加密处理。对于数据泄露，需要方法防止非法访问。

其它公司所做的工作，大多在这三层体系中得以体现，如：

Argus
该公司提供了一个独特的入侵检测和预防系统（IDPS），利用正在申请专利的深度包检测算法识别恶意攻击，扫描所有车载网中的流量，识别不正常的传输，并且实时对威胁做出回应。同时为管理员们提供一个综合性的网络攻击和不合法的行为的概览，使原始设备制造商识别非授权的对ECU（电子控制单元）调整和改变行为。

因为威胁是动态的，Argus研究团队持续更新系统，利用Argus安全云服务实时通过Over-The-Air更新系统。

这种防御方式属于三层中的软件安全服务层，通过入侵检测和保护服务（IDPS）来增强系统安全性。

Karamba
该公司指出完成一个成功的攻击，黑客首先需要找到一种方式进入汽车的控制器局域网（CAN总线）。虽然有连接到CAN总线有过百的ECU，只有少数有外部通信接口。这些的ECU是进入车内入口。检测、并在这些入口处阻止攻击者，那么攻击者渗透到汽车的网络，并破坏汽车的安全操作的风险会显著减少。

Karamba与系统供应商合作，为每个ECU定义出厂设置，生成所有ECU允许的程序二进制、程序、脚本、网络行为等的白名单，这一政策被嵌入外部连接的ECU内，以确保只有明确允许的策略代码和行为会在其上运行。

该防御方法属于硬件安全服务层，将产品集成在硬件中，提供安全服务，增强系统的安全性。
三. 总结及思考
通过前几章的介绍，我们可以了解到：物联网覆盖的范围较为广泛，物联网安全问题所需要关注的方面也非常多，不仅包含传统网络安全问题，还存在着一些物联网特有的安全问题。

本章中我们总结出了物联网安全研究可以切入的三个领域：工业控制、智能汽车和智能家居，然后又列出了六点需要重点关注的方面，公司可以从这些点作为物联网安全研究的切入点。
3.1 物联网安全可以作为切入点的领域
（1）工控安全

针对工业控制系统的攻击将导致严重的后果。工业4.0驱动制造业、过程控制、基础设施、其他工业控制系统的连通性，对于这些系统的威胁不断上升。

（2）智能汽车安全

随着特斯拉汽车的推出，以及苹果、谷歌等互联网巨头新的智能汽车系统的成熟，车联网正在从概念变为现实，但是智能汽车一旦遭受黑客攻击，发生安全问题，可能会造成严重的交通事故，威胁人们的生命安全。

（3）智能家居安全

随着物联网技术的迅速发展，智能家居概念颇为火热，但是如果黑客能轻松的利用网络攻破一些智能家用产品的安全防线， 如：黑客侵占智能设备（恒温控制器、智能TV、摄像头），可以获取用户隐私信息，带来安全隐患。
3.2 物联网安全研究点
基于调研，我们总结了物联网安全的六个关注点：

（1）物联网安全网关

物联网设备缺乏认证和授权标准，有些甚至没有相关设计，对于连接到公网的设备，这将导致可通过公网直接对其进行访问。另外，也很难保证设备的认证和授权实现没有问题，所有设备都进行完备的认证未必现实（设备的功耗等），可考虑额外加一层认证环节，只有认证通过，才能够对其进行访问。结合大数据分析提供自适应访问控制。

对于智能家居内部设备（如摄像头）的访问，可将访问视为申请，由网关记录并通知网关APP，由用户在网关APP端进行访问授权。

未来物联网网关可以发展成富应用平台，就像当下的手机一样。一是对于用户体验和交互性来说拥有本地接口和数据存储是非常有用的，二是即使与互联网的连接中断，这些应用也需要持续工作。物理网关对于嵌入式设备可以提供有用的安全保护。低功耗操作和受限的软件支持意味着频繁的固件更新代价太高甚至不可能实现。反而，网关可以主动更新软件（高级防火墙）以保护嵌入式设备免受攻击。实现这些特性需要重新思考运行在网关上的操作系统和其机制。

软件定义边界可以被用来隐藏服务器和服务器与设备的交互，从而最大化地保障安全和运行时间。

细粒度访问控制：研究基于属性的访问控制模型，使设备根据其属性按需细粒度访问内部网络的资源；

自适应访问控制：研究安全设备按需编排模型，对于设备的异常行为进行安全防护，限制恶意用户对于物联网设备的访问。

同时，安全网关还可与云端通信，实现对于设备的OTA升级，可以定期对内网设备状态进行检测，并将检测结果上传到云端进行分析等等。

但是，也应意识到安全网关的局限性，安全网关更适用于对于固定场所中外部与内部连接之间的防护，如家庭、企业等，对于一些需要移动的设备的安全，如智能手环等，或者内部使用无线通信的环境，则可能需要使用其他的方式来解决。

（2）应用层的物联网安全服务

应用层的物联网安全服务主要包含两个方面，一是大数据分析驱动的安全，二是对于已有的安全能力的集成。

由于感知层的设备性能所限，并不具备分析海量数据的能力，也不具备关联多种数据发现异常的能力，一种自然的思路是在感知层与网络层的连接处提供一个安全网关，安全网关负责采集数据，如流量数据、设备状态等等，这些数据上传到应用层，利用应用层的数据分析能力进行分析，根据分析结果，下发相应指令。

传统的Web安全中的安全能力，如URL信誉服务、IP信誉服务等等，同样可以集成到物联网环境中，可作为安全服务模块，由用户自行选择。

图5.1 利用云端进行大数据分析
（3）漏洞挖掘研究

物联网漏洞挖掘主要关注两个方面，一个是网络协议的漏洞挖掘，一个是嵌入式操作系统的漏洞挖掘。分别对应网络层和感知层，应用层大多采用云平台，属于云安全的范畴，可应用已有的云安全防护措施。

在现代的汽车、工控等物联网行业，各种网络协议被广泛使用，这些网络协议带来了大量的安全问题。需要利用一些漏洞挖掘技术对物联网中的协议进行漏洞挖掘，先于攻击者发现并及时修补漏洞，有效减少来自黑客的威胁，提升系统的安全性。

物联网设备多使用嵌入式操作系统，如果这些嵌入式操作系统遭受了攻击，将会对整个设备造成很大的影响。对嵌入式操作系统的漏洞挖掘也是一个重要的物联网安全研究方向。

（4）物联网僵尸网络研究

今年最为有名的物联网僵尸网络便是Mirai了，它通过感染网络摄像头等物联网设备进行传播，可发动大规模的DDoS攻击，它对Brian Krebs个人网站和法国网络服务商OVH发动DDoS攻击，对于美国Dyn公司的攻击Mirai也贡献了部分流量。

对于物联网僵尸网络的研究包括传播机理、检测、防护和清除方法。

（5）区块链技术

区块链解决的核心问题是在信息不对称、不确定的环境下，如何建立满足经济活动赖以发生、发展的“信任”生态体系。

在物联网环境中，所有日常家居物件都能自发、自动地与其它物件、或外界世界进行互动，但是必须解决物联网设备之间的信任问题。

传统的中心化系统中，信任机制比较容易建立，存在一个可信的第三方来管理所有的设备的身份信息。但是物联网环境中设备众多，未来可能会达到百亿级别，这会对可信第三方造成很大的压力。

区块链系统网络是典型的P2P网络，具有分布式异构特征，而物联网天然具备分布式特征，网中的每一个设备都能管理自己在交互作用中的角色、行为和规则，对建立区块链系统的共识机制具有重要的支持作用。[⑨]

（6）物联网设备安全设计

物联网设备制造商并没有很强的安全背景，也缺乏标准来说明一个产品是否是安全的。很多安全问题来自于不安全的设计。信息安全厂商可以做三点：一是提供安全的开发规范，进行安全开发培训，指导物联网领域的开发人员进行安全开发，提高产品的安全性；二是将安全模块内置于物联网产品中，比如工控领域对于实时性的要求很高，而且一旦部署可能很多年都不会对其进行替换，这是的安全可能更偏重于安全评估和检测，如果将安全模块融入设备的制造过程，将能显著降低安全模块的开销，对设备提供更好的安全防护；三是对出厂设备进行安全检测，及时发现设备中的漏洞并协助厂商进行修复。

[①] https://www.symantec.com/solutions/internet-of-things

[②] https://www.symantec.com/solutions/industrial-control

[③] https://www.symantec.com/solutions/automotive

[④] https://www.getcujo.com/

[⑤] https://www.vidder.com/

[⑥] http://www.nexdefense.com/

[⑦] http://bluereader.org/article/172957754

[⑧] http://www.mcafee.com/us/resources/white-papers/wp-automotive-security.pdf

[⑨] 摘自《中国区块链技术和应用发展白皮书（2016）》查看原文：http://blog.nsfocus.net/iot-security-company-product-introduction/

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
本文是物联网安全系列文章的最后一篇，通过上期介绍物联网安全技术研究的思路之后，笔者为大家选取了五家公司，在介绍公司产品的同时，也会对其所关注的行业的需求进行一些介绍。在最后，文章对物联网安全可以切入的点，以及可以深入研究的点，进行总结和思考。

  
  一. 引言
消费行业的市场处于物联网普及的开端，可穿戴设备、智能家庭产品、照明设备和其他的智能设备正在成为主流。商业和公共部门对于物联网的采用在消费市场之后，Verizon在2015年的物联网报告中预测2011年到2020年之间的企业对企业（Business-to-Business，B2B）的物联网连接每年将以28%的速度增长。工业，如制造型、能源、交通和零售已经采用了物联网initiatives。埃森哲在其2015年的工业物联网市场定位报告中预测，到2030年，单纯美国的工业物联网将价值7.1万亿美元，将支持效率、安全、生产力和service provisioning的增强。

全球的多个城市也正在采用物联网，依赖于从数以千计的按地理位置分布的不同类型的传感器捕获的数据，它们正在往智慧城市的道路上发展。在医疗行业，我们可以看到制造商已经开始在设备中加入网络连接性和智能以探索物联网的应用，例如患者床边设备。我们同样可以看到个人和商业之间的物联网能力的互联性正在开始，智能穿戴设备很快就可以搜集数据，然后将其传输给云中的医疗服务提供商。交通行业是另一个令人振奋的行业，车联网已经萌芽，随着无人驾驶汽车的实验，基于物联网的路边设备对于传感数据的收集和分析的能力将变得越来越重要。在能源行业，集成和互联的系统（如现代变电站综合系统、智能电网系统）趋于增加系统的自动化和远程访问能力，以在近乎实时的情况下向大范围的用户传输信息以及控制相关的多个任务，以求精简运作和性能。

本章选取了五家公司，在介绍公司产品的同时，也会对其所关注的行业的需求进行一个介绍。赛门铁克提出了一个通用的物联网安全架构。CUJO是一家智能家庭领域的安全公司，其主打产品为智能防火墙，在智能设备在家庭中日益普及的今天，以智能防火墙作为切入点非常值得关注。Vidder的技术基础是软件定义边界（Software Defined Perimeter，SDP），其借助于软件定义网络的思想来做访问控制，实现了认证与实际数据访问的分离。NexDefense是一家工控安全领域的公司，其主打产品Sophia是一个工业网络异常检测系统。Intel 发布了关于解决下一代汽车安全和隐私问题的汽车安全最佳实践的白皮书，提出了一种三层纵深汽车安全防御体系。
二. 物联网安全公司及其产品介绍
2.1 赛门铁克
由于物联网设备的资源受限，因此并不完全支持传统的安全解决方案。赛门铁克[①]将物联网安全分为四个部分：通信保护、设备保护、设备管理和理解当前的系统。这几个部分可以结合起来组成一个功能强大的、易于部署的安全架构来移除物联网中的大部分的安全威胁，如APT和复杂的威胁。白皮书“An Internet of Things Reference Architecture”中对这四部分进行了介绍。

通信保护需要对于设备和远程系统之间的通信进行加密和认证，作为认证机构（CA）的领导者，赛门铁克已经在十亿以上的物联网设备中嵌入了设备证书密钥。

设备保护需要对代码签名以确保所有运行的代码都是经过认证的，以及在运行时防护。运行时防护可以通过基于主机的保护（Host based protections）方法。

设备管理需要提供设备固件安全升级的方法，通常可将over-the air（OTA）内置在设备中。

理解当前的系统需要对系统进行安全分析以检测出系统中的异常行为。很多已经运行的系统不能轻易被取代，对系统的检测和分析可以作为临时的解决方案进行部署。

下图是赛门铁克对于PC时代和物联网时代的安全做法的对比。


图4.1 赛门铁克对于PC时代和物联网时代的安全做法对比
赛门铁克[②]在工控系统安全方面主要有两类解决方案，一是针对操作者如何保护工厂和基础设施的安全，二是针对设备供应商如何在其产品中增加安全性。

赛门铁克利用分析技术和机器学习对ICS网络建模以使用户理解自己的网络，从而检测高级威胁。

Symantec Embedded Security: Critical System Protection（SES CSP）是一个轻量级的安全客户端，通过保护终端和嵌入式设备来保护物联网安全。它在不影响设备性能的情况下向制造商和资产所有者提供embedded systems robust signatureless, host-based protection in managed and unmanaged scenarios。由于是基于策略的防护，SES CSP不需要像杀毒软件那样进行安全内容更新。

赛门铁克对汽车安全领域的分析沿用了上文提出的安全框架，同样分为四部分：

 
 保护所有通信
保护各传感器，执行器，微控制器（MCU），以及微处理器
安全和有效地管理整个车辆通过空中下载（OTA）
减轻高级威胁
图4.2 汽车安全需要注意的四个点
赛门铁克[1]嵌入式安全：保护关键系统，保护关键单元和大多数汽车的IVI系统。保护OBD-II接口设备，包括经销商的诊断设备和UBI加密狗。设备认证嵌入式安全证书可以用来认证数据。赛门铁克代码签名证书目前支持全系列代码签名的，包括安全启动签名代码。

嵌入式汽车安全分析用来监测CAN总线或FlexRay总线。这个软件可轻松部署到单板计算机中，包括用于IVI的SBS。为汽车安全启动设计的代码签名，由赛门铁克全球领先的备份证书机构（CA）和代码签名基础设施支持。嵌入式软件保护同样建立在我们的代码签名证书和CA服务的基础上，但是做的并不只是代码签名。在签名之前，嵌入式模糊处理和其他形式保护直接进入代码，使汽车制造商代码可以自己保护自己，甚至在有限的MCU，例如几十年的老8位和16位器件。全球物联网安全性分析，从数以百万计的汽车中收集数据进行分析，以抵抗高级威胁。总之，不管你们如何保护每个模块，无论做的多么好，你总是需要一个监测和分析框架，以检测最先进的威胁。

赛门铁克嵌入式安全：关键系统防护，可配置在许多这些模块中，加强良好代码的白名单，确保它们只能执行提前批准的代码，并控制这些代码的行为。使用白名单和沙盒作为最小特权保护战略的一部分，只允许已知的代码执行已知的功能。赛门铁克公司嵌入式安全：关键系统保护不仅直接监视应用程序的行为，而且也监视文件，设置，事件和日志，并报告异常行为。特点包括复杂的基于策略的审核和监控；日志整合，便于搜索；先进的事件分析和反应能力。

[1] https://www.symantec.com/solutions/automotive
2.2 CUJO
智能家居（smart home, home automation）是以住宅为平台，利用综合布线技术、网络通信技术、 安全防范技术、自动控制技术、音视频技术将家居生活有关的设施集成，构建高效的住宅设施与家庭日程事务的管理系统，提升家居安全性、便利性、舒适性、艺术性，并实现环保节能的居住环境。但是“便利”向来是把双刃剑，在物联网中传输的数据越多，信息暴露的可能性就越大，存在的安全隐患也因此而剧增。

在智能家庭中，一个很流行的应用是Nest公司的智能恒温器，该设备可以控制家庭的温度。但是，由于设备搜集家庭中的人的信息，因此，智能恒温器知道家中什么时候有人，他们的日程安排是什么，他们什么时候起床、什么时候睡觉，他们偏好于多少温度。

许多智能电视带有摄像头，即便电视没有打开，入侵智能电视的攻击者可以使用摄像头来监视你和你的家人。由于缺乏安全标准，攻击者甚至会锁定电视从而达到勒索的目的。

许多智能家庭的用户将车库开门器、门锁、摄像头等安防系统连接到网络上，通过手机APP可对其进行控制。攻击者一旦攻破这样的系统很明显会带来问题。比如攻击者在你去度假的时候打开房门，或者在午夜打开车库门等等。

攻击者在获取对于智能家庭中的灯光系统的访问后，除了控制家庭中的灯光外，还可以访问家庭的电力，从而可以增加家庭的电力消耗，导致极大的电费账单。

CUJO[④]是一个智能防火墙，可以使连接到家庭网络的设备远离网络威胁。CUJO在本地采样网络流量数据，然后发送元数据到云端用于分析。出于保护用户隐私，并没有发送全部的文件和内容到云端。如果检测到威胁或者受怀疑的活动，CUJO会下发锁定命令（issue a block），在移动APP上也会收到相应的通知。

CUJO扮演用户设备和与它们相连的网络之间的网关的角色，将数据包头发送到云中用于设备行为分析，通过将流量信息与商业威胁情报源进行对比，以确保未授权的IP并没有连接到用户的网络中。

移动APP的功能有：

（1）控制和监测用户网络中的所有设备

（2）实时接收威胁通知

（3）控制选定设备的网络访问


图4.3 CUJO 与其它产品功能对比

2.3 Vidder
Cryptzone通过问卷调研，对于企业网络访问安全有三个发现：

（1）很多企业使用的是过时的方法，在旧的网络安全模型下，缺乏对于限制授权用户和第三方的访问的解决方案。

（2）大部分的信息安全方面的破坏来自于内部威胁（insider threats）。

（3）一些公司并没有经常回顾访问策略，有的甚至已经几年没有这么做了。当策略制定好后，它们不会或者不去自动实施这些安全策略。

因此，我们需要一个新的安全模型，这个模型可以理解上下文信息，如用户位置，用户使用什么设备来建立连接的，何时建立连接的，以及用户的角色。这些信息可以集成到特定上下文的访问规则中，基于上下文参数的认证检查和对于资源的访问能够提供对于边界内部和外部的威胁的更好的防护。

对于用户的访问控制并不仅仅是在用户访问网络之前对于用户的认证，安全的一个基本方法就是要意识到任何人都可以声称他/她是某个人。

Vidder[⑤]公司的产品为PrecisionAccess。PrecisionAccess使得用户和不同公司、组织、控制区域的应用进行安全连接。PrecisionAccess基于SDP。PrecisionAccess基于预认证（pre-authentication）建立连通性。预认证的意思是在提供应用的可见性和连通性之前首先验证用户的可信和权限。它通过三种方式对抗基于网络的攻击：透明MFA可以抵抗证书丢失，服务器隔离可以抵抗服务器利用， TLS双向认证可以抵抗连接劫持。

PrecisionAccess的架构如下图所示，由三个组件组成，PA控制器、PA网关和PA客户端。PA控制器决定了哪些PA客户端可以互相连接。控制器有可能将信息转发到外部的认证服务，比如证实、地理定位、身份服务器等。PA客户端与PA控制器进行通信来请求可连接的主机列表。控制器可以在提供信息之前向PA网关之内的主机请求信息，如软硬件清单。初始时，PA网关之内的主机只与PA控制器进行通信，只在控制器的请求下与PA客户端建立连接。


图4.4 Vidder 架构图

2.4 NexDefense
针对工业控制系统的攻击将导致严重的后果。2010年6月，伊朗布什尔核电站遭到“震网”病毒攻击，1/5的离心机报废。2014年，德国的一个钢铁厂，遭受到高级持续性威胁（APT）攻击，攻击者的行为导致工控系统的控制组件和整个生产线被迫停止运转，由于不是正常的关闭炼钢炉，从而给钢厂带来了重大破坏。2014年，仅仅在美国就发生了245起攻击事件。2015年12月，乌克兰电网系统遭受黑客攻击，数百户家庭供电被迫中断。

工业4.0驱动制造业、过程控制、基础设施、其他工业控制系统的连通性，对于这些系统的威胁不断上升。

NexDefense[⑥]建于2012年，致力于实时保护关键基础设施中的系统的完整性，打击复杂的安全威胁。Sophia是该公司提供的商用安全软件，保持对于威胁的持续洞察和控制，使安全专业人员在不牺牲效率、性能的情况下增加合规性，它能够增加关键基础设施中的工业控制系统的安全性和可靠性。

面向领域：电力、油气、国防。

Sophia是一个工业网络异常检测系统，由美国能源部、Battelle Energy Alliance和Idaho National Laboratory （INL）的网络安全专家协作完成。最初应用于能源和国防组织，用于评估实时威胁和应急协议。它致力于寻找可以降低风险、减少责任（reduce liabilities）和确保自动化和控制系统的完整性的最佳方法和工具。

它可以检测到正常的自动化操作和系统控制操作中的偏差，然后提供预警。Sophia跟踪网络中的所有设备，知道什么状态是正常的，什么状态是不正常的，对不正常的通信进行报警。

通过对packet level 数据包级别的监测，来检测网络通信的改变，并对这些改变进行报警。可以提供相应的数据来帮助用户做决定，从而增加ICS/SCADA的安全性和可靠性。

它的特点有：

 
 被动（没有对于ICS/SCADA的扫描和数据发送）、在线、综合实时通信分析。
在生产环境中可安全使用。
用户在一两天内即可精通。
网络流量3D可视化。
对于不在白名单中的非正常ICS/SCADA操作进行检测和报警。
支持线下分析。
适用于新的或遗留系统。
支持第三方的离线分析。
2.5 Intel
随着车联网的普及，汽车上的无线技术使用也越来越多， 在给人们的生活带来便利的同时，也带来了很多的安全问题。2015年爆出黑客可以利用美国通用公司OnStar系统的漏洞来远程操纵汽车。可见智能汽车安全问题应该得到我们的高度重视。

现代汽车通信与以往有很大不同，目前出现了三种汽车通信方式：

（1） Car-to-Car Communication （V2C） 汽车与汽车之间。汽车之间交互信息，相互提醒路上的障碍物或者其它危害。

（2） Car-to-Infrastructure Communication （V2I），汽车和基础设施之间通过无线进行通信，例如交通信号，各种网络节点。

（3） Car-to-X Communication （V2X），汽车和任意物体之间。泛指任意的信息交换，例如汽车与移动电话，或者互联网应用和云服务。

如此广泛的交流方法意味着黑客可利用的方面非常多，因为任何暴漏在网络中的节点都可能遭受到攻击，或者通过被攻击的节点去连接其他的节点。

另一个问题就是汽车平均十几年的时间才换一次，这导致了行驶在道路上的车辆可能有不同的系统和不同的安全等级，相互通信的组件之间也可能会有不同的安全等级，并且对车辆系统和组件之间宽的兼容性的要求可能会增加新的可以利用的点。一个旧的不安全的智能手机连接到一个新的汽车中可能会导致汽车受到攻击。

同时攻击者也可以通过无线的方式利用汽车中的娱乐信息系统，可以侵入“CAN 总线”，向其他设备发送指令。

总结来说，攻击者攻击一辆汽车，要迈过两道重要的“关卡”[⑦]：

（1） 攻破 Wi-Fi 或蜂窝网络进入汽车系统内部；

（2） 绕过系统内部的验证机制，对重要设备的发送指令。

Intel 发布了关于解决下一代汽车安全和隐私问题的汽车安全最佳实践的白皮书[⑧]，文章中提出了一种三层纵深汽车安全防御体系，将在本小节中作重点介绍。

Intel白皮书中指出：下一代车辆会使用的系统有：

 
 Advanced driver assistant systems（ADAS）。智能照明控制、自适应巡航控制、车道偏离警示系统和提车辅助。
Advanced fleet management （车队管理）。实时远程信息处理（车联网），司机疲劳驾驶检测和包裹跟踪
Smart transportation。（Vehicle-to-infrastructure）车辆和基础设施通信。例如交通灯控制，避免碰撞等。
Autonomous driving自动驾驶。实现无人驾驶车辆的零事故死亡率或者撞车率。
指出了下一代车辆最可能被攻击的几个点：

图4.5 汽车可能被攻击的几个点
Intel提出的安全纵深防御由三层组成︰硬件安全模块、 硬件安全服务和软件安全服务，如图4.5所示。

硬件安全保护：它的主要职责是安全启动，将环境带到可信赖的初始环境状态，安全存储和一个受信任的执行环境。

硬件安全服务：基于硬件安全建造，并提供快速加密性能、 永恒不变的设备标识、 消息验证和执行隔离。

软件安全服务：在硬件的基础上通过入侵检测和保护服务（IDPS）、防火墙、黑名单/白名单。恶意软件检测、加密服务、生物特征识别，over-the-air更新和其他功能加强安全性。

下面会简要介绍各个层次的主要技术。


图4.6 汽车安全纵深防御架构
1.硬件安全
硬件安全系统就像汽车的物理保护系统一样，它可以保护汽车的操作组件免受意外或者故意损害。在计算机安全产业有很多硬件安全技术可以用来保护ECUs和总线的安全，这些措施包括：

安全启动和软件证明功能：通过检查数字签名和产品秘钥来检测引导加载程序和关键操作系统是否被篡改。不合法的文件将不能运行。

可信执行技术：如可信任的处理器模块：使用密码技术来为每个被批准组件产生唯一标识符，将启动环境中的成分与一个已知的好的代码进行比较，如果代码不匹配则不允许执行。

篡改保护：加密的加密密钥，知识产权，帐户凭证，在编译时其他有价值的信息，并在一个小的执行窗口中解密，防止逆向工程并对消息进行监测，防止消息篡改。

加密加速：优化硬件减少加密工作负载，提高加密性能，并使对称或公钥加密更容易地广泛地应用到应用程序和通信中

主动内存保护：通过在硬件中嵌入pointerchecking减少代码漏洞，来防止缓冲区溢出等情况。

设备标识直接在设备上：使制造商能够知道唯一确定每个设备的身份，确保安全识别和防止未经批准的设备访问该制造商的网络或系统。这种技术，集成到芯片，也可以加密身份标识保持匿名。

2.软件安全

汽车网络和控制单元在硬件架构上被隔离保护，使它们很难受到攻击，但攻击者只要花费足够的时间和金钱依然可以闯入这些系统中。此外更多的ECUs通过常规协议连接起来增加了汽车可攻击的点。而且在ECUs中增加硬件安全能力是很困难的，所以我们需要基于软件的安全保护措施，保护汽车软件技术包括：

安全启动：与硬件协作，以确保加载的软件组件是有效的，以为其他系统提供信任根。

虚拟化：常用的软件和硬件的结合，使得它可以为单一的ECU创建一个防御屏障，分隔面向外部的功能和那些驱动车辆的功能，减少了巩固多个系统到一个单一的ECU的复杂性。

软件容器：用于单独系统和应用程序隔离，使之更新或替换单独的功能时，不会影响整体操作或镜像功能，从而实现快速故障转移。

认证：通过一个物理钥匙解锁车门并发动汽车不再是足够的，并正在通过软件增强认证能力，因为汽车提供跨越多种功能和配置文件的个性化服务。汽车需要电子密钥，密码和生物识别来管理和授权访问的个人信息，

允许正确的行为：黑客从一个系统跳到另一个系统或者从一个被俘获的组件发送信息给一个正常的组件是很常见的。防止这种网络活动是检测和纠正意外或者恶意威胁的关键。

3.网络安全：

车联网中传输了很多操作和个人信息，包括：位置，导航历史记录，麦克风录音等，为了保护操作安全和用户隐私，保护通信过程中的信息和数据安全十分重要。保护通信的措施主要有：

消息验证：验证消息从被批准的发送源中发送过来，以防欺骗或者重放攻击。

所有系统行为的可预测性：根据预先定义好的征程行为限制网络通信，限制不正常的行为。

防火墙：明确只允许预先批准的系统和传感器之间通信和传递消息，未经批准的和不恰当的信息会被限制，并将这次不合法的尝试发送给安全系统。

4.云安全服务

车辆安全性是必不可少的，有些额外的安全服务要求实时更新，因此系统需要能够连接到基于云的安全服务，以便于能够及时检测和预防威胁。

与云的安全认证通道：在远程控制，软件更新和其通信过程中，利用硬件辅助的加密实现数数据保护。

车辆活动的远程监控：包括适当的隐私约束以帮助检测异常行为，发现行为异常的车辆，过滤和删除恶意软件。

威胁情报交换：汽车的经销商、制造商甚至政府机构能够合作起来，能够快速将零日漏洞（zero-day exploit）和恶意软件通知相应的车辆。

OTA：当发现漏洞的时候，可以更新系统，大幅度降低召回成本。

证书管理：联网的车辆组件、车主和司机认证，为用户的配置文件和账户提供安全管理，身份证明以及相关联的加密密钥和服务。证书的安全性是数据隐私的关键。

5.供应链风险管理

为了保持安全架构的可信和完整性，检测和避免零部件被渗透和污染十分重要，必须要防止攻击者物理地访问车内的硬件。已知的保护供应链的最佳实践包括：

 
 授权分销渠道：用于采购的用来建造和维护车辆的所有硬件和软件。
追踪记录：检测在安全系统中的所有重要部件。
持续的备件和维修部件的供应计划：包括一个长期的部件可用性策略。
6.数据隐私和匿名

数据隐私有两个方面 ︰个人数据的机密性和不在用户控制范围内的数据泄露。为了保证数据的机密性，数据在车内或者车外存储和传输的时候都需要进行加密处理。对于数据泄露，需要方法防止非法访问。

其它公司所做的工作，大多在这三层体系中得以体现，如：

 
 Argus
该公司提供了一个独特的入侵检测和预防系统（IDPS），利用正在申请专利的深度包检测算法识别恶意攻击，扫描所有车载网中的流量，识别不正常的传输，并且实时对威胁做出回应。同时为管理员们提供一个综合性的网络攻击和不合法的行为的概览，使原始设备制造商识别非授权的对ECU（电子控制单元）调整和改变行为。

因为威胁是动态的，Argus研究团队持续更新系统，利用Argus安全云服务实时通过Over-The-Air更新系统。

这种防御方式属于三层中的软件安全服务层，通过入侵检测和保护服务（IDPS）来增强系统安全性。

 
 Karamba
该公司指出完成一个成功的攻击，黑客首先需要找到一种方式进入汽车的控制器局域网（CAN总线）。虽然有连接到CAN总线有过百的ECU，只有少数有外部通信接口。这些的ECU是进入车内入口。检测、并在这些入口处阻止攻击者，那么攻击者渗透到汽车的网络，并破坏汽车的安全操作的风险会显著减少。

Karamba与系统供应商合作，为每个ECU定义出厂设置，生成所有ECU允许的程序二进制、程序、脚本、网络行为等的白名单，这一政策被嵌入外部连接的ECU内，以确保只有明确允许的策略代码和行为会在其上运行。

该防御方法属于硬件安全服务层，将产品集成在硬件中，提供安全服务，增强系统的安全性。
三. 总结及思考
通过前几章的介绍，我们可以了解到：物联网覆盖的范围较为广泛，物联网安全问题所需要关注的方面也非常多，不仅包含传统网络安全问题，还存在着一些物联网特有的安全问题。

本章中我们总结出了物联网安全研究可以切入的三个领域：工业控制、智能汽车和智能家居，然后又列出了六点需要重点关注的方面，公司可以从这些点作为物联网安全研究的切入点。
3.1 物联网安全可以作为切入点的领域
（1）工控安全

针对工业控制系统的攻击将导致严重的后果。工业4.0驱动制造业、过程控制、基础设施、其他工业控制系统的连通性，对于这些系统的威胁不断上升。

（2）智能汽车安全

随着特斯拉汽车的推出，以及苹果、谷歌等互联网巨头新的智能汽车系统的成熟，车联网正在从概念变为现实，但是智能汽车一旦遭受黑客攻击，发生安全问题，可能会造成严重的交通事故，威胁人们的生命安全。

（3）智能家居安全

随着物联网技术的迅速发展，智能家居概念颇为火热，但是如果黑客能轻松的利用网络攻破一些智能家用产品的安全防线， 如：黑客侵占智能设备（恒温控制器、智能TV、摄像头），可以获取用户隐私信息，带来安全隐患。
3.2 物联网安全研究点
基于调研，我们总结了物联网安全的六个关注点：

（1）物联网安全网关

物联网设备缺乏认证和授权标准，有些甚至没有相关设计，对于连接到公网的设备，这将导致可通过公网直接对其进行访问。另外，也很难保证设备的认证和授权实现没有问题，所有设备都进行完备的认证未必现实（设备的功耗等），可考虑额外加一层认证环节，只有认证通过，才能够对其进行访问。结合大数据分析提供自适应访问控制。

对于智能家居内部设备（如摄像头）的访问，可将访问视为申请，由网关记录并通知网关APP，由用户在网关APP端进行访问授权。

未来物联网网关可以发展成富应用平台，就像当下的手机一样。一是对于用户体验和交互性来说拥有本地接口和数据存储是非常有用的，二是即使与互联网的连接中断，这些应用也需要持续工作。物理网关对于嵌入式设备可以提供有用的安全保护。低功耗操作和受限的软件支持意味着频繁的固件更新代价太高甚至不可能实现。反而，网关可以主动更新软件（高级防火墙）以保护嵌入式设备免受攻击。实现这些特性需要重新思考运行在网关上的操作系统和其机制。

软件定义边界可以被用来隐藏服务器和服务器与设备的交互，从而最大化地保障安全和运行时间。

细粒度访问控制：研究基于属性的访问控制模型，使设备根据其属性按需细粒度访问内部网络的资源；

自适应访问控制：研究安全设备按需编排模型，对于设备的异常行为进行安全防护，限制恶意用户对于物联网设备的访问。

同时，安全网关还可与云端通信，实现对于设备的OTA升级，可以定期对内网设备状态进行检测，并将检测结果上传到云端进行分析等等。

但是，也应意识到安全网关的局限性，安全网关更适用于对于固定场所中外部与内部连接之间的防护，如家庭、企业等，对于一些需要移动的设备的安全，如智能手环等，或者内部使用无线通信的环境，则可能需要使用其他的方式来解决。

（2）应用层的物联网安全服务

应用层的物联网安全服务主要包含两个方面，一是大数据分析驱动的安全，二是对于已有的安全能力的集成。

由于感知层的设备性能所限，并不具备分析海量数据的能力，也不具备关联多种数据发现异常的能力，一种自然的思路是在感知层与网络层的连接处提供一个安全网关，安全网关负责采集数据，如流量数据、设备状态等等，这些数据上传到应用层，利用应用层的数据分析能力进行分析，根据分析结果，下发相应指令。

传统的Web安全中的安全能力，如URL信誉服务、IP信誉服务等等，同样可以集成到物联网环境中，可作为安全服务模块，由用户自行选择。


图5.1 利用云端进行大数据分析
（3）漏洞挖掘研究

物联网漏洞挖掘主要关注两个方面，一个是网络协议的漏洞挖掘，一个是嵌入式操作系统的漏洞挖掘。分别对应网络层和感知层，应用层大多采用云平台，属于云安全的范畴，可应用已有的云安全防护措施。

在现代的汽车、工控等物联网行业，各种网络协议被广泛使用，这些网络协议带来了大量的安全问题。需要利用一些漏洞挖掘技术对物联网中的协议进行漏洞挖掘，先于攻击者发现并及时修补漏洞，有效减少来自黑客的威胁，提升系统的安全性。

物联网设备多使用嵌入式操作系统，如果这些嵌入式操作系统遭受了攻击，将会对整个设备造成很大的影响。对嵌入式操作系统的漏洞挖掘也是一个重要的物联网安全研究方向。

（4）物联网僵尸网络研究

今年最为有名的物联网僵尸网络便是Mirai了，它通过感染网络摄像头等物联网设备进行传播，可发动大规模的DDoS攻击，它对Brian Krebs个人网站和法国网络服务商OVH发动DDoS攻击，对于美国Dyn公司的攻击Mirai也贡献了部分流量。

对于物联网僵尸网络的研究包括传播机理、检测、防护和清除方法。

（5）区块链技术

区块链解决的核心问题是在信息不对称、不确定的环境下，如何建立满足经济活动赖以发生、发展的“信任”生态体系。

在物联网环境中，所有日常家居物件都能自发、自动地与其它物件、或外界世界进行互动，但是必须解决物联网设备之间的信任问题。

传统的中心化系统中，信任机制比较容易建立，存在一个可信的第三方来管理所有的设备的身份信息。但是物联网环境中设备众多，未来可能会达到百亿级别，这会对可信第三方造成很大的压力。

区块链系统网络是典型的P2P网络，具有分布式异构特征，而物联网天然具备分布式特征，网中的每一个设备都能管理自己在交互作用中的角色、行为和规则，对建立区块链系统的共识机制具有重要的支持作用。[⑨]

（6）物联网设备安全设计

物联网设备制造商并没有很强的安全背景，也缺乏标准来说明一个产品是否是安全的。很多安全问题来自于不安全的设计。信息安全厂商可以做三点：一是提供安全的开发规范，进行安全开发培训，指导物联网领域的开发人员进行安全开发，提高产品的安全性；二是将安全模块内置于物联网产品中，比如工控领域对于实时性的要求很高，而且一旦部署可能很多年都不会对其进行替换，这是的安全可能更偏重于安全评估和检测，如果将安全模块融入设备的制造过程，将能显著降低安全模块的开销，对设备提供更好的安全防护；三是对出厂设备进行安全检测，及时发现设备中的漏洞并协助厂商进行修复。

[①] https://www.symantec.com/solutions/internet-of-things

[②] https://www.symantec.com/solutions/industrial-control

[③] https://www.symantec.com/solutions/automotive

[④] https://www.getcujo.com/

[⑤] https://www.vidder.com/

[⑥] http://www.nexdefense.com/

[⑦] http://bluereader.org/article/172957754

[⑧] http://www.mcafee.com/us/resources/white-papers/wp-automotive-security.pdf

[⑨] 摘自《中国区块链技术和应用发展白皮书（2016）》

查看原文：http://blog.nsfocus.net/iot-security-company-product-introduction/