构建“端管云”联动的物联网安全防护系统

袁勇，许蓓蓓，路晓明，王姗姗

（中移（杭州）信息技术有限公司，杭州 311100）

构建“端管云”联动的物联网安全防护系统

袁勇，许蓓蓓，路晓明，王姗姗

（中移（杭州）信息技术有限公司，杭州 311100）

本文首先分析了物联网当前的安全现状，从端管云三个方面梳理了存在的主要安全风险。随后提出了“端管云”联动的物联网安全防护系统，解决设备及应用的安全接入、身份认证、安全通道、密钥管理及数据保护，解决设备硬件、固件的检测及加固，解决异常或恶意行为告警与处置，并通过闭环的运营体系保证物联网系统的安全。

物联网；端管云联动闭环运营体系；身份认证；安全通道

1 背景

自物联网被提出以来，物联网安全一直备受关注。2010年，意大利 Medaglia和Serbanati[1]提出物联网在用户隐私保护和敏感信息传输过程中存在诸多问题。瑞士Weber[2]和方滨兴院士[3]指出需要对感知层面的安全风险进行规避，并建议企业进行必要风险评估与风险管理。英国Leusse[4]提出了一种面向服务思想的安全架构。德国Struker[5]提出通过口令管理机制来降低感知节点被攻击的风险。Fabian团队[6]提出了EPC网络所面临的安全挑战， 对比了VPN、TLS等应对措施的优缺点和有效性。

本文梳理了物联网主要存在的安全风险，提出“端管云”联动的安全防护系统”，并秉承“没有攻不破的系统”理念构建“以终为始，动态防护，建立闭环的安全运营体系”。

2 物联网安全风险分析

针对物联网领域的安全攻击手段多样、安全边界扩大的特点，本文从“端、管、云”3个方面梳理了存在的主要安全风险。

2.1 设备安全防护风险

物联网设备存在弱口令、固件安全漏洞等安全问题，设备安全防护能受限，导致用户隐私泄露、设备易被控制。此外，如何实现设备管控、发现设备异常并进行处置，降低设备安全风险，也对设备安全管控提出了挑战。

2.2 网络安全防护风险

大部分物联网设备与业务平台之间业务数据明文传输，导致数据在传输过程中能够被窃听和篡改，因此需要为物联网设备提供一套完整的通道数据保护方案。

同时，由于物联网设备种类多，攻击流量大、破坏性强等威胁特点，物联网设备正在变成黑客发起DDOS攻击的首选攻击载体。如何通过分析物联网网络安全态势及攻击趋势，并进行相应处置，成为亟需解决的问题。

2.3 物联网业务平台侧安全风险

提供通用的物联网平台的标准化安全能力，提升业务平台/能力接入平台的整体安全性，是平台需解决的安全目标。

3 物联网安全防护思路

针对物联网领域攻击手段多样、安全边界扩大的特点，本文从空间上构建了“端管云”联动的安全防护系统，从时间上建立了一套“检测、预警、防护、处置”的闭环运营体系，快速发现新型攻击并反制处置，保证物联网防护能力的不断进化和安全水平不断提升。

3.1 构建端到端的防护系统

在物联网环境中，安全风险遍布“端管云”3个层面[7]，传统的基于网络边界划分的安全防护手段已不再适应当前的安全需求。如图1所示，通过设备侧安全组件与物联网安全平台的联动，构建端到端的纵深安全防护系统。

3.2 闭环安全运营体系

以前构建安全防护系统时，我们倾向于一个牢不可破的系统，但血淋淋的事实告诉我们“没有攻不破的系统”。态势感知、追踪溯源、应急处置是未来系统防御的主要手段。

（1）定期检查。在设备入网前我们会对其进行基线和渗透测试，提前发现并修复设备存在的安全漏洞；同时定期对系统进行合规和漏洞扫描、测试，及时排除安全隐患。

（2）定时预警。通过采集网络流量分析攻击趋势，通过系统日志分析入侵行为，通过威胁情报追踪溯源。

（3）动态保护。安全策略动态下发到安全设备，动态调度安全算法并动态更新。

图1 端管云联动的安全防护体系

（4）应急处置。对一些安全事件及时给出预警或处置，比如进行设备限流、远程阻断、固件升级等。

4 物联网安全防护系统功能架构

4.1 功能架构

物联网端管云联动安全防护系统基于安全能力特点可以分为统一安全网关、安全检测中心、态势感知中心三大平台，功能架构图如图2所示。

4.2 功能说明

4.2.1 统一安全网关

通过对于设备及应用的身份认证、安全通道、密钥管理及数据保护，实现设备及应用的安全接入。

安全认证：通过证书、SIM卡鉴权能力复用、身份鉴权等方式，提供对设备及应用的分级认证，解决身份伪冒及多种接入（如宽带接入、蜂窝网络接入等）方式下的安全认证问题。

访问控制：通过对设备及应用进行权限分级及控制，实现对于平台能力及数据的访问控制。

安全通道：通过将VPN、DTLS等通道算法轻量化，并提供敏感数据的消息验证，实现物联网设备及应用与平台之间的安全通信。

密钥管理：基于安全的密钥协商，实现设备的一次一密，解决设备弱口令问题。

会话管理：对设备、应用与平台交互的会话及有效期进行管理，保障设备消息可达的同时实现平台资源消耗最小化。

图2 方案功能架构

固件升级：通过安全固件签名验证、固件OTA升级的方式，保证对设备固件升级的可管、可控。

4.2.2 安全检测中心

通过设备检测、安全加固技术，实现对于设备硬件、固件的检测及加固。

设备检测：从硬件、系统、数据安全等方面对提供全面的设备安全检测服务，发现设备安全问题并及时进行漏洞修复。

设备加固：通过对固件代码混淆、核心代码及硬件配置文件加密等方法，实现对设备固件的安全加固。

应用检测：通过自动检测系统，实现物联网应用漏洞的静态检测和动态检测，精准定位漏洞位置，检测报告及修复建议。

应用加固：对移动应用进行加密加固保护，防止应用被反编译，从而避免应用被恶意篡改，防止APP被盗取源码、植入恶意病毒、添加广告等，保护APP安全，杜绝破解和盗版。

设备健康管理：通过对设备进行检测，对设备安全状态、漏洞情况等进行安全评估及评级，实现对于设备健康的管理。

4.2.3 态势感知中心

通过流量分析、设备行为分析、平台攻击监控，建立设备、应用、网络及平台的安全模型，结合应用实际进行异常告警与处置。

流量异常分析：对网络流量态势、僵木蠕病毒等进行监测，对异常态势进行及时告警。

异常行为分析：对平台侧主机日志、访问日志等进行分析，发现平台侧异常行为，对平台安全态势进行感知和告警。

接口安全风控：对接口调用日志进行安全风控，对应用的异常操作行为进行实时风险识别和安全审计。

设备安全分析：结合设备的日志、流量特征及僵木蠕检测，发现感染设备，追溯攻击源，实现对设备的安全管控。

5 关键实现技术

5.1 差异化的设备注册及密钥协商技术

物联网设备网络环境具有多样性的特点，常见的网络环境有蜂窝网（3G/4G、NB-IoT）和Wi-Fi。由于不同网络环境下的物联网设备对于计算能力和功耗的要求不同，因此在不同的环境下需要采用不同的密钥协商策略。

5.1.1 设备注册

设备注册指设备首次激活时，物联网设备进行信息上报过程。通过设备注册，平台能够对首次激活的设备信息进行记录，分配唯一的设备标识。在蜂窝环境下，核心网网关可以在设备注册请求中插入设备绑定手机号，提高更高强度的注册设备真实性认证。

5.1.2 密钥协商

在蜂窝网环境下，通过三/五元组为每台密钥进行根密钥的协商；在Wi-Fi环境下，通过非对称密钥为每台设备完成初始化根密钥的协商。每台设备的根密钥都是随机产生的，确保一机一密，同时限制根密钥使用频次和时间。

5.2 差异化可信身份认证技术

基于设备业务风险等级，为设备采取不同强度的认证策略，保证设备的认证安全，具体流程如图3所示。

5.2.1 初级认证强度

物联网设备基于上一步协商的根密钥签发token，物联网平台通过物联网进行token的有效性验证，从而判定设备身份的合法性。

5.2.2 高级认证强度

对于一些重要敏感业务，物联网业务平台除了对于设备进行基于token的认证之外，还会进行用户授权的确认（如SIM盾），确保物联网设备的行为是在设备经过可信认证并经过用户可信授权的情况下进行的。

5.3 差异化的轻量级通道保护技术

根据设备的安全需求及运算能力，为设备及平台提供安全通道建立能力。对于NB-IoT等低功耗且运算能力较弱的设备，可通过建立基于共享密钥的DTLS的轻量化安全传输通道；对于安全性要求较高的设备，可通过基于TLS的VPN通道，保障设备与平台的传输安全。有效地防止数据在传输过程中被窃听、篡改等。

图3 差异化可信身份认证技术

5.4 设备加固及健康管理技术

通过设备检测、安全加固技术，实现对于设备硬件、固件的事前检测加固、事中健康状态管理，为事后安全事件追踪提供依据。

5.4.1 设备安全加固

通过协助对设备进行安全风险检测、安全风险整改、集成通用安全组件、固件代码混淆等方法，实现对设备固件的安全加固。

5.4.2 设备健康管理

对于已经上线的设备，物联网安全平台根据设备安全测评情况，结合定期安全基线核查、新型漏洞评估等手段，对设备安全状态、漏洞情况等进行安全评估及评级，实现对于设备健康状态的管理。

5.5 基于大数据的威胁感知检测技术

通过流量分析、设备行为分析、平台攻击监控，建立设备、应用、网络及平台的安全模型，结合应用实际进行异常告警与处置。

5.5.1 流量日志采集

除了从物联网设备、业务平台、安全设备采集日志之外，还从核心网采集数据流量进行分，为上层数据资产管理及威胁分析提供最原始的数据支撑，流量日志采集。

5.5.2 异常行为分析

基于资产基准库，针对平台上的各类数据访问行为、异常外连流量、服务进程异常等行为状态进行实时分析、关联及告警，实现对流量的安全动态监控。

（1）数据访问行为审计

对所有上层业务及用户在平台中数据访问行为，基于访问流量的分组解析方式进行安全监测，全面掌控平台整体数据访问状态。

（2）非法流量监测

通过对集群主机的出入流量进行监测，及时发现非法的外连流量，确保平台数据不被窃取。

（3）异常服务进程监控

在资产基准库中确定合法的网络服务类型，对平台主机中非法的或不必要的异常进程实现全面排查。

5.5.3 恶意攻击分析

基于采集的各类日志及基础数据，利用大数据分析方法对平台存在的主要安全威胁和攻击事件进行检测，并对整个平台的安全威胁情况进行刻画，为威胁预警、安全威胁展现、攻击画像、趋势预测等上层应用提供数据支撑，能够及时发现并预警。

（1）DDoS攻击检测

分析物联网网络流量包中的源地址、目的地址、网络协议及网络分组大小等信息，基于DDoS攻击流量特征，判断网络中是否存在DDoS攻击，并通过NAT日志进行有效定位，做到及时处置。

（2）僵木蠕病毒检测

根据各类病毒特征，有效检测物联网网络中可能存在的僵木蠕病毒传播行为，并及时定位受感染终端及用户，通知相关设备及工具进行杀毒工作。

6 结束语

由于物联网操作系统多元化、通信方式多样化、业务形态多样化、产业链长，传统的安全解决方案已经不再适用于物联网环境中。构建“端管云”联动的物联网安全防护系统是物联网安全的未来发展方向。需要建立一套“以终为始，动态防护”闭环安全运营体系，能够第一时间发现系统存在的安全风险及异常行为，进行通报和预警，并能够及时进行动态安全处置。

[1] Medaglia C M， Serbanati A. An overview of privacy and security issues in the internet of things[C]. In： The Internet of Things.Springer New York， 2010： 389 395.

[2] Weber R H. Internet of Things—new security and privacy challenges[J].Computer Law & Security Review， 2010， 26(1)： 23 30.

[3] Fang B X. Security of internet of things[J]. Information and Communications Technologies， 2010， 4(6)：4.

[4] Leusse P， Periorellis P， Dimitrakos T， et al. Self managed security cell， a security model for the Internet of Things and Services[C]. In：2009 First International Conference on Future Internet. IEEE， 2009：47 52.

[5] Wonnemann C，Struker J. Password management for EPC Class 1 Generation 2 transponders[C]. In： 2008 10th IEEE Conference on E-Commerce Technology and the 5th IEEE Conference on Enterprise Computing， E-Commerce and E-Services， IEEE， 2008： 29 35.

[6] Fabian B， Günther O. Security challenges of the EPCglobal network[J]. Communications of the ACM， 2009， 52(7)： 121 125.

[7] 王姗姗，曹鹏. 构建覆盖“端管云”的业务保障系统[J]. 电信工程技术与标准化，2017(8).

Study of security for IoT though end pipe cloud linkage

YUAN Yong, XU Bei-bei, LU Xiao-ming, WANG Shan-shan
(China Mobile (Hangzhou) Information Technology Company Ltd, Hangzhou 311100, China)

People are entering the Internet of things with the development of information technology. The security of Internet of things (IoT) is an important determinant of whether IoT can be sustainable and healthy. The current security situation of IoT and main security risks of end pipe cloud were analyzed firstly. Then, the security solution architecture by the end pipe cloud linkage was stated, which to solve the equipment and application of security access, authentication, secure channel, key management and data protection, solve the detection and reinforcement of the equipment and a plication, solve the alarm and disposal of abnormal or malicious behavior, and through the operation of closed-loop system guarantee security for IoT.

Internet of things; end pipe cloud linkage; the operation of closed-loop; system authentication; secure channel

TN918

A

1008-5599（2017）11-0021-05

2017-10-11