导读

本文分别从设备侧、平台/云服务侧，以及局域网侧来分析物联网的安全性。

1. 物联网设备安全性

物联网设备的安全性是当前最重要的一个薄弱环节，存在多方面的原因使这个问题尚未有系统性的缓解：

• 设备种类多样，厂商的安全意识薄弱，大多关注功能叠加，较少有安全防护措施；
• 大多数设备的成本比较敏感，计算和存储能力基本上以满足功能需求为参考，附加安全措施会增加额外的成本；
• 设备上使用的操作系统，大多基于开源的操作系统改编过来，厂商依赖于这些操作系统本身的进步来增强安全性，通常不会积极主动提供升级的能力；
• 有些设备涉及到隐私或敏感信息，譬如指纹、人脸、视频等，不仅需要技术手段，还需要法规和监管等手段来规范市场和产业。

目前大量的物联网设备的核心基本上由两部分组成，一是MCU或SoC，完成设备的基本数字化和控制能力，二是通讯模组，实现WIFI、蓝牙、ZigBee或以太网等连接能力。绝大多数设备都没有专用的安全芯片（或安全单元，SE, Secure Element），因此，设备的安全性完全靠MCU或SoC和通讯模组的软件系统来保证。我们来看一个高端设备的例子。特斯拉作为电动汽车的先锋品牌，相对于其他电动汽车被认为更加安全，因此也吸引了广大安全研究人员的关注。首先，特斯拉是纯电动汽车，依赖于电子控制系统，并且它有网络连接；其次，特斯拉内部有一系列软件来控制整个汽车，包括娱乐系统和由CAN总线连接的控制系统。有网络，有软件，而且还是安全研究人员熟悉的Linux和FreeRTOS，入侵的门槛就低了很多。历史上，有过一些拿特斯拉汽车作为攻击对象的攻防演示：

• 2014年7月，360网络攻防实验室的安全专家现场演示了特斯拉汽车系统的漏洞，并利用电脑实现了远程开锁、鸣笛、闪灯、开启天窗等操作。（https://www.lieyunwang.com/archives/47874）
• 2015年8月的黑客大会DEFCON上，安全研究人员Marc Rogers和Kevin Mahaffey介绍了他们对特斯拉Model S的研究成果，利用找到的漏洞可以控制汽车。(https://blog.lookout.com/hacking-a-tesla)
• 2016年9月，腾讯科恩实验室实现了远程控制一台特斯拉电动汽车，其提供的视频演示了可以不用钥匙打开车门、在行驶中关闭后视镜、在行驶中打开后备箱、在行驶中突然刹车等场景。(https://www.ednchina.com/news/201609211019.html)
• 2019年3月，腾讯科恩实验室再次发布消息，称利用特斯拉Model S的漏洞可以获取Autopilot控制权，即使车主未开启Autopilot功能，也可以利用Autopilot实现远程操控方向盘，攻击其车道检测系统，迷惑行驶中的车辆使其驶入反向车道。(https://www.guancha.cn/qiche/2019_04_02_496109.shtml)

由此可见，特斯拉作为一个特殊的“移动的”联网设备，受到了安全研究人员和黑客们的关注。当然，这些攻击研究最终都推动了特斯拉汽车安全性的不断改进。事实上，任何一个联网设备，不管多么复杂，都需要在实际攻防过程中提高其安全性。另一个例子是无人机设备。无人机在飞行过程中，不一定直接连公共网络，但是它需要有连接遥控器或地面控制台的能力，而且，无人机也需要有定位能力；并且，在它的系统中，配置了哪些区域是禁飞的。如果它的系统被入侵，修改了禁飞区域的数据，那么，无人机就有可能闯入到禁飞区域，从而引发严重后果。阿里巴巴安全技术专家在2017年看雪安全峰会上介绍了劫持无人机的一些关键技术。(https://www.kanxue.com/book-19-91.html)此外，从物理特性上，物联网设备也可能遭受攻击。阿里巴巴安全专家曾经在2017年Blackhat大会上展示了用超声波可干扰平衡车、VR眼镜、无人机等设备，甚至通过调节超声波的参数，可以操控平衡车的行动轨迹，改变VR、AR等虚拟现实设备的动态画面，极端情况会给这些设备用户带来人身伤害。(http://www.techwalker.com/2017/0728/3096346.shtml)像电动汽车和无人机是一些相对高端的设备，无论是计算能力还是软件的复杂度，都大大超出普通的智能设备或物联网设备。在实践中，绝大多数物联网设备都使用相对简单的硬件方案，在软件上倾向于采用开源软件进行改编或定制。这些开源软件会定期或不定期地报告出一些系统漏洞。譬如，采用Linux操作系统的设备可能会受到Linux内核漏洞的影响。设备的安全性依赖于厂商是否能及时更新这些设备系统。而且，在目前大多数物联网设备上还做不到远程打补丁或自动升级以避免受到已知漏洞的影响。对这些设备强行升级，甚至可能导致其无法正常工作。2019年3月，湖北省一家科技公司的多台物联网设备出现故障，包括自助洗衣机、自助充电桩、吹风机、按摩椅等，据统计，共有100余台设备被恶意升级造成无法使用，10万台设备离线（见图1的报道）。这个案例说明了目前市场上的物联网设备非常脆弱，在接收到恶意的网络指令时无法辨别和保护自身。

理论上，为了让设备具备基础的安全能力，需要有一个可信的安全单元（SE，Secure Element），这个安全单元既有硬件部分，也有相应的软件，形成了设备侧的安全基。其硬件部分包括基本的安全运行环境、密码算法、安全存储、设备ID等；软件部分保证接口安全、与另一端的通信安全、数据安全等。参照智能手机的发展历程，初期的智能手机没有安全单元，完全靠手机操作系统的安全性来保证智能手机的安全，整个移动互联网产业面临了很大的安全挑战。通过芯片厂商、操作系统厂商、手机厂商，以及移动应用开发商的持续努力，结合移动安全研究成果，智能手机的整体安全方案趋向成熟与稳定，建立起TEE（可信任执行环境）,保障了移动互联网的繁荣与发展。图2(a)显示了Android智能手机的安全框架。

对于物联网产业，设备侧的安全也需要一个类似的过程，但由于物联网设备种类繁多，芯片和终端非常分散，因此需要从一些高价值或者安全急迫性高的设备类型开始配置SE以及完善的安全方案。像互联网汽车、无人机、摄像头、智能门锁以及某些工业设备，这一类受安全界关注度高的设备需要首先发展出完善的安全方案，图2(b)显示了一种参考方案；而一些低成本低配置的物联网设备，则可以从物联网平台和物联网场景的角度来提供整体安全可控的方案。

2. 物联网平台/云服务的安全性

在讨论物联网安全时，物联网平台或云服务是一个容易被忽略的点，但事实上，很多针对物联网设备的攻击都是从物联网平台或云服务入手的，包括上一节提到的湖北一家科技公司大量物联网设备遭受攻击的案例中，实际上真正受攻击的切入口是后台云服务。

如图3所示，一个联网的设备，通过物联网平台或者云服务，可以被远程客户端（PC、Pad或手机）控制或展示数据。三者位于不同的物理位置，其中远程客户端是攻击者可以完全控制的，而平台或云服务公开的接口是攻击者可以仔细分析的。

对于这样的物联网联网模型，家居和消费类的设备居多，攻击者有很大的发挥空间来找到整条链路上存在的脆弱性。譬如，特斯拉早期被攻击正是从它的云服务作为入口进去的。攻击者并没有破解汽车中的软件系统，而是找到云服务的漏洞来远程控制特斯拉汽车。在这样的模型中，如果客户端软件专门针对某一类物联网设备，那么，攻击者通过逆向技术或者搭建完全可控的客户端环境，就可以看到客户端发出或接收到的每一个请求或应答。在这种情况下，客户端与平台或云服务之间的通信是完全可分析的，敏感信息不能以明文形式留在客户端。因此，平台或云服务的设计者必须假定客户端的环境是不安全的，并利用密码学或网络安全的技术来保证通信过程的安全可靠。这样的技术是比较成熟的，很多移动服务的发展已经充分证实了这一点。但是，在应用到物联网场景中时，这些措施恰恰被忽略了。譬如，有些安全论坛曝出一些智能门锁厂商的移动应用有高危漏洞（https://www.freebuf.com/vuls/211095.html），这几乎代表了智能门锁产业的普遍情况。对于连接大量物联网设备的平台，安全性至关重要，不亚于手机厂商的云服务平台。首先是对外的安全性，包括接口设计、协议设计，防止攻击者通过接口或协议中的缺陷来攻击相应的物联网设备。这一类问题集中在针对物联网设备的身份验证（针对设备或者用户）的完备性、敏感数据泄漏等问题上。由于大部分平台采用的是Web接口，因此Web安全是平台安全的核心。得益于过去二十多年Web安全的进展，大多数物联网平台都采用了相对成熟的方案。即便如此，非盈利组织OWASP (The Open Web Application Security Project)自2014年开始，每年列出IoT十大问题(https://owasp.org/www-project-internet-of-things/)，其中有一些涉及到IoT平台的安全，譬如Insecure Web/Cloud/Mobile/Ecosystem Interfaces等。其次，物联网平台也要避免攻击者通过开放的云服务接口进入到平台内部，窃取数据或影响所连接的物联网设备的正常工作。另外，因为物联网平台包含众多物联网设备的数据，有些会涉及到用户隐私信息，所以，有必要从技术和管理制度两方面加强数据保护。亚马逊的智能音箱有庞大的用户群体，但屡次曝出用户的隐私被泄漏，如图4(a)显示了其中一起事件。国内大量家庭拥有智能音箱，目前隐私泄漏的风险基本上被忽视了，图4(b)揭示了智能音箱隐私泄漏风险的现状。

总结一下物联网平台的安全性。首先，依赖于客户端工作的物联网设备有可能给攻击者引入一个较低门槛的攻击入口；其次，物联网平台的接口与协议设计至关重要，对物联网设备的认证、数据安全等设计稍有疏忽就可能让攻击者有可乘之机（甚至完全控制设备）；再次，物联网平台自身的安全性，特别是隐私或敏感数据的保护是当前突出的矛盾。最后，规模较小的厂商在物联网平台安全性上往往重视程度不够，导致时有被入侵的事件发生。

3. 局域网环境物联网设备安全性

针对局域网环境的安全技术在过去二十年得到了长足的发展，参考第一节介绍的PDR模型，市场上有成熟的软硬件产品和安全方案。比如典型的网络安全产品有：

• 防火墙，是指通过硬件和软件技术，在内部网络与公共网络之间建立的一道防护屏障。它通过检查每一个经过网络出入口的数据包来决定是否对它放行，因此，它可以有效地阻止外部攻击者进入到局域网内部。防火墙也可以用于局域网内部不同安全域之间的隔离，实现企业或组织的安全访问控制策略。防火墙产品的核心在于根据环境和客户需求进行规则设置，以及相应的性能保障。
• 入侵检测系统（IDS， Intrusion Detection System），是指一个计算机网络的监视系统，一旦发现异常情况就发出警报或采取响应措施。根据信息来源可分为基于主机的IDS和基于网络的IDS。基于主机的IDS，是指根据采集到的主机信息(事件)，来判断是否发生入侵；基于网络的IDS，是指对网络流量进行监听，在发现可疑数据流量时发出警报或采取响应措施。入侵检测系统产品的核心在于，如何方便地部署（譬如，在各个主机上安装代理或引擎，在网络关键点上监听途径的流量），以及维护和更新有关入侵行为的知识。基于网络的IDS有时候也跟防火墙结合在一起。
• 漏洞扫描器，是指基于漏洞数据库中的知识，通过扫描网络、主机、数据库、Web服务器等，检测可能存在漏洞的软件。漏洞扫描器既可以用于局域网内部提前发现可能存在的漏洞，也往往是攻击者入侵前使用的武器。

图5显示了一个简化的局域网络结构，以及这些安全产品在网络中的位置。

对照本文第一节介绍的PDR模型，局域网的安全性可以从检测、响应和防护三个角度来进行：

• D-检测，用于局域网安全检测的主要工具是IDS产品，当攻击者入侵一个局域网时，总是有一些蛛丝马迹可以感知到。检测环节的要点是，IDS的知识足够覆盖现有的攻击手段，从而能够识别出异常现象和具有攻击特征的信息来源。
• R-响应，一旦检测到入侵，就需要快速响应。一方面根据检测到的入侵信息，切断入侵者的所有连接；另一方面，发出警报，必要时由网络管理员介入，检查入侵现场。在响应阶段，防火墙和路由器是重要的工具，用于阻断恶意流量或疏导正常流量到安全的链路上。
• P-防护，防护的技术是全方位的，除了防火墙是一道入口防线以外，通常还采用防病毒、身份认证、访问控制、加解密、堡垒机等技术，确保从入口到被防护的核心系统之间有严密的防护体系。

局域网内接入了物联网设备以后，引入的安全挑战来自于多个方面。本文不对Dt、Rt和Pt做定量分析，仅定性分析潜在的安全威胁：

• 节点安全性，每个物联网设备对于网络而言都是一个或多个节点。根据本文前面的介绍，这些节点本身的安全性目前是比较脆弱的。从网络管理员的角度，如果这些节点暴露到公网上，那就要把它们当作一个已被入侵的设备来做好准备；否则，就把这些设备隐藏起来或者隔离开，让局域网以外看不到这些设备的存在，或者让它们处于内部一个局部子网中（通过另一道防火墙与局域网主网连接）。
  需要评估一下这些节点对于Pt的影响，因为它们有可能引入更短的攻击路径，从而使Pt变小。安全公司Darktrace报告的黑客通过智能鱼缸入侵北美一家赌场的网络（参见图6），就是这样一个典型案例：在局域网内部增加了一个物联网设备节点，使得Pt变小，直接绕过了很多防御措施。

• 物理范围的延展，物联网设备有可能会遍布在局域网物理范围的各个角落，甚至超出了可看守的范围。因此，有些设备节点在物理上可能不完全可控，即物理连接有可能被劫持。这就相当于，在传统网络攻击中，有攻击者到目标企业的会议室（这种行为称为社会工程），插上他自己的电脑，进入到企业局域网窃取内部数据或者埋入后门软件。如果物联网设备直接连接局域网，那相当于打开了这扇大门（连社会工程都可以省略掉）。事实上，有研究人员指出，在医院场景中，攻击者可以通过这种方式连接到医院内部网络，进而可入侵几乎所有医疗设备，如图7所示的报道。

• 无线网络，在很多物联网场景中，物联网设备的数量大大超过电脑的数量，有相当大部分设备通过无线网络技术接入到局域网络中，因此无线网络的安全也至关重要。除了WIFI以外，目前常用的蓝牙、ZigBee、Z-Wave、LoRa等作为便捷的组网手段，被广泛应用于各种物联网场景。这些无线组网技术拓展了空域的范围，潜在地也会引入新的安全风险。如下提到的通过无人机来攻击ZigBee网络是一个典型的案例（参见图8），恶意代码从一个智能灯传递到另一个智能灯，最后传递到网关进入局域网络。

物联网设备在局域网安全中的影响是全方位的，如果不加防范，则可以使Pt极大缩短，原本部署的像防火墙和入侵检测系统可能被绕过，而由于缺乏物联网设备足够多的知识，Dt反而被延长，从而显著地削弱局域网整体的安全性。实际上，局域网内部节点的安全性是不均衡的，加入了大量物联网设备后的局域网，其节点的安全性更加不均衡，因此，局域网内部的分区域隔离变得非常重要。区域之间部署防火墙和入侵检测系统，对重要区域的访问通过指定的链路和堡垒机来进行。物联网设备也可能位于需要强保护的区域，比如医疗设备关系到生命安全、电力设备关系到生产安全，这需要有专网来连接这些设备。另外，像数据库和核心服务器也需要有额外的防护措施，譬如再加一道防火墙和入侵检测系统，避免被攻击者拖走数据或攻陷核心服务。如果有这样的设计，在北美赌场的智能鱼缸案例中，数据不会轻易被攻击者拖走。