在具體的物聯網開發業務中,M2M終端收集的數據信息經由核心接入網傳遞到M2M平臺,在這個過程中,物聯網業務將面臨多種安全威脅。
首先,攻擊者可能假冒M2M終端,向M2M平臺發送虛假的業務數據。
其次,攻擊者可能竊聽合法終端上傳的業務數據,導致業務機密信息的泄露。例如,車務通業務中的調度信息和遠程配置信息,攻擊者一旦獲得這些信息,則可以掌握車輛及其車主的位置等機密信息,造成一定的安全隱患。
再次,攻擊者還可能篡改傳輸過程中的數據信息,使得業務平臺收不到準確的業務數據,導致業務不能正常進行,給業務使用者的生命和財產安全帶來危害。例如,在電梯衛士業務中,如果敵手篡改傳輸過程的故障信息,使得平臺收不到準確的故障信息,則不能對電梯做出及時的響應措施,可能對電梯中人員生命安全造成威脅。
最后,在某些具體的業務(如愛貝通)中,IMSI是暴露給外部業務的,并且某些密鑰也采取明文下發,這樣將會使得攻擊者直接獲得業務的身份信息或者密鑰信息,使得M2M終端的身份信息等暴露在攻擊者環境下,造成一定的安全隱患。
假冒終端用戶
(1)攻擊場景。在車務通、電梯衛士、直放站監控系統、船舶GPS監控和智能停車系統等物聯網業務中,信息由感知層中的傳感設備收集并傳送到傳感網網關(M2M終端),然后經由網絡層發送給業務平臺。在傳感信息由M2M終端上傳給業務平臺這個過程中,攻擊者有可能假冒合法的終端設備上傳虛假的業務信息,致使業務平臺無法收到正確的業務信息,破壞業務的正常使用,導致業務使用者的隱私泄露和經濟損失。
(2)理論分析。在整個物聯網數據傳遞的過程中,攻擊者可以竊取用戶終端設備并從中獲得用戶的合法身份信息,從而輕易地假冒合法用戶來參與通信。一旦該攻擊得以實現,則會使用戶身份隱私、財產、生命安全等受到嚴重威脅。
(3)安全需求:業務認證。針對“假冒終端用戶”中描述的問題,為了保護M2M終端傳遞給業務平臺數據的安全,避免攻擊者假冒M2M終端設備上傳虛假的信息,保證業務的順利實施,M2M平臺需要對M2M終端進行認證。
在認證的過程中,為了提高業務效率,降低業務成本,應當在目前已經存在網絡層認證的基礎上,考慮是否有必要進行業務層的認證。當可以認可網絡層認證結果或者可以復用網絡層認證結果的時候,就不需要再進行業務層認證。以下兩種情況是需要進行單獨認證的,這也是我們要著重考慮的情況。
①根據業務平臺的情況:當物聯網業務不是運營商自己部署的,且終端簽約的物聯網業務不是由運營商負責提供的,業務層不能信任網絡接入的認證結果。在這種情況下,需要進行業務層的認證。
②根據業務信息的敏感情況:從業務安全的角度來看,某些比較特殊的業務,是需要進行業務認證的。例如,在金融行業,業務數據十分敏感,并且對安全等級的要求超過了通常意義上的通信網絡的安全等級,因此在這種情況下,就需要提供業務層的認證。
對終端設備的物理攻擊
(1)攻擊場景。在太湖藍藻治理、電梯衛士、車務通等業務中,M2M終端設備一般分布在無人看管的環境中,甚至在敵對的環境中,因此設備容易被攻擊者捕獲或控制。攻擊者可以通過編程接口進入設備內部,利用UISP和匯編軟件等,獲取終端設備的內部存儲信息;也可以直接采用物理方法,將M2M終端設備連接到控制信號線上,獲取信號線上所傳輸的機密信息或者將自己的數據傳入設備中。
在不同的業務中,攻擊者對不同終端設備的威脅及攻擊形式也是不同的,具體如下表。
業務類型 |
設備類型 |
威脅及攻擊形式 |
太湖藍藻治理 |
傳感節點 |
攻擊者捕獲傳感節點,通過JTAG接口獲取節點中的信息或代碼,分析出該節點所存儲的ID、位置、密鑰等敏感信息,從而假冒合法節點加入傳感網絡中;也可以分析出瞬時的水域信息,造成業務機密信息的泄漏 |
太湖藍藻 |
傳感節點 |
攻擊者修改節點中的身份等隱私信息,使得節點以多個身份在傳感網中通信;也可以修改水域中的各類指標,加載到節點中,然后發送錯誤的水域信息至M2M平臺 |
|
傳感網網關 |
攻擊者對開放的網關端口發送Update信息,插入、刪除路由表和節點密鑰等,也可以遠程訪問以修改網關里存儲的程序和機密信息 攻擊者可以用自己的終端設備直接連接網關的信號線,讀取其保密數據或將自己的數據傳入其中 攻擊者可以在網關工作時,仔細地觀察各種參數,利用功率分析法獲取機密信息,控制網關后,迫使其做出錯誤的決定(如允許非法節點的訪問),同時修改機密信息,平臺則無法得到太湖水域的準確信息,也就不能及時有效采取治理措施 |
電梯衛士 |
攝像頭 |
攻擊者可以修改芯片的內部程序和密鑰信息,從而控制攝像頭所捕獲的圖像,即有選擇地將圖像信息上傳至M2M平臺。這些可能影響電梯的故障信息,造成對電梯的修理延誤,從而造成一定的隱患 攻擊者可以通過圖片信息了解電梯中常出現的人的信息,進而可以推測出其生活習慣,造成業主的隱私泄露 |
車務通 |
車載終端 |
攻擊者通過RS-232接口獲取或修改GPS中的位置信息;通過接口直接連接存儲器獲取其密鑰、身份;改變GPS智能軟件系統或嵌入終端來獲取位置、密鑰等信息 攻擊者通過給車載終端連接車載GPS干擾器等外接設備,屏蔽GPS導航,使其失效,從而可以任意改變車輛的位置信息,并上傳虛假的或者錯誤的位置信息給M2M平臺 |
威脅及攻擊形式
(2)理論分析。攻擊者可以輕易通過物理手段使用編程接口進入設備內部,利用UISP和匯編軟件等獲取設備機密信息,對M2M終端的物理攻擊所造成的安全威脅是最大的,防止物理攻擊所采取的保護措施也是最難實現的。
(3)安全需求:設備自身安全。針對“對終端設備的物理攻擊”中描述的問題,為了保護終端設備的安全,避免被攻擊者捕獲后控制,并上傳虛假業務信息,保證業務的順利實施,對于傳感節點,我們可以采取定時更新終端設備中存儲的密鑰的方法,這樣即使有一小部分節點被操縱,攻擊者也不能或很難從獲取的節點信息推導出其他節點的密鑰信息。對于傳感網網關、攝像頭和車載終端,我們采用在其設備的芯片內部對存儲器和總線系統進行加密的方式,或者建立安全網關的方法,避免非法的遠程訪問;也可以用一些物理方法保護設備芯片存儲的信息,如提高芯片設計的復雜程度、芯片制造的精細程度等。
卡被非法撥出或替換
(1)攻擊場景。例如,在電力抄表等業務中,需要把USIM卡插入M2M終端設備中,才能使得業務順利進行。然而,該設備很容易受到攻擊者的破壞。具體的,攻擊者可以進行如下兩種攻擊:將合法的USM卡插入非法的終端設備中,假冒合法終端設備與業務平臺進行通信:將非法的USM卡插入合法的終端設備,從而與業務平臺進行通信。這就使得攻擊者可以傳遞錯誤的或者虛假的信息,破壞業務的正常進行,對用戶造成人身和經濟財產的損失。
(2)理論分析。在某些物聯網設備中,終端需要插入合法的USIM卡才能進行通信,由于設備經常處于開放環境中,USIM卡或者設備很容易遭受攻擊者的竊取和破壞,從而泄露存儲的機密信息。
(3)安全需求:機卡綁定。針對電力抄表等業務中所遭受的將合法的USIM卡插入非法的M2M終端設備或者將非法的USIM卡插入合法的M2M終端設備的攻擊,當用戶將USIM卡插入M2M終端設備時,USIM卡要對終端設備的身份合法性進行認證,防止插入非法設備中,由非法設備盜取USIM卡中存儲的通信密鑰、用戶隱私等機密信息,從而給整個業務的安全性帶來威脅。與此同時,M2M終端設備也要對USM卡的合法性進行認證,防止攻擊者使用非法的USIM卡插入M2M終端設備中,竊取設備中存儲的用戶隱私等機密信息,因此,當USIM卡插入M2M終端設備時,在卡與設備之間應當進行雙向認證,從而確定雙方身份的合法性,以保證業務的安全。
在USIM卡與M2M終端設備之間進行的雙向認證方案應當滿足USIM卡與M2M終端設備各自的特點,在保證安全性的基礎上便于方案在實際中的應用。
在上述業務中,均需要由M2M終端及傳感外設收集數據。
(4)理論分析。攻擊者可以通過竊聽、流量分析獲得源位置信息等手段輕易獲得業務中的隱私信息,因此攻擊較易實現。對業務造成的隱私信息泄漏,用戶損失較大。
(5)安全需求:隱私保護。針對“業務隱私泄漏”描述的問題,為了防止有M2M終端及其傳感外設收集到的信息再傳輸過程中被攻擊者竊聽,避免敏感數據、身份信息和位置信息的泄漏,需要對傳輸過程中的數據進行加密,保證此類信息的安全。此外,針對攻擊者可以通過分析傳輸過程中的信息的流量狀況來反向追蹤出信息源位置的問題,需要采用信源模擬等位置保護方法。
針對IMSI暴露給外部業務和假冒終端用戶的問題,為了保護具體業務中的身份信息不被攻擊者獲得和仿冒,需要使用匿名認證機制等來防止身份信息的泄漏,以保證用戶身份隱私的安全。
該文為上半部分,下文可閱讀:物聯網業務安全威脅(下)。