該文為下半部分,上文可閱讀:物聯網業務安全威脅(上)。
竊聽業務流程中的信息
(1)攻擊場景。在車務通、電梯衛士、直放站監控系統、船舶GPS監控、停車系統等物聯網開發業務中,信息均由M2M終端收集,經過M2M平臺上傳至應用服務器,再傳遞給用戶。攻擊者可以竊聽和解讀上傳過程中的機密信息(通信方的ID、通信密鑰、監測數據等),一方面使得相關信息泄漏,獲取業務數據和各類隱私信息,另一方面可能給合法用戶造成人身財產等危險。
例如,在電梯衛士業務中,如果M2M終端采集的圖像信息以明文形式傳送,攻擊者可以截獲信息,造成業主的身份泄露;太湖藍藻治理的水域信息一旦被竊聽,攻擊者可以分析出終端的位置等信息,或者進行流量分析,造成商業機密的泄露。具體業務的高等級安全數據如下表。
階段業務 |
終端-業務平臺 |
業務平臺-應用平臺 |
應用平臺-遠程手機端 |
車務通 |
終端產品序列號,位置數據,調度、激活口令 |
位置數據,遠程升級,調度、激活口令 |
用戶身份信息,終端位置數據 |
電梯衛士 |
終端產品序列號,運行數據,控制、激活口令 |
電梯運行狀況,運城升級,控制、激活口令 |
無 |
直放站監控系統 |
終端產品序列號,直放站運行狀況,激活口令 |
直放站運行狀況,控制、激活口令 |
無 |
船舶GPS監控 |
終端產品序列號,位置、環境數據,調度口令,預警信息 |
船舶運行狀況,位置數據,調度口令,預警信息 |
船舶位置數據 |
停車系統 |
終端產品序列號,空位數據 |
空位數據 |
用戶停車收費賬戶數據 |
高等級安全數據
(2)理論分析。攻擊者可以較為容易地通過竊聽攻擊獲取終端上傳的數據和信令,并獲得終端的身份等隱私信息和商業機密,從而對整個業務的正常運行造成破壞,使得用戶和供應商的正當利益無法得到保護。
(3)安全需求:加密。針對“竊聽業務流程中信息”中描述的問題,為了保護用戶私密信息和商業機密,避免攻擊者獲得用戶通信信息,保證業務的順利實施,需要對一些安全級別要求高的數據進行業務層機密性保護。由于設備終端運算及存儲能力有限,因此在選擇機密性保護方案時要考慮方案的運算速度快、存儲空間小、通信開銷小、安全性高等要求,使得業務達到效率、安全與能耗的平衡。
篡改業務流程中的信息
(1)攻擊場景。在車務通、船舶GPS監控、停車系統、電梯衛士、直放站監控系統、太湖藍藻治理、農業物聯網和電力抄表等業務中,業務數據從M2M終端傳送到M2M業務平臺,再由業務平臺傳送到應用服務器。在這個過程中,為了能夠減少會話通道本身的篡改攻擊或其他問題導致兩個通信實體之間的通信遭到第三方篡改,需要一種基于內容的信息完整性保護,即端到端的完整性保護。對于一些完整性要求高的數據,如果被篡改、插入、重放等,必然造成用戶無法收發正確的業務信息,用戶體驗下降,導致用戶投訴。
具體而言,在車務通業務中,通過對車輛加裝具有GPS功能的監控終端,采集車輛運行數據并將數據傳送至后臺管理服務器,如果車主想干私活,則會篡改上傳的位置數據,管理服務器無法實現對車輛的實時監控,對公司財產造成一定損失;又或者在太湖藍藻治理中,環境破壞分子篡改上傳的太湖水質pH值、含氧量,使得管理平臺無法掌握藍藻生長情況,也就無法采取有效的應對措施。需要進行完整保護數據如下表。
業務數據 |
電梯衛士和直放站監控 |
車務通、船舶GPS和停車系統 |
太湖藍藻 |
農業物聯網 |
電力抄表 |
完整性保護數據 |
終端產品序列號,升級、激活口令,設備運行狀況 |
終端產品序列號,車船位置信息,停車空位信息,調度、激活口令,車船運行狀況 |
水位、水溫、水量、風向、氣溫、底泥淤積、藍藻發生發布、藍藻打撈等信息 |
大棚的溫度、農作物的長勢、農作物的外表等數據 |
電力數據 |
完整性保護數據
(2)理論分析。由于數據是通過無線通信從業務服務器向用戶傳遞的,因此攻擊者可通過對信道中的信息添加冗余等簡單手段完成對信息的篡改,使用戶終端設備無法接收正確的業務信息,從而無法對這些信息做出正確的處理。
(3)安全需求:完整性保護。針對“篡改業務流程中信息”中描述的問題,在M2M終端與M2M業務平臺或業務平臺與應用服務器通信時,為了使海量數據流能抵抗篡改、插入、重放等破壞完整性攻擊,為用戶提供正確的監控設備運行狀況數據、位置信息、環境監測數據、作物長勢等,對于一些業務數據和口令信息,需要對其進行業務層完整性保護。因設備終端運算、存儲能力有限,在選擇密鑰算法時要考慮完整性算法的速度要快、占用存儲空間要小、通信開銷要小、算法安全性高,使得業務達到一個效率與安全的平衡。
身份冒充威脅
(1)攻擊場景。非法M2M應用服務器通過假冒合法M2M應用服務器的身份通過WMMP-A接口接入M2M平臺,發布虛假/非法的業務請求指令。
(2)理論分析。在沒有采取任何身份認證和業務請求授權機制的接口之上,非法M2M應用很容易地就可冒充其他合法M2M應用向M2M終端發布虛假的業務請求指令。而在采取一定身份認證和業務請求授權機制進行合法性驗證之后,攻擊者采取這類攻擊就變得較為困難。然而,這并不意味著攻擊者無法進行此類攻擊。
(3)安全需求:采用身份驗證方式防止身份冒充威脅。
否認抵賴威脅
(1)攻擊場景。M2M應用通過WMMP-A接口請求M2M平臺為其提供某種業務服務后,否認自己曾經請求過這樣的服務,從而形成對已有行為的否認和抵賴。
(2)理論分析。由于用戶否認自己的業務請求,網絡運營商將無法向用戶核實賬單,無法對用戶使用過的業務服務進行計費,這將給運營商造成直接的經濟損失。然而,對惡意用戶而言,此類威脅實現起來較為簡單,能夠輕而易舉地達到目的。
(3)安全需求:引入可信第三方和簽名機制。
終端信息泄露
(1)攻擊場景。在WMMP-T協議中,M2M終端的接入密碼和基礎密鑰是通過短信以明文方式下發的。攻擊者利用此漏洞,可以截獲M2M終端的接入密碼和基礎密鑰,從而能夠破解M2M終端與M2M平臺間后續交互的各種數據信息。
(2)理論分析。攻擊者通過分析WMMP-T協議,能夠容易發現該協議中存在的上述問題。利用該協議漏洞,攻擊者一旦發起攻擊捕獲到M2M終端的接入密碼和基礎密鑰,就能夠隨意獲取任何M2M終端和M2M平臺間通過WMMP-T協議傳輸的數據信息,給網絡造成極大的危害。
(3)安全需求:采用數據加密和完整性保護終端信息數據,防止終端信息泄露。