描述

芯片采购网专注于整合国内外授权IC代理商现货资源，芯片库存实时查询，行业价格合理，采购方便IC芯片，国内专业芯片采购平台。

物联网安全是一种全堆栈行为，是服务、使用、云、管道、边缘、端全生态统一合作联合防御可以有效的主题，仅从物联网设备端采取严格防御策略不能阻止渗透到每个角落APT攻击。因此，我们可以从物联网设备开始，Rootkit注入保护、DDOS综合考察物联网安全的对策，包括攻击防御、设备安全准入、数据和协议安全。此外，还应确保物联网控制平台、云平台、互联接口、物联网业务系统等基础设施的安全。

1.基于可信计算的安全启动技术

可信计算是由TCG（Trusted Computing Group，基于硬件安全模块的可信计算平台广泛应用于计算和通信领域，以提高整个系统和应用软件的安全性和完整性。作为一种新兴技术，其主要目标包括计算平台的完整性、平台的远程证明、数据存储的安全性等。

作为高级可持续威胁（APT），如果不是潜伏在系统的最深层，如果不是在操作系统加载之前，如果在启动过程中不能制衡保护软件来实现自己的免杀APT”。对于的办法就是控制系统的运行权。可信计算技术是这场运行权战争中的定海神针。通过信任链的可传导性，验证每个启动步骤的完整性和正确性，确保计算平台的完整性。

测量是一级从底层逐级测量的，通常以先启动的软硬件代码(如安全芯片)为信任根，以此为标准测量后启动的软硬件，从而实现信任链的向后传输，保证系统计算环境的可信度。整个过程遵循先测量再执行的策略Windows当系统启动时，可以BIOS中间的代码是核心信任根模块信任根模块(可信根)BIOS/UEFI、WinLoader、逐级静态测量操作系统镜像文件。

可信根作为整个系统信任链的底信根必须可信。因此，可信根通常是通过制造商直接将算法和密钥植入安全芯片而实现的，这是不可覆盖的。因此，这部分代码也被称为可信软件基础（TSB，Trusted Software Base）。

ARM作为一个老的处理平台，制造商还提出了消费物联网设备的安全保密和可信计算TrustZone技术。本质上，该技术是一种硬件平台结构和安全框架，将电影系统的软硬件资源分为安全世界和非安全世界（类似于X86系统下的0环和3环)通过访问权限的差异来保证资源的安全。非安全世界和安全世界需要通过中间通信Monitor Mode进行转换。

2.Rootkit防御技术

Rootkit无论采用哪种处理器架构，还是在哪种操作系统中，都是系统安全领域常见的话题，Rootkit都是鬼影相伴。所谓Rootkit，是系统中隐藏自己、控制设备、获取隐私信息的恶意代码。十有八九的物联网设备招是以获取信息和控制设备为特征的Rootkit因此，对于恶意过程/代码模块Rootkit防御尤为重要。

Rootkit执行特点如下：

(1)将恶意代码放置在内存数据区，通过堆栈溢出等方式在数据区执行。

(2)恶意代码模块通过远程线程和默认加载加载到应用过程中，即注入模块。

(3)通过挂钩操作系统的重要方法(如系统调用或中断响应程序等)获取所需数据。

(4)通过过滤驱动挂钩网络协议栈，获取重要的网络流量，篡改数据包。

(5)通过挂钩重要可执行模块EAT/IAT改变过程执行过程的方式(导出/导入地址表)。

从上述Rootkit可以反向推导防御的运行特征Rootkit攻击手段。Windows系统在抵御Rootkit因为Windows系统的运行环境和计算资源相对宽松，因此有更多的机制和手段来确保安全。对于物联网系统，由于其功耗和计算资源的限制，操作系统一般相对简化，因此有针对性地制定Rootkit防御机制更为必要。

(1)物联网设备的通信模块短小精悍，一般没有协议栈，所以物联网设备中不会存在通过滤驱动拦截网络数据包的方式。

(2)物联网系统没有复杂的应用机制，如远程线程和默认加载，因此无需考虑模块注入。

(3)堆栈溢出在物联网系统中很常见，因此可以使用类似的堆栈溢出Win保护7的数据（DEP）机制防止内存数据区执行恶意代码。

（4）物联网系统还有重要的方法，如中断响应范围、系统呼叫服务范围等，仍然需要防止这些重要部件连接。类似的可以使用Windows的PatchGuard机制防止这些重要部位被重写。

(5)不明过程的安装和运行可以通过内核过程签名验证机制来阻断。

3.抗DDOS攻击技术

DDOS攻击是物联网还是视联网，攻击也是网络安全领域永恒的话题，只要支持TCPIP协议面临被子DDOS攻击的危险。DDOS核心思想是通过车轮战NXP代理使目标系统倦了应对，无法正常运行其他过程，包括各种细分攻击手段，常见的有以下几种：

（1）SYN Flood

通过伪造大量不存在的伪造IP地址在很短的时间内连续发送到服务器SYN服务器回复确认包SYN/ACK，等待客户永远不会回应的确认回复。这样的服务器需要不断重新发送SYN/ACK这些伪造，这些伪造SYN包将长期占用未连接队列，正常SYN请求被丢弃，导致目标系统运行缓慢甚至瘫痪。这是利用TCP传输特性制造的车轮战。

（2）ICMP Flood

在很短的时间内不断向目标主机要求ICMP回应导致目标系统负担过重，无法正常处理IO业务。这是利用ICMP协议制造的车轮战。

（3）UDP Flood

在很短的时间内向目标主机发送大量的目标主机UDP目标系统负担过重，无法正常处理IO业务。这是利用UDP协议制造的车轮战。

（4）ARP Flood

攻击者可以在很短的时间内发送大量的攻击ARP请求包阻塞正常的网络宽带，使局域网中有限的网络资源被无用的广播信息占用，导致网络拥堵。这是利用ARP包装制造的车流战瘫痪了承载网络。

除上述二三四层协议外，DDOS除了攻击，还可以制造应用层和会话层协议DDOS例如，攻击的效果在短时间内超过大量HTTP请求使WEB服务器崩溃，视频服务器通过大量流媒体会话协议在短时间内崩溃，这些攻击都迎合了DDOS攻击的初衷，即极限压力使其疲于应而崩溃。

一般情况下DDOS攻击的抵抗是通过排水的方法，即需要保护系统的判断DDOS攻击，然后启动流量排水机制，DDOS攻击包引导消化到攻击缓冲区。由于物联网领域设备数量庞大，应特别注意防御DDOS攻击问题。

（1）在IPv4.私网穿透主要用于与外部系统通信。由于私网穿透通信的单向性，外部系统主动启动DDOS特别是在部署对称性时，攻击的可能性较低NAT服务时，对外向内通信的限制非常严格，可以在一定程度上阻断DDOS攻击流。

（2）物联网和互联网之间也会有网络隔离设备，如安全访问平台或网络闸门，可以独立设置其安全水平。虽然其通信效率较低，但可以对网络包进行深度检测（DPI），也可以在一定程度上阻抗DDOS攻击流。

4.物联网设备指纹技术

设备指纹是近年来新兴的物联网设备接入准入技术。其核心原理是通过设备的操作系统和制造商ID、MAC地址、端口号、IP为了识别设备的独特性，生成一系列与每个设备相关的固定私有信息，如地址、协议报文类型等属性。通过设备指纹库识别设备，物联网平台可以阻断和报警非指纹库中的设备。传统的识别设备唯一性的方法是通过ID，然而，由于设备的原因，这种方法具有相当大的可仿性和可替代性ID一般处于OSI高层协议栈，仿冒门槛也较低。但通过设备指纹标识设备的独特性具有较低的可仿冒性和可替代性。

(1)设备的操作系统会有一定的标识，如版本号、制造商ID等等，假冒这些属性并不容易，可能要通过Patch改变内核变量的手段。

（2）MAC地址、IP地址、端口号等属性具有设备的独特性，虽然也具有模仿性，但模仿这些联合属性并不容易。

(3)虽然协议报文遵循一定的标准，但每个厂家设备协议的报文头或报文体都会有一些私人信息，比如SIP协议头域User-Agent属性将附带制造商信息。另一个例子是协议交互的时间间隔和回复特征，这些更微妙的差异也是设备指纹的重要组成部分。

因此，通过设备指纹识别设备的独特性、在线检测设备、私接设备和假冒设备具有很高的不可仿冒性和不可替代性。

生成设备指纹包括主动检测和被动监测。

(1)主动探测方法的主要思想是主动发送到物联网设备ICMP、UDP包，或主动建立TCP连接，甚至主动发起一些应用层以上的协议来探索设备的回复信息(例如ICMP echo reply、ICMP端口、端口、HTTP Response等待报纸)，根据这些报纸识别设备的特殊属性。一些制造商还将支持一些私人协议来识别设备的不可伪造性。

(2)被动监控模式的主要思路是通过网络探针监控设备的互动报告，通过源端口、源地址、MAC判断设备的不可替代性，如信息、报文特征等。

图3一种基于OSI协议栈指纹回声的物分系统

设备指纹已广泛应用于视频监控领域。然而，在物联网的其他领域，由于协议报告类型的复杂性，许多设备不在TCPIP因此，网络中的应用场景并不多。

5.数据安全技术

物联网数据安全包括数据本身的安全和协议安全。但无论内涵如何，其本质都是解密数据和协议报告，当然也包括协议的证书认证机制。在安全领域，公安部已经制定了GB35114标准按密级高低划分ABC三个等级:认证加密协议报纸，视频NAL对视频内容本身进行认证和解密。

加持国家强制性标准是数据安全的注脚。

来源:中国安防