描述
芯片采购网专注于整合国内外授权IC代理商现货资源,芯片库存实时查询,行业价格合理,采购方便IC芯片,国内专业芯片采购平台。
物联网安全是一种全堆栈行为,是服务、使用、云、管道、边缘、端全生态统一合作联合防御可以有效的主题,仅从物联网设备端采取严格防御策略不能阻止渗透到每个角落APT攻击。因此,我们可以从物联网设备开始,Rootkit注入保护、DDOS综合考察物联网安全的对策,包括攻击防御、设备安全准入、数据和协议安全。此外,还应确保物联网控制平台、云平台、互联接口、物联网业务系统等基础设施的安全。
1.基于可信计算的安全启动技术
可信计算是由TCG(Trusted Computing Group,基于硬件安全模块的可信计算平台广泛应用于计算和通信领域,以提高整个系统和应用软件的安全性和完整性。作为一种新兴技术,其主要目标包括计算平台的完整性、平台的远程证明、数据存储的安全性等。
作为高级可持续威胁(APT),如果不是潜伏在系统的最深层,如果不是在操作系统加载之前,如果在启动过程中不能制衡保护软件来实现自己的免杀APT”。对于的办法就是控制系统的运行权。可信计算技术是这场运行权战争中的定海神针。通过信任链的可传导性,验证每个启动步骤的完整性和正确性,确保计算平台的完整性。
测量是一级从底层逐级测量的,通常以先启动的软硬件代码(如安全芯片)为信任根,以此为标准测量后启动的软硬件,从而实现信任链的向后传输,保证系统计算环境的可信度。整个过程遵循先测量再执行的策略Windows当系统启动时,可以BIOS中间的代码是核心信任根模块信任根模块(可信根)BIOS/UEFI、WinLoader、逐级静态测量操作系统镜像文件。
可信根作为整个系统信任链的底信根必须可信。因此,可信根通常是通过制造商直接将算法和密钥植入安全芯片而实现的,这是不可覆盖的。因此,这部分代码也被称为可信软件基础(TSB,Trusted Software Base)。
ARM作为一个老的处理平台,制造商还提出了消费物联网设备的安全保密和可信计算TrustZone技术。本质上,该技术是一种硬件平台结构和安全框架,将电影系统的软硬件资源分为安全世界和非安全世界(类似于X86系统下的0环和3环)通过访问权限的差异来保证资源的安全。非安全世界和安全世界需要通过中间通信Monitor Mode进行转换。
2.Rootkit防御技术
Rootkit无论采用哪种处理器架构,还是在哪种操作系统中,都是系统安全领域常见的话题,Rootkit都是鬼影相伴。所谓Rootkit,是系统中隐藏自己、控制设备、获取隐私信息的恶意代码。十有八九的物联网设备招是以获取信息和控制设备为特征的Rootkit因此,对于恶意过程/代码模块Rootkit防御尤为重要。
Rootkit执行特点如下:
(1)将恶意代码放置在内存数据区,通过堆栈溢出等方式在数据区执行。
(2)恶意代码模块通过远程线程和默认加载加载到应用过程中,即注入模块。
(3)通过挂钩操作系统的重要方法(如系统调用或中断响应程序等)获取所需数据。
(4)通过过滤驱动挂钩网络协议栈,获取重要的网络流量,篡改数据包。
(5)通过挂钩重要可执行模块EAT/IAT改变过程执行过程的方式(导出/导入地址表)。
从上述Rootkit可以反向推导防御的运行特征Rootkit攻击手段。Windows系统在抵御Rootkit因为Windows系统的运行环境和计算资源相对宽松,因此有更多的机制和手段来确保安全。对于物联网系统,由于其功耗和计算资源的限制,操作系统一般相对简化,因此有针对性地制定Rootkit防御机制更为必要。
(1)物联网设备的通信模块短小精悍,一般没有协议栈,所以物联网设备中不会存在通过滤驱动拦截网络数据包的方式。
(2)物联网系统没有复杂的应用机制,如远程线程和默认加载,因此无需考虑模块注入。
(3)堆栈溢出在物联网系统中很常见,因此可以使用类似的堆栈溢出Win保护7的数据(DEP)机制防止内存数据区执行恶意代码。
(4)物联网系统还有重要的方法,如中断响应范围、系统呼叫服务范围等,仍然需要防止这些重要部件连接。类似的可以使用Windows的PatchGuard机制防止这些重要部位被重写。
(5)不明过程的安装和运行可以通过内核过程签名验证机制来阻断。
3.抗DDOS攻击技术
DDOS攻击是物联网还是视联网,攻击也是网络安全领域永恒的话题,只要支持TCPIP协议面临被子DDOS攻击的危险。DDOS核心思想是通过车轮战NXP代理使目标系统倦了应对,无法正常运行其他过程,包括各种细分攻击手段,常见的有以下几种:
(1)SYN Flood
通过伪造大量不存在的伪造IP地址在很短的时间内连续发送到服务器SYN服务器回复确认包SYN/ACK,等待客户永远不会回应的确认回复。这样的服务器需要不断重新发送SYN/ACK这些伪造,这些伪造SYN包将长期占用未连接队列,正常SYN请求被丢弃,导致目标系统运行缓慢甚至瘫痪。这是利用TCP传输特性制造的车轮战。
(2)ICMP Flood
在很短的时间内不断向目标主机要求ICMP回应导致目标系统负担过重,无法正常处理IO业务。这是利用ICMP协议制造的车轮战。
(3)UDP Flood
在很短的时间内向目标主机发送大量的目标主机UDP目标系统负担过重,无法正常处理IO业务。这是利用UDP协议制造的车轮战。
(4)ARP Flood
攻击者可以在很短的时间内发送大量的攻击ARP请求包阻塞正常的网络宽带,使局域网中有限的网络资源被无用的广播信息占用,导致网络拥堵。这是利用ARP包装制造的车流战瘫痪了承载网络。
除上述二三四层协议外,DDOS除了攻击,还可以制造应用层和会话层协议DDOS例如,攻击的效果在短时间内超过大量HTTP请求使WEB服务器崩溃,视频服务器通过大量流媒体会话协议在短时间内崩溃,这些攻击都迎合了DDOS攻击的初衷,即极限压力使其疲于应而崩溃。
一般情况下DDOS攻击的抵抗是通过排水的方法,即需要保护系统的判断DDOS攻击,然后启动流量排水机制,DDOS攻击包引导消化到攻击缓冲区。由于物联网领域设备数量庞大,应特别注意防御DDOS攻击问题。
(1)在IPv4.私网穿透主要用于与外部系统通信。由于私网穿透通信的单向性,外部系统主动启动DDOS特别是在部署对称性时,攻击的可能性较低NAT服务时,对外向内通信的限制非常严格,可以在一定程度上阻断DDOS攻击流。
(2)物联网和互联网之间也会有网络隔离设备,如安全访问平台或网络闸门,可以独立设置其安全水平。虽然其通信效率较低,但可以对网络包进行深度检测(DPI),也可以在一定程度上阻抗DDOS攻击流。
4.物联网设备指纹技术
设备指纹是近年来新兴的物联网设备接入准入技术。其核心原理是通过设备的操作系统和制造商ID、MAC地址、端口号、IP为了识别设备的独特性,生成一系列与每个设备相关的固定私有信息,如地址、协议报文类型等属性。通过设备指纹库识别设备,物联网平台可以阻断和报警非指纹库中的设备。传统的识别设备唯一性的方法是通过ID,然而,由于设备的原因,这种方法具有相当大的可仿性和可替代性ID一般处于OSI高层协议栈,仿冒门槛也较低。但通过设备指纹标识设备的独特性具有较低的可仿冒性和可替代性。
(1)设备的操作系统会有一定的标识,如版本号、制造商ID等等,假冒这些属性并不容易,可能要通过Patch改变内核变量的手段。
(2)MAC地址、IP地址、端口号等属性具有设备的独特性,虽然也具有模仿性,但模仿这些联合属性并不容易。
(3)虽然协议报文遵循一定的标准,但每个厂家设备协议的报文头或报文体都会有一些私人信息,比如SIP协议头域User-Agent属性将附带制造商信息。另一个例子是协议交互的时间间隔和回复特征,这些更微妙的差异也是设备指纹的重要组成部分。
因此,通过设备指纹识别设备的独特性、在线检测设备、私接设备和假冒设备具有很高的不可仿冒性和不可替代性。
生成设备指纹包括主动检测和被动监测。
(1)主动探测方法的主要思想是主动发送到物联网设备ICMP、UDP包,或主动建立TCP连接,甚至主动发起一些应用层以上的协议来探索设备的回复信息(例如ICMP echo reply、ICMP端口、端口、HTTP Response等待报纸),根据这些报纸识别设备的特殊属性。一些制造商还将支持一些私人协议来识别设备的不可伪造性。
(2)被动监控模式的主要思路是通过网络探针监控设备的互动报告,通过源端口、源地址、MAC判断设备的不可替代性,如信息、报文特征等。
图3一种基于OSI协议栈指纹回声的物分系统
设备指纹已广泛应用于视频监控领域。然而,在物联网的其他领域,由于协议报告类型的复杂性,许多设备不在TCPIP因此,网络中的应用场景并不多。
5.数据安全技术
物联网数据安全包括数据本身的安全和协议安全。但无论内涵如何,其本质都是解密数据和协议报告,当然也包括协议的证书认证机制。在安全领域,公安部已经制定了GB35114标准按密级高低划分ABC三个等级:认证加密协议报纸,视频NAL对视频内容本身进行认证和解密。
加持国家强制性标准是数据安全的注脚。
来源:中国安防
- 三星电子公布0.56微米2亿像素ISOCELL HP3图像传感器
- 英飞凌与Oxford Ionics携手开发先进的离子陷阱量子处理器
- 同时实现行业超快反向恢复时间和超低导电阻 600V耐压超级结 MOSFET “R60xxVNx系列” ~对降低工业设备和白色
- 光耦合器对开关电源的重要性!
- 英特尔锐炫的确认暂时不支持采矿
- Diodes公司的32通道PCIe 3.0封包切换器支持扇出和多主机连接功能
- 特斯拉第三季度收入214亿美元 净利润32.9亿美元同比翻倍
- 物联网安全:实现全球可持续性
- 3月23日,美国将举行芯片听证会 英特尔和美光CEO将出席
- 阿斯麦CEO:不卖EUV是中国大陆政府的选择
- 贸泽备货Laird Connectivity Sentrius IG60-BL654 BT610入门套件
- 自研GPU看齐GTX1050!国产GPU景嘉微半年净利润1.25亿元 其产品大卖