在具体的物联网开发业务中,M2M终端收集的数据信息经由核心接入网传递到M2M平台,在这个过程中,物联网业务将面临多种安全威胁。
首先,攻击者可能假冒M2M终端,向M2M平台发送虚假的业务数据。
其次,攻击者可能窃听合法终端上传的业务数据,导致业务机密信息的泄露。例如,车务通业务中的调度信息和远程配置信息,攻击者一旦获得这些信息,则可以掌握车辆及其车主的位置等机密信息,造成一定的安全隐患。
再次,攻击者还可能篡改传输过程中的数据信息,使得业务平台收不到准确的业务数据,导致业务不能正常进行,给业务使用者的生命和财产安全带来危害。例如,在电梯卫士业务中,如果敌手篡改传输过程的故障信息,使得平台收不到准确的故障信息,则不能对电梯做出及时的响应措施,可能对电梯中人员生命安全造成威胁。
最后,在某些具体的业务(如爱贝通)中,IMSI是暴露给外部业务的,并且某些密钥也采取明文下发,这样将会使得攻击者直接获得业务的身份信息或者密钥信息,使得M2M终端的身份信息等暴露在攻击者环境下,造成一定的安全隐患。
假冒终端用户
(1)攻击场景。在车务通、电梯卫士、直放站监控系统、船舶GPS监控和智能停车系统等物联网业务中,信息由感知层中的传感设备收集并传送到传感网网关(M2M终端),然后经由网络层发送给业务平台。在传感信息由M2M终端上传给业务平台这个过程中,攻击者有可能假冒合法的终端设备上传虚假的业务信息,致使业务平台无法收到正确的业务信息,破坏业务的正常使用,导致业务使用者的隐私泄露和经济损失。
(2)理论分析。在整个物联网数据传递的过程中,攻击者可以窃取用户终端设备并从中获得用户的合法身份信息,从而轻易地假冒合法用户来参与通信。一旦该攻击得以实现,则会使用户身份隐私、财产、生命安全等受到严重威胁。
(3)安全需求:业务认证。针对“假冒终端用户”中描述的问题,为了保护M2M终端传递给业务平台数据的安全,避免攻击者假冒M2M终端设备上传虚假的信息,保证业务的顺利实施,M2M平台需要对M2M终端进行认证。
在认证的过程中,为了提高业务效率,降低业务成本,应当在目前已经存在网络层认证的基础上,考虑是否有必要进行业务层的认证。当可以认可网络层认证结果或者可以复用网络层认证结果的时候,就不需要再进行业务层认证。以下两种情况是需要进行单独认证的,这也是我们要着重考虑的情况。
①根据业务平台的情况:当物联网业务不是运营商自己部署的,且终端签约的物联网业务不是由运营商负责提供的,业务层不能信任网络接入的认证结果。在这种情况下,需要进行业务层的认证。
②根据业务信息的敏感情况:从业务安全的角度来看,某些比较特殊的业务,是需要进行业务认证的。例如,在金融行业,业务数据十分敏感,并且对安全等级的要求超过了通常意义上的通信网络的安全等级,因此在这种情况下,就需要提供业务层的认证。
对终端设备的物理攻击
(1)攻击场景。在太湖蓝藻治理、电梯卫士、车务通等业务中,M2M终端设备一般分布在无人看管的环境中,甚至在敌对的环境中,因此设备容易被攻击者捕获或控制。攻击者可以通过编程接口进入设备内部,利用UISP和汇编软件等,获取终端设备的内部存储信息;也可以直接采用物理方法,将M2M终端设备连接到控制信号线上,获取信号线上所传输的机密信息或者将自己的数据传入设备中。
在不同的业务中,攻击者对不同终端设备的威胁及攻击形式也是不同的,具体如下表。
业务类型 |
设备类型 |
威胁及攻击形式 |
太湖蓝藻治理 |
传感节点 |
攻击者捕获传感节点,通过JTAG接口获取节点中的信息或代码,分析出该节点所存储的ID、位置、密钥等敏感信息,从而假冒合法节点加入传感网络中;也可以分析出瞬时的水域信息,造成业务机密信息的泄漏 |
太湖蓝藻 |
传感节点 |
攻击者修改节点中的身份等隐私信息,使得节点以多个身份在传感网中通信;也可以修改水域中的各类指标,加载到节点中,然后发送错误的水域信息至M2M平台 |
|
传感网网关 |
攻击者对开放的网关端口发送Update信息,插入、删除路由表和节点密钥等,也可以远程访问以修改网关里存储的程序和机密信息 攻击者可以用自己的终端设备直接连接网关的信号线,读取其保密数据或将自己的数据传入其中 攻击者可以在网关工作时,仔细地观察各种参数,利用功率分析法获取机密信息,控制网关后,迫使其做出错误的决定(如允许非法节点的访问),同时修改机密信息,平台则无法得到太湖水域的准确信息,也就不能及时有效采取治理措施 |
电梯卫士 |
摄像头 |
攻击者可以修改芯片的内部程序和密钥信息,从而控制摄像头所捕获的图像,即有选择地将图像信息上传至M2M平台。这些可能影响电梯的故障信息,造成对电梯的修理延误,从而造成一定的隐患 攻击者可以通过图片信息了解电梯中常出现的人的信息,进而可以推测出其生活习惯,造成业主的隐私泄露 |
车务通 |
车载终端 |
攻击者通过RS-232接口获取或修改GPS中的位置信息;通过接口直接连接存储器获取其密钥、身份;改变GPS智能软件系统或嵌入终端来获取位置、密钥等信息 攻击者通过给车载终端连接车载GPS干扰器等外接设备,屏蔽GPS导航,使其失效,从而可以任意改变车辆的位置信息,并上传虚假的或者错误的位置信息给M2M平台 |
威胁及攻击形式
(2)理论分析。攻击者可以轻易通过物理手段使用编程接口进入设备内部,利用UISP和汇编软件等获取设备机密信息,对M2M终端的物理攻击所造成的安全威胁是最大的,防止物理攻击所采取的保护措施也是最难实现的。
(3)安全需求:设备自身安全。针对“对终端设备的物理攻击”中描述的问题,为了保护终端设备的安全,避免被攻击者捕获后控制,并上传虚假业务信息,保证业务的顺利实施,对于传感节点,我们可以采取定时更新终端设备中存储的密钥的方法,这样即使有一小部分节点被操纵,攻击者也不能或很难从获取的节点信息推导出其他节点的密钥信息。对于传感网网关、摄像头和车载终端,我们采用在其设备的芯片内部对存储器和总线系统进行加密的方式,或者建立安全网关的方法,避免非法的远程访问;也可以用一些物理方法保护设备芯片存储的信息,如提高芯片设计的复杂程度、芯片制造的精细程度等。
卡被非法拨出或替换
(1)攻击场景。例如,在电力抄表等业务中,需要把USIM卡插入M2M终端设备中,才能使得业务顺利进行。然而,该设备很容易受到攻击者的破坏。具体的,攻击者可以进行如下两种攻击:将合法的USM卡插入非法的终端设备中,假冒合法终端设备与业务平台进行通信:将非法的USM卡插入合法的终端设备,从而与业务平台进行通信。这就使得攻击者可以传递错误的或者虚假的信息,破坏业务的正常进行,对用户造成人身和经济财产的损失。
(2)理论分析。在某些物联网设备中,终端需要插入合法的USIM卡才能进行通信,由于设备经常处于开放环境中,USIM卡或者设备很容易遭受攻击者的窃取和破坏,从而泄露存储的机密信息。
(3)安全需求:机卡绑定。针对电力抄表等业务中所遭受的将合法的USIM卡插入非法的M2M终端设备或者将非法的USIM卡插入合法的M2M终端设备的攻击,当用户将USIM卡插入M2M终端设备时,USIM卡要对终端设备的身份合法性进行认证,防止插入非法设备中,由非法设备盗取USIM卡中存储的通信密钥、用户隐私等机密信息,从而给整个业务的安全性带来威胁。与此同时,M2M终端设备也要对USM卡的合法性进行认证,防止攻击者使用非法的USIM卡插入M2M终端设备中,窃取设备中存储的用户隐私等机密信息,因此,当USIM卡插入M2M终端设备时,在卡与设备之间应当进行双向认证,从而确定双方身份的合法性,以保证业务的安全。
在USIM卡与M2M终端设备之间进行的双向认证方案应当满足USIM卡与M2M终端设备各自的特点,在保证安全性的基础上便于方案在实际中的应用。
在上述业务中,均需要由M2M终端及传感外设收集数据。
(4)理论分析。攻击者可以通过窃听、流量分析获得源位置信息等手段轻易获得业务中的隐私信息,因此攻击较易实现。对业务造成的隐私信息泄漏,用户损失较大。
(5)安全需求:隐私保护。针对“业务隐私泄漏”描述的问题,为了防止有M2M终端及其传感外设收集到的信息再传输过程中被攻击者窃听,避免敏感数据、身份信息和位置信息的泄漏,需要对传输过程中的数据进行加密,保证此类信息的安全。此外,针对攻击者可以通过分析传输过程中的信息的流量状况来反向追踪出信息源位置的问题,需要采用信源模拟等位置保护方法。
针对IMSI暴露给外部业务和假冒终端用户的问题,为了保护具体业务中的身份信息不被攻击者获得和仿冒,需要使用匿名认证机制等来防止身份信息的泄漏,以保证用户身份隐私的安全。
该文为上半部分,下文可阅读:物联网业务安全威胁(下)。