该文为下半部分,上文可阅读:物联网业务安全威胁(上)。
窃听业务流程中的信息
(1)攻击场景。在车务通、电梯卫士、直放站监控系统、船舶GPS监控、停车系统等物联网开发业务中,信息均由M2M终端收集,经过M2M平台上传至应用服务器,再传递给用户。攻击者可以窃听和解读上传过程中的机密信息(通信方的ID、通信密钥、监测数据等),一方面使得相关信息泄漏,获取业务数据和各类隐私信息,另一方面可能给合法用户造成人身财产等危险。
例如,在电梯卫士业务中,如果M2M终端采集的图像信息以明文形式传送,攻击者可以截获信息,造成业主的身份泄露;太湖蓝藻治理的水域信息一旦被窃听,攻击者可以分析出终端的位置等信息,或者进行流量分析,造成商业机密的泄露。具体业务的高等级安全数据如下表。
阶段业务 |
终端-业务平台 |
业务平台-应用平台 |
应用平台-远程手机端 |
车务通 |
终端产品序列号,位置数据,调度、激活口令 |
位置数据,远程升级,调度、激活口令 |
用户身份信息,终端位置数据 |
电梯卫士 |
终端产品序列号,运行数据,控制、激活口令 |
电梯运行状况,运城升级,控制、激活口令 |
无 |
直放站监控系统 |
终端产品序列号,直放站运行状况,激活口令 |
直放站运行状况,控制、激活口令 |
无 |
船舶GPS监控 |
终端产品序列号,位置、环境数据,调度口令,预警信息 |
船舶运行状况,位置数据,调度口令,预警信息 |
船舶位置数据 |
停车系统 |
终端产品序列号,空位数据 |
空位数据 |
用户停车收费账户数据 |
高等级安全数据
(2)理论分析。攻击者可以较为容易地通过窃听攻击获取终端上传的数据和信令,并获得终端的身份等隐私信息和商业机密,从而对整个业务的正常运行造成破坏,使得用户和供应商的正当利益无法得到保护。
(3)安全需求:加密。针对“窃听业务流程中信息”中描述的问题,为了保护用户私密信息和商业机密,避免攻击者获得用户通信信息,保证业务的顺利实施,需要对一些安全级别要求高的数据进行业务层机密性保护。由于设备终端运算及存储能力有限,因此在选择机密性保护方案时要考虑方案的运算速度快、存储空间小、通信开销小、安全性高等要求,使得业务达到效率、安全与能耗的平衡。
篡改业务流程中的信息
(1)攻击场景。在车务通、船舶GPS监控、停车系统、电梯卫士、直放站监控系统、太湖蓝藻治理、农业物联网和电力抄表等业务中,业务数据从M2M终端传送到M2M业务平台,再由业务平台传送到应用服务器。在这个过程中,为了能够减少会话通道本身的篡改攻击或其他问题导致两个通信实体之间的通信遭到第三方篡改,需要一种基于内容的信息完整性保护,即端到端的完整性保护。对于一些完整性要求高的数据,如果被篡改、插入、重放等,必然造成用户无法收发正确的业务信息,用户体验下降,导致用户投诉。
具体而言,在车务通业务中,通过对车辆加装具有GPS功能的监控终端,采集车辆运行数据并将数据传送至后台管理服务器,如果车主想干私活,则会篡改上传的位置数据,管理服务器无法实现对车辆的实时监控,对公司财产造成一定损失;又或者在太湖蓝藻治理中,环境破坏分子篡改上传的太湖水质pH值、含氧量,使得管理平台无法掌握蓝藻生长情况,也就无法采取有效的应对措施。需要进行完整保护数据如下表。
业务数据 |
电梯卫士和直放站监控 |
车务通、船舶GPS和停车系统 |
太湖蓝藻 |
农业物联网 |
电力抄表 |
完整性保护数据 |
终端产品序列号,升级、激活口令,设备运行状况 |
终端产品序列号,车船位置信息,停车空位信息,调度、激活口令,车船运行状况 |
水位、水温、水量、风向、气温、底泥淤积、蓝藻发生发布、蓝藻打捞等信息 |
大棚的温度、农作物的长势、农作物的外表等数据 |
电力数据 |
完整性保护数据
(2)理论分析。由于数据是通过无线通信从业务服务器向用户传递的,因此攻击者可通过对信道中的信息添加冗余等简单手段完成对信息的篡改,使用户终端设备无法接收正确的业务信息,从而无法对这些信息做出正确的处理。
(3)安全需求:完整性保护。针对“篡改业务流程中信息”中描述的问题,在M2M终端与M2M业务平台或业务平台与应用服务器通信时,为了使海量数据流能抵抗篡改、插入、重放等破坏完整性攻击,为用户提供正确的监控设备运行状况数据、位置信息、环境监测数据、作物长势等,对于一些业务数据和口令信息,需要对其进行业务层完整性保护。因设备终端运算、存储能力有限,在选择密钥算法时要考虑完整性算法的速度要快、占用存储空间要小、通信开销要小、算法安全性高,使得业务达到一个效率与安全的平衡。
身份冒充威胁
(1)攻击场景。非法M2M应用服务器通过假冒合法M2M应用服务器的身份通过WMMP-A接口接入M2M平台,发布虚假/非法的业务请求指令。
(2)理论分析。在没有采取任何身份认证和业务请求授权机制的接口之上,非法M2M应用很容易地就可冒充其他合法M2M应用向M2M终端发布虚假的业务请求指令。而在采取一定身份认证和业务请求授权机制进行合法性验证之后,攻击者采取这类攻击就变得较为困难。然而,这并不意味着攻击者无法进行此类攻击。
(3)安全需求:采用身份验证方式防止身份冒充威胁。
否认抵赖威胁
(1)攻击场景。M2M应用通过WMMP-A接口请求M2M平台为其提供某种业务服务后,否认自己曾经请求过这样的服务,从而形成对已有行为的否认和抵赖。
(2)理论分析。由于用户否认自己的业务请求,网络运营商将无法向用户核实账单,无法对用户使用过的业务服务进行计费,这将给运营商造成直接的经济损失。然而,对恶意用户而言,此类威胁实现起来较为简单,能够轻而易举地达到目的。
(3)安全需求:引入可信第三方和签名机制。
终端信息泄露
(1)攻击场景。在WMMP-T协议中,M2M终端的接入密码和基础密钥是通过短信以明文方式下发的。攻击者利用此漏洞,可以截获M2M终端的接入密码和基础密钥,从而能够破解M2M终端与M2M平台间后续交互的各种数据信息。
(2)理论分析。攻击者通过分析WMMP-T协议,能够容易发现该协议中存在的上述问题。利用该协议漏洞,攻击者一旦发起攻击捕获到M2M终端的接入密码和基础密钥,就能够随意获取任何M2M终端和M2M平台间通过WMMP-T协议传输的数据信息,给网络造成极大的危害。
(3)安全需求:采用数据加密和完整性保护终端信息数据,防止终端信息泄露。