现阶段物联网应用场景逐渐增多,不同应用场景需求目标不同,应用技术也不尽相同,故各应用场景对应的安全任务侧重点并不相同。如果仅按层次整体讨论物联网安全现状,则无法全面深入地了解各个物联网应用场景的安全问题。所以这里将分别从智能家居、智能医疗、智能交通、智能电网及工业与公共基础设施五大物联网应用场景深入讨论其安全威胁。
1. 智能家居
智能家居越发普及的同时,各种智能家居设备保存与传输的用户隐私信息也越来越多。这些隐私信息不仅包含传统意义上那些银行卡、手机号等身份信息,还包含用户日常生活的行为隐私信息。如温度传感器记录了家中内各个房间的实时温度信息;网络摄像头可以直接远程实时查看家中的状况。攻击者通过控制这些智能家居设备,从而实现对用户隐私行为的监控。有人通过对市场上主要型号的网络摄像头进行分析,发现了大量可轻易利用的安全问题,包括弱口令、HTTP 明文传输等。此外,用户隐私保护意识普遍较低,厂商对于设备收集哪些用户隐私数据也无明确声明,加剧了智能家居设备隐私信息泄露的问题。
综上所述,智能家居设备首要安全工作是保护用户的隐私数据。研究人员大多通过监控智能家居终端应用的控制流与数据流来防止隐私数据泄露,但该方法忽视了智能家居设备间的互用问题。例如,市场上有些智能窗户控制器会根据温度传感器收集的室温自动打开或关闭窗户。在上述情景下敌手仅需控制温度传感器的温度值,从而间接实现对智能窗户的控制。
2. 智能医疗
在智能医疗领域,数据和设备安全显得尤为重要。因为医疗设备,尤其是胰岛素泵、心脏起搏器等人体嵌入式设备一旦被恶意控制会严重威胁用户的生命安全。经过对大量的智能医疗设备进行调研,有人发现其存在弱密钥、过期证书等诸多的安全漏洞。为了给用户提供更加全面、及时、专业的医疗服务,智能医疗设备的隐私信息会共享给诸多医疗单位,但同时也加剧了用户医疗隐私信息泄露的风险。此外,针对远程医疗服务平台的网络攻击也逐渐增多,甚至勒索软件也开始将智能医疗设备与医院数据库作为主要攻击目标。
为提高智能医疗设备的安全性,有人提出了针对智能医疗设备的专用测试框架及恶意程序的软、硬件检测方法。为了防止医疗隐私数据泄露,有人提出针对医疗数据使用人员不同,对隐私数据采取不同的保护处理方法。例如,对统计人员提供同态加密的数据,对医生提供只可读不可写的数据等。动态可撤销权能的多级隐私保护模型可以实施更加灵活的医疗隐私数据保护策略。同时,对智能医疗设备行为进行可信记录,也有利于及时发现对其网络的攻击行为。通过在胰岛素泵上增加可检测人体进食后肠道生物特征的电路模块,从而判定胰岛素泵的异常行为是否由网络攻击造成。在未来智能医疗设备生产中可以参考这样的设计方法,增加对设备行为的可信记录模块。
随着人均寿命普遍延长、慢性病人数逐渐增多,智能医疗设备会越发普及。提高智能医疗设备的安全性显得尤为重要。一旦无法保障医疗设备的安全,医生与病人自然会对智能医疗服务望而却步,严重阻碍智能医疗的推广与发展。
3. 智能汽车
随着市场上联网的智能汽车逐渐增多,现实中对智能汽车的电子攻击也层出不穷。PT &C|LWG司法咨询服务公司指出2013年在伦敦被盗的汽车中47%的汽车是通过电子攻击来窃取的。而受到攻击次数越多的汽车,其联网的部件也越多。研究显示现阶段智能汽车普遍存在大量安全漏洞。(www.daowen.com)
目前由于汽车系统固件为厂商所有,一般并不开源,所以学术界重点关注控制器局域网总线技术及V2X等智能汽车与其他设备通信技术的安全问题。此外,智能汽车云服务也会带来的隐私泄露问题。
随着车联网技术的发展,预估到2020年60%~75%的汽车都将具有Web服务,无线联网的汽车将达到1.5亿辆。智能汽车的安全将面临更加严峻的挑战。为了全面提高智能汽车的安全性,需要厂商和研究人员更加深入的合作才能设计出更加全面实用的安全防御措施。
4. 智能电网
早期智能电网的安全研究重点关注智能电网的实时电价调整协议及其他通信协议的安全问题。随着智能电网技术不断发展,更短时间间隔的使用电量信息被统计收集,这些信息与用户用电行为的相关程度逐渐升高。此外,不仅用电信息会泄露用户用电行为,智能电网计划分配给用户的电量信息也会泄露用户的用电习惯,故对用户用电信息的隐私保护的研究逐渐增多。在未来不只是智能电表,智能水表和智能燃气表等其他智能抄表设备收集的用量信息会泄露更多的用户生活隐私。
5. 工业与公共基础设施
这里讨论的智能工业与公共基础设备主要包括闭路电视、数字视频记录仪等视频监控系统,以及监测控制与数据采集等工业控制系统。震网蠕虫的出现使工业与公共基础设备的信息安全面临更加严峻的挑战。由于工业设备在设计之初没有考虑受到网络攻击的可能,所以当工业设备联网后会受到更加严重的网络攻击威胁。工业设备的设计与操作人员普遍存在侥幸心理,认为攻击者不具备相关专业知识无法实施网络攻击。此外,这些设备专用于完成特定的工业任务,其软硬件架构与传统计算机均不相同。普通计算机系统防御措施如防火墙、杀毒软件等,无法直接应用于上述设备,而单独为每种设备设计相应的系统防御措施开销过高。
现阶段主要通过设计入侵检测与防御系统来提高工业与公共基础设备的安全性。但是,由于工业设备的异构性,常用的基于通信网络中异常行为进行模式匹配的入侵检测方法,漏报率过高并不适用于工业系统。为了更加有针对性地保护关键工业设备,应该首先统计分析对关键设备的控制命令参数,从而确定其正常的值域范围;然后将其用来与实时通信流量中的控制命令参数进行比较,任何实际观察值在正常值范围之外时,就认为有入侵发生。
随着工业和公共基础设施中联网设备数目的增多,其所受到的网络攻击也将逐渐增多。但现阶段的工业与公共基础设备普遍缺乏网络与系统安全保护措施。如何有效检测与防御对这些专用设施的网络攻击需要更加深入的研究。
随着物联网技术的发展,物联网应用范围会愈发广泛。此外,诸如电动车与智能电网交互供电等跨场景物联网应用技术,在节约能源与方便用户生活的同时,也带来了更多的安全与隐私泄露问题。有效解决物联网应用场景中的安全问题将对未来物联网应用设计与发展起着重要作用。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。