信创安全-物联网安全防范浅析与技术展望.docxVIP

浅析物联网安全防护技术

1概述

物联网（IoT）已经成为一种日益复杂的生态系统，各类物联网终端日趋智能化和自动化。物联网相关业务的发展以及网络的演进速度已远远超前于安全防护能力。在此前提下，电信运营商如何在现有通信网络架构的模式下防范物联网安全风险，已经成为亟待研究和探讨的关键问题。

1.1物联网背景及相关概念

物联网（IoT）引领着网络下一代的潮流，其发展必

——————————

收稿日期：2019-04-10

将对世界产生巨大的影响。据Gartner报告统计，到2025年全球物联网连接数将达到250亿，万物互联的蓝海即将到来，物联网的连接数量将呈现爆炸式增长。

互联网实现了全球点对点的信息传递，而正在以指数级进化的物联网设备，未来必将越过“奇点”，成为与人类一样的网络世界平等参与者。在通信领域，传统方式下的信息是通过点对点传输的，所以可通过追踪传输路径并拦截信息对网络的安全风险问题进行溯源。而在万物互联时代，电信运营商现有的通信网络架构难以承载亿级的物联网设备接入，而且物联网终端的多元性使用户对安全问题的感知度高低不

一，所以必须探讨新的解决方案来保障基础网络设施及关键数据的安全。

根据国际电信联盟ITU的定义，物联网是指通过二维码识读设备、射频识别装置、红外感应器、全球定位系统和激光扫描器等信息传感设备，按约定的协议，把任何物品与互联网相连接，进行信息交换和通信，以实现智能化识别、定位、跟踪、监控和管理的一

种网络。物联网主要解决物与物、人与物、人与人之间的互连。从最初的机器通信（M2M——MachinetoMachine）到物联网（IoT）再到万物互联（IoE——Inter?netofEverything），物联网超越了人口的限制，开拓了

全新的市场蓝海，国际运营商已纷纷将物联网作为其

新的业务增长点。

1.2运营商物联网建设现状

目前运营商的物联网业务以发卡模式为主，尚未

2015年起，越来越多的物联网智能设备出现在互联网上，大量涌现的物联网智能设备开始在分布式反射拒绝攻击（DRDoS攻击）中扮演重要角色。由于物联网智能设备主要通过SSDP协议进行交互，物联网设备又具有高带宽、低监控水平、全天候在线等特点，因此其反射攻击具有比其他类攻击更为广泛的设备基础。

Gartner的研究报告称在互联网终端中，27%的控制系统已被攻破或被感染，80%的设备采用简单密码，70%的设备通信过程不加密，90%的固件升级更新过程不进行签名验证，较易沦为攻击者发动DRDoS攻击的傀儡机。所以笔者认为物联网安全对物联网业务的重要性不言而喻。网络攻防趋势如图2所示。

IncidentsNew

Incidents

形成端到端的运营模式，应用服务层主要由服务提供商提供，终端感知层由用户自行管理。运营商主要负

Lotsof

attacks

MiscreantR＆D

attachs

责网络能力层和连接管理层的建设与维护。在网络能力层建设物联网专用核心网，疏导物联网流量。在连接管理层建设物联网专用平台，提供API接口供企业用户调用，向用户提供批量发卡和集中管理卡的业

Resolvetheproblem

Postmortem

Wearehere

Prepare

Survive…

务。物联网网络层级示意图如图1所示。

图2网络攻防趋势

应用服务层

云计算

APP大数据应用

车联网智能抄表环境监测智能家电移动传媒移动支付

物联网平台

与传统互联网网络安全防范相比，物联网的安全防范工作更加艰难。首先，物联网终端的智能化水平存在差异，而且终端资源（计算能力、存储空间）受限；其次，目前物联网缺乏通用的安全通信及安全检测协议；最后，与传统电脑终端、服务器相比，物联网设备

连接管理层

网络能力层

M-HLR

控制中心

M-SMSC

专用

M-GGSN 网元

自身安全防护能力较差。物联网终端更易受病毒、木马、蠕虫和恶意软件的攻击，导致设备无法使用、关键信息泄露、成为傀儡机甚至危及整个网络系统的安全，

终端感知层

模卡一体

单模块移动

嵌入式 普通

下面介绍下过去发生的影响较为广泛的物联网安全案例。

化终端

终端UICC卡终端SIM卡

Mirai病毒

物联网僵尸网络病毒“M