汪襄南，王 冰，霍純敬（.中訊郵電咨詢?cè)O(shè)計(jì)院有限公司，北京00048；.中國(guó)聯(lián)通北京分公司，北京0006）

1 概述

物聯(lián)網(wǎng)（IoT）已經(jīng)成為一種日益復(fù)雜的生態(tài)系統(tǒng)，各類物聯(lián)網(wǎng)終端日趨智能化和自動(dòng)化。物聯(lián)網(wǎng)相關(guān)業(yè)務(wù)的發(fā)展以及網(wǎng)絡(luò)的演進(jìn)速度已遠(yuǎn)遠(yuǎn)超前于安全防護(hù)能力。在此前提下，電信運(yùn)營(yíng)商如何在現(xiàn)有通信網(wǎng)絡(luò)架構(gòu)的模式下防范物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)，已經(jīng)成為亟待研究和探討的關(guān)鍵問(wèn)題。

1.1 物聯(lián)網(wǎng)背景及相關(guān)概念

物聯(lián)網(wǎng)（IoT）引領(lǐng)著網(wǎng)絡(luò)下一代的潮流，其發(fā)展必將對(duì)世界產(chǎn)生巨大的影響。據(jù)Gartner報(bào)告統(tǒng)計(jì)，到2025年全球物聯(lián)網(wǎng)連接數(shù)將達(dá)到250億，萬(wàn)物互聯(lián)的藍(lán)海即將到來(lái)，物聯(lián)網(wǎng)的連接數(shù)量將呈現(xiàn)爆炸式增長(zhǎng)。

互聯(lián)網(wǎng)實(shí)現(xiàn)了全球點(diǎn)對(duì)點(diǎn)的信息傳遞，而正在以指數(shù)級(jí)進(jìn)化的物聯(lián)網(wǎng)設(shè)備，未來(lái)必將越過(guò)“奇點(diǎn)”，成為與人類一樣的網(wǎng)絡(luò)世界平等參與者。在通信領(lǐng)域，傳統(tǒng)方式下的信息是通過(guò)點(diǎn)對(duì)點(diǎn)傳輸?shù)?，所以可通過(guò)追蹤傳輸路徑并攔截信息對(duì)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)問(wèn)題進(jìn)行溯源。而在萬(wàn)物互聯(lián)時(shí)代，電信運(yùn)營(yíng)商現(xiàn)有的通信網(wǎng)絡(luò)架構(gòu)難以承載億級(jí)的物聯(lián)網(wǎng)設(shè)備接入，而且物聯(lián)網(wǎng)終端的多元性使用戶對(duì)安全問(wèn)題的感知度高低不一，所以必須探討新的解決方案來(lái)保障基礎(chǔ)網(wǎng)絡(luò)設(shè)施及關(guān)鍵數(shù)據(jù)的安全。

根據(jù)國(guó)際電信聯(lián)盟ITU的定義，物聯(lián)網(wǎng)是指通過(guò)二維碼識(shí)讀設(shè)備、射頻識(shí)別裝置、紅外感應(yīng)器、全球定位系統(tǒng)和激光掃描器等信息傳感設(shè)備，按約定的協(xié)議，把任何物品與互聯(lián)網(wǎng)相連接，進(jìn)行信息交換和通信，以實(shí)現(xiàn)智能化識(shí)別、定位、跟蹤、監(jiān)控和管理的一種網(wǎng)絡(luò)。物聯(lián)網(wǎng)主要解決物與物、人與物、人與人之間的互連。從最初的機(jī)器通信（M2M——Machine to Machine）到物聯(lián)網(wǎng)（IoT）再到萬(wàn)物互聯(lián)（IoE——Internet of Everything），物聯(lián)網(wǎng)超越了人口的限制，開(kāi)拓了全新的市場(chǎng)藍(lán)海，國(guó)際運(yùn)營(yíng)商已紛紛將物聯(lián)網(wǎng)作為其新的業(yè)務(wù)增長(zhǎng)點(diǎn)。

1.2 運(yùn)營(yíng)商物聯(lián)網(wǎng)建設(shè)現(xiàn)狀

目前運(yùn)營(yíng)商的物聯(lián)網(wǎng)業(yè)務(wù)以發(fā)卡模式為主，尚未形成端到端的運(yùn)營(yíng)模式，應(yīng)用服務(wù)層主要由服務(wù)提供商提供，終端感知層由用戶自行管理。運(yùn)營(yíng)商主要負(fù)責(zé)網(wǎng)絡(luò)能力層和連接管理層的建設(shè)與維護(hù)。在網(wǎng)絡(luò)能力層建設(shè)物聯(lián)網(wǎng)專用核心網(wǎng)，疏導(dǎo)物聯(lián)網(wǎng)流量。在連接管理層建設(shè)物聯(lián)網(wǎng)專用平臺(tái)，提供API接口供企業(yè)用戶調(diào)用，向用戶提供批量發(fā)卡和集中管理卡的業(yè)務(wù)。物聯(lián)網(wǎng)網(wǎng)絡(luò)層級(jí)示意圖如圖1所示。

圖1 物聯(lián)網(wǎng)網(wǎng)絡(luò)層級(jí)示意圖

2 物聯(lián)網(wǎng)安全現(xiàn)狀及案例

截至2017年，我國(guó)物聯(lián)網(wǎng)連接數(shù)突破1億，占全球總量31%。我國(guó)運(yùn)營(yíng)商“云—管—端”的物聯(lián)網(wǎng)體系已初步形成，業(yè)務(wù)呈現(xiàn)碎片化趨勢(shì)。

2015年起，越來(lái)越多的物聯(lián)網(wǎng)智能設(shè)備出現(xiàn)在互聯(lián)網(wǎng)上，大量涌現(xiàn)的物聯(lián)網(wǎng)智能設(shè)備開(kāi)始在分布式反射拒絕攻擊（DRDoS攻擊）中扮演重要角色。由于物聯(lián)網(wǎng)智能設(shè)備主要通過(guò)SSDP協(xié)議進(jìn)行交互，物聯(lián)網(wǎng)設(shè)備又具有高帶寬、低監(jiān)控水平、全天候在線等特點(diǎn)，因此其反射攻擊具有比其他類攻擊更為廣泛的設(shè)備基礎(chǔ)。

Gartner的研究報(bào)告稱在互聯(lián)網(wǎng)終端中，27%的控制系統(tǒng)已被攻破或被感染，80%的設(shè)備采用簡(jiǎn)單密碼，70%的設(shè)備通信過(guò)程不加密，90%的固件升級(jí)更新過(guò)程不進(jìn)行簽名驗(yàn)證，較易淪為攻擊者發(fā)動(dòng)DRDoS攻擊的傀儡機(jī)。所以筆者認(rèn)為物聯(lián)網(wǎng)安全對(duì)物聯(lián)網(wǎng)業(yè)務(wù)的重要性不言而喻。網(wǎng)絡(luò)攻防趨勢(shì)如圖2所示。

圖2 網(wǎng)絡(luò)攻防趨勢(shì)

與傳統(tǒng)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全防范相比，物聯(lián)網(wǎng)的安全防范工作更加艱難。首先，物聯(lián)網(wǎng)終端的智能化水平存在差異，而且終端資源（計(jì)算能力、存儲(chǔ)空間）受限；其次，目前物聯(lián)網(wǎng)缺乏通用的安全通信及安全檢測(cè)協(xié)議；最后，與傳統(tǒng)電腦終端、服務(wù)器相比，物聯(lián)網(wǎng)設(shè)備自身安全防護(hù)能力較差。物聯(lián)網(wǎng)終端更易受病毒、木馬、蠕蟲(chóng)和惡意軟件的攻擊，導(dǎo)致設(shè)備無(wú)法使用、關(guān)鍵信息泄露、成為傀儡機(jī)甚至危及整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全，

下面介紹下過(guò)去發(fā)生的影響較為廣泛的物聯(lián)網(wǎng)安全案例。

2.1 Mirai病毒

物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)病毒“Mirai”是新型的物聯(lián)網(wǎng)病毒，可以發(fā)動(dòng)大規(guī)模的分布式DDOS攻擊。該病毒通過(guò)高效掃描物聯(lián)網(wǎng)系統(tǒng)設(shè)備，感染采用出廠密碼或者弱密碼加密的物聯(lián)網(wǎng)設(shè)備。

防火墻不能有效防范該病毒的入侵和傳播，IoT設(shè)備在不知不覺(jué)中被感染，成為僵尸網(wǎng)絡(luò)中的一份子。攻擊者就可以利用被感染的設(shè)備擴(kuò)大傳播范圍，發(fā)起大規(guī)模的外網(wǎng)攻擊，同時(shí)監(jiān)控內(nèi)網(wǎng)，組織有規(guī)模的內(nèi)網(wǎng)攻擊。

2.2 IoT Reaper木馬

IoT Reaper木馬（也被稱為IoT roop）是在2017年10月發(fā)現(xiàn)的一種新型物聯(lián)網(wǎng)木馬，其原型是Mirai，但比Mirai強(qiáng)大，它是利用漏洞實(shí)現(xiàn)跨平臺(tái)的物聯(lián)網(wǎng)設(shè)備訪問(wèn)，IoT Reaper攻擊模型如圖3所示。

圖3 IoT Reaper攻擊模型

IoT Reaper放棄了Mirai中利用弱口令猜測(cè)的方式，轉(zhuǎn)為利用IoT設(shè)備的漏洞進(jìn)行植入。目前全球范圍約有200萬(wàn)臺(tái)物聯(lián)網(wǎng)設(shè)備被感染，可以發(fā)動(dòng)比Mirai規(guī)模更大的DDoS攻擊，據(jù)監(jiān)測(cè)，該類攻擊的源IP地址分布中中國(guó)排名第1。

2.3 Memcached DDoS反射攻擊

Memcached是一個(gè)高性能的開(kāi)源分布式內(nèi)存對(duì)象緩存系統(tǒng)，主要用于提高Web應(yīng)用的擴(kuò)展性，能夠有效解決大數(shù)據(jù)緩存的問(wèn)題，因?yàn)槠浣Y(jié)構(gòu)簡(jiǎn)潔、部署簡(jiǎn)單，目前被廣泛的應(yīng)用于“云結(jié)構(gòu)”和基礎(chǔ)設(shè)施即服務(wù)（IaaS）網(wǎng)絡(luò)中。

Memcached基于內(nèi)存的key-value存儲(chǔ)小塊數(shù)據(jù)，并使用該數(shù)據(jù)完成數(shù)據(jù)庫(kù)調(diào)用、API調(diào)用或頁(yè)面渲染等，攻擊者正是利用key-value這項(xiàng)功能構(gòu)造了大流量的Memcached反射攻擊。Memcached簡(jiǎn)單高效，但其在初始設(shè)計(jì)上沒(méi)有過(guò)多考慮安全性及健壯性，留下了很多安全隱患，例如在默認(rèn)狀態(tài)下，它不做鑒權(quán)認(rèn)證，而且TCP 11211及UDP 11211端口全部開(kāi)放。

2018年2月，全球爆發(fā)了Memcached DDoS攻擊，峰值流量高達(dá)1.7 Tbit/s，溯源結(jié)果表明，在這次攻擊中分布在中國(guó)的被利用的Memcached服務(wù)器位列第2位，占比12.7%，中國(guó)位于北京的服務(wù)器排名第2，所以對(duì)此類攻擊的防護(hù)也亟需重視。

3 近期物聯(lián)網(wǎng)安全防范技術(shù)研究

從以上實(shí)際案例中可以看出，物聯(lián)網(wǎng)安全問(wèn)題的研究和安全部署時(shí)不我待。筆者認(rèn)為電信基礎(chǔ)運(yùn)營(yíng)商主要負(fù)責(zé)網(wǎng)絡(luò)能力層和連接管理層的建設(shè)與維護(hù)，需要保證網(wǎng)絡(luò)“管道”的可達(dá)性與安全性，其安全風(fēng)險(xiǎn)主要集中在3個(gè)方面：物聯(lián)網(wǎng)終端安全問(wèn)題、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問(wèn)題、物聯(lián)網(wǎng)運(yùn)營(yíng)平臺(tái)安全問(wèn)題。

3.1 終端安全問(wèn)題

物聯(lián)網(wǎng)終端普遍成本低，智能程度低，但終端安全風(fēng)險(xiǎn)會(huì)威脅到整個(gè)物聯(lián)網(wǎng)或者網(wǎng)絡(luò)層的可用性，所以必須對(duì)此做一定防范。首先對(duì)設(shè)備進(jìn)行強(qiáng)口令設(shè)置，并且建議安裝防病毒軟件，定期升級(jí)；其次建議在物聯(lián)網(wǎng)中搭建惡意代碼監(jiān)測(cè)系統(tǒng)，通過(guò)采集Gn口流量，進(jìn)行DPI深入包分析，通過(guò)抓包識(shí)別惡意代碼特征并進(jìn)行告警和攔截。例如針對(duì)Memcached DDoS反射攻擊，通過(guò)執(zhí)行以下代碼，分析其主要特征。

from scapy.all import?

import binascii

payload=binascii.unhexlify（'000100000001000073 746174730d0a’）

pkt=Ether（）/IP（src="10.1.138.170"，dst="172.17.10.103"）/UDP（sport=666，dport=11211）/payload

sendp（pkt，iface="eth1"，loop=0，verbose=False）

對(duì)Memcached DDoS的抓包分析如圖4所示。

圖4 Memcached DDoS抓包截圖

3.2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問(wèn)題

目前常見(jiàn)的物聯(lián)網(wǎng)攻擊與傳統(tǒng)互聯(lián)網(wǎng)攻擊形式相似，為保障網(wǎng)絡(luò)性能，首先防范的仍然是巨型流量攻擊造成的網(wǎng)絡(luò)阻斷與網(wǎng)絡(luò)可用性降低。

以2018年發(fā)生的DDOS攻擊規(guī)模來(lái)看，攻擊峰值流量已達(dá)到Tbit/s級(jí)別，物聯(lián)網(wǎng)海量設(shè)備接入后，其攻擊流量規(guī)模呈幾何級(jí)別增長(zhǎng)，已經(jīng)對(duì)網(wǎng)絡(luò)基礎(chǔ)運(yùn)營(yíng)造成了不可忽視的影響。

對(duì)于大流量反射攻擊，需要進(jìn)一步分析其包特征，網(wǎng)絡(luò)邊緣將異常流量數(shù)據(jù)包直接丟棄，并進(jìn)行異常流量清洗等安全防護(hù)，物聯(lián)網(wǎng)的安全部署如圖5所示。

圖5 近期物聯(lián)網(wǎng)安全部署示意圖

黑客只需要執(zhí)行以下一段簡(jiǎn)短的代碼執(zhí)行程序就可以讓設(shè)備發(fā)出巨大流量：

from scapy.all import?

import binascii

#cmd="get a a a a a a a a a a a a a… ＜729 times＞"

payload=binascii.unhexlify（'000100000001000067 65742061206120612061206120612061206120612…'）

pkt=Ether（）/IP（src="10.1.138.170"，dst="172.17.10.103"）/UDP（sport=80，dport=11211）/payload

sendp（pkt，iface="eth1"，loop=0，verbose=False）

可以通過(guò)抓包進(jìn)一步分析反射DDoS攻擊特征（見(jiàn)圖6）。

圖6 反射DDOS攻擊特征抓取分析截圖

從以上數(shù)據(jù)中可以看出，攻擊者只需發(fā)送1個(gè)數(shù)據(jù)包，但反射器可發(fā)送50萬(wàn)個(gè)數(shù)據(jù)包，單一IP地址可產(chǎn)生高達(dá)6G的攻擊流量。

面對(duì)如此巨大流量的攻擊，運(yùn)營(yíng)商首先要在骨干網(wǎng)層面做好相應(yīng)的安全預(yù)案模板，可通過(guò)設(shè)置白名單等手段做到快速響應(yīng)和一鍵阻斷。同時(shí)，各自治域需要對(duì)其對(duì)接的PEER進(jìn)行安全流量控制，防范來(lái)自僵尸網(wǎng)絡(luò)大量終端所帶來(lái)的巨型流量風(fēng)險(xiǎn)。在核心網(wǎng)層面，可以在Gi出口位置部署防火墻、IPS等安全設(shè)備，定期進(jìn)行核心網(wǎng)設(shè)備的漏洞掃描與弱口令驗(yàn)證，加強(qiáng)其健壯性并通過(guò)現(xiàn)有已部署的flow設(shè)備監(jiān)控異常流量，完成近源清洗。具體的步驟應(yīng)有：

a）首先分析判斷受攻擊的IP地址是否為物聯(lián)網(wǎng)設(shè)備地址。

b）追蹤新物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)感染設(shè)備的范圍。

c）關(guān)聯(lián)檢測(cè)物聯(lián)網(wǎng)地址的外發(fā)流量新指征以進(jìn)行進(jìn)一步流量抑制。

4 物聯(lián)網(wǎng)安全防范技術(shù)展望

網(wǎng)絡(luò)安全領(lǐng)域的問(wèn)題，目前已得到世界各國(guó)的重視，其重要性甚至可以上升到國(guó)家安全層面。未來(lái)的網(wǎng)絡(luò)將是人與機(jī)器共舞的全新世界，需要一種不同于傳統(tǒng)人為控制的、完全透明和公平執(zhí)行的秩序。

中期來(lái)講，物聯(lián)網(wǎng)的安全運(yùn)營(yíng)業(yè)務(wù)將由傳統(tǒng)的硬件交付轉(zhuǎn)變?yōu)榉?wù)交付。雖然安全防護(hù)類設(shè)備不可或缺，但專業(yè)的安全服務(wù)、安全評(píng)估、安全培訓(xùn)以及安全運(yùn)營(yíng)服務(wù)（MSS）也將成為未來(lái)安全市場(chǎng)發(fā)展的重點(diǎn)。Gartner將MSS定義為：通過(guò)安全運(yùn)營(yíng)中心（SOC）的共享服務(wù)，實(shí)施IT安全功能的遠(yuǎn)程監(jiān)控和管理。其服務(wù)可以包括防火墻服務(wù)、IPS/IDS、防DDoS攻擊、基礎(chǔ)設(shè)施日志收集與報(bào)告分析、故障與安全事件響應(yīng)。

運(yùn)營(yíng)商首先要考慮建立可運(yùn)營(yíng)的SOC，提供安全運(yùn)營(yíng)服務(wù)，將物聯(lián)網(wǎng)納入管理和監(jiān)控，從而建立信息廣泛、統(tǒng)一預(yù)警的安全威脅情報(bào)中心。同時(shí)通過(guò)豐富的采集及監(jiān)控手段，獲取大量數(shù)據(jù)，增強(qiáng)風(fēng)險(xiǎn)預(yù)報(bào)的精度與效率，并且跟隨網(wǎng)絡(luò)演進(jìn)的步伐同步升級(jí)監(jiān)控及防護(hù)系統(tǒng)。

長(zhǎng)期來(lái)看，物聯(lián)網(wǎng)的智能設(shè)備將會(huì)呈現(xiàn)指數(shù)級(jí)增長(zhǎng)態(tài)勢(shì)，隨之也會(huì)帶來(lái)一系列問(wèn)題。首先是成本問(wèn)題，傳統(tǒng)物聯(lián)網(wǎng)需要部署中心化的云平臺(tái)，這需要高昂的建設(shè)維護(hù)成本；其次是擴(kuò)展性問(wèn)題，海量的設(shè)備接入給網(wǎng)絡(luò)帶來(lái)擴(kuò)容壓力，而中心化的平臺(tái)存在性能瓶頸；同時(shí)，大規(guī)模物聯(lián)網(wǎng)終端接入將帶來(lái)巨大的信息安全風(fēng)險(xiǎn)，而安全、隱私和信任是物聯(lián)網(wǎng)發(fā)展的前提。

顯然，只有去中心化、區(qū)域自治、扁平化的網(wǎng)絡(luò)結(jié)構(gòu)才能滿足未來(lái)物聯(lián)網(wǎng)業(yè)務(wù)發(fā)展的需求。

“區(qū)塊鏈”技術(shù)是一種天然的去中心化的協(xié)議，它將分布式數(shù)據(jù)庫(kù)作為載體，任意節(jié)點(diǎn)間的權(quán)利義務(wù)均等，沒(méi)有權(quán)威服務(wù)器，系統(tǒng)中的所有數(shù)據(jù)塊由整個(gè)系統(tǒng)中具有維護(hù)功能的節(jié)點(diǎn)來(lái)共同維護(hù)，每個(gè)節(jié)點(diǎn)分享權(quán)力和義務(wù)，通過(guò)廣泛分布的節(jié)點(diǎn)進(jìn)行驗(yàn)證，確保信息不可偽造和進(jìn)行篡改。

成功的去中心化物聯(lián)網(wǎng)不僅是點(diǎn)對(duì)點(diǎn)的，而且是無(wú)需信任的，也不存在中心化的單點(diǎn)故障。各物聯(lián)網(wǎng)設(shè)備間可建立一種高度加密的輕量級(jí)通信機(jī)制。也許在不遠(yuǎn)的將來(lái)，這種無(wú)需信任的點(diǎn)對(duì)點(diǎn)通信協(xié)議，將演進(jìn)成比TCP/IP協(xié)議更適合于物聯(lián)網(wǎng)的傳輸層協(xié)議。

雖然區(qū)塊鏈技術(shù)在物聯(lián)網(wǎng)安全方面的應(yīng)用市場(chǎng)前景廣闊，但目前它在基礎(chǔ)網(wǎng)絡(luò)的應(yīng)用還處在萌芽期，要達(dá)到規(guī)模商用還需克服重重挑戰(zhàn)。首先，物聯(lián)網(wǎng)終端需要具備加密和驗(yàn)證區(qū)塊鏈交易的計(jì)算能力；其次，隨著區(qū)塊鏈的增長(zhǎng)，節(jié)點(diǎn)存儲(chǔ)空間的需求也越來(lái)越大；而且生成一個(gè)區(qū)塊需要系統(tǒng)內(nèi)多個(gè)節(jié)點(diǎn)參與記錄并驗(yàn)證通過(guò)，會(huì)增加時(shí)延。

5 結(jié)束語(yǔ)

物聯(lián)網(wǎng)安全模式需要IoT生態(tài)系統(tǒng)的每一部分進(jìn)行合作、協(xié)調(diào)和連接。終端、網(wǎng)絡(luò)、平臺(tái)必須一起發(fā)力，相互整合。為了實(shí)現(xiàn)這種最佳的物聯(lián)網(wǎng)安全模式，IoT生態(tài)系統(tǒng)的各組成部分均要考慮其安全性，從而建立穩(wěn)固的底部和頂層結(jié)構(gòu)。

海量接入的設(shè)備必將給網(wǎng)絡(luò)帶來(lái)更多的安全威脅，運(yùn)營(yíng)商需要主動(dòng)出擊，迎接物聯(lián)網(wǎng)帶來(lái)的機(jī)遇和挑戰(zhàn)。