------ 【导读】 ------
2018 年 6 月 27 日,中国移动、中国电信、中国联通、AT&T、沃达丰、德国电信、阿联酋电信、KDDI、LG U+、法国电信、挪威电信、西班牙电信、瑞典电信、Zain和土耳其电信宣布采用GSMA 物联网安全指南。该指南概述了适用于整个物联网生态系统的物联网安全最佳实践和建议,并列出了综合性安全评估方案,以确保物联网服务免受物联网安全风险的影响。
关注公众号并在后台回复关键字【0627】,即可获得GSMA物联网安全指南全文。
2018 年 6 月 27 日,中国移动、中国电信、中国联通、AT&T、沃达丰、德国电信、阿联酋电信、KDDI、LG U+、法国电信、挪威电信、西班牙电信、瑞典电信、Zain和土耳其电信宣布采用GSMA 物联网安全指南。该指南概述了适用于整个物联网生态系统的物联网安全最佳实践和建议,并列出了综合性安全评估方案,以确保物联网服务免受物联网安全风险的影响。
物联网安全是一场持久战
根据 GSMA 智库的数据显示,预计到2025 年,蜂窝物联网连接数将达到 31 亿。而在联网设备方面,其他权威机构给出的数据则在200~1000亿之间,基本上都是百亿级的。
在这之前,联网设备的数量远远没有这么庞大,但是与之相关的物联网安全问题却不能忽视,随着行业的高速发展,针对物联网的安全威胁只会越来越多。
去年10月,有安全专家表示WiFi的WPA2(WPA2是一种保护无线网络安全的加密协议)存在重大漏洞,导致黑客可任意读取通过WAP2保护的任何无线网络的所有信息,如信用卡号、密码、聊天信息、电子邮件、照片等等。
该漏洞名为“KRACK”,存在于所有应用WPA2协议的产品或服务中(意思就是现在绝大部分路由都不能避免)。其中,Android和Linux最为脆弱。对于现在进门就连WiFi的我们来说,这可是一个能让我们心里发慌的消息。
但是,好在WiFi联盟在本周一宣布WPA3协议已经完成,对比之前的WPA2,WPA3进行了全方位地升级,包括密码套件强度从AES 128bit提高到192bit、可为设备分配不同密钥、强化了设备连接公共Wi-Fi后的数据隐私性、可防止暴力破解等。
当然,WPA3的普及和应用需要一个过程,首先是路由器端,你可能要购买支持WPA3的新无线路由或者寄望厂商进行固件升级;其次是手机/平板在芯片层面也要支持,比如骁龙845就可以。
就在同一时间,网络设备巨头思科发表声明表示支持WPA3协议,将在未来的产品中使用WPA3协议,还会寻找对现有设备进行软件升级以搭载新协议的方法,其他公司应该也会对自家的产品进行更新换代, WiFi之母海蒂·拉玛应该会放心很多了。
BUT,物联网安全问题远不止于此!
GSMA 物联网安全指南
GSMA 物联网安全指南适用于物联网服务提供商、设备制造商、开发人员和移动运营商,同时它还能为跨行业和服务的物联网解决方案的安全端对端设计、开发和部署提供最佳实践。它们可以解决与物联网服务相关的典型网络安全和数据隐私问题,并逐步理清流程,以便将解决方案安全地推向市场。
物联网安全指南认为这些挑战都是物联网发展过程中固有的,主要包括:
<可用性:确保始终连接终端及其各自服务,终端设备必须能够始终与其他终端设备、终端用户和后端服务沟通交流。
<认证:对终端、服务和运行终端的客户或终端用户身份进行验证,终端想在物联网产品或生态中发挥作用,就必须能向同行和服务商安全的表明身份。
<隐私:降低伤害个体终端用户的可能性,隐私不再是现有产品与服务的附属品,只有恰当定义产品或服务架构,才能应对隐私挑战。
<安全:确保可核实、追踪并监控系统完整性。
表1.物联网发展过程中遇到的挑战及相关问题
| 挑战 | 相关问题 |
| 可用性 | 8LPWA网络如何在部署和运行如何达到与传统蜂窝系统接近的安全级别? 8物联网终端跨越网络边界迁移时,多个移动运营商如何支持同样的网络安全级别? 8网络信任如何推进到依靠网关终端进行通信的毛细终端? 8如何在安全通信环境中应对轻型终端的功耗限制? |
| 身份 | 8终端用户是否与终端身份紧密相连? 8服务和同行如何通过识别终端身份确认用户身份? 8终端安全技术能否安全的验证同行和服务? 8异常服务和同行能否冒充授权服务和同行? 8如何确保设备身份不受干扰或操纵? 8终端和网络如何确保物联网服务得到访问终端的许可? |
| 隐私 | 8终端身份是否泄露至未授权用户? 8唯一终端或物联网服务标识符是否允许终端用户或终端受到实际监控或追踪? 8终端或物联网服务中发出的数据是否表示或直接关联真实终端用户属性,例如位置、动作或状态,如睡眠或清醒? 8对机密和完整性是否设有充分的保护,以确保组合密码文本的模式不会被看到? 8产品或服务如何存储或处理用户特定的个人可标识信息 (PII)? 8终端用户能否控制 PII 在物联网服务或产品中的存储或使用? 8用于保护数据的安全密钥和安全算法是否能够刷新? |
| 安全 | 8是否在项目之初就对产品或服务进行了安全最佳实践? 8安全生命周期是否结合至软件或产品开发生命周期? 8应用程序安全是否应用于在嵌入式系统中运行的服务和应用程序? 8终端和服务生态系统中是否实施了可信计算基 (TCB)? 8TCB 如何对应用程序图片和服务进行自我验证? 8终端或物联网服务能否检测出其配置或应用程序中存在异常? 8如何监控终端中指示恶意行为的异常现象? 8认证和身份如何与产品或服务安全流程相关联? 8制定了哪些事件响应计划以应对检测到的指示损害的异常现象? 8如何对服务和资源进行分段,以确保快速而有效地遏制损害行为? 8损害行为后如何恢复服务和资源? 8能否发现攻击? 8能否发现遭到侵入的系统组件? 8客户如何报告安全问题? 8能够更新或修补终端以去除漏洞? |
来源:GSMA
当我们了解了物联网安全有哪些挑战与问题之后,如何将相关的安全产品或服务结构化的拆解也是能够解决安全问题的重要考量,这是因为上述的问题针对不同的生态系统,也适用于不同的物联网安全产品或服务的提供者。GSMA给出的物联网模型以介绍在几乎所有物联网服务或产品模型中使用生产就绪技术所需的主要组件。
通信网络组件为物联网所固有,为发挥该模型的目的,其连接了两个生态系统。服务生态系统代表为提供功能并从该领域使用的终端中收集数据所需的服务、平台、协议及其他技术。终端生态系统包括低复杂性设备、富设备和网关,它们通过多种有线和无线网络将真实世界连接数字世界。
不同挑战包括不同的问题,不同的问题适用于不同的系统或者执行者。随着物联网技术的发展,会涉及到各种各样的安全问题,如何系统、科学的杜绝、发现、解决问题就成为了重要的一环,如果遗漏将会产生难以估量的后果,因为一个安全问题可能影响到一个产业链,甚至影响到海量的物联网设备。
举个栗子
GSMA的物联网安全指南就相当于一个原始版用户手册,可以在产品或服务出现安全问题之前和之后为执行者提供查漏补缺的教程,最重要的是能够形成统一的行业标准,这也是物联网时代非常需要的。
以个人无人机为例,参照物联网安全指南,通过将无人机物联网模型化,我们可以知道无人机包括一系列强大的组件。
从终端硬件的角度来看,其属于复杂终端设备。虽然无人机包括蜂窝模块,但它不是网关,因为不会向其他终端发送信息,或接收其他终端的信息;从服务的角度来看,由于无人机具有轻微自动化功能,可获取移动坐标和路径,同时拍照或拍摄短视频。这些媒体文件可通过 LTE 实时上传至后端服务,向操作人员显示其自动执行过程中的轨迹和视角,因此需要强大的后端服务。
在使用领域上,开发该技术的企业最初针对使用无人机进行野外拍摄的终端用户,但由于该无人机的拍摄功能和稳定性非常强大,进而将无人机运用到拍摄项目中,而这些项目都极其注重知识产权和隐私问题。
通过以上分析,从终端的角度来看,团队需要关注终端身份、终端模拟、信任密钥攻击、软件和固件干扰、安全远程管理、检测受损终端、服务模拟以及保证隐私等问题;而从服务的角度来看,则需要关注管理用户隐私和提高可用性等问题。
美国《麻省理工科技评论》发布了2017年十大突破性技术,将僵尸物联网列入其中。韩国产业研究院认为,到2020年,因为物联网信息安全问题导致的经济损失将达到180亿美元。
“为了促进物联网的蓬勃发展,移动行业需要一个统一的物联网安全解决方案。我们的指南鼓励行业采用一系列稳定的最佳实践,而这将有助于创建安全的物联网市场,并将有助于在市场发展壮大的过程中提供更具规模且值得依赖的服务,” GSMA 首席技术官 Alex Sinclair 如此评价。“移动行业在为授权频谱提供安全服务方面具有悠久的历史,而且运营商均为创建已久且值得信赖的安全物联网服务提供商,它们能够确保市场在较长时期内实现可持续发展。”
扫一扫在手机上阅读本文章
中国(四川)自由贸易试验区成都高新区天府大道北段1700号7栋1单元14层1435号
028-83139986 400 119 1980
