物聯(lián)網(wǎng)安全和取證淺談

史勇民，湯敏賢，李日南

（中電?？导瘓F有限公司，浙江 杭州 311100）

1 相關概念界定

物聯(lián)網(wǎng)（Internet of things，IoT）是指集成了各種傳感器、物體以及能夠與每個節(jié)點進行通信的智能節(jié)點，而無需人工干預的技術[1]。物聯(lián)網(wǎng)節(jié)點能夠提供輕量級數(shù)據(jù)、訪問和授權功能，用于收集和提取數(shù)據(jù)并通過分析收集的數(shù)據(jù)作出決策并實施。物聯(lián)網(wǎng)設備在智能電網(wǎng)[2]、醫(yī)療保健[3]及智能物流[4]等領域得到了廣泛的應用，如圖1所示。隨著智能設備數(shù)量的顯著增加，物聯(lián)網(wǎng)提供的自主服務逐步豐富?；谠苹A設施的物聯(lián)網(wǎng)設備也高速發(fā)展，其主要用于數(shù)據(jù)傳輸、存儲分析、支持云端的物聯(lián)網(wǎng)網(wǎng)絡發(fā)展。在這樣的背景下，隱私、訪問控制、安全通信及數(shù)據(jù)安全存儲等安全問題變得越來越重要，成為物聯(lián)網(wǎng)技術進一步應用的新挑戰(zhàn)[5]。

圖1 物聯(lián)網(wǎng)分類

物聯(lián)網(wǎng)設備和服務的快速增長，給人們帶來許多新的挑戰(zhàn)，如許多物聯(lián)網(wǎng)節(jié)點出現(xiàn)安全性差的情況，此外，常規(guī)用戶驅動的安全架構同樣值得關注。因此，需要專門的工具、技術及程序來保護物聯(lián)網(wǎng)網(wǎng)絡。本文對物聯(lián)網(wǎng)安全領域取得的研究成果進行匯總，簡要討論物聯(lián)網(wǎng)環(huán)境下的安全挑戰(zhàn)以及物聯(lián)網(wǎng)網(wǎng)絡取證面臨的挑戰(zhàn)。

2 物聯(lián)網(wǎng)環(huán)境的安全挑戰(zhàn)

物聯(lián)網(wǎng)節(jié)點分布廣泛，各類公共或私有性的數(shù)據(jù)由物聯(lián)網(wǎng)設備收集和傳輸，這導致安全性成為物聯(lián)網(wǎng)面臨的主要挑戰(zhàn)。物聯(lián)網(wǎng)安全體系如圖2 所示。

圖2 物聯(lián)網(wǎng)安全體系

2.1 物聯(lián)網(wǎng)驗證

在物聯(lián)網(wǎng)領域，身份驗證允許集成部署在不同環(huán)境中的不同物聯(lián)網(wǎng)設備。身份驗證過程涉及對傳輸數(shù)據(jù)的路由對等點的身份驗證以及數(shù)據(jù)路由源（數(shù)據(jù)源節(jié)點）的身份驗證。有效的密鑰部署和密鑰管理是物聯(lián)網(wǎng)設備身份驗證的一個挑戰(zhàn)。任何加密密鑰生成和密鑰交換都不應該對物聯(lián)網(wǎng)節(jié)點造成重大消耗。此外，在沒有認證的證書頒發(fā)機構（CA）的情況下，需要其他機制來驗證加密密鑰并確保密鑰傳輸?shù)耐暾浴?/p>

2.2 授權和訪問控制

授權涉及對不同資源的訪問權限的規(guī)范，而訪問控制機制應保證僅授權資源的訪問權限。每個物聯(lián)網(wǎng)節(jié)點可能僅支持有限的訪問驗證機制，這些機制可能與同一節(jié)點的其他連接對象不同。因此，在異構物聯(lián)網(wǎng)網(wǎng)絡中部署和管理針對不同節(jié)點能力的各種授權和訪問控制機制是一個挑戰(zhàn)。

2.3 隱私

在物聯(lián)網(wǎng)中部署可感知人們隱私信息（如健康數(shù)據(jù)）的自主對象，對個人隱私構成了新的威脅。與用戶必須采取一些行動（如搜索關鍵字或發(fā)布一些數(shù)據(jù)）來保護他們的隱私的傳統(tǒng)場景不同，物聯(lián)網(wǎng)節(jié)點正在收集人們的私人數(shù)據(jù)，而人們甚至沒有注意到。現(xiàn)有機制提供以用戶為中心的隱私、面向內容的隱私或面向上下文的隱私。然而，物聯(lián)網(wǎng)網(wǎng)絡自然包含收集信息的自治節(jié)點，因此需要面向對象的隱私模型。此外，大多數(shù)隱私法規(guī)要求讓用戶了解他們的私人數(shù)據(jù)是如何被管理和使用的。識別可能有權訪問被動收集的用戶私人信息的節(jié)點，是異構物聯(lián)網(wǎng)網(wǎng)絡中的一個巨大挑戰(zhàn)。

2.4 安全架構

構建一個能夠克服上述IoT環(huán)境中的安全挑戰(zhàn)的架構并非易事。任何物聯(lián)網(wǎng)架構不僅應該解決前面提到的安全問題，還應該應對在軟件定義網(wǎng)絡（Software Defined Network，SDN）和云基礎設施上部署物聯(lián)網(wǎng)設備所帶來的挑戰(zhàn)。大多數(shù)SDN和云環(huán)境安全問題將不可避免地繼承到底層物聯(lián)網(wǎng)傳感器。此外，涉及將面向對象的物聯(lián)網(wǎng)網(wǎng)絡安全連接到面向數(shù)據(jù)的云基礎設施的復雜性將帶來許多前所未有的安全挑戰(zhàn)。最后，檢測通過具有不同性質的網(wǎng)絡（即SDN、云和物聯(lián)網(wǎng)）重新路由的惡意流量并尋找惡意行為者，對于現(xiàn)有的入侵檢測和預防系統(tǒng)來說是一項非常具有挑戰(zhàn)性的任務。

3 物聯(lián)網(wǎng)環(huán)境的取證挑戰(zhàn)

物聯(lián)網(wǎng)很快就會滲透到人們生活的方方面面，從智能家居到智能汽車和城市的智能管理。未來很快可以看到人們因濫用智能設備而相互起訴。萬物互聯(lián)的發(fā)展也使得各類證據(jù)的搜集面臨大海撈針的困境，而在這種環(huán)境下，識別、收集、保存、報告證據(jù)以及攻擊或缺陷歸因將具有挑戰(zhàn)性。

3.1 證據(jù)識別、收集及保存

搜查和扣押是任何法醫(yī)鑒定的重要步驟。然而，考慮到相關設備都被設計用于被動和自主地工作，檢測物聯(lián)網(wǎng)系統(tǒng)的存在是一個相當大的挑戰(zhàn)。甚至在大多數(shù)情況下，當識別出物聯(lián)網(wǎng)設備時，也沒有記錄在案的方法或可靠的工具來以合理的方式從設備中收集殘余證據(jù)。此外，在從運行在多租戶環(huán)境中的設備收集證據(jù)時，創(chuàng)建給定物聯(lián)網(wǎng)設備的取證圖像的方法非常有限，也存在挑戰(zhàn)道德的風險。

雖然使用散列等傳統(tǒng)技術保存收集數(shù)據(jù)并不困難，但將現(xiàn)場完好地保存在物聯(lián)網(wǎng)環(huán)境中是一個巨大的挑戰(zhàn)。不同節(jié)點之間的實時和自主交互將使確定犯罪現(xiàn)場的范圍和邊界變得非常困難。

3.2 證據(jù)分析與關聯(lián)

大多數(shù)物聯(lián)網(wǎng)節(jié)點不存儲任何元數(shù)據(jù)，包括時間信息，這使得證據(jù)的來源對調查人員來說是一個挑戰(zhàn)。在缺少修改、訪問和創(chuàng)建時間等時間信息的情況下，從不同物聯(lián)網(wǎng)設備收集的證據(jù)之間幾乎不可能相關聯(lián)。除了技術挑戰(zhàn)之外，在分析和關聯(lián)收集到的數(shù)據(jù)時，隱私是一個需要考慮的主要問題，尤其是當大多數(shù)物聯(lián)網(wǎng)傳感器正在收集個人信息時。此外，在異構物聯(lián)網(wǎng)環(huán)境中收集的大量數(shù)據(jù)幾乎不可能提供對殘余證據(jù)的端到端分析。

3.3 責任判定和攻擊溯源

任何取證調查的常見結果是在事件發(fā)生時確定犯罪行為者或相關方的責任。隨著自動駕駛汽車行業(yè)的快速發(fā)展，識別事故中各方（即人類駕駛員或汽車自動駕駛系統(tǒng)）的責任將很快成為網(wǎng)絡取證的挑戰(zhàn)。如果沒有用于收集、保存和分析網(wǎng)絡物理系統(tǒng)數(shù)據(jù)的標準方法和可靠工具，就很難解決這些問題。此外，在缺乏適當?shù)纳矸蒡炞C系統(tǒng)的情況下，識別訪問物聯(lián)網(wǎng)節(jié)點的不同方的活動和責任將具有挑戰(zhàn)性。在缺乏可靠和安全的架構來保證可靠的日志記錄和監(jiān)控系統(tǒng)的情況下，即使擁有證據(jù)，在物聯(lián)網(wǎng)環(huán)境中檢測到的惡意活動的歸因也非常具有挑戰(zhàn)性。

4 結語

物聯(lián)網(wǎng)環(huán)境的快速發(fā)展及其性質帶來了各種安全和取證挑戰(zhàn)。本文簡要介紹了主要的安全和取證問題以及潛在的解決方案，提供了物聯(lián)網(wǎng)環(huán)境中隱私、安全和取證挑戰(zhàn)方面的一些前沿觀點，為物聯(lián)網(wǎng)網(wǎng)絡的安全和取證部署提供了新的解決方案。