浅谈工业物联网终端面临的安全威胁

随着物联网的快速发展，其面临的安全形势比传统互联网时代的更为严峻。物联网终端这个新角色的加入，它们的安全风险威胁着所有接入物联网的设备。尤其是在工业物联网领域，往往需要集成已部署的传统传感器构建工业物联网底层。传统传感器本身原有的漏洞，在新的物联网环境中更加危机四伏。本文浅显的讨论了工业物联网终端面临的安全威胁，介绍了中国AII组织和美国IIC分别发布的工业物联网安全实施框架。

工业互联网终端面临的安全威胁

目前物联网终端的安全建设尚有很多工作要完成，尤其是传统的部分终端，由于历史原因，终端厂商在设计生产时并没有考虑到物联网应用场景，导致终端在集成进物联网中时，成为物联网系统不可忽视的安全漏洞。

工业物联网终端是整个工业物联网的基础层，该层包含了功能各异的传统传感器、新型智能终端等节点。工业物联网终端的主要安全隐患包含但不仅限于：

l 硬件设备攻击

终端硬件的组件和配置被篡改。如果在硬件架构设计上未作安全考虑，在攻击者接触到终端硬件后，可以利用工具直接从硬件中提取数据，查找漏洞或分析破解加密系统。攻击者甚至直接克隆，篡改电路，加装恶意设备，绕过软件上的种种安全措施，致使数据外泄。

l 对操作系统的攻击

系统启动进程被截获或覆盖。攻击者通过修改终端硬件平台固件之间的接口，如UEFI或BIOS，从而改变终端功能。

劫持Guest操作系统或进程管理程序。这样攻击者可以控制应用程序的硬件资源分配，进而可以改变终端系统的行为，最终可以绕过安全控制，获得对硬件和软件资源的访问特权。

l 对业务应用的攻击

非法更改应用程序或公共API。攻击者通过执行恶意应用程序或重写应用程序API达到攻击目的。

利用部署或升级程序的漏洞。错误和有漏洞的部署和升级程序也可能作为渗入点，例如，错误或恶意的安装脚本和被截获破解的数据通信，都能被攻击者利用，进而恶意更新终端上的可执行脚本或软件包。

l 网络攻击

海量的恶意数据访问请求，即DDoS攻击。如果不能正确因对DDoS攻击，可能会妨碍终端功能的及时准确的执行。

开放不必要的网络服务和接口，通信协议无加密或加密强度过低，预留的维修后门及通用的初始化弱口令等。

l 其他类型的攻击

开发时引入的漏洞。这些漏洞往往会在代码的架构、设计或编写过程中引入。例如引入了安全程度较低的或恶意的第三方代码库，使用了不受信任的开发框架，都可能导致漏洞或恶意代码出现在终端的运行软件中。

工业物联网安全实施框架

在工业物联网建设时，集成的终端往往种类繁多，并且可能来自于多家厂商，因此为了保障工业物联网系统的安全，需要在统一安全标准和安全建设实施方面做更多努力。作为工业物联网的底层，终端并非独立存在，其安全威胁的也应放到整个工业物联网系统的安全框架中解决。美国工业互联网联盟(IIC)发布了其制定的工业互联网安全框架《Industrial Internet of Things Volume G4: Security Framework》(IISF)，我国的工业互联网产业联盟(AII)业已起草发布了《工业互联网安全框架》。

从功能视角分析IISF，其包含了六个相互关联的功能块,并分为三层。顶层包含四个核心安全功能块，即端点保护、通信&连接保护、安全监测和分析以及安全配置管理。中层是数据保护层，底层是安全模型和策略。

美国IIC发布的工业物联网安全实施框架

工业互联网产业联盟(AII)起草发布的《工业互联网安全框架》，从防护对象、防护措施及防护管理三个视角构建工业互联网安全框架。针对不同的防护对象部署相应的安全防护措施,根据实时监测结果发现网络中存在的或即将发生的安全问题并及时做出响应。同时加强防护管理,明确基于安全目标的可持续改进的管理方针,从而保障工业互联网的安全。

中国AII发布的工业互联网安全框架

元心物联网终端操作系统解决方案

物联网终端具有不同于传统嵌入式的单一性，也不同于手机等资源丰富设备。物联网终端需要满足：资源受限，安全，需求多样性，物联网通信，多种传感器，硬件碎片化等诸多需求。元心IoT操作系统作为专为物联网终端设计的操作系统，架构设计充分考虑物联网的场景需求。元心IoT操作系统内核正在进行CC EAL5认证，是国内首家进行软件EAL5测评的操作系统内核。

元心IoT操作系统的防护机制如下：

l 应对硬件设备攻击：

外设访问控制，审计外设权限。

l 应对操作系统和业务应用的攻击：

1) 划分用户空间和内核空间，可以限制用户空间对cpu敏感指令的使用。

2) 内存溢出防护，审计内核对象和驱动权限，线程隔离，线程级内存保护。

3) 拥有高特权级别，EL2（更高优先级），可以捕获（trap）EL1（内核）的越权行为（访问内存、寄存器、特权指令等）。

4) 内核完整性保护，虚拟化层的动态度量，确保上层内核的运行时安全，抵御内核攻击。

5) 高强度的域间隔离，物理级隔离（SMMU，两阶段页表保证域间隔离，I/O隔离；EL2机制保证内核与虚拟机隔离）。

除此之外，为提高适用性，元心IoT操作系统还有以下特性：

l 稳定性好：所有服务都运行于内核之外

l 集成方便：对于通信软件协议栈，传感器、通信模块外设都以模块形式替换，升级。

l 裁剪性好：最小可适配8k内存

l 功能配置便捷：Kconfig菜单式配置功能选项

l 移植性强：适用arm，X86，arc，xtensa，risc-v等各种平台。

l 原生支持各种通信协议LwM2M，BSD socket BLE ，Bluetooth, BLE（Bluetooth Low Energy）, Wi-Fi, IEEE 802.15.4（low-rate wireless personal area network），6Lowpan, CoAP, IPv4, IPv6, 和 NFC等协议

l 系统设计了系统范围线程管理sensor，通过channel及 trigger的机制灵活配置sensor

工业物联网中的信息安全，往往影响着功能安全和物理安全。因此在工业物联网中，信息安全事故的发生可能会导致严重的连带效应。工业物联网的信息安全漏洞被攻击，可能引起工业安全相关系统或设备的功能失效。元心IoT操作系统实现了强安全可控与现有生态兼容的结合，是工业物联网终端操作系统的一个不可忽视的解决方案。