1. 首页 > 头条

物联网发展下的安全问题

前言

随着物联网技术的发展,各式各样的智能设备逐步进入了公众的视野,广泛应用于家居、医疗、制造等多个领域。这些智能设备带来了智能化服务的同时,也带来了新的安全问题——物理安全。与以往的网络攻击不同,针对物理安全的攻击可以直接对物理设备及环境产生影响,其可以对现实世界产生更大的危害性。

本文从三个方面介绍一些目前针对物理安全问题的相关研究,主要包括物理设备的攻击与防护、对数据的攻击、身份验证和访问控制,期望可以使读者对物理安全问题有初步的了解。

物理设备的攻击与防护

对物理设备的攻击主要包括盗窃和损毁、控制信号攻击和停用物理设备窃密等方式。

盗窃和损毁

与其他通过网络等手段对物理设备进行的攻击不同,攻击者进行盗窃或破坏行为,使物理设备直接受到物理破坏。这种物理破坏的发生[1]不可预测,且一旦设备遭到破坏,那么与该设备进行交互和通信的设备的正常工作将会受到干扰,甚至可能会引起整个系统的瘫痪。

现有针对盗窃和损毁的防护办法:

控制信号攻击

物理设备会直接对物理环境产生影响,这种物理交互特性使攻击者可以利用交互漏洞通过控制信号使物联网设备对物理环境实行相关操作,从而实现攻击目标,即控制信号攻击。例如,如果空调被攻击者利用,使室内温度升高,交互系统则按照固定的交互程序打开窗户,这样攻击者便可以从窗户实现室内入侵。

现有的防护研究是提前检测可能存在的物理交互漏洞,从而做出相应对策。Ding W[5]设计了物联网设备物理交互控制系统,通过发现任何可能的物理交互,生成物联网环境中的所有潜在交互链,根据物理交互产生的影响对每个已发现的应用程序间交互链的安全风险进行评估,识别高风险的应用间交互链。

停用物理设备窃密

保障物理安全大多关注于正处于服役期间的物理设备,而停用物理设备往往被忽略。这些设备很容易被攻击者捕获和利用,进而威胁到仍处于工作中的物理设备安全。攻击者通过获取停用的物理设备,便可以获取该物理设备的数据,这些数据与系统运行和用户的隐私密切相关。数据一旦泄露不仅会威胁到用户的安全和隐私,也会威胁到物联网和相应应用的安全。常见的攻击手段是物理重放,攻击者利用损坏或伪造的物理对象来重新连接物联网,从而获得未经授权的数据和服务。

面向软件的方法:加密方案和访问控制机制(加密方案:数据以密文形式存储,对于已停用的物理设备,在一段时间后销毁解密密钥,使被捕获物理对象的数据无法再进行解密,不可再用)

对数据的攻击

对数据的攻击通常发生在数据的采集、传输和使用过程中,如伪造、劫持、篡改、窃听和重放感知数据等。它们可能导致数据泄露、丢失、恶意使用等,并进一步伤害被攻击的物理设备本身及其所有者和用户。

根据物理对象所执行任务的不同,对数据的攻击[6]可分为:针对感知数据的攻击和针对执行数据的攻击

对数据攻击的研究有检测技术、密钥管理、身份认证和隐私保护

身份验证和访问控制

物理设备在接入物理系统的过程中存在发起者和接收者两个角色[6],攻击者的攻击途径也是分为这两个部分。伪造设备可以作为连接启动器启动连接,接入合法物理设备窃取数据;或作为连接设备欺骗连接启动器接入连接,非法获取服务。为了避免与恶意的对象连接,防止未经授权的用户对物理设备的访问,处于连接状态下的物理设备需要进行身份验证,同时设置访问控制策略,对于非法设备不予提供数据和相关服务,从而避免攻击者的伪造设备发送恶意数据或恶意指令对其他合法物理设备及系统造成干扰和破坏。

现有的针对连接过程中的安全防护有基于加密策略的身份认证和访问控制方法。Choi D等人[8]提出双因素模糊认证方法,动态生成密钥涉及物理设备内部和外部的两个噪声源输入。内部噪声源,如设备内部的物理不可克隆(physically unclonable functions,PUF)组件,外部噪声源,通过外部环境下设备的传感器组件进行收集。将外部环境锁定在合法的运行环境中,一旦设备处于非合法的区域,则无法提取到正确的密钥。因此,虽然攻击者可以获得物联网设备并访问内部噪声源,但攻击者不能仅从该信息中提取正确的密钥。对于验证身份非法的对象则根据访问控制策略拒绝相关操作与服务,保证物理设备的安全。Al-Fedaghi S等人[9]提出物理访问控制策略,使用身份验证机制对物理设备的使用者进行认证,对于非法用户则拒绝提供设备的任何数据和服务。

小结

现有的物理安全研究主要有:

本文主要从物理设备的攻击与防护、对数据的攻击、身份验证和访问控制三个方面对现有的一些物理安全研究做简要介绍。在如今物联网智能设备逐渐普及的时代,物理安全的问题日益凸显,物理安全的研究工作也愈显重要,期望本文可以对想要初步了解物理安全的读者有所帮助。

参考文献

[1] X. Yang, L. Shu, Y. Liu, G. P. Hancke, M. A. Ferrag and K. Huang, "Physical Security and Safety of IoT Equipment: A Survey of Recent Advances and Opportunities," in IEEE Transactions on Industrial Informatics, vol. 18, no. 7, pp. 4319-4330, July 2022, doi: 10.1109/TII.2022.3141408.

[2] Tsunoda T, Nimura K. Information Harvesting Method by an Energy Harvesting Device with Multiple Microcontrollers[C]//2018 IEEE 42nd Annual Computer Software and Applications Conference (COMPSAC). IEEE, 2018, 2: 259-265.

[3] Shao C, Roh H, Lee W. Next-generation RF-powered networks for Internet of Things: Architecture and research perspectives[J]. Journal of Network and Computer Applications, 2018, 123: 23-31.

[4] Tu Y J, Zhou W, Piramuthu S. A novel means to address RFID tag/item separation in supply chains[J]. Decision Support Systems, 2018, 115: 13-23.

[5] Ding W, Hu H. On the safety of iot device physical interaction control[C]//Proceedings of the 2018 ACM SIGSAC Conference on Computer and Communications Security. 2018: 832-846.

[6] Yao X , Farha F , Li R , et al. Security and privacy issues of physical objects in the IoT:Challenges and opportunities[J]. 数字通信与网络:英文版, 2021, 7(3):12.

[7] Qabulio M, Malkani Y A, Keerio A. A framework for securing mobile wireless sensor networks against physical attacks[C]//2016 International Conference on Emerging Technologies (ICET). IEEE, 2016: 1-6.

[8] Choi D, Seo S H, Oh Y S, et al. Two-factor fuzzy commitment for unmanned IoT devices security[J]. IEEE Internet of Things Journal, 2018, 6(1): 335-348.

[9] Al-Fedaghi S, Alsumait O. Towards a conceptual foundation for physical security: Case study of an it department[J]. International Journal of Safety and Security Engineering, 2019, 9(2): 137-156.

本网站的文章部分内容可能来源于网络和网友发布,仅供大家学习与参考,如有侵权,请联系站长进行删除处理,不代表本网站立场,转载者并注明出处:https://jmbhsh.com/toutiao/35946.html

联系我们

QQ号:***

微信号:***

工作日:9:30-18:30,节假日休息