万物互联，安全先行

我们即将步入万物互联时代

　　据Garnter2015年预测，2016年全球将会使用64亿个物联网（IoT）装置，比2015年成长30%。到2020年，全球将有208亿物联网设备。另一方面，从设备类型上的预测统计：2016年使用的64亿个物联网装置中，约有40亿个为消费者装置，11亿个为跨产业装置，以及13亿个垂直产业装置；到了2020年，208亿个物联网装置中，有135亿个为消费者装置，44亿个跨产业装置，29亿个垂直产业装置。智能手机、平板电脑及PC数等消费者装置将达到73亿，但这个数字仅为2020年互联设备总数的1/3——这表明下一波的计算革命不会发生在智能手机/平板电脑/PC领域，而是健康、保险、家用电器及汽车等行业。我们即将快步进入一个万物互联的时代，在这个时代里，人与人（P2P）之间的通信已不再是主导，物与物（M2M）之间的互联将占主要的地位。

　　在五大物联网相关的知识体系中，物联网安全在Gartner选出的2017年与2018年前十大物联网技术中排名第一。物联网安全的重要性可见一斑。毫无疑问，万物互联改善着我们生活的同时，我们的隐私安全，甚至生命安全，都面临着更大的考验。万物互联时代，安全当先行。

物联网时代的安全挑战

　　典型的物联网架构如图1所示。不难看出，传统的IT安全技术，比如互联网安全以及当下正蓬勃兴起的云计算安全技术，在物联网传输层和应用层仍然适用。传统的防火墙，仍然可以保护物联网系统中基础IT设施，免遭非法流量的访问；IPS/IDS可以保护IT系统免遭恶意行为的侵害；传统的VPN技术，仍然可以保证数据传输的安全。然而，在感知层，我们将面临更多安全问题。

　　其一，在工控领域，可编程逻辑控制器（PLC）的操作与控制系统通常直接与企业的IT基础设施相连。怎么能避免这些工控系统遭受人为因素干扰，又能确实保护企业基础设施的安全，不影响正常的企业信息化系统的运作？另外，在工控领域，各种各样的工控协议层出不穷，很多协议没有标准，有些甚至是私有协议。这与传统的IP网络通信协议大相径庭。显然，传统的协议安全保护技术，已经不能直接应用到工控系统的网络安全保护上。

　　其二，终端设备的版本升级和安全补丁，也是物联网时代将遇到的大挑战。海量的IoT终端设备的版本升级，如果还需要物联网集成厂商人为干预，这在商业上，无疑会产生巨大的维护成本，几乎不可能付诸实践。支持远程版本升级和远程补丁加固，也是物联网时代对每个终端设备最基本的要求。然而在安全人员眼里，这种远程机制也带来安全问题——版本包或补丁包是否安全，是否被嵌入了恶意的代码？可以想象，一旦将加入恶意代码的版本包，升级到重要的基础设施（比如核电站反应堆控制系统、电力传输控制设备），将会有怎样的灾难性的后果。

　　其三，资源严重受限。智能电表、智能水表、智能煤气表，都只有电池供电，承担不了繁重的计算能力。物联网时代的海量终端，对终端成本控制也提出了更高的要求。国际RFID标准委员会规定，RFID标签需留出2000门电路或相当的硬件资源用于密码算法的实现。因此支持轻量级算法，在2000门电路硬件资源之内可以实现的密码算法，是必须要解决的技术难题。

　　感知层的安全威胁如图2所示。网络通信威胁、网络服务威胁，以及基础设备的威胁，如同悬在安全人员头上的达摩利斯克之剑。

物联网安全怎么做？

　　从Garnter的预测数据可以看出，到2020年，除了传统的电子设备（智能手机、平板电脑、PC），三分之二的IoT设备（135亿左右）都是M2M设备。除去类似车联网相关具备密集计算能力的M2M设备外，至少还有大约百亿级的设备，是受运行资源限制的物联网设备，他们必须运行在轻量级物联网操作系统之上。这些设备主要用在智能制造、智能物流、智能安防、智能电力、智能交通、车联网、智能家居、可穿戴设备、智慧医疗等领域。在这些设备上，除了对操作系统有轻量级要求外，可裁剪和定制的安全特性，也应该是基本的要求。

　　中兴通讯安全技术研究所已经开始研发安全物联操作系统。我们认为安全物联操作系统必须具备以下安全功能特性：

　　●   设备级可信的安全防护体系

　　IoT设备从上电开始，就会对每一个运行其上的软件通过数字签名的方式进行验证，确保所有软件安全可信。很显然，第一个可信的软件，就是Boot程序。基于可信的Boot程序，签名后续所有的软件，最终形成一个逐级的安全可信链。同样，后期版本远程升级或补丁过程中，升级的软件版本包，也需要用数字签名的方式，进行完整性认证。通过建立这样的可信防护体系，避免恶意代码的注入，保障产品安全。

　　●   数据安全保护体系

　　物联网业务数据和个人隐私都是需要重点保护的对象。数据安全保护体系分两个层次：设备自身的数据访问控制和网络层传输安全保护。在设备层，安全操作系统可以控制应用只访问自己需要的最小数据资源，无权访问跟自身应用无关的系统上的其他资源。通过这种访问控制保护，即使有恶意代码注入，也无法访问系统中的敏感数据(如私钥信息)。同样，业务数据通过网络进行传输，也需要实现端到端的安全保护，全程加密，防止中间抓包窃取。数据在网络传输，需要具备一致性验证，避免中途被非法黑客篡改。

　　●   轻量级的网络安全防护

　　安全总是昂贵的，这主要体现在安全对资源的要求上。然而万物互联时代，对网络安全的要求更高——一旦某一个设备出现重大安全漏洞，很有可能会影响其他节点，甚至波及整个物联网络。如何解决资源和目标之间的矛盾？通常的做法是找到一个平衡点——简单说，就是资源受限，安全的目标只能降低。我们的使命就是利用有限的资源，实现网络安全的最大化。可以在安全物联操作系统中内嵌防火墙，最大限度地关闭应用端口，避免非法DoS攻击和有敌意的服务漏洞探测；考虑到IoT设备流量模型比较单一的特点，通过“有限白名单机制”代替传统的“黑名单”方式，保护设备免受非法流量侵扰；操作系统中集成轻量级加解密算法（DESL/TEA/XTEA/SEA等），在减少资源消耗的同时实现一定强度的安全保护。

　　此外，中兴通讯正在发力云计算安全领域。我们知道，云计算特性对于物联网在应用服务层的实现，天然具有优势——快速弹性部署，正是物联网各种应用逻辑快速上线的需要；资源虚拟化技术，也是物联网种类繁多的海量应用的需要。未来物联网的各个应用，都必将部署在云端，这也是产业界的共识。中兴通讯在云安全领域，无论是IaaS层的基础安全防护，还是PaaS层的平台防护，抑或是SaaS层的应用层防护，都在进行研发投入。这部分防护技术的研究和相关产品(如vFW、vVPN、vIPS、vIDS等)的落地，必将给中兴通讯整体物联网的方案集成，提供充分的安全保障。

　　历史的经验告诉我们，每一个新事物的兴起，总是伴随着新技术的革新。在物联网的大潮即将来临之际，有关物联网安全的各项研究和产业化也应尽早提上日程。安全的挑战已经摆在我们面前，相关技术也必将面临革新。我们愿与业界同仁携手共进，资源共享，一起迎接全人类的万物互联盛宴。