代码收藏家 物联网中基于信任的安全性调研:挑战与问题探析
A survey study on trust-based security in Internet of Things:
Challenges and issues
文章目录
a b s t r a c t
随着物联网在社会中的应用越来越多,它面临的安全挑战也越来越严峻。物联网中收集和共享的数据在物联网的重要性中发挥着重要作用。从数据角度进行观察可能对理解物联网安全有很大帮助。尽管已经有许多关于物联网安全的调查,但没有一项是从这样的角度进行的。为了填补这一空白,本文从数据角度研究了物联网安全。本文将典型物联网架构的概念与数据生命周期相结合,提出了一种探索物联网安全的三维方法,即一站式、多站式和终端应用维度。一站式维度通过观察物联网设备上的数据来探索物联网安全,多站式维度则通过观察一组物联网实体之间的数据来探究,而最终应用维度则通过观测物联网应用中使用的数据来探讨。虽然数据可能通过互联网从物联网端点设备流到云,反之亦然,但最苛刻的物联网特定问题是从物联网终端设备到互联网边界的空间,因此本文重点关注这一空间。一站式维度讨论了可能进出端点设备的数据的物联网安全。多站维度从一组物联网实体之间的数据角度出发,涉及安全通信、认证和访问控制。终端应用程序维度从物联网应用程序中的数据使用角度出发,涵盖整个系统的隐私、取证以及社会或法律挑战。本文从数据角度对物联网安全的最新发展进行了深入分析,总结了存在的问题,并提出了物联网安全进一步研究和应用的方向。
1. Introduction
物联网(IoT)是技术发展的奇迹,它增强了世界各地越来越普遍的连接。它将信息通信技术(ICT)的通信能力从“任何时间”和“任何地点”扩展到“任何事物”[1]。然而,另一方面,它使安全局势变得越来越严峻。
显然,物联网刺激了数据的爆炸式增长。挪威研究组织SINTEF指出,在过去两年中,世界上90%的数据是以每秒205,00 0千兆字节的速度生成的,这大约相当于1.5亿本书[2]。从医疗保健和零售到运输和制造,物联网通过从物联网终端设备收集的各种数据中提取有价值的信息来提供智能服务,这对社会生产和人们的生活产生了重大影响。在不考虑数据的情况下讨论物联网是不完整的。
物联网终端设备不仅仅是一种简单的数据收集设备。最重要的是,它具有强制性的通信能力。从某种意义上说,它是一种数据源,可以向互联网上的后端服务器提供数据。智能手表或智能电表等独立设备被视为物联网设备。然而,物联网设备通常嵌入大型系统中,如联网车辆中的电子控制单元[3]。
物联网的一大价值在于,它可以捕获和利用与自然环境和人类有关的各种数据。数据使物联网充满活力。我们相信,与观察人体血液有助于深入了解人们的健康一样,在物联网环境中观察数据可能有助于了解物联网的安全性。
许多研究人员从几个不同的角度发表了他们对物联网安全的调查[4-14]。然而,据我们所知,这些调查都没有以数据为主要线索。在我们看来,在这种情况下,对物联网安全的理解可能会有所欠缺。为了填补这一空白,本文通过观察物联网环境中的数据播放来探讨物联网安全。
为了捕捉物联网安全的全面数据驱动图片,本文提出了一个同时考虑物联网架构和数据生命周期的研究框架。如图一所示,一种典型的物联网架构将物联网描述为一个多层网络,由传感层、网络和数据通信层以及应用层组成[15]。我们的框架与这样的架构是一致的。它可以分为三个维度,即一站式维度、多站式维度和终端应用维度。这些维度分别侧重于单个物联网设备、物联网实体组和物联网应用。本文通过这些维度探讨了物联网安全。从一站式维度,可以观察到一个物联网设备上的数据。从多站维度来看,数据在一组物联网实体中移动。从终端应用维度,观察物联网应用中使用的数据。通过一站式维度,物联网安全是基于端点设备捕获并发送到互联网或端点设备从互联网接收的数据来探索的。在多站维度下,考虑到数据在一组物联网实体之间的流动,讨论了物联网的安全性。在终端应用维度上,根据物联网应用中数据的使用情况分析物联网安全性。总之,从整个框架进行的调查可能会呈现物联网安全的整体景观。
从其整个生命周期来看,数据可能存在于物联网环境中的任何地方,包括端点设备、互联网或云中。物联网数据可能通过互联网从物联网端点设备流到云,反之亦然。毫无疑问,与物联网数据相关的物联网安全必须在考虑整个物联网环境的情况下进行调查。然而,物联网安全中最需要物联网特定解决方案的物联网特定点位于从物联网端点设备到互联网边界的空间中。因此,本文将重点放在这个域上,为了简洁起见,我们称之为端点域。它从数据的角度深入分析了物联网安全的最新发展,总结了悬而未决的问题,并为物联网安全进一步研究和应用提出了有希望的方向。
2. Related work
文献中有许多从不同角度讨论物联网安全的调查。
Ray等人[4]探讨了物联网中的安全影响因素,将物联网安全分为三类,即使物联网的安全更具挑战性的因素、促进安全保证的因素以及使物联网安全不同于传统网络安全的因素。它有助于理解物联网安全的特殊性。
郭等人[5]和严等人[6]专注于物联网环境中的信任管理。Yan等人[6]提出了一种基于物联网系统模型的物联网信任管理研究模型。物联网中的信任管理不仅包括各层和跨层的信任管理,还包括用户对物联网设备和服务的信任。郭等人[5]专注于物联网环境中评估服务可信度的信任计算。
由于分布式架构是物联网未来的发展方向,[7]分析了分布式和集中式物联网系统的特点。研究了分布式物联网安全机制在设计和部署方面的挑战和有前景的措施,包括身份验证、访问控制、协议和网络安全、隐私、信任和容错。
Wolf和Serpanos[8]以及Banerjee等人[9]专注于物联网中的安全保障。由于物联网的网络物理特性,物联网安全需要有一个统一的安全观和安全观。将物理系统与网络系统相结合会对物联网的威胁模型产生影响,并扩展物联网的攻击面。物理工厂行为的变化,无论是由于故障还是恶意,都可以改变计算子系统的状态,而网络子系统中数据的变化可以改变工厂的物理状态[8]。
一些调查侧重于物联网安全问题的安全解决方案。Alaba等人[10]提出了一种分类法,将物联网安全威胁分为四个方面,分别与应用、架构、通信和数据有关。Sicari等人[11]概述了物联网中访问控制、保密性、身份验证、授权、隐私、中间件和信任方面的研究工作。这些调查主要讨论了基于加密方法的物联网安全的经典安全解决方案。
3. IoT security from the one-stop dimension
在本节中,我们通过观察物联网端点设备上的数据来探索物联网安全。数据可以由一个端点设备收集并发送到互联网,也可以由该端点设备从互联网接收。进出端点设备的数据,即输入数据和输出数据,在设备和互联网之间具有交互作用,应考虑物联网安全。
3.1. Output data related security
大规模物联网终端设备正在收集大量数据,并将其上传到互联网用于物联网应用。物联网设备收集的一些感官数据敏感且极具价值,这是攻击者和商业竞争对手的潜在收益。因此,物联网终端设备应确保提供给互联网的数据的保密性要求。此外,产出数据的真实性直接影响到涉及工业、经济和社会生活的服务的再责任。因此,物联网设备必须确保输出数据的机密性和真实性,以确保物联网应用和服务的安全。
3.1.1. Confidentiality
确保数据机密性的一种通用方法是加密。物联网设备通常是具有有限资源的专用设备,如低计算能力(例如,8位微控制器)、有限的电池供应、小(门)面积和有限的存储[16]。消耗过多资源的一般加密算法可能不适用于资源受限的设备。在物联网中,当提供足够的安全级别时,加密算法的开销对于设备性能来说应该是合理的[16]。迫切需要轻量级密码来确保物联网数据在其整个生命周期中的可信度。
目前已经提出了许多轻量级密码。这些新设计的轻量级密码的密码结构主要包括Feistel结构(或其变体)(例如SEA[17]、LBlock[18])、SP网络结构(例如PRESENT[19]、mCrypton[20])和其他结构(例如KATAN/KTANTAN[21])。一些工作简化了标准化块密码器的硬件实现。例如,[22]简化了AES的密钥生成过程,以提高算法的效率,同时增加了密钥的长度和加密轮次,以保持算法的安全级别。
轻量级密码的设计者必须根据目标场景的实际需求,在安全性、成本和性能之间进行权衡[21]。以RFID标签为例,它们大多用于低成本的电子蜱虫环境中。该场景的安全要求不高,而对低功耗和低延迟的要求更严格[23]。Hatzivasilis等人[24]根据其安全性、性能和成本评估了52个块密码和360个实施方案,根据其对不同类型嵌入式设备的适用性对其进行了分类,并参考了与这些密码相关的密码分析。
密码分析表明,由于结构相对简单,许多轻量级密码容易受到侧信道攻击[24]。通常,在加密步骤期间,设备可能不可避免地泄漏信息,例如功耗和电磁辐射。这些泄露的信息可以有效地减少密钥的搜索空间,甚至可以直接提取密钥。因此,侧信道攻击对应用于许多物联网设备的密码构成了严重威胁,如智能卡、基于RFID的系统。
Lo’ai和Somani[25]研究了物联网中最广泛使用的加密算法(如AES、ECC和RSA)的基于时间和基于故障的侧信道攻击,并介绍了一些缓解侧信道攻击的方法。张等人[26]提出了一个新的通用框架来分析和评估轻量级分组密码的代数故障攻击。
一些研究人员提出使用物理特征来生成密钥。Majzoobi等人[27]使用一种称为物理不可控制函数(PUF)的独特物理结构来生成用于识别的密钥。PUF不是将秘密存储在存储器中,而是从集成电路(IC)的物理特性中获得秘密,而不需要昂贵的安全硬件[28]。因此,人们对PUF在密钥生成中的应用进行了大量的研究。
3.1.2. Authenticity
物联网设备感知和生成的数据应该可靠,以准确反映真实世界的环境。输出数据的真实性对物联网应用的安全性有着重大影响。物联网设备通常无人值守,缺乏物理保护。对设备的物理攻击,包括节点复制、替换和劫持,可能会损害设备的完整性。考虑到物联网设备生成的输出数据的真实性,验证设备的完整性极其重要。通常,证明技术被广泛用于用专用硬件(例如TPM)来验证设备的完整性。为资源丰富的设备设计的传统证明方法可能不适合直接应用于物联网设备来验证设备是否已被篡改。物联网设备需要轻量级的证明方法。表1总结了物联网认证的详细相关工作。
通常,有两种类型的证明方法,包括静态证明和运行时证明。静态证明验证证明程序上静态二进制文件的完整性。特别是,群认证是静态认证中验证一组证明者完整性的一种特定类型的工作。运行时证明在运行时验证证明程序上的程序控制流。
文献中已经确定了在一台设备上进行静态认证的三种主要方法,即基于软件的、基于硬件的和混合的。
基于软件的认证通常利用侧信道信息来验证资源受限的嵌入式设备的完整性,而无需特殊硬件。基于软件的认证可以分为两大类。一种是基于时间的,如SWATT[29]、Pioneer[30]和SCUBA[31],另一种是以内存为基础的[32,33]。所有基于软件的方法都对对手的能力做出了强有力的假设:(1) 证明人直接与证明人通信,没有中间跳,也没有网络攻击(例如,模仿或与其他设备勾结)。(2) 校准仪的硬件没有任何改动。然而,在真实的物联网环境中,设备通常通过多跳网络进行通信。他们通常很容易受到物理入侵,因为他们无人看管。
混合方法采用软件/硬件协同设计来抵御网络环境中的对手(即证明者和验证器之间的多跳),同时最大限度地减少硬件更改[45]。如果没有专用安全硬件的支持,混合方法就无法抵御物理入侵。软硬件混合认证方法的主要研究包括SMART[34]、SPM[35]、SANCUS[36]、TrustLite[37]和TyTAN[38]。
混合和基于软件的方法都无法抵御物理攻击,因为可以获得设备上的密钥,并且可以模拟和/或克隆证明者[46]。只有基于硬件的认证才能抵御物理攻击。它依赖于明确的、专门构建的信任锚点(例如,TPM或支持SGX的CPU),而这些锚点通常不太可能配备在物联网设备上。因此,一些特定的物理硬件特性适用于物联网中的认证,如PUF[39,40]。
通常,物联网设备是大规模部署的。为了验证大规模设备的完整性,SEDA[41]首次提出了嵌入式设备的群认证。SANA[42]提出了一种新的用于高效群体认证的签名方案。在特定的物联网应用场景中,如自组织车辆网络,节点可能会动态加入和离开集群,这使得证明设备集群更加困难。
上面讨论的静态证明方法只验证二进制文件的完整性,而不验证其执行的完整性[45]。在这方面,C-FLAT[43]和LO-FAT[44]采取了一个步骤,利用运行时测试来为嵌入式设备的情况提供程序执行路径的精确证明。
3.2. Input data related security and safety
物联网弥合了网络世界和物理世界之间的差距,因此黑客入侵网络世界中的设备可能会给现实世界带来威胁,反之亦然。设备物理状态的变化会影响其计算系统,网络或计算系统中的数据变化也会影响设备的物理状态[8]。
安全意味着“免于事故或损失”[8]。一些设备可能会根据从互联网接收到的数据执行操作,从而耦合物联网中的安全和安全问题。攻击者利用输入数据,包括系统本身生成的虚假数据和对手因系统漏洞发送的恶意数据,可能会危害设备。物联网设备上不安全和不安全的操作可能会导致服务的真正损失,甚至生命损失。例如,对手可以向医疗设备发送恶意控制数据,以加快起搏器或药物输注泵的速度,从而危及用户的生命。
大多数物联网终端设备都不断连接到互联网络,并且通常具有简单的安全配置。利用设备上的漏洞,对手可以远程控制设备。Mirai是一个非常著名的恶意软件,它可以用数百万个受损的智能摄像头构建僵尸网络。自2016年底Mirai问世以来,与Mirai及其变体(如Persirai、Satori、Okiru)相关的安全事件频繁发生[47]。Mi-rai利用默认密码的漏洞,通过Telnet密码暴力强制来获得对物联网设备的控制。越来越多的研究正在寻找技术和非技术解决方案来处理Mirai及其变体[48,49]。
Reaper是一种新型的僵尸网络,可能比Mirai更危险,它利用一系列已知漏洞使攻击者能够完全访问目标设备。Mirai和reaper是相当大的威胁,但更糟糕的是,一些物联网安全威胁可能小到足以逃避检测。除了传统的DDoS攻击外,受影响的设备还可以用于窃取个人数据和挖掘加密货币。
除了从源头上抑制恶意流量外,没有什么好方法可以减少这些系统产生的恶意流量。George等人[50]建议设备制造商应将物联网设备可以产生的网络流量限制在执行其功能所需的合理水平。
另一方面,一些物联网设备是基础设施的节点,包括工业设施的基本传感器。更危险的是,受损节点可能成为攻击整体基础设施的切入点,这可能会给个人和国家造成巨大的生命和财产损失。
由于目标物联网设备的长期和不更新问题,僵尸网络的规模迅速扩大。必须及时修复设备上的漏洞,以防止攻击者获得对设备的控制。然而,如今大多数设备都无法方便地进行修补。如果没有通用的自动更新工具,更新大规模的物联网设备需要大量的开销,而且更新过程本身对普通用户来说可能很复杂。此外,供应商通常不会在产品售出后向用户提供补丁或更新服务。当黑客发现并利用设备上的漏洞发动攻击以谋取私利时,这可能会在未来引发问题。因此,最新的机制应该及时自动地将最新的固件发送到设备。
然而,远程更新也可能给物联网设备带来新的风险。敌人可能会对固件发起回滚攻击,并利用有缺陷版本的漏洞攻击设备。设备供应商或制造商应该对最新的发布信息进行加密和数字签名,以确保更新的完整性和真实性。
此外,在更新机制的集中式架构中会存在流量瓶颈。为了解决流量瓶颈问题,[51]探索了一种利用区块链技术的分布式更新方法。设备向对等去中心化网络上的区块链节点广播更新请求。如果设备的固件版本不是最新的,设备将下载最新版本。如果设备的固件版本已经是最新的,区块链节点将检查请求节点上固件的完整性,然而,由于广播的性质,广播的请求可能导致无用的网络流量和对不相关节点的不必要操作。
空中传送(OTA)更新是一种在嵌入式设备上远程更新代码的做法。通过OTA分发新固件将带来大量开销(例如,能耗、下载时间)。因此,如果没有必要,部分代码更新是设备更新的更好选择,以支持新标准并满足新要求。Ruckebusch等人[52]提出了一种新的软件更新机制,用于在运行时对协议和应用程序进行部分代码更新。该体系结构由三个级别组成——静态系统级别、动态组件级别和内核级别。Ruckebusch等人[52]中的作者在一个典型的物联网操作系统Contiki上实现了他们的方法,而没有对现有的网络协议和应用程序进行重大修改。
3.3. Open issues
对于保密性,目前对轻量级加密的研究实现了高度的开销减少。现在,对终端设备保密性的重要考虑应该更多地是算法在现实世界中的实际应用,包括速度优化和延迟减少。
对于真实性,期望对一组设备的认证进行更多的研究。大规模通常意味着异质性,这增加了证明的复杂性。物联网设备可以随时从在线切换到离线,这使其具有动态性和不确定性。很难获得设备群的真实状态。如何提高群体认证的效率、鲁棒性和准确性等问题一直没有得到很好的解决。
此外,由于异构计算系统,物联网设备缺乏通用的更新机制。很难为所有终端设备及时应用更新。因此,在大多数物联网设备上仍然可以看到长期暴露的漏洞。它们存在于我们的日常生活中,但很容易受到剥削,这既是一个技术问题,也是一个社会问题。
4. IoT security from the multi-stop dimension
在本节中,我们通过观察可能在一组物联网实体之间流动的数据来研究物联网安全。将涵盖与物联网实体交互相关的安全通信、身份验证和访问控制。互联性是可以直接或间接与互联网交互的物联网实体的基本特征。为了确保实体之间的交互,通信网络将物联网端点设备捕获的数据传输到应用程序和其他设备,以及将应用程序的指令传输到物联网设备[1]。
4.1. Communication related security
通常,物联网设备与他人通信有三种类型:通过网关通过互联网通信、在没有网关的情况下通过互联网通信和通过本地网络(即,在设备之间以及设备与网关之间提供本地连接的网络,如自组织网络)通信[1],如图1所示。对于前两种类型,设备通过各种可用的有线或无线技术(例如,WiFi、蓝牙、NFC)连接到互联网。对于无线通信协议的安全问题,我们将好奇的读者引向[53,54]。
至于最后一种通信类型,物联网中有很多设备由具有路由功能的传感器和执行器组成。他们构建本地网络来相互通信,并使用网关连接到互联网。这些设备具有自组织能力,通常缺乏保护,因此它们可以在整个路由过程中随时加入和离开本地网络,很容易被劫持[55]。为了确保通信的安全性,物联网本地网络中的安全路由需要选择具有高信任级别的节点来创建合理的路由。本地网络中的恶意节点可能会带来严重的安全问题[56]。例如,恶意节点可以向其邻居发送大量虚假路由信息,导致其邻居的路由表溢出并隐藏真实路由[57]。
因此,物联网实体的安全通信能力需要确保物联网网络中数据传输的安全。与通信相关的安全问题的主要研究分为三类:(1)为物联网设备设计安全通信协议;(2) 设计高效的恶意节点识别系统;(3) 设计轻量级信任管理方案来评估物联网局域网中节点的信任级别。
一些传统的物联网路由协议,如6LowPAN[59]的RPL[58],仍然面临许多安全问题[55]。SMRP[60]提出了一种具有多层参数的安全多跳路由协议。当节点试图加入现有网络或形成新网络时,它必须验证多层参数。由于多层参数的创建会带来大量的开销,因此该协议无法直接应用于大规模网络。
DEMEM[61]提出了一种分布式证据驱动的消息交换入侵检测模型,该模型允许分布式检测器以最小的通信开销协同检测路由攻击。它使用有限状态机来指定正确的路由行为,并使用分布式网络监控来检测运行时违反规范的行为。ActiveTrust[62]提出了一种基于主动检测的安全路由方案。ActiveTrust最重要的创新是,它可以通过创建多个检测路径来主动检测黑洞攻击,以快速检测并确保路由的安全。更重要的是,它充分利用非热点地区的能源,根据需要创建尽可能多的探测路线,以提高能源效率。
基于信任的方案基于过去对节点的观察来预测节点的未来行动,并有助于有效识别可疑节点。TSRF[63]是一种基于信任推导的安全路由框架。它是通过直接和间接观察传感器节点的行为模式来实现的,节点之间的信任值在0到1之间。值0代表节点的低信任级别,值1代表节点的良好信任级别。然而,由于复杂的信任计算,TSRF在节点中具有较大的计算开销。因此,协议设计者必须在提高协议安全级别的同时,尽量减少对网络性能的影响。TERP[64]提出了一种新的信任和能量感知路由协议,以解决路由的可信度和能效问题。它使用信任、能量和跳数的权重来选择值得信赖、节能且到达目的地的路径最短的节点。
此外,物联网设备的安全通信协议应该具有自我修复能力,这意味着协议可以在一定时间内自动从故障中恢复,而无需人工干预。当攻击者向网络发送许多恶意数据包时,本地网络最初可能不稳定。尽管如此,由于协议的自我修复能力,随着时间的推移,网络可以自我恢复并隔离恶意节点[65]。
4.2. Authentication and access control
物联网集成了大量物理对象,这些对象具有唯一标识、普遍互联和可通过互联网访问[66]。身份验证和访问控制是确保不同实体(设备或用户)之间交互安全的主要安全机制。访问控制和身份验证是确定实体是否可以访问资源的过程,而身份验证是识别实体的过程,是授权的先决条件[67]。由于设备在计算、能源和存储方面的限制,迫切需要适用于物联网的身份验证和访问控制方案。
在各种物联网应用场景中,如智能医疗、智能交通和智能家居,异构设备和网络架构导致了对身份验证和访问控制的不同需求,以确保实体之间交互的安全性。
身份验证。在去中心化环境中,有必要在没有可信第三方的情况下,在两个物联网实体之间实现双向身份验证。在数据持有者验证数据收集器的同时,数据收集器还需要在从数据持有者中选择数据之前,将用户和设备识别或验证为合法数据持有者[68]。一些工作调查了物联网中广泛使用的RFID技术的安全问题,包括RFID读取器和标签之间身份验证的安全和隐私问题[69]。
目前已经做出了一些努力来处理用于身份验证的凭据。除了传统的基于密钥的证书外,位置信息和生物特征以及物理特征也可以是用于身份验证的证书。
PUF是低成本认证的有前途的创新原语。Gao等人[70]提出了一种基于PUF的低成本、用于资源受限设备的模糊挑战-响应认证协议。基于生物特征的身份验证需要了解用户的生物特征。然而,出于隐私考虑,许多用户可能不愿意分享他们的个人信息。另一方面,生物特征可能并不总是遵循相同的模式,一些不可预测的因素可能会影响结果。因此,与认证的稳定性和准确性密切相关的生物特征计算的准确性需要更多的研究。
此外,在车联网、智能电网和智能医疗的场景下,需要考虑身份的匿名性和不可链接性。物联网设备可能会从一个网络移动到另一个网络。如何解决设备的跨域认证问题也需要更多的研究[11]。
与物联网认证相关的典型研究如表2所示。
访问控制。在物联网中,访问控制是将不同的资源权限分配给广泛物联网网络的不同参与者[11]。用户和设备作为数据持有者,只能为特定目的向特定数据收集器提供特定数据[68]。大多数物联网设备基于实时流数据的上下文自动运行。物联网场景需要轻量级、连续、动态、基于上下文的访问控制方案。
大多数现有物联网系统采用基于角色[85]和属性[86]的现有计算机系统的传统访问控制方案。大多数解决方案具有较高的计算复杂性,并且基于静态属性。静态属性过度依赖于用户定义的规则,因此它可能不适用于某些物联网场景中的自动化要求。随着物联网自动操作的需要,基于位置和时间的动态上下文属性也可以用于动态授权和主动身份验证。一些工作利用使用控制(UCON)模型来处理访问之前和访问过程中的连续授权问题。UCON模型支持属性的动态更改。也就是说,如果访问期间访问属性发生变化,导致无法满足访问要求,则访问权限将被吊销[87]。
与访问控制相关的典型研究如表3所示。
4.3. Open issues
首先,由于物联网网络通常是自组织的,并且无线通信技术被广泛使用,因此恶意节点很容易被引入本地网络。然而,对于物联网中的恶意节点检测,仍然没有任何有效且轻量级的方法。区块链技术可以在没有中央管理器的去中心化环境中以低成本建立互信。这可能是物联网中数据交换和多方协作安全性的未来研究方向。
由于一些物联网设备可能会自动执行操作,因此从网络和数据管理的角度来管理这些设备将是困难的。因此,认真全面地评估身份验证和访问控制方法的可靠性是很重要的。智能汽车或其他可穿戴设备的移动性可能需要跨域身份验证。除了探索基于PUF或生物特征的新身份验证方法外,在现实世界中,一种有效但低成本的身份验证方法仍然是一个具有挑战性的话题。因此,认真全面地评估身份验证和访问控制方法的可靠性是很重要的。智能汽车或其他可穿戴设备的移动性可能需要跨域身份验证。除了探索基于PUF或生物特征的新身份验证方法外,在现实世界中,一种有效但低成本的身份验证方法仍然是一个具有挑战性的话题。
5. IoT security from the end-application dimension
在本节中,我们通过观察物联网应用中使用的数据来探索物联网安全。大量数据由物联网设备收集,通过网络传输,并由不同的物联网应用程序使用。考虑到物联网数据的生命周期,从物联网应用中的数据使用来看,我们将调查整个物联网系统的隐私、取证以及社会或法律挑战。
5.1. Privacy concern
在真实的物联网场景中,不同的物联网应用程序利用从物联网设备中选择的数据集,为用户提供方便和智能的服务,同时引入潜在的隐私问题。在物联网环境中,私人信息可能在数据生命周期的任何阶段泄露。因此,必须从系统角度考虑隐私问题。除了指纹和心跳等与用户隐私直接相关的个人数据外,物联网设备感知到的一些环境信息还可以用来推断有关用户偏好和轨迹的额外信息。来自各种物联网设备的聚合数据加起来可以对我们的生活进行全面监控[94]。用户既可以是数据或服务的接受者,也可以是智能事物数据收集的主体[95]。与互联网相比,在互联网上,用户必须发挥积极作用,将自己的隐私置于危险之中(即查询服务),许多关于用户的数据都是在他们不知情的情况下在物联网中收集和传输的[96]。物联网正在以比以前更高的速度自动生成大量数据,任何安全漏洞都将对个人安全和隐私产生连锁反应。
在数据传输、聚合、存储、挖掘和处理过程中,迫切需要研究物联网中的隐私保护技术[1]。此外,机器学习和数据挖掘技术可以在没有人为干预的情况下自动将业务上下文添加到原始数据中,从而威胁用户的隐私。在这种背景下,需要更多的努力致力于保护隐私的数据挖掘技术[97]和保护隐私的机器学习技术[98]。例如,尽管智能家居设备的设计并不是为了捕捉对隐私敏感的活动,但这些活动可以通过推理技术来识别。
由于不同的应用场景涉及不同的设备和架构,并且具有不同的安全要求,因此对各种物联网应用场景中的隐私问题的研究重点不同,如表4所示。
在智能家居中,被动攻击者可以通过窃听智能路由器和智能设备之间的通信,收集与用户密切相关的原始数据,推断用户的日常行为。例如,当灯光从亮变为关时,可以推断用户可能已经离开了家。主动攻击者可以冒充合法用户访问智能设备并提取敏感信息。为了解决隐私问题,智能设备需要提供端到端的通信加密。然而,[99]证明,即使设备使用加密,ISP或其他网络观察员也可以通过分析包含商用物联网设备的智能家居的流量来推断家庭活动中的隐私敏感。刘等[100]和宋等。[101]探讨了智能家居中流量的隐私保护。此外,SmartApp授权中的超权限问题也会导致隐私问题[114,115]。
在数字医疗保健中,医疗记录和医疗保健数据在黑市上比现在的信用卡号码更有价值[116]。数字医疗的主要安全目标是确保主要健康数据的安全,并保护可识别的健康数据在数据采集、传输和存储过程中不受不必要的访问或披露。另一方面,个人治疗信息通常由同一患者群体共享,这有助于不同地区的医生和患者之间交换患者状况和治疗信息。在为公共利益共享数据时,保护个人医疗信息的安全和隐私至关重要。为了解决数字医疗中的上述隐私问题,对医疗数据的假名管理[102-104]、匿名身份验证[105-107]和医疗数据的隐私保护访问控制[108]进行了大量研究。
在智能电网中,智能电表定期收集细粒度数据以提高电网运行效率,可以很容易地揭示家庭活动[1 17]。智能电网由控制中心、智能电表和网关组成。智能电表收集主要的家庭用电信息,并将加密数据发送到网关。然后网关对所有智能电表的数据进行解密并聚合。网关对聚合的数据进行加密,并将其发送到控制中心进行进一步分析和处理(例如,平衡电力负载和优化能源消耗)[118]。住宅电网的电力数据聚合必须考虑隐私保护。然而,在这些中间节点被对手破坏的情况下,存在面向内容的隐私风险。因此,网关不应以明文方式执行聚合操作。同源加密是一种典型的方法,允许隔离器(通常是网关或控制中心)在同一密钥下直接对密文执行操作,而无需数据解密[118]。许多工作都致力于保护隐私的聚合方案[109-111]。因为智能电网中每个家庭的个人负荷曲线可以用来推断个人的消费行为或生活习惯[1 19]。因此,迫切需要保证电力数据的匿名性和不可链接性,以确保数据不能与特定用户关联,并在智能电网中披露用户的轨迹。
随着物联网逐渐渗透到我们的生活中,涉及物联网服务或设备的事故和攻击将不可避免地发生。当物联网成为攻击目标或用于发动攻击时,需要在物联网基础设施中进行法医调查。物联网应用程序收集和共享的数据为取证带来了机遇和挑战。在物联网的背景下,有各种各样的潜在证据来源,因此取证可能需要结合多种数字取证方法和技术,增加了取证的难度。物联网环境中残留证据的收集、保存和分析需要专门的工具和技术以及标准化程序。由于环境高度异构和频繁变化,传统的数字取证无法直接应用于物联网。由于大多数物联网设备的内存有限,它们需要在覆盖证据之前将数据传输到云或本地集线器。物联网取证可以被识别为三种数字取证方案的组合,包括云取证、网络取证和设备级取证[120]。然而,由于证据可以在数据生命周期的任何一步进行修改,因此使证据链的安全性面临挑战。物联网取证的挑战概括如下:
1)设备的资源有限特性。由于资源有限(例如计算能力、内存),物联网设备很难实现持久记录。潜在的证据可能不会保存在设备上,或者在被最新数据覆盖之前只保存很短的一段时间。在某些情况下,如太阳能节点,能量限制会导致设备断电时出现间歇性和部分不完整的信息。
2) 设备的异构特性。物联网中具有专有接口的异构设备导致访问存储值的困难,需要专门的信息检索工具[121]。异构设备上的数据大小和格式各不相同。不同的数据格式、协议和物理接口使证据提取过程复杂化。物联网中缺乏收集、保存和分析数据的通用工具。
3) 设备数量和类型的增长。物联网提供了大量潜在的证据来源,从个人健康设备到联网车辆,这可能会增加在犯罪现场识别和寻找潜在物联网证据来源的复杂性。此外,由于缺乏修改、访问和创建时间等时间信息,对从不同物联网设备收集的数字证据进行校正和排序极其困难,其中一些设备可能没有时钟[122]。
DFIF IoT[123]提出了一个通用的物联网数字取证调查框架,以标准化调查程序,包括三个过程——过程、物联网取证和反应过程。旨在为物联网环境做好法律准备的主动流程。物联网取证包括云取证、网络取证和设备级取证。在基于物联网的环境中发现事件后,会发生反应过程。
FAIoT[120]提出了一个集中的可信证据库,以简化证据收集和分析过程,并采用日志、保存和出处方案。
Oriwoh等人[124]结合了1-2-3区域方法和下一个最佳物品分类(NBT)模型来处理物联网相关的数字取证调查。1-2-3区域法可用于系统地进行调查,并有效地识别可能的法医目标。当主要证据来源不可用时,NBT模型有助于识别额外的潜在证据来源,为在已确定的重点领域内识别感兴趣的设备提供指导。
在分析和关联可能包含个人信息的收集证据时,隐私是另一个需要考虑的重要因素。PRoFIT(隐私感知物联网取证)[125]将隐私属性与适用于物联网的取证模型相结合,促进公民在数字取证调查中的合作。PRoFIT强调了与附近机构合作从多个来源收集数字证据的重要性,这有助于全面描述犯罪现场的背景。
现有的物联网取证工作仍然不足。目前的大多数研究都集中在将传统的取证方法扩展到物联网取证。尽管现有的数字取证工具可以用于物联网取证调查的某些阶段,但物联网取证仍然没有一个全面有效的框架。
5.3. Social or legal challenges
物联网的使用正在极大地改变人们的日常生活,不仅给物联网安全带来了技术挑战,还带来了社会或法律挑战。
责任纠纷。物联网提供的智能服务可能会带来新的责任纠纷。例如,自动化车辆正在逐步投入使用。当自动驾驶汽车发生事故时,事故责任的判断要求更好地立法使用自动驾驶汽车。澳大利亚国家交通委员会起草了新的澳大利亚驾驶法,以支持自动化车辆[126]。
数据修改。在物联网中,大量数据的广泛收集和使用使数据成为商品,并发展为集虚拟化,带来了数据所有权的问题。如何将数据作为一种产品进行标准化管理?谁是数据的所有者?数据可以交易吗?所有这些问题都带来了相应的责任问题。数据持有人有权授权和撤销对其个人数据收集的授权。通过基于上下文的细粒度授权,数据持有者可以与他们愿意在物联网环境中共享的应用程序共享数据子集。
社会工程的脆弱性。物联网在人类互动中发挥着至关重要的作用,影响着社会接触和人们的日常生活。物联网中细粒度和无处不在的数据收集使用户容易受到社会工程攻击[127]。欺骗一个人的最好方法是尽可能多地收集关于他的信息。物联网的出现通过劫持智能电视、Fitbit和谷歌眼镜等智能设备来监测和学习目标人的声音、习惯和偏好,从而使数据收集变得更容易。
立法挑战。尽管立法不能为物联网应用中的数据使用安全提供保障,但这是一种补偿数据滥用造成的损害的方式。完善保护物联网应用中数据使用的立法和政策迫在眉睫。各国正在努力为数据应用程序提供更多保护。
签署《欧盟通用数据保护条例》(GDPR)是为了协调欧洲各地的数据隐私法,重塑了该地区各组织处理符合个人数据条件的数据的方式[128]。GDPR的核心原则之一是提高所有欧盟居民对数据处理和使用的知情同意的认识[129]。美国颁布了《健康保险便携性和责任法案》(HIPAA)[130],以保护某些健康信息的隐私和安全。它讨论了ePHI(受电子保护的健康信息)的可访问性、完整性和保密性。物联网设备制造商和物联网应用程序开发人员在记录体重、心率、血压和其他健康信息时,应为消费者提供HIPAA级别的安全性。尚未解决的问题需要额外的立法来为物联网服务提供保障。例如,智能产品的生命周期仍然被建模为“买一次,永远拥有”,而没有考虑共享经济时代可以自由借用和交换的产品的安全性和隐私。
5.4. Open issues
为了保护隐私,随着世界各地的隐私法规的实施,私人数据的传输和使用应该受到隐私法规的约束。然而,在数据存储、传输、共享和应用的隐私保护方面,仍然没有任何被广泛接受的技术标准。应该从整个系统的角度来确保优先级。每个产品的隐私保护机制都应该按照通用技术标准来实施,而不是由开发人员任意实施。
对于取证挑战,有许多领域尚未得到充分调查,例如将区块链技术应用于证据保存。物联网中标准化的取证调查框架和高效的证据同步方法值得设计。
6. Conclusion
考虑到物联网数据可能揭示了一条处理物联网安全的新线索,并且现有的物联网安全调查都不是从物联网数据的角度来指导的,本文以物联网数据为主导因素来揭示物联网安全。它设计了一个物联网安全观察框架,同时考虑了典型的物联网架构和物联网数据生命周期,从三个维度概述了物联网安全,即一站式维度、多站式维度和终端应用维度。
作为最简单的起点,一站式维度观察单个物联网端点设备周围的数据流动。数据可以由端点设备收集并发送到互联网,或者可以由端点装置从互联网接收。由于物联网设备的资源受限特性,迫切需要轻量级密码和信任执行环境来确保可能发送到互联网的数据的安全性。同时,从互联网接收的数据可能会将虚拟世界的漏洞引入现实世界。来自互联网的数据,包括控制数据的泄露,可能会导致物理世界中设备、基础设施和个人的安全问题。
从多站维度观察,一组物联网实体通过本地网络或互联网互联。他们可能需要与后端服务进行安全通信,而后端服务通常由云提供。物联网的动态性、移动性和资源限制要求努力将现有的安全技术,包括安全通信、身份验证和访问控制,扩展到新的环境中。
最后,通过终端应用维度观察,以智能家居、数字医疗和智能电网等典型物联网应用场景为例,从整个物联网系统的角度进行调查,涵盖隐私、取证以及社会或法律挑战。
为了使物联网进一步提高人类生活质量,上述挑战迫在眉睫,应该以合理的方式加以应对。本文从数据的角度对物联网安全的最新技术进行了广泛的研究,具体说明了悬而未决的问题,并指出了未来的研究趋势。我们希望它能成为未来物联网安全研究的宝贵参考。
