点击上方【车云】,关注并查看更多往期内容。
“
车联网安全除了在终端、连接、平台进行必要的安全防御,还要进行长期的安全运营与安全管控。
”
车云按:2017年6月21日-22日,由中国安全产业协会、TIAA车载信息服务产业应用联盟与车云网共同主办的2017年中国安全产业峰会暨首届交通安全产业论坛在北京召开。华为产品与解决方案营销运作部物联网营销总监王元在会上介绍了华为物联网安全方案及其在车联网领域的应用。
华为产品与解决方案营销运作部物联网营销总监王元
以下为演讲实录:
感谢大会主委会的邀请,也感谢主持人的介绍,谢谢大家坚持到现在,我尽量加快速度。我今天要讲的是华为物联网安全方案及其在车联网领域的应用。
首先大家了解到物联网时代,万物可被远程感知以及控制,安全形势目前异常严峻。有几组的数据在这里,27%的控制系统已经被攻破或者被感染,80%以上的设备采用简单的密码,80%以上的设备保留有硬件、调试接口,然后这些都没有封装。还有大量的物联网通信协议实际上是缺乏安全机制的。
面对这种比较严峻的形势我们也会看到有大量的威胁案例存在,包括2015年的时候特斯拉案例,这个之前可能也有我们的演讲嘉宾提到过。在2015年8月,美国安全局两位专家对特斯拉进行了模拟的黑客探测,然后他们是通过对特斯拉上面的SD卡进行解析,发现里面有密码是明文存储的。这样他们通过明文存储的密码远程登录到云端系统上,然后通过系统的连接进行对控制系统的固件升级更新,这样更新之后它可以获取到登录本地汽车网关的密码,从而远程登录到汽车,对汽车进行控制。
这里面三个比较重要的点就是在于本地存储的泄露,以及终端系统密码破解,以及终端仿冒到平台上。这个案例告诉我们对于终端的攻击很多时候是由于明文存储未加密、未保护,造成了车毁人亡的事故。
第二个事例是在2016年10月,美国发生了大规模的DDOS的攻击事件,起因是黑客通过网络扫描发现大量非常容易被攻破的终端,他们有非常简单的密码。通过病毒的感染对这些终端进行远程控制,然后利用这些终端进行大规模的DDOS攻击,启动了150万台设备对DNS进行了三波的攻击,美国大概有5个小时的时间属于网络瘫痪,非常严重。
第三个案例是在网络侧的攻击,在2015年的1月份,南京水泥厂被周围的群众举报,说他们二氧化硫排放量严重超标。实际上在政府的检测平台,他们看到数据是显示正常的,原因其实就在于水泥厂在当气体监测器把气体监测数据采集之后上传到RTU时,由于网络传输过程是明文传输,这样被非法分子篡改数据以至于造成严重的后果。
最后简单地分享关于系统方面的攻击,这是在乌克兰,他们的电网,当时有黑客把钓鱼软件通过邮件发送给当时办公室的办公人员,他们打开之后,其中携带的木马病毒就整体扩散,然后办公电脑被黑客当作跳板,攻击到了控制管区的控制主机。控制主机他们进去之后对于关键的器件下了断电指令,以至于停电时间3到6小时,非常严重。
而且黑客在攻击之后把之前攻击所有的指令信息全部摸掉,以至于检测人员无法检测之前的篡改。更有甚者他们对于求救中心进行DDOS攻击,以至于不知道大家发生什么事情无法恢复,所以造成大范围停电,影响非常严重。
总观我们去比较物联网安全和传统IT安全他们有什么差别呢?
第一,安全后果不一样。传统IT后果大多数主要是信息的泄露,但是对于物联网来说包括很多方面,而且严重程度可能会非常骇人听闻,而且不同应用场景后果是不一样的。
第二,它的环境条件也不太一样。传统IT的话一般都是有专门的座机,计算能力相当来说是比较强的,但是对于物联网来说它有大量的终端存在,而且大量的终端可能是资源受限,计算能力,存储能力等等各个方面,甚至还有可能暴露在户外、野外,所以它受到的限制非常多,而且可能终端界面特别来说都是比较简单的。
第三,攻击手段和防御方法。从这点来看,据我们分析传统安全和物联网安全其实是大致相同的,不管是从攻击方法和防御方法谈。
所以我们考虑到对于物联网安全,首先我们要根据它不同的场景以及不同的后果影响,然后对他们要进行分级的防御措施。对于不同环境条件下不同的终端我们也应该进行分类分级地处理。这是我们相当于是对所有的目前可以了解到看到的攻击方式进行总结。
首先来看,我们是按照两个维度,就是说攻击的对象。物联网通常大家把它分成三层,从终端到网络连接再到上面的平台系统。从攻击本身的类型来说,我们有假冒、篡改、泄露、DOS还有越权方式,同时攻击威胁的影响我们也做了标识,所以大概有35种攻击方式列举在这里,当然这里还不是所有全部,只是给大家作为启示。
我们华为的安全架构就是我们要构筑“3+1”全面纵深防御机制,“3+1”怎么来讲?
防线1是从终端来看提供适度的防护,物联网终端等级是不一样的,所以对于简单的终端以及强能力的终端,我们分别实施针对性的不同的防御措施。
防线2就是连接侧,我们这里重点强调对恶意终端检测,怎么样进行检测?我们可以通过不同的检测方式,然后看这些终端他们是不是有非预期的入网时间,是不是报文是非法的,以及数据流量是不是异常,然后来判断他们是否是恶意终端。
防线3平台侧,我们重点强调的是数据全生命周期的管理,从采集到计算存储到洞察以及到计算后期的开放整体拉通来看。
以上是“3”,另外一个“1”是说安全管控,是为运维人员提供安全的指导以及各种工具的支持。
这里相当于对每一层防线以及安全管控都提供了不同的防御方式,比如说在终端侧有本地验证,安全升级,安全加固,平台认证,本地资源管控等等。然后对于网络侧我们有无线恶意终端检测,网络端,可加固,防火墙等等,然后在平台侧我们还包括隐私的保护,比如说还有数据库的防火墙等等。安全管控方面我们重点强调的是大数据安全分析,以及端到端的安全运维SOP。
这时候我们就回到之前特斯拉的案例,我们怎么样对它进行一个防御呢?
首先对于它本地的关键信息要做基于TPM/TEE的本地存储加密,这样的话安全硬件存储它里面的信息,之前美国专家把它攻破主要原因其实也在于此。把信息安全加密之后,首先第一步把它防御住了,这是防线1。在防线2连接侧,我们可以通过不同的方式,一种方式通过恶意终端的检测发现异常,发现恶意终端,然后通过防火墙对它进行隔离。
还有一种方式基于身份密钥的分布式IBS认证,接下来我们把它打开来看。
防线1就是针对复杂关键的车载终端我们实行TPM/TEE的安全加密存储,首先我们会把根密钥在TPM中硬件存储,之后根据密钥我们生出关键密钥,然后其中一个就可以用于存储登录密码的加密。利用这个密钥我们对要传输的信息进行加密,加密等所有的运行都是在TEE OS中,就是说可信环境中进行执行,然后把结果发送给应用层。这样的话就是说它所有的处理都是在一个完全加固加密的环境中,以确保它信息的安全存储加密。
防线2我们利用基于身份密钥的分布式IBS认证,这个在华为IoT平台我们有连接管理,其中有密钥生成模块,主要是针对于下面的终端生成对应其身份的密钥。把密钥通过网络的TLS安全管道下发给各个终端,进行认证的时候就比如说汽车B,它想要传输关键信息,那么它就通过用自己的私钥对要传输的信息进行签名加密。
比如说它把信息传给A,A拥有它的公钥,这个公钥就是其身份ID,所有相连接的终端也好都是拥有同样的。A用B的公钥,也就是B的身份ID,对传输过来的信息进行解密认证,如果解密之后的数据信息和同时传送给它的信息一致的话,那么可以确认A认证成功,跟A建立连接互通。
还有一种比如说把信息传给平台侧,平台有专门的连接管理模块,它发现通过它所拥有的B的身份公钥进行解密之后,出来的传输数据和被传送给它的传输信息是不一致的,那么它发现B是一个恶意终端或者是假冒的B终端。这样子这个连接就不会建立,信息也不会进行传输,这些就是起到了一个检测隔离的作用。
我们还有一种方式,是通过日志检测,它是不同检测方式的一种,包括日志检测、流量检测以及报文检测。对于汽车来讲可以通过日志检测来发现其异常,比如说汽车每周进行固件加固的更新,时间可能是在每周的凌晨时间设定好的,但是发现后来终端进行申请固件加固的时间变成了中午,这就是非预期时间入网,我们就要对它进行鉴别以及隔离。
另外一种可能位置的变动,比如说汽车一直在亚洲跑,突然发现有命令是在美洲的发出的,这也是一个异常行为,这样我们会发现恶意终端。其他两种中比较通用的是流量检测,比如说流量数据异常增大,这个对于DDOS的防护是非常重要的。还有对于报文检测,难度是比较大的,因为它要分析里面所涵盖的信息是不是符合它的格式等等。这里我们就不一一赘述了。
发现恶意终端之后可以通过不同方式对它进行隔离,其中一种可以利用工业级的防火墙,这样子的话就是说在连接网络层我们有防火墙进行一层隔离,对于检测管理、管控侧以及运营管理侧,这时候我们同样可以加一层防火墙进行二次隔离,相当于层层防护。
防线3这个就涉及到数据全生命周期的管理,比如说在数据采集的时候我们一些敏感字段要进行及时的加密以防它的泄露。还有包括数据在计算和存储的时候,我们要对数据进行脱敏、加密、雾化,以及包括数据洞察方面的密文关联分析,以及数据开放的安全审计、权限控制。当然这里面涵盖的信息又比较多,特别是对于车联网的话,汽车从设计制造到后期的管理维护以及到后面的报废处理一系列,其实它是很完整的。
另外“3+1”结构中的1是对于安全管控,华为的平台它能力是比较强大的。其实我们这个平台侧它主要提供的是设备管理,连接管理以及应用使能。而应用使能中对于大数据的分析是非常关键的,怎么样利用机器学习和大数据实现智能化的安全防御,这里面涉及到各种模型的建立以及对于历史数据的分析。我们这里提供的各种算法,以及分布学习能力,行为分析,异常检测等等,这个其实跟我们之间的恶意检测也是相互联系的。
另外一个就是基于安全威胁防御的CIS解决方案,这个地方我们可以提供可视化的呈现方式。以至于分析人员可以更好地对这个数据进行分析理解和处理,以及丰富的异常行为关联分析的评估能力等等。所以越往上层和平台的联系非常密切的,华为OceanConnet平台是严格遵循了安全开发流程的,它经过EuroPrise 及 IOActive认证,和多方面的测试,包括静态代码分析、动态分析、模糊测试,渗透测试等等。
同时对于终端的合作伙伴,华为在全球的Openlab和合作伙伴一起开发,对于设计阶段,需要达到什么样的要求,我们都给出了《华为物联网终端安全技术规范》。以及在终端进行上市之前,怎么进行测试,我们这里提出来一百多个测试场景,涵盖是非常广的,给终端用户非常好的建议。另外对于上层安全管控的话,我们构建E2E各环节的安全运维,它是一个端到端整体的安全运维规范,我们希望和大家一起在联合制定。
好了,我的内容就到这里,谢谢大家!
点击下方【阅读原文】,立刻查看两日完整演讲,重磅嘉宾,满满干货。