隨著IoT的發(fā)展，催生了大量新產(chǎn)品、新服務(wù)、新模式，并逐步改變了傳統(tǒng)產(chǎn)業(yè)模式，引發(fā)了產(chǎn)業(yè)、經(jīng)濟和社會發(fā)展新浪潮。但與此同時，數(shù)以億計設(shè)備的接入帶來安全攻擊也在不斷增多。作為基于互聯(lián)網(wǎng)的新興信息技術(shù)模式，IoT領(lǐng)域除了面臨所有與互聯(lián)網(wǎng)同類型網(wǎng)絡(luò)攻擊威脅的同時，還因其多源異構(gòu)性、開放性、泛在性等特性而面臨更多更復(fù)雜的攻擊威脅，IoT安全問題也已成為發(fā)展的關(guān)鍵之一。

為助力IoT安全生態(tài)體系構(gòu)建，幾維安全以國家政策、標準為指引，對該領(lǐng)域技術(shù)原理和在不同行業(yè)特征下的風險隱患進行深入分析研究，從技術(shù)產(chǎn)品角度研發(fā)了覆蓋不同關(guān)鍵環(huán)節(jié)的安全加固技術(shù)產(chǎn)品和整體解決方案；從實施角度構(gòu)建了事前檢測加固、事中監(jiān)測響應(yīng)、事后審計優(yōu)化閉環(huán)安全防護體系；從服務(wù)角度部署了云端、web端、API接口、本地部署、離線工具和Xcode插件等多樣化交付/部署模式，和多渠道技術(shù)服務(wù)實現(xiàn)線上線下聯(lián)動全方位支撐。

幾維安全IoT安全整體解決方案

根據(jù)IoT技術(shù)實現(xiàn)原理分析，其安全風險包括設(shè)備安全、通信網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等內(nèi)容。以通信網(wǎng)絡(luò)為例，IoT移動應(yīng)用程序在數(shù)據(jù)傳輸過程中需途經(jīng)業(yè)務(wù)功能相關(guān)通信網(wǎng)絡(luò)、互聯(lián)網(wǎng)，其中不乏由于不健全的握手通信過程、SSL版本的不正常使用、脆弱協(xié)議、敏感信息明文傳輸?shù)葞淼陌踩L險。而以互聯(lián)網(wǎng)為例，不管是數(shù)據(jù)鏈路層的協(xié)議還是應(yīng)用層的協(xié)議，都有類似APP中間人攻擊、明文數(shù)據(jù)包、SSL驗證繞行、PUT利用等安全隱患，造成數(shù)據(jù)引流、資金欺詐、個人信息盜取、設(shè)備劫持等業(yè)務(wù)安全問題。

基于不同環(huán)節(jié)安全風險、形成原理及安全加固需求分析研究，幾維安全通過單產(chǎn)品部署、產(chǎn)品組合相結(jié)合的方式進行安全防護方案設(shè)計，如：

IOT虛擬化ID認證系統(tǒng)

將需要保護的功能邏輯轉(zhuǎn)換成混淆后的虛擬機指令大幅提升代碼被逆向分析的難度。虛擬機能夠在運行過程中采集芯片、模塊的底層特征芯片唯一ID、底層特征外部SPI Flash ID等模塊特征虛擬機利用硬件特征，在運行過程中驗證設(shè)備的合法性。

由于虛擬機的混淆特性，對硬件特征的采集、校驗和使用的過程難以被繞過或篡改。

設(shè)備端提供基于虛擬化保護技術(shù)的ID認證SDK，實現(xiàn)ID生成、數(shù)據(jù)加密存儲、云端ID認證等功能。

應(yīng)用安全保護方案

幾維安全編譯器基于LLVM編譯器優(yōu)化層實現(xiàn)，加密代碼與業(yè)務(wù)代碼緊密結(jié)合，有效阻擋逆向分析；由于是從優(yōu)化層實現(xiàn)代碼虛擬化過程，不依賴于特定系統(tǒng)環(huán)境，無兼容性問題，兼容所有CPU架構(gòu)，包括IOS,Android, (armv7,arm64), Windows, Liunx(x86,X64), Other(Mips)等。

安全芯片部署

在設(shè)備中植入硬件安全芯片，一芯一密，結(jié)合ECC算法，AES算法，動態(tài)熵隨機數(shù)算法等復(fù)合算法來加密數(shù)據(jù)，保證數(shù)據(jù)安全；關(guān)閉硬件芯片對外的調(diào)試串口，保證算法不被逆向分析；對OS和APP采用代碼虛擬化、塊調(diào)度保護技術(shù)，保證調(diào)用安全數(shù)據(jù)的軟件API接口安全。

IoT防護實踐探索

以某智能門鎖安全加固需求為例，根據(jù)對應(yīng)用特征分析可見，智能門鎖主要應(yīng)用于公寓、酒店、家庭等場景，是關(guān)系到財物安全關(guān)鍵環(huán)節(jié)之一。用戶在手機APP注冊，通過WiFi或藍牙方式與智能門鎖進行通訊，進行下發(fā)密鑰/臨時密碼、遠程開鎖等操作，門鎖可設(shè)定多套開鎖密鑰，不同用戶可獨立設(shè)置密碼。功能的實現(xiàn)需具備APP端防破解/防篡改、智能門鎖核心算法保護、本地用戶密鑰保護、通訊保護等安全保護?；谠搱鼍疤卣骱桶踩枨螅瑤拙S安全進行了安全加固方案設(shè)計和產(chǎn)品部署：

采用代碼虛擬化保護方案對APP端進行保護，防止應(yīng)用被反編譯、動態(tài)調(diào)試、篡改等；采用輕量級虛擬化對門鎖內(nèi)核心代碼進行保護，防止破解和動態(tài)調(diào)試；采用密鑰白盒對用戶數(shù)據(jù)、通訊數(shù)據(jù)進行加密，保障通訊安全。

再如在某物聯(lián)網(wǎng)云平臺進行安全加固的案例中，幾維安全針對其智能終端與云端通信安全、智能硬件核心算法保護、SDK安全保護等加固需求進行了部署：采用代碼虛擬化和輕量級虛擬化對相關(guān)硬件進行保護，防止攻擊者破解，獲取核心算法、接口數(shù)據(jù)等。

采用密鑰白盒對通訊數(shù)據(jù)進行加密，防止中間人劫持、重放攻擊、信息泄露、接口參數(shù)泄露等。采用代碼虛擬化對SDK進行加固，防止攻擊者由逆向SDK獲取代碼邏輯。

近年來，IoT領(lǐng)域在蓬勃發(fā)展的同時，也暴露出了許多安全問題，需著眼于未來發(fā)展和安全需求和可能面臨的網(wǎng)絡(luò)安全新形勢、新需求，從規(guī)范行業(yè)安全管理、制定行業(yè)安全檢測標準、構(gòu)建新型有效的安全防護體系、研究新技術(shù)新應(yīng)用等多個維度著手。幾維安全將持續(xù)進行IoT安全防護探索，助力IoT安全生態(tài)的健康發(fā)展。

fqj