安防用物联网产品需要具备的安全能力分析

全世界在2017年底约有84亿物联网智能设备，比2016年提高了31%。在2020年物联网智能设备总数将提高到204亿。物联网的智能设备和应用服务的市场将在2017年膨胀到2千亿美元的规模。

在中国，很多投资咨询机构都在持续关注物联网市场，很多科技公司已经在安防，汽车，建筑，金融等领域推广自己的物联网产品。关注并试验了一些物联网的软硬件产品和服务后，得出结论市面上的大部分产品都缺乏一些基本的安防基因。针对于有高安全性需求的客户，比如高端零售商，工厂，银行，安保以及公安行业，物联网产品还无法用于这些行业内。

一个合格的安防用物联网产品需要有以下几点基本安全能力：

防侵入和勒索

一个合格的物联网设备或者服务都需要有严密的防黑客侵入和勒索的模块。2015年全球苹果手机用户有22万个账户被黑客侵入，其中大部分是中国用户。相比苹果公司手机相对完备的帐号系统，绝大多数市面上摄像机，路由器，传感器等只有简单的用户名密码设置，这些终端物联网设备在连入外网后将非常容易被攻击。

防数据造假及篡改

2010年Stuxnet蠕虫病毒篡改逻辑控制机的数据，造成伊朗核计划的延迟。2013年叙利亚黑客在官方电台的Twitter帐号中播放奥巴马受伤的假新闻，造成道琼斯指数剧烈震荡。这些实例都是数据篡改造成的严重影响。针对一些高危行业，例如化工厂，安保以及公安等行业，任何一个物联网设备的防数据造假及篡改的能力都将受到检验。

防僵尸网络

现在市面上大部分个人用户端的物联网设备都连入互联网，设备的控制权限由用户分配。由于个人用户在安全设置上的易用性要求，设备控制权很容易落到黑客手里，从而造成僵尸电脑的泛滥。2011年美国联邦调查局破获了Coreflood恶意程序案，此病毒造成了全球约200万台个人电脑变成僵尸网络的一部分。

针对上述阐述的物联网设备的一些安防基本要求，物联网设备和服务提供商需在以下方面得到加强：

物联网设备监控系统

针对每一个连入物联网的智能硬件，产品提供商应该提供连入独立设备监控系统的能力。此设备监控系统应该具有以下基本功能：

l 设备硬件状态监控

l 设备网络连接状态监控

l 设备内软件功能状态监控

物联网设备本身也需要增强设备本身的帐号认证系统，其中包括以下功能：

l 强制用户修改默认帐号和密码

l 增加入侵检测模块

l 电子签名认证

依赖物联网设备底层硬件信息，物联网的设备认证体系可以借鉴物理反复制技术(PUF)混合设备密码系统来实现。这种具有强安全特性的物联网硬件才是物联网安防方案的基础。

本身PUF的原理是依赖SRAM的物理特征，在电器元件通电后，基层组织也随之启动，并在0和1的位元切换。由于物理性的些微不同，这个位元信号在每一个晶片中都不相同。这些启动产生的位元信号的内容即可以转换成设备的独特的”生物特征”，并用作设备底层设备的认证依据。

结合PUF的系统认证方式如所图例 1示。

图例 1

同时，在设备的数据储存保护上面，我方正在基于上述物联网硬件打造嵌入式区块链技术的数据储存加密协议，打造的体系的原理：

想象有一个100台的分布式数据库集群物联网设备部署在客户的内网中，如果这些设备被黑客控制，这100个设备中的数据拥有者就变成黑客了，并且所有节点处在客户内网当中，所以这个黑客可以让这100个设备干任何事情，黑客具有对这些设备的绝对使用权。这种情况是不允许发生的。

现在搭建的设备是把这100个设备的控制权限打散，且每个控制权限的节点数据都是一样的，即完全冗余，并且所有的节点是处在广域网当中，换句话说就是这100个节点之间是不信任的，且不存在一个实体，它拥有绝对使用权。

除此之外，还要做以下规则的修订，如图例 2所示。

l 每个设备节点交换数据过程不被篡改；

l 每个设备交换历史记录不可被篡改；

l 每个设备节点的数据会同步到最新数据，且承认经过共识的最新数据；l 基于少数服从多数的原则，整体节点维护的数据本身客观反映了交换历史

图例 2

物联网本身还是一个新兴事物，需要在国家层面规章制度的制定和完善。在现阶段，物联网产品的落地和完善还是取决于使用者本身。只有结合管理流程和合适的软硬件技术的物联网产品才能增加IT设备的使用效率，安全性，灵活性和自动化程度。