隨著IoT的發(fā)展，催生了大量新產(chǎn)品、新服務(wù)、新模式，并逐步改變了傳統(tǒng)產(chǎn)業(yè)模式，引發(fā)了產(chǎn)業(yè)、經(jīng)濟(jì)和社會(huì)發(fā)展新浪潮。但與此同時(shí)，數(shù)以億計(jì)設(shè)備的接入帶來(lái)安全攻擊也在不斷增多。作為基于互聯(lián)網(wǎng)的新興信息技術(shù)模式，IoT領(lǐng)域除了面臨所有與互聯(lián)網(wǎng)同類型網(wǎng)絡(luò)攻擊威脅的同時(shí)，還因其多源異構(gòu)性、開放性、泛在性等特性而面臨更多更復(fù)雜的攻擊威脅，IoT安全問(wèn)題也已成為發(fā)展的關(guān)鍵之一。

為助力IoT安全生態(tài)體系構(gòu)建，幾維安全以國(guó)家政策、標(biāo)準(zhǔn)為指引，對(duì)該領(lǐng)域技術(shù)原理和在不同行業(yè)特征下的風(fēng)險(xiǎn)隱患進(jìn)行深入分析研究，從技術(shù)產(chǎn)品角度研發(fā)了覆蓋不同關(guān)鍵環(huán)節(jié)的安全加固技術(shù)產(chǎn)品和整體解決方案；從實(shí)施角度構(gòu)建了事前檢測(cè)加固、事中監(jiān)測(cè)響應(yīng)、事后審計(jì)優(yōu)化閉環(huán)安全防護(hù)體系；從服務(wù)角度部署了云端、web端、API接口、本地部署、離線工具和Xcode插件等多樣化交付/部署模式，和多渠道技術(shù)服務(wù)實(shí)現(xiàn)線上線下聯(lián)動(dòng)全方位支撐。

幾維安全I(xiàn)oT安全整體解決方案

根據(jù)IoT技術(shù)實(shí)現(xiàn)原理分析，其安全風(fēng)險(xiǎn)包括設(shè)備安全、通信網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等內(nèi)容。以通信網(wǎng)絡(luò)為例，IoT移動(dòng)應(yīng)用程序在數(shù)據(jù)傳輸過(guò)程中需途經(jīng)業(yè)務(wù)功能相關(guān)通信網(wǎng)絡(luò)、互聯(lián)網(wǎng)，其中不乏由于不健全的握手通信過(guò)程、SSL版本的不正常使用、脆弱協(xié)議、敏感信息明文傳輸?shù)葞?lái)的安全風(fēng)險(xiǎn)。而以互聯(lián)網(wǎng)為例，不管是數(shù)據(jù)鏈路層的協(xié)議還是應(yīng)用層的協(xié)議，都有類似APP中間人攻擊、明文數(shù)據(jù)包、SSL驗(yàn)證繞行、PUT利用等安全隱患，造成數(shù)據(jù)引流、資金欺詐、個(gè)人信息盜取、設(shè)備劫持等業(yè)務(wù)安全問(wèn)題。

基于不同環(huán)節(jié)安全風(fēng)險(xiǎn)、形成原理及安全加固需求分析研究，幾維安全通過(guò)單產(chǎn)品部署、產(chǎn)品組合相結(jié)合的方式進(jìn)行安全防護(hù)方案設(shè)計(jì)，如：

IOT虛擬化ID認(rèn)證系統(tǒng)

將需要保護(hù)的功能邏輯轉(zhuǎn)換成混淆后的虛擬機(jī)指令大幅提升代碼被逆向分析的難度。虛擬機(jī)能夠在運(yùn)行過(guò)程中采集芯片、模塊的底層特征芯片唯一ID、底層特征外部SPI Flash ID等模塊特征虛擬機(jī)利用硬件特征，在運(yùn)行過(guò)程中驗(yàn)證設(shè)備的合法性。

由于虛擬機(jī)的混淆特性，對(duì)硬件特征的采集、校驗(yàn)和使用的過(guò)程難以被繞過(guò)或篡改。

設(shè)備端提供基于虛擬化保護(hù)技術(shù)的ID認(rèn)證SDK，實(shí)現(xiàn)ID生成、數(shù)據(jù)加密存儲(chǔ)、云端ID認(rèn)證等功能。

應(yīng)用安全保護(hù)方案

幾維安全編譯器基于LLVM編譯器優(yōu)化層實(shí)現(xiàn)，加密代碼與業(yè)務(wù)代碼緊密結(jié)合，有效阻擋逆向分析；由于是從優(yōu)化層實(shí)現(xiàn)代碼虛擬化過(guò)程，不依賴于特定系統(tǒng)環(huán)境，無(wú)兼容性問(wèn)題，兼容所有CPU架構(gòu)，包括IOS,Android, (armv7,arm64), Windows, Liunx(x86,X64), Other(Mips)等。

安全芯片部署

在設(shè)備中植入硬件安全芯片，一芯一密，結(jié)合ECC算法，AES算法，動(dòng)態(tài)熵隨機(jī)數(shù)算法等復(fù)合算法來(lái)加密數(shù)據(jù)，保證數(shù)據(jù)安全；關(guān)閉硬件芯片對(duì)外的調(diào)試串口，保證算法不被逆向分析；對(duì)OS和APP采用代碼虛擬化、塊調(diào)度保護(hù)技術(shù)，保證調(diào)用安全數(shù)據(jù)的軟件API接口安全。

IoT防護(hù)實(shí)踐探索

以某智能門鎖安全加固需求為例，根據(jù)對(duì)應(yīng)用特征分析可見，智能門鎖主要應(yīng)用于公寓、酒店、家庭等場(chǎng)景，是關(guān)系到財(cái)物安全關(guān)鍵環(huán)節(jié)之一。用戶在手機(jī)APP注冊(cè)，通過(guò)WiFi或藍(lán)牙方式與智能門鎖進(jìn)行通訊，進(jìn)行下發(fā)密鑰/臨時(shí)密碼、遠(yuǎn)程開鎖等操作，門鎖可設(shè)定多套開鎖密鑰，不同用戶可獨(dú)立設(shè)置密碼。功能的實(shí)現(xiàn)需具備APP端防破解/防篡改、智能門鎖核心算法保護(hù)、本地用戶密鑰保護(hù)、通訊保護(hù)等安全保護(hù)。基于該場(chǎng)景特征和安全需求，幾維安全進(jìn)行了安全加固方案設(shè)計(jì)和產(chǎn)品部署：

采用代碼虛擬化保護(hù)方案對(duì)APP端進(jìn)行保護(hù)，防止應(yīng)用被反編譯、動(dòng)態(tài)調(diào)試、篡改等；采用輕量級(jí)虛擬化對(duì)門鎖內(nèi)核心代碼進(jìn)行保護(hù)，防止破解和動(dòng)態(tài)調(diào)試；采用密鑰白盒對(duì)用戶數(shù)據(jù)、通訊數(shù)據(jù)進(jìn)行加密，保障通訊安全。

再如在某物聯(lián)網(wǎng)云平臺(tái)進(jìn)行安全加固的案例中，幾維安全針對(duì)其智能終端與云端通信安全、智能硬件核心算法保護(hù)、SDK安全保護(hù)等加固需求進(jìn)行了部署：采用代碼虛擬化和輕量級(jí)虛擬化對(duì)相關(guān)硬件進(jìn)行保護(hù)，防止攻擊者破解，獲取核心算法、接口數(shù)據(jù)等。

采用密鑰白盒對(duì)通訊數(shù)據(jù)進(jìn)行加密，防止中間人劫持、重放攻擊、信息泄露、接口參數(shù)泄露等。采用代碼虛擬化對(duì)SDK進(jìn)行加固，防止攻擊者由逆向SDK獲取代碼邏輯。

近年來(lái)，IoT領(lǐng)域在蓬勃發(fā)展的同時(shí)，也暴露出了許多安全問(wèn)題，需著眼于未來(lái)發(fā)展和安全需求和可能面臨的網(wǎng)絡(luò)安全新形勢(shì)、新需求，從規(guī)范行業(yè)安全管理、制定行業(yè)安全檢測(cè)標(biāo)準(zhǔn)、構(gòu)建新型有效的安全防護(hù)體系、研究新技術(shù)新應(yīng)用等多個(gè)維度著手。幾維安全將持續(xù)進(jìn)行IoT安全防護(hù)探索，助力IoT安全生態(tài)的健康發(fā)展。

fqj