5.1.1 网络层面临的安全问题
物联网终端、接入网、承载网等各部分存在着各自的安全问题,下面对典型的网络架构进行分析。
1.物联网终端
随着物联网业务终端的日益智能化,物联网的应用更加丰富,同时终端感染病毒或被恶意代码所入侵的渠道也相应增加。同时,网络终端自身的系统平台缺乏完整性保护和验证机制,平台的软硬件模块容易被攻击者篡改,一旦被窃取或篡改,其中存储的私密信息将面临泄露的风险。
2.接入网
接入网为感知层提供了无处不在的接入环境,接入网包括无线网络、自组织网络等。根据网络结构的不同,无线网络可以分为中心网络和非中心网络。在中心网络中,移动节点之间的通信必须使用固定基站,例如普通的蜂窝网络和无线局域网。在非中心网络中,通信不需要固定基站或接入点。例如,Wi-Fi是一个中心网络,自组织网络是一个非中心网络。
Wi-Fi安全问题。Wi-Fi是一种无线网络接入规范,也被称为IEEE 802.11,是目前使用最广泛的无线网络标准,指的是无线终端可以通过无线技术相互连接。物联网中基于无线网络的应用包括通过无线网络访问互联网、访问电子邮件、下载或观看在线视频等。网络安全是Wi-Fi中的一个关注点。当用户访问互联网网页时,可能会遇到钓鱼网站,用户的账户名和密码有可能被泄露。对Wi-Fi网络的攻击可以分为两类:一类是对网络访问控制、数据机密性和数据完整性的攻击;另一类是基于无线通信网络设计、部署和维护的独特攻击方法。对于第一类攻击也可能发生在有线网络环境下的情况,无线网络安全在传统有线网络的基础上增加了新的安全威胁,具体如下。
①WEP加密机制具有弱点。WEP机制旨在通过密码措施来防止无线网络通信的窃听,但是WEP有很多弱点。WEP的加密算法太简单,很容易被破解密钥。密钥管理是复杂的,使用WEP密钥需要接受一个外部密钥管理系统的控制,因为这个过程复杂并且需要手动操作,所以许多网络为了方便部署,使用默认的WEP密钥,这使得黑客破解密钥的难度大大降低。
②搜索无线信号以攻击无线网络。搜索无线信号也是攻击无线网络的一种方法;无线网络有许多识别和攻击的技术和软件。几种软件广泛用于建立无线网络。许多无线网络不使用加密,即使使用加密功能,如果没有关闭AP广播消息功能,AP广播仍然包含大量信息,可以用来以明文推断WEP密钥信息,如网络名称、SSID和其他黑客入侵的条件。
③无线网络窃听。披露威胁包括窃听、拦截和监控。其中,窃听是指通过电子形式的计算机通信网络进行窃听,它是被动的,入侵检测无法检测到窃听设备。即使网络不对外广播网络信息,如果能在明文中找到任何信息,攻击者仍然可以使用一些网络工具,如AiroPeek和TCPDump来监控和分析流量,从而识别出可以攻击的信息。
④自组织网络安全问题。无线自组织网络是由一组自主的无线节点或终端协作而成,独立于使用分布式网络管理的固定基础设施,是一个自创建、自组织、自管理的网络。在物联网中,自组织网络是一种对等的非中心网络,它可以通过自组织网络路由协议来消除感知层节点之间的异构性。在一定程度上,如果网络节点发生变化,自组织网络能够适应这些变化,动态地协调核心网络中的节点间和感知层网络通信,不会影响整个网络的运行。传统自组织网络的安全威胁来自无线信道和网络。无线信道容易受到窃听和干扰。此外,非中心的自组织网络易遭受伪装、欺骗和其他形式的攻击。在物联网中,自组织网络仍然存在以下安全问题。
a.非法节点访问安全问题:每个节点都要能够确认与该节点通信的其他节点的身份,否则,攻击者可以轻松捕获一个节点,从而访问关键资源和信息,并干扰其他通信节点。
b.数据安全问题:无线自组织网络通信是无方向的,通过网络传输的传感数据容易泄露或被恶意用户篡改,网络路由信息也容易被恶意用户识别,从而非法获取目标的确切位置。
3.承载网
承载网的作用是承载网络信息的传输安全。物联网的承载网络是一个多网络叠加的开放性网络,随着网络融合的加速及网络结构的日益复杂,物联网基于无线和有线链路进行的数据传输正面临着更大的威胁。攻击者可随意窃取、篡改或删除链路上的数据,并伪装成网络实体来截取业务数据及对网络流量进行主动与被动的分析。
(1)LTE 4G安全问题
LTE(Long Term Evolution,长期演进)是由3GPP(The 3rd Generation Partnership Project,第三代合作伙伴计划)组织制定的UMTS(Universal Mobile TelecommunicationsSystem,通用移动通信系统)技术标准的长期演进,于2004年12月在3GPP多伦多会议上正式立项并启动。LTE系统引入了OFDM(Orthogonal Frequency Division Multiplexing,正交频分复用)和MIMO(Multi-Input& Multi-Output,多输入多输出)等关键技术,显著提高了频谱效率和数据传输速率(20 M带宽2×2MIMO在64 QAM情况下,理论下行最大传输速率为201 Mbit/s,除去信令开销后大概为150 Mbit/s,但受实际组网以及终端能力的限制,一般认为下行峰值速率为100 Mbit/s,上行为50 Mbit/s),并支持多种带宽分配,如1.4 MHz,3 MHz,5 MHz,10 MHz,15 MHz和20 MHz等,且支持全球主流2G/3G频段和一些新增频段,因而频谱分配更加灵活,系统容量和覆盖率也显著提高。LTE潜在的安全问题可分为以下4种类型。
1)位置跟踪
位置跟踪是指跟踪用户设备在特定小区或多个小区中的位置。位置跟踪本身并不构成直接的安全威胁,但它是网络中的安全漏洞,可能是一个潜在的威胁。如下所述,通过跟踪小区无线电网络临时标识符(C-RNTI)与切换信号或分组序列号的组合,将使得位置跟踪成为可能。RNTI码是小区级唯一的临时用户设备标识符。由于C-RNTI以明文形式传输,被动攻击者可以确定使用C-RNTI的用户设备是否仍在同一个小区中。在切换期间,通过切换命令消息将新的C-RNTI分配给用户设备。被动攻击者可以从切换命令消息中链接新的C-RNTI和旧的C-RNTI,除非C-RNTI的分配本身是保密的。这就允许在多个小区跟踪用户设备。如果在切换前后连续的分组序列号被用于用户平面(RLC、PDCP)或控制平面(无线资源控制、网络连接存储)分组,则基于分组序列号的连续性,形成旧的和新的RNTI之间的映射是可能的。
2)带宽窃取
带宽窃取可能会成为长期演进中的一个安全问题。在一个例子中,这可以通过在DRX时期插入消息来实现。在E-UTRAN中的DRX时期,用户设备被允许保持在活动模式,但是关闭其无线电收发器以节省功率。在这样的DRX时期,用户设备的上下文(例如CRNTI)在基站中保持活跃。在很长的DRX周期内,仍然允许用户设备发送分组,因为用户设备在进入DRX周期后可能有紧急业务要发送。这可能会造成潜在的安全漏洞。攻击者有可能在很长的一段DRX时期内,利用用户设备的RNTI效应注入一个分组数据单元。在第二个例子中,可以使用假的缓冲区状态报告。缓冲区状态报告用作数据包调度、负载平衡和准入控制的输入信息。代表另一个正常的用户设备发送错误的缓冲区状态报告可以改变这些算法的行为。通过改变基站处的分组调度行为,有可能执行带宽窃取攻击,使得基站认为用户设备没有任何要发送的内容。
3)开放架构带来的安全问题
LTE 4G网络是一个IP网络,拥有大量高度移动的设备,活动周期从几秒钟到几小时不等。终端设备的类型非常多样,并包括各种各样的终端用户。此外,各种各样的自动化设备正在出现,这些设备在没有人工交互的情况下运行。有些设备,例如传感器、警报器、存在指示器和远程摄像机,利用了无线网络覆盖的普遍性。设备类型和安全级别的多样性,加上基于IP的LTE网络的开放架构,将导致LTE 4G比3G网络存在更多的安全威胁。由于向开放协议和标准的转变,4G无线网络现在容易受到互联网上出现的计算机攻击技术的影响,也容易受到一系列的安全攻击,包括来自恶意软件和病毒的攻击。除构成传统安全风险的最终用户设备之外,如SPIT(用于VoIP的垃圾邮件)也将成为LTE 4G和WiMAX中的安全问题。其他与网络电话相关的安全风险也是可能的,如SIP注册劫持,劫持者的IP地址将被写入数据包报头,从而覆盖正确的IP地址。
4)拒绝服务攻击(DoS)
在LTE网络中,有两种可能的方式来执行拒绝服务。第一种拒绝服务攻击是针对特定用户设备的。恶意无线电收听者可以使用资源调度信息以及C-RNTI在预定时间发送上行链路控制信号,从而导致eNodeB处的冲突和真实用户设备的服务问题。新到达的用户容易受到第二种拒绝服务攻击。在LTE中,允许UE保持活动模式,但关闭其无线电收发器以节省功耗。这是通过DRX(不连续接收)周期实现的。在很长的DRX周期内,仍然允许用户设备发送数据包,因为用户设备可能有紧急流量要发送。然而,这可能会造成潜在的安全漏洞。例如,攻击者可以在DRX期间注入C-PDU数据包,对新到达的用户设备造成拒绝服务攻击。第三种类型的拒绝服务攻击可以基于e NodeB用于分组调度、负载平衡和准入控制的缓冲区状态报告。攻击者可以模拟真实的用户设备发送报告。如果模仿者发送缓冲区状态报告,报告要发送的数据比实际用户设备实际缓冲的数据多,这将导致准入控制算法的行为发生变化。如果eNodeB看到来自不同用户设备的许多这种虚假的缓冲区状态报告,它可能认为该小区中有很重的负载。因此,基站可能不接受新到达的用户设备。
(2)5G安全问题
5G网络的主要要求是非常高的数据速率,以及无处不在的可用性和极低的延迟。MTC、物联网、V2X等新用例将对网络提出非常多样的要求。例如,V2X和任务关键型MTC应用需要大约1 ms或更短的延迟。除这些要求之外,服务所需的可靠性和可用性将比目前的网络高几个数量级。然而,当前的网络已经容易受到许多基于互联网的威胁,这些威胁可以针对接入节点,例如长期演进中的基站和低功率接入节点。随着5G中各种IP设备的融合,安全威胁将进一步增加。
①随着大量新设备和新服务的快速增长,网络容量需求的增长速度比以往任何时候都要快。除改善链路预算和覆盖范围之外,异构网络还将包含具有不同特性的节点,如传输功率、射频、低功率微节点和高功率宏节点,所有这些都在同一运营商的管理之下。然而,节点和访问机制的多样性也将带来一些新类型的安全挑战。例如,开放接入补充网络,如无线局域网,甚至毫微微蜂窝,通常是网络运营商增加网络容量的首选。然而,这种开放接入网络是为授权用户设计的,使得传输中的信息或数据容易被窃听者和未授权用户窃取。
②使用低功率接入点的小区,例如毫微小区和微微小区,由于具有许多优点,例如低成本和室内覆盖、较高的数据速率和对宏基站的数据卸载缓解以及改善的用户满意度等,已经有了发展势头。然而,低功率接入点需要低复杂性和高效的切换认证机制。这种快速可靠的切换机制还没有为5G开发出来,而以前的加密方法对于低功率接入点来说是不够的。这种漏洞会使网络暴露于安全漏洞,如中间人攻击和网络钓鱼攻击。
③从安全性的角度来看,不同接入技术之间的切换是另一个挑战(例如3GPP和非3GPP)。例如,通过恢复会话密钥进行会话重放攻击和非3GPP安全的恶意接入点的可能性是关键挑战。由于5G异构网络中接入点数量的增加和接入技术的不同,后者与5G更相关。3GPP TS 33.501v 0.7.0中指定的5G-AKA协议已经揭示了漫游的脆弱性。此外,无线电接口的加密密钥通常在归属核心网络中计算,并通过SS7或DIMENSION信令链路传输到受访无线电网络。NGMN指出,这些密钥可能会泄露出去,并在网络中明确暴露出来,提高其安全性的基本方法包括通过引入防火墙来提高SS7和DIAMETER的安全性。然而,在5G网络中,安全密钥管理协议的设计仍然是一个公开的挑战。
④当前的3GPP网络要求用户设备在初始连接阶段以未加密的形式通过空中下载技术提供其IMSI,这使得被动攻击者能够通过观察流量来识别来自IMSI的用户,也使攻击者能够在从一个网络漫游到另一个网络的过程中跟踪用户。未来的移动网络运营商将使用不太可信的或非3GPP网络以及可信的或3GPP网络。从一个网络漫游到另一个网络,即从非3GPP漫游到3GPP将是常见的。在漫游期间,用户设备还必须向序列号提供其IMSI进行认证,这是对IMSI安全或用户隐私的另一个挑战。
⑤IP协议对不同网络功能的控制和在用户平面的大规模渗透使得5G核心网络非常脆弱。网络必须具有高度的弹性,并确保随着信令流量的增加而可用。通信服务和设备类型的增加会导致信令目的的业务量增加。在3GPP协议的非接入层发生的用于连接/分离、承载激活、位置更新和认证的信令过程会导致非接入层信令风暴。数十亿物联网设备的可能集成使得5G面临又一个挑战。
⑥在5G网络中,大量受感染攻击的物联网设备会使信令平面过载,试图获得访问权限或执行DoS攻击。资源受限的物联网设备可能将以十亿为单位,利用云中的资源来执行信息的处理、存储或共享。它们有限的能力也使得这些设备很容易成为伪装的目标,或者在受到威胁的环境中以DoS攻击的形式对网络进行攻击。