8.3.2 数字孪生时代的物联网安全
数字孪生时代下物联网安全新理念
基于密码技术,根据物联网安全的特征来分析物联网安全的特点、需求点、关键点及其痛点。图8.3为传统互联网与物联网安全方案的对比,物联网中的云端和边缘端与传统的互联网基本一致,使用TCP/IP协议。原有的、成熟的、完善的互联网安全/网络安全的一些设备产品和技术方案可以直接沿用并起到对应的效果。智能终端,即端这一侧。对整个物联网来说,智能终端五花八门,可以称为海量终端。多元异构是终端的一个典型特征,这些终端在传统的网络安全时代是不存在的。在现如今的物联网里,云边端、云管端等多出来的这些万物互联的终端是以前没有的课题,需要重点去解决。只有把这一问题解决,再结合云端和边缘端形成一个闭环的安全体系,才能真正有效地解决物联网安全问题。
图8.3 传统互联网与物联网安全方案的对比
经过上述分析,可以得出端安全是目前物联网安全里需要重点解决的问题。端是整个物联网数据产生的源头,也是数据采集的源头,又是指令最根本和最后的执行者,所以端其实决定了整个物联网的安全效果。在网络安全的攻与防中,攻击者最终的目的无非是针对被攻击对象的一些有价值的数据,通过对其进行偷窃或者破坏来达到攻击的目的和效果。同样,对于防御者来说,其目的是要保护这些有价值的核心数据。
在互联网时代下,所有有价值的核心数据基本上是在公司内部、机房内、办公环境内产生的。每个独立的环境是物理上能够看守住的场所,黑客在物理上接触不到产生数据源的电脑或服务器等这些应用环境的设备和系统,只能通过对外连接的网线来进行攻击。此时,对于每个要保护的主体或防御者来说,对外连接的网线是黑客攻击的唯一入口,采用边界防御的思维是非常有效的一个手段。
这种手段和解决思路沿用到物联网并不能起作用,原因是物联网在物理上是一个开放的网络,所有产生数据源的终端部署在户外,无人值守,24小时工作;黑客在物理上很容易接触,可以买一个同型号终端进行研究和攻击。作为一种静态性攻击,当找出这类终端的安全漏洞和特征点后,就可以直接去攻击同型号的在外面的终端,并且在物理上可以直接进行网络入侵,无法防御。这就是物联网安全的现状。
基于物联网安全的现状,关于解决终端安全可以得出两个结论。一是在黑客可以对终端进行静态分析和攻击的现状下,目前的各种安全技术中,只有采用密码学技术对终端进行安全设计并赋予其安全能力才能起到对应的效果。即使黑客知道终端所采用的密码学技术也不能进行破解,达到透明攻防。二是厂家一旦将终端销售出去就不会再介入终端的使用,对于用户来说,不能像在互联网时代下那样把计算机买回来后自己操作,对于所有的智能终端来说用户只是一个使用者。所以所有的物联网终端在出厂时就必须具备原生的安全能力,这样才能起到安全作用。
物联网安全不只涉及财产安全,还涉及人身安全,而且针对物联网安全的攻击一旦发动是人为不可阻挡的,所以要实现物联网安全就较为困难。如图8.4所示,物联网需要支持复杂环境下的安全。第一,物联网安全多场景。不同的细分场景其安全需求是不一样。第二,多通信协议。物联网不像互联网时代只有TCP/IP协议,它有窄带、宽带等多种协议。第三,多系统环境。在同一个物联网场景中会出现多种系统环境,除了Windows、Mac、Linux这种PC端系统环境,还有iOS这种智能终端的系统环境和嵌入式操作系统,甚至无OS的操作系统也在物联网终端里频繁出现。第四,多硬件架构。物联网安全有基于ARM、Intel等的不同硬件架构。在这种情况下,很难有一个标准来覆盖所有的终端。针对不同的终端,应该思考怎样做到广覆盖。
图8.4 复杂环境下的物联网安全
信长城提出一种适配于物联网典型场景的安全体系产品——乐高积木式的安全组件,如图8.5所示,组件式是指安全产品分为云、边、端,适配在云端/边缘网关/各种类型的终端。积木式的组件可以从技术分层的角度考虑,在硬件层、驱动层、系统层、应用层和业务层做不同的组件,复杂系统的硬件层会存在六七种嵌入式环境/智能终端环境,驱动层存在六七种嵌入式环境/智能终端环境,等等,组合后的组件有几十种至上百种。针对每一个新出现的智能终端,在赋予其安全性能时,可以通过一系列组件的组合来提供全维度的安全,让智能终端在研发设计之初就具备原生的安全能力,从经济效益上讲这是一种一次性投入永久收益的方式。
图8.5 乐高积木式的安全组件
另外,云、边、端的组合技术架构实现了物联网多场景的覆盖。任何一个物联网场景都是云、边、端的架构形式,组件式和积木式使其做到了广复用性。在适配一个新出现的物联网场景时,可以迅速覆盖到其支持的多元业务的智能终端类型。
上述内容只是解决了物联网中终端部分的安全,但对整个互联网的安全需求来说,必须由云、边、端全覆盖的体系来实现。信长城从上层角度提炼出一套由三大板块组成的完整的物联网安全体系,即智能化的物联网安全体系。终端上称为安全知觉系统,连接时称为安全神经系统,所有的物联网连接时采用密码学技术来保障双向身份认证,实现安全性。最后汇聚到云端的安全智能分析系统/智能决策系统,把所有的威胁特征和安全情况汇集起来后运行实时动态的决策机制,实现整个物联网闭环的安全体系。