SCI论文(www.lunwensci.com)
摘 要 :随着物联网技术发展与能源生产的日益紧密结合, 更多的物联网智能终端也开始在发电领域中实现了巨大功能。 但企业终端用户通常无法全面了解物联网智能终端的安全风险和漏洞,也无法完成大量安全评估需求。针对物联网智能终端的 主要安全风险特点,对固件进行了测试和分级,并开展了对常见漏洞、硬编码密码、潜在安全风险等的检测 ;同时采用了模糊 测试和远程扫描等策略,对物联网智能端点进行了漏洞挖掘测试。实验结果表明,本研究项目能够更有效地检测出物联网硬件 的安全性,从而解决了行业内对物联网智能端口的安全性要求。
Research on Related Technologies of Internet of Things Intelligent Terminal Security
MA Qianli
(Department of Intelligent Control, Shanxi Railway Vocational and Technical College, Taiyuan Shanxi 030013)
【Abstract】:With the increasingly close combination of the development of the Internet of Things technology and energy production, more intelligent terminals of the Internet of Things have also begun to achieve great functions in the field of power generation. However, enterprise end users generally cannot fully understand the security risks and vulnerabilities of iot smart terminals, and cannot complete a large number of security assessment requirements. According to the main security risk characteristics of intelligent terminals in the Internet of Things, the firmware is tested and graded, and the common vulnerabilities, hard-coded passwords, potential security risks are detected. At the same time, fuzzy testing and remote scanning are used to test the vulnerability mining of the intelligent endpoint of the Internet of Things. The experimental results show that this research project can detect the security of iot hardware more effectively, so as to solve the security requirements for IoT smart ports in the industry.
【Key words】:Internet of Things;intelligent terminal;security test
0 引言
近年来,随着物联网科技的迅速发展不仅为人类生 活提供了舒适,也提高了社会安全风险。电力物联网上 的威胁也越来越多,而近年来电气系统安全故障也意味 着,仅通过使用网络隔离和单向传送信息等手段很难达 到真正的安全,而相对闭塞的特定地区网络系统则已沦 为了新威胁的主要目标。对国家电网安全的威胁,和寻 找更高级的安全科技方法来保障国家电网的安全性,已 越来越成为必须思考的重大问题 [1]。
1 电力物联网智能终端安全性概述
从技术角度分析,将电力物联网安全结构分为感知 级安全、网关层安全、平台层安全和应用级安全。观测层通常承载了大量终端设备,而这些装置又往往是嵌入 式系统。装置的计算能力、通讯能力和储存能力都受 限,复杂的结构安全关键技术往往无法进行有效运用, 所以了望台终端层是物联网结构安全的薄弱环节。在物 联网架构中,传感器层主要担负着信息采集和智慧终端 功能,可收集和监控信息在配电和用电上的深度覆盖状 况,并通过网络层直接连通到了平台底层和应用层。智 慧用电终端的安全情况,将对服务对象的用电水平和整 体电力网络产生重大影响。固件作为智能终端的核心, 存储着设备的操作系统、初始化文件、配置文件、协议 栈、可执二进制程序等 [2]。在设备研制流程中,且在连 接物联网前,必须针对设备固件进行安全解析,以降低在网络安全上的高风险。从而减少由于在使用终端设备 后遭到攻击所造成的损失,如图 1 所示。
2 物联网智能终端技术特点分析
智能终端的有效恶意软件保护系统包括特定恶意软 件的特殊杀戮工具、终端端的恶意软件保护工具和服务 器端的恶意软件保护工具 [3]。在恶意软件的采样和采集 方面,智能终端领域可以与安全方法相媲美。一般来说, 有 :传统的社会技术抽样方法、主动用户报告抽样方 法、运营网络端的统一采集方法、构建用于抽样和采集 的蜜罐系统的方法。一旦采样完成,必要的工作就是分 析和研究恶意软件,分析其作用机理,分析恶意软件的 危害、行为和主要特征,在此基础上分析和破解恶意软 件的特征和具体代码,最终形成恶意软件检测库。
其中恶意软件分析方法可分为静态分析和动态分析。 系统构建领域主要包括 3 个部分 :(1) 病毒数据库的创 建和维护,基于从采样分析领域获得的恶意软件的特性 分析,并对病毒数据库进行持续优化和扩展 [4]。(2) 专 用杀毒工具的开发和生产为某些恶意软件提供了专用杀 毒工具,这些恶意软件的有害行为相对特定,无法通过 常规的检测和杀毒方法消除。(3)开发恶意软件保护工 具(软件系统),包括终端端和服务器端的恶意软件预 防和监控系统。
3 物联网智能终端安全技术发展趋势
3.1 智能终端安全技术的发展和运营商的前景
运营商拥有关键的品牌优势、用户渠道和综合实 力,在产业链中处于领先地位,掌握了控制器。对于运 营商来说,他们需要一个运营业务系统来支持他们在智 能终端安全甚至整个产业链中的角色。因此,除了初始抽样分析、系统建设和运营支持领域形成的以系统为中 心的技术支持体系外,还需要采用用户驱动的业务系 统,主要包括服务交付和服务管理领域。作为移动运营 商,应在智能终端安全技术领域进行全面研究,掌握从 抽样分析到系统建设和运营支撑的相关核心技术,并对 服务提供的方式和管理进行深入探讨,汇聚各领域专业 技术力量,适时整合引导产业链,推出智能终端安全业 务,为用户提供广泛的恶意软件防范和管理服务,为公 司带来双重经济效益和社会效益 [5]。
3.2 物联网智能终端漏洞发掘试验应用
智慧终端漏洞发掘试验的应用验证基于漏洞属性 库,漏洞发掘试验在测试样本中展开。采用模糊测试理 论对试验样本进行扫描解析,并根据协议属性,将主流 协议的字句转化为对试验样本进行安全与耐久性检测, 进一步发现试验样本中的所有已知与未知漏洞,从而确 定问题的根本原因,提升了试验样本的安全性水平。对 多个样品的检测结果表明,通过漏洞挖掘测试可以很好 地评价智能设备的稳定性,并及时发现装置中存在的 重大安全隐患。模块中包含了 FTP、RTSP( 实时流协 议 )、ONVIF( 访问标准 )、UPnP( 通用即插即用协议 )、 RTP( 视频传输协议 )、RTCP( 视频传输协议 ) 等。物联 网主流品牌摄像设备 ( 包括大华、海康、玉石等 ) 曾随 机测试到多个 CVE 漏洞, 如 CVE-2019-7728 等 100 多 个设备固件,具体测试类型如表 1 所示。
4 智能终端安全风险
4.1 数据泄露问题
目前,智能设备的数据泄露问题严重。其中一种主 要因素是由于终端设备设计的错误和泄漏导致大量用户 数据流失或者使用了恶意软件,进而威胁用户信息安 全。比如, Jane、摄像机、监控系统等。可以知道对话、 图片和录像泄漏的设备所有者的地址。许多智能终端在 出厂后也会被清除,但可能会更改智能终端协议或在智 能终端上装载恶意代码。所以,一旦在出厂后的刷卡功 能不受限制,就会给智能终端造成很大的安全危险 [6]。
4.2 对智能终端操作系统的威胁
智能终端因为采用了开放式操作系统,所以智能终 端的处理能力越来越强大。因此攻击者发布了更多的程 序,利用智能终端入侵用户的设备终端漏洞。病毒利用 多个外部端口和无线网络迅速传染。这些病毒通过侵占 行动终端的存储器,造成移动端口瘫痪或关闭 ;通过修 改手机操作系统设置或清除用户数据,使手机无法正常 工作 ;窃取个人通讯簿和机密个人信息、窃听通话内容 和截取短消息对用户安全构成重大威胁。
4.3 终端应用和移动网络
终端应用和移动网络的发展带来了技术创新,显著 提高了每个人的工作质量,但是,随着智能移动设备的 发展数据泄漏的危险性也不断上升。骚扰消息、特洛伊 木马攻击、非法安装、恶意附件、非法广告和不良应用 软件等各类危害现象也日益增多,这就向智能设备客 户群提出了严峻挑战。移动设备上的病毒类型也正在快 速增长中,这往往会造成设备上的信息安全状况。用户 安全意识的缺失、智能终端用户安全意识的缺失以及许 多不良应用行为导致信息泄露 :在陌生的地方免费使用 Wi-Fi,免费扫描二维码,在配备时无视移动客户的授 权,直接点击每个人同意下载并运行许多未签名的应用 软件,这些使用涉及高安全风险 [7]。
5 提高物联网智能终端安全性的建议和措施
在完成并调试对运营商至关重要的前期开发和施工 工作后,运营团队应管理和维护整个业务,包括 :日常 业务运营和发票、收集用户反馈和统计分析、提供优 质及时的客户服务、日常维护业务系统等 [8]。在推广方 式上,智能终端安全服务可以考虑引入心脏机预安装 或 OTA 充电的方式,第一种是推广挖掘潜在用户,主 要针对部分用户,有需求但很少主动搜索产品,或有潜 在需求但不提供产品,以及一些门槛较低且缺乏下载和 安装软件能力的用户 ;对于后者,运营商可以通过在门 户网站或 WappushMMS 推送服务的演示和下载地址 上放置与服务推广相关的信息和相应的下载链接,允许 用户下载并积极使用该服务。从宏观经济角度来看,未 来移动运营商可能拥有最大的移动安全服务提供商,因 此整个三维恶意软件预防和监控系统的运营商是智能终 端安全领域运营商的良好切入点和角色 [9]。通过适时发布智能终端安全服务,中国移动将能够汇聚各应用领域 的专业科技力量,作为行业的技术集成商与引导者,带 动中国智能终端安全行业走向更健全、更规范的发展道 路,在保障使用者利益的同时,形成良性的品牌形象, 从而
达到良好的社会效益。
6 结论
本文将从物联网安全性测试和物联网漏洞挖掘与检 测两种视角入手,深入地研究物联网结构中最薄弱的一 个物联网安全风险。通过模拟黑客的思维,将建立一种 通用的研发与测试架构和方式,并应用于物联网电源的 各种智能终端。智能终端和对象之间的互联网固件的 安全性评价,是在不依靠特定装置或者平台的情形下完 成的,并进行了实测检验,结果表明,由本文设计的电 力物联网智能终端系统可以对所有电力物联网智能终端 实现良好的安全性检测,并及时发现了可能的安全性问 题,因此具备了相当的实用性。
参考文献
[1] 肖清旺,王锦华,朱易翔.物联网智能终端设备识别方法[J].电 信科学,2017.33(2):3-8.
[2] 丁小娜.基于移动智能终端安全威胁与防护技术的研究[J]. 数字技术与应用,2017(1):192-193.
[3] 何峣,黄海.基于non-IP+SCEF技术增强物联网终端安全性 的研究[J].电信科学,2017.33(2):36-41.
[4] 查煜坤,智慧,房小彤.基于区块链的物联网智能终端协作计 算方案[J].北京邮电大学学报,2021.44(2):89-94.
[5] 吴建华.智能硬件终端安全加固技术研究[J].电脑知识与技 术(学术版),2021.17(33):120-121.
[6] 方鹏,高志勇.配电智能融合终端安全防护技术研究[J].电工 技术,2021(9):137-139.
[7] 周椿入.智能家居物联网系统安全测评技术研究[D].北京:北 京邮电大学,2018.
[8] 苗晓孔,张星昱,洪施展,等.物联网语音安全认证中的智能仿 声技术研究[C]//物联网与无线通信-2018年全国物联网技术与 应用大会论文集,2018.
[9] 田野,夏梅宸,刘志才,等.一种适用于物联网智能终端的安全 方法:中国,CN201510069324.5[P].2017-08-11.
关注SCI论文创作发表,寻求SCI论文修改润色、SCI论文代发表等服务支撑,请锁定SCI论文网!
文章出自SCI论文网转载请注明出处:https://www.lunwensci.com/jisuanjilunwen/58823.html
