物联网系统入侵容忍机制与架构构建解析

### 物联网系统入侵容忍机制与架构构建解析 #### 1. 物联网系统入侵容忍机制 在物联网系统中，为避免入侵者从机器内存获取外部数据，外部数据应具备特定属性，同时还有外部计算、外部通信和人为干预等入侵容忍机制。 ##### 1.1 外部数据属性 - **计算不可行性**：外部数据的生成方式独立于主机，使得入侵者难以通过主机计算获取。 - **新鲜性**：外部数据具有新鲜性，一旦使用就会失效，不能再次使用。 - **独立性**：不同实例的外部数据之间无明显关联，给定部分外部数据实例，无法计算出可作为有效外部数据的新数据。 ##### 1.2 外部计算 外部计算是主机无法提供的功能，入侵者无法利用该功能伪造控制命令。例如在移动通信系统中，SIM 卡对于移动设备（ME）就是外部设备，用户认证和语音/数据加密都由 SIM 卡内的计算完成，这是对 ME 的外部计算，且常与某种外部数据（如加密密钥）结合。 ##### 1.3 外部通信 外部通信是独立于主机的数据通信通道，入侵者无法使用该通道。其机制是端点物理设备利用外部通信的数据来验证主机控制命令的有效性。外部通信的数据必须由外部生成，其内容可能基于也可能不基于主机控制命令的信息。 在实际应用中，有些系统使用多个通信通道，只有收到同一数据的多个副本时，数据才被视为有效，这可看作外部通信的一种变体。例如高铁系统使用多个通信通道，既保证了数据传输的可靠性，也起到了防范入侵攻击的安全作用。而且，外部通信不一定要使用不同的物理通信线路，只要主机无法控制外部通信，就能实现入侵容忍。 ##### 1.4 人为干预 有时数据传输在到达目的地或被接受之前需要人为干预，常见的有以下两种情况： - **发送端**：当向端点设备发送控制命令时，需要人工确认，以防止主控制平台发送命令时出现故障。 - **接收端**：端点设备收到控制命令后，在执行前需要人工确认，以双重检查控制命令的有效性。 实现人为交互的方式有多种，如物理开关或软开关。软件实现的确认存在被入侵者操纵的风险，但具有利用人工智能等前沿技术的优势，可实现 AI 干预而非人为干预。不过，人为干预通常耗时较长，不适用于对时间敏感的系统，这类系统可使用 AI 干预。虽然人为干预能在攻击者控制主控制平台时禁用非法控制，但由于人类存在疏忽、粗心、知识和经验有限等弱点，可能会让非法控制命令通过确认。因此，结合外部通信和 AI 干预等机制可能是更好的入侵容忍方式。 #### 2. 物联网入侵容忍方案的架构构建 由于物联网系统的入侵难以避免，如何降低入侵后的潜在风险是重要问题，特别是对于工业物联网（IIoT）系统。具备入侵容忍能力的物联网系统，即使受到攻击也能正常工作。 ##### 2.1 传统入侵容忍技术 传统信息系统的入侵容忍问题已得到广泛研究，传统的入侵容忍技术包括： - **普通数据复制**：通过复制技术确保系统持续提供正确服务，所有数据有多个副本，分别存储在不同位置。只要入侵者只能破坏少量副本，系统仍可正常工作。但该方法会降低数据的保密性，因为任何一份数据的泄露都意味着数据保密性的破坏。 - **数据拆分共享**：为克服普通数据复制的缺点，采用秘密共享和阈值密码学机制，将受保护的数据拆分为不同部分（份额），分别存储在不同位置。当部分份额组合在一起时，可恢复原始数据。只要入侵者获取的份额数量少于阈值，就能确保数据保密性。 上述传统技术主要针对保护系统免受数据丢失和被盗的威胁，而针对运营技术（OT）安全攻击的入侵容忍设计则是为了避免对端点设备的非法控制。 ##### 2.2 基于架构设计的实用 OT 安全入侵容忍技术 这里提出一种针对 OT 安全保护的入侵容忍架构，假设入侵者不会损坏被入侵的主控制计算机，而是试图非法控制与之连接的其他端点设备。该架构基于现有工业控制系统，只需进行最小程度的修改。 假设有 n 台主控制计算机共同控制一个或多个端点设备。当向端点设备发送特定控制命令时，所有主控制平台会在短时间内发送相同命令。当端点设备从 k 台或更多主控制计算机收到相同控制命令时，才会执行该命令；否则，端点设备会等待更多相同命令副本，直到超时。 然而，实际中的端点设备通常是工业控制器，如可编程逻辑控制器（PLC）或更复杂的机器，很多端点设备无法添加计算功能，即使是简单的匹配操作也难以实现。幸运的是，可在端点设备前添加一个组合器来实现该入侵容忍架构。例如，当 n = 3，k = 2 时，该架构由 3 个主控制平台组成，所有主控制平台连接到同一个组合器，组合器再连接到端点设备。当发送控制命令时，3 个主控制平台都会发送相同命令到组合器，组合器检查是否收到两个相同的控制命令副本，若是则将命令传递给端点设备。若其中一个主控制平台未能发送正确命令或未发送任何命令，另外两个平台发送的命令副本仍能使命令通过组合器到达端点设备执行。当端点设备发送反馈消息时，组合器将其转发给所有 3 个主控制平台。 ##### 2.3 入侵容忍架构的安全保护模式 考虑到入侵者的攻击能力不同，有不同的安全保护模式： | 模式 | 描述 | | ---- | ---- | | 模式 1（普通组合器） | 端点设备向主控制计算机传输反馈消息或应用数据时，组合器将消息转发给所有 n 个上层主控制计算机。当需要向端点设备发送控制命令 cmd 时，所有 n 个主控制计算机应通过组合器发送相同命令。若组合器在允许时间内收到的 cmd 副本少于 k 个，则丢弃该命令。若组合器收到 k 个或更多副本的另一个命令 cmd′ 以及 k 个或更多副本的 cmd，先到达 k 个副本的命令将被发送到端点设备执行。为避免执行错误命令，k 应大于 n/2。 | | 模式 2（增强安全组合器） | 主控制计算机向端点设备发送控制命令 cmd 时，增加安全机制，如发送计算机的身份验证、命令的保密性和完整性保护等。组合器会检查消息源的真实性、命令消息的完整性、解密消息并存储。当以这种方式收到 k 个相同消息时，将消息发送到端点设备执行。与模式 1 相比，模式 2 仅为命令消息和消息源认证添加了安全服务。 | | 模式 3（随机组合器） | 在发送控制命令之前，主控制计算机通过外部通道商定