物联网应用层平台服务器的安全威胁有哪些
物联网应用层平台服务器的安全威胁有以下这些:
拒绝服务攻击:平台/服务被大量服务请求淹没,使其无法响应合法用户请求的攻击。
任意代码执行:试图在平台/服务上运行恶意代码以破坏其资源,然后发起附加攻击。
恶意代码执行:能够导致不良影响、安全或用户身份信息泄露,或生成使系统损坏的软件系统或脚本,典型的有病毒、蠕虫和特洛伊木马。
权限提升:使用特权进程账户执行代码以提升攻击者权限。
结构化查询语言(SQL)注入:利用应用程序的输入验证和数据访问代码中的漏洞来运行任意指令,以实现注入或信息提取。
网络窃听:通过捕获网络中传输的数据包,并读取报文内容,获取密码、会话令牌,或任何其他机密信息等敏感信息。
非授权访问:使用他人账户或其他接入方法访问平台/服务。例如,对其他用户账户持续进行用户名和密码的探测并成功接入,被视为非授权访问。
蛮力攻击:系统地查找所有可能的密钥,直到找到正确的为止。
用户名/密码的字典攻击:在破解加密或鉴权机制时,将字典中的单词作为可能密码进行逐一尝试。
使用默认用户名和密码/弱密码:利用默认用户名和密码/弱密码来访问平台/服务。
推理攻击:主体拥有的不同属性之间可能存在某种联系,某些属性的披露会导致其他敏感信息的泄露。
用户身份信息违规:故意或无意将用户身份信息释放到不受信任的环境。
物联网加强安全的措施有以下这些:
代码加固:由于远程接入、操作等智能终端的代码小巧,容易被传播复用,因此首先需谨慎处理代码,可以建立代码的安全审查制度。其次,智能终端芯片或嵌入式模块往往缺乏安全保护容易被逆向分析,因此需加强代码加固手段,防止代码被破解、分析、植入等。
通信加密:射频、蓝牙等数据通信协议通常有各种版本的实现,开发人员为了最求快速部署,常常忽略通信加密,而导致数据分组被分析破解,因此,可以采用AES、SSL/TLS等标准化的加密算法或协议,或自行研制加密方案。
安全网关:智能家居等通常直接采用无线路由的接入方式,即支持多种物联网智能终端的快速接入,这样的接入设备最容易遭受黑客的劫持,因此需要研制部署物联网安全网关。
身份认证:随着物联网应用的普及,可能每个人都可能成为智能手环、可穿戴设备、智能钥匙等终端节点的持有者,建立既安全又便捷的统一身份认证体系变得越来越重要。生物识别、行为大数据分析、云端认证服务等有望解决物联网的安全认证问题。
漏洞共享:近年来爆发的视频摄像头远程控制和DDoS等物联网安全事件,很大程度上在于业界缺乏足够的安全意识和漏洞共享平台,因此建立完善的漏洞播报和安全快速响应机制,对物联网安全至关重要。
态势感知:可以预测到未来数以亿计的物联网设备将部署在我们的周围,因此跟踪监控这些设备,及时掌握设备运行的安全状态,将变得更加重要。目前已出现Shadon、ZoomEye等全球物联网设备搜索引擎,也将成为网络空间安全的一种常态化服务平台。