隨著IoT的發展，催生了大量新產品、新服務、新模式，并逐步改變了傳統產業模式，引發了產業、經濟和社會發展新浪潮。但與此同時，數以億計設備的接入帶來安全攻擊也在不斷增多。作為基于互聯網的新興信息技術模式，IoT領域除了面臨所有與互聯網同類型網絡攻擊威脅的同時，還因其多源異構性、開放性、泛在性等特性而面臨更多更復雜的攻擊威脅，IoT安全問題也已成為發展的關鍵之一。

為助力IoT安全生態體系構建，幾維安全以國家政策、標準為指引，對該領域技術原理和在不同行業特征下的風險隱患進行深入分析研究，從技術產品角度研發了覆蓋不同關鍵環節的安全加固技術產品和整體解決方案；從實施角度構建了事前檢測加固、事中監測響應、事后審計優化閉環安全防護體系；從服務角度部署了云端、web端、API接口、本地部署、離線工具和Xcode插件等多樣化交付/部署模式，和多渠道技術服務實現線上線下聯動全方位支撐。

幾維安全IoT安全整體解決方案

根據IoT技術實現原理分析，其安全風險包括設備安全、通信網絡安全、應用安全、數據安全等內容。以通信網絡為例，IoT移動應用程序在數據傳輸過程中需途經業務功能相關通信網絡、互聯網，其中不乏由于不健全的握手通信過程、SSL版本的不正常使用、脆弱協議、敏感信息明文傳輸等帶來的安全風險。而以互聯網為例，不管是數據鏈路層的協議還是應用層的協議，都有類似APP中間人攻擊、明文數據包、SSL驗證繞行、PUT利用等安全隱患，造成數據引流、資金欺詐、個人信息盜取、設備劫持等業務安全問題。

基于不同環節安全風險、形成原理及安全加固需求分析研究，幾維安全通過單產品部署、產品組合相結合的方式進行安全防護方案設計，如：

IOT虛擬化ID認證系統

將需要保護的功能邏輯轉換成混淆后的虛擬機指令大幅提升代碼被逆向分析的難度。虛擬機能夠在運行過程中采集芯片、模塊的底層特征芯片唯一ID、底層特征外部SPI Flash ID等模塊特征虛擬機利用硬件特征，在運行過程中驗證設備的合法性。

由于虛擬機的混淆特性，對硬件特征的采集、校驗和使用的過程難以被繞過或篡改。

設備端提供基于虛擬化保護技術的ID認證SDK，實現ID生成、數據加密存儲、云端ID認證等功能。

應用安全保護方案

幾維安全編譯器基于LLVM編譯器優化層實現，加密代碼與業務代碼緊密結合，有效阻擋逆向分析；由于是從優化層實現代碼虛擬化過程，不依賴于特定系統環境，無兼容性問題，兼容所有CPU架構，包括IOS,Android, (armv7,arm64), Windows, Liunx(x86,X64), Other(Mips)等。

安全芯片部署

在設備中植入硬件安全芯片，一芯一密，結合ECC算法，AES算法，動態熵隨機數算法等復合算法來加密數據，保證數據安全；關閉硬件芯片對外的調試串口，保證算法不被逆向分析；對OS和APP采用代碼虛擬化、塊調度保護技術，保證調用安全數據的軟件API接口安全。

IoT防護實踐探索

以某智能門鎖安全加固需求為例，根據對應用特征分析可見，智能門鎖主要應用于公寓、酒店、家庭等場景，是關系到財物安全關鍵環節之一。用戶在手機APP注冊，通過WiFi或藍牙方式與智能門鎖進行通訊，進行下發密鑰/臨時密碼、遠程開鎖等操作，門鎖可設定多套開鎖密鑰，不同用戶可獨立設置密碼。功能的實現需具備APP端防破解/防篡改、智能門鎖核心算法保護、本地用戶密鑰保護、通訊保護等安全保護。基于該場景特征和安全需求，幾維安全進行了安全加固方案設計和產品部署：

采用代碼虛擬化保護方案對APP端進行保護，防止應用被反編譯、動態調試、篡改等；采用輕量級虛擬化對門鎖內核心代碼進行保護，防止破解和動態調試；采用密鑰白盒對用戶數據、通訊數據進行加密，保障通訊安全。

再如在某物聯網云平臺進行安全加固的案例中，幾維安全針對其智能終端與云端通信安全、智能硬件核心算法保護、SDK安全保護等加固需求進行了部署：采用代碼虛擬化和輕量級虛擬化對相關硬件進行保護，防止攻擊者破解，獲取核心算法、接口數據等。

采用密鑰白盒對通訊數據進行加密，防止中間人劫持、重放攻擊、信息泄露、接口參數泄露等。采用代碼虛擬化對SDK進行加固，防止攻擊者由逆向SDK獲取代碼邏輯。

近年來，IoT領域在蓬勃發展的同時，也暴露出了許多安全問題，需著眼于未來發展和安全需求和可能面臨的網絡安全新形勢、新需求，從規范行業安全管理、制定行業安全檢測標準、構建新型有效的安全防護體系、研究新技術新應用等多個維度著手。幾維安全將持續進行IoT安全防護探索，助力IoT安全生態的健康發展。

fqj