第4卷第3期 信息安全学报 Vol.4 No.3 2019年5月 Journal of Cyber Security May,2019 物联网安全测评技术综述 陈钊,曾凡平,陈国柱,张燕咏,李向阳 中国科学技术大学计算机科学与技术学院合肥中国230027 摘要近年来,物联网大规模应用于智能制造、智能家居、智慧医疗等产业,物联网的安全问题日益突出,给物联网的发展带来 了前所未有的挑战。安全测评技术是保障物联网安全的重要手段,在物联网应用的整个开发生命周期都需要进行安全测评工作, 以保证物联网服务的安全性和健壮性。物联网节点面临计算能力、体积和功耗受限等挑战,智慧城市等应用场景提出了大规模 泛在异构连接和复杂跨域的需求。本文首先总结了目前物联网中常用的安全测评方法和风险管理技术,然后从绿色、智能和开 放三个方面分析物联网安全技术的发展现状和存在的安全问题,并总结了物联网安全测评面临的挑战以及未来的研究方向。 关键词物联网,安全测评;绿色,智能;开放 中图法分类号TP309.2D0I号10.19363J.cnki.cnl0-1380/tm2019.05.01 A Survey for IoT Security Assessment Technologies CHEN Zhao,ZENG Fanping,CHEN Guozhu,ZHANG Yanyong,LI Xiangyang School of Computer Science and Technology,University of Science and Technology of China,Hefei 230027,China Abstract In recent years,the Internet of Things(IoT)has been widely deployed in intelligent manufacturing,smart homes,and smart medical services,etc.The security concerns of the IoT systems are becoming increasingly prominent, posing an unprecedented challenge to the underlying IoT system design.Security assessment,an important means for en- suring IoT security,needs to be performed throughout the development lifecycle of IoT applications.IoT nodes face chal- lenges such as computing power,size and power consumption.The application scenarios such as smart cities propose large-scale ubiquitous heterogeneous connections and complex cross-domain requirements.We first survey the current security assessment methods and threat management technologies that are widely used in IoT.We then analyze the security technologies of IoT from the aspects of green,intelligence and openness,and summarize the development status and ex- isting security problems from these three dimensions.Finally,we summarize the challenges of IoT security assessment and the future research directions are pointed out. Key words IoT;security assessment;green;intelligence;openness 1引言 合增长率超过25%,其中物联网云平台成为竞争 核心领域,预计2021年我国物联网平台支出将 信息产业在经过互联网时代、移动互联网时代 位居全球第一。物联网在快速发展的同时,也面临 的全面发展后,己经步入大数据时代和物联网时代。 着来自安全、绿色、智能以及开放服务等方面的巨 物联网经过近几年的快速发展,迅速在智能制造、智 大挑战。 能电网和智慧城市等大型应用场景中发挥了巨大的 物联网被攻击造成的安全问题往往涉及面广且 作用,为政府机构、企业和个人用户提供着越来越丰 造成的经济损失严重。2016年黑客控制来自全球的 富的服务,正在朝着万物互联互通目标前进。根据国 天量感染Mirai病毒的物联网设备对美国东海岸 际数据公司2013年报告,预计到2020年互联设备 DNS服务商Dyn发起了DDoS攻击,该攻击严重 数量将快速增长到410亿,市场规模将达到8.9 影响DNS服务的客户业务,甚至导致客户网站无 万亿美元四。据《2017-2018年中国物联网年度发 法访问,受到影响的著名公司有Twitter、Github、 展报告》,2017年以来,我国物联网市场进入了实 BBC等)。2018年1月,有报道显示黑客通过损坏 质性发展阶段,全年市场规模突破1万亿元,年复 指纹传感器,使用橘子皮解锁手机并成功转账付款 通讯作者:李向阳,博士,教授,Email::xiangyangli@ustc.cdu.cn。 本课题得到科技部网络空间安全项目物联网与智慧城市安全保障关键技术研究No.2018YFB080340资助。 收稿日期:2019-01-31:修改日期:2019-05-13:定稿日期:2019-05-14
第 4 卷 第 3 期 信 息 安 全 学 报 Vol. 4 No. 3 2019 年 5 月 Journal of Cyber Security May, 2019 通讯作者: 李向阳, 博士, 教授, Email: xiangyangli@ustc.edu.cn。 本课题得到科技部网络空间安全项目 物联网与智慧城市安全保障关键技术研究 No.2018YFB080340 资助。 收稿日期: 2019-01-31; 修改日期: 2019-05-13; 定稿日期: 2019-05-14 物联网安全测评技术综述 陈 钊, 曾凡平, 陈国柱, 张燕咏, 李向阳 中国科学技术大学 计算机科学与技术学院 合肥 中国 230027 摘要 近年来, 物联网大规模应用于智能制造、智能家居、智慧医疗等产业, 物联网的安全问题日益突出, 给物联网的发展带来 了前所未有的挑战。安全测评技术是保障物联网安全的重要手段, 在物联网应用的整个开发生命周期都需要进行安全测评工作, 以保证物联网服务的安全性和健壮性。物联网节点面临计算能力、体积和功耗受限等挑战, 智慧城市等应用场景提出了大规模 泛在异构连接和复杂跨域的需求。本文首先总结了目前物联网中常用的安全测评方法和风险管理技术; 然后从绿色、智能和开 放三个方面分析物联网安全技术的发展现状和存在的安全问题, 并总结了物联网安全测评面临的挑战以及未来的研究方向。 关键词 物联网; 安全测评; 绿色; 智能; 开放 中图法分类号 TP309.2 DOI 号 10.19363/J.cnki.cn10-1380/tn.2019.05.01 A Survey for IoT Security Assessment Technologies CHEN Zhao, ZENG Fanping, CHEN Guozhu, ZHANG Yanyong, LI Xiangyang School of Computer Science and Technology, University of Science and Technology of China, Hefei 230027, China Abstract In recent years, the Internet of Things(IoT) has been widely deployed in intelligent manufacturing, smart homes, and smart medical services, etc. The security concerns of the IoT systems are becoming increasingly prominent, posing an unprecedented challenge to the underlying IoT system design. Security assessment, an important means for ensuring IoT security, needs to be performed throughout the development lifecycle of IoT applications. IoT nodes face challenges such as computing power, size and power consumption. The application scenarios such as smart cities propose large-scale ubiquitous heterogeneous connections and complex cross-domain requirements. We first survey the current security assessment methods and threat management technologies that are widely used in IoT. We then analyze the security technologies of IoT from the aspects of green, intelligence and openness, and summarize the development status and existing security problems from these three dimensions. Finally, we summarize the challenges of IoT security assessment and the future research directions are pointed out. Key words IoT; security assessment; green; intelligence; openness 1 引言 信息产业在经过互联网时代、移动互联网时代 的全面发展后, 已经步入大数据时代和物联网时代。 物联网经过近几年的快速发展, 迅速在智能制造、智 能电网和智慧城市等大型应用场景中发挥了巨大的 作用, 为政府机构、企业和个人用户提供着越来越丰 富的服务, 正在朝着万物互联互通目标前进。根据国 际数据公司 2013 年报告, 预计到 2020 年互联设备 数量将快速增长到 410 亿, 市场规模将达到 8.9 万亿美元 [1]。据《2017-2018 年中国物联网年度发 展报告》[2], 2017 年以来, 我国物联网市场进入了实 质性发展阶段, 全年市场规模突破1万亿元, 年复 合增长率超过 25%, 其中物联网云平台成为竞争 核心领域, 预计 2021 年我国物联网平台支出将 位居全球第一。物联网在快速发展的同时, 也面临 着来自安全、绿色、智能以及开放服务等方面的巨 大挑战。 物联网被攻击造成的安全问题往往涉及面广且 造成的经济损失严重。2016 年黑客控制来自全球的 天量感染 Mirai 病毒的物联网设备对美国东海岸 DNS 服务商 Dyn 发起了 DDoS 攻击, 该攻击严重 影响 DNS 服务的客户业务, 甚至导致客户网站无 法访问, 受到影响的著名公司有 Twitter、Github、 BBC 等[3]。2018 年 1 月, 有报道显示黑客通过损坏 指纹传感器, 使用橘子皮解锁手机并成功转账付款
陈钊等:物联网安全测评技术综述 造成财产损失和隐私泄露等问题刊。物联网中的设 实现万物互联,那就意味着开放和共享。目前国内外 备、网络以及控制系统需要互相配合才能为用户提 己经有多家公司推出了物联网开放平台,提供简单 供完整的服务,一旦其中某个环节发生安全问题, 易用的应用开发服务。本文第三章第二节简单介绍 服务都会受到影响。 了国内外己有开放平台的业务内容以及总结这些开 为了提供一个安全稳定的物联网应用服务,必 放平台存在的安全问题。 须保证物联网的感知层、网络层、数据和服务层都 本文主要贡献包括3个方面: 达到必要的安全指标,为此需要对物联网进行安全 1)分析了现有物联网各层安全测评技术的发展 测试和评估。目前,物联网应用规模快速发展,对物 现状,并总结了物联网环境中复杂的安全威胁管理 联网安全测评技术提出了新的要求。本文第二章分 和风险评估技术。 析了国内外物联网安全测评技术的研究现状,并提 2)调研了物联网发展过程中出现的新技术:绿 出其中的问题和未来的研究方向。 色节点、智能网络、开放平台,以及其中存在的安全 物联网应用除了面临严峻的安全挑战,还面临 问题,并指出对新技术的测评是迫切需要的。 着海量设备和大规模网络而带来的能耗问题和智能 3)总结了物联网安全测评研究面临的挑战,并 网络管理问题。为了实现高效节能的物联网设备管 探讨了未来该领域的研究方向。 理、数据传输以及安全防护,许多学者提出了轻量级 秘钥分配算法、轻量级密码以及轻量级认证算法等 2物联网安全测评技术 技术。以往的物联网系统往往是独立的系统,不对外 随着越来越多的物联网设备接入互联网,物联 部开放,带来了信息不能共享等问题。为了提升信息 网在给人类生活带来便利以及经济效益的同时,也 的价值,物联网的开放共享是技术发展的必然趋势。 给用户带来了巨大的安全隐患,物联网相关的安全 这些物联网安全保障技术在为物联网系统提供安全 问题越来越受到安全专家和政府部门的重视,企业 服务之前,我们也需要对其进行深入的安全分析和 界和国家相关部门都对信息系统及物联网系统提出 测评,只有通过了安全测评,才能大规模地应用到 了必要的安全测评要求。信息系统安全等级测评主 实际的物联网系统中。 要包括单元测评和整体测评两部分,而物联网安全 随着越来越多的物联网应用的商业化,接入网 测评指对物联网信息系统进行测评。测评方法指测 络的设备数量骤增,物联网能耗问题日益突出,绿 评人员在测评实施过程中所使用的方法,主要包括 色物联网是物联网应用能够保持活力的强有力支 访谈、检查和测试三种测评方法)。与传统互联网安 撑。物联网庞大的网络对电能的消耗以及节点自身 全测评相比.物联网系统在感知设备、感知网络、数 对能源的依赖都迫切需要高能效、低功耗的绿色技 据服务等安全测评方面面临更严峻的挑战,物联网安 术的应用。为了保障物联网服务的安全性.许多学者 全测评需要更关注于这些方面的研究。本节主要分 提出了轻量级的加密算法、访问控制技术和轻量级 DS等,但这些技术在实现过程中或多或少存在一 析了物联网安全测评相关的自动分析方法。我们根 定的安全漏洞。本文第三章第一节分析了主流的轻 据测评方法的不同侧重点将目前己有的方法分为设 备安全测评、网络安全测评、数据和服务安全测评。 量级密码技术及其安全问题,指出对保证物联网安 全的轻量级技术的测评工作是亟需进行的。 常见的物联网安全测评方法还包括持续的威胁管理 物联网中海量大规模异质设备和异质网络的连 与风险分析技术,能够帮助网络管理员评估漏洞给 接管理是个急需解决的问题。近年来物联网的快速 系统带来的危害。本章最后还综述了物联网安全测 发展促进了智能网关的发展。许多厂商提出了边缘 评相关的国内外法规和标准。 侧计算平台,将智能云服务无缝扩展至设备,给物 2.1设备安全测评 联网设备发现与监控、网络管理以及智能服务的提 物联网感知层设备具有多源异构的特点,而且 供带来了极大的便利,但智能网络的发展也存在一 大部分设备的计算能力、存储能力、通信能力、能 定的安全隐患。本文第三章第二节分析了目前智能 量储备都存在一定的限制。感知层的安全测评需要 网络的发展现状及其在安全防护和隐私保护方面面 考虑设备的物理安全测评、访问控制测评、操作系 临的问题。 统及硬件安全测评等方面。本节主要讨论RFD 物联网应用和感知设备往往紧紧耦合在一起, (Radio Frequency Identification)设备、非RFID设备和 信息存储格式各异,无法在应用间共享。物联网需要 嵌入式操作系统安全测评技术
陈钊 等: 物联网安全测评技术综述 3 造成财产损失和隐私泄露等问题[4]。物联网中的设 备、网络以及控制系统需要互相配合才能为用户提 供完整的服务, 一旦其中某个环节发生安全问题, 服务都会受到影响。 为了提供一个安全稳定的物联网应用服务, 必 须保证物联网的感知层、网络层、数据和服务层都 达到必要的安全指标, 为此需要对物联网进行安全 测试和评估。目前, 物联网应用规模快速发展, 对物 联网安全测评技术提出了新的要求。本文第二章分 析了国内外物联网安全测评技术的研究现状, 并提 出其中的问题和未来的研究方向。 物联网应用除了面临严峻的安全挑战, 还面临 着海量设备和大规模网络而带来的能耗问题和智能 网络管理问题。为了实现高效节能的物联网设备管 理、数据传输以及安全防护, 许多学者提出了轻量级 秘钥分配算法、轻量级密码以及轻量级认证算法等 技术。以往的物联网系统往往是独立的系统, 不对外 部开放, 带来了信息不能共享等问题。为了提升信息 的价值, 物联网的开放共享是技术发展的必然趋势。 这些物联网安全保障技术在为物联网系统提供安全 服务之前, 我们也需要对其进行深入的安全分析和 测评, 只有通过了安全测评, 才能大规模地应用到 实际的物联网系统中。 随着越来越多的物联网应用的商业化, 接入网 络的设备数量骤增, 物联网能耗问题日益突出, 绿 色物联网是物联网应用能够保持活力的强有力支 撑。物联网庞大的网络对电能的消耗以及节点自身 对能源的依赖都迫切需要高能效、低功耗的绿色技 术的应用。为了保障物联网服务的安全性, 许多学者 提出了轻量级的加密算法、访问控制技术和轻量级 IDS 等, 但这些技术在实现过程中或多或少存在一 定的安全漏洞。本文第三章第一节分析了主流的轻 量级密码技术及其安全问题, 指出对保证物联网安 全的轻量级技术的测评工作是亟需进行的。 物联网中海量大规模异质设备和异质网络的连 接管理是个急需解决的问题。近年来物联网的快速 发展促进了智能网关的发展。许多厂商提出了边缘 侧计算平台, 将智能云服务无缝扩展至设备, 给物 联网设备发现与监控、网络管理以及智能服务的提 供带来了极大的便利, 但智能网络的发展也存在一 定的安全隐患。本文第三章第二节分析了目前智能 网络的发展现状及其在安全防护和隐私保护方面面 临的问题。 物联网应用和感知设备往往紧紧耦合在一起, 信息存储格式各异, 无法在应用间共享。物联网需要 实现万物互联, 那就意味着开放和共享。目前国内外 已经有多家公司推出了物联网开放平台, 提供简单 易用的应用开发服务。本文第三章第二节简单介绍 了国内外已有开放平台的业务内容以及总结这些开 放平台存在的安全问题。 本文主要贡献包括 3 个方面: 1) 分析了现有物联网各层安全测评技术的发展 现状, 并总结了物联网环境中复杂的安全威胁管理 和风险评估技术。 2) 调研了物联网发展过程中出现的新技术: 绿 色节点、智能网络、开放平台, 以及其中存在的安全 问题, 并指出对新技术的测评是迫切需要的。 3) 总结了物联网安全测评研究面临的挑战, 并 探讨了未来该领域的研究方向。 2 物联网安全测评技术 随着越来越多的物联网设备接入互联网, 物联 网在给人类生活带来便利以及经济效益的同时, 也 给用户带来了巨大的安全隐患, 物联网相关的安全 问题越来越受到安全专家和政府部门的重视, 企业 界和国家相关部门都对信息系统及物联网系统提出 了必要的安全测评要求。信息系统安全等级测评主 要包括单元测评和整体测评两部分, 而物联网安全 测评指对物联网信息系统进行测评。测评方法指测 评人员在测评实施过程中所使用的方法, 主要包括 访谈、检查和测试三种测评方法[5]。与传统互联网安 全测评相比, 物联网系统在感知设备、感知网络、数 据服务等安全测评方面面临更严峻的挑战,物联网安 全测评需要更关注于这些方面的研究。本节主要分 析了物联网安全测评相关的自动分析方法。我们根 据测评方法的不同侧重点将目前已有的方法分为设 备安全测评、网络安全测评、数据和服务安全测评。 常见的物联网安全测评方法还包括持续的威胁管理 与风险分析技术, 能够帮助网络管理员评估漏洞给 系统带来的危害。本章最后还综述了物联网安全测 评相关的国内外法规和标准。 2.1 设备安全测评 物联网感知层设备具有多源异构的特点, 而且 大部分设备的计算能力、存储能力、通信能力、能 量储备都存在一定的限制。感知层的安全测评需要 考虑设备的物理安全测评、访问控制测评、操作系 统及硬件安全测评等方面。本节主要讨论 RFID (Radio Frequency Identification)设备、非 RFID 设备和 嵌入式操作系统安全测评技术
4 Journal of Cyber Security信息安全学报,2019年5月,第4卷,第3期 RFD系统一般由标签、读写器、应用软件组成, 被测设备上被利用,来完成对物联网设备的安全检 且存在着较多针对这三个组件的攻击方法。对RFID 测。国内的神州绿盟信息安全科技股份有限公司开 系统的安全测评主要包括两类,第一类是使用仿真 发的绿盟工控漏洞扫描系统实现了针对SCADA 实验模拟应用的运行过程,并引入错误来评估系统 (Supervisory Control and Data Acquisition、现场总 受到的影响。Abdelmalek等人[设计了一个支持错误 线、数字化设计制造软件的漏洞扫描,具备发现漏 注入和实时监测的仿真平台。可以通过模拟和观察 洞、评估漏洞、展示漏洞、跟踪漏洞等完备的漏洞 系统状态来帮助工程师了解芯片错误和协议修改对 管理能6。北京匡恩网络科技有限责任公司开发 各部件的影响,也可以通过分析错误传播过程及行 的漏洞挖掘检测平台,能够检测出工业控制设备、保 为来评价RFID架构的安全性。Mezzah等人I门针对文 护设备或工业控制系统中存在的己知漏洞和缺陷, 献[6]中没有进行完整错误注入影响分析等问题,开 还能利用优化后的高效模糊测试引擎来挖掘潜在的 发了一个基于FPGA(field-programmable gate array) 未知漏洞1刃。 的可配置的错误模拟系统,可以分析单粒子翻转 在嵌入式操作系统安全测评方面,主流工作是 (Single event upset--SEU)和单粒子瞬变(single event 基于传统PC操作系统的安全测试。对物联网中功能 transient-SET)两种类型的错误。 受限的操作系统的测评,主流工作是建立操作系统 另外一类方法是对RFD系统的安全审计。早在 的状态机模型,分析系统的不安全状态形成过程。N 2009年,芬兰的奥卢大学就开源了一款RFID安全审 等人8提出一个嵌入式系统的安全评估模型,定义 计工具RIDAC8,包括对RFID标签的外观检查、耦 了对象模型、消息模型、角色模型及其之间的约束 合与频率、能力供应与调制等步骤。Tiago等人例 关系,然后根据对象间交互参数计算出对象的风险 借鉴文献8]的思想提出了一个类似的更全面的方法, 级别。Tabrizi等人I通过建立智能电表的抽象模型, 其步骤包括外观检查、FCC(Federal Communications 并利用模型检测方法来自动生成让系统进入非安全 Commission)ID检查、频段检测、高低频段标签参数 状态的动作序列,该动作序列即潜在的恶意序列。该 分析、超高频标签参数分析、标准分析等。在企业 方法能够检测操作系统设计时的安全问题,能给系 方面,BM公司在美国和欧洲等地方都设置了RFID 统设计提供重要参考。同济大学设计了一个嵌入式 的测试实验室,可以测试RFD芯片、阅读器和应用 系统仿真测试平台20,可以将系统代码从目标机器 软件来检测它们之间的通信情况。由中国台湾经济 中剥离,然后在宿主机上进行全数字仿真测试,能 部技术处和商业司建设的“亚太RFD应用验测中 够极大地降低嵌入式系统的安全测试成本。但是该 心”于2005年宣布启用,该中心按照业务流程主要 平台只适用于基于32位ARM CPU内核的嵌入式 分为:RFID静态性能测试、RFID动态性能测试及 系统。 RFD产业应用实验场三大部分。 在针对物联网设备的嵌入式固件的安全分析方 在设备安全测评方面,主要的方法包括漏洞扫 面,主要有静态分析和动态分析两种方法。法国的通 描、弱密码检测等。Loi等人设计了一个系统化的 信系统工程师学校(EURECOM)首次提出了大规模 方法来识别物联网设备中存在的安全问题。该方法 嵌入式固件镜像静态分析框架,包括镜像收集、过 从隐私数据的机密性、传输数据的完整性、设备的 滤、解包和分析等步骤。分析了3.2万个固件镜像,发 访问控制、设备上发起的反射攻击凹四个维度来评 现38个未发现的漏洞2。Chen等人22通过基于软 估设备可能受到的威胁。并根据测评结果设计了物 件的全系统仿真自动化地动态分析固件漏洞,发现 联网设备的安全评分机制,简单易用。Shodan是全 了14个未发现的漏洞,但是该方法基于预编译的插 球第一个物联网设备专用的搜索引擎2),可以利用 桩的Liux系统,具有一定的局限性,而且只支持 Shodan检索连接到互联网的所有网络设备。Ali等 ARM和MPS的硬件体系架构。 人I31利用Shodan扫描了约旦市的物联网设备,发现 2.2 网络安全测评 很多潜在的漏洞,目的是警示约旦的物联网设备开 物联网的网络层主要涉及核心网、无线网络以 发商和开发者应该更多地关注物联网设备的脆弱 及移动通信网络系统。传统的网络安全测试主要包 性。McMahon等人14利用Shodan分析了自建的关 括功能测试、性能测试、安全性测试以及可用性测 于医疗器械的测试床,发现10%左右的设备都存在 试。而物联网网络层测评更多地关注对网络事件以 漏洞。Anisetti等人Is根据Shodan的扫描信息构建 及协议包的仿真测试,本节主要介绍物联网感知网 设备测试知识集,并检验已知可利用漏洞是否能在 络仿真工具和测试工具
4 Journal of Cyber Security 信息安全学报, 2019 年 5 月, 第 4 卷, 第 3 期 RFID 系统一般由标签、读写器、应用软件组成, 且存在着较多针对这三个组件的攻击方法。对 RFID 系统的安全测评主要包括两类, 第一类是使用仿真 实验模拟应用的运行过程, 并引入错误来评估系统 受到的影响。Abdelmalek 等人[6]设计了一个支持错误 注入和实时监测的仿真平台。可以通过模拟和观察 系统状态来帮助工程师了解芯片错误和协议修改对 各部件的影响, 也可以通过分析错误传播过程及行 为来评价 RFID 架构的安全性。Mezzah 等人[7]针对文 献[6]中没有进行完整错误注入影响分析等问题, 开 发了一个基于 FPGA (field-programmable gate array) 的可配置的错误模拟系统, 可以分析单粒子翻转 (Single event upset-SEU) 和单粒子瞬变(single event transient -SET)两种类型的错误。 另外一类方法是对 RFID 系统的安全审计。早在 2009年, 芬兰的奥卢大学就开源了一款RFID安全审 计工具 RIDAC[8], 包括对 RFID 标签的外观检查、耦 合与频率、能力供应与调制等步骤。Tiago 等人[9] 借鉴文献[8]的思想提出了一个类似的更全面的方法, 其步骤包括外观检查、FCC (Federal Communications Commission) ID 检查、频段检测、高低频段标签参数 分析、超高频标签参数分析、标准分析等。在企业 方面, IBM 公司在美国和欧洲等地方都设置了 RFID 的测试实验室, 可以测试 RFID 芯片、阅读器和应用 软件来检测它们之间的通信情况。由中国台湾经济 部技术处和商业司建设的“亚太 RFID 应用验测中 心”于 2005 年宣布启用, 该中心按照业务流程主要 分为: RFID 静态性能测试、RFID 动态性能测试及 RFID 产业应用实验场三大部分。 在设备安全测评方面, 主要的方法包括漏洞扫 描、弱密码检测等。Loi 等人[10]设计了一个系统化的 方法来识别物联网设备中存在的安全问题。该方法 从隐私数据的机密性、传输数据的完整性、设备的 访问控制、设备上发起的反射攻击[11]四个维度来评 估设备可能受到的威胁。并根据测评结果设计了物 联网设备的安全评分机制, 简单易用。Shodan 是全 球第一个物联网设备专用的搜索引擎[12], 可以利用 Shodan 检索连接到互联网的所有网络设备。Ali 等 人[13]利用 Shodan 扫描了约旦市的物联网设备, 发现 很多潜在的漏洞, 目的是警示约旦的物联网设备开 发商和开发者应该更多地关注物联网设备的脆弱 性。McMahon 等人[14]利用 Shodan 分析了自建的关 于医疗器械的测试床, 发现 10%左右的设备都存在 漏洞。Anisetti 等人[15]根据 Shodan 的扫描信息构建 设备测试知识集, 并检验已知可利用漏洞是否能在 被测设备上被利用, 来完成对物联网设备的安全检 测。国内的神州绿盟信息安全科技股份有限公司开 发的绿盟工控漏洞扫描系统实现了针对 SCADA (Supervisory Control and Data Acquisition)、现场总 线、数字化设计制造软件的漏洞扫描, 具备发现漏 洞、评估漏洞、展示漏洞、跟踪漏洞等完备的漏洞 管理能力[16]。北京匡恩网络科技有限责任公司开发 的漏洞挖掘检测平台, 能够检测出工业控制设备、保 护设备或工业控制系统中存在的已知漏洞和缺陷, 还能利用优化后的高效模糊测试引擎来挖掘潜在的 未知漏洞[17]。 在嵌入式操作系统安全测评方面, 主流工作是 基于传统 PC 操作系统的安全测试。对物联网中功能 受限的操作系统的测评, 主流工作是建立操作系统 的状态机模型, 分析系统的不安全状态形成过程。Ni 等人[18]提出一个嵌入式系统的安全评估模型, 定义 了对象模型、消息模型、角色模型及其之间的约束 关系, 然后根据对象间交互参数计算出对象的风险 级别。Tabrizi 等人[19]通过建立智能电表的抽象模型, 并利用模型检测方法来自动生成让系统进入非安全 状态的动作序列, 该动作序列即潜在的恶意序列。该 方法能够检测操作系统设计时的安全问题, 能给系 统设计提供重要参考。同济大学设计了一个嵌入式 系统仿真测试平台[20], 可以将系统代码从目标机器 中剥离, 然后在宿主机上进行全数字仿真测试, 能 够极大地降低嵌入式系统的安全测试成本。但是该 平台只适用于基于 32 位 ARM CPU 内核的嵌入式 系统。 在针对物联网设备的嵌入式固件的安全分析方 面, 主要有静态分析和动态分析两种方法。法国的通 信系统工程师学校(EURECOM)首次提出了大规模 嵌入式固件镜像静态分析框架, 包括镜像收集、过 滤、解包和分析等步骤。分析了 3.2 万个固件镜像, 发 现 38 个未发现的漏洞[21]。Chen 等人[22]通过基于软 件的全系统仿真自动化地动态分析固件漏洞, 发现 了 14 个未发现的漏洞, 但是该方法基于预编译的插 桩的 Linux 系统, 具有一定的局限性, 而且只支持 ARM 和 MIPS 的硬件体系架构。 2.2 网络安全测评 物联网的网络层主要涉及核心网、无线网络以 及移动通信网络系统。传统的网络安全测试主要包 括功能测试、性能测试、安全性测试以及可用性测 试。而物联网网络层测评更多地关注对网络事件以 及协议包的仿真测试, 本节主要介绍物联网感知网 络仿真工具和测试工具
陈钊等:物联网安全测评技术综述 5 物联网系统服务的提供由各层相互协作完成, 试。Twist和WISEBED还支持混合仿真。 交互较多。通过仿真来模拟和建模网络行为是一种 2.3 数据安全测评 常用的测评方法。Lu等人2设计了一个针对电网的 物联网中的数据不仅需要保证数据的采集安全 集成仿真测试床,该系统包括电力层、传感器和控制 还需要传输安全、传统的存储和计算安全以及考虑 层、通信层和应用层四层。通信层使用了两个常用 个人隐私保护。用到的方法包括轻量级加密、安全 的工具ns-2(现在己更新为Network Simulator-3)24和 多方计算、数据匿名化、差分隐私以及可加密搜索 DeterLab2。他们均可以模拟实际网络中的常见的事 等。本节主要从恶意数据注入检测方面的工作来描 件,如网络延迟、分发数据包等,并且集成了很多网 述物联网数据层的安全检测技术。 络分析的工具。该测试床还可以用来分析物理攻击、 恶意数据注入是智能电网中最严重的攻击之 数据攻击、网络通信攻击等。Saxena等人P提出了 一.l969年Schweppe等人B第一次提出电力系统状 一个既可以模拟电力系统又可以模拟通信网络的安 态评估方法用于检测和识别系统中的错误。Liu等人B4) 全评估工具,其中的通信感知管理模块可以模拟网 提出存在一种状态评估无法检测到的攻击,即恶意 络组件间的通信并用日志记录,还可以评估具体网 数据注入攻击。之后,Bobba等人B指出要想检测到 络攻击场景的行为,安全评估模块通过其他模块的 恶意数据注入攻击,至少需要保护一个最小的传感 观测数据计算系统的可信矩阵来判断系统模块的健 器集合。 康程度并为管理员提供维护系统安全的策略。其中 卡方检验和正则化残差检验是最常用的恶意 的通信感知管理模块可以模拟网络组件间的通信并 数据检测方法。Liu等人B提出一个新的自适应分 用日志记录,还可以评估具体网络攻击场景的行为, 区状态评估方法,基本思想是将庞大的系统划分 安全评估模块通过其他模块的观测数据计算系统的 成多个子系统提高检测的敏感度,用当前检测结 可信矩阵来判断系统模块的健康程度并为管理员提 果来指导下次的系统分区和更新。在每个子系统内 供维护系统安全的策略。 使用卡方检验来检测恶意数据。恶意数据检测和分 物联网中使用的网络协议种类较多而且安全保 区会一直重复直到恶意数据被定位到一个非常小 护措施各异。对网络协议的测试工作大多需要仿真 的子系统内。 软件的辅助。Christian等人27开发了TAP-SNS系统 风力发电在电力供应上占据一定的份额,风力 来进行物联网安全协议的仿真与验证,可以提供安 发电系统常因为大量气象传感器暴露在物理环境中 全测试和仿真服务。TAP-SNS包含了两个核心组件 容易遭到黑客入侵或者物理破坏。Amarjit等人B7考 encrylib加密库和WSN-manager管理器,前者提供了 虑风电场参数、发电属性和攻击约束,定义了对风力 AES等加密算法的实现,后者运行于模拟的采集节 涡轮机的不可检测数据攻击的通用形式,将其定义 点和基站之间,用户可以从WSN-manager管理器提 为多目标优化问题,然后使用约束求解的方法来分 供的两个窗口发送消息来验证通信的安全性。丹麦 析恶意数据注入攻击对整个风力发电系统的影响。 奥尔胡斯大学提出一个医用无线传感网通信协议的 物联网中的数据安全极其重要,恶意注入数据 检测在保护数据的真实性和安全性方面具有重要作 安全可用性测试平台,该平台可以用于验证各类安全 用。目前物联网发展急需一种设备安全状态探测与 协议对网络的影响并评估和比较各类安全协议2)。该 行为智能推断方法,能够主动探测设备状态,智能 平台还可以模拟内部和外部攻防体系、非授权访问 感知设备行为,保证数据采集的可靠和安全。 和认证过程,并根据相关记录信息来验证和评估安 2.4服务安全测评 全防护措施的可用性。 物联网服务层位于网络层之上,感知层的数据 除了上述使用仿真工具对网络事件、网络协议 经过网络传输汇聚到服务层。服务层对数据进行存 进行模拟分析外,许多研究人员利用各种传感器搭 储和计算并为应用提供智能决策等支持。服务层的 建真实的测试平台,获取真实的测试数据。其面临的 安全主要由云平台来提供,很多服务层的安全测评 关键挑战有三个:1)支持大规模异构设备;2)同时支 方法与传统的平台安全测评一致,包括平台监控、日 持虚拟节点和真实物理节点;3)支持异构协议融合。 志审计、渗透测试等手段。本节主要分析文章显示 目前针对无线传感网的测试工具或者平台有 说明是物联网服务相关的安全评估方法,并不涉及 LabVIEWI2、Twist30]、WISEBED31、IoT-LABB2 传统互联网服务的安全测评工作。 等。他们均支持异构设备连接和多种类型的协议测 Keon等人B8从物联网体系架构的角度提出了一
陈钊 等: 物联网安全测评技术综述 5 物联网系统服务的提供由各层相互协作完成, 交互较多。通过仿真来模拟和建模网络行为是一种 常用的测评方法。Liu 等人[23]设计了一个针对电网的 集成仿真测试床, 该系统包括电力层、传感器和控制 层、通信层和应用层四层。通信层使用了两个常用 的工具 ns-2(现在已更新为 Network Simulator-3)[24]和 DeterLab[25]。他们均可以模拟实际网络中的常见的事 件, 如网络延迟、分发数据包等, 并且集成了很多网 络分析的工具。该测试床还可以用来分析物理攻击、 数据攻击、网络通信攻击等。Saxena 等人[26]提出了 一个既可以模拟电力系统又可以模拟通信网络的安 全评估工具, 其中的通信感知管理模块可以模拟网 络组件间的通信并用日志记录, 还可以评估具体网 络攻击场景的行为, 安全评估模块通过其他模块的 观测数据计算系统的可信矩阵来判断系统模块的健 康程度并为管理员提供维护系统安全的策略。其中 的通信感知管理模块可以模拟网络组件间的通信并 用日志记录, 还可以评估具体网络攻击场景的行为, 安全评估模块通过其他模块的观测数据计算系统的 可信矩阵来判断系统模块的健康程度并为管理员提 供维护系统安全的策略。 物联网中使用的网络协议种类较多而且安全保 护措施各异。对网络协议的测试工作大多需要仿真 软件的辅助。Christian 等人[27]开发了 TAP-SNS 系统 来进行物联网安全协议的仿真与验证, 可以提供安 全测试和仿真服务。TAP-SNS 包含了两个核心组件: encrylib加密库和WSN-manager管理器, 前者提供了 AES 等加密算法的实现, 后者运行于模拟的采集节 点和基站之间, 用户可以从 WSN-manager 管理器提 供的两个窗口发送消息来验证通信的安全性。丹麦 奥尔胡斯大学提出一个医用无线传感网通信协议的 安全可用性测试平台, 该平台可以用于验证各类安全 协议对网络的影响并评估和比较各类安全协议[28]。该 平台还可以模拟内部和外部攻防体系、非授权访问 和认证过程, 并根据相关记录信息来验证和评估安 全防护措施的可用性。 除了上述使用仿真工具对网络事件、网络协议 进行模拟分析外, 许多研究人员利用各种传感器搭 建真实的测试平台, 获取真实的测试数据。其面临的 关键挑战有三个: 1)支持大规模异构设备; 2)同时支 持虚拟节点和真实物理节点; 3)支持异构协议融合。 目前针对无线传感网的测试工具或者平台有 LabVIEW[29]、Twist[30]、WISEBED[31]、IoT-LAB[32] 等。他们均支持异构设备连接和多种类型的协议测 试。Twist 和 WISEBED 还支持混合仿真。 2.3 数据安全测评 物联网中的数据不仅需要保证数据的采集安全, 还需要传输安全、传统的存储和计算安全以及考虑 个人隐私保护。用到的方法包括轻量级加密、安全 多方计算、数据匿名化、差分隐私以及可加密搜索 等。本节主要从恶意数据注入检测方面的工作来描 述物联网数据层的安全检测技术。 恶意数据注入是智能电网中最严重的攻击之 一。1969 年 Schweppe 等人[33]第一次提出电力系统状 态评估方法用于检测和识别系统中的错误。Liu 等人[34] 提出存在一种状态评估无法检测到的攻击, 即恶意 数据注入攻击。之后, Bobba 等人[35]指出要想检测到 恶意数据注入攻击, 至少需要保护一个最小的传感 器集合。 卡方检验和正则化残差检验是最常用的恶意 数据检测方法。Liu 等人[36]提出一个新的自适应分 区状态评估方法, 基本思想是将庞大的系统划分 成多个子系统提高检测的敏感度, 用当前检测结 果来指导下次的系统分区和更新。在每个子系统内 使用卡方检验来检测恶意数据。恶意数据检测和分 区会一直重复直到恶意数据被定位到一个非常小 的子系统内。 风力发电在电力供应上占据一定的份额, 风力 发电系统常因为大量气象传感器暴露在物理环境中, 容易遭到黑客入侵或者物理破坏。Amarjit 等人[37]考 虑风电场参数、发电属性和攻击约束, 定义了对风力 涡轮机的不可检测数据攻击的通用形式, 将其定义 为多目标优化问题, 然后使用约束求解的方法来分 析恶意数据注入攻击对整个风力发电系统的影响。 物联网中的数据安全极其重要, 恶意注入数据 检测在保护数据的真实性和安全性方面具有重要作 用。目前物联网发展急需一种设备安全状态探测与 行为智能推断方法, 能够主动探测设备状态, 智能 感知设备行为, 保证数据采集的可靠和安全。 2.4 服务安全测评 物联网服务层位于网络层之上, 感知层的数据 经过网络传输汇聚到服务层。服务层对数据进行存 储和计算并为应用提供智能决策等支持。服务层的 安全主要由云平台来提供, 很多服务层的安全测评 方法与传统的平台安全测评一致, 包括平台监控、日 志审计、渗透测试等手段。本节主要分析文章显示 说明是物联网服务相关的安全评估方法, 并不涉及 传统互联网服务的安全测评工作。 Keon 等人[38]从物联网体系架构的角度提出了一
6 Jo1 rnal of Cyber Securi0y信息安全学报,2019年5月,第4卷,第3期 个物联网服务的安全评估框架,他们总结了物联网 和漏洞关联构造漏洞攻击图的方法,节点间的有向 服务的安全需求并将它们分到4个逻辑组:系统依 依赖表示通过攻击前一节点后对下一节点完成攻击 赖、服务层、网络层、隐私。该框架结合模糊 的可能性,可能性值是由CVSSISo1算得出。然后利用 DEMATEL方法和模糊ANP方法39计算得到影响元 图论的方法计算出高风险路径、长度较短的攻击路 素的权重和优先级,能够为系统体系结构的设计和 径以及热点节点,最后提出缓解被黑客攻击的策略 服务的实现提供重要参考。Huang等人4ol提出一个 供网络管理员参考。Wang等人5也通过构建漏洞攻 层次分析方法来评估物联网云服务的安全。文中提 击图,提出最大flow loss和loss饱和度等度量方式来 出一个四层安全评估方法,对于服务层的RestAPI, 量化漏洞利用路径的攻击概率。最大flow loss和loss 考虑了会话、机器和bulkiot(机器的传感数据),并给 饱和度是根据CVSS的基础评分的相关参数计算得 出一个系统安全性评分的计算公式来评估系统的健 出,最后根据每次攻击的损失和收益来评估攻击的 康程度。 效果。 物联网服务安全主要考虑用户身份认证、设备 Dorsemaine等人提出一种新的度量方法来评 访问控制、服务接口以及设备间和设备与环境的交 估物联网基础设施对遗留信息系统的影响。他们评 互安全等问题研究。当前的研究主要关注在物联网 估了典型的物联网体系结构:本地环境层、传输层、 平台的粗粒度授权机制的安全问题和接口访问控制 数据存储与挖掘层和提供层中不同威胁对信息系统 安全研究。相关研究机构和企业还在致力于研究服 安全要素的影响与可能性,通过计算每个威胁对信 务的安全提供机制,暂时缺乏完善的服务安全测评 息系统的影响评分来比较威胁的严重程度,对影响 方案。 评分超过某一阈值的威胁实施针对性的缓解措施。 2.5漏洞管理和风险评估技术 但是该文章并没有描述威胁发生的可能性和对不同 传统的信息系统安全评估与管理是从风险管理 安全要素的影响是如何计算得到的。 开始进行的,风险管理能够有效揭示攻击对系统中 赵健等人5将物联网系统面临的攻击按照攻击 重要资源的威胁以及相应的损失。风险管理的目的 面和攻击点进行分类,根据每种安全威胁的危害程 是进行风险评估并给出有效缓解威胁的措施。近年 度、发生概率以及补救措施的复杂程度,利用模糊综 来,许多基于攻击图41-4或者攻击树5-4刀的方法被 合评价法进行分析,构建了一个可对物联网系统进 提出。这些方法的基本思想是将系统中不同节点中 行定量安全分析的模型,实现了物联网系统的安全 存在的不同攻击之间的依赖关系建模为图或者树型 量化评估。 结构,然后研究不同路径的攻击行为,并针对不同 2.6安全测评标准 攻击路径提出相应的缓解策略。Poolsappasit等人4 目前,物联网安全测评和等级保护工作己经受 于2012年提出了基于贝叶斯攻击图的动态安全风险 到国家的高度重视,发布了多项物联网安全相关的 管理方法,奠定了基于攻击图的安全评估与动态控 条例(意见稿)。例如《网络安全等级保护条例(征求 制分析的研究方向。该方法采用BAG(贝叶斯攻击图) 意见稿)》、《信息安全技术网络安全等级保护基本要 揭示先验条件、漏洞利用和后验条件之间的因果关 求第4部分:物联网安全扩展要求(征求意见稿)》、 系,帮助系统管理员动态评估目标系统面临的安全 《信息安全技术网络安全等级保护测评要求第4 风险,该文献还提出一种遗传算法以便在资源受限 部分:物联网安全扩展要求》。其中按照等级保护的 的环境中向管理员提供最优的降低风险措施。但文 思想,对通用物联网架构提出了物联网系统安全等 献[48]提出的攻击图构建算法的时间复杂度较高(不 级保护模型,指出物联网系统从末端节点、传感网、 小于ON),N是节点数量与节点漏洞数量的乘积), 通讯网、物联设备的接入、异构网的融合、应用层、 多目标优化遗传算法的时间复杂度也较高。 数据安全、控制管理等方面受到安全威胁,并将物联 近几年物联网系统中的安全漏洞和攻击方法不 网系统安全等级分为四级,给出了各级系统的所有 断被暴露出来,给黑客提供了大量对物联网系统进 单项测评内容。 行攻击的途径。又由于物联网系统更新缓慢,无法及 美国国家标准技术研究所NIST)发布了物联网 时打上补丁,造成物联网系统中长时间存在大量未 国际网络安全标准化现状报告,从物联网具体应用 修复的漏洞。许多研究者将传统的漏洞风险分析方 的安全风险出发,提出了密码学、网络事件管理、硬 法拓展至物联网系统中,分析不同漏洞形成的攻击 件保证、身份及访问管理、信息安全管理体系、资 路径带来的风险。Geogre等人49提出根据网络配置 讯系统安全评估、网络安全、安全自动化和持续监
6 Journal of Cyber Security 信息安全学报, 2019 年 5 月, 第 4 卷, 第 3 期 个物联网服务的安全评估框架, 他们总结了物联网 服务的安全需求并将它们分到 4 个逻辑组: 系统依 赖、服务层、网络层、隐私。该框架结合模糊 DEMATEL 方法和模糊 ANP 方法[39]计算得到影响元 素的权重和优先级, 能够为系统体系结构的设计和 服务的实现提供重要参考。 Huang 等人[40]提出一个 层次分析方法来评估物联网云服务的安全。文中提 出一个四层安全评估方法, 对于服务层的 RestAPI, 考虑了会话、机器和 bulkiot(机器的传感数据), 并给 出一个系统安全性评分的计算公式来评估系统的健 康程度。 物联网服务安全主要考虑用户身份认证、设备 访问控制、服务接口以及设备间和设备与环境的交 互安全等问题研究。当前的研究主要关注在物联网 平台的粗粒度授权机制的安全问题和接口访问控制 安全研究。相关研究机构和企业还在致力于研究服 务的安全提供机制, 暂时缺乏完善的服务安全测评 方案。 2.5 漏洞管理和风险评估技术 传统的信息系统安全评估与管理是从风险管理 开始进行的, 风险管理能够有效揭示攻击对系统中 重要资源的威胁以及相应的损失。风险管理的目的 是进行风险评估并给出有效缓解威胁的措施。近年 来, 许多基于攻击图[41-44]或者攻击树[45-47]的方法被 提出。这些方法的基本思想是将系统中不同节点中 存在的不同攻击之间的依赖关系建模为图或者树型 结构, 然后研究不同路径的攻击行为, 并针对不同 攻击路径提出相应的缓解策略。Poolsappasit 等人[48] 于 2012 年提出了基于贝叶斯攻击图的动态安全风险 管理方法, 奠定了基于攻击图的安全评估与动态控 制分析的研究方向。该方法采用 BAG(贝叶斯攻击图) 揭示先验条件、漏洞利用和后验条件之间的因果关 系, 帮助系统管理员动态评估目标系统面临的安全 风险, 该文献还提出一种遗传算法以便在资源受限 的环境中向管理员提供最优的降低风险措施。但文 献[48]提出的攻击图构建算法的时间复杂度较高(不 小于 O (N2 ), N 是节点数量与节点漏洞数量的乘积), 多目标优化遗传算法的时间复杂度也较高。 近几年物联网系统中的安全漏洞和攻击方法不 断被暴露出来, 给黑客提供了大量对物联网系统进 行攻击的途径。又由于物联网系统更新缓慢, 无法及 时打上补丁, 造成物联网系统中长时间存在大量未 修复的漏洞。许多研究者将传统的漏洞风险分析方 法拓展至物联网系统中, 分析不同漏洞形成的攻击 路径带来的风险。Geogre 等人[49]提出根据网络配置 和漏洞关联构造漏洞攻击图的方法, 节点间的有向 依赖表示通过攻击前一节点后对下一节点完成攻击 的可能性, 可能性值是由 CVSS[50]算得出。然后利用 图论的方法计算出高风险路径、长度较短的攻击路 径以及热点节点, 最后提出缓解被黑客攻击的策略 供网络管理员参考。Wang 等人[51]也通过构建漏洞攻 击图, 提出最大flow loss和loss饱和度等度量方式来 量化漏洞利用路径的攻击概率。最大 flow loss 和 loss 饱和度是根据 CVSS 的基础评分的相关参数计算得 出, 最后根据每次攻击的损失和收益来评估攻击的 效果。 Dorsemaine 等人[52]提出一种新的度量方法来评 估物联网基础设施对遗留信息系统的影响。他们评 估了典型的物联网体系结构: 本地环境层、传输层、 数据存储与挖掘层和提供层中不同威胁对信息系统 安全要素的影响与可能性, 通过计算每个威胁对信 息系统的影响评分来比较威胁的严重程度, 对影响 评分超过某一阈值的威胁实施针对性的缓解措施。 但是该文章并没有描述威胁发生的可能性和对不同 安全要素的影响是如何计算得到的。 赵健等人[53]将物联网系统面临的攻击按照攻击 面和攻击点进行分类, 根据每种安全威胁的危害程 度、发生概率以及补救措施的复杂程度, 利用模糊综 合评价法进行分析, 构建了一个可对物联网系统进 行定量安全分析的模型, 实现了物联网系统的安全 量化评估。 2.6 安全测评标准 目前, 物联网安全测评和等级保护工作已经受 到国家的高度重视, 发布了多项物联网安全相关的 条例(意见稿)。例如《网络安全等级保护条例(征求 意见稿)》、《信息安全技术 网络安全等级保护基本要 求 第 4 部分: 物联网安全扩展要求(征求意见稿)》、 《信息安全技术 网络安全等级保护测评要求 第 4 部分: 物联网安全扩展要求》。其中按照等级保护的 思想, 对通用物联网架构提出了物联网系统安全等 级保护模型, 指出物联网系统从末端节点、传感网、 通讯网、物联设备的接入、异构网的融合、应用层、 数据安全、控制管理等方面受到安全威胁, 并将物联 网系统安全等级分为四级, 给出了各级系统的所有 单项测评内容。 美国国家标准技术研究所(NIST)发布了物联网 国际网络安全标准化现状报告, 从物联网具体应用 的安全风险出发, 提出了密码学、网络事件管理、硬 件保证、身份及访问管理、信息安全管理体系、资 讯系统安全评估、网络安全、安全自动化和持续监
陈钊等:物联网安全测评技术综述 控、软件保障、供应链风险管理、系统安全工程等 算法以及轻量级的认证算法。 11个方面的安全标准5。全球移动通信系统协会 3.1.1轻量级的密钥分发及管理 (GSMA)发布了IoT系统安全检查表,给物联网设备 近年来,由于轻量级公钥密码的研究(如ECC) 及服务提供商提供了安全评估自检建议5)。开放式 以及对称密码密钥分发的高通信复杂度、中间参数 Wb应用程序安全项目(OWASP)发布了《物联网安 较多、不够灵活等缺点,有人提出了基于公钥密码的 全测试指南》,也给出了物联网安全测试指标,旨在 密钥分发方案。So等人5提出一种不需证书的密 帮助测试人员评估物联网空间中的物联网设备和应 钥分配方案,该方案既保留了公钥密码灵活安全的 用程序56。 密钥分发特性,又没有引入高昂的证书管理开销。值 虽然国内外近几年发布了多项关于物联网安全 得一提的是,该方案主要针对的是动态网络模型, 测评的标准和指南,但是物联网系统中存在的安全问 该网络模型中,有三种节点一基站、高性能节点、 题还是常常发出现,可见物联网安全测评在实际实施 低性能节点,三种节点的性能依次降低,此外,节点 中进行得不够充分,亟需完善的测评工具对物联网系 的位置会动态变化,因此,对密钥分配方案的灵活 统进行有效的评估工作.保证系统的安全可靠。 性要求较高。 3.1.2轻量级密码算法 3 物联网安全保障技术测评需求 轻量级的密码算法可以分为轻量级的对称、非 物联网节点面临计算能力、体积和功耗受限等 对称密码算法。与传统的密码算法类似,密码方案的 挑战,智慧城市等应用场景提出了大规模泛在异构 对称、非对称性是由其密钥是对称或是分为公私钥 连接和复杂跨域的需求。为了应对物联网大规模发 对的形式来划分的,但与传统密码方案不同的是, 展带来的挑战,进几年,物联网在绿色节点、智能网 由于轻量级密码面向的物理设备大都是资源受限的 络管理、开放平台三个方面取得了广泛的研究进展。 轻量级的密码方案不仅需要满足安全性需求,还需 为了实现高效节能的物联网设备管理、数据传 要满足轻量级需求。 输以及安全防护,许多学者提出了轻量级加密算法、 Leander等人58基于DES提出了DESL,其采用 轻量级访问控制、轻量级入侵检测系统(DS)等技术。 串行硬件结构并将DES中的8个原始S盒替换为一 为了高效管理网络资源,提供数据传输效率,智能 个重新设计的单一$盒,降低了门复杂性,同时采用 网关、智能路由和边缘计算平台发展迅速。以往的 密钥白化技术提高了加密算法的安全性。该算法能 物联网系统往往是独立的系统,不对外部开放,带 够有效抵抗差分攻击等。eSTREAM项目59包括了3 来了信息不能共享等问题。为了提升信息的价值,物 个面向轻量级设备的流密码方案:Grain vl、 联网的开放共享是技术发展的必然趋势。 MICKEY2.0以及Trivium。Grain方案的设计特 这些物联网安全保障技术在为物联网系统提供 点是其引入了两个移位寄存器,一个为线性反馈 安全服务之前,我们必然需要对其进行深入的安全 另一个为非线性反馈,原始Grain方案被指出易受 分析和测评,只有通过了安全测评,才能大规模地 相关攻击6),Grain v1修复了该问题。MICKEY I6 应用到实际的物联网系统中。 的设计亮点是在移位寄存器中引入了不规则的时钟 3.1绿色节点 机制以获得更好的周期及更好的伪随机性,从而提 对于物联网系统,传统的密码学方案的部署却 升了其安全性,MICKEY原方案易受一些侧信道攻 遇到了困难,这主要由几方面的原因造成:首先,大 击.MICKEY2.0修复了这些问题。 多数物联网设备的计算及通信性能较低,很难满足 与对称密码相比,非对称密码的轻量化难度更 很多传统密码方案所需的大量计算及通信开销;同 高.因为传统的公钥密码方案.包括RSA、ECC、 时,过高的计算及通信开销会使设备能耗增高,增 El Gamal等都是基于某种复杂的数学难题,通常会 加系统的维护成本;其次,物联网设备的存储模块 涉及到模乘、模幂等计算复杂度高的运算。早在 也是受限的,很难满足很多传统密码方案的存储需 1995年,Shamir6就对RSA进行了轻量化设计 求。很多物联网设备(如RFD)有着较高的时延要求, 其设计思路是针对较小的明文空间,选择特定的公 需要密码方案有较好的实时性。近年来,轻量级密码 钥参数,这样,在解密时,可以减小模幂运算的模数 一直是物联网安全领域以及密码学领域的研究热点, 进而起到减小解密复杂度的目的,但是Gilbert等 总结起来,围绕轻量级密码的研究可以概括为三个 人[6指出Shamir的轻量化RSA易受选择密文攻 方面一一轻量级的密钥分发及管理、轻量级的密码 击,之后,Coron!6的]通过对明文填充其自身的哈希值
陈钊 等: 物联网安全测评技术综述 7 控、软件保障、供应链风险管理、系统安全工程等 11 个方面的安全标准[54]。全球移动通信系统协会 (GSMA)发布了 IoT 系统安全检查表, 给物联网设备 及服务提供商提供了安全评估自检建议[55]。开放式 Web 应用程序安全项目(OWASP)发布了《物联网安 全测试指南》, 也给出了物联网安全测试指标, 旨在 帮助测试人员评估物联网空间中的物联网设备和应 用程序[56]。 虽然国内外近几年发布了多项关于物联网安全 测评的标准和指南, 但是物联网系统中存在的安全问 题还是常常发出现, 可见物联网安全测评在实际实施 中进行得不够充分, 亟需完善的测评工具对物联网系 统进行有效的评估工作, 保证系统的安全可靠。 3 物联网安全保障技术测评需求 物联网节点面临计算能力、体积和功耗受限等 挑战, 智慧城市等应用场景提出了大规模泛在异构 连接和复杂跨域的需求。为了应对物联网大规模发 展带来的挑战, 进几年, 物联网在绿色节点、智能网 络管理、开放平台三个方面取得了广泛的研究进展。 为了实现高效节能的物联网设备管理、数据传 输以及安全防护, 许多学者提出了轻量级加密算法、 轻量级访问控制、轻量级入侵检测系统(IDS)等技术。 为了高效管理网络资源, 提供数据传输效率, 智能 网关、智能路由和边缘计算平台发展迅速。以往的 物联网系统往往是独立的系统, 不对外部开放, 带 来了信息不能共享等问题。为了提升信息的价值, 物 联网的开放共享是技术发展的必然趋势。 这些物联网安全保障技术在为物联网系统提供 安全服务之前, 我们必然需要对其进行深入的安全 分析和测评, 只有通过了安全测评, 才能大规模地 应用到实际的物联网系统中。 3.1 绿色节点 对于物联网系统, 传统的密码学方案的部署却 遇到了困难, 这主要由几方面的原因造成: 首先, 大 多数物联网设备的计算及通信性能较低, 很难满足 很多传统密码方案所需的大量计算及通信开销; 同 时, 过高的计算及通信开销会使设备能耗增高, 增 加系统的维护成本; 其次, 物联网设备的存储模块 也是受限的, 很难满足很多传统密码方案的存储需 求。很多物联网设备(如 RFID)有着较高的时延要求, 需要密码方案有较好的实时性。近年来, 轻量级密码 一直是物联网安全领域以及密码学领域的研究热点, 总结起来, 围绕轻量级密码的研究可以概括为三个 方面——轻量级的密钥分发及管理、轻量级的密码 算法以及轻量级的认证算法。 3.1.1 轻量级的密钥分发及管理 近年来, 由于轻量级公钥密码的研究(如 ECC) 以及对称密码密钥分发的高通信复杂度、中间参数 较多、不够灵活等缺点, 有人提出了基于公钥密码的 密钥分发方案。 Seo 等人[57]提出一种不需证书的密 钥分配方案, 该方案既保留了公钥密码灵活安全的 密钥分发特性, 又没有引入高昂的证书管理开销。值 得一提的是, 该方案主要针对的是动态网络模型, 该网络模型中, 有三种节点——基站、高性能节点、 低性能节点, 三种节点的性能依次降低, 此外, 节点 的位置会动态变化, 因此, 对密钥分配方案的灵活 性要求较高。 3.1.2 轻量级密码算法 轻量级的密码算法可以分为轻量级的对称、非 对称密码算法。与传统的密码算法类似, 密码方案的 对称、非对称性是由其密钥是对称或是分为公私钥 对的形式来划分的, 但与传统密码方案不同的是, 由于轻量级密码面向的物理设备大都是资源受限的, 轻量级的密码方案不仅需要满足安全性需求, 还需 要满足轻量级需求。 Leander 等人[58]基于 DES 提出了 DESL, 其采用 串行硬件结构并将 DES 中的 8 个原始 S 盒替换为一 个重新设计的单一 S 盒, 降低了门复杂性, 同时采用 密钥白化技术提高了加密算法的安全性。该算法能 够有效抵抗差分攻击等。eSTREAM 项目[59]包括了 3 个面向轻量级设备的流密码方案 : Grain v1 、 MICKEY 2.0 以及 Trivium。Grain[60] 方案的设计特 点是其引入了两个移位寄存器, 一个为线性反馈, 另一个为非线性反馈, 原始 Grain 方案被指出易受 相关攻击[61], Grain v1 修复了该问题。MICKEY [62] 的设计亮点是在移位寄存器中引入了不规则的时钟 机制以获得更好的周期及更好的伪随机性, 从而提 升了其安全性, MICKEY 原方案易受一些侧信道攻 击, MICKEY 2.0 修复了这些问题。 与对称密码相比, 非对称密码的轻量化难度更 高, 因为传统的公钥密码方案, 包括 RSA、 ECC、 El Gamal 等都是基于某种复杂的数学难题, 通常会 涉及到模乘、模幂等计算复杂度高的运算。早在 1995 年, Shamir [63]就对 RSA 进行了轻量化设计, 其设计思路是针对较小的明文空间, 选择特定的公 钥参数, 这样, 在解密时, 可以减小模幂运算的模数, 进而起到减小解密复杂度的目的, 但是 Gilbert 等 人[64]指出 Shamir 的轻量化 RSA 易受选择密文攻 击, 之后, Coron[65] 通过对明文填充其自身的哈希值
8 Journal of Cyber Security信息安全学报,2019年5月,第4卷,第3期 以抵御上述的选择密文攻击。 一种智能化的方法来解决。近年来智能网络管理技 3.1.3轻量级认证算法 术在智能网关、智能路由和边缘计算三个方面发展 物联网中的认证算法不只需要满足轻量级需求, 迅速,形成了不同的产品和解决方案,但也面临着 还需要满足其他一些特殊的安全需求,同时,一些 数据安全和隐私保护等问题。 认证算法的设计也会利用物联网本身的一些特性进 3.2.1智能网关 行设计。物联网环境下的认证方案需要应对的一个 为了解决不同网络之间的数据传输以及不同协 重要的安全威胁是物理攻击,即对设备的篡改、复 议间的数据转换问题,达到物联网设备间的全面互 制。为应对该威胁,需要一个安全机制来唯一标识各 联互通和协同感知,网关的智能化越来越重要。智能 个节点,且保证该标识不可伪造。 网关在协议转换、异构数据理解、设备发现等方面 一种传统的标识方法为秘密共享,Dimitriou[6阿 提供了有效保障,但是也存在着严重的安全问题。 提出一种利用该思路设计了一种轻量级的面向 物联网网络层使用的协议众多,智能网关的基 RFD设备的认证方案,在他们的方案中,每个 本功能就是需要实现多协议的融合,支持多协议格 RFID标签与中心服务器之间共享一秘密的随机ID 式适配。Chang等人7设计了一个支持多接口的智 值,该D值在具体认证中的功能类似于一共享密 能网关,每个接口配备一个协议模块且接口间可协 钥,且每次认证过后RFD标签与中心服务器会使 同工作。但该网关难以更换端口所支持的协议。为 用哈希函数同步更新此D值。Song等人67的 此,Guoqiang等人ml设计了一个自适应的智能网关, RFD认证方案中考虑了对中心服务器的伪装攻击, 该网关内置了六种不同的物联网协议,当数据传 作者指出之前的工作中大都未考虑这种攻击模式, 入智能网关时可自动识别协议类型并将数据转化 存在被攻击的可能,他们通过一个中心服务器与 为统一格式,以实现异质物联网与传统互联网之 RFID标签的共享秘密实现了RFID标签与中心服 间的通信。 务器间的双向认证,且该方案的计算及存储开销也 不同物联网设备会产生不同表示形式的数据, 优于先前的方案。Cai等人I68]指出Song的方案 这种异构数据阻碍了物联网应用程序对数据的解释 对一些主动攻击可能丧失安全性,并提出了改良方 和有效利用3-州。为了解决异构数据传输问题, 案,改良方案中会引入一些存储与计算开销,但修 Mahmud等人s提出了一种基于轻量级语义Web的 复了原方案的安全漏洞。 数据注解方法,该方法利用传感器相关域本体生成 另一条重要的思路是在认证中嵌入设备的物理 数据的语义信息并为与云端数据交互提供服务。 指纹信息。Kulseng69)利用PUF设计了一个RFID Yacchirema等人[7提出了一种新型智能网关,该网 的双向认证协议,该方案中的计算及存储开销都较 关从数据格式转换、协议转换、数据存储和数据处 低,轻量化程度较高。该设计的主要思想是利用 理这四个方面实现了通信协议和数据间的互操作 PUF生成链式的共享认证秘密,后一次认证产生的 性。该智能网关配有物联网常用协议,能将来自异构 共享秘密必须与前一次共享秘密具有可认证的公共 设备的数据转化为标准格式(JSON格式)。此外该网 结构,这样,RFD读写器通过该共享秘密可验证 关还可以存储数据并进行分析,将满足特定条件的 RFD标签的物理特征与前一次认证的标签一致, 事件发送给用户,为用户提供个性化服务。 而RFID标签通过该共享秘密验证RFID读写器 用户购买新的物联网设备时,需要根据安装手 与前一次认证的读写器一致,从而完成了双向认证。 册手动安装设备。针对该问题,Kang等人m提出的 但是,Gope近期的工作中指出,现有的工作仍无 网关实现了设备发现和注册的半自动化配置,利用 法满足一些关键的安全性指标,包括前向安全性、针 CoAP协议实时监测设备的状态和数据。.Iveta等人7) 对DOS攻击的安全性及物理攻击。 设计的智能网关将物理设备抽象表示为虚拟设备 3.2智能网络 可以处理设备损环问题,并且虚拟似设备简化了物理 物联网环境下的海量异构设备、异质网络给设 设备和云应用的连接。 备和网络管理带来前所未有的挑战。目前物联网中 物联网大量使用无线传输技术,攻击者可以随 使用的设备包括各种感知设备和RD设备,使用的 意窃取、篡改或删除链路上的数据,并伪装成网络实 协议有RFID、Bluetooth、Zigbee、NB-IoT(Narrowband 体截取业务数据。无线传输中最常见的攻击有窃听 IoT)、LoRA(Long Range)WiFi等,这使得物联网环 攻击、中间人攻击和侧信道攻击等。足以说明目前 境异常复杂,难以维护和管理。面对这些问题,需要 在对物联网智能网关的安全测评工作不够充分,需
8 Journal of Cyber Security 信息安全学报, 2019 年 5 月, 第 4 卷, 第 3 期 以抵御上述的选择密文攻击。 3.1.3 轻量级认证算法 物联网中的认证算法不只需要满足轻量级需求, 还需要满足其他一些特殊的安全需求, 同时, 一些 认证算法的设计也会利用物联网本身的一些特性进 行设计。物联网环境下的认证方案需要应对的一个 重要的安全威胁是物理攻击, 即对设备的篡改、复 制。为应对该威胁, 需要一个安全机制来唯一标识各 个节点, 且保证该标识不可伪造。 一种传统的标识方法为秘密共享, Dimitriou [66] 提出一种利用该思路设计了一种轻量级的面向 RFID 设备的认证方案, 在他们的方案中, 每个 RFID 标签与中心服务器之间共享一秘密的随机 ID 值, 该 ID 值在具体认证中的功能类似于一共享密 钥, 且每次认证过后 RFID 标签与中心服务器会使 用哈希函数同步更新此 ID 值。Song 等人[67] 的 RFID 认证方案中考虑了对中心服务器的伪装攻击, 作者指出之前的工作中大都未考虑这种攻击模式, 存在被攻击的可能, 他们通过一个中心服务器与 RFID 标签的共享秘密实现了 RFID 标签与中心服 务器间的双向认证, 且该方案的计算及存储开销也 优于先前的方案。 Cai 等人[68] 指出 Song 的方案 对一些主动攻击可能丧失安全性, 并提出了改良方 案, 改良方案中会引入一些存储与计算开销, 但修 复了原方案的安全漏洞。 另一条重要的思路是在认证中嵌入设备的物理 指纹信息。Kulseng [69] 利用 PUF 设计了一个 RFID 的双向认证协议, 该方案中的计算及存储开销都较 低, 轻量化程度较高。该设计的主要思想是利用 PUF 生成链式的共享认证秘密, 后一次认证产生的 共享秘密必须与前一次共享秘密具有可认证的公共 结构, 这样, RFID 读写器通过该共享秘密可验证 RFID 标签的物理特征与前一次认证的标签一致, 而 RFID 标签通过该共享秘密验证 RFID 读写器 与前一次认证的读写器一致, 从而完成了双向认证。 但是, Gope [70]近期的工作中指出, 现有的工作仍无 法满足一些关键的安全性指标, 包括前向安全性、针 对 DOS 攻击的安全性及物理攻击。 3.2 智能网络 物联网环境下的海量异构设备、异质网络给设 备和网络管理带来前所未有的挑战。目前物联网中 使用的设备包括各种感知设备和 RFID 设备, 使用的 协议有 RFID、Bluetooth、Zigbee、NB-IoT(Narrowband IoT)、LoRA(Long Range)、WiFi 等, 这使得物联网环 境异常复杂, 难以维护和管理。面对这些问题, 需要 一种智能化的方法来解决。近年来智能网络管理技 术在智能网关、智能路由和边缘计算三个方面发展 迅速, 形成了不同的产品和解决方案, 但也面临着 数据安全和隐私保护等问题。 3.2.1 智能网关 为了解决不同网络之间的数据传输以及不同协 议间的数据转换问题, 达到物联网设备间的全面互 联互通和协同感知, 网关的智能化越来越重要。智能 网关在协议转换、异构数据理解、设备发现等方面 提供了有效保障, 但是也存在着严重的安全问题。 物联网网络层使用的协议众多, 智能网关的基 本功能就是需要实现多协议的融合, 支持多协议格 式适配。Chang 等人[71]设计了一个支持多接口的智 能网关, 每个接口配备一个协议模块且接口间可协 同工作。但该网关难以更换端口所支持的协议。为 此, Guoqiang 等人[72]设计了一个自适应的智能网关, 该网关内置了六种不同的物联网协议, 当数据传 入智能网关时可自动识别协议类型并将数据转化 为统一格式, 以实现异质物联网与传统互联网之 间的通信。 不同物联网设备会产生不同表示形式的数据, 这种异构数据阻碍了物联网应用程序对数据的解释 和有效利用[73-74]。为了解决异构数据传输问题, Mahmud 等人[75]提出了一种基于轻量级语义 Web 的 数据注解方法, 该方法利用传感器相关域本体生成 数据的语义信息并为与云端数据交互提供服务。 Yacchirema 等人[76]提出了一种新型智能网关, 该网 关从数据格式转换、协议转换、数据存储和数据处 理这四个方面实现了通信协议和数据间的互操作 性。该智能网关配有物联网常用协议, 能将来自异构 设备的数据转化为标准格式(JSON 格式)。此外该网 关还可以存储数据并进行分析, 将满足特定条件的 事件发送给用户, 为用户提供个性化服务。 用户购买新的物联网设备时, 需要根据安装手 册手动安装设备。针对该问题, Kang 等人[77]提出的 网关实现了设备发现和注册的半自动化配置, 利用 CoAP 协议实时监测设备的状态和数据。Iveta 等人[78] 设计的智能网关将物理设备抽象表示为虚拟设备, 可以处理设备损坏问题, 并且虚拟设备简化了物理 设备和云应用的连接。 物联网大量使用无线传输技术, 攻击者可以随 意窃取、篡改或删除链路上的数据, 并伪装成网络实 体截取业务数据。无线传输中最常见的攻击有窃听 攻击、中间人攻击和侧信道攻击等。足以说明目前 在对物联网智能网关的安全测评工作不够充分, 需
陈钊等:物联网安全测评技术综述 9 进一步完善安全测试和评估工作。 和SDN是边缘平台常用的技术,面临拒绝服务和恶 3.2.2智能路由 意注入等攻击。边缘平台和感知节点间任务卸载的 随着网络规模的扩大,无线自组织网络在无线 分配策略以及任务中用户隐私保护等问题仍有待解 通信领域的地位愈发重要,对路由协议的智能性提 决。边缘平台的访问控制和跨域验证等安全机制也 出了新的需求。路由协议不仅需要满足大规模网络 会受到伪造攻击等问题。因此边缘计算平台也需要 通信需求,还应该支持对网络中的恶意节点具有一 诸如入侵检测、访问控制以及安全防御等安全防护 定的敏感性。Le等人网提出了一种自组织的、自 措施的保护,才能给感知设备提供安全智能的服务。 适应的智能集群和路由方法。该方案能够自动化识 3.3开放平台 别节点故障并自动调整集群和路由。文献[80]在路由 目前物联网应用和感知设备紧紧耦合在一起 协议中引入信任值概念,保证只有信任值高的节点 信息存储格式各异,无法在应用间共享,最终会成 才能被选做集群头,一定程度上保证了网络的安全。 为信息孤岛。为了促进物联网相关生态系统的发展, 强化学习因其对不同环境的良好学习能力在异 Kim等人[8指出开放物联网服务需要满足两个重要 质物联网环境中具有广泛的应用。无线传感网中的 功能,一是开放物联网服务框架应该是基于开放软 路由协议设计需要考虑能量消耗、错误容忍、可扩 件的架构且面向开发者的架构,鼓励企业利用开放 展性和区域覆盖等问题。基于机器学习或者强化学 的物联网平台快速开发和实现创新服务,促进物联 习的路由协议能够提供一个节省能量、延长网络生 网相关大众市场的快速增长。二是通过为用户提供 命周期的最优路径选择策略,并能通过转化路由问 物联网服务的快速搜索,大量用户可以在短时间内 题到子空间中减少路由计算复杂度81。Sun等人[8] 使用物联网服务,从而促进与物联网相关的产品、应 在无线自组网中用Q学习来增强多播路由算法,该 用程序和服务的快速增长。因此,物联网开放平台的 方法减少了路径搜索开销,但是能量使用效率是关 需求如表1所示。本节介绍物联网开放平台的发展 键需求。Dog等人8]借鉴文献[82]的想法,将强化 现状及存在的安全问题。 学习应用于超宽带广播中来增强地理路由,其奖励 计算过程考虑了节点能量消耗和消息延迟。 表1物联网开放平功能需求 RPL是用于低功耗和有损网络的路由协议,广 Table 1 Requirements of Open Platform for IoT 泛应用于智能家居、智能城市等场景。RPL创建网 需求 描述 络拓扑的有向非循环图(DAG)。对RPL协议的攻击 海量异构受限终 设备功能各异、资源受限且 端接入 设备数量巨大 涉及针对网络资源、拓扑结构、网络流量的多种攻 资源管理 设备管理、网络管理等 击,其中常见的有rank属性攻击、版本号攻击等。 Abdul Rehman Is4等人提出了针对rank属性的新型 能力开放 允许接入不同应用,支持开放接口调用 攻击,通过修改目标函数和rank属性,迫使其相邻 移动性 基本设计标准考虑移动性 节点通过恶意节点路由其数据。 语义服务 创建基于语义的智能服务 3.2.3边缘计算 自组织网络 自组网络、可靠的通信 物联网应用场景非常广泛,包括智能交通、智能 海量数据存储 设备数量大、数据量大 家居和智能制造等。这些行业应用业务需求复杂,除 特殊QoS保证 低延迟等特殊QoS保证 了基本的业务需求外,还可能包括传输时延、数据分 安全和隐私 保证数据安全和隐私保护 析和智能决策等额外的需求。由于云计算服务延迟 较高,无法满足物联网应用的特定业务需求,边缘 3.3.1开放平台 计算除了提供基础的数据存储、按需分配资源等功 近几年物联网开放平台取得了快速的发展,在 能外,还能够保证满足低时延、高算力和隐私保护等 学术界及产业界都提出了相关的物联网开放平台, 特殊需求。 提供开放的物联网服务,但是其中也存在一定的安 边缘计算相对于云计算而言,将智能处理能力 全问题和隐私问题。 拓展到感知设备侧,云计算面临的安全问题在边缘 许多学者针对上述物联网开放平台需求,设计 系统中仍然存在。边缘计算除了受到传统的网络安 了物联网开放平台架构。Pak等人⑧提出了一个包 全和物理安全问题影响外,还受到一些新兴技术带 括开放平台和异质网络中间件的功能架构,如图1 来的安全问题。NFV(Network Function Virtualization) 所示。该开放平台包括7个函数实体,支持即插即用
陈钊 等: 物联网安全测评技术综述 9 进一步完善安全测试和评估工作。 3.2.2 智能路由 随着网络规模的扩大, 无线自组织网络在无线 通信领域的地位愈发重要, 对路由协议的智能性提 出了新的需求。路由协议不仅需要满足大规模网络 通信需求, 还应该支持对网络中的恶意节点具有一 定的敏感性。Lee 等人[79] 提出了一种自组织的、自 适应的智能集群和路由方法。该方案能够自动化识 别节点故障并自动调整集群和路由。文献[80]在路由 协议中引入信任值概念, 保证只有信任值高的节点 才能被选做集群头, 一定程度上保证了网络的安全。 强化学习因其对不同环境的良好学习能力在异 质物联网环境中具有广泛的应用。无线传感网中的 路由协议设计需要考虑能量消耗、错误容忍、可扩 展性和区域覆盖等问题。基于机器学习或者强化学 习的路由协议能够提供一个节省能量、延长网络生 命周期的最优路径选择策略, 并能通过转化路由问 题到子空间中减少路由计算复杂度[81]。Sun 等人[82] 在无线自组网中用 Q 学习来增强多播路由算法, 该 方法减少了路径搜索开销, 但是能量使用效率是关 键需求。Dong 等人[83]借鉴文献[82]的想法, 将强化 学习应用于超宽带广播中来增强地理路由, 其奖励 计算过程考虑了节点能量消耗和消息延迟。 RPL 是用于低功耗和有损网络的路由协议, 广 泛应用于智能家居、智能城市等场景。 RPL 创建网 络拓扑的有向非循环图(DAG)。对 RPL 协议的攻击 涉及针对网络资源、拓扑结构、网络流量的多种攻 击, 其中常见的有 rank 属性攻击、版本号攻击等。 Abdul Rehman [84] 等人提出了针对 rank 属性的新型 攻击, 通过修改目标函数和 rank 属性, 迫使其相邻 节点通过恶意节点路由其数据。 3.2.3 边缘计算 物联网应用场景非常广泛, 包括智能交通、智能 家居和智能制造等。这些行业应用业务需求复杂, 除 了基本的业务需求外, 还可能包括传输时延、数据分 析和智能决策等额外的需求。由于云计算服务延迟 较高, 无法满足物联网应用的特定业务需求, 边缘 计算除了提供基础的数据存储、按需分配资源等功 能外, 还能够保证满足低时延、高算力和隐私保护等 特殊需求。 边缘计算相对于云计算而言, 将智能处理能力 拓展到感知设备侧, 云计算面临的安全问题在边缘 系统中仍然存在。边缘计算除了受到传统的网络安 全和物理安全问题影响外, 还受到一些新兴技术带 来的安全问题。NFV(Network Function Virtualization) 和 SDN 是边缘平台常用的技术, 面临拒绝服务和恶 意注入等攻击。边缘平台和感知节点间任务卸载的 分配策略以及任务中用户隐私保护等问题仍有待解 决。边缘平台的访问控制和跨域验证等安全机制也 会受到伪造攻击等问题。因此边缘计算平台也需要 诸如入侵检测、访问控制以及安全防御等安全防护 措施的保护, 才能给感知设备提供安全智能的服务。 3.3 开放平台 目前物联网应用和感知设备紧紧耦合在一起, 信息存储格式各异, 无法在应用间共享, 最终会成 为信息孤岛。为了促进物联网相关生态系统的发展, Kim 等人[86]指出开放物联网服务需要满足两个重要 功能, 一是开放物联网服务框架应该是基于开放软 件的架构且面向开发者的架构, 鼓励企业利用开放 的物联网平台快速开发和实现创新服务, 促进物联 网相关大众市场的快速增长。二是通过为用户提供 物联网服务的快速搜索, 大量用户可以在短时间内 使用物联网服务, 从而促进与物联网相关的产品、应 用程序和服务的快速增长。因此, 物联网开放平台的 需求如表 1 所示。本节介绍物联网开放平台的发展 现状及存在的安全问题。 表 1 物联网开放平功能需求 Table 1 Requirements of Open Platform for IoT 需求 描述 海量异构受限终 端接入 设备功能各异、资源受限且 设备数量巨大 资源管理 设备管理、网络管理等 能力开放 允许接入不同应用, 支持开放接口调用 移动性 基本设计标准考虑移动性 语义服务 创建基于语义的智能服务 自组织网络 自组网络、可靠的通信 海量数据存储 设备数量大、数据量大 特殊 QoS 保证 低延迟等特殊 QoS 保证 安全和隐私 保证数据安全和隐私保护 3.3.1 开放平台 近几年物联网开放平台取得了快速的发展, 在 学术界及产业界都提出了相关的物联网开放平台, 提供开放的物联网服务, 但是其中也存在一定的安 全问题和隐私问题。 许多学者针对上述物联网开放平台需求, 设计 了物联网开放平台架构。Park 等人[85]提出了一个包 括开放平台和异质网络中间件的功能架构, 如图 1 所示。该开放平台包括 7 个函数实体, 支持即插即用
10 Journal of Cyber Security信息安全学报,2019年5月,第4卷,第3期 设备管理和信息查询等功能。Kim等人[86从物联网 阿里云物联网平台致力于实现万物互联的美好 开放平台服务流的角度设计了如图2所示的平台架 世界,提供基于端边云一体化、人工智能、安全的物 构。该架构包含了Planet平台、Mashup平台、Store 联网基础平台,可高效连接、管理设备8。中国移动 平台和Device平台。全部平台都使用开放的RESTful 的OneNET开放平台目前日活跃设备连接量已经达 接口,各平台各司其职相互协作响应用户请求。上述 到4亿,该平台提供一整套的物联网应用开发服务 描述的开放平台只考虑了平台功能的提供,没有考 可以解决协议适配、海量连接、数据存储设备管理 虑底层物联网系统中的安全问题,如接入控制、数据 等物联网开发共性问题,能够有效促进物联网快速 隔离等安全措施。 发展9o。 3.3.2安全问题 应用 开放服务平台 目前学术界对物联网开放平台的安全问题研究 [语义查询FE 接▣FE 正在持续进行中,目前主要集中在开放平台粗粒度 LOD链接FE 语义存储 资源管理 的权限授予机制和设备交互的安全问题。Fernandes FE FE LOD 语义推理F正 等人9分析了三星SmartThings平台开源的499个 适配FE 适配FE1 适配FE2·适配FE3 SmartApp,发现由于该平台粗粒度的能力授予机制, 中间件1 中间件2 其中55%的应用存在滥用能力的情况,并且存在许 中间件3 传感 多用户隐私数据盗用和安防问题。该文献还揭露了 器或 传感 许多由粗粒度授权管理机制带来的隐私泄露问题。 器网 Clik等人通过将groovy代码转换成中间表示,设 络 计了一款智能应用的污点源到Sik的数据流分析工 具,并提供开放的Wb接口,只需提供源码即可分 图1Park等人的物联网开放平台s 析出存在可能的隐私泄露点的数量,但该工具只分 Figure 1 Park et al.'s IoT Open Platform!s51 析了单应用,无法完成跨应用的污点分析。 雨 Jia等人]考虑到物联网开放平台粗粒度的权限 开放API 商店 友 管理机制的缺陷,提出一种基于上下文的权限控制 门户 平台 6 系统ContextIoT,根据细粒度的上下文信息来描述敏 感的数据操作,并使用包含上下文数据信息的运行 开放API 软件 服务 软件 门户 开发者 提供者 操作员 开发者 时提示来帮助用户控制应用的敏感操作,但该工具 过于专业化,普通用户难以使用。Dig等人94提取 开放API 出物联网应用与环境的交互链,并使用聚类算法计 门户 D 算每条交互链的风险值。Fernandes等人9分析了包 括FTTT6l在内的7个联动平台((trigger--action plat- 图2 Kim等人的物联网开放平台I8 form,发现攻击者可能获得过度授权的OAuth令牌, Figure 2 Park et al.'s IoT Open Platform!s61 从而对设备进行提权攻击,为此作者设计了一个去 国内外互联网企业也纷纷发布了自己的物联网 中心化的联动平台,使得攻击者无法使用与用户定 开放平台,为物联网企业和个人开发者提供了丰富 义规则不一致的OAuth令牌。 简单的开发工具包。亚马逊物联网平台是由云端托 3.4测评需求 管的、支持云应用的开放平台,提供了终端节点和网 轻量级安全保障技术在提出时都会有严格的安 关等边缘侧设备,提供多种SDK集成感知设备,无 全证明,但是在实际的实现过程中往往会存在传统 缝整合了亚马逊云提供的数据库、数据处理、消息 的代码上的漏洞,因此我们需要对秘钥管理协议、密 队列等云服务。平台还提供设备监控功能和丰富的 码算法以及认证协议进行完善的安全测评,尤其是 开发接口说明以及开发者文档7。三星的 密码生成和管理算法。 SmartThings平台提供各种设备接入、智能应用开发 物联网智能网关面临多种攻击问题,智能路由 能力,并允许用户使用代码模板创建应用,对开发 也存在协议设计上的漏洞,边缘计算平台也遇到拒 者十分友好88。 绝服务和恶意注入攻击。因此,我们需要对物联网网
10 Journal of Cyber Security 信息安全学报, 2019 年 5 月, 第 4 卷, 第 3 期 设备管理和信息查询等功能。Kim 等人[86]从物联网 开放平台服务流的角度设计了如图 2 所示的平台架 构。该架构包含了 Planet 平台、Mashup 平台、Store 平台和 Device 平台。全部平台都使用开放的 RESTful 接口, 各平台各司其职相互协作响应用户请求。上述 描述的开放平台只考虑了平台功能的提供, 没有考 虑底层物联网系统中的安全问题, 如接入控制、数据 隔离等安全措施。 图 1 Park 等人的物联网开放平台[85] Figure 1 Park et al.'s IoT Open Platform[85] 图 2 Kim 等人的物联网开放平台[86] Figure 2 Park et al.'s IoT Open Platform[86] 国内外互联网企业也纷纷发布了自己的物联网 开放平台, 为物联网企业和个人开发者提供了丰富 简单的开发工具包。亚马逊物联网平台是由云端托 管的、支持云应用的开放平台, 提供了终端节点和网 关等边缘侧设备, 提供多种 SDK 集成感知设备, 无 缝整合了亚马逊云提供的数据库、数据处理、消息 队列等云服务。平台还提供设备监控功能和丰富的 开发接口说明以及开发者文档 [87] 。三星的 SmartThings 平台提供各种设备接入、智能应用开发 能力, 并允许用户使用代码模板创建应用, 对开发 者十分友好[88]。 阿里云物联网平台致力于实现万物互联的美好 世界, 提供基于端边云一体化、人工智能、安全的物 联网基础平台, 可高效连接、管理设备[89]。中国移动 的 OneNET 开放平台目前日活跃设备连接量已经达 到 4 亿, 该平台提供一整套的物联网应用开发服务, 可以解决协议适配、海量连接、数据存储设备管理 等物联网开发共性问题, 能够有效促进物联网快速 发展[90]。 3.3.2 安全问题 目前学术界对物联网开放平台的安全问题研究 正在持续进行中, 目前主要集中在开放平台粗粒度 的权限授予机制和设备交互的安全问题。Fernandes 等人[91]分析了三星 SmartThings 平台开源的 499 个 SmartApp, 发现由于该平台粗粒度的能力授予机制, 其中 55%的应用存在滥用能力的情况, 并且存在许 多用户隐私数据盗用和安防问题。该文献还揭露了 许多由粗粒度授权管理机制带来的隐私泄露问题。 Celik 等人[92]通过将 groovy 代码转换成中间表示, 设 计了一款智能应用的污点源到 Sink 的数据流分析工 具, 并提供开放的 Web 接口, 只需提供源码即可分 析出存在可能的隐私泄露点的数量, 但该工具只分 析了单应用, 无法完成跨应用的污点分析。 Jia 等人[93]考虑到物联网开放平台粗粒度的权限 管理机制的缺陷, 提出一种基于上下文的权限控制 系统 ContextIoT,根据细粒度的上下文信息来描述敏 感的数据操作, 并使用包含上下文数据信息的运行 时提示来帮助用户控制应用的敏感操作, 但该工具 过于专业化, 普通用户难以使用。Ding 等人[94]提取 出物联网应用与环境的交互链, 并使用聚类算法计 算每条交互链的风险值。Fernandes 等人[95]分析了包 括 IFTTT[96]在内的 7 个联动平台(trigger-action platform), 发现攻击者可能获得过度授权的 OAuth 令牌, 从而对设备进行提权攻击, 为此作者设计了一个去 中心化的联动平台, 使得攻击者无法使用与用户定 义规则不一致的 OAuth 令牌。 3.4 测评需求 轻量级安全保障技术在提出时都会有严格的安 全证明, 但是在实际的实现过程中往往会存在传统 的代码上的漏洞, 因此我们需要对秘钥管理协议、密 码算法以及认证协议进行完善的安全测评, 尤其是 密码生成和管理算法。 物联网智能网关面临多种攻击问题, 智能路由 也存在协议设计上的漏洞, 边缘计算平台也遇到拒 绝服务和恶意注入攻击。因此, 我们需要对物联网网
陈钊等:物联网安全测评技术综述 11 关进行深入的安全评估,对协议进行严密的形式化 3)多端点交互安全分析与评估技术。针对物联 验证和实现上的安全测试,边缘平台也需要提供充 网应用参与方较多的特点,构建物联网应用交互模 分的安全防御措施。 型,分析多方交互导致的安全问题,并揭露安全风 物联网开放平台的发展可谓百花齐放,百家争 险信息。 鸣。但是在为用户提供智能服务之前,缺乏完善地安 4.2绿色、智能、开放技术的安全测评 全防护设计以及安全测评工作,导致了发生了上述 随着物联网设备的不断增长,网络环境的愈加 数据盗用、隐私泄露以及安防问题。 复杂,开放服务的不断丰富,物联网新技术不断被 目前针对物联网开放平台的研究工作主要关注 提出。但是从目前的分析来看,物联网安全在这几个 于平台粗粒度的权限管理机制带来的安全问题及其 方面均面临较严重的安全问题。 增强技术实现,而且目前的方法大多针对三星 物联网大规模应用的前提是需要符合绿色发展 SmartThings、IFTTT平台,不具备通用性。因此物联 的理念,尽可能地降低安全技术的能耗。低功耗的安 网开放平台的安全测评研究需要更加深入,为开放 全技术不仅需要从数学上严格证明算法的安全性, 平台提供通用的测评方案。 也需要对实现代码进行深入的安全测试,从理论上 和实现上保证安全算法的安全可靠。 4 物联网安全测评面临的挑战和未来研 物联网中的异构设备和异质网络资源给安全测 究方向 评工作带来巨大的挑战。大规模的物联网系统固件 物联网由于节点种类繁多、功能异构,泛在异质 提取、分析是个艰巨的任务,我们还需要深入对系统 网络连接等问题使得物联网系统的自动化测试与评 固件的安全分析工作,尽可能多地分析系统中可能 估变得异常复杂,目前的等级保护测评工作大多以 存在的安全问题,防止被黑客利用造成不可挽回的 手工为主、少量自动化工具为辅的方式进行。而且 经济损失。 目前智慧城市等复杂应用场景对物联网系统提出了 智能网关、智能路由以及边缘计算平台的快速 新的技术要求,因而在绿色节点、智能网络、开放平 发展,使得物联网更加易于操作,为用户提供智能 台的技术要求下,实施物联网安全测评也面临更加 便捷的服务。然而智能网关、智能路由都存在各自 严峻的挑战。下文将从安全测评、新技术测评需求 的安全问题,我们可以从以下三个方面完善对智能 两个方面分析物联网安全测评研究面临的挑战并探 网络的测评工作。 讨未来的研究方向。 1)设计物联网安全指纹提取和设备发现的测评 4.1安全测评 方法。构建指纹伪造攻击模型,分析新兴的指纹提取 目前物联网系统安全测评工作仅存在少量国内 技术和设备发现和管理技术的安全问题。 外的测评标准,一方面,国家有关部门应该实施对 2)针对目前快速发展的边缘计算平台,设计测 物联网相关产品安全测评工作的监督:另一方面, 评方法对其在访问控制、数据隐私保护以及资源调 安全测评相关的学术研究不够完善,对产品的测评 度等方面的攻击防御能力。 工作缺乏在大规模场景下的安全检验。 3)设计常用机器学习及深度学习算法的安全测 通过前文分析,我们认为,可以从以下三个方 评方法,保证智能算法的安全。当然,目前对AI算 面,进一步促进物联网安全测评工作朝着自动化的 法的测试分析是个非常火热的方向。 方向发展。 未来几年,物联网开放平台应该更加关注安全 1)大规模物联网设备固件分析和漏洞挖掘技 防护手段以及安全开放体系的建设。在安全访问控 术。设计高精度大规模物联网感知设备固件提取及 制方面,通用的细粒度授权机制、多用户访问机制以 分析方法和硬件安全评估方法。针对设备可能发生 及应用与环境交互造成的安全问题的分析将会是物 的侧信道攻击,构建攻击和防御模型,保证设备的 联网开放测评的未来研究重点。 安全性。 5总结与展望 2)支持大规模异构真实设备和虚拟设备的混合 仿真协议测评技术。针对目前大规模的物联网设备 在物联网迅速应用于各大产业后,安全问题层 接入现状,设计大规模并行分布式虚实结合的混合 出不穷,造成的财产损失较大、影响严重。物联网测 仿真测试平台,对物联网中不同的感知网络协议进 评技术能够为物联网应用提供安全保障,本文总结 行安全分析和测试。 了现有物联网测评技术和风险评估技术,并指出其
陈钊 等: 物联网安全测评技术综述 11 关进行深入的安全评估, 对协议进行严密的形式化 验证和实现上的安全测试, 边缘平台也需要提供充 分的安全防御措施。 物联网开放平台的发展可谓百花齐放, 百家争 鸣。但是在为用户提供智能服务之前, 缺乏完善地安 全防护设计以及安全测评工作, 导致了发生了上述 数据盗用、隐私泄露以及安防问题。 目前针对物联网开放平台的研究工作主要关注 于平台粗粒度的权限管理机制带来的安全问题及其 增强技术实现, 而且目前的方法大多针对三星 SmartThings、IFTTT 平台, 不具备通用性。因此物联 网开放平台的安全测评研究需要更加深入, 为开放 平台提供通用的测评方案。 4 物联网安全测评面临的挑战和未来研 究方向 物联网由于节点种类繁多、功能异构, 泛在异质 网络连接等问题使得物联网系统的自动化测试与评 估变得异常复杂, 目前的等级保护测评工作大多以 手工为主、少量自动化工具为辅的方式进行。而且 目前智慧城市等复杂应用场景对物联网系统提出了 新的技术要求, 因而在绿色节点、智能网络、开放平 台的技术要求下, 实施物联网安全测评也面临更加 严峻的挑战。下文将从安全测评、新技术测评需求 两个方面分析物联网安全测评研究面临的挑战并探 讨未来的研究方向。 4.1 安全测评 目前物联网系统安全测评工作仅存在少量国内 外的测评标准, 一方面, 国家有关部门应该实施对 物联网相关产品安全测评工作的监督; 另一方面, 安全测评相关的学术研究不够完善, 对产品的测评 工作缺乏在大规模场景下的安全检验。 通过前文分析, 我们认为, 可以从以下三个方 面, 进一步促进物联网安全测评工作朝着自动化的 方向发展。 1) 大规模物联网设备固件分析和漏洞挖掘技 术。设计高精度大规模物联网感知设备固件提取及 分析方法和硬件安全评估方法。针对设备可能发生 的侧信道攻击, 构建攻击和防御模型, 保证设备的 安全性。 2) 支持大规模异构真实设备和虚拟设备的混合 仿真协议测评技术。针对目前大规模的物联网设备 接入现状, 设计大规模并行分布式虚实结合的混合 仿真测试平台, 对物联网中不同的感知网络协议进 行安全分析和测试。 3) 多端点交互安全分析与评估技术。针对物联 网应用参与方较多的特点, 构建物联网应用交互模 型, 分析多方交互导致的安全问题, 并揭露安全风 险信息。 4.2 绿色、智能、开放技术的安全测评 随着物联网设备的不断增长, 网络环境的愈加 复杂, 开放服务的不断丰富, 物联网新技术不断被 提出。但是从目前的分析来看, 物联网安全在这几个 方面均面临较严重的安全问题。 物联网大规模应用的前提是需要符合绿色发展 的理念, 尽可能地降低安全技术的能耗。低功耗的安 全技术不仅需要从数学上严格证明算法的安全性, 也需要对实现代码进行深入的安全测试, 从理论上 和实现上保证安全算法的安全可靠。 物联网中的异构设备和异质网络资源给安全测 评工作带来巨大的挑战。大规模的物联网系统固件 提取、分析是个艰巨的任务, 我们还需要深入对系统 固件的安全分析工作, 尽可能多地分析系统中可能 存在的安全问题, 防止被黑客利用造成不可挽回的 经济损失。 智能网关、智能路由以及边缘计算平台的快速 发展, 使得物联网更加易于操作, 为用户提供智能 便捷的服务。然而智能网关、智能路由都存在各自 的安全问题, 我们可以从以下三个方面完善对智能 网络的测评工作。 1) 设计物联网安全指纹提取和设备发现的测评 方法。构建指纹伪造攻击模型, 分析新兴的指纹提取 技术和设备发现和管理技术的安全问题。 2) 针对目前快速发展的边缘计算平台, 设计测 评方法对其在访问控制、数据隐私保护以及资源调 度等方面的攻击防御能力。 3) 设计常用机器学习及深度学习算法的安全测 评方法, 保证智能算法的安全。当然, 目前对 AI 算 法的测试分析是个非常火热的方向。 未来几年, 物联网开放平台应该更加关注安全 防护手段以及安全开放体系的建设。在安全访问控 制方面, 通用的细粒度授权机制、多用户访问机制以 及应用与环境交互造成的安全问题的分析将会是物 联网开放测评的未来研究重点。 5 总结与展望 在物联网迅速应用于各大产业后, 安全问题层 出不穷, 造成的财产损失较大、影响严重。物联网测 评技术能够为物联网应用提供安全保障, 本文总结 了现有物联网测评技术和风险评估技术, 并指出其