4 Journal of Cyber Security信息安全学报，2019年5月，第4卷，第3期 RFD系统一般由标签、读写器、应用软件组成， 被测设备上被利用，来完成对物联网设备的安全检 且存在着较多针对这三个组件的攻击方法。对RFID 测。国内的神州绿盟信息安全科技股份有限公司开 系统的安全测评主要包括两类，第一类是使用仿真 发的绿盟工控漏洞扫描系统实现了针对SCADA 实验模拟应用的运行过程，并引入错误来评估系统 (Supervisory Control and Data Acquisition、现场总 受到的影响。Abdelmalek等人[设计了一个支持错误 线、数字化设计制造软件的漏洞扫描，具备发现漏 注入和实时监测的仿真平台。可以通过模拟和观察 洞、评估漏洞、展示漏洞、跟踪漏洞等完备的漏洞 系统状态来帮助工程师了解芯片错误和协议修改对 管理能6。北京匡恩网络科技有限责任公司开发 各部件的影响，也可以通过分析错误传播过程及行 的漏洞挖掘检测平台，能够检测出工业控制设备、保 为来评价RFID架构的安全性。Mezzah等人I门针对文 护设备或工业控制系统中存在的己知漏洞和缺陷， 献[6]中没有进行完整错误注入影响分析等问题，开 还能利用优化后的高效模糊测试引擎来挖掘潜在的 发了一个基于FPGA(field-programmable gate array) 未知漏洞1刃。 的可配置的错误模拟系统，可以分析单粒子翻转 在嵌入式操作系统安全测评方面，主流工作是 (Single event upset--SEU)和单粒子瞬变(single event 基于传统PC操作系统的安全测试。对物联网中功能 transient-SET)两种类型的错误。 受限的操作系统的测评，主流工作是建立操作系统 另外一类方法是对RFD系统的安全审计。早在 的状态机模型，分析系统的不安全状态形成过程。N 2009年，芬兰的奥卢大学就开源了一款RFID安全审 等人8提出一个嵌入式系统的安全评估模型，定义 计工具RIDAC8,包括对RFID标签的外观检查、耦 了对象模型、消息模型、角色模型及其之间的约束 合与频率、能力供应与调制等步骤。Tiago等人例 关系，然后根据对象间交互参数计算出对象的风险 借鉴文献8]的思想提出了一个类似的更全面的方法， 级别。Tabrizi等人I通过建立智能电表的抽象模型， 其步骤包括外观检查、FCC(Federal Communications 并利用模型检测方法来自动生成让系统进入非安全 Commission)ID检查、频段检测、高低频段标签参数 状态的动作序列，该动作序列即潜在的恶意序列。该 分析、超高频标签参数分析、标准分析等。在企业 方法能够检测操作系统设计时的安全问题，能给系 方面，BM公司在美国和欧洲等地方都设置了RFID 统设计提供重要参考。同济大学设计了一个嵌入式 的测试实验室，可以测试RFD芯片、阅读器和应用 系统仿真测试平台20，可以将系统代码从目标机器 软件来检测它们之间的通信情况。由中国台湾经济 中剥离，然后在宿主机上进行全数字仿真测试，能 部技术处和商业司建设的“亚太RFD应用验测中 够极大地降低嵌入式系统的安全测试成本。但是该 心”于2005年宣布启用，该中心按照业务流程主要 平台只适用于基于32位ARM CPU内核的嵌入式 分为：RFID静态性能测试、RFID动态性能测试及 系统。 RFD产业应用实验场三大部分。 在针对物联网设备的嵌入式固件的安全分析方 在设备安全测评方面，主要的方法包括漏洞扫 面，主要有静态分析和动态分析两种方法。法国的通 描、弱密码检测等。Loi等人设计了一个系统化的 信系统工程师学校(EURECOM)首次提出了大规模 方法来识别物联网设备中存在的安全问题。该方法 嵌入式固件镜像静态分析框架，包括镜像收集、过 从隐私数据的机密性、传输数据的完整性、设备的 滤、解包和分析等步骤。分析了3.2万个固件镜像，发 访问控制、设备上发起的反射攻击凹四个维度来评 现38个未发现的漏洞2。Chen等人22通过基于软 估设备可能受到的威胁。并根据测评结果设计了物 件的全系统仿真自动化地动态分析固件漏洞，发现 联网设备的安全评分机制，简单易用。Shodan是全 了14个未发现的漏洞，但是该方法基于预编译的插 球第一个物联网设备专用的搜索引擎2)，可以利用 桩的Liux系统，具有一定的局限性，而且只支持 Shodan检索连接到互联网的所有网络设备。Ali等 ARM和MPS的硬件体系架构。 人I31利用Shodan扫描了约旦市的物联网设备，发现 2.2 网络安全测评 很多潜在的漏洞，目的是警示约旦的物联网设备开 物联网的网络层主要涉及核心网、无线网络以 发商和开发者应该更多地关注物联网设备的脆弱 及移动通信网络系统。传统的网络安全测试主要包 性。McMahon等人14利用Shodan分析了自建的关 括功能测试、性能测试、安全性测试以及可用性测 于医疗器械的测试床，发现10%左右的设备都存在 试。而物联网网络层测评更多地关注对网络事件以 漏洞。Anisetti等人Is根据Shodan的扫描信息构建 及协议包的仿真测试，本节主要介绍物联网感知网 设备测试知识集，并检验已知可利用漏洞是否能在 络仿真工具和测试工具。4 Journal of Cyber Security 信息安全学报, 2019 年 5 月, 第 4 卷, 第 3 期 RFID 系统一般由标签、读写器、应用软件组成, 且存在着较多针对这三个组件的攻击方法。对 RFID 系统的安全测评主要包括两类, 第一类是使用仿真 实验模拟应用的运行过程, 并引入错误来评估系统 受到的影响。Abdelmalek 等人[6]设计了一个支持错误 注入和实时监测的仿真平台。可以通过模拟和观察 系统状态来帮助工程师了解芯片错误和协议修改对 各部件的影响, 也可以通过分析错误传播过程及行 为来评价 RFID 架构的安全性。Mezzah 等人[7]针对文 献[6]中没有进行完整错误注入影响分析等问题, 开 发了一个基于 FPGA (field-programmable gate array) 的可配置的错误模拟系统, 可以分析单粒子翻转 (Single event upset-SEU) 和单粒子瞬变(single event transient -SET)两种类型的错误。 另外一类方法是对 RFID 系统的安全审计。早在 2009年, 芬兰的奥卢大学就开源了一款RFID安全审 计工具 RIDAC[8], 包括对 RFID 标签的外观检查、耦 合与频率、能力供应与调制等步骤。Tiago 等人[9] 借鉴文献[8]的思想提出了一个类似的更全面的方法, 其步骤包括外观检查、FCC (Federal Communications Commission) ID 检查、频段检测、高低频段标签参数 分析、超高频标签参数分析、标准分析等。在企业 方面, IBM 公司在美国和欧洲等地方都设置了 RFID 的测试实验室, 可以测试 RFID 芯片、阅读器和应用 软件来检测它们之间的通信情况。由中国台湾经济 部技术处和商业司建设的“亚太 RFID 应用验测中 心”于 2005 年宣布启用, 该中心按照业务流程主要 分为: RFID 静态性能测试、RFID 动态性能测试及 RFID 产业应用实验场三大部分。 在设备安全测评方面, 主要的方法包括漏洞扫 描、弱密码检测等。Loi 等人[10]设计了一个系统化的 方法来识别物联网设备中存在的安全问题。该方法 从隐私数据的机密性、传输数据的完整性、设备的 访问控制、设备上发起的反射攻击[11]四个维度来评 估设备可能受到的威胁。并根据测评结果设计了物 联网设备的安全评分机制, 简单易用。Shodan 是全 球第一个物联网设备专用的搜索引擎[12], 可以利用 Shodan 检索连接到互联网的所有网络设备。Ali 等 人[13]利用 Shodan 扫描了约旦市的物联网设备, 发现 很多潜在的漏洞, 目的是警示约旦的物联网设备开 发商和开发者应该更多地关注物联网设备的脆弱 性。McMahon 等人[14]利用 Shodan 分析了自建的关 于医疗器械的测试床, 发现 10%左右的设备都存在 漏洞。Anisetti 等人[15]根据 Shodan 的扫描信息构建 设备测试知识集, 并检验已知可利用漏洞是否能在 被测设备上被利用, 来完成对物联网设备的安全检 测。国内的神州绿盟信息安全科技股份有限公司开 发的绿盟工控漏洞扫描系统实现了针对 SCADA (Supervisory Control and Data Acquisition)、现场总 线、数字化设计制造软件的漏洞扫描, 具备发现漏 洞、评估漏洞、展示漏洞、跟踪漏洞等完备的漏洞 管理能力[16]。北京匡恩网络科技有限责任公司开发 的漏洞挖掘检测平台, 能够检测出工业控制设备、保 护设备或工业控制系统中存在的已知漏洞和缺陷, 还能利用优化后的高效模糊测试引擎来挖掘潜在的 未知漏洞[17]。 在嵌入式操作系统安全测评方面, 主流工作是 基于传统 PC 操作系统的安全测试。对物联网中功能 受限的操作系统的测评, 主流工作是建立操作系统 的状态机模型, 分析系统的不安全状态形成过程。Ni 等人[18]提出一个嵌入式系统的安全评估模型, 定义 了对象模型、消息模型、角色模型及其之间的约束 关系, 然后根据对象间交互参数计算出对象的风险 级别。Tabrizi 等人[19]通过建立智能电表的抽象模型, 并利用模型检测方法来自动生成让系统进入非安全 状态的动作序列, 该动作序列即潜在的恶意序列。该 方法能够检测操作系统设计时的安全问题, 能给系 统设计提供重要参考。同济大学设计了一个嵌入式 系统仿真测试平台[20], 可以将系统代码从目标机器 中剥离, 然后在宿主机上进行全数字仿真测试, 能 够极大地降低嵌入式系统的安全测试成本。但是该 平台只适用于基于 32 位 ARM CPU 内核的嵌入式 系统。 在针对物联网设备的嵌入式固件的安全分析方 面, 主要有静态分析和动态分析两种方法。法国的通 信系统工程师学校(EURECOM)首次提出了大规模 嵌入式固件镜像静态分析框架, 包括镜像收集、过 滤、解包和分析等步骤。分析了 3.2 万个固件镜像, 发 现 38 个未发现的漏洞[21]。Chen 等人[22]通过基于软 件的全系统仿真自动化地动态分析固件漏洞, 发现 了 14 个未发现的漏洞, 但是该方法基于预编译的插 桩的 Linux 系统, 具有一定的局限性, 而且只支持 ARM 和 MIPS 的硬件体系架构。 2.2 网络安全测评 物联网的网络层主要涉及核心网、无线网络以 及移动通信网络系统。传统的网络安全测试主要包 括功能测试、性能测试、安全性测试以及可用性测 试。而物联网网络层测评更多地关注对网络事件以 及协议包的仿真测试, 本节主要介绍物联网感知网 络仿真工具和测试工具