物联网安全体系研究

本文介绍了物联网体系中四个层面的安全需求与威胁，提出了物联网安全体系架构的六大领域，并基于该体系架构上做安全分级定义与对应的分级要求，给出各关键技术与参考实践。

万物互联时代，物联网已与日常生活、工业生产深度融合，为全社会带来深刻变革。传统的互联网安全通常使用一套完整且复杂的安全防护方案，而在物联网应用场景中，由于业务规模、责任主体、数据种类、基础设施性能、信息传播形态存在差异，不同的安全风险需求应采用对应等级的管控手段，为物联网安全建设带来了挑战，亟需一套完整的、统一的物联网安全体系。

本文介绍了物联网体系中四个层面的安全需求与威胁，结合与支付相关的应用场景特性，设计并建立了物联网安全体系架构，包含了“感知安全”、“网络安全”、“平台安全”、“应用安全”、“基础能力”、“安全防护”的六大领域，并对感知安全的组成内容做了简要的分析与说明。

01、物联网安全概述

随着基础设施的扩展、物联技术的进步、标准体系的成熟以及国家政策的推动，物联网应用领域在不断拓宽，新的应用场景将不断涌现。未来，我国物联网产业将在智能电网、智能家居、数字城市、智能医疗、智能物流、车用传感器等领域率先普及，成为产业革命重要的推动力。然而，物联网在给我们带来便利的同时，物联网的设备、网络、应用等也在面临着愈发严峻的安全威胁。

在物联网建设初期，由于规模的限制，各个物联网区域之间相对独立，还未构成真正意义的互联互通，信息安全威胁也较小。但随着物联网系统数量的增多和规模的扩大，特别是随着这些物联网应用系统的互联互通与数据处理平台的集中管理，物联网安全问题将逐渐显现。

为了更好地应对与降低上述威胁，需要设计并建立完善的物联网安全体系架构，通过分析感知层、网络层、平台层与应用层的安全威胁与需求，将边界设备、应用、传输、协议和分析能力集成起来，形成功能完备的物联网生态系统，不仅有助于选取、研发适合物联网的安全技术，更有助于保证物联网安全系统与安全应用的建设规范性、标准化与实用价值。

02、物联网安全需求与威胁

从功能属性上，物联网可被分为四层结构。

一、全面的感知能力，可以利用RFID、传感器、二维条形码等获取被控/被测物体的信息。此层定义为感知层。

二、数据信息的可靠传递，可以通过各种网络与互联网的融合，将物体的的信息实施准确地传递出去。此层定义为网络层。

三、可智能处理，利用现代控制技术提供的智能计算方法，对大量数据和信息进行分析和处理，对物体实施智能化的控制。此层定义为平台层。

四、可根据各行各业的具体特点形成各种单独的业务应用，或者整个行业及系统的建成应用解决方案，此层定义为应用层。

如下图所示，在每一层中具有不同的安全风险与威胁，针对这些风险项，应用、系统、传输与终端分别有不同的安全需求。

图1 物联网安全威胁与安全需求

03、物联网安全体系架构

物联网安全体系架构如下图所示，包括“感知安全”、“网络安全”、“平台安全”、“应用安全”、“基础能力”、“安全防护”六大类别领域。其中，“感知安全”包含安全启动、加密存储、加密传输、密钥管理机制、物理安全等，“网络安全”包含身份认证与准入控制、协议安全等，“平台安全”包含边界防护、准入控制等，“应用安全”包含身份鉴别与授权、数据资产安全等，“基础能力”包含数据加密算法、完整性校验等，“安全防护”包含防暴力破解、入侵检测与容错容侵等。

图2 物联网安全体系架构图

物联网场景的特性在于端侧，如下图所示，将对感知安全的组成内容作简要的分析与说明。

图3 感知安全的组成内容

（1）安全启动

安全启动是指在固件中启用信任源机制。将根证书嵌入在感知设备的固件中，以验证签名的引导加载程序。然后再由签名的引导加载程序验证已签名内核或已签名的第二级引导加载程序等。

（2）加密存储

物联网感知设备的采集并生成的数据，会经过网关和传输网络上传至云端的物联网平台和应用系统进行处理和存储，再经由云端平台再次发送到感知设备，这些反馈数据与响应信息需要保存到感知设备中。此外，感知设备本身采集到的信息也并非实时上传，为了避免信息丢失，需在感知设备或网关存储。为了保证存储信息不会被第三方通过物理的方法窃取，需要使用加密存储。

（3）加密传输

物联网的数据加密传输可从网络通信中的三个层次来体现：链路加密、节点加密和端到端加密。

链路加密是指数据在发送端加密，接收端收到数据后解密，再使用下一个链路的密钥对数据加密，最后传输数据，如此重复。在传输过程中，包括路由信息在内的信息均是密文，链路加密可保护被传输数据的发送端与接收端。

节点加密是指链路加密中，数据在节点处是以明文的形式出现，而节点加密不允许数据在网络节点上以明文形式存在，因此节点先将数据解密，然后采用另一个不同的密钥加密，这一过程是在节点上的安全模块中进行的。

端到端加密是指数据在被传输到达接收端之前不进行解密，并且加密数据本身信息，不加密路由控制信息。

（4）密钥管理机制

移动通信网是一种相对集中式管理的网络，而无线传感器网络和感知节点由于计算资源的限制，物联网密钥管理系统需要构建一个贯穿于多个网络的统一密钥管理系统，并与物联网体系相适应；同时解决感知网络密钥的分配、更新、组播等问题。

（5）物理安全

物理安全是保护物联网设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种网络犯罪行为导致的破坏过程。保证物联网系统各种设备的物理安全是保障整个网络系统安全的前提，包含环境安全、设备安全、介质安全和安全措施。

环境安全是指对系统所在环境的安全保护，如区域保护和灾难保护。

设备安全是指感知设备的防盗、防毁、防电磁干扰和电磁信息泄露、电源保护等方面。

介质安全是指媒体数据的安全及媒体本身的安全。

安全措施是指除了安全的服务器机房，高可靠性服务器外，还应采用内外网物理隔离、磁盘阵列对数据进行数据备份等安全措施来解决物理安全。

（6）固件/系统安全

要对固件/系统的软硬件的升级与漏洞及时修复，来不断提高攻击者解剖芯片、利用显微技术和芯片制作的工艺、技术直接读取存储在芯片内固件信息的难度，使其破解成本远远大于大多数物联网设备能提供的价值。

（7）可信执行环境

TEE在连接设备中提供安全区域，确保敏感数据在隔离、可信的环境中存储、处理和保护。通过提供隔离的、安全执行的授权软件，实现端到端的安全。即TEE表示一个与SoC中其他模块隔离并能够执行可信应用程序（TAs）的区域。

（8）旁路攻击防护

旁路攻击也叫侧信道攻击，是针对电子设备在运行过程中的时间消耗功率消耗、功率消耗或电池辐射之类的信息泄露而进行攻击的方法。这类新型攻击的有效性远高于密码分析的数学方法，给密码设备带来了严重的威胁。

（9）权限管控

权限管控是通过某种途径显式地准许或限制访问能力及范围的一种方法。一是防范越权使用资源，限制对关键资源的访问，二是防止非法用户入侵，或合法用户的不慎操作导致的破坏。对于权限的管控，实际上是对主客体之间策略关系的管控。

（10）接入安全

根据入网方式的不同，物联网接入安全分为感知设备接入安全、网络接入安全和用户接入安全。

感知设备接入安全是指感知网络通过各种方式与互联网连接，对端外部网络中的设备可对感知域进行管理和控制。

网络接入安全是指物联网网关支持多协议的接入，并支持协议之间的转换，实现感知网络和互联网之间的信息转换。

用户接入安全是指要确认用户身份的合法性，在确定用户身份合法的基础上给用户分配相应的权限，限制用户访问系统资源的行为和权限，保证用户安全地使用物联网系统资源，以及内网节点、用户的信任管理等问题。

04、总结

本篇介绍了物联网体系中四个层面的安全需求与威胁，提出了物联网安全体系架构的六大领域，包含了“感知安全”、“网络安全”、“平台安全”、“应用安全”、“基础能力”、“安全防护”的六大领域，并对感知安全的组成内容做了更细化的说明。

在下一篇中，会介绍在此体系架构上的安全分级定义与对应的分级要求。

在上一篇中，介绍了物联网体系中四个层面的安全需求与威胁，提出了物联网安全体系架构的六大领域，包含了“感知安全”、“网络安全”、“平台安全”、“应用安全”、“基础能力”、“安全防护”的六大领域，并说明了感知安全的组成内容。本文会在此体系架构上做安全分级定义，并给出对应的分级要求。

01、物联网场景的特性

与传统信息安全不同，物联网安全的特殊性主要体现在以下几个方面：

一是与用户属性强相关。在绝大多数情况下，传统计算机网络中的硬件设备与用户之间是一对多或多对一的松耦合关系。但是在物联网场景中，各种物联网设备价格便宜、便于携带，直接作用于现实生活，变成了个人资产和私人物品，与生活息息相关，与个人的用户属性强相关，具有非常明显的用户属性，因此，物联网设备携带了敏感的用户隐私信息。

二是无人值守的使用场景。物联网解决了智能化和自动化的问题，大量减少了运维人员的参与。远离中心的偏远地区、数量巨多无法管控的设备机房，值守工作变得非常不现实，物联网设备为了适应这些使用场景，具备了低功耗窄带宽的特性，能够适应与上述各种场合的使用。但也正是无人值守的特点，将物联网设备变成了安全防护的盲点。大量物联网设备可能遭受了攻击，但并未被发现。

三是设备量和数据量非常庞大。物联网事业的发展，深入到生产和生活的方方面面，小而散的物联网设备产生了大量的数据，这对传统的信息安全形成了挑战，以往的手段可能难以处理如此海量的设备和数据，需要形成物联网特色的安全防护手段。

四是专用的物联网协议。物联网的核心组成就是物联设备、网关和云端。物联设备分为两类，一类是其自身支持TCP/IP而能直接物联网，如WiFi/4G/5G等；另一类是其未能支持IP协议而需要网关来接入物联网，如Zigbee、蓝牙等。

由于存在多种特性，难以直观地阐述IoT产品或系统是否对攻击者有价值。攻击的价值通常取决于系统的部署和使用方式，以及业务场景本身的金融属性与规模，而不是物联网设备或应用的类型。同一个物联网设备，可能连接到家庭中心网络，可以访问家庭成员的私人信息，也有可能处于一个封闭的环境中，前者明显比后者具有更大的攻击价值。同样，一个本身没有任何数据价值的设备，可能因为其连接到Internet，可以成为僵尸网络的一员，从而变得具有安全隐患。因此，物联网系统的安全性更多地在于其位于何处，该系统可访问的数据及资源，以及所处的应用场景，而非其设备或系统本身。

接下来，将从设备和系统特性与业务特性来研究物联网安全分级。

02、物联网安全等级划分

由于物联网应用场景安全需求的差异性，并考虑到物联网终端设备的性能高低，不同场景应采用不同的安全保护措施。为了确定物联网应用场景所需的安全级别，如表所示，对物联网系统特性与业务特性进行了分析与定义，并基于此，划分了其对应的安全等级。

特别地，当物联网系统或设备同时满足多个特性时，应以最高的安全等级作为该系统或设备的安全等级。例如，蓝牙门锁场景，只能通过非Internet可路由连接访问它（低级安全等级），但是由于其提供了与物理安全性和安全性相关的功能，因此，应采用更高的安全级别措施。

高级安全等级

高级安全等级的物联网系统是指存在最高的安全风险，安全事件一旦发生会演变成重大安全事故，造成巨大损失。在安全要求方面需要重点的关注和严格的防范，不得存在安全隐患。

A.具备与安全性相关的功能。设备本身负责物联网系统的安全，或为其他物联网设备提供防护功能，其安全性不仅涉及自身安全，而且是整个系统安全的核心，因而其安全级别理应定义为高级，做最为严密的安全防范。

B.涉及物理安全属性的物联网设备。物理安全属性如人生安全、基础设施安全、甚至是社会的稳定和生活的秩序，设备一旦被攻击会带来灾难性的后果，必须确保万无一失，不能存在任何安全隐患，因而也应定义为高级。

C.依赖互联网运行。设备必须连接Internet网络，时刻保持在线，因此容易被网络攻击并作为跳板，形成稳定的僵尸网络，面临着大规模自动攻击的风险，将这类设备也归类为高级的安全风险。

D.具有执行支付相关功能。设备连接到金融系统，而金融系统是整个国家重要的经济命脉的基础设施，被攻击后将极大影响经济秩序，因此应对接入金融系统的其他系统有着严格的安全规范，将此类设备定义为高安全风险等级。

中高级安全等级

中高级安全等级的物联网系统是指存在较高的安全风险，安全事件一旦发生会演变成安全事故，造成损失。在安全要求方面需要做好防护，一旦发现安全隐患，需要及时解决。

A. 可以访问敏感数据，如视频或音频记录、交易明细等。这类物联网设备和系统本身保存有敏感数据，或者可以通过网络或其他介质访问敏感数据，不管它们是否连接到Internet，因为这些数据的隐私性，需要进行必要的安全防护。

B. 可接受来自互联网的指令。相比高级安全等级的“必须接受互联网指令”的物联网系统，这里是指那些可选配置是否连接到互联网接受增强型指令和功能的物联网系统。在互联网中传输的指令，由于传统的互联网的开放性和已存在的固有安全风险，也需关注对于来自互联网的安全威胁的防护。

C. 通过其他网关设备连接到Internet。物联网系统一旦经由其他设备和网关连接到Internet，就形成了可攻击路由的通道，在安全防护上也需关注。

D. 上传数据到Internet。一方面是因为与Internet直接存在的路由通道为攻击提供了可能性，另一方面是因为所上传数据可能涉及的隐私问题，可靠性问题等，存在安全上较高的需求。

中低级安全等级

中低级安全等级的物联网系统是指当前系统的安全要求较低，仅可能在未来的某种特定情况发生转变时才会转换成中高级安全等级，在系统架构发生变换时，需重新评估安全威胁，有针对性的进行安全防护。

A.可同时连接多个非Internet用户网络。此类物联网系统连接到其他的用户网络，虽然其他用户网络当前并不存在安全隐患，但由于可能连接到其他用户网络带来的不确定性和复杂性，一旦其他用户网络发生变化，可能会把其安全隐患威胁到当前的物联网系统。因此，需对其他用户网络的安全状态同步关注。

低级安全等级

低级安全等级的物联网系统是系统就目前所认知的安全范畴，存在可接受的安全风险。在安全要求方面，需定期适当关注即可。

A.只支持连接本地的单个非Internet网络。无法连接到Internet的物联网系统风险可控。

B.超短距离的网络。超短距离网络的物联网系统中，其他设备和系统如果要接入该系统，必须在本地近距离内实施，基本不存在攻击的可行性。

C.功能简单几乎没有破坏性。这种物联网系统即使被攻击，也不存在任何危害。

D.不涉及任何用户信息和资源。可以利用和挖掘的价值基本不存在，避免了被黑客攻击的可能性。

03、物联网安全等级要求

由于物联网与传统互联网的不同点主要集中在端侧，因此在安全分级时，需在与端侧相关的领域采用不同的安全手段。通过类比《等保2.0》中的物联网安全扩展要求后，将物联网安全领域可重划分为“边界控制”、“感知节点”、“物理安全”、“运行管理”四大维度，其示例的安全要求如下表所示。

04、总结

本文分析了物联网场景的特性，并基于物联网系统特性与业务特性，划分了物联网安全等级，并给出了参考的对应分级要求。

在下一篇中，将介绍各个物联网安全等级的参考实践与对应技术。

在上两篇中，介绍了物联网体系中四个层面的安全需求与威胁，提出了物联网安全体系架构的六大领域，并基于该体系架构上做安全分级定义与对应的分级要求。本文会根据此物联网安全等级，给出各关键技术与参考实践。

01、物联网场景的特性

由于物联网与传统互联网的不同点主要集中在端侧，因此在安全分级时，需在与端侧相关的领域采用不同的安全手段。通过类比《等保2.0》中的物联网安全扩展要求后，如下图所示，我们将物联网安全领域可重划分为四大维度。

接下来，将根据物联网安全分级，从物理安全、感知节点、边界控制、运行管理四类，分别给出其对应关键技术。

02、物联网安全分级关键技术和建议

为了在物联网的工程应用中实际解决物联网安全等级的不同要求，应在各个安全领域中采用相应的安全技术、安全管理等措施。

2.1 物理安全

物理安全主要包括环境安全、设备安全、介质安全、旁路攻击保护。

环境安全

环境安全是对系统所在环境的安全保护，可通过规划环境安静，覆盖面合理，地理通道方便，干净整洁的环境、保持恒温恒湿达到环境安全的要求。

设备安全

设备安全包括设备的防盗、防毁、及电源保护等方面。可以通过各种稳频稳压设备解决，电源干扰可以通过良好的接地解决。

介质安全

介质安全是数据的安全及介质本身的安全。一般通过冗余和容错提供可靠性，通过故障恢复提供可用性，如双机双工热备份，主从热备份等容错方法。

旁路攻击保护

主要分为硬件/物理保护和履行保护。硬件/物理保护是阻止物理输出的信息泄露。履行保护自身又分为两类：隐藏保护和化妆保护。

对于物理安全的技术建议如下表所示。

2.2 感知节点

感知节点主要包括系统固件安全与安全启动。

系统/固件安全

结合物联网芯片厂商在芯片中的防护方法和现有的密码学手段，针对固件安全，有如下保护方法：

（1）加密传输与认证

为了防止固件在局域网中被获取，在产品升级流程中加入加密传输和请求认证的功能。

（2）隐藏主控芯片引脚和型号信息

为了隐藏UART、JTAG等调试接口，可使用隐藏主控芯片引脚和型号信息的方法。

（3）删除主板上这两类接口的焊盘和相关的丝印

除上述隐藏方法，还可以删除主板上这两类接口的焊盘和相关的丝印。

（4）设置主控芯片的读保护

在主控芯片内设置读保护，防止攻击者通过读取芯片内部Flash区域的固件。

（5）加密保护

加密一部分固件，以防止从固件中获取有效的信息，如文件系统。

安全启动

物联网安全启动一般包含多固件组件，包括：安全启动代码；安全启动管理器；驱动程序；安全启动的应用程序；系统装载器。

（1）信任根

在安全启动中，将平台密钥作为信任根，此密钥持有人能够修改平台上存在的任何其他信任锚列表。

（2）其他的信任锚

除平台密钥外，安全启动还维护密钥交换密钥（KEK）数据库与已允许签名数据库。

（3）签名固件

安全启动时，未明确列入白名单的固件必须进行数字签名并且要加盖时间戳，以便引导管理器验证映像签名。

（4）白名单和黑名单

除了数字证书之外，安全引导还允许授权实体将特定映像散列识别为可信（或不可信），可以允许（列入白名单）或撤销（列入黑名单）某些驱动。

（5）已认证变量

如果要更新已认证变量，调用者要在新的变量值上进行签名，之后受信任的固件在更新变量的值之前通过验证该签名来决定应否更新。

对于感知节点的技术建议如下表所示。

2.3 边界控制

边界控制主要包括通用加密与安全协议。

通用加密技术

（1）透明加密

透明加密又称自动加密，是针对本地的数据信息以加密后以文件的方式进行存储的技术。

（2）应用层加密

应用层透明加密技术结合了钩子技术和加密技术，监控应用读写数据的工作，以保证应用读写的是明文，存储介质保存的是密文。

（3）驱动层加密

驱动加密技术是基于物联网设备的文件系统(过滤)驱动技术。

安全协议技术

（1）IPSec协议

IPSec协议用来加密和认证IP包，防止他人在网络上查看数据包的内容或进行篡改。

（2）SSL协议

安全套接层SSL是为双方提供安全通道的协议，具有保护传输数据以及识别通信机器的功能。

（3）SSH协议

SSH也即安全Shell是一种通用的、功能强大的、基于软件的网络安全解决方案，通过安全认证和加密技术，为网络应用增加安全性。

（4）虚拟专网VPN

VPN是两个专用网络通过公共网络相互连接传输私有信息的一种方法。虚拟是因为两个专用网络的连接没有传统网络所需的物理的端到端的链路，而是架构在以Internet为基础的公网之上的逻辑网络。

对于边界控制的技术建议如下表所示。

2.4 运行管理

运行管理主要包括密钥管理、隐私保护、安全运维与安全测试。

密钥管理

在密钥管理系统的实现方法中，主要分为基于对称密钥系统的方法和基于非对称密钥系统的方法。在对称密钥系统方面，从分配方式上可分为基于密钥分配中心方式、预分配方式和基于分组分族方式。在非对称密钥系统方面，基于身份标识的加密算法最为常见。

隐私保护

（1）匿名化方法

该方法通过模糊化敏感信息来保护隐私，即修改或隐藏原始信息的局部或全局敏感数据。

（2）加密方法

基于数据加密的保护方法中，通过密码机制实现了他方对原始数据的不可见性以及数据的无损失性，既保证了数据的机密性，又保证了数据的隐私性。

（3）路由协议方法

路由协议方法主要用于无线传感网中的节点位置隐私保护，无线传感网的无线传输和自组织特性使得传感器节点的位置隐私保护尤为重要。

安全运维

（1）账户统一：一个用户在访问所有应用时只使用同一个账号，同时在一个应用中认证过以后再访问其它应用时不需要再次认证。

（2）内控与审计：一方面需要简洁与有效的手段实现内控；另一方面，对所有的操作都需要有记录，以便随时审核、审查。

（3）平台：针对运维安全管理、审计进行管控。

安全测试

需要一套完整的软件安全测试方法，引用自动化工具，完整地，全面地，自动化地进行软件安全测试，并逐步建立软件安全保障体系。

对于安全管理应用的技术建议如下：

03、总结

本文建立一套完整的物联网安全体系架构，提供全局视角的安全建设方针。同时，物联网应用场景具备不同的安全需求与属性，其所需的安全解决方案也各不相同，考虑到涉及支付功能、敏感数据、网络环境复杂的场景需要较高的安全等级保护，而短距离通信、功能简单、涉及较少用户信息与资源的则可采用较低的安全等级保护。对于不同的安全等级要求，在应用落地时则应采用对应的安全技术，为使用物联网的用户提供了安全的保障。本文所提出的物联网安全体系与分级要求，有利于制定更规范、更高效的物联网安全方案，从而为人们的生活与工作提供更好的物联网产品和服务。