物聯網產品安全檢測研究*

邵華 張冬芳 公安部安全與警用電子產品質量檢測中心

物聯網產品安全檢測研究*

邵華 張冬芳 公安部安全與警用電子產品質量檢測中心

從檢測內容、檢測方法、檢測環境、檢測流程等方面探討了一套能體現典型場景的安全檢測應用框架。提供RFID標簽及讀寫器、第二代居民身份證閱讀機具、遠程終端單元（RTU）等物聯網產品功能、性能、安全性和安全保證檢測。

物聯網信息安全檢測

一、引言

在公安工作中，采用物聯網技術的產品、應用方案率先應用于第二代居民身份證、警員定位與警力動態調配、會務保障、車輛動態監管、警用裝備和物證的單品級管理、大型刑事案件檢材管理、監所管理以及重點區域的監控與預警等，在涉人、涉車、涉物和重點場所管理上發揮了重要作用，實現了現代警務對事件信息的實時采集、動態處理和防范預警等智能化功能，極大地提升現代警務的實戰能力和服務水平，促進了警務工作的整體聯動和協同作戰。

但物聯網各類安全問題直接制約其發展，目前物聯網產品主要面臨5類威脅：（1）感知操作安全威脅。這類威脅主要是指感知設備在交互數據時存在的安全威脅，包括竊聽無線信道信息或數據，中間人攻擊、重放數據以及通過放大功率干擾設備或利用間諜標簽攻擊其防沖突協議，使感知產品失效[1-2]；（2）數據存儲安全威脅。攻擊者遠程或直接登錄感知節點設備，非法竊取或篡改感知節點設備存儲的數據和由于自然、人為或軟硬件故障造成的數據丟失或破壞；（3）數據處理安全威脅。感知數據處理過程中的信息泄漏以及由于軟硬件異常或外部人為攻擊造成的數據不一致；（4）感知產品通信安全威脅。旁路竊聽或截獲通信數據；篡改或偽造通信數據，導致網絡傳輸故障或拒絕服務攻擊；非法設備接入感知網，消耗網絡資源或進行其它攻擊行為；干擾網絡通信，破壞路由信息[3]；（5）感知產品安全威脅。這類威脅主要是產品系統以及安全配置威脅。非授權用戶修改感知節點設備配置參數與安全策略、安裝惡意軟件等；授權用戶越權操作，如用戶遠程登錄網絡攝像頭并私自改變攝像頭拍攝角度，導致拍攝出現死角，無法拍下犯罪行為[4-6]。

本文將針對上述威脅，依據相關標準，研究適用于感知產品且能體現典型場景的安全檢測應用框架。首先介紹了目前行業的安全檢測現狀，然后以居民身份證、RTU產品為例，從檢測內容、檢測環境、檢測方法和檢測流程等方面探討了典型場景的安全檢測應用框架。

二、檢測現狀

由于巨大利益的驅使，Sun、IBM、UPS、Microsoft等IT和物流行業巨頭已經重金投入對RFID的測試和解決方案的開發。美國聯合包裹服務公司（UPS）目前正在進行多項RFID測試，在其中一個實驗項目中，UPS公司把RFID貨運標簽放在可重復使用的集裝箱中，這些集裝箱用來裝運小型或形狀不規則的貨物，結果發現在不規則形狀的包裹上使用RFID標簽可以提高讀取速率；IBM也在美國馬里蘭州興建了RFID測試中心，并宣布這個測試中心可作為沃爾瑪等各家廠商將RFID導入例行操作之前的測試場地；Sun則在整合了硬件、軟件和服務后推出了多層的Sun EPC網絡架構，并在全球各地部署了多個RFID測試中心。

國內也已經開始著手建立自己的RFID測試中心，其中包括中科院自動化所的RFID研究中心，上海復旦的Auto-ID中國實驗室，國家RFID檢測中心以及相關行業公司的演示中心等。

但上述這些檢測機構主要側重于標準符合性、可用性的測試，未考慮行業特定需求。警務工作的特殊性，對RFID的安全系數要求更高，且更廣泛、更嚴格。因此需要針對公安等特殊行業實現更具有適用性的安全檢測能力。

三、產品安全檢測環境與內容

物聯網產品種類繁雜，僅警務應用的產品類型就包括溫感、煙感、有害氣體傳感器、遙測、遙控、遙信、人像識別攝像機、公安基礎信息采集設備、RFID標簽、RFID閱讀器、第二代身份證GPS/北斗產品等等，這些產品在滿足標準符合性、可用性的基礎上，還需要根據公安業務的安全需求，進行安全檢測。如公安部裝備財務局與科技信息化局正在起草人員基礎信息一體化采集設備通用技術戰技指標要求和檢測大綱，該產品既滿足身份信息、人像、身高、體重、足長等的信息采集，也必須對產品的數據安全、網絡安全和性能進行檢測。

物聯網產品檢測可根據用戶需求制定，檢測內容一般包括對產品的接口協議、數據速率、工作溫度、工作濕度、讀寫距離、振動、沖擊、碰撞、安全性、電磁兼容性、“一機兩用”等關鍵項目，同時可對RFID標簽、IC卡以及遠程終端單元的存儲容量、工作環境、抗射線、抗交變電磁場、抗沖擊、機械振動、自由跌落、抗靜電等關鍵項目進行檢測，并在實際應用環境下進行特定性能和策略符合性檢測，進一步驗證產品運行效果，形成一條包括產品級和應用級的檢測鏈。

（一）產品檢測分類

物聯網產品涵蓋物聯網智能感知層、接入傳輸層和業務應用層所有產品，根據應用方式、安全性要求的不同，可以分為3大類12項，如圖1所示。

下面將介紹RFID標簽及讀寫器、第二代居民身份證閱讀機具及遠程終端單元（RTU）產品檢測應用框架的示例。

（二）居民第二代身份證閱讀機具檢測

1.檢測環境和檢測工具

居民第二代身份證閱讀機具產品檢測環境如圖2所示。檢測工具包括：頻譜分析儀、射頻信號發生器、場強探頭、壓力試驗臺、振動試驗臺、主控PC、應用滲透測試軟件、測試腳本、居民第二代身份證應用軟件、抓包工具、NI-VISN-R2100RFID/NFC綜合測試儀、數字萬用表和無線接入點。

2.檢測內容

居民第二代身份證閱讀機具產品測試內容主要包括功能測試、性能測試、安全性測試以及安全保證測試四部分。

（1）功能測試

主要針對產品應用功能進行測試，測試內容包括數據通信、身份證識別，讀寫身份證信息等。

（2）性能測試

主要針對產品的物理特性和電磁特性，如耐振動、耐沖擊、耐溫濕度、工作頻率、電場強度閥值、抗擾度、讀卡響應時間等進行測試。

（3）安全性測試

安全性測試根據《公安物聯網感知層通用安全要求導則》和《信息技術安全性評估準則》，主要針對產品感知操作安全、數據處理安全、數據存儲安全、感知節點設備安全、感知節點設備通信安全、感知監控中心等6方面涉及的安全要求進行符合性檢測，如數據傳輸安全、標識和鑒別、TSF保護、資源利用等。

（4）安全保證測試

安全保證是解決如何正確有效的實施前述這些功能的保證要求，它包括產品的配置管理、交付與運行、開發、指導性文檔、測試、脆弱性評定等方面。

（三）RTU產品檢測

1.檢測環境和工具

RTU檢測環境如圖3所示。檢測工具包括：射頻信號發生器、性能測試儀、網絡分析儀、Zigbee/GPRS、Wi-Fi、以太網網關、無線接入點、Zigbee路由器、NIVISN-R2100RFID/NFC綜合測試儀、應用服務器、主控PC、場強探頭、壓力試驗臺、振動試驗臺、頻譜分析儀、數字萬用表、矢量網絡分析儀等。

2.檢測內容

遠程終端（RTU）產品測試內容主要包括功能測試、性能測試、安全性測試以及安全保證測試四部分。

（1）功能測試

內容包括數據采集、遙信、遙測、遙控、遙調和數據傳輸、遠程管理、圖片抓拍、報警、存儲、通信功能等。

（2）性能測試

主要針對產品的物理特性和電磁特性，如耐振動、耐沖擊、耐溫濕度、工作頻率、電場強度閥值、抗擾度、功耗、通信速率等進行測試。

（3）安全性測試

包括管理安全、安全審計、用戶數據保護、標識和鑒別、TSF保護、資源利用等。

（4）安全保證測試

同“居民第二代身份證閱讀機具”的檢測內容。

四、產品檢測的方法與流程

（一）檢測方法

根據產品形態的不同，產品安全檢測的檢測方法主要有功能驗證、電磁兼容試驗、性能檢測、滲透測試、文檔審查與分析、網絡抓包與協議分析等。

1.功能驗證

針對產品的功能特性，例如第二代居民身份證閱讀器獲取身份證、比對數據。

2.電磁兼容試驗

如檢測電場強度閾值：將信號發生器工作頻率設置為標簽的工作頻率，設置讀寫器從最小工作頻點開始發射詢問信號，保證標簽處的詢問信號電場強度從0v/m開始增加，直到讀寫器能夠通過標簽發射信號讀到其存儲的信號。檢測標簽靜電放電抗擾度，在嚴酷等級4、試驗電壓15kv、直接于標簽表面采用空氣放電、每個敏感試驗點放電次數正負極性各10次，每次放電間隔至少為1秒的條件下，對標簽進行識別功能和識別性能試驗。

3.滲透測試

抗干擾滲透測試：使用干擾源對工作中的射頻遙控器進行干擾，同時使用頻譜分析儀分析射頻遙控器的工作頻率，檢查射頻遙控器是否采用抗干擾技術防止頻段干擾；簡單攻擊探測：使用滲透性測試工具對自動柜員機進行IP欺騙攻擊，偽造虛假路由器IP地址，檢查自動柜員機是否能夠檢測到攻擊。使用漏洞掃描器對自動柜員機進行掃描，檢查自動柜員機是否能夠檢測到端口掃描；越權檢測：電子防盜鎖使用者在未經身份認證情況下嘗試對受控客體進行遙控操作，使用者在通過身份認證的情況下嘗試對受控客體進行操作；惡意代碼檢測：對球型攝像頭發送帶有控制或破壞系統正常工作的惡意代碼，查看球型攝像頭能否正常工作，惡意代碼是否被檢測出來。

4.文檔審查與分析

針對TSF間用戶數據傳送的保密性保護、防止審計數據丟失、密碼運算、可信路勁等安全要求進行檢測，需審查開發者提供的設計文檔、產品說明書等文檔，進行功能確認，然后進行驗證性檢測。

5.網絡抓包與協議分析

檢測可信路徑：使用協議分析儀捕獲ATM和ATMP之間的通訊數據，分析是否采用加密機制保證通信數據的保密性和完整性；檢測傳輸保密性和完整性；利用綜測儀抓取雙方通信數據包，查看數據包是否存在明文數據，且協議是否有完整性校驗機制。

（二）檢測流程

產品安全檢測工作流程分為項目建檔及跟蹤、檢測方案指定、測試實施，報告及建議4個階段，如圖4所示。

1.項目建檔

受測單位（客戶）向檢測單位提出申請并提交相關資料，受理人登入信息化綜合服務平臺“項目管理”，對本次檢測項目建檔，并根據提交的材料進行資料評審。

2.檢測方案制定

資料評審通過后，根據受檢單位（客戶）的檢測材料，明確檢測類別，通過基礎庫，形成檢測規則、檢測方法，并確定檢測需要的工具集，最終形成檢測方案。

3.測試實施

分為實驗室測評和現場測評。實驗室測評適用于產品的安全檢測以及現場測評難度大、無法進行現場實施的情況；現場測評適用于測評對象無法轉移，測試實施地點限制為現場等情況。

4.報告及建議

匯總檢測數據、工具集記錄數據，關聯分析測試數據，并依據檢查標準要求判斷結果，形成RFID產品安全檢測、RUT產品安全檢測以及第二代居民身份證閱讀機具安全檢測報告，根據檢測判斷結果，對不符合要求項給出整改建議。

五、總結

RFID、RUT等物聯網產品在公共安全、生成管理與控制、工業控制等領域的深入應用，必將對其安全提出更高的要求。為了滿足日益增長的安全需求，對物聯網產品進行科學、有效的檢測和評估是保證物聯網應用安全的重要措施之一。本文從檢測能力的構建探討了物聯網產品安全檢測的應用框架，為產品安全檢測提供有效的技術手段。

[1]Benjamin F,Oliver G.Security Challengesof EPCglobal Network [J].Communications of the ACM-Ba rba ra Lis kov:ACM's AM.Turing AwardWinner,2009,52(7):121-125.

[2]J.G.Alfaro,M.Barbeau,E.Kranakis.Analys is of Threats to the Security of EPC Networks[J].2008 Communication Networks a ndServicesRes earchConference,2008.

[3]Rodrigo Roman,Pablo Na jera,JavierLopez.Securing theInternet of Things.IEEE Computer,2011Vol 44(9):51-58.

[4]毛豐江.智能卡的邊頻攻擊分析及安全防范措施[J].單片機與嵌入式系統應用,2006.vol 2:9-11.

[5]李萬才.物聯網中智能視頻技術的現狀與分析[J].警察技術, 2010(06).

[6]范紅,邵華,等.物聯網安全技術體系研究[J].第26次全國計算機安全學術交流會論文集,2011(9):5-8.

2012年度國家發展與改革委員會信息安全專項