基于CC標準的物聯網數據安全需求分析及應用研究

單武

摘要：在物聯網快速發展和應用的進程中，數據安全問題應作為首要問題加以重視。本文基于計算機安全評估標準一通用準則（Common Criteria，CC），探討了物聯網數據安全當前所面臨的風險和威脅，制定了全面保障物聯網數據安全必備的安全功能組件和安全保證組件。通過實例證實該方法能夠反映物聯網數據安全保障可能所需的產品功能，對物聯網數據安全建設具有一定參考價值。

關鍵詞：CC標準；安全需求分析；安全功能組件；安全保證組件；物聯網

中圖分類號：TP311

文獻標識碼：A

DOI：10.3969/j.issn.1003-6970.2015.08.025

0 引言

在物聯網的長期發展進程中，不可避免地會遇到一些問題，而對于信息、數據而言，最致命的莫過于安全問題。物聯網安全若得不到保證，那么物聯網所涵蓋的人與物、物與物之間的通信信息將有可能被泄露，進而導致不可預計的嚴重后果。

由于物聯網是一個融合了多網的異構網絡，因此除了具備與一般移動通信網絡、傳感器網絡和因特網相同的安全問題之外，還具有一定的特殊性，主要表現在異構網絡的認證與訪問控制問題、信息儲存和管理問題、隱私保護問題等。因此，在保證物聯網應用背景本身安全的前提之下，構建物聯網信息系統的信息安全設計也是必不可少的。一旦信息安全設計存在易被攻擊的漏洞，所獲得的數據或信息不僅無效，甚至會帶來危害，嚴重者還會導致系統癱瘓。例如互聯網的無線信號很容易被竊取和干擾，一旦被敵對勢力利用發起惡意攻擊，就很可能導致工廠停產、商店停業、交通癱瘓，等等，整個社會陷入一片混亂。

如何在物聯網中構建安全架構、運用安全技術，是物聯網安全的研究重點。文章基于物聯網數據安全的角度，對物聯網數據及其安全特點進行了分析，在此基礎上，結合通用國際標注CC，對物聯網數據安全保護所需的安全功能組件和保證要求進行了選取，對后續物聯網數據安全防護產品的設計和選型有一定的參考意義。

1 物聯網數據特點和安全問題新特性

跟一般的數據相比，物聯網數據有自己的特色。例如，物聯網數據總是大規模的、分布式的、時間相關的和位置相關的。同時，數據的來源是各異的，節點的資源是有限的。與其他網絡相比，物聯網數據特點和安全問題呈現出以下新特性：

1.1 數據的容量更大

物聯網不是靜態的，而是由若干個無線識別的物體彼此連接和結合形成的動態網絡。例如在一個大型的有機農場中，農產品的往往以千萬計。在農場的RFID系統中，假如有2000萬件蔬菜需要跟蹤，每天讀取10次，每次100個字節，這樣一天的數據量就達到20GB，而一年的數據量將達到7300GB。而所有蔬菜的跟蹤數據量加起來將是一個海量的數據。

1.2 數據的異構性更強

無線傳感網的數據既有視頻、圖像、音頻、文字等多種形式，也有靜態和動態多種狀態；無線傳感網的傳感器既有多種用途，也有多種結構和性能；RFID系統既有多種讀寫器，也有多個RFID標簽；M2M系統中的微型計算設備也是多種多樣。以上這些多態性、異構性決定了物聯網數據同樣具有異構性，而造成數據多態性和異構性的根本原因則是物聯網的應用模式和架構互不相同，缺乏可批量應用的系統方法。

1.3 數據的更新速度更快

物聯網的信息采集工作是實時進行的，而被采集的對象一一物的信息是隨時變化的，因此無論是RFID，還是WSN，它們所發送的數據更新是很快的，而且這些數據只能備份，而不能長期保存。數據更新速度的加快對系統的反應速度和響應時間提出了更高的要求，否則就容易得出錯誤的結果。

1.4 數據的傳輸難度更大

國內物聯網應用相關研究證明：對于WSN來說，文本型數據易傳難感，多媒體數據易感難傳；當數據傳輸故障發生時，難以判斷是硬件故障還是軟件故障；理想化的系統模型假設因其忽略了WSN運行過程中伴隨的各種不確定的、動態的環境因素往往難以實地應用；從某種程度來說，電源（電池）的壽命甚至可以決定整個WSN的壽命。因此，造成WSN式物聯網在實際應用中節點的數量難以突破1000大關的原因，并不完全是異構性、海量性等。數據采集、傳輸元器件的性能一一功耗、實用性、可靠性和穩定性，已經成為目前WSN數據管理的瓶頸。

上文所提到的物聯網數據的容量更大、異構性更強、更新速度更快，以及傳輸難度更大的問題，是物聯網發展過程中面臨的挑戰，也是促使相關研究者不斷研究的動力，以滿足互聯網特性的要求，解決數據處理難題。

2 物聯網安全研究和CC應用現狀

2.1 物聯網安全研究現狀

目前，美國、歐盟、日本、中國等都在投入巨資深入研究物聯網。作為物聯網關鍵技術之一一一物聯網安全，各機構更是不遺余力的投入。2008年在法國召開的歐洲物聯網大會重要議題之一就是物聯網中隱私權，關注物聯網的安全和隱私。在歐盟物聯網研究需求進程表中，對其中的安全與隱私技術的進程做了明確規定^[1][2]。

通過跟進這些研究現狀不難看出，目前對物聯網的安全研究大多集中在物聯網安全架構和物聯網安全技術研究方面，例如，文獻[3-11]關注的時物聯網分層架構安全。文獻[3-8]首先將物聯網分為感知層、網絡層、處理層、應用層四個邏輯層，而后對各層面臨的安全威脅及其需求進行總結，最后提出了分層安全架構雛形；文獻[9-10]重點探討了物聯網的嵌入式安全框架特有的安全問題，提出了物聯網安全中間件的體系架構，并應用成熟的中間件技術和安全技術來屏蔽安全的復雜性，實現物聯網的安全防護；文獻[11]對物聯網的新范式從安全架構角度進行了描述。物聯網安全技術研究方面，文獻[12-16]關注了目前物聯網安全領域的安全技術發展現狀和一些關鍵安全技術，關鍵安全技術主要體現在安全路由、安全認證、安全接人和加密算法等，但文獻主要是做出了概括性結論，沒有具體涉及到物聯網安全的核心技術，而且對相關技術能否適用于物聯網并未給出相應評論。目前，國外的物聯網前端無線傳感網和后端互聯網安全研究要領先于我國，文獻[17-21]對物聯網中的入侵檢測、拒絕服務攻擊、安全路由和協議等技術進行了詳細描述。

通過對目前國內外用于物聯網的傳感器網絡安全性研究現狀的綜合分析，我們可以發現，用于物聯網的傳感器安全越來越受到重視。從政府層面到主流的研究機構，都對其投入了極大的關注；同時，因為物聯網的應用還處于初級階段，目前對物聯網安全的研究主要還停留在安全架構，安全模型，傳感器終端安全的階段；從這些研究，我們可以看出總結現有物聯網安全研究的不足：

1）多是從分析物聯網面臨的安全威脅人手，根據物聯網的主流體系架構，從感知層、傳輸層和應用層分層的角度對物聯網的安全進行分析，并結合各層的特點，采取不同的安全措施。

2）不全面，針對特定領域的特定問題，或者只是通用架構描述，實踐性不足。

2.2 CC應用現狀

CC作為IT安全評估的行業標準，不僅定義了對特定的IT產品的評估模型和方法，還定義了對一類IT產品的評估方法和模型。這里需要注意的是，CC標準體系除了包括CC之外，還包括CEM（通用評估方法）和PP（保護輪廓）。CEM是CC標準出版后，為了在評估中應用CC而提供的一種通用方法，是與CC配套的文檔。保護輪廓是針對一系列產品的安全功能需求描述文檔。這三者就組成了CC的標準體系^[22]。CC定義了作為評估信息技術產品和系統安全性的基礎準則，提出了目前國際上公認的表述信息技術安全性的結構，即把安全要求分為規范產品和系統安全行為的功能要求以及解決如何正確有效的實施這些功能的保證要求^[23]。

CC標準提供的安全功能組件和安全保證組件是在總結各國多年在軟件安全方面的經驗和知識的基礎上得出的，并且在軟件安全評估的經驗中得到了實踐的檢驗。所以CC提供的安全功能組件可以作為軟件需求工程的核心知識庫。近年來基于CC標準來定義軟件安全需求已經逐漸成為業界一種共識，CC標準作為軟件安全評估領域的國際標準將可能成為軟件安全需求分析的事實標準。

2.3 基于CC分析物聯網數據安全的可行性

CC能夠脫離產品和技術本身，全面的反映應用場景下的安全需求和安全問題。數據安全有對立的兩方面的含義：一是數據本身的安全，主要是指采用現代密碼算法對數據進行主動保護；二是數據防護的安全，主要是采用現代信息存儲手段對數據進行主動防護，如數據備份、異地容災等。隱私即為數據所有者不愿意被披露的敏感信息，包括敏感數據以及數據所表征的特性。目前常見的隱私保護技術主要分為基于數據失真的技術、基于數據加密的技術、基于限制發布的技術。

物聯網的數據要經過信息感知、獲取、匯聚、加密、傳輸、存儲、決策和控制等處理流程。物聯網應用不僅面臨信息采集的安全性，也要考慮到數據傳輸中安全性和應用平臺中數據存儲的私密性，要求信息不能被竊聽或篡改，以及非授權用戶的訪問；同時，還要考慮到網絡的可靠性、可用性和安全性。物聯網能否大規模推廣應用，很大程度上取決于其是否能夠保障用戶數據和隱私的安全。

用CC的思路來考慮物聯網的數據安全，可以全面的分析物聯網數據安全保證的需求，同時通過安全功能組件和安全保證組件的提取，可以為后續的物聯網數據安全產品設計和物聯網數據安全風險評估提供指導。

3 基于CC標準的物聯網數據安全需求分析

下圖是一個典型的物聯網數據傳輸應用場景，涵蓋了不同的數據傳輸方式，在沒有網絡覆蓋的情況且不適合布線的地方，通過無線傳輸，如①所示。或者無線專網傳輸，如②所示。通過專網上傳數據的有線傳輸，如③所示。

可以從圖中總結出物聯網的數據安全著重要關注的區域有三個，分別是感知層的數據安全，信息采集中心的數據安全和數據上傳到上級中心的數據傳輸安全。從圖1中可以看出，感知層處于物聯網的末端，負責各類信息的采集，是物聯網各種應用的基石，但是采集后的業務數據并沒有嚴格的保密措施，這些業務數據信息是一些涉密信息，到達信息中心采集服務器，有“一公里”的安全通信問題，并且在數據上報傳輸時，數據易被截獲、纂改等，一旦泄漏，會嚴重損害國家利益。數據采集區數據進入信息采集中心網絡以及業務數據上報到上級單位網絡時，業務數據由低安全域網進入高安全域網絡，在進行數據交換時，并沒有相應的隔離措施來保證高安全域網絡的安全。在“末端一公里”的傳輸過程中，由于存在專用的通信資源有限、專用通信網絡覆蓋范圍有限等不足，很可能影響上級單位對采集信息實時監管的任務需求。同時也不能滿足物聯網時代軍民融合的通信戰略需求。

針對圖1中提出的安全隱患，系統需要重點解決“末端一公里”的通信安全問題以及信息安全傳輸問題和網絡安全隔離問題。安全需求具體體現在以下方面：

（1）業務數據的安全保密需求

物聯網中的業務數據在開放的網絡中傳輸時，有可能被非授權的用戶或實體截取，獲得對某個資源的非法訪問，從而導致泄密，造成嚴重后果。因此，通過信息系統傳輸的業務數據必須進行加密保護，且加密算法和密碼強度滿足一定的加密要求。

（2）業務數據安全隔離交換需求

業務數據在進入高安全域網絡進行數據交換時，需要提供可靠的安全隔離，要阻斷能用的TCP/IP連接，任何TCP/IP報文都不能直接進行傳輸，實現通用網絡協議和私有通信協議的協議轉換，只允許用戶認可的業務及其他信息進行數據轉發。需要控制包含在TCP/IP報文中的網絡攻擊，保證不同安全域網絡互連的安全性。

（3）身份認證及消息認證需求

身份認證確保通信雙方互為可信的通信實體；消息認證實現消息的完整性驗證。

（4）其他安全需求

僅允許給出數據交換機制、數據格式的專用業務數據進入，并能對業務數據進行有效控制，進行安全檢查。只有通過安全檢查的數據才允許進行另一個網絡。因此，系統還應該設置訪問控制、安全審計、密鑰管理等功能。

CC標準中提出的安全需求抽取方法是根據威脅和預定采取的組織安全策略確定安全目的，通過選擇安全功能組件對應實現安全目的，所選擇的安全功能組件可以視為是安全需求的具體抽取。基于CC標準的方法的一個優勢是使用了標準所提供的安全功能組件，使得安全需求的表達形式更為嚴謹和權威。安全需求抽取的主要工作是根據威脅或者預定的安全目標識別安全需求。

4 基于CC的物聯網數據安全功能組件和安全保證組件

基于對物聯網數據安全的需求分析，結合CC功能組建集合中關于數據安全方面的功能組件的設計，本文對物聯網數據安全功能組建和安全保證組建選取了下面的安全功能組建列表和安全保證組建列表（EAL 3級，3級是應用中廣泛采用的一個等級）。

5 結束語

在對物聯網安全研究中從物聯網的數據安全角度出發，建立了基于CC的物聯網數據安全風險分析和安全功能組件和安全保證組件的選取，建立了數據驅動的安全保證體系。本文將CC標準融人物聯網數據安全需求分析過程中，為物聯網的數據安全需求選取了安全功能組件和安全保證組件，從而能夠較為容易的開發物聯網數據安全防護產品和物聯網數據防護提供框架范圍內的參考，能部分解決物聯網安全的落地問題。對以往的只是從架構角度去談物聯網安全或突出某項關鍵技術，但脫離實際應用環境的現狀做了改進。

結合CC分析物聯網的數據安全，在一定程度上達到了脫離具體產品和特定技術，能夠較為全面的反映物聯網數據安全保證所需的功能組件。該方法對于物聯網數據安全評估和物聯網安全產品的開發有較好的實用價值。

參考文獻

[1]European Research Projects on the Intemet of Things （CERP-IoT） Strategic Research Agenda（SRA）. Internet of things-strategic research roadmap.http：//ec.Europa.eu/information_so ciety/policy/rfid/documents/in_cerp.pdf.）

[2]Commission of the European communities. Internet of Things in 2020， EPoSS， Brussels. http： //www.umic. pt/images/sto-ries/publicacoes2/1nternet-of-Things_in_ 2020_EC-EPoSS_Workshop_Report_2008_v3.pdf

[3]武傳坤物聯網安全架構初探中國科學院軟件研究所信息安全國家重點實驗室《中國科學院院刊》（中文版），2011

[4]孫其博，劉杰，黎羴，等物聯網：概念、架構與關鍵技術研究綜述[J]北京郵電大學學報，2010（03）

[5]郭莉，嚴波，沈延物聯網安全系統架構研究[J]信息安全與通信保密，2010（12）

[6]高同，朱佳佳，羅圣美，孫知信M2M功能架構與安全研究計算機技術與發展2012（1）

[7]李志清.物聯網安全架構與關鍵技術[J]微型機與應用，2011（09）

[8]吳振強，周彥偉，馬建峰物聯網安全傳輸模型[J]計算機學報，2011（08）

[9]SachinBabar，AntoniettiaStango， Proposed Embedded Security Framework for Internet of Things （IoT）978-1-4577-07872011 IEEE

[10]ArijitUkil，JaydipSen， Embedded Security for Internet of Things978-1-4244-9581

2011 IEEE

[11]DoriceNyamy， Pascal Urien， HIP-TAG，a New Paradigm for the Internet of Things， 978-1-4244-8790-5/112011 IEEE

[12]楊庚，許建，陳偉，等物聯網安全特征與關鍵技術[J]南京郵電大學學報（自然科學版），2010（04）

[13]郎為民.物聯網安全技術的相關研究與發展[J]信息網絡安全，2011（03）

[14]楊光，耿貴寧，都婧，等物聯網安全威脅與措施[J]清華大學學報（自然科學版），2011（10）

[15]聶學武，張永勝，駱琴，等物聯網安全問題及其對策研究[J]計算機安全，2010（11）

[16]李振汕.物聯網安全問題研究[J]信息網絡安全，2010（12）

[17]Murat D，Youngwhan S An RSSI-based scheme for Sybil attack detection in wireless sensor networks. In： Proceedings of the 2006Intemational Symposium on a World of Wireless， Mobile and Multimedia Nerworks（WoWMoM' 06）， New York USA， June 2006

[18]Hu Y C，Perrig A，Johnson D B Packet leashes：a defense against wormhole attacks in wireless networks， twenty-second annualjointconference ofthe IEEE computer and communications societies. IEEE INFOCOM 2003， 3（30）：1 976-1 986

[19] KrotirisI，DimitriouT，Giannetsos T.LIDeA： A distributed lightweight intrusion detection architecture for sensor networks[C]//Proceedings fo the 4 th Intemational Conference on Security and Privacy for Communication networks， 2008

[20]Loo C E，Ng M Y，LechkieC，et al，Intrusion detection for routing attacks in sensor networks[J]. Intemational Journal of DistributedSensor Networks， 2006， 2（4）L：313-332

[21]Bhuse V，Gupta A Anomaly intrusion detection in wireless sensor networks[J]. Journal of High Speed Networks， 2006，15（1）： 33-51

[22]劉豐煦.基于CC標準的等級驅動安全需求分析方法[D]天津：天津大學，2012

[23]潘東.結合CC標準基于活動圖擴展的安全需求分析方法[D]天津：天津大學，2010