物聯網安全綜述

張玉清 周 威 彭安妮

(國家計算機網絡入侵防范中心(中國科學院大學) 北京 101408)(zhangyq@nipc.org.cn)

2017-06-12；

2017-07-26

國家自然科學基金項目(61572460,61272481)；國家重點研發計劃項目(2016YFB0800703)；信息安全國家重點實驗室的開放課題(2017-ZD-01)；國家發改委信息安全專項項目[(2012)1424]；國家111項目(B16037) This work was supported by the National Natural Science Foundation of China (61572460, 61272481), the National Key Research and Development Program of China (2016YFB0800703), the Open Project Program of the State Key Laboratory of Information Security (2017-ZD-01), the National Information Security Special Projects of National Development and Reform Commission of China[(2012)1424], and the China 111 Project (B16037).

物聯網安全綜述

張玉清 周 威 彭安妮

(國家計算機網絡入侵防范中心(中國科學院大學) 北京 101408)(zhangyq@nipc.org.cn)

隨著智能家居、數字醫療、車聯網等技術的發展，物聯網應用越發普及，其安全問題也受到越來越多研究者的關注.目前，物聯網安全的相關研究尚在起步階段，大部分研究成果還不能完善地解決物聯網發展中的安全問題.首先對物聯網3層邏輯架構進行了介紹，闡述了每個層次的安全問題與研究現狀重點;然后分析并討論了物聯網的主要應用場景(智能家居、智能醫療、車聯網、智能電網、工業與公共基礎設施)中需要特別關注的隱私保護、入侵檢測等安全問題;再次，歸納分析了現有研究工作中的不足與安全問題產生的主要原因，指出物聯網安全存在的五大技術挑戰：數據共享的隱私保護方法、有限資源的設備安全保護方法、更加有效的入侵檢測防御系統與設備測試方法、針對自動化操作的訪問控制策略、移動設備的跨域認證方法；最后，通過詳盡分析這五大技術挑戰，指出了物聯網安全未來的研究方向.

物聯網；安全；隱私；智能；綜述；挑戰

自2005年國際電信聯盟正式提出物聯網(Internet of things, IoT)概念以來，傳感器網絡、云計算、微型芯片等技術不斷發展成熟，物聯網產業也迅速發展擴大.根據Statista門戶網站最新統計數據[1],2016年互聯設備數量已經達到176億，預計到2020年突破300億.國際數據公司預測，到2020年物聯網市場規模將會突破7萬億美元[2].

在物聯網飛速發展的同時，其安全面臨著嚴峻挑戰.物聯網安全問題不僅能給用戶帶來財產損失，甚至會威脅用戶的生命安全.2016年前FBI美國信息安全專家發現，現階段市場上的心臟起搏器和胰島素泵等無線嵌入式醫療設備普遍存在可利用的安全漏洞[3].物聯網安全也是國家安全和社會穩定的基石.2010年曝光的震網病毒[4]對多國核電站、水壩、國家電網等工業與公共基礎設施造成了大規模的破壞.2016年mirar僵尸網絡通過控制大量的物聯網設備對美國域名解析服務提供商Dyn公司發動DDOS攻擊，造成美國東部大面積斷網，許多熱門網站停止服務[5].

目前，國家、企業和個人尚未樹立起足夠的物聯網安全與隱私保護意識.Pew研究中心2016年的統計數據表明[6]，52%的用戶同意將其個人醫療設備收集的健康數據與醫生共享，44%的用戶可接受廠商利用恒溫器中的傳感器收集其家中每個房間的溫度.同時，大部分的廠商認為額外的安全措施不會提高設備自身的市場價值只會增加其生產成本[7]，因此許多廠商在產品銷售后并不為用戶提供補丁和更新服務.從而導致現有物聯網設備長期存在默認口令、明文傳輸密鑰等[8]大量易利用的高危漏洞.

通過調研近年網絡與信息安全領域的論文，我們發現物聯網安全相關研究成果逐漸增多，但其中大多數研究成果的適用范圍較窄，應用價值不高.目前很少有研究者提出具有前瞻性且廣泛適用的物聯網安全措施.由于物聯網研究范圍十分寬泛，其安全問題也繁多雜亂，現有物聯網安全調研報告[9-10]主要存在兩大問題：

1) 討論問題不全面

現有物聯網安全調研報告大多從應用場景、邏輯層次和安全屬性等單一角度來分類討論物聯網安全問題.但是物聯網涵蓋的內容較為分散，所以僅從某一個角度討論物聯網安全問題，無法全面了解物聯網各個方面安全研究現狀.

2) 缺乏對物聯網安全問題的深入分析

現有的物聯網安全調研報告大多僅指出物聯網現階段的安全問題，并沒有深入分析產生這些安全問題的根本原因.同時，這些報告也未指出解決這些安全問題所需克服的技術難點，無法為研究者提供具有指導意義的研究方向.

為解決上述兩大問題，本文對2012年至2017年上半年已發表的大量物聯網安全相關論文進行了充分調研.

1 物聯網架構安全研究現狀

本節首先介紹物聯網架構層次，然后分層次討論其安全問題與研究現狀.

1.1物聯網邏輯架構簡介

無論是最新提出面向服務的物聯網架構[11]，還是將應用層進一步劃分的4或5層物聯網架構[12]，其本質均可分為3個邏輯層次.其從下至上依次為：感知層(sensing)、傳輸層(transport)和應用層(application),如圖1所示.

感知層是所有數據的來源，從智能標簽RFID、GPS、環境傳感器、工業傳動器、攝像頭等各種各樣的智能設備中獲取原始數據.物聯網發展的最終目標是實現萬物互聯,所以感知層的目標是全面感知和收集所需的外界信息.這里特別注明學術界常把傳感器網絡歸于感知層，但通過調研發現傳感器網絡的主要安全任務是傳感器節點間信息安全傳輸，其與傳輸層的安全任務更為一致.所以本文把傳感器網絡的安全問題劃分到傳輸層去討論.

傳輸層通過各種有線和無線的網絡通信技術(無線網絡、有線寬帶、移動網絡等)把感知層收集的信息安全可靠地傳輸到應用層.主要包含兩大安全任務:1)單一網絡內部的信息安全傳遞問題;2)不同網絡之間的信息安全傳遞的問題.

應用層的主要工作可以抽象概括為2個：

1) 云端數據聚合與智能處理

首先應用層中的云服務平臺將從傳輸層接收到的數據進行智能處理，即對海量分布式信息進行數據清理并提煉出含有較高信息量的數據.其主要技術包括搜索引擎、數據挖掘和云數據管理與共享等.

2) 應用平臺為用戶提供服務

云端將處理后的數據傳輸給用戶、企業和管理部門對應的服務程序(如遠程醫療Web服務、管理智能家居設備的APP、智能交通的信息監控與處理平臺等)，然后由這些應用平臺利用這些數據為用戶提供所需服務.需要注意:生活中提及的智能家居、智能交通、智能電網等物聯網應用場景，并不直接對應物聯網架構中的應用層的應用.這些應用場景是建立在完整的3層物聯網架構之上的.這里應用層對應的只是這些應用場景中經過感知層收集數據和傳輸層傳輸數據后展示給用戶的服務程序.

1.2感知層安全問題與研究現狀

通過1.1節介紹可知，感知層主要負責數據收集，所以其安全措施也是圍繞如何保證收集數據的完整性、機密性、可鑒別性來展開.為了實現這個目標，感知層的主要安全任務除了保障物聯網感知層設備的物理安全和系統安全，還需為傳輸層安全通信提供基礎保障.本節將分別圍繞這3個主要安全任務進行討論.

1) 感知層設備的物理安全會比之前的傳統計算機受到更為嚴重的威脅.因為農業和工業環境中的傳感器分布較廣，若傳感器運轉正?？赡荛L時間無人進行檢查，很可能被敵手直接捕獲[13]；對于小型家用和醫療的智能設備，攻擊者更加可以容易對其進行側信道分析[14-17].同時，智能醫療設備、穿戴設備和智能家居設備等會比傳統的個人計算機收集到更多敏感隱私數據.香港大學安全研究人員通過側信道分析智能手表中移動加速度傳感器收集的數據，實現對用戶擊鍵行為的成功預測[14].還有研究人員通過側信道分析智能插座的用電量來推斷與其連接電腦上的運行程序[18].

2) 感知層設備受資源所限，只能執行少量的專用計算任務，沒有足夠的剩余資源用于實現細粒度的系統安全措施.此外許多工控專用設備其程序與系統依賴于特定的硬件架構，傳統的訪問控制、沙箱、病毒查殺等系統防御技術無法在這些特定設備上實現.這些因素都導致目前感知層設備的系統十分薄弱.Costin等人[19]通過分析大量的嵌入式設備系統固件，發現了許多可利用的高危系統漏洞.有研究人員提出在嵌入式系統中建立輕量級可信執行環境來保護其系統安全[20]，但該方法計算開銷較大，適用范圍有限.還有研究人員設計了針對小型嵌入式設備系統的測試框架[21].但靜態測試與漏洞檢測方法無法實時動態保護嵌入式設備的系統安全.

3) 感知層設備在利用傳輸層的協議進行通信時，必然需要為傳輸層安全通信提供基礎保障.主要包括通信密鑰生成、設備身份認證以及數據溯源等.同樣由于感知層設備資源有限，經典的加密、認證以及其他密碼算法直接部署在傳感器等小型嵌入式設備上會嚴重降低設備處理效率，大幅增加設備功耗.大部分研究人員通過設計輕量級密碼學算法[22-24]或優化經典密碼學算法實現方法[25]來解決這一難題.還有研究人員提出了一些創新性的思路來解決這一難題.Majzoobi和Hiller研究團隊分別提出基于設備自身獨特的物理特性(physical unclonable functions, PUF)的認證[26]和密鑰生成協議[27],該方法不僅節省了單獨存儲密鑰的設備資源，而且可以有效抵御側信道分析.也有研究人員利用穿戴設備獲取的用戶人體生物的特征如步態[28]、滑動屏幕力度[29]等來實現設備認證,該方法在節省資源的同時還可實現了設備和使用者的雙重認證.

綜上，感知層3個方面的安全要求是相互依賴的，任何一個方面出現漏洞都會引發安全問題.例如有研究人員通過側信道分析基于心率生成密鑰的電信號信息熵[16]，從而還原了用戶心率信息獲取了通信密鑰.所以需要全面考慮感知層設備各個方面的安全要求以及相互之間的影響，才能設計出有效的安全防御策略.

1.3傳輸層安全問題與研究現狀

傳輸層主要負責安全高效地傳遞感知層收集到的信息.因此傳輸層主要是各種網絡設施，即包括小型傳感器網絡也包括因特網、移動通信網絡和一些專業網絡(如國家電力網、廣播網)等.

傳感器網絡是物聯網的基礎網絡，傳感器設備收集的數據首先都要通過傳感器網絡才能向上傳遞給其他網絡.同時，傳感器網絡與傳統計算機網絡有著許多不同，因此傳感器網絡的安全問題也成為近些年物聯網安全研究的熱點之一.首先由于傳感器網絡節點資源有限，特別是電池供電的傳感器設備，很容易對其直接進行拒接服務(DoS)攻擊，造成節點電量耗盡[30].另外傳感器節點分布廣泛數目眾多，管理人員無法確保每個節點的物理安全.敵手可直接捕獲傳感器節點進行更加深入的物理分析，從而獲取節點通信密鑰等.特別一旦傳感網關節點被敵手控制，會使整個傳感器網絡安全性全部丟失.現有許多研究人員通過對密碼學算法與協議進行的輕量化[31-33]處理來抵御傳感器網絡攻擊.但這些輕量級算法與協議大多缺乏對設備電量和網絡帶寬消耗的測試，適用性有待提高.

雖然現階段對傳輸層通信網絡的攻擊仍然以傳統網絡攻擊(如重放、中間人、假冒攻擊)等為主.但僅僅抵御這些傳統網絡攻擊[34-35]是不夠的，隨著物聯網的發展，傳輸層中的網絡通信協議會不斷增多.當數據從一個網絡傳遞到另外一個網絡時會涉及到身份認證、密鑰協商、數據機密性與完整性保護等諸多問題.因此面臨的安全威脅將更加突出需要研究人員更多地關注[36-37].

1.4應用層安全問題與研究現狀

通過1.1節的介紹可知，應用層需要對收集的數據完成最終的處理和應用.而數據處理與應用的過程都需要對應的安全措施保護.

對于云端數據智能處理平臺進行數據統計分析來滿足應用程序使用的同時需要防止用戶隱私信息泄露.現階段學術界主要采用同態加密來解決這一矛盾[38-39].同態加密的數據進行處理得到一個輸出，將這一輸出進行解密，其結果可以保證與用同一方法處理未加密的原始數據得到的輸出結果是一樣的.但全同態加密算法效率還有待提高，而部分同態加密算法可對加密數據進行的處理十分有限.保護用戶隱私的同時，提高了服務器處理效率.有研究人員提出可以根據應用程序對數據的用途不同以及數據的敏感程度不同，對原始數據采用不同的處理方法[40].如為了防止心率等醫療數據被篡改可采用Hash算法；為了統計用戶的用電量而不泄露其具體信息可采用同態加密算法；對于無需計算的隱私數據可采用數據混淆的方法[41].同時由于云服務器會保存大量的用戶數據，云服務數據的存儲[42]、審計[43]與恢復[44]以及共享[45-46]都需要更多的安全措施來保護.Thomas和Ned利用區塊鏈技術在實現物聯網設備匿名共享的方法[47]值得學習與借鑒.此外物聯網設備數目的增多使得DDOS攻擊的規模將會大幅提升，云端服務器還需要提高抵御DDOS攻擊[48]的能力.

對于應用服務程序，其與用戶聯系最為緊密，所以其最重要的安全任務是在提供服務的同時保護用戶隱私信息[49].Fernandes等人[50]通過分析程序源碼發現50%以上的三星智能家居平臺上的應用都具有不必要的權能，可導致用戶敏感數據泄露或智能家居設備被惡意控制.現有研究人員為保護程序中的敏感操作和隱私數據[51-52]設計了多種訪問控制模型，但其適用性和安全性均有待進一步提高.

1.5小結

以上雖然是分層次討論了物聯網架構中的安全問題，但各個層次的安全問題并不是相互獨立而是相互依賴.最主要體現在數據隱私保護方面，任何一個環節出現問題都會使用戶的隱私數據泄露.目前，研究人員提出了許多針對物聯網設備的測試框架、安全評估模型以及入侵檢測防御系統等.但這些框架與工具可檢測出的安全問題并不全面，適用范圍有限.

本文統計了2012—2017年上半年中國計算機學會網絡安全領域CCF A類和CCF B類會議與期刊164篇論文的討論主題(剔除了調研類的文章)，列出各個層次中討論次數較多的研究熱點，如表1所示.

Note：Some researches involve multiple layers.

2 物聯網常見應用場景安全問題與研究現狀

現階段物聯網應用場景逐漸增多，不同應用場景需求目標不同，應用技術也不盡相同，故各應用場景對應的安全任務側重點并不相同.如果僅按層次整體討論物聯網安全現狀[9]，則無法全面深入地了解各個物聯網應用場景的安全問題.所以本節將分別從智能家居、智能醫療、智能交通、智能電網以及工業與公共基礎設施五大物聯網應用場景深入討論其安全問題與研究重點.

2.1智能家居

智能家居越發普及的同時，各種智能家居設備保存與傳輸的用戶隱私信息也越來越多.這些隱私信息不僅包含傳統意義上那些銀行卡、手機號等身份信息，還包含用戶日常生活的行為隱私信息.如溫度傳感器記錄了家中內各個房間的實時溫度信息[53]；網絡攝像頭可以直接遠程實時查看家中的狀況.攻擊者通過控制這些智能家居設備，從而實現對用戶隱私行為的監控.Johannes和Martin就分析市場上主要型號的網絡攝像頭，發現了大量可輕易利用的安全問題包括弱口令、HTTP明文傳輸[54]等.此外用戶隱私保護意識普遍較低，廠商對于設備收集哪些用戶隱私數據也無明確聲明，加劇了智能家居設備隱私信息泄露的問題[13].

綜上所述，智能家居設備首要安全工作是保護用戶的隱私數據.研究人員大多通過監控智能家居終端應用[55]的控制流與數據流來防止隱私數據泄露，但該方法忽視了智能家居設備間的互用問題.例如市場上有些智能窗戶控制器會根據溫度傳感器收集的室溫自動打開或關閉窗戶.在上述情景下敵手僅需控制溫度傳感器的溫度值，從而間接實現對智能窗戶的控制[56].

2.2智能醫療

在智能醫療領域，數據和設備安全顯得尤為重要.因為醫療設備尤其是胰島素泵[57]、心臟起搏器[4]等人體嵌入式設備[58]一旦被惡意控制會嚴重威脅用戶的生命安全.Martin調研了大量的智能醫療設備發現其存在弱密鑰、過期證書等諸多的安全漏洞[59].為了給用戶提供更加全面、及時、專業的醫療服務，智能醫療設備的隱私信息會共享給諸多醫療單位，但同時也加劇了用戶醫療隱私信息泄露的風險[60].此外，針對遠程醫療服務平臺的網絡攻擊也逐漸增多，甚至勒索軟件也開始將智能醫療設備[61]與醫院數據庫[62]作為主要攻擊目標.

研究人員為提高智能醫療設備的安全性，提出了針對智能醫療設備的專用測試框架[59]以及惡意程序的軟[63]、硬[61]件檢測方法.為了防止醫療隱私數據泄露，Duffy等人提出針對醫療數據使用人員不同，對隱私數據采取不同的保護處理方法.例如對統計人員提供同態加密的數據，對醫生提供只可讀不可寫的數據等[64].董曉蕾設計了動態可撤銷權能的多級隱私保護模型[65]，可以實施更加靈活的醫療隱私數據保護策略.同時，對智能醫療設備行為進行可信記錄，也有利于及時發現對其的網絡攻擊行為.Henry等人通過在胰島素泵上增加可檢測人體進食后腸道生物特征的電路模塊，從而判定胰島素泵的異常行為是否由網絡攻擊造成[57].在未來智能醫療設備生產中可以參考這樣的設計方法，增加對設備行為的可信記錄模塊.

隨著人均壽命普遍延長慢性病人數逐漸增多，智能醫療設備會越發普及.提高智能醫療設備的安全性顯得尤為重要.一旦無法保障醫療設備的安全，醫生與病人自然會對智能醫療服務望而卻步，嚴重阻礙智能醫療的推廣與發展.

2.3智能汽車

隨著市場上聯網的智能汽車逐漸增多，現實中對智能汽車的電子攻擊也層出不窮[66].PT&C|LWG司法咨詢服務公司指出2013年在倫敦被盜的汽車中47%的汽車是通過電子攻擊來竊取的[67].而受到攻擊次數越多的汽車，其聯網的部件也越多.文獻[68-69]的研究也指出現階段智能汽車普通存在大量安全漏洞.

目前由于汽車系統固件為廠商所有，一般并不開源.所以學術界重點關注控制器局域網總線技術[70]以及V2X[71]等智能汽車與其他設備通信技術的安全問題.此外，智能汽車云服務的隱私泄露問題[72]也引起了許多研究人員的關注.

隨著車聯網技術的發展，預估到2020年60%～75%的汽車都將具有Web服務[66]，無線聯網的汽車數量將達到1.5億.智能汽車的安全將面臨更加嚴峻的挑戰.為了全面提高智能汽車的安全性，需要廠商和研究人員更加深入的合作才能設計出更加全面實用的安全防御措施.

2.4智能電網

智能電網是最早應用于公共基礎設施上的物聯網技術，其安全研究也開始較早，研究成果較多.故本節先討論智能電網安全研究現狀，在第2.5節再討論其他工業與公共基礎設施的安全問題.

早期智能電網的安全研究重點關注智能電網的實時電價調整協議[73]以及其他通信協議的安全問題[74].隨著智能電網技術不斷發展，更短時間間隔的使用電量信息被統計收集，這些信息與用戶用電行為的相關程度逐漸升高.此外，Dimitriou和Karame發現不僅用電信息會泄露用戶用電行為，智能電網計劃分配給用戶的電量信息也會泄露用戶的用電習慣[75],故對用戶用電信息的隱私保護的研究逐漸增多.研究者大多利用之前提及的同態加密等密碼學的算法[76-78]在不影響用電信息統計的前提下，實現用戶用電信息的隱私保護.

在未來不只是智能電表、智能水表和智能燃氣表等其他智能抄表設備收集的用量信息會泄露更多的用戶生活隱私.研究人員需要提前防范智能抄表帶來的用戶隱私泄露問題.

2.5工業與公共基礎設施

這里討論的智能工業與公共基礎設備主要包括閉路電視、數字視頻記錄儀等視頻監控系統以及監測控制與數據采集[79]等工業控制系統[80].

震網病毒[4]的出現使工業與公共基礎設備的信息安全面臨更加嚴峻的挑戰.由于工業設備在設計之初沒有考慮受到網絡攻擊的可能，所以當工業設備聯網后會受到更加嚴重的網絡攻擊威脅[81].Luiijf[82]還指出工業設備的設計與操作人員普遍存在僥幸心理，認為攻擊者不具備相關專業知識無法實施網絡攻擊.此外，這些設備專用于完成特定的工業任務，其軟硬件架構與傳統計算機均不相同.普通計算機系統防御措施如防火墻、殺毒軟件等[83]，無法直接應用于上述設備，而單獨為每種設備設計相應的系統防御措施開銷過高.

現階段的安全研究人員主要通過設計入侵檢測與防御系統來提高工業與公共基礎設備的安全性.有研究人員指出[84-85]由于工業設備的異構性，常用的基于通信網絡中異常行為進行模式匹配的入侵檢測方法，漏報率過高并不適用于工業系統.為了更加有針對性地保護關鍵工業設備，應該首先統計分析對關鍵設備的控制命令參數，從而確定其正常的值域范圍；然后將其用來與實時通信流量中的控制命令參數進行比較，任何實際觀察值在正常值范圍之外時，就認為有入侵發生.Colbert等人[86]進一步指出為了提高入侵檢測的準確率，對于關鍵參數的值域范圍還需參考專業的操作人員和設計專家的意見進行人工輔助確定.Henry研究團隊[87]總結了現有的許多工業設備入侵檢測模型，對未來設計更加有效的入侵檢測模型有很高的參考價值.

隨著工業和公共基礎設施中聯網設備數目的增多，其所受到的網絡攻擊也將逐漸增多[88].但現階段的工業與公共基礎設備普遍缺乏網絡與系統安全保護措施[89-91].如何有效檢測與防御對這些專用設施的網絡攻擊需要更加深入的研究.

2.6小結

隨著物聯網技術的發展，物聯網應用范圍會愈發廣泛.此外，諸如電動車與智能電網交互供電(vehicle-to-grid, V2G)等跨場景物聯網應用技術,在節約能源與方便用戶生活的同時，也帶來了更多的安全與隱私泄露問題[92-93].有效解決物聯網應用場景中的安全問題將對未來物聯網應用設計與發展起著重要作用.

本文從1.5節調研的物聯網安全相關論文中選取與特定場景相關的論文,然后統計智能家居(smart home)、智能醫療(digital healthcare)、智能汽車(intelligent vehicles)、智能電網與其他工業與公共基礎設施(smart grid and industrial public infrastructure)各場景中的研究熱點,如表2所示.因為智能電網也屬于工業與公共基礎設施，且單獨討論工業和公共基礎設備安全的論文較少，所以表2中將這2個場景的研究熱點劃為一類進行統計.

Table 2 Research Hotpots in Each Application Domain of IoT

3 五大物聯網安全技術挑戰

本節將根據學術界關心的物聯網安全問題及現有研究工作的不足，指出未來急需應對的物聯網安全挑戰.首先，在之前討論的物聯網安全現狀基礎上總結出學術界關注的十大物聯網安全熱點問題，其分布對應的應用場景與邏輯層次如表3所示:

Table 3 Security Concerns Correspond to the Hierarchy and the Main Application Domain

然后,將本文總結的近年學術界關注的安全問題按熱度排序后與2014年OWASP組織總結的物聯網十大安全威脅[94]進行對比(如表4所示)，可發現十大安全問題基本一致但順序發生了較大變化，其主要原因有2點:

1) 近年來隨著智能家居、智能醫療設備的增多，導致隱私的問題比2014年前更加嚴重.同時，隨著廠商安全意識提高以及物聯網設備安全測試工具[95]增多，不安全的Web服務數量有了明顯下降.

2) 學術界更加關注可以通過技術手段解決的安全問題，而OWASP組織更加關注現實中最容易被攻擊者利用的安全問題.例如學術界研究的側信道與系統攻擊，但實際應用中實現難度較高.故物理安全問題和系統安全問題在學術界安全問題中的排序比OWASP安全問題中的排序位置靠前.而Web服務漏洞以及不安全的網絡認證和授權更容易被敵手利用，故這些問題在OWASP安全問題中的排序比學術界安全問題中的排序位置靠前.

Table 4 Academic Concerns and OWASP IoT TOP10

進一步分析上述安全問題產生原因，并由此總結出五大急需應對的物聯網安全技術挑戰分別為：數據共享的隱私保護方法(privacy preserving in data sharing)、有限資源下的設備安全保護方法(the equipment security protection with limited resources)、更加有效的入侵檢測防御系統與設備測試方法(more effective intrusion detection and defense systems and test method)、針對自動化操作的訪問控制策略(access control of equipment automation operations)、移動設備的跨域認證方法(cross-domain authentica-tion of motive device).上述五大安全技術挑戰其分別對應解決哪些學術界關心的安全問題如表5所示:

Table 5 The Relationship Between Technology Challenges with Academic Concerns

3.1數據共享的隱私保護方法

隨著物聯網應用的普及，更多的用戶個人數據會被收集和共享.當地醫院通過共享其病人數據與其他地區更加專業的醫療單位來為病人提供更好的醫療服務；智能汽車服務商收集的用戶車輛位置信息為用戶提供導航服務；智能電網收集的用戶的用電信息為其提供更合理的用電規劃等.

這些收集與共享的數據中包含醫療數據、用電信息、車輛位置等大量用戶隱私信息.此外，隨著數據挖掘與機器學習技術的不斷發展，許多并不直接包含隱私信息的數據也會給用戶帶來隱私泄露的風險.例如有研究人員分析通過分析大量溫度傳感器中的溫度數據，進而總結出溫度變化與用戶在家中的作息之間的關聯規則[53].數據共享下的隱私保護逐漸成為了物聯網安全的一大難點.

現有的隱私數據保護方法大多只考慮到終端設備隱私數據采集[50]、云端隱私數據共享[43]等數據傳輸中某一環節，缺乏對隱私數據生命周期中所有環節(采集、傳輸、使用、存儲、共享等)的完整保護方案.此外，在對隱私數據進行保護時還需保證隱私數據對提供服務商的可用性.許多研究人員[38-39,96]采用同態加密算法來完成上述需求，但效率均有待提升.

3.2有限資源下的設備安全保護方法

在未來傳感器與小型嵌入式設備會廣泛應用于人們的生產生活.對于嵌入式醫療設備、偏遠環境監測設備、特殊工業環境中的傳感器等需要長時間連續工作，對功耗體積等都有著嚴格要求.故為了設備微型化、降低功耗和節約成本，廠商為這些設備提供的計算與存儲資源更加有限.如何在更低的資源以及更低功耗的要求下保障嵌入式設備系統與通信安全成為現階段物聯網安全的一大挑戰.

為了解決這一難題，研究者設計了各種輕量級加密算法、認證算法、通信協議[31,97-98]等.但其大多只注重減少對設備計算與存儲資源的使用，缺乏對算法的電量消耗的評估.而過高的電量消耗會大大降低這些算法的使用價值.此外，由于這些傳感器設備長期無人看管，其還會面臨物理攻擊的威脅.敵手可直接物理捕獲這些設備，再進行側信道分析來尋找算法中的漏洞[99-100].所以相關研究人員在設計和實現這些輕量級安全算法時，還需充分考慮設備可能受到的物理攻擊.

3.3更加有效的入侵檢測防御系統與設備測試方法

隨著物聯網設備逐漸增多[1]，其產生的數據規模也逐漸增大.而大量的物聯網設備和數據也成為攻擊者實施大規模拒絕服務攻擊與構建IoT僵尸網絡的[5]有力工具.

目前，研究人員提出對拒絕服務攻擊的防御與檢測方法局限于某一應用場景[101]或協議[102]，適用范圍有限.但有許多創新性的研究成果與設計思路值得學習參考.例如Hoeve提出檢測數據包的異常插入來識別加密數據中的惡意攻擊行為[103].該方法很好地解決了加密數據無法檢測惡意攻擊行為這一難題.還有Kasinathan等人設計的拒絕服務攻擊檢測框架可以在檢測網絡入侵行為的同時保障網絡在大規模拒絕服務攻擊下的正常運行[102].

此外，攻擊者大多利用默認用戶名口令或明文傳輸密鑰等網絡與系統基礎安全漏洞，對物聯網設備實施攻擊.故對物聯網設備與網絡進行有效的安全測試，可提高敵手入侵物聯網設備的難度.Sachidananda等人在2016年提出了可動態調節與擴展的物聯網設備測試框架，但其缺乏對實際市場中物聯網設備的大規模測試[21].

3.4針對自動化操作的訪問控制策略

隨著物聯網設備的智能化，人對設備的操作會逐漸減少，設備會根據收集到外界的信息自動觸發相應的操作.例如智能空調自動根據室內溫度變化改變空調的溫度；智能澆水器自動根據土壤濕度變化進行澆水等.如何對上述物聯網設備的自動化操作進行合適有效的訪問控制成為物聯網安全研究的一大挑戰.

現階段物聯網系統大多沿用基于角色、基于屬性等傳統計算機系統訪問控制方法.但這些訪問控制方法過度依賴于用戶制定的規則，同時無法對物聯網設備的自動化操作進行很好地管控.為了解決上述問題，Mahalle等人提出物聯網設備程序在執行自動化操作時需要將其使用的權能與該程序設計之初所要求的權能[104]進行比較，如果不符合就自動終止該程序的操作.但許多的物聯網設備應用程序要求的權能往往會大于其真正實際使用所需要的權能[50].文獻[105]提出基于OAuth協議的物聯網設備授權管理系統.該系統會根據程序自動化執行的敏感操作是否已被用戶授權來對其進行合法性判斷，從而避免頻繁的用戶交互.還有研究人員提出基于設備采集信息的自動訪問控制策略[106]也具有較高的應用價值.

3.5移動設備的跨域認證方法

穿戴式設備、智能汽車等移動化物聯網設備在未來會逐漸增多.在這些移動設備組成的通信網絡中，不再只是人與設備之間的交互，設備與設備之間也存在著自動化交互.同時，移動設備會頻繁地從一個網絡移動到另一個網絡.如何對移動設備跨域時進行有效的安全認證和權限授予是當前物聯網安全設計中的一大難點.

有研究人員[107]提出通過評估移動設備所處網絡中其他設備的可信度來動態改變該移動設備的安全配置，從而降低其被攻擊的風險.還有研究人員[108]指出對于移動設備可以利用自身位置信息來完成自認證.例如當設備處于某一特定區域才有權執行的操作，程序可根據設備自身的位置信息進行自授權來簡化認證過程.

4 未來研究方向

針對第3節介紹的五大物聯網安全技術挑戰并結合物聯網安全現狀，總結出未來物聯網發展中的五大安全研究熱點：

1) 隱私數據保護

隨著共享單車、共享汽車等物聯網共享服務的增多，如何防止這些共享服務中用戶隱私信息的泄露將成為物聯網安全研究的一大熱點.數據統計與分析技術的發展依賴于大量的用戶數據，而這也帶來了更大的隱私泄露風險.研究人員需要提出更加實用的基于隱私保護的數據挖掘[109]與機器學習[110]方法.

2) 輕量級安全機制

小型嵌入式系統設備在未來會更加普及，需要研究者提出更加有效的輕量級系統與通信安全機制.研究人員在設計輕量級安全機制時，主要需要滿足以下要求：首先對設備的電量和資源消耗要降到更低，其次不能大幅增加原有設備的成本和設計難度.

3) 入侵檢測與防御系統

物聯網設備和通信協議種類不斷增多，需要研究人員提出適用范圍更廣的入侵檢測與防御系統[103]和設備安全測試工具[95].近年來，對工業與公共基礎設備的網絡APT(高級持續性威脅)攻擊逐漸增多，如果這些關鍵的基礎設施長期停止工作或被惡意控制，國家和社會將受到嚴重危害.研究人員需要對這些工業和公共基礎設施設計出更加有效的入侵檢測與防御系統.

4) 針對自動化操作的訪問控制策略

隨著機器學習技術的不斷發展以及物聯網設備計算能力的不斷提升，設備的自動化操作會逐步取代人為操作.研究者需為物聯網設備的自動化操作設計出更加有效的訪問控制策略來防止攻擊者的惡意利用.

5) 移動設備的跨域認證方法

當前學術界對物聯網移動設備安全問題的研究還不夠全面，沒有意識到移動設備安全問題帶來的嚴重危害.敵手可利用移動設備不安全的跨域認證，進而對其進行控制并傳播惡意代碼.研究人員需要提出更加有效的方法來解決移動設備跨域認證問題以及移動設備間安全通信問題.

5 總 結

關于物聯網安全的研究雖然逐漸增多，但其整體進度還處于起步階段.物聯網的系統、應用、網絡各個方面缺少具有代表性的安全研究成果.本文在調研大量物聯網安全論文后，首先從物聯網架構層次和應用場景2個角度闡述了物聯網安全問題和研究現狀.物聯網架構3個邏輯層次的主要安全工作分別為：感知層需要在有限資源的設備上實現更加有效的安全措施來保證收集數據的完整性、機密性、可鑒別性；傳輸層需要著重解決數據跨網絡傳輸時產生的安全問題；應用層在為用戶提供更多服務的同時需要充分保護用戶的隱私信息.不同的物聯網應用場景需要側重解決的安全問題也有所不同：智能家居和智能醫療設備需要更多的隱私保護機制，從而盡可能降低用戶隱私泄露的風險；智能電網等工業基礎設施需要更加有效的入侵檢測和防御系統，從而抵御大規模的拒絕服務攻擊和長期潛伏的APT攻擊.

然后，通過深入分析物聯網安全問題產生的根本原因與現有工作的不足，總結出物聯網安全面臨的五大技術挑戰.最后指出物聯網安全未來的研究熱點，為相關研究人員提供更有針對性的設計參考.只有盡快發現并解決物聯網安全研究中的諸多難點，才能有效地抵御愈發嚴重的物聯網攻擊，使人們安全地享受物聯網時代帶來的便捷.

[1] Statista Inc. Internet of Things (IoT) connected devices installed base worldwide from 2015 to 2025 (in billions)[EB/OL]. [2017-05-30]. https://www.statista.com/statistics/471264/iot-number-of-connected-devices-worldwide/

[2] Ironpaper Growth Agency. Internet of Things Market Statistics-2016[EB/OL]. (2016-02-04) [2017-04-08]. http://www.ironpaper.com/webintel/articles/internet-of-things-market-statistics/

[3] MARC GOODMAN. Hacking the Human Heart[EB/OL]. [2017-04-24]. http://bigthink.com/future-crimes/hacking-the-human-heart

[4] Langner R. Stuxnet: Dissecting a cyberwarfare weapon[J]. IEEE Security & Privacy, 2011, 9(3): 49-51

[5] Wikipedia. 2016 dyn cyberattack[EB/OL].[2017-05-09]. https://en.wikipedia.org/w/index.php?title=2016_Dyn_cyberattack&oldid=763071700

[6] Patterson R. How safe is your data with the IoT and smart devices[EB/OL]. [2017-04-29]. https://www.comparitech.com/blog/information-security/iot-data-safety-privacy-hackers/

[7] Wright A. Mapping the Internet of Things[M]. New York: ACM, 2016

[8] GeekPwn. IoT devices have a large number of low-level loopholes[EB/OL]. [2017-04-23]. http://www.sohu.com/a/129188339_198147

[9] Roman R, Zhou J, Lopez J. On the features and challenges of security and privacy in distributed Internet of things[J]. Computer Networks, 2013, 57(10): 2266-2279

[10] Fu K, Kohno T, Lopresti D, et al. security and privacy threats posed by accelerating trends in the Internet of things[EB/OL].[2017-05-10]. http://cra.org/ccc/wp-content/uploads/sites/2/2017/02/Safety-Security-and-Privacy-Threats-in-IoT.pdf

[11] Li Ling, Li Shancang, Zhao Shanshan. QoS-aware scheduling of services-oriented Internet of things[J]. IEEE Trans on Industrial Informatics, 2014, 10(2): 1497-1505

[12] Wu Chuankun. Security Fundamentals for Internet of Things[M]. Beijing: Science Press, 2013 (in Chinese)

(武傳坤. 物聯網安全基礎[M]. 北京: 科學出版社, 2013)

[13] Zhao Kai, Ge Lina. A survey on the Internet of things security[C] //Proc of the 9th Int Conf on Computational Intelligence and Security. Los Alamitos, CA: IEEE Computer Society, 2013: 663-667

[14] Liu Xiangyu, Zhou Zhe, Diao Wenrui. When good becomes evil: Keystroke inference with smartwatch[C] //Proc of the 22nd ACM SIGSAC Conf on Computer and Communications Security. New York: ACM, 2015: 1273-1285

[15] Das A, Borisov N, Caesar M. Do you hear what I hear?: Fingerprinting smart devices through embedded acoustic components[C] //Proc of the 21st ACM SIGSAC Conf on Computer and Communications Security. New York: ACM, 2014: 441-452

[16] Vasyltsov I, Lee S. Entropy extraction from bio-signals in healthcare IoT[C] //Proc of the 1st ACM Workshop on IoT Privacy, Trust, and Security. New York: ACM, 2015: 11-17

[17] Mccann D, Eder K, Oswald E. Characterising and comparing the energy consumption of side channel attack countermeasures and lightweight cryptography on embedded devices[C] //Proc of Int Workshop on SIOT2015. Piscataway, NJ: IEEE, 2015: 65-71

[18] Conti M, Nati M, Rotundo E, et al. Mind the Plug! Laptop-user recognition through power consumption[C] //Proc of the 2nd ACM Workshop on Iot Privacy, Trust, and Security. New York: ACM, 2016: 37-44

[19] Costin A, Zaddach J, Francillon A, et al. A large-scale analysis of the security of embedded firmwares[C] //Proc of the 23nd USENIX Security Symposium. Berkeley, CA: USENIX Association, 2014: 95-110

[20] Azab A M, Swidowski K, Bhutkar J M, et al. Skee: A lightweight secure kernel-level execution environment for arm[C] //Proc of the 23th Network and Distributed System Security Symp. Reston, VA: ISOC, 2016

[21] Sachidananda V, Toh J, Siboni S, et al. POSTER: Towards exposing Internet of things: A roadmap[C] //Proc of the 23rd ACM SIGSAC Conf on Computer and Communications Security. New York: ACM, 2016: 1820-1822

[22] Guo Fuchun, Mu Yi, Susilo W, et al. CP-ABE with constant-size keys for lightweight devices[J]. IEEE Trans on Information Forensics & Security, 2014, 9(5): 763-771

[23] Shi Yang, Wei Wujing, He Zongjian, et al. An ultra-lightweight white-box encryption scheme for securing resource-constrained IoT devices[C] //Proc of the 32nd Annual Conf on Computer Security Applications. New York: ACM, 2016: 16-29

[24] Buchmann J, Pfert F, Neysu T, et al. High-performance and lightweight lattice-based public-key encryption[C] //Proc of the 2nd ACM Int Workshop on Iot Privacy, Trust, and Security. New York: ACM, 2016: 2-9

[25] Rauter T, Kajtazovic N, Kreiner C. Privilege-based remote attestation: Towards integrity assurance for lightweight clients[C] //Proc of the 1st ACM Workshop on IoT Privacy, Trust, and Security. New York: ACM, 2015: 3-9

[26] Majzoobi M, Rostami M, Koushanfar F, et al. Slender PUF protocol: A lightweight, robust, and secure authentication by substring matching[C] //Proc of IEEE Symp on Security and Privacy Workshop on TrustED2012. Los Alamitos, CA: IEEE Computer Society, 2012: 33-44

[27] Hiller M, ?nalan A G, Sigl G, et al. Online reliability testing for PUF key derivation[C] //Proc of the 6th Int Workshop on Trustworthy Embedded Devices. New York: ACM, 2016: 15-22

[28] Xu Weitao, Lan Guohao, Lin Qi, et al. KEH-Gait: Towards a mobile healthcare user authentication system by kinetic energy harvesting[C] //Proc of the 24th Network and Distributed System Security Symp. Reston, VA: ISOC, 2017

[29] Scheel R A, Tyagi A. Characterizing composite user-device touchscreen physical unclonable functions (PUFs) for mobile device authentication[C] //Proc of Int Workshop on TrustED2015. New York: ACM, 2015: 3-13

[30] Dudek D. On the Detectability of Weak DoS Attacks in Wireless Sensor Networks[M]. Berlin: Springer, 2013: 243-257

[31] Sultana S, Ghinita G, Bertino E, et al. A lightweight secure provenance scheme for wireless sensor networks[C] //Proc of the 21st Int Conf on Parallel and Distributed Systems. Piscataway, NJ: IEEE, 2013: 101-108

[32] Ortiz-Yepes D A. BALSA: Bluetooth low energy application layer security add-on[C] //Proc of Int Workshop on SIOT2015. Piscataway, NJ: IEEE, 2015: 15-24

[33] Szalachowski P, Perrig A. Lightweight protection of group content distribution[C] //Proc of the 1st ACM Workshop on IoT Privacy, Trust, and Security. New York: ACM, 2015: 35-42

[34] Zhu Yihai, Yan Jun, Tang Yufei, et al. Joint substation-transmission line vulnerability assessment against the smart grid[J]. IEEE Trans on Information Forensics & Security, 2015, 10(5): 1010-1024

[35] Niemietz M, Somorovsky J, Mainka C, et al. Not so smart: On smart TV apps[C] //Proc of Int Workshop on SIOT2015. Piscataway, NJ: IEEE, 2015: 72-81

[36] Zhang Yuexin, Xiang Yang, Huang Xinyi, et al. A cross-layer key establishment scheme in wireless mesh networks[C] //Proc of ESORICS 2014. Berlin: Springer, 2014: 526-541

[37] Nguyen K T, Oualha N, Laurent M. Authenticated Key Agreement Mediated by a Proxy Re-encryptor for the Internet of Things[M]. Berlin: Springer, 2016

[38] Chakravorty A, Wlodarczyk T, Rong C. Privacy preserving data analytics for smart homes[J]. IEEE Computer Society Security & Privacy Workshops, 2013, 42(6): 23-27

[39] Lu Zhuo, Wang Wenye, Wang C. Camouflage traffic: Minimizing message delay for smart grid applications under jamming[J]. IEEE Trans on Dependable & Secure Computing, 2015, 12(1): 31-44

[40] Riliskis L, Shafagh H, Levis P. Computations on encrypted data in the Internet of things applications[C] //Proc of the 22nd ACM SIGSAC Conf on Computer and Communications Security. New York: ACM, 2015: 1668-1670

[41] Ravikumar G K, Manjunath T N, Hegadi R S, et al. A survey on recent trends, process and development in data masking for testing[J]. International Journal of Computer Science Issues, 2011, 8(2): 1709-1720

[42] Xu Jia, Yang Anjia, Zhou Jianying, et al. Lightweight Delegatable Proofs of Storage[M]. Berlin: Springer, 2016

[43] Yang Lei, Humayed A, Li Fengjun. A multi-cloud based privacy-preserving data publishing scheme for the Internet of things[C] //Proc of the 32nd Conf on Computer Security Applications. New York: ACM, 2016: 30-39

[44] Condra G. A plea for incremental work in IoT security[C] //Proc of Int Workshop on TrustED2015. New York: ACM, 2015: 39-39

[45] Tang Yuzhe, Wang Ting, Liu Ling, et al. Lightweight authentication of freshness in outsourced key-value stores[C] //Proc of the 30th Conf on Computer Security Applications. New York: ACM, 2014: 176-185

[46] Pirker M, Slamanig D, Winter J. Practical privacy preserving cloud resource-payment for constrained clients[G] //LNCS 7384: Privacy Enhancing Technologies. Berlin: Springer, 2012: 201-220

[47] Hardjono T, Smith N. Cloud-based commissioning of constrained devices using permissioned blockchains[C] //Proc of the 2nd ACM Int Workshop on Iot Privacy, Trust, and Security. New York: ACM, 2016: 29-36

[48] Altmeier C, Mainka C, Somorovsky J, et al. AdIDoS—Adaptive and intelligent fully-automatic detection of denial-of-service weaknesses in Web services[M]. Data Privacy Management, and Security Assurance. Berlin: Springer, 2015: 65-80

[49] Ali M Q, Al-Shaer E. Configuration-based IDS for advanced metering infrastructure[C] //Proc of the 20th ACM SIGSAC Conf on Computer & Communications Security. New York: ACM, 2013: 451-462

[50] Fernandes E, Jung J, Prakash A. Security analysis of emerging smart home applications[C] //Proc of Int Workshop on SIOT2014. Los Alamitos, CA: IEEE Computer Society, 2016: 636-654

[51] Fremantle P, Aziz B, Kopecky J, et al. Federated identity and access management for the Internet of things[C] //Proc of Int Workshop on Secure Internet of Things. Piscataway, NJ: IEEE, 2014: 10-17

[52] Mituca A, Moin A H, Prehofer C. Access control for apps running on constrained devices in the Internet of things[C] //Proc of Int Workshop on SIOT2014. Piscataway, NJ: IEEE, 2014: 1-9

[53] Copos B, Levitt K, Bishop M, et al. Is anybody home? Inferring activity from smart home network traffic[C] //Proc of the 2nd Int Workshop on Privacy Engineering. Piscataway, NJ: IEEE, 2016: 245-251

[54] Obermaier J, Hutle M. Analyzing the security and privacy of cloud-based video surveillance systems[C] //Proc of the 2nd ACM Int Workshop on Iot Privacy, Trust, and Security. New York: ACM, 2016: 22-28

[55] Fernandes E, Paupore J, Rahmati A, et al. Flowfence: Practical data protection for emerging IOT application frameworks[C] //Proc of the 25th Usenix Security Symposium. Berkeley, CA: USENIX Association, 2016

[56] Yu T, Sekar V, Seshan S, et al. Handling a trillion (unfixable) flaws on a billion devices: Rethinking network security for the Internet-of-things[C] //Proc of the 14th ACM Workshop on Hot Topics in Networks. New York: ACM, 2015: 5

[57] Henry N L, Paul N R, Mcfarlane N. Using bowel sounds to create a forensically-aware insulin pump system[C] //Proc of USENIX Workshop on HealthTech’13. Berkeley, CA: USENIX Association, 2013

[58] Sicari S, Rizzardi A, Grieco L A, et al. Security, privacy and trust in Internet of things: The road ahead[J].. Computer Networks: The International Journal of Computer and Telecommunications Networking, 2015, 76(C):146-164

[59] Mer M, Aspinall D, Wolters M. Weighing in eHealth Security[C] //Proc of the 23rd ACM SIGSAC Conf on Computer and Communications Security. New York: ACM, 2016: 1832-1834

[60] Hewlett Packard Enterprise. Healthcare Rx: How technology and IoT can help fix a broken system[EB/OL]. [2017-05-09]. https://insights.hpe.com/reports/healthcare-rx-how-technology-and-iot-can-help-fix-a-broken-system-1701.html

[61] Clark S S, Ransford B, Rahmati A, et al. WattsUpDoc: Power side channels to nonintrusively discover untargeted malware on embedded medical devices[C] //Proc of USENIX Workshop on HealthTech’13. Berkeley, CA: USENIX Association, 2013

[62] Krishnan R. Ransomware hijacks hotel smart keys to lock guests out of their rooms[EB/OL]. (2016-04-03) [2017-05-13]. http://thehackernews.com/2016/04/hospital-ransomware.html

[63] Rubin A D. Taking two-factor to the next level: Protecting online poker, banking, healthcare and other applications[C] //Proc of the 30th Annual Computer Security Applications Conf. New York: ACM, 2014: 1-5

[64] Duffy E, Nyemba S, Gunter C A, et al. Requirements and design for an extensible toolkit for analyzing EMR audit logs[C] //Proc of USENIX Workshop on HealthTech’13. Berkeley, CA: USENIX Association, 2013

[65] Dong Xiaolei. Advances of privacy preservation in Internet of things[J]. Journal of Computer Research and Development, 2015, 52(10): 2341-2352 (in Chinese)

(董曉蕾. 物聯網隱私保護研究進展[J].計算機研究與發展, 2015, 52(10): 2341-2352)

[66] Miller C, Valasek C. Remote exploitation of an unaltered passenger vehicle[OL]. (2015-08-10) [2017-05-23]. http://illmatics.com/Remote%20Car%20Hacking.pdf

[67] Forensics E. The most hackable cars on the road[EB/OL]. (2015-08-19) [2017-05-29]. http://www.envistaforensics.com/news/the-most-hackable-cars-on-the-road-1

[68] Theguardian. Team of hackers take remote control of tesla models from 12 miles away[EB/OL]. (2016-09-20)[2017-05-06]. https://www:theguardian:com/technology/2016/sep/20/tesla-model-s-chinese-hack-remote-control-brakes

[69] Hartenstein H, Laberteaux K. A tutorial survey on vehicular ad hoc networks[J]. IEEE Communications Magazine, 2008, 46(6): 164-171

[70] Radu A I, Garcia F D. LeiA: A lightweight authentication protocol for CAN[G] //Computer Security-ESORICS 2016. Berlin: Springer, 2016: 283-300

[71] Weimerskirch A. An overview of automotive cybersecurity: Challenges and solution approaches[C] //Proc of Int Workshop on TrustED2015. New York: ACM, 2015: 53

[72] Wang L, Nojima R, Moriai S. A secure automobile information sharing system[C] //Proc of the 1st ACM Workshop on Iot Privacy, Trust, and Security. New York: ACM, 2015: 19-26

[73] Tan R, Krishna V B, Yau D K Y, et al. Impact of integrity attacks on real-time pricing in smart grids[C] //Proc of the 20th ACM SIGSAC Conf on Computer & Communications Security. New York: ACM, 2013: 439-450

[74] Vieira B, Poll E. A security protocol for information-centric networking in smart grids[C] //Proc of ACM Workshop on SEGS’13. New York: ACM, 2013: 1-10

[75] Dimitriou T, Karame G. Privacy-friendly planning of energy distribution in smart grids[C] //Proc of ACM Workshop on SEGS’14. New York: ACM, 2014: 1-6

[76] Erkin Z, Veugen T. Privacy enhanced personal services for smart grids[C] //Proc of ACM Workshop on SEGS’14. New York: ACM, 2014: 7-12

[77] Danezis G，Kohlweiss M. Smart meter aggregation via secret-sharing[C] //Proc of ACM Workshop on SEGS’13. New York: ACM, 2013: 75-80

[78] Biselli A, Franz E. Protection of consumer data in the smart grid compliant with the German smart metering guideline[C] //Proc of ACM Workshop on SEGS’13. New York: ACM, 2013: 41-52

[79] Wikipedia. SCADA[EB/OL].[2017-05-11]. https://en.wikipedia.org/wiki/SCADA

[80] Wikipedia. Industrial control system[EB/OL].[2017-05-11]. https://en.wikipedia.org/wiki/Industrial_control_system

[81] Cardenas A A, Amin S, Sastry S. Secure control: Towards survivable cyber-physical systems[C] //Proc of the 28th Int Conf on Distributed Computing Systems Workshops.Los Alamitos，CA: IEEE Computer Society, 2008: 495-500

[82] Luiijf E. Threats in Industrial Control Systems[M]. Berlin: Springer, 2016

[83] Edward J M C. Security of cyber-physical systems[J]. Journal of Cyber Security and Information Systems, 2017, 5(1): 41-47

[85] Lin Hui, Slagell A, Kalbarczyk Z, et al. Semantic security analysis of SCADA networks to detect malicious control commands in power grids[C] //Proc of ACM Workshop on SEGS’13. New York: ACM, 2013: 29-34

[86] Sullivan D T, Colbert E J. Network analysis of reconnaissance and intrusion of an industrial control system，AD1016413[R]. New York: Defense Technical Information Center, 2016

[87] Henry M H, Zaret D R, Carr J R, et al. Cyber Risk in Industrial Control Systems[M]. Berlin: Springer, 2016

[88] Costin A. Security of CCTV and video surveillance systems: Threats, vulnerabilities, attacks, and mitigations[C] //Proc of the 6th Int Workshop on Trustworthy Embedded Devices. New York: ACM, 2016: 45-54

[89] Line M B, Zand A, Stringhini G, et al. Targeted attacks against industrial control systems: Is the power industry prepared?[C] //Proc of ACM Workshop on SEGS’14. New York: ACM, 2014: 13-22

[90] Colbert E J M, Kott A. Cyber-security of SCADA and Other Industrial Control Systems[M]. Berlin: Springer, 2016

[91] Formby D, Sang S J, Copeland J, et al. An empirical study of TCP vulnerabilities in critical power system devices[C] //Proc of ACM Workshop on SEGS’14. New York: ACM, 2014: 39-44

[92] Wang Huaqun, Qin Bo, Wu Qianhong, et al. TPP: Traceable privacy-preserving communication and precise reward for vehicle-to-grid networks in smart grids[J]. IEEE Trans on Information Forensics & Security, 2015, 10(11): 2340-2351

[93] Rahman M A, Mohsen F, Al-Shaer E. A formal model for sustainable vehicle-to-grid management[C] //Proc of ACM Workshop on SEGS’13. New York: ACM, 2013: 81-92

[94] OWASP. OWASP Internet of Things Top Ten[EB/OL].[2017-05-20]. https://www.owasp.org/images/7/71/Internet_of_Things_Top_Ten_2014-OWASP.pdf

[95] Dantas H, Erkin Z, Doerr C, et al. eFuzz: A fuzzer for DLMS/COSEM electricity meters[C] //Proc of ACM Workshop on SEGS’14. New York: ACM, 2014: 31-38

[96] Ayday E, Raisaro J L, Mclaren P J, et al. Privacy-preserving computation of disease risk by using genomic, clinical, and environmental data[C] //Proc of USENIX Conf on Safety, Security, Privacy and Interoperability of Health Information Technologies. Berkeley, CA: USENIX Association, 2013: 1-10

[97] Saarinen M O. The BlueJay Ultra-Lightweight hybrid cryptosystem[C] //Proc of IEEE Symp on Security and Privacy Workshop on TrustED2012. Los Alamitos, CA: IEEE Computer Society, 2012: 27-32

[98] Zenger C T, Chur M J, Posielek J F, et al. A novel key generating architecture for wireless low-resource devices[C] //Proc of Int Workshop on SIOT2014. Piscataway, NJ: IEEE, 2014: 26-34

[99] Ding Lin, Jin Chenhui, Guan Jie, et al. Cryptanalysis of lightweight WG-8 stream cipher[J]. IEEE Trans on Information Forensics & Security, 2014, 9(4): 645-652

[100] Dougherty D J, Guttman J D. Decidability for lightweight Diffie-Hellman protocols[C] //Proc of the 27th Computer Security Foundations Symp. Piscataway, NJ: IEEE, 2014: 217-231

[101] Yan Jun, He Haibo, Zhong Xiangnan, et al. Q-learning-based vulnerability analysis of smart grid against sequential topology attacks[J].IEEE Trans on Information Forensics & Security, 2016, 12(1): 200-210

[102] Kasinathan P, Costamagna G, Khaleel H, et al. DEMO: An IDS framework for Internet of things empowered by 6LoWPAN[C] //Proc of the 20th ACM SIGSAC Conf on Computer & Communications Security. New York: ACM，2013: 1337-1340

[103] Hoeve M. Detecting intrusions in encrypted control traffic[C] //Proc of ACM Workshop on SEGS’13. New York: ACM, 2013: 23-28

[104] Mahalle P N, Anggorojati B, Prasad N R, et al. Identity establishment and capability based access control (IECAC) scheme for Internet of Things[C]//Proc of Int Symp on IEEE WPMC’12. Piscataway, NJ: IEEE, 2012: 187-191

[105] Windley P J. API access control with OAuth: Coordinating interactions with the Internet of things[J]. IEEE Consumer Electronics Magazine, 2015, 4(3): 52-58

[106] Jia Y J, Chen Q A, Wang Shiqi, et al. ContexIoT: Towards providing contextual integrity to appified IoT platforms[C] //Proc of the 24th Network and Distributed System Security Symp. Reston, VA: ISOC, 2017

[107] Chen I R, Bao F, Guo Jia. Trust-based service management for social Internet of things systems[J]. IEEE Trans on Dependable & Secure Computing, 2016, 13(6): 684-696

[108] Ilie-Zudor E, Kemeny Z, van Blommestein F, et al. A survey of applications and requirements of unique identification systems and RFID techniques[J]. Computers in Industry, 2011, 62(3): 227-252

[109] Wang Jian. The study of key technologies of privacy-preserving data mining[D]. Shanghai: Donghua University, 2011 (in Chinese)

(王健. 基于隱私保護的數據挖掘若干關鍵技術研究[D]. 上海: 東華大學, 2011)

[110] Shokri R, Shmatikov V. Privacy-preserving deep learning[C] //Proc of the 53rd Annual Allerton Conf on Communication, Control, and Computing. Piscataway, NJ: IEEE, 2015: 909-910

SurveyofInternetofThingsSecurity

Zhang Yuqing, Zhou Wei, and Peng Anni

(NationalComputerNetworkIntrusionProtectionCenter(UniversityofChineseAcademyofSciences),Beijing101408)

With the development of smart home, intelligent care and smart car, the application fields of IoT are becoming more and more widespread, and its security and privacy receive more attention by researchers. Currently, the related research on the security of the IoT is still in its initial stage, and most of the research results cannot solve the major security problem in the development of the IoT well. In this paper, we firstly introduce the three-layer logic architecture of the IoT, and outline the security problems and research priorities of each level. Then we discuss the security issues such as privacy preserving and intrusion detection, which need special attention in the IoT main application scenarios (smart home, intelligent healthcare, car networking, smart grid, and other industrial infrastructure). Though synthesizing and analyzing the deficiency of existing research and the causes of security problem, we point out five major technical challenges in IoT security. They are privacy protection in data sharing, the equipment security protection under limited resources, more effective intrusion detection and defense systems and method, access control of equipment automation operations and cross-domain authentication of motive device. We finally detail every technical challenge and point out the IoT security research hotspots in future.

Internet of things; security; privacy; intelligent; survey; challenge

TP393

ZhangYuqing, born in 1966. PhD. Professor in the University of Chinese Academy of Sciences. His main research interests include network and information system security.

ZhouWei, born in 1993. PhD candidate in the University of Chinese Academy of Sciences. His main research interests include network and system security (zhouw@nipc.org.cn).

PengAnni, born in 1995. PhD candidate in the University of Chinese Academy of Sciences. Her main research interests include network and system security (pengan@nipc.org.cn).