物聯網安全標準及防護模型研究概述*

肖益珊 ，張 尼 ，劉廉如 ，張忠平

(1.宜通世紀科技股份有限公司，廣東 廣州 510630；2.宜通世紀物聯網研究院(廣州)有限公司，廣東 廣州 510665；3.中國電子信息產業集團有限公司第六研究所，北京100083)

0 引言

在物聯網賦能千行百業，驅動傳統行業數字化轉型的過程中，大量的傳統設備受限于計算能力、節能要求造成安全防護能力不匹配、不同步。終端形態多樣化、接入方式泛在化、業務應用融合化、防護邊緣模糊化，給物聯網業務安全帶來很多不確定性。新形勢造就新需求， 新特性導致新挑戰，物聯網面臨的安全風險與挑戰呈現復雜化、多元化、碎片化特點，具體挑戰包括：傳統行業安全防護起步晚，安全基礎設施與安全意識薄弱；分散的終端設備易受攻擊，物理保障難；IT 和 OT 的融合，加之連接規模的快速增長，導致攻擊面擴大，攻擊危害易擴散；用戶行為的多樣與應用場景的復雜交織纏繞，加劇了威脅特征抽取與識別的難度，建模分析和模式識別應用效果不明顯；物聯網采集的數據種類多、范圍廣、類型雜，傳統傳輸協議安全性設計存在缺陷，為用戶數據隱私保護增加了難度；物聯網業務涉及的合作伙伴多，產業鏈條長，存在安全責任邊界模糊、界面劃分不清的風險[1-3]。

1 安全威脅分析與建模

物聯網安全威脅分析與建模對物聯網安全需求的歸納總結、安全防護方案的制定至關重要。安全威脅建模的步驟包括：識別待保護的資產、創建物聯網架構視圖、識別威脅、記錄威脅、對威脅進行評級。

常用的威脅識別技術包括威脅識別模型STRIDE和威脅評級模型DREAD。STRIDE 模型用來識別常見的6 種威脅，包括身份假冒(Spoofing)、篡改(Tampering)、抵賴(Repudiation)、信 息泄 露(Information Disclosure)、拒絕服務(Denial of Service)、權限提升(Elevation of Privilege)。DREAD 模型用來對威脅進行評級，包括潛在的損失(Damage Potential)、重現性(Reproducibility)、可利用性(Exploitability)、受影響用戶(Affected users)、可發現性(Discoverability)。

通常，物聯網體系架構包括感知層、網絡層、平臺層和應用層， 對各層主要安全威脅進行分析，可以進一步總結對應的安全需求[2，4-7]。

感知層的安全威脅主要包括物理攻擊、終端缺乏更新機制導致的軟件漏洞風險、病毒或惡意軟件感染、惡意訪問或操控、偽造或假冒攻擊、信號泄露與干擾、資源耗盡攻擊、敏感數據泄露威脅、服務中斷風險等。

網絡層的安全威脅主要包括網絡安全協議漏洞和缺陷；異構網絡融合引入的身份認證、密鑰協商、數據機密性與完整性保護等問題；無線傳輸中數據被竊取、篡改或刪除問題；非授權接入和訪問網絡；阻塞干擾、女巫攻擊、洪泛攻擊、選擇轉發攻擊、非公平攻擊、碰撞攻擊、拒絕服務攻擊、中間人攻擊和假冒基站攻擊；運營商網絡側批量應急管控風險等。

平臺層的安全威脅主要包括隱私數據泄露、惡意代碼攻擊等安全攻擊；虛擬機逃逸、虛擬機鏡像文件泄露、虛擬網絡攻擊、虛擬化軟件漏洞等虛擬化安全問題；平臺組件、操作系統和服務程序漏洞和設計缺陷導致未授權訪問、 數據篡改和泄露等；篡改數據的重編程攻擊、數據服務阻塞、錯亂定位服務攻擊、破壞隱藏位置目標攻擊、破壞數據融合的攻擊等。

應用層威脅主要包括病毒、蠕蟲、木馬、不受歡迎應用程序、遠程攻擊和人員威脅等。

2 政策與標準

2.1 政策法規

世界各國在物聯網安全領域積極推動相關政策法規、技術規范制定和標準化工作[8]。

美國對物聯網安全十分重視，從戰略、政策、立法等維度協同推進物聯網安全的落地實踐。2016年12月，美國國土安全部發布了《物聯網安全策略原則》，制定了設計、制造和部署物聯網設備的安全原則，包括：設計階段需考慮的安全問題；漏洞管理、修復及安全更新；最佳安全實踐及操作方法；基于風險管理優先級聚焦安全措施；提升供應鏈透明性；持續接入互聯網，永久在線必要性的判定等。2017年8月，美國兩黨議員向國會提交了一份關于物聯網安全的法案《2017 物聯網網絡安全改進法》，旨在通過制定政府采購和使用物聯網設備的行業安全標準來改善美政府所面臨的物聯網安全挑戰。2018年1月，美國商務部與國土安全部聯合出臺網絡安全報告草案《提高互聯網與通信生態系統對僵尸網絡及其他自動分布式威脅的抵御能力》。2019年6月，美國政府通過了《2019年物聯網網絡安全改進法案》，該法案希望對聯邦政府采購和使用的任何物聯網設備設定最低的安全標準，以確保網絡安全的基線。

歐盟對物聯網安全的保障工作側重在安全基線的設置及用戶隱私數據的保護。2017年11月，歐洲網絡和信息安全管理局發布了《歐盟關鍵信息基礎設施環境中的物聯網安全基線指南》，梳理分析了物聯網的安全需求、威脅態勢、風險趨勢，提出了物聯網安全基線分析框架，旨在為歐盟在關鍵信息技術設施領域應用物聯網提供部署指導和實踐指南。2018年5月25日正式生效的歐盟《通用數據保護條例》（General Data Protection Regulation，GDPR），為保護歐盟用戶個人數據提供了重要法律依據，在增強數據主體對于個人數據的控制能力同時，也對企業保障實現數據主體的權利提出了具體要求，如規定了企業對客戶數據的搜集、存儲、使用的規范和準則。

日本將終端設備安全保護作為對于物聯網安全防護的核心和重點。2017年10月，總務省基于內閣網絡安全中心發表的《關于物聯網系統安全的總體框架》出臺了《物聯網安全綜合對策》，提前部署物聯網安全對策。2019年2月，總務省設立新規，要求物聯網設備必須具有防非法登錄功能，并于2020年4月開始實行。

中國物聯網安全戰略定位清晰明確，采取頂層設計與應用推廣相結合，技術手段和管理措施統籌兼顧的策略。2013年2月，國務院頒布了《關于推進物聯網有序健康發展的指導意見》，指出了建立健全物聯網安全測評、風險評估、安全防范、應急處置等機制。2016年12月，工信部發布了《信息通信行業發展規劃物聯網分冊（2016-2020年）》，明確了要增強物聯網基礎設施、重大系統、重要信息等安全保障能力。2020年5月，工信部發布了《關于深入推進移動物聯網全面發展的通知》，指出了要從移動物聯網基礎安全夯實、移動物聯網安全防護和數據保護加強等方面建立健全移動物聯網安全保障體系。

2.2 安全標準

在標準制定方面，ISO/IEC、ITU-T、ETSI、全國信息安全標準化技術委員會(SAC/TC260)、中國通信標準化協會(CCSA)等國內外標準組織積極推進物聯網安全標準化工作。

ISO/IEC JTC1/SC27(信息技術委員會/安全技術分委員會)、SC41(物聯網及相關技術分委員會)、SC25(信息技術設備互聯分委員會)分別圍繞著信息安全、物聯網技術、智能家居、家庭網關等領域制定相關標準，如安全體系架構、輕量級加密、認證鑒權、隱私控制與保護等安全技術。

ITU-T SG17(安全研究組)負責物聯網通信安全研究和標準制定工作，SG20/Q6(物聯網和智慧城市研究組/安全、隱私保護、信任和識別課題組)側重于物聯網和智慧城市的安全標準。SG17 圍繞安全框架、加密規程、窄帶物聯網安全要求、物聯網安全事件操作日志格式、安全控制措施、設備和網關安全要求、平臺安全要求與框架等方面規劃了物聯網安全系列標準。

ETSI(歐洲電信標準化協會)網絡安全技術委員會于 2019年2月發布了《消費類物聯網安全》，旨在提供聯網消費類物聯網設備的安全基線，為物聯網的認證授權、安全威脅評估、安全機制分析等領域奠定基礎。

針對物聯網安全問題，我國也在積極布局和推進物聯網安全標準制定工作。以全國信息安全標準化技術委員會(SAC/TC260)、中國通信標準化協會(CCSA)、車載信息服務產業應用聯盟(TIAA)、工業互聯網產業聯盟(AII)為代表的國內相關標準化機構、產業聯盟紛紛啟動開展了物聯網安全相關標準體系的建設工作。圖1 所示為物聯網安全標準主題。

圖1 物聯網安全標準主題

全國信息安全標準化技術委員會(SAC/TC260)在 2018年12月 28日正式發布了 27 項國家標準，其中涉及物聯網安全的有《信息安全技術物聯網安全參考模型及通用要求》《信息安全技術物聯網感知終端應用安全技術要求》《信息安全技術物聯網感知層網關安全技術要求》《信息安全技術物聯網感知層接入通信網的安全要求》《信息安全技術物聯網數據傳輸安全技術要求》5 個標準， 已于 2019年7月 1日正式施行。

中國通信標準化協會(CCSA)在物聯網安全的標準化工作主要聚焦在通信網絡和系統，由TC5(無線通信技術委員會)和TC8(網絡與信息安全技術委員會)負責標準制定，規劃和完成的代表性標準包括《物聯網管理平臺安全防護要求》《物聯網標識解析安全技術要求》《基于SIM 卡的物聯網安全服務技術要求》《物聯網類終端通用安全技術要求和測試方法》《物聯網安全態勢感知技術要求》《基于信任根的物聯網設備系統安全技術要求》《物聯網感知層協議安全技術要求》《物聯網終端嵌入式操作系統安全技術要求》《物聯網安全分級分類管理技術要求》等。

國內外的相關標準組織圍繞著物聯網的基礎與通用安全、感知設備安全、網絡與交換安全、應用與服務安全、數據安全、安全管理與運維等方面開展全面的標準制定工作。在政策引導和標準牽引下，產業界圍繞安全技術、安全產品、安全解決方案和安全服務等領域構建健康的安全生態，驅動物聯網與各行各業相互滲透，為構建自主安全、開放協同、融合共享的產業環境，共同構筑物聯網安全的防護網。

3 安全模型

3.1 SerIoT 物聯網安全參考模型

SerIoT 項目旨在通過集成認知路由的 SDN、霧計算、物聯網蜜罐、區塊鏈、可視化分析、決策支持和基于硬件啟動的物聯網設備認證等技術提供架構驅動的安全解決方案，以解決廣泛的物聯網網絡安全威脅[9]。

圖2 ISO/IEC 30141 物聯網參考架構域視圖

綜合考慮物聯網端到端系統視圖的全面性和社區的開放性與活躍度，SerIoT 物聯網安全參考模型選擇基于ISO/IEC 30141 物聯網參考體系架構。ISO/IEC 30141 物聯網參考架構的域視圖如圖 2 所示，包括物理實體域(Physical Entity Domain，PED)、傳感與控制域(Sensing&Controlling Domain，SCD)、運營和管理域(Operation&Management Domain，OMD)、資源與交換域(Resource&Interchange Domain，RID)、應用服務域(Application Service Domain，ASD) 和用戶域(User Domain，UD)。

SerIoT 物聯網安全參考模型由 SerIoT 管理功能和 SerIoT 網絡基礎架構兩部分組成。SerIoT 管理功能解決物聯網網絡管理，物聯網監控、異常檢測與決策支持， 物聯網設備安全與隱私保護；SerIoT 網絡架構以 SDN 基礎設施、物聯網蜜罐和霧節點/邊緣節點為基礎。模型架構如圖 3 所示。

SerIoT 管理域支持傳感與控制域、應用服務域、資源與交換域之間的安全網絡通信，并在決策支持和可視化分析的上下文為SerIoT 用戶域提供管理接口，以實現人為應對安全風險和實施安全對策。

SerIoT SDN 基礎設施通過邊緣轉發器和核心轉發器實現使能物聯網網絡通信，SerIoT 路由引擎是網絡管理功能的核心，SDN 控制器在邊緣和核心轉發器上執行路由決策。

SerIoT 霧計算協調基板(Fog Computing Coordination Substrate)負責在邊緣側提供計算和存儲資源，實現資源和服務的分層管理和編排，能夠通過專用的、靠近邊緣的霧節點向物聯網設備提供高效透明的服務分發。SerIoT 霧管理和網絡編排(Fog MANO)負責在網絡層級和霧節點管理和控制霧基板。

SerIoT 蜜罐是模擬物聯網設備、網關或路由器，實現數據采集、惡意流量和惡意軟件分析的二層虛擬環境。

SerIoT 模型通過基于策略的框架和物聯網設備啟動服務，定義物聯網設備的安全和隱私保護的特定方案，并且利用區塊鏈技術實現物聯網設備狀態和重要事件的可信上報。

3.2 GB/T 37044 物聯網安全參考模型

GB/T 37004-2018《信息安全技術 物聯網安全參考模型及通用要求》從物聯網系統參考安全分區、系統生存周期和基本安全防護措施三個維度描述了物聯網安全參考模型[10]，如圖 4 所示。

物聯網參考安全分區從物聯網系統的邏輯空間維度出發，基于物聯網參考體系架構，依據每一個域及其子域的主要安全風險和威脅，歸納相應的安全防護需求，形成感知安全區、網絡安全區、應用安全區和運維安全區等安全責任邏輯分區。

系統生存周期從物聯網系統存續時間維度出發，將物聯網系統劃分為規劃設計、開發建設、運維管理、廢棄退出四個階段，并定義各階段的安全任務目標和安全防護需求。

基本安全防護措施從物理安全、網絡安全、系統安全、應用安全、運維安全和安全管理等方面，采取技術手段和管理手段并重的措施。

3.3 3T+1M 安全架構

圖3 SerIoT 物聯網安全參考模型

圖4 GB/T 37004 物聯網安全參考模型

提出的“3T+1M 安全架構”旨在應對物聯網基礎架構中感知層、 網絡層和應用層的安全風險和威脅，側重端、管、云/平臺的安全協同，提供物聯網全局化安全態勢感知和分析檢測能力，全方位構建物聯網安全防線，實現縱深防御[3，11-12]。

3T+1M 物聯網安全架構如圖5所示，其核心在于終端防御、網絡保障和平臺保護3 個物聯網安全技術族(Technologies)和 1 個安全運維與管理(Management)，以應對多樣化的物聯網應用和業務安全威脅，構建物聯網端到端安全防御體系。

物聯網終端防御技術(1T)從保障貫穿物聯網終端全生命周期的安全角度出發，采用系統分域隔離防御、遠程升級修復以及設置終端之間的多重微邊界安全防線等技術手段，實現可信認證的終端接入安全，以及海量終端可視化統一安全管控。

物聯網網絡保障技術(1T)從網絡角度來補充物聯網終端防御的不足，從終端數據中挖掘和識別惡意行為的特征，基于惡意軟件特征庫和惡意行為模型庫實現行為威脅和攻擊威脅的快速檢測、決策和處置。

圖5 物聯網安全 3T+1M 架構

物聯網平臺保護技術(1T)從平臺和數據角度為物聯網安全筑起第三道防線，聚焦物聯網平臺的安全態勢感知、數據安全與隱私保護，保障物聯網平臺的基礎環境安全、系統可用性、接入安全、數據安全和API 安全等。

物聯網安全運維和管理(1M)的關鍵在于制定安全運維的操作指南和應急流程規范，構建完善安全運維工具，提升物聯網事前預防、事中監控和事后處置的安全閉環管理能力。

根據上述物聯網安全模型和架構分析可見，基本思路是構建分區分域分階段的端到端安全縱深防御體系。利用安全態勢感知、多域分層入侵檢測、輕量級安全協議、惡意終端隔離、軟件定義安全邊界、協同防御等關鍵技術實現“云-管-端”協同聯動的閉環安全管理體系。

4 結論

“萬物互聯，安全先行”。物聯網的多源異構性、開放性、泛在性使其面臨巨大的安全威脅，加之物聯網終端和應用的多樣性和復雜性，物聯網安全問題面臨更為嚴峻的挑戰。

物聯網安全發展經歷了單一產品安全、端到端解決方案安全，正在向整體架構安全演進，以滿足不同垂直領域應用場景的個性化安全需求。軟件定義邊界、計算資源受限的終端節點輕量化安全協議(認證加密、密鑰管理、安全認證、密鑰協商等)、去中心化可信認證、邊緣計算安全、跨域設備身份可信認證、安全態勢感知、安全可視化、虛擬化等新技術不斷涌現，物聯網安全產品在產業(工業互聯網、泛在電力物聯網等)和技術(大數據、人工智能、區塊鏈等)的融合驅動下持續創新升級。

針對物聯網發展可能面臨的網絡安全新形勢、新需求和新特性， 需要從健全物聯網安全技術標準、構建適應物聯網環境的安全防護機制、搭建物聯網全生命周期立體防御體系、探索新技術在物聯網安全領域新應用等方面，聯合物聯網產業鏈各方力量，共同打造物聯網安全生態，促進物聯網產業健康良性發展。