《网络与系统安全》教学参考文献：物联网安全测评技术综述

第4卷第3期 信息安全学报 Vol.4 No.3 2019年5月 Journal of Cyber Security May,2019 物联网安全测评技术综述 陈钊，曾凡平，陈国柱，张燕咏，李向阳 中国科学技术大学计算机科学与技术学院合肥中国230027 摘要近年来，物联网大规模应用于智能制造、智能家居、智慧医疗等产业，物联网的安全问题日益突出，给物联网的发展带来 了前所未有的挑战。安全测评技术是保障物联网安全的重要手段，在物联网应用的整个开发生命周期都需要进行安全测评工作， 以保证物联网服务的安全性和健壮性。物联网节点面临计算能力、体积和功耗受限等挑战，智慧城市等应用场景提出了大规模 泛在异构连接和复杂跨域的需求。本文首先总结了目前物联网中常用的安全测评方法和风险管理技术，然后从绿色、智能和开 放三个方面分析物联网安全技术的发展现状和存在的安全问题，并总结了物联网安全测评面临的挑战以及未来的研究方向。 关键词物联网，安全测评；绿色，智能；开放 中图法分类号TP309.2D0I号10.19363J.cnki.cnl0-1380/tm2019.05.01 A Survey for IoT Security Assessment Technologies CHEN Zhao,ZENG Fanping,CHEN Guozhu,ZHANG Yanyong,LI Xiangyang School of Computer Science and Technology,University of Science and Technology of China,Hefei 230027,China Abstract In recent years,the Internet of Things(IoT)has been widely deployed in intelligent manufacturing,smart homes,and smart medical services,etc.The security concerns of the IoT systems are becoming increasingly prominent, posing an unprecedented challenge to the underlying IoT system design.Security assessment,an important means for en- suring IoT security,needs to be performed throughout the development lifecycle of IoT applications.IoT nodes face chal- lenges such as computing power,size and power consumption.The application scenarios such as smart cities propose large-scale ubiquitous heterogeneous connections and complex cross-domain requirements.We first survey the current security assessment methods and threat management technologies that are widely used in IoT.We then analyze the security technologies of IoT from the aspects of green,intelligence and openness,and summarize the development status and ex- isting security problems from these three dimensions.Finally,we summarize the challenges of IoT security assessment and the future research directions are pointed out. Key words IoT;security assessment;green;intelligence;openness 1引言 合增长率超过25%，其中物联网云平台成为竞争 核心领域，预计2021年我国物联网平台支出将 信息产业在经过互联网时代、移动互联网时代 位居全球第一。物联网在快速发展的同时，也面临 的全面发展后，己经步入大数据时代和物联网时代。 着来自安全、绿色、智能以及开放服务等方面的巨 物联网经过近几年的快速发展，迅速在智能制造、智 大挑战。 能电网和智慧城市等大型应用场景中发挥了巨大的 物联网被攻击造成的安全问题往往涉及面广且 作用，为政府机构、企业和个人用户提供着越来越丰 造成的经济损失严重。2016年黑客控制来自全球的 富的服务，正在朝着万物互联互通目标前进。根据国 天量感染Mirai病毒的物联网设备对美国东海岸 际数据公司2013年报告，预计到2020年互联设备 DNS服务商Dyn发起了DDoS攻击，该攻击严重 数量将快速增长到410亿，市场规模将达到8.9 影响DNS服务的客户业务，甚至导致客户网站无 万亿美元四。据《2017-2018年中国物联网年度发 法访问，受到影响的著名公司有Twitter、Github、 展报告》，2017年以来，我国物联网市场进入了实 BBC等)。2018年1月，有报道显示黑客通过损坏 质性发展阶段，全年市场规模突破1万亿元，年复 指纹传感器，使用橘子皮解锁手机并成功转账付款 通讯作者：李向阳，博士，教授，Email::xiangyangli@ustc.cdu.cn。 本课题得到科技部网络空间安全项目物联网与智慧城市安全保障关键技术研究No.2018YFB080340资助。 收稿日期：2019-01-31：修改日期：2019-05-13：定稿日期：2019-05-14

第 4 卷 第 3 期 信 息 安 全 学 报 Vol. 4 No. 3 2019 年 5 月 Journal of Cyber Security May, 2019 通讯作者: 李向阳, 博士, 教授, Email: xiangyangli@ustc.edu.cn。 本课题得到科技部网络空间安全项目 物联网与智慧城市安全保障关键技术研究 No.2018YFB080340 资助。 收稿日期: 2019-01-31; 修改日期: 2019-05-13; 定稿日期: 2019-05-14 物联网安全测评技术综述 陈 钊, 曾凡平, 陈国柱, 张燕咏, 李向阳 中国科学技术大学 计算机科学与技术学院 合肥 中国 230027 摘要 近年来, 物联网大规模应用于智能制造、智能家居、智慧医疗等产业, 物联网的安全问题日益突出, 给物联网的发展带来 了前所未有的挑战。安全测评技术是保障物联网安全的重要手段, 在物联网应用的整个开发生命周期都需要进行安全测评工作, 以保证物联网服务的安全性和健壮性。物联网节点面临计算能力、体积和功耗受限等挑战, 智慧城市等应用场景提出了大规模 泛在异构连接和复杂跨域的需求。本文首先总结了目前物联网中常用的安全测评方法和风险管理技术; 然后从绿色、智能和开 放三个方面分析物联网安全技术的发展现状和存在的安全问题, 并总结了物联网安全测评面临的挑战以及未来的研究方向。 关键词 物联网; 安全测评; 绿色; 智能; 开放 中图法分类号 TP309.2 DOI 号 10.19363/J.cnki.cn10-1380/tn.2019.05.01 A Survey for IoT Security Assessment Technologies CHEN Zhao, ZENG Fanping, CHEN Guozhu, ZHANG Yanyong, LI Xiangyang School of Computer Science and Technology, University of Science and Technology of China, Hefei 230027, China Abstract In recent years, the Internet of Things(IoT) has been widely deployed in intelligent manufacturing, smart homes, and smart medical services, etc. The security concerns of the IoT systems are becoming increasingly prominent, posing an unprecedented challenge to the underlying IoT system design. Security assessment, an important means for en￾suring IoT security, needs to be performed throughout the development lifecycle of IoT applications. IoT nodes face chal￾lenges such as computing power, size and power consumption. The application scenarios such as smart cities propose large-scale ubiquitous heterogeneous connections and complex cross-domain requirements. We first survey the current security assessment methods and threat management technologies that are widely used in IoT. We then analyze the security technologies of IoT from the aspects of green, intelligence and openness, and summarize the development status and ex￾isting security problems from these three dimensions. Finally, we summarize the challenges of IoT security assessment and the future research directions are pointed out. Key words IoT; security assessment; green; intelligence; openness 1 引言 信息产业在经过互联网时代、移动互联网时代 的全面发展后, 已经步入大数据时代和物联网时代。 物联网经过近几年的快速发展, 迅速在智能制造、智 能电网和智慧城市等大型应用场景中发挥了巨大的 作用, 为政府机构、企业和个人用户提供着越来越丰 富的服务, 正在朝着万物互联互通目标前进。根据国 际数据公司 2013 年报告, 预计到 2020 年互联设备 数量将快速增长到 410 亿, 市场规模将达到 8.9 万亿美元 [1]。据《2017-2018 年中国物联网年度发 展报告》[2], 2017 年以来, 我国物联网市场进入了实 质性发展阶段, 全年市场规模突破１万亿元, 年复 合增长率超过 25%, 其中物联网云平台成为竞争 核心领域, 预计 2021 年我国物联网平台支出将 位居全球第一。物联网在快速发展的同时, 也面临 着来自安全、绿色、智能以及开放服务等方面的巨 大挑战。 物联网被攻击造成的安全问题往往涉及面广且 造成的经济损失严重。2016 年黑客控制来自全球的 天量感染 Mirai 病毒的物联网设备对美国东海岸 DNS 服务商 Dyn 发起了 DDoS 攻击, 该攻击严重 影响 DNS 服务的客户业务, 甚至导致客户网站无 法访问, 受到影响的著名公司有 Twitter、Github、 BBC 等[3]。2018 年 1 月, 有报道显示黑客通过损坏 指纹传感器, 使用橘子皮解锁手机并成功转账付款

陈钊等：物联网安全测评技术综述 造成财产损失和隐私泄露等问题刊。物联网中的设 实现万物互联，那就意味着开放和共享。目前国内外 备、网络以及控制系统需要互相配合才能为用户提 己经有多家公司推出了物联网开放平台，提供简单 供完整的服务，一旦其中某个环节发生安全问题， 易用的应用开发服务。本文第三章第二节简单介绍 服务都会受到影响。 了国内外己有开放平台的业务内容以及总结这些开 为了提供一个安全稳定的物联网应用服务，必 放平台存在的安全问题。 须保证物联网的感知层、网络层、数据和服务层都 本文主要贡献包括3个方面： 达到必要的安全指标，为此需要对物联网进行安全 1)分析了现有物联网各层安全测评技术的发展 测试和评估。目前，物联网应用规模快速发展，对物 现状，并总结了物联网环境中复杂的安全威胁管理 联网安全测评技术提出了新的要求。本文第二章分 和风险评估技术。 析了国内外物联网安全测评技术的研究现状，并提 2)调研了物联网发展过程中出现的新技术：绿 出其中的问题和未来的研究方向。 色节点、智能网络、开放平台，以及其中存在的安全 物联网应用除了面临严峻的安全挑战，还面临 问题，并指出对新技术的测评是迫切需要的。 着海量设备和大规模网络而带来的能耗问题和智能 3)总结了物联网安全测评研究面临的挑战，并 网络管理问题。为了实现高效节能的物联网设备管 探讨了未来该领域的研究方向。 理、数据传输以及安全防护，许多学者提出了轻量级 秘钥分配算法、轻量级密码以及轻量级认证算法等 2物联网安全测评技术 技术。以往的物联网系统往往是独立的系统，不对外 随着越来越多的物联网设备接入互联网，物联 部开放，带来了信息不能共享等问题。为了提升信息 网在给人类生活带来便利以及经济效益的同时，也 的价值，物联网的开放共享是技术发展的必然趋势。 给用户带来了巨大的安全隐患，物联网相关的安全 这些物联网安全保障技术在为物联网系统提供安全 问题越来越受到安全专家和政府部门的重视，企业 服务之前，我们也需要对其进行深入的安全分析和 界和国家相关部门都对信息系统及物联网系统提出 测评，只有通过了安全测评，才能大规模地应用到 了必要的安全测评要求。信息系统安全等级测评主 实际的物联网系统中。 要包括单元测评和整体测评两部分，而物联网安全 随着越来越多的物联网应用的商业化，接入网 测评指对物联网信息系统进行测评。测评方法指测 络的设备数量骤增，物联网能耗问题日益突出，绿 评人员在测评实施过程中所使用的方法，主要包括 色物联网是物联网应用能够保持活力的强有力支 访谈、检查和测试三种测评方法)。与传统互联网安 撑。物联网庞大的网络对电能的消耗以及节点自身 全测评相比.物联网系统在感知设备、感知网络、数 对能源的依赖都迫切需要高能效、低功耗的绿色技 据服务等安全测评方面面临更严峻的挑战，物联网安 术的应用。为了保障物联网服务的安全性.许多学者 全测评需要更关注于这些方面的研究。本节主要分 提出了轻量级的加密算法、访问控制技术和轻量级 DS等，但这些技术在实现过程中或多或少存在一 析了物联网安全测评相关的自动分析方法。我们根 定的安全漏洞。本文第三章第一节分析了主流的轻 据测评方法的不同侧重点将目前己有的方法分为设 备安全测评、网络安全测评、数据和服务安全测评。 量级密码技术及其安全问题，指出对保证物联网安 全的轻量级技术的测评工作是亟需进行的。 常见的物联网安全测评方法还包括持续的威胁管理 物联网中海量大规模异质设备和异质网络的连 与风险分析技术，能够帮助网络管理员评估漏洞给 接管理是个急需解决的问题。近年来物联网的快速 系统带来的危害。本章最后还综述了物联网安全测 发展促进了智能网关的发展。许多厂商提出了边缘 评相关的国内外法规和标准。 侧计算平台，将智能云服务无缝扩展至设备，给物 2.1设备安全测评 联网设备发现与监控、网络管理以及智能服务的提 物联网感知层设备具有多源异构的特点，而且 供带来了极大的便利，但智能网络的发展也存在一 大部分设备的计算能力、存储能力、通信能力、能 定的安全隐患。本文第三章第二节分析了目前智能 量储备都存在一定的限制。感知层的安全测评需要 网络的发展现状及其在安全防护和隐私保护方面面 考虑设备的物理安全测评、访问控制测评、操作系 临的问题。 统及硬件安全测评等方面。本节主要讨论RFD 物联网应用和感知设备往往紧紧耦合在一起， (Radio Frequency Identification)设备、非RFID设备和 信息存储格式各异，无法在应用间共享。物联网需要 嵌入式操作系统安全测评技术

陈钊 等: 物联网安全测评技术综述 3 造成财产损失和隐私泄露等问题[4]。物联网中的设 备、网络以及控制系统需要互相配合才能为用户提 供完整的服务, 一旦其中某个环节发生安全问题, 服务都会受到影响。 为了提供一个安全稳定的物联网应用服务, 必 须保证物联网的感知层、网络层、数据和服务层都 达到必要的安全指标, 为此需要对物联网进行安全 测试和评估。目前, 物联网应用规模快速发展, 对物 联网安全测评技术提出了新的要求。本文第二章分 析了国内外物联网安全测评技术的研究现状, 并提 出其中的问题和未来的研究方向。 物联网应用除了面临严峻的安全挑战, 还面临 着海量设备和大规模网络而带来的能耗问题和智能 网络管理问题。为了实现高效节能的物联网设备管 理、数据传输以及安全防护, 许多学者提出了轻量级 秘钥分配算法、轻量级密码以及轻量级认证算法等 技术。以往的物联网系统往往是独立的系统, 不对外 部开放, 带来了信息不能共享等问题。为了提升信息 的价值, 物联网的开放共享是技术发展的必然趋势。 这些物联网安全保障技术在为物联网系统提供安全 服务之前, 我们也需要对其进行深入的安全分析和 测评, 只有通过了安全测评, 才能大规模地应用到 实际的物联网系统中。 随着越来越多的物联网应用的商业化, 接入网 络的设备数量骤增, 物联网能耗问题日益突出, 绿 色物联网是物联网应用能够保持活力的强有力支 撑。物联网庞大的网络对电能的消耗以及节点自身 对能源的依赖都迫切需要高能效、低功耗的绿色技 术的应用。为了保障物联网服务的安全性, 许多学者 提出了轻量级的加密算法、访问控制技术和轻量级 IDS 等, 但这些技术在实现过程中或多或少存在一 定的安全漏洞。本文第三章第一节分析了主流的轻 量级密码技术及其安全问题, 指出对保证物联网安 全的轻量级技术的测评工作是亟需进行的。 物联网中海量大规模异质设备和异质网络的连 接管理是个急需解决的问题。近年来物联网的快速 发展促进了智能网关的发展。许多厂商提出了边缘 侧计算平台, 将智能云服务无缝扩展至设备, 给物 联网设备发现与监控、网络管理以及智能服务的提 供带来了极大的便利, 但智能网络的发展也存在一 定的安全隐患。本文第三章第二节分析了目前智能 网络的发展现状及其在安全防护和隐私保护方面面 临的问题。 物联网应用和感知设备往往紧紧耦合在一起, 信息存储格式各异, 无法在应用间共享。物联网需要 实现万物互联, 那就意味着开放和共享。目前国内外 已经有多家公司推出了物联网开放平台, 提供简单 易用的应用开发服务。本文第三章第二节简单介绍 了国内外已有开放平台的业务内容以及总结这些开 放平台存在的安全问题。 本文主要贡献包括 3 个方面: 1) 分析了现有物联网各层安全测评技术的发展 现状, 并总结了物联网环境中复杂的安全威胁管理 和风险评估技术。 2) 调研了物联网发展过程中出现的新技术: 绿 色节点、智能网络、开放平台, 以及其中存在的安全 问题, 并指出对新技术的测评是迫切需要的。 3) 总结了物联网安全测评研究面临的挑战, 并 探讨了未来该领域的研究方向。 2 物联网安全测评技术 随着越来越多的物联网设备接入互联网, 物联 网在给人类生活带来便利以及经济效益的同时, 也 给用户带来了巨大的安全隐患, 物联网相关的安全 问题越来越受到安全专家和政府部门的重视, 企业 界和国家相关部门都对信息系统及物联网系统提出 了必要的安全测评要求。信息系统安全等级测评主 要包括单元测评和整体测评两部分, 而物联网安全 测评指对物联网信息系统进行测评。测评方法指测 评人员在测评实施过程中所使用的方法, 主要包括 访谈、检查和测试三种测评方法[5]。与传统互联网安 全测评相比, 物联网系统在感知设备、感知网络、数 据服务等安全测评方面面临更严峻的挑战,物联网安 全测评需要更关注于这些方面的研究。本节主要分 析了物联网安全测评相关的自动分析方法。我们根 据测评方法的不同侧重点将目前已有的方法分为设 备安全测评、网络安全测评、数据和服务安全测评。 常见的物联网安全测评方法还包括持续的威胁管理 与风险分析技术, 能够帮助网络管理员评估漏洞给 系统带来的危害。本章最后还综述了物联网安全测 评相关的国内外法规和标准。 2.1 设备安全测评 物联网感知层设备具有多源异构的特点, 而且 大部分设备的计算能力、存储能力、通信能力、能 量储备都存在一定的限制。感知层的安全测评需要 考虑设备的物理安全测评、访问控制测评、操作系 统及硬件安全测评等方面。本节主要讨论 RFID (Radio Frequency Identification)设备、非 RFID 设备和 嵌入式操作系统安全测评技术

4 Journal of Cyber Security信息安全学报，2019年5月，第4卷，第3期 RFD系统一般由标签、读写器、应用软件组成， 被测设备上被利用，来完成对物联网设备的安全检 且存在着较多针对这三个组件的攻击方法。对RFID 测。国内的神州绿盟信息安全科技股份有限公司开 系统的安全测评主要包括两类，第一类是使用仿真 发的绿盟工控漏洞扫描系统实现了针对SCADA 实验模拟应用的运行过程，并引入错误来评估系统 (Supervisory Control and Data Acquisition、现场总 受到的影响。Abdelmalek等人[设计了一个支持错误 线、数字化设计制造软件的漏洞扫描，具备发现漏 注入和实时监测的仿真平台。可以通过模拟和观察 洞、评估漏洞、展示漏洞、跟踪漏洞等完备的漏洞 系统状态来帮助工程师了解芯片错误和协议修改对 管理能6。北京匡恩网络科技有限责任公司开发 各部件的影响，也可以通过分析错误传播过程及行 的漏洞挖掘检测平台，能够检测出工业控制设备、保 为来评价RFID架构的安全性。Mezzah等人I门针对文 护设备或工业控制系统中存在的己知漏洞和缺陷， 献[6]中没有进行完整错误注入影响分析等问题，开 还能利用优化后的高效模糊测试引擎来挖掘潜在的 发了一个基于FPGA(field-programmable gate array) 未知漏洞1刃。 的可配置的错误模拟系统，可以分析单粒子翻转 在嵌入式操作系统安全测评方面，主流工作是 (Single event upset--SEU)和单粒子瞬变(single event 基于传统PC操作系统的安全测试。对物联网中功能 transient-SET)两种类型的错误。 受限的操作系统的测评，主流工作是建立操作系统 另外一类方法是对RFD系统的安全审计。早在 的状态机模型，分析系统的不安全状态形成过程。N 2009年，芬兰的奥卢大学就开源了一款RFID安全审 等人8提出一个嵌入式系统的安全评估模型，定义 计工具RIDAC8,包括对RFID标签的外观检查、耦 了对象模型、消息模型、角色模型及其之间的约束 合与频率、能力供应与调制等步骤。Tiago等人例 关系，然后根据对象间交互参数计算出对象的风险 借鉴文献8]的思想提出了一个类似的更全面的方法， 级别。Tabrizi等人I通过建立智能电表的抽象模型， 其步骤包括外观检查、FCC(Federal Communications 并利用模型检测方法来自动生成让系统进入非安全 Commission)ID检查、频段检测、高低频段标签参数 状态的动作序列，该动作序列即潜在的恶意序列。该 分析、超高频标签参数分析、标准分析等。在企业 方法能够检测操作系统设计时的安全问题，能给系 方面，BM公司在美国和欧洲等地方都设置了RFID 统设计提供重要参考。同济大学设计了一个嵌入式 的测试实验室，可以测试RFD芯片、阅读器和应用 系统仿真测试平台20，可以将系统代码从目标机器 软件来检测它们之间的通信情况。由中国台湾经济 中剥离，然后在宿主机上进行全数字仿真测试，能 部技术处和商业司建设的“亚太RFD应用验测中 够极大地降低嵌入式系统的安全测试成本。但是该 心”于2005年宣布启用，该中心按照业务流程主要 平台只适用于基于32位ARM CPU内核的嵌入式 分为：RFID静态性能测试、RFID动态性能测试及 系统。 RFD产业应用实验场三大部分。 在针对物联网设备的嵌入式固件的安全分析方 在设备安全测评方面，主要的方法包括漏洞扫 面，主要有静态分析和动态分析两种方法。法国的通 描、弱密码检测等。Loi等人设计了一个系统化的 信系统工程师学校(EURECOM)首次提出了大规模 方法来识别物联网设备中存在的安全问题。该方法 嵌入式固件镜像静态分析框架，包括镜像收集、过 从隐私数据的机密性、传输数据的完整性、设备的 滤、解包和分析等步骤。分析了3.2万个固件镜像，发 访问控制、设备上发起的反射攻击凹四个维度来评 现38个未发现的漏洞2。Chen等人22通过基于软 估设备可能受到的威胁。并根据测评结果设计了物 件的全系统仿真自动化地动态分析固件漏洞，发现 联网设备的安全评分机制，简单易用。Shodan是全 了14个未发现的漏洞，但是该方法基于预编译的插 球第一个物联网设备专用的搜索引擎2)，可以利用 桩的Liux系统，具有一定的局限性，而且只支持 Shodan检索连接到互联网的所有网络设备。Ali等 ARM和MPS的硬件体系架构。 人I31利用Shodan扫描了约旦市的物联网设备，发现 2.2 网络安全测评 很多潜在的漏洞，目的是警示约旦的物联网设备开 物联网的网络层主要涉及核心网、无线网络以 发商和开发者应该更多地关注物联网设备的脆弱 及移动通信网络系统。传统的网络安全测试主要包 性。McMahon等人14利用Shodan分析了自建的关 括功能测试、性能测试、安全性测试以及可用性测 于医疗器械的测试床，发现10%左右的设备都存在 试。而物联网网络层测评更多地关注对网络事件以 漏洞。Anisetti等人Is根据Shodan的扫描信息构建 及协议包的仿真测试，本节主要介绍物联网感知网 设备测试知识集，并检验已知可利用漏洞是否能在 络仿真工具和测试工具

4 Journal of Cyber Security 信息安全学报, 2019 年 5 月, 第 4 卷, 第 3 期 RFID 系统一般由标签、读写器、应用软件组成, 且存在着较多针对这三个组件的攻击方法。对 RFID 系统的安全测评主要包括两类, 第一类是使用仿真 实验模拟应用的运行过程, 并引入错误来评估系统 受到的影响。Abdelmalek 等人[6]设计了一个支持错误 注入和实时监测的仿真平台。可以通过模拟和观察 系统状态来帮助工程师了解芯片错误和协议修改对 各部件的影响, 也可以通过分析错误传播过程及行 为来评价 RFID 架构的安全性。Mezzah 等人[7]针对文 献[6]中没有进行完整错误注入影响分析等问题, 开 发了一个基于 FPGA (field-programmable gate array) 的可配置的错误模拟系统, 可以分析单粒子翻转 (Single event upset-SEU) 和单粒子瞬变(single event transient -SET)两种类型的错误。 另外一类方法是对 RFID 系统的安全审计。早在 2009年, 芬兰的奥卢大学就开源了一款RFID安全审 计工具 RIDAC[8], 包括对 RFID 标签的外观检查、耦 合与频率、能力供应与调制等步骤。Tiago 等人[9] 借鉴文献[8]的思想提出了一个类似的更全面的方法, 其步骤包括外观检查、FCC (Federal Communications Commission) ID 检查、频段检测、高低频段标签参数 分析、超高频标签参数分析、标准分析等。在企业 方面, IBM 公司在美国和欧洲等地方都设置了 RFID 的测试实验室, 可以测试 RFID 芯片、阅读器和应用 软件来检测它们之间的通信情况。由中国台湾经济 部技术处和商业司建设的“亚太 RFID 应用验测中 心”于 2005 年宣布启用, 该中心按照业务流程主要 分为: RFID 静态性能测试、RFID 动态性能测试及 RFID 产业应用实验场三大部分。 在设备安全测评方面, 主要的方法包括漏洞扫 描、弱密码检测等。Loi 等人[10]设计了一个系统化的 方法来识别物联网设备中存在的安全问题。该方法 从隐私数据的机密性、传输数据的完整性、设备的 访问控制、设备上发起的反射攻击[11]四个维度来评 估设备可能受到的威胁。并根据测评结果设计了物 联网设备的安全评分机制, 简单易用。Shodan 是全 球第一个物联网设备专用的搜索引擎[12], 可以利用 Shodan 检索连接到互联网的所有网络设备。Ali 等 人[13]利用 Shodan 扫描了约旦市的物联网设备, 发现 很多潜在的漏洞, 目的是警示约旦的物联网设备开 发商和开发者应该更多地关注物联网设备的脆弱 性。McMahon 等人[14]利用 Shodan 分析了自建的关 于医疗器械的测试床, 发现 10%左右的设备都存在 漏洞。Anisetti 等人[15]根据 Shodan 的扫描信息构建 设备测试知识集, 并检验已知可利用漏洞是否能在 被测设备上被利用, 来完成对物联网设备的安全检 测。国内的神州绿盟信息安全科技股份有限公司开 发的绿盟工控漏洞扫描系统实现了针对 SCADA (Supervisory Control and Data Acquisition)、现场总 线、数字化设计制造软件的漏洞扫描, 具备发现漏 洞、评估漏洞、展示漏洞、跟踪漏洞等完备的漏洞 管理能力[16]。北京匡恩网络科技有限责任公司开发 的漏洞挖掘检测平台, 能够检测出工业控制设备、保 护设备或工业控制系统中存在的已知漏洞和缺陷, 还能利用优化后的高效模糊测试引擎来挖掘潜在的 未知漏洞[17]。 在嵌入式操作系统安全测评方面, 主流工作是 基于传统 PC 操作系统的安全测试。对物联网中功能 受限的操作系统的测评, 主流工作是建立操作系统 的状态机模型, 分析系统的不安全状态形成过程。Ni 等人[18]提出一个嵌入式系统的安全评估模型, 定义 了对象模型、消息模型、角色模型及其之间的约束 关系, 然后根据对象间交互参数计算出对象的风险 级别。Tabrizi 等人[19]通过建立智能电表的抽象模型, 并利用模型检测方法来自动生成让系统进入非安全 状态的动作序列, 该动作序列即潜在的恶意序列。该 方法能够检测操作系统设计时的安全问题, 能给系 统设计提供重要参考。同济大学设计了一个嵌入式 系统仿真测试平台[20], 可以将系统代码从目标机器 中剥离, 然后在宿主机上进行全数字仿真测试, 能 够极大地降低嵌入式系统的安全测试成本。但是该 平台只适用于基于 32 位 ARM CPU 内核的嵌入式 系统。 在针对物联网设备的嵌入式固件的安全分析方 面, 主要有静态分析和动态分析两种方法。法国的通 信系统工程师学校(EURECOM)首次提出了大规模 嵌入式固件镜像静态分析框架, 包括镜像收集、过 滤、解包和分析等步骤。分析了 3.2 万个固件镜像, 发 现 38 个未发现的漏洞[21]。Chen 等人[22]通过基于软 件的全系统仿真自动化地动态分析固件漏洞, 发现 了 14 个未发现的漏洞, 但是该方法基于预编译的插 桩的 Linux 系统, 具有一定的局限性, 而且只支持 ARM 和 MIPS 的硬件体系架构。 2.2 网络安全测评 物联网的网络层主要涉及核心网、无线网络以 及移动通信网络系统。传统的网络安全测试主要包 括功能测试、性能测试、安全性测试以及可用性测 试。而物联网网络层测评更多地关注对网络事件以 及协议包的仿真测试, 本节主要介绍物联网感知网 络仿真工具和测试工具

陈钊等：物联网安全测评技术综述 5 物联网系统服务的提供由各层相互协作完成， 试。Twist和WISEBED还支持混合仿真。 交互较多。通过仿真来模拟和建模网络行为是一种 2.3 数据安全测评 常用的测评方法。Lu等人2设计了一个针对电网的 物联网中的数据不仅需要保证数据的采集安全 集成仿真测试床，该系统包括电力层、传感器和控制 还需要传输安全、传统的存储和计算安全以及考虑 层、通信层和应用层四层。通信层使用了两个常用 个人隐私保护。用到的方法包括轻量级加密、安全 的工具ns-2(现在己更新为Network Simulator-3)24和 多方计算、数据匿名化、差分隐私以及可加密搜索 DeterLab2。他们均可以模拟实际网络中的常见的事 等。本节主要从恶意数据注入检测方面的工作来描 件，如网络延迟、分发数据包等，并且集成了很多网 述物联网数据层的安全检测技术。 络分析的工具。该测试床还可以用来分析物理攻击、 恶意数据注入是智能电网中最严重的攻击之 数据攻击、网络通信攻击等。Saxena等人P提出了 一.l969年Schweppe等人B第一次提出电力系统状 一个既可以模拟电力系统又可以模拟通信网络的安 态评估方法用于检测和识别系统中的错误。Liu等人B4) 全评估工具，其中的通信感知管理模块可以模拟网 提出存在一种状态评估无法检测到的攻击，即恶意 络组件间的通信并用日志记录，还可以评估具体网 数据注入攻击。之后，Bobba等人B指出要想检测到 络攻击场景的行为，安全评估模块通过其他模块的 恶意数据注入攻击，至少需要保护一个最小的传感 观测数据计算系统的可信矩阵来判断系统模块的健 器集合。 康程度并为管理员提供维护系统安全的策略。其中 卡方检验和正则化残差检验是最常用的恶意 的通信感知管理模块可以模拟网络组件间的通信并 数据检测方法。Liu等人B提出一个新的自适应分 用日志记录，还可以评估具体网络攻击场景的行为， 区状态评估方法，基本思想是将庞大的系统划分 安全评估模块通过其他模块的观测数据计算系统的 成多个子系统提高检测的敏感度，用当前检测结 可信矩阵来判断系统模块的健康程度并为管理员提 果来指导下次的系统分区和更新。在每个子系统内 供维护系统安全的策略。 使用卡方检验来检测恶意数据。恶意数据检测和分 物联网中使用的网络协议种类较多而且安全保 区会一直重复直到恶意数据被定位到一个非常小 护措施各异。对网络协议的测试工作大多需要仿真 的子系统内。 软件的辅助。Christian等人27开发了TAP-SNS系统 风力发电在电力供应上占据一定的份额，风力 来进行物联网安全协议的仿真与验证，可以提供安 发电系统常因为大量气象传感器暴露在物理环境中 全测试和仿真服务。TAP-SNS包含了两个核心组件 容易遭到黑客入侵或者物理破坏。Amarjit等人B7考 encrylib加密库和WSN-manager管理器，前者提供了 虑风电场参数、发电属性和攻击约束，定义了对风力 AES等加密算法的实现，后者运行于模拟的采集节 涡轮机的不可检测数据攻击的通用形式，将其定义 点和基站之间，用户可以从WSN-manager管理器提 为多目标优化问题，然后使用约束求解的方法来分 供的两个窗口发送消息来验证通信的安全性。丹麦 析恶意数据注入攻击对整个风力发电系统的影响。 奥尔胡斯大学提出一个医用无线传感网通信协议的 物联网中的数据安全极其重要，恶意注入数据 检测在保护数据的真实性和安全性方面具有重要作 安全可用性测试平台，该平台可以用于验证各类安全 用。目前物联网发展急需一种设备安全状态探测与 协议对网络的影响并评估和比较各类安全协议2)。该 行为智能推断方法，能够主动探测设备状态，智能 平台还可以模拟内部和外部攻防体系、非授权访问 感知设备行为，保证数据采集的可靠和安全。 和认证过程，并根据相关记录信息来验证和评估安 2.4服务安全测评 全防护措施的可用性。 物联网服务层位于网络层之上，感知层的数据 除了上述使用仿真工具对网络事件、网络协议 经过网络传输汇聚到服务层。服务层对数据进行存 进行模拟分析外，许多研究人员利用各种传感器搭 储和计算并为应用提供智能决策等支持。服务层的 建真实的测试平台，获取真实的测试数据。其面临的 安全主要由云平台来提供，很多服务层的安全测评 关键挑战有三个：1)支持大规模异构设备；2)同时支 方法与传统的平台安全测评一致，包括平台监控、日 持虚拟节点和真实物理节点；3)支持异构协议融合。 志审计、渗透测试等手段。本节主要分析文章显示 目前针对无线传感网的测试工具或者平台有 说明是物联网服务相关的安全评估方法，并不涉及 LabVIEWI2、Twist30]、WISEBED31、IoT-LABB2 传统互联网服务的安全测评工作。 等。他们均支持异构设备连接和多种类型的协议测 Keon等人B8从物联网体系架构的角度提出了一

陈钊 等: 物联网安全测评技术综述 5 物联网系统服务的提供由各层相互协作完成, 交互较多。通过仿真来模拟和建模网络行为是一种 常用的测评方法。Liu 等人[23]设计了一个针对电网的 集成仿真测试床, 该系统包括电力层、传感器和控制 层、通信层和应用层四层。通信层使用了两个常用 的工具 ns-2(现在已更新为 Network Simulator-3)[24]和 DeterLab[25]。他们均可以模拟实际网络中的常见的事 件, 如网络延迟、分发数据包等, 并且集成了很多网 络分析的工具。该测试床还可以用来分析物理攻击、 数据攻击、网络通信攻击等。Saxena 等人[26]提出了 一个既可以模拟电力系统又可以模拟通信网络的安 全评估工具, 其中的通信感知管理模块可以模拟网 络组件间的通信并用日志记录, 还可以评估具体网 络攻击场景的行为, 安全评估模块通过其他模块的 观测数据计算系统的可信矩阵来判断系统模块的健 康程度并为管理员提供维护系统安全的策略。其中 的通信感知管理模块可以模拟网络组件间的通信并 用日志记录, 还可以评估具体网络攻击场景的行为, 安全评估模块通过其他模块的观测数据计算系统的 可信矩阵来判断系统模块的健康程度并为管理员提 供维护系统安全的策略。 物联网中使用的网络协议种类较多而且安全保 护措施各异。对网络协议的测试工作大多需要仿真 软件的辅助。Christian 等人[27]开发了 TAP-SNS 系统 来进行物联网安全协议的仿真与验证, 可以提供安 全测试和仿真服务。TAP-SNS 包含了两个核心组件: encrylib加密库和WSN-manager管理器, 前者提供了 AES 等加密算法的实现, 后者运行于模拟的采集节 点和基站之间, 用户可以从 WSN-manager 管理器提 供的两个窗口发送消息来验证通信的安全性。丹麦 奥尔胡斯大学提出一个医用无线传感网通信协议的 安全可用性测试平台, 该平台可以用于验证各类安全 协议对网络的影响并评估和比较各类安全协议[28]。该 平台还可以模拟内部和外部攻防体系、非授权访问 和认证过程, 并根据相关记录信息来验证和评估安 全防护措施的可用性。 除了上述使用仿真工具对网络事件、网络协议 进行模拟分析外, 许多研究人员利用各种传感器搭 建真实的测试平台, 获取真实的测试数据。其面临的 关键挑战有三个: 1)支持大规模异构设备; 2)同时支 持虚拟节点和真实物理节点; 3)支持异构协议融合。 目前针对无线传感网的测试工具或者平台有 LabVIEW[29]、Twist[30]、WISEBED[31]、IoT-LAB[32] 等。他们均支持异构设备连接和多种类型的协议测 试。Twist 和 WISEBED 还支持混合仿真。 2.3 数据安全测评 物联网中的数据不仅需要保证数据的采集安全, 还需要传输安全、传统的存储和计算安全以及考虑 个人隐私保护。用到的方法包括轻量级加密、安全 多方计算、数据匿名化、差分隐私以及可加密搜索 等。本节主要从恶意数据注入检测方面的工作来描 述物联网数据层的安全检测技术。 恶意数据注入是智能电网中最严重的攻击之 一。1969 年 Schweppe 等人[33]第一次提出电力系统状 态评估方法用于检测和识别系统中的错误。Liu 等人[34] 提出存在一种状态评估无法检测到的攻击, 即恶意 数据注入攻击。之后, Bobba 等人[35]指出要想检测到 恶意数据注入攻击, 至少需要保护一个最小的传感 器集合。 卡方检验和正则化残差检验是最常用的恶意 数据检测方法。Liu 等人[36]提出一个新的自适应分 区状态评估方法, 基本思想是将庞大的系统划分 成多个子系统提高检测的敏感度, 用当前检测结 果来指导下次的系统分区和更新。在每个子系统内 使用卡方检验来检测恶意数据。恶意数据检测和分 区会一直重复直到恶意数据被定位到一个非常小 的子系统内。 风力发电在电力供应上占据一定的份额, 风力 发电系统常因为大量气象传感器暴露在物理环境中, 容易遭到黑客入侵或者物理破坏。Amarjit 等人[37]考 虑风电场参数、发电属性和攻击约束, 定义了对风力 涡轮机的不可检测数据攻击的通用形式, 将其定义 为多目标优化问题, 然后使用约束求解的方法来分 析恶意数据注入攻击对整个风力发电系统的影响。 物联网中的数据安全极其重要, 恶意注入数据 检测在保护数据的真实性和安全性方面具有重要作 用。目前物联网发展急需一种设备安全状态探测与 行为智能推断方法, 能够主动探测设备状态, 智能 感知设备行为, 保证数据采集的可靠和安全。 2.4 服务安全测评 物联网服务层位于网络层之上, 感知层的数据 经过网络传输汇聚到服务层。服务层对数据进行存 储和计算并为应用提供智能决策等支持。服务层的 安全主要由云平台来提供, 很多服务层的安全测评 方法与传统的平台安全测评一致, 包括平台监控、日 志审计、渗透测试等手段。本节主要分析文章显示 说明是物联网服务相关的安全评估方法, 并不涉及 传统互联网服务的安全测评工作。 Keon 等人[38]从物联网体系架构的角度提出了一

6 Jo1 rnal of Cyber Securi0y信息安全学报，2019年5月，第4卷，第3期 个物联网服务的安全评估框架，他们总结了物联网 和漏洞关联构造漏洞攻击图的方法，节点间的有向 服务的安全需求并将它们分到4个逻辑组：系统依 依赖表示通过攻击前一节点后对下一节点完成攻击 赖、服务层、网络层、隐私。该框架结合模糊 的可能性，可能性值是由CVSSISo1算得出。然后利用 DEMATEL方法和模糊ANP方法39计算得到影响元 图论的方法计算出高风险路径、长度较短的攻击路 素的权重和优先级，能够为系统体系结构的设计和 径以及热点节点，最后提出缓解被黑客攻击的策略 服务的实现提供重要参考。Huang等人4ol提出一个 供网络管理员参考。Wang等人5也通过构建漏洞攻 层次分析方法来评估物联网云服务的安全。文中提 击图，提出最大flow loss和loss饱和度等度量方式来 出一个四层安全评估方法，对于服务层的RestAPI, 量化漏洞利用路径的攻击概率。最大flow loss和loss 考虑了会话、机器和bulkiot(机器的传感数据)，并给 饱和度是根据CVSS的基础评分的相关参数计算得 出一个系统安全性评分的计算公式来评估系统的健 出，最后根据每次攻击的损失和收益来评估攻击的 康程度。 效果。 物联网服务安全主要考虑用户身份认证、设备 Dorsemaine等人提出一种新的度量方法来评 访问控制、服务接口以及设备间和设备与环境的交 估物联网基础设施对遗留信息系统的影响。他们评 互安全等问题研究。当前的研究主要关注在物联网 估了典型的物联网体系结构：本地环境层、传输层、 平台的粗粒度授权机制的安全问题和接口访问控制 数据存储与挖掘层和提供层中不同威胁对信息系统 安全研究。相关研究机构和企业还在致力于研究服 安全要素的影响与可能性，通过计算每个威胁对信 务的安全提供机制，暂时缺乏完善的服务安全测评 息系统的影响评分来比较威胁的严重程度，对影响 方案。 评分超过某一阈值的威胁实施针对性的缓解措施。 2.5漏洞管理和风险评估技术 但是该文章并没有描述威胁发生的可能性和对不同 传统的信息系统安全评估与管理是从风险管理 安全要素的影响是如何计算得到的。 开始进行的，风险管理能够有效揭示攻击对系统中 赵健等人5将物联网系统面临的攻击按照攻击 重要资源的威胁以及相应的损失。风险管理的目的 面和攻击点进行分类，根据每种安全威胁的危害程 是进行风险评估并给出有效缓解威胁的措施。近年 度、发生概率以及补救措施的复杂程度，利用模糊综 来，许多基于攻击图41-4或者攻击树5-4刀的方法被 合评价法进行分析，构建了一个可对物联网系统进 提出。这些方法的基本思想是将系统中不同节点中 行定量安全分析的模型，实现了物联网系统的安全 存在的不同攻击之间的依赖关系建模为图或者树型 量化评估。 结构，然后研究不同路径的攻击行为，并针对不同 2.6安全测评标准 攻击路径提出相应的缓解策略。Poolsappasit等人4 目前，物联网安全测评和等级保护工作己经受 于2012年提出了基于贝叶斯攻击图的动态安全风险 到国家的高度重视，发布了多项物联网安全相关的 管理方法，奠定了基于攻击图的安全评估与动态控 条例（意见稿）。例如《网络安全等级保护条例（征求 制分析的研究方向。该方法采用BAG(贝叶斯攻击图) 意见稿)》、《信息安全技术网络安全等级保护基本要 揭示先验条件、漏洞利用和后验条件之间的因果关 求第4部分：物联网安全扩展要求（征求意见稿）》、 系，帮助系统管理员动态评估目标系统面临的安全 《信息安全技术网络安全等级保护测评要求第4 风险，该文献还提出一种遗传算法以便在资源受限 部分：物联网安全扩展要求》。其中按照等级保护的 的环境中向管理员提供最优的降低风险措施。但文 思想，对通用物联网架构提出了物联网系统安全等 献[48]提出的攻击图构建算法的时间复杂度较高（不 级保护模型，指出物联网系统从末端节点、传感网、 小于ON),N是节点数量与节点漏洞数量的乘积)， 通讯网、物联设备的接入、异构网的融合、应用层、 多目标优化遗传算法的时间复杂度也较高。 数据安全、控制管理等方面受到安全威胁，并将物联 近几年物联网系统中的安全漏洞和攻击方法不 网系统安全等级分为四级，给出了各级系统的所有 断被暴露出来，给黑客提供了大量对物联网系统进 单项测评内容。 行攻击的途径。又由于物联网系统更新缓慢，无法及 美国国家标准技术研究所NIST)发布了物联网 时打上补丁，造成物联网系统中长时间存在大量未 国际网络安全标准化现状报告，从物联网具体应用 修复的漏洞。许多研究者将传统的漏洞风险分析方 的安全风险出发，提出了密码学、网络事件管理、硬 法拓展至物联网系统中，分析不同漏洞形成的攻击 件保证、身份及访问管理、信息安全管理体系、资 路径带来的风险。Geogre等人49提出根据网络配置 讯系统安全评估、网络安全、安全自动化和持续监

6 Journal of Cyber Security 信息安全学报, 2019 年 5 月, 第 4 卷, 第 3 期 个物联网服务的安全评估框架, 他们总结了物联网 服务的安全需求并将它们分到 4 个逻辑组: 系统依 赖、服务层、网络层、隐私。该框架结合模糊 DEMATEL 方法和模糊 ANP 方法[39]计算得到影响元 素的权重和优先级, 能够为系统体系结构的设计和 服务的实现提供重要参考。 Huang 等人[40]提出一个 层次分析方法来评估物联网云服务的安全。文中提 出一个四层安全评估方法, 对于服务层的 RestAPI, 考虑了会话、机器和 bulkiot(机器的传感数据), 并给 出一个系统安全性评分的计算公式来评估系统的健 康程度。 物联网服务安全主要考虑用户身份认证、设备 访问控制、服务接口以及设备间和设备与环境的交 互安全等问题研究。当前的研究主要关注在物联网 平台的粗粒度授权机制的安全问题和接口访问控制 安全研究。相关研究机构和企业还在致力于研究服 务的安全提供机制, 暂时缺乏完善的服务安全测评 方案。 2.5 漏洞管理和风险评估技术 传统的信息系统安全评估与管理是从风险管理 开始进行的, 风险管理能够有效揭示攻击对系统中 重要资源的威胁以及相应的损失。风险管理的目的 是进行风险评估并给出有效缓解威胁的措施。近年 来, 许多基于攻击图[41-44]或者攻击树[45-47]的方法被 提出。这些方法的基本思想是将系统中不同节点中 存在的不同攻击之间的依赖关系建模为图或者树型 结构, 然后研究不同路径的攻击行为, 并针对不同 攻击路径提出相应的缓解策略。Poolsappasit 等人[48] 于 2012 年提出了基于贝叶斯攻击图的动态安全风险 管理方法, 奠定了基于攻击图的安全评估与动态控 制分析的研究方向。该方法采用 BAG(贝叶斯攻击图) 揭示先验条件、漏洞利用和后验条件之间的因果关 系, 帮助系统管理员动态评估目标系统面临的安全 风险, 该文献还提出一种遗传算法以便在资源受限 的环境中向管理员提供最优的降低风险措施。但文 献[48]提出的攻击图构建算法的时间复杂度较高(不 小于 O (N2 ), N 是节点数量与节点漏洞数量的乘积), 多目标优化遗传算法的时间复杂度也较高。 近几年物联网系统中的安全漏洞和攻击方法不 断被暴露出来, 给黑客提供了大量对物联网系统进 行攻击的途径。又由于物联网系统更新缓慢, 无法及 时打上补丁, 造成物联网系统中长时间存在大量未 修复的漏洞。许多研究者将传统的漏洞风险分析方 法拓展至物联网系统中, 分析不同漏洞形成的攻击 路径带来的风险。Geogre 等人[49]提出根据网络配置 和漏洞关联构造漏洞攻击图的方法, 节点间的有向 依赖表示通过攻击前一节点后对下一节点完成攻击 的可能性, 可能性值是由 CVSS[50]算得出。然后利用 图论的方法计算出高风险路径、长度较短的攻击路 径以及热点节点, 最后提出缓解被黑客攻击的策略 供网络管理员参考。Wang 等人[51]也通过构建漏洞攻 击图, 提出最大flow loss和loss饱和度等度量方式来 量化漏洞利用路径的攻击概率。最大 flow loss 和 loss 饱和度是根据 CVSS 的基础评分的相关参数计算得 出, 最后根据每次攻击的损失和收益来评估攻击的 效果。 Dorsemaine 等人[52]提出一种新的度量方法来评 估物联网基础设施对遗留信息系统的影响。他们评 估了典型的物联网体系结构: 本地环境层、传输层、 数据存储与挖掘层和提供层中不同威胁对信息系统 安全要素的影响与可能性, 通过计算每个威胁对信 息系统的影响评分来比较威胁的严重程度, 对影响 评分超过某一阈值的威胁实施针对性的缓解措施。 但是该文章并没有描述威胁发生的可能性和对不同 安全要素的影响是如何计算得到的。 赵健等人[53]将物联网系统面临的攻击按照攻击 面和攻击点进行分类, 根据每种安全威胁的危害程 度、发生概率以及补救措施的复杂程度, 利用模糊综 合评价法进行分析, 构建了一个可对物联网系统进 行定量安全分析的模型, 实现了物联网系统的安全 量化评估。 2.6 安全测评标准 目前, 物联网安全测评和等级保护工作已经受 到国家的高度重视, 发布了多项物联网安全相关的 条例(意见稿)。例如《网络安全等级保护条例(征求 意见稿)》、《信息安全技术 网络安全等级保护基本要 求 第 4 部分: 物联网安全扩展要求(征求意见稿)》、 《信息安全技术 网络安全等级保护测评要求 第 4 部分: 物联网安全扩展要求》。其中按照等级保护的 思想, 对通用物联网架构提出了物联网系统安全等 级保护模型, 指出物联网系统从末端节点、传感网、 通讯网、物联设备的接入、异构网的融合、应用层、 数据安全、控制管理等方面受到安全威胁, 并将物联 网系统安全等级分为四级, 给出了各级系统的所有 单项测评内容。 美国国家标准技术研究所(NIST)发布了物联网 国际网络安全标准化现状报告, 从物联网具体应用 的安全风险出发, 提出了密码学、网络事件管理、硬 件保证、身份及访问管理、信息安全管理体系、资 讯系统安全评估、网络安全、安全自动化和持续监