物联网安全白皮书 TV 食 目录 .物联网安全概述 1.1引言... 1.2物联网安全的体系结构 1.3研究项目和标准化组织 1.3.1物联网安全项目 1.3.2 TRUST .. 1.3.3 OWASP Internet of Things Projec 1.3.4 CSA 1.3.5 NIST 1.3.6 loT Security Foundation : 二.物联网安全需求及对策 9 2.1引言 9 2.2隐私保护 2.3认证 2.4访问控制管理 10 2.5数据保护 11 2.6物理安全 11 2.7设备保护和资产管理 11 2.8攻击检测和防御 12 2.8.1拒绝服务攻击 12 2.8.2病毒攻击 12 2.8.3APT攻击 12 2.8.4蜜罐 13 . 2.9态势感知 13 2.9.1异常行为检测 13 2.9.2脆弱性评估 13 2.9.3威胁情报交换 14 2.9.4可视化展示 14 2.9.5物联网事件响应措施 14 2.10通信保护 14 2.11日志和审计 15 三.物联网安全相关技术 3.1引言 16 3.2已有技术在物联网环境中的应用 17 3.2.1异常行为检测 17 3.2.2代码签名 17 3.2.3白盒密码 3.2.4 over-the air (OTA) 18 3.2.5深度包检测（DPI）技术 3.2.6防火墙 19 3.2.7访问控制 20 3.3新技术的探索· 21 3.3.1区块链 21 3.4物联网相关设备、平台、系统的漏洞挖掘和安全设计 21 3.4.1物联网平台漏洞挖掘·· 21 3.4.2物联网协议的ODay漏洞主动挖掘技术 3.4.3物联网操作系统漏洞挖掘 22 3.4.4嵌入式设备安全框架 22 四.物联网安全公司及产品介绍 4.1引言 24 4.2赛门铁克 25 4.3 CUJO . ..27 4.4 Vidder .... 4.5 NexDefense : ...29 4.6 Intel .. ..30 五.总结及思考 ...37 5.1物联网安全可以作为切入点的领域 37 5.2物联网安全研究点 37 一。物联网安全概述 物联网安全综述 1.1 引言 早在 1999 年，MIT AutoID 研究室的 Kevin Ashton 在研究将射频识别 信息与互联网相连接的时候首先提到了物联网的概念；同年，在美国召开 一个发展机遇”；2005 年 11月17 日，信息社会世界峰会（WSIS）上， 国际电信联盟（ITU）发布了《ITU互联网报告2005：物联网》，正式提 ‘8600， 究院考察时，明确指示在物联网的发展中，要早一点谋划未来，早一点攻 中国”中心。物联网已经被视为继计算机和互联网之后的第三次信息技术 革命。 那么什么是物联网呢？维基百科对于物联网（Internet of Things）的 定义为物联网是将物理设备、车辆、建筑物和一些其它嵌入电子设备、软 件、传感器等事物与网络连接起来，使这些对象能够收集和交换数据的网 络。物联网允许远端系统通过现有的网络基础设施感知和控制事物，可以 将物理世界集成到基于计算机系统，从而提高效率、准确性和经济利益。 经过二十多年的发展，物联网已经逐步融入到我们的生活中来。从应用于 家庭的智能恒温器，智能电灯等设备，到与身体健康相关的智能穿戴设备。 每一种智能设备的出现，都大大便利了人们的生活。 但是物联网在给人们的生活带来便利的同时，也会给人们带来种种隐 忧。2014年，研究人员演示了如何在15秒的时间内入侵家里的恒温控制器， 通过对恒温控制器数据的收集，入侵者就可以了解到家中什么时候有人， 他们的日程安排是什么等信息。许多智能电视带有摄像头，即便电视没有 打开，入侵智能电视的攻击者可以使用摄像头来监视你和你的家人。攻击 者在获取对于智能家庭中的灯光系统的访问后，除了可以控制家庭中的灯 光外，还可以访问家庭的电力，从而可以增加家庭的电力消耗，导致极大 的电费账单。种种安全问题提示人们，在享受物联网带来的方便快捷的同 时，也要关注物联网的安全问题， CSA 发布的白皮 书《Security Guidance for Early Adopters of the Internet of Things（loT）》1中提到 loT 带来如下新的挑战： 1 https://cloudsecurityalliance.org/download/new-security-guidance-for-early-adopters-of-the-iot/ （1）增加的隐私问题经常让人感到困惑。 （2）平台安全的局限性使得基本的安全控制面临挑战。 （3）普遍存在的移动性使得追踪和资产管理面临挑战。 （4）设备的数量巨大使得常规的更新和维护操作面临挑战。 （5）基于云的操作使得边界安全不太有效。 物联网是互联网的延伸，因此物联网的安全也是互联网安全的延伸，物联网和互联网的关系是密 不可分、相辅相成的。但是物联网和互联网在网络的组织形态、网络功能以及性能上的要求都是不同的，物 互 物联网的安全既构建在互联网的安全上，也有因为其业务环境而具有自身的特点。总的来说，物联网安全 和互联网安全的关系体现在：物联网安全不是全新的概念，物联网安全比互联网安全多了感知层，传统互 联网的安全机制可以应用到物联网，物联网安全比互联网安全更复杂。 表 1.1物联网和互联网对比 物联网 互联网 体系结构 分为感知层、网络层和应用层 比物联网少了感知层 通用操作系统（Window、UNIX、 操作系统 广泛使用嵌入式操作系统，如：VxWorks等 Linux 等），功能相对强大 -些领域如：工业控制对系统数据传输、信息处理的实 大部分系统的实时性要求不高，信息 系统实时性 时性要求较高 传输允许延迟，可以停机和重启恢复 -些领域如：智能家居对系统的实时性要求不高 Zigbee，蓝牙，WiFi 通信协议 TCP/IP、 HTTP、FTP、SMTP 等 也会用到互联网的协议（HTTP、HTTPS、XMPP等） -些专有系统兼容性差、软硬件升级较困难，一般很少 采用通用系统、兼容性较好，软硬件 系统升级 进行系统升级，如需升级可能需要整个系统升级换代 升级较容易，且软件系统升级较频繁 不仅关注互联网所关注的问题，还关注对物联网设备远 运维管理 互联网运维通常关注系统响应、性能 程控制和管理 通用操作系统 漏洞分析 针对行业特定协议的漏洞和嵌入式操作系统 TCP/IP协议 不像传统IT信息系统软件在开发时拥有严格的安全软件 开发时拥有严格的安全软件开发规范 开发流程 开发规范及安全测试流程 及安全测试流程 物联网的很多应用都与人们的日常生活相关，其应用过 隐私问题 程中需要收集人们的日常生活信息，利用该信息可以直 用户网络行为、偏好方面的信息 接或者间接地通过连接查询追溯到某个人 无线传感网传感器节点大规模分布在未保护或敌对环境 网络节点大多分布在受保护的环境 网络的组织形态 中；无线多跳通信；设备资源受限 中；设备资源充足。 物理安全 节点物理安全较薄弱 主机大多分布在受保护的环境中 1.2 物联网安全的体系结构 对于物联网安全的体系结构的理解有助于快速找到安全的切入点，本节将首先介绍物联网的体系 结构，然后引出物联网安全的体系结构。 物联网的体系结构通常认为有3个层次：底层是用来感知（识别、定位）的感知层，中间是数据 传输的网络层，上面是应用层。 感知层包括以传感器为代表的感知设备、以RFID为代表的识别设备、GPS 等定位追踪设备以及 可能融合部分或全部上述功能的智能终端等。感知层是物联网信息和数据的来源，从而达到对数据全 面感知的目的。 网络层包括接入网和核心网。接入网可以是无线近距离接入，如无线局域网、ZigBee、蓝牙、红外， 也可以是无线远距离接入，如移动通信网络、WiMAX等，还可能是其他形式的接入，如有线网络接入、现 场总线、卫星通信等。网络层的承载是核心网，通常是IPv4网络。网络层是物联网信息和数据的传输层 将感知层采集到的数据传输到应用层进行进一步的处理。 应用层对通过网络层传输过来的数据进行分析处理，最终为用户提供丰富的特定服务，如智能电 网、智能物流、远程医疗、智能交通、智能家居、智慧城市等。依靠感知层提供的数据和网络层的传输，进行 相应的处理后，可能再次通过网络层反馈给感知层。应用层对物联网信息和数据进行融合处理和利用，达到信 息最终为人所使用的目的。 物联网的安全架构可以根据物联网的架构分为感知层安全、网络层安全和应用层安全。如图1.1， 感知层安全的设计中需要考虑物联网设备的计算能力、通信能力、存储能力等受限，不能直接在物理 设备上应用复杂的安全技术，网络层安全用于保障通信安全，应用层则关注于各类业务及业务的支撑 平台的安全。 应用层 网络层 网磨层宏全 感知层 感们层安全 物网安全 图1.1物联网安全体系结构 1.3研究项目和标准化组织 1.3.1物联网安全项目 UC 伯克利大学和密歇根大学的计算机系和电子工程系。 项目为期5年，目标是： （1）研究和定义新的密码学计算模型和安全机制以确保物联网设备在未来数十年的安全。 （2）研究和实现安全、开源的软硬件框架来对物联网应用进行原型和构建，使其可以正确使用这 些新的机制。 研究涉及三个方面： （1）分析 如何将物理世界的巨大的数据流与现有数据集成？ （2）安全 泛在的传感和分析系统如何保护用户安全？ （3）软硬件系统 什么样的软硬件系统可以使得对于物联网安全应用的开发和现在的Web应用一样容易？ 2015年6月确定了第一年的