物联网安全框架与风险评估研究

(1. 浙江中烟工业有限责任公司宁波卷烟厂，浙江宁波，315040；2.北京航空航天大学经济管理学院，北京，100191)

物联网安全框架与风险评估研究

黎 勇1,徐元根1,王 军2

(1. 浙江中烟工业有限责任公司宁波卷烟厂，浙江宁波，315040；2.北京航空航天大学经济管理学院，北京，100191)

物联网关注的安全因素包括安全保护、安全控制和隐私保护等需求，其中安全保护包括了传统安全问题考虑的一些属性，如完整性、可用性、机密性等，是为了保护物联网系统不被攻击；隐私保护是为了保护用户信息不被攻击；安全控制则是物联网执行设备的控制安全问题。本文从分析物联网安全风险入手，详细分析了物联网三层架构下的安全威胁，最后给出了安全框架和安全评估相关分析。

物联网；安全框架；安全接入；等级保护

0 引言

由于物联网通常部署在无人值守的环境中，加上物联网本身固有的脆弱性，因此其安全问题显得尤为重要。物联网部署环境具备开放性、分散性的特点，其安全方面受到的威胁比传统企业网络及互联网络更大。但由于物联网一般有低能耗、低成本的要求，因此每个节点在计算能力、通信能力和存储空间都非常有限，这与传统的网络有本质的不同。虽然传统网络的安全已具有多种解决方案并已成熟应用，但这并不完全适用于物联网环境。

随着物联网的大规模的实际应用，安全问题也突现出来。如何根据物联网的技术特性、应用场景、架构特性，深入分析物联网的安全风险、设计有效的安全机制，实现网络的安全防御保护、信息的主动安全，是一个值得研究的现实问题。

1 物联网概念与发展

物联网（Internet of Things，IOT）1999年由美国麻省理工学院提出。是指通过射频识别（RFID）、红外感应器、全球定位系统、激光扫描器等信息传感设备，按约定的协议，把任何物品与互联网相连接，进行信息交换和通信，以实现智能化识别、定位、跟踪、监控和管理的一种网络概念。

我国普遍采用的物联网的定义是：物联网是指通过信息传感设备，按照约定的协议，把任何物品与互联网相连接，进行信息交换和通信，以实现智能化识别、定位、跟踪、监控和管理的一种网络。它是在互联网基础上延伸和扩展的网络。

针对物联网，业界还有一些不同的提法，如泛在网、智慧地球、传感网、感知中国等。这些概念的内涵基本是一致的，不同在于应用场景和出发点略有不同。传感网的概念比较早，利用大量的传感器组成的有源、无源的网络，实现对物理世界的测量。而物联网是在传感网的基础上，强调网络层的协议与更高层的应用服务。可以说传感网是物联网的承载。而泛在网是一个更加广泛的概念，表明无处不在的感知与服务，其具体形式可以为传感网、物联网、甚至是互联网。相关概念关系如图1所示。

2009年8月温家宝总理提出“感知中国”。 《关于加快培育和发展战略性新兴产业的决定》（国务院，2010）将物联网被正式列为我国五大新兴战略性产业之一。《“十二五”国家战略性新兴产业发展规划》（国务院，2012）将物联网与云计算工程列为重大工程。《关于推进我国物联网发展的指导意见》（14家部委，2012）研究推出物联网十大专项行动计划。

在国家政策频频出台的大环境下，各部委也陆续出台相关的物联网发展政策。2012年2月，工信部发布《物联网“十二五”发展规划》，提出了重点发展的物联网九大应用。2012年5月，国家发改委发布《关于组织实施2012年物联网技术研发及产业化专项的通知》，提出十大国家物联网应用示范工程。据初步统计，包括上海、北京、无锡、杭州等在内的几十个城市相继出台了物联网发展规划。

2014年以来，工业4.0概念强势来袭。我国于2015年5月发布《中国制造2025》。工业4.0就其本质，也是嵌入式技术充分发展之后，带动物联网发展，并形成物与物、人与物之间的泛在联接与通信，进而实现物联网与互联网的融合，引领工业领域的模式变革。

综上所述，我国的物联网产业起步较早，已从概念导入、试点示范，进入到了以实际应用带动整体发展的新阶段。

图1 物联网相关概念关系图

2 物联网安全风险

物联网安全和互联网安全的关系体现在以下五点：

物联网安全不是全新概念；

物联网安全比互联网安全增加感知层；

传统互联网的安全机制可以应用到物联网；

物联网安全比互联网安全更生活化；

物联网安全比互联网安全更复杂。

目前物联网面临的安全风险主要有以下几个方面：

（1）缺乏整体安全设计。目前物联网安全方面的研究大多集中在RFID系统、网络接入等具体技术点上，物联网安全预防、安全保护、安全检测与评估、应急保障、灾难恢复等整体安全的研究较少，尚无统一的安全规划和实施方案，不足以指导物联网的建设与应用。

（2）相对于传统信息系统安全，物联网系统面临的安全风险更多，感知层数据的伪造、克隆、窃取、阻塞、屏蔽、传感网安全等。感知层到处理层的安全接入和认证风险。海量异构数据带来的处理层和应用层智能技术安全风险，如隐私保护、云计算、虚拟化等。

（3）现有安全等级保护体系不再适用。现有等级保护的划分和测评方案是针对由计算机和服务器等构成的主机系统设计的，不适用于物联网的建设与应用，不能准确评估物联网所面临的安全威胁等级，也不能为不同安全等级的应用配置相应的安全技术，更不能对物联网的安全技术水平进行准确的测试和评估。

3 物联网安全威胁分析

物联网具备感知层、网络层、应用层三个层次，面临不同的安全威胁。针对这三层，物联网主要增加以下三方面安全风险：感知层安全风险；感知层到处理层的安全接入和认证风险；海量异构数据带来的处理层和应用层智能技术安全风险。下面分层进行描述各层次的安全威胁。

3.1 感知层安全威胁

物联网感知层，最有代表性的感知节点是电子标签RFID和传感器等，下面就对这两类节点进行安全威胁分析。

在物联网应用中，RFID系统面临的安全风险主要体现在两点：数据安全和隐私泄露。数据安全保护RFID避免数据篡改、标签复制假冒等；隐私泄露为防止重要物资信息被非授权的读取。RFID系统受到的被动攻击主要有窃听。主动攻击主要有RFID复制、重放攻击、数据窜改、拒绝服务、病毒攻击等。目前最新的ISO18000-6C、RFID国标均在空中接口上增加安全框架，采用采用密码算法和安全认证机制来实现RFID系统的认证，并且已有芯片厂商自行设计了支持国密SM7的安全芯片，只有通过安全认证，才能读取安全存储数据区。

而在传感器技术方面，我国中高档传感器产业几乎100%从国外进口，芯片90%以上依赖国外，这样的现状让自主研发传感器和嵌入安全是非常困难的，无法从底层协议中进行安全的嵌入，只能从传感器数据采集后进行安全编码，实现数据传输的安全。但对设备的接入认证、数据获取权限等无能为力。通常采用安全EEPROM模块和TPM模块、增加卡认证或者Ukey认证、生物特征认证、安全协议、数据加密、节点认证机制、入侵检测机制等安全措施实现安全保护。

3.2 网络传输层安全威胁

传输层将感知层的数据实现可靠无误的传送。相比于传统网络，传输层面临的多种网络协议并存、传输范围广泛、网络节点众多、网络拓扑复杂的特点。同时，传输层节点资源受限(处理能力、存储能力、通信能力有限、低功耗要求高)，部署量大。其面临的安全风险主要有以下几种：节点物理俘获、传感信息泄露、耗尽攻击、拥塞攻击、非公平攻击、拒绝服务攻击、转发攻击、节点复制攻击等。

3.3 应用层安全威胁

应用层的安全问题与常规的信息系统安全较为类似，但物联网应用受攻击后的影响可能更为严重。主要包括数据库的访问管理认证机制、隐私保护等。物联网信息处理业务和控制策略涉及到的范围广、数据种类多，安全需求各不相同。

应用层主要用来对接收的信息加以处理。首先要对接收的信息进行安全甄别：有用信息，垃圾信息还是恶意信息。物联网应用的特别之处是数据分为一般性数据和操作指令。要特别警惕错误指令：操作失误、传输错误还是恶意指令。甄别信息，有效防范恶意信息和指令带来的威胁是物联网应用层的主要安全问题。

4 物联网安全框架

物联网安全框架，拟从三个横向、三个纵向进行设计。

三个横向安全层主要针对物联网的总体技术架构而提出的安全：顶层为应用层安全，中间层为传输层安全，最底层为感知层安全，涉及到安全技术和安全策略参见图2所示。感知层涉及到的安全策略主要有设备认证、数据加密、安全编码、TPM可信模块、安全协议、访问控制等。传输层主要有漏洞扫描、主动防御、安全协议、网络过滤和授权管理等安全策略。应用层主要包括安全审计、入侵检测、热机灾备、虚拟隔离、云杀毒、用户权限、安全管理等安全策略和手段。

图2 立体式安全框架

三个纵向安全主要针对物联网整体的安全架构与服务、安全标准及安全测评，具体实施内容包括安全架构与服务，安全标准制定、风险评估和安全测评，其中安全测评包括感知设备安全检测服务平台、物联网系统安全检测服务平台、物联网系统风险评估服务平台等；云平台风险评估、虚拟服务风险平台、云资源集成化安全检测等。

5 物联网安全评估

安全评估是对物联网安全进行管理制度、风险认识、防范措施、应急制度等方面进行评测，是增强物联网基础设施、重大系统、重要信息等的安全保障能力的重要举措。《国务院关于推进物联网有序健康发展的指导意见》也强调安全评估的重要性。物联网系统的安全性不健壮，会将大量的敏感数据裸露在不怀好意之人或敌对分子面前，存在严重的安全隐患。

物联网应用如何划分安全等级是目前的难题。主要问题包括如何建立精确合理的评价模型对物联网应用进行等级划分；基于不同等级划分，将安全威胁、安全技术与等级评定保护如何相结合，构建不同的物联网安全模型；基于安全等级，协助用户对不同安全等级的应用配置相应的安全技术，减少不必要的资源消耗等。物联网应用安全等级本身具有模糊性，对安全的敏感程度没有量化的标准，更无法获取精确的数据，

信息系统风险评估是信息系统安全工程的重要组成部分，是建立信息系统安全体系的基础和前提。信息安全风险评估规范中明确了信息系统风险评估的基本工作形式是自评估与检查评估。根据国家有关管理规定，基础性、重要的信息系统采用等级保护标准进行防护和测评。信息系统使用单位应结合自身情况，依照国家标准，开展风险评估工作。

图3 物联网风险评估过程示意图

目前，信息系统的复杂性和动态性给风险评估带来了很大困难，评估工作多是由专家根据定性的评价指标进行评估。因此，最终的评估结果易受主观因素的影响，具有模糊性和不确定性。学术界已有一些针对网络风险评估中不确定性问题的研究：如模糊层次分析法(AHP)和模糊综合评价法(FCE)，建立风险评估的量化模式；这些方法主要是为了解决评价的主观性弱化，有效地处理参数评估值的不确定性、减少由脆弱性可能引发的系统安全事件并计算损失大小和风险值等问题。

利用量化风险评估来判定物联网应用的安全等级。安全等级最低（较轻或者无）的应用可以配置无安全模式。安全等级较低的应用配置访问控制模式。访问控制模式一般在数据链路层进行应用，而不用对MAC 帧做任何加密或修改操作，仅提供给设备一种按帧中源/目的地址进行过滤的机制。安全等级达到严重和特别严重的应用配置较的安全策略，包括机密性保护、完整性保护和认证等。

6 结语

物联网是一种全面信息感知和获取、无缝互联与协同、高度智能化的新型网络形态。物联网产业的发展必须建立在信息安全基础之上，没有信息安全保障的物联网产业是不可能发展壮大的。研究物联网安全架构与安全技术，有效保障信息采集、传输、处理等各个环节的安全可靠，并通过完善安全等级保护制度，立体式全面建立健全物联网安全体系，顺利保障物联网的可持续高速发展。

[1] 宁焕生, 王炳辉. RFID重大工程与国家物联网[M].北京:机械工业出版社, 2008.10.

[2] 张之津,李胜广,孙健.风云再起的物联网[J].卡技术与安全, 2010（3）10-12.

[3] 杨光,耿贵宁,都婧．物联网安全威胁与措施[J]．清华大学学报，201l，5l(10)：1035-1040．

[4] 孙知信,骆冰清等.一种基于等级划分的物联网安全模型[J],计算机工程，2011.5,37(10):1-7.

[5] 武传坤.物联网安全架构初探[J].中国科学院院刊. 2010, 25(4):411-419.

[6] 杨庚,许建,陈伟等．物联网安全特征与关键技术[J]．南京邮电大学学报(自然科学版)，2010(4): 20-29．

[7] 刘波,陈晖,王海涛,付鹰.物联网安全问题分析及安全模型研究[J].计算机与数字工程, 2012(11),21-24.

[8] 李胜广,谭林,周千里.警务物联网安全威胁与等级保护[C].警察技术--第三届全国信息安全等级保护技术大会优秀论文，2014.6.

Study on the security framework and risk assessment of the Internet of things

Li Yong1，Xu Yuangen1，Wang Jun2
（1.China tobacco Zhejiang Industrial CO.,LTD,Ningbo，315040,China; 2.School of Economics and Management,Beihang University,Beijing，100083,China）

The safety factor of the Internet of things includes the safety protection,safety control and privacy protection and so on..Security protection includes some of the attributes of the traditional security considerations,such as integrity,availability,confidentiality,etc.,is to protect the Internet of things system is not attacked.Privacy protection is to protect the user information is not attacked. Safety control is the security of the Internet of things in the control process.This paper analyzes the security risk of the Internet of things,and analyzes the security threats under the three tier architecture,and gives the security framework and security assessment analysis.

Internet of things;Security framework;Secure access;Grade protection

TP303

A

CS091525

黎勇（1971-），男，本科，高级工程师，主要研究方向为企业信息管理和过程自动化；

徐元根（1972-），男，本科，工程师，主要研究方向为数字化工厂和过程自动化；

王军（1973-），男，博士生，高级工程师，主要研究方向为数字化工厂和过程自动化。