目 录 目 录 . 2 1 物 联 网 概 念 和 体 系 架 构 . 1 1 . 1 物 联 网 概 念 . 1 1 . 2 物 联 网 的 体 系 架 构 . 1 1 . 3 物 联 网 的 标 准 体 系 . 2 2 物 联 网 趋 势 和 安 全 威 胁 . 3 2 . 1 物 联 网 发 展 趋 势 . 3 2 . 2 物 联 网 所 面 对 的 安 全 威 胁 和 挑 战 . 4 3 物 联 网 安 全 定 级 建 议 . 9 3 . 1 定 级 依 据 和 标 准 . 9 3 . 2 物 联 网 场 景 安 全 定 级 建 议 . 1 0 4 物 联 网 安 全 架 构 . 1 0 4 . 1 总 体 安 全 架 构 . 1 0 4 . 2 感 知 层 安 全 . 1 1 4 . 3 网 络 层 安 全 . 1 2 4 . 4 平 台 层 安 全 . 1 3 4 . 5 应 用 层 安 全 . 1 3 5 物 联 网 生 命 周 期 安 全 防 护 . 1 5 5 . 1 云 端 应 用 生 命 周 期 防 护 . 1 5 5 . 2 终 端 生 命 周 期 防 护 . 1 6 6 物 联 网 身 份 标 识 和 认 证 . 2 16 . 1 终 端 身 份 标 识 . 2 1 6 . 2 身 份 认 证 . 2 1 6 . 3 密 钥 管 理 . 2 6 7 物 联 网 安 全 可 信 . 2 8 7 . 1 物 联 网 安 全 可 信 体 系 总 体 架 构 . 2 8 图 7 - 1 物 联 网 安 全 可 信 体 系 总 体 架 构 图 . 2 8 7 . 2 感 知 层 安 全 可 信 . 2 8 7 . 3 网 络 层 安 全 可 信 . 3 1 7 . 4 应 用 层 安 全 可 信 . 3 2 8 网 络 传 输 保 护 . 3 3 8 . 1 端 到 端 安 全 传 输 原 则 . 3 3 8 . 2 传 输 协 议 保 护 . 3 4 8 . 3 传 输 加 密 技 术 . 3 5 8 . 4 传 输 数 据 完 整 性 . 3 6 9 近 场 通 信 安 全 . 3 7 9 . 1 近 场 无 线 射 频 通 信 技 术 概 述 . 3 7 9 . 2 R F I D 无 线 射 频 安 全 分 析 . 3 7 9 . 3 N F C 技 术 安 全 分 析 . 3 8 9 . 4 无 线 射 频 遥 控 安 全 分 析 . 4 1 1 0 数 据 和 隐 私 保 护 . 4 3 1 0 . 1 物 联 网 与 隐 私 和 数 据 保 护 的 关 系 . 4 3 1 0 . 2 物 联 网 中 的 隐 私 保 护 的 关 键 步 骤 . 4 31 0 . 3 物 联 网 产 品 设 计 中 的 设 计 隐 私 保 护 （ P r i v a c y b y D e s i g n ） 和 默 认 隐 私 保 护 （ P r i v a c y b y D e f a u l t ） . 4 8 1 1 终 端 安 全 . 5 0 1 1 . 1 物 联 网 终 端 定 义 . 5 0 1 1 . 2 终 端 物 理 安 全 . 5 1 1 1 . 3 终 端 系 统 安 全 . 5 3 1 1 . 4 终 端 应 用 安 全 . 5 4 1 1 . 5 客 户 端 应 用 安 全 技 术 . 5 4 1 2 云 端 平 台 安 全 . 5 6 1 2 . 1 云 端 平 台 架 构 . 5 6 1 2 . 2 云 端 平 台 安 全 威 胁 . 5 7 1 2 . 3 云 端 平 台 安 全 解 决 方 案 . 6 0 1 2 . 4 云 端 平 台 安 全 认 证 . 6 2 1 2 . 5 云 端 平 台 安 全 服 务 . 6 3 1 3 物 联 网 安 全 运 营 . 6 5 1 3 . 1 设 备 入 网 检 测 与 退 网 安 全 . 6 5 1 3 . 2 物 联 网 安 全 运 营 监 测 与 防 护 . 6 7 1 3 . 3 物 联 网 安 全 态 势 感 知 与 预 警 . 6 8 1 4 关 键 业 务 场 景 应 用 指 南 . 7 0 1 4 . 1 车 联 网 安 全 . 7 0 1 4 . 2 N B - I o T 安 全 . 7 4 1 4 . 3 无 人 机 案 例 . 7 5物 联 网 概 念 和 体 系 架 构 第 1 页 / 共 8 2 页 1 物 联 网 概 念 和 体 系 架 构 1.1 物联网概念 物联网是使用互联网连接的物理世界中使用的非传统计算设备的总称 。 它包括了从 互联 网支持 的运营 技术 ( 如电 力和水 ) 到健 身追踪 器、联 网灯 泡、医 疗设备 等等。 这些技 术越来越多地部署在个人和企业环境中，例如 : a ) 企业视频监控和智能安防； b ) 实体物流的数字跟踪； c ) 家庭电表、气表、水表读数自动上报； d ) 为个人提供相关的健康生活的应用。 欧 洲 网 络 与 信 息 安 全 署 （ E N I S A ） 将 物 联 网 系 统 定 义 为 “ 互 联 传 感 器 和 执 行 器 的 赛博物理生态系统，可实现智能决策 ”。 1.2 物联网的体系架构 物联网的体系主要分为感知层、 网络层、 应用层。 平台层为可选， 一般与应用层在 一起，位于应用层的下面。 感知层包含传感器以及相关的传感网络 ， 完成物理世界的数据采集及数据短距离的 传输； 网络层为感知层向应用层的通信管道，如 W i f i 、L T E 、5 G 等； 应用层负责为用户提供具体服务 ， 可视化呈现从感知层获取的数据信息， 以及对数 据 信 息 的 处 理 ，它 包 含 A p p 应 用 、 云 端 服 务、 计 算 存 储 等 。 除 此 之 外 ， 涉 及 到 物 联 网 的设备如何管理， 用户如何管理， 数据包如何解析 ， 大数据如何展示等也是物联网模块 中非常重要的部分， 本文将建构在云端的物联网平台也作为物联网的体系架构中的一层 来考虑物 联 网 概 念 和 体 系 架 构 第 2 页 / 共 8 2 页 1.3 物联网的标准体系 物联网总体性标准: 包括物联网导则、物联网总体架构、物联网业务需求等。 感知层标准体系: 主要涉及传感器等各类信息获取设备的电气和数据接口 、 感知数据 模型、 描述语言和数据结构 的通用技术标准 、 R F I D 标签和读写器接口和 协议标准 、 特 定行业和应用相关的感知层技术标准等。 网络层标准体系: 主要涉及物联网网关 、 短距离无线通信、 自组织网络、 简化 I P v 6 协 议 、 低 功 耗 路 由 、 增 强 的 M 2 M ( M a c h i n e t o M a c h i n e ， 机 器 对 机 器 ) 无 线 接 入 和 核 心 网标准、M 2 M 模组与平台、网络资源虚拟化标准、异构融合的网络标准等。 应用层标准体系: 包括应用层架构 、 信息智能处理技术 、 以及行业、 公众应用类标准 。 应用层架构重点是面向对象的服务架构 ， 包括 S O A 体系架构、 面向上层业务应用的流 程管理、 业务流程之间的通信协议、 元数据标准以及 S O A 安全架构标准 。 信息智能处 理类技术标准包括云计算、数据存储、数据挖掘、海量智能信息处理和呈现等。 共 性 关 键 技 术 标 准 体 系 : 包 括 标 识 和 解 析 、 服 务 质 量 ( Q u a l i t y o f S e r v i c e ， Q o S ) 、 安全、 网络管理技术标准。 标识和解析标准体系包括编码 、 解析、 认证、 加密、 隐私保 护、 管理， 以及多标识互通标准。 安全标准重点包括安全体系架构、 安全协议、 支持多 种网络融合的认证和加密技术、 用户和应用隐私保护 、 虚拟化和匿名化、 面向服务的自 适应安全技术标准等物 联 网 趋 势 和 安 全 威 胁 第 3 页 / 共 8 2 页 2 物 联 网 趋 势 和 安 全 威 胁 2.1 物联网发展趋势 5 G 网 络 促 使 I o T 持 续 增 长 ： 5 G 几 乎 可 以 实 时 收 集 、 传 输 、 管 理 和 分 析 数 据， 从而进一步扩展了物联网市场。 对于无人机、 无人驾驶等对响应时间和传输 速度要求很高的领域，5 G 更是大有可为，可以发掘物联网的潜能。 物联网与人工智能结合： 使用物联网设备与技术收集到的数据增长惊人， 很 多过去不能感知的数据可以通过物联网技术呈现出来。 而传统的计算方式已经无 法满足数据处理需求。 人工智能可用于自动化地数据分析， 并且可以更好地进行 图像处理、 视频分析， 有效地辅助决策。 同时， 随着人工智能和物联网技术的结 合， 可以创建出新的应用场景， 生产质量管理和优化能源管理就是其中的几个可 行的应用。 安全和合规： 物联网产品的安全性不容忽视 。 在医疗健康、 安防、 金融等处 理特别敏感数据的领域， 物联网设施的安全将受到更多的关注。 各种立法和监管 机构纷纷提出更加严格的用户数据保护规定， 用户的数据必将受到更严格的监管。 这种监管将会给物联网产业带来挑战。 如何合法合规地收集、 使用 、 分享和管理 用户数据，仍然是一个不断摸索的过程。 边缘计算： 主要优势是降低大数据平台需要存储、 分析的数据量 ； 本地计算 处理可以利用边缘设备算力， 提高数据分析时效性的同时减少云端算力需求。 同 时， 边缘计算把大部分数据传输和分析集中在本地， 给业务提供了更大的灵活性 。 制造业往往需要实时决策， 物流行业常常不能保证网络连通， 无人驾驶则两种情 况都存在，对于这些行业边缘计算就特别有帮助物 联 网 趋 势 和 安 全 威 胁 第 4 页 / 共 8 2 页 2.2 物联网所面对的安全威胁和挑战 2 . 2 . 1 感 知 层 安 全 威 胁 感知层的资源有限， 并且大多部署在无人区， 运行在恶劣的环境中 ， 因此很 容易受到恶意攻击。感知层面临的安全威胁主要有以下 5 种类型： a ) 干扰 ：干扰 是使 正常的 通信信 息丢失 或不可 用。 感知层 设备大 多使用 无 线通信方式， 只要在通信范围内， 便可以使用干扰设备对通信信号进行干扰 ， 也 可以 在感知 层设备 节点中 注入病毒 （恶意 代码或 指令等 ） ，这 有可能 使整个 感知 层网络瘫痪， 所有通信信息都变得无效， 或者多个设备频繁的同时发送数据 ， 使 整个网络瘫痪。 b ) 截取 ：攻击 人员 使用专 用设备 获取感 知层节 点或 者簇中 的基站 、网关 或 后台系统的重要信息。 c ) 篡改 ：非授 权人 员没有 获得操 作感知 层节点 的能 力，但 是可以 对感知 层 设备通信的正常数据进行篡改， 或者使用非法设备发送大量垃圾数据包到通信系 统中， 把正常数据淹没在垃圾数据包中， 使本来数据处理能力就不高的感知层设 备节点无法正常的提供服务。 d ) 假冒 ：假冒 就是 使用非 法设备 假冒正 常设备 ，进 入到感 知层网 络中， 参 与正常通信， 获取信息， 或者使用假冒的数据包参与网络通信 ， 使正常通信延迟 ， 或诱导正常数据获得敏感信息。 e ) 漏洞 ：近年 来黑 客利用 感知层 设备自 身漏洞 发动 网络攻 击的事 件越来 越 多， 黑客主要通过利用感知层设备软硬件层面和操 作系统层面的 0 d a y 漏洞获取 感知层权限，进而由点到面达到控制大量感知层设备的目的物 联 网 趋 势 和 安 全 威 胁 第 5 页 / 共 8 2 页 2 . 2 . 2 网 络 层 安 全 威 胁 物联网网络层的安全威胁主要来自以下几个方面： a ) 病毒 蠕虫威 胁： 随着物 联网业 务终端 的日益 智能 化，计 算能力 的增强 同 时也增加了终端感染病毒、 木马或恶意代码所入侵的渠道， 一旦某一个节点的终 端被入侵成功， 那么其通过网络传播将变的非常容易， 病毒、 木马或恶意代码在 物联网内具有更大传播性， 更高的隐蔽性和更强的破坏性， 相比单一的通信网络 而言更加难以防范； 简而言之， 病毒、 蠕虫是威胁的实现技术手段， 网络层的蠕 虫、 病毒通常其目的是为了进一步渗透获取漏洞利用， 进而实现非法权限获取及 数据的非法获取、篡改、仿冒等；或单纯的直 接发起攻击，如 D o S 等。 因此， 对于网络层的威胁总结包含 D o S 、窃听、渗透、篡改等； b ) 承载 网络信 息传 输安全 ：物联 网的承 载网络 是一 个多网 络叠加 的开放 性 网络， 随着网络融合加速及网络结构的日益复杂， 物联网基于无线或有线链路进 行数据传输将面临更大的威胁，攻击者可随意窃取、篡改或删除链路上的数据， 并伪装成网络实体截取业务数据及对网络流量进行主动与被动分析； 对系统无线 链路中传输的业务与信令、 控制信息进行篡改， 包括插入、 修改、 删除等， 攻击 者通过物理级和协议级干扰， 伪装成合法网络实体， 诱使特定的协议或者业务流 程失效； c ) 核心网络安全： 未来全 I P 化的移动通信网络和互联网及下一代互联网 将 是物联网网络层的核心载体， 大多数物联网业务信息要利用互联网传输， 移动通 信网络和互联网的核心网络具有相对完整的安全保护能力， 但由于物联网中业务 节点的数量将大大超过以往任何服务网络， 并以分布式集群方式存在， 在大量数 据传输时可能将使承载网络阻塞， 产生拒绝服务攻击。 另外由于物联网网络应用物 联 网 趋 势 和 安 全 威 胁 第 6 页 / 共 8 2 页 的广泛性， 不同架构的承载网络需要互联互通， 跨网络的安全认证 、 访问控制和 授权管理方面也会面临更大的安全挑战。 2 . 2 . 3 应 用 层 安 全 威 胁 物联网应用层主要威胁如下： a ) 身份 冒用： 由于 物联网 设备无 人值守 的特点 ，这 些设备 可能被 劫持， 然 后伪造客户端或应用服务器发送数据并执行相关指令。 例如针对智能锁， 攻击者 可伪造用户或管理员进入后台服务器，实现远程开锁； b ) 应用层窃听/ 篡改 ： 由于物联网通信需要通过异构、 多域网络， 其安全机 制相互独立，因此应用层数据可能被窃听、注入和篡改； c ) 隐私威胁：根据 隐私数据的类型，物联网隐 私可分为 3 类：一是身份隐 私， 它关于个人身份、 特征、 信用状况等 ； 二是数据隐私， 是指关于个人的医疗 、 购物、 休闲等过程形成的数据记录； 三是位置隐私， 是指个人在活动中所出的地 点 和周 围环 境信 息 ，例 如 G P S 等 ，物 联网 时代 下 的个 人隐 私越 来 越受 到关 注， 物联网大量与个人 生活息息相关的摄像头 、 G P S 、 各类传感器及 R F I D 设备连接 到网络上，如果得不到保护，个人隐私数据必然赤裸裸的暴露于互联网上； d ) 由于物联网应用层多数位于云端， 必然也会面临其他云安全通常的威胁 ， 例如数据泄露、 不安全的接口和 A P I 、 系统漏洞、 账户劫持 、 恶意内部人员等 威 胁； e ) 安全 意识薄 弱： 一些企 业错误 的认为 ，由于 他们 的应用 跑在云 端，保 护 其应用的安全依靠云平台提供商就可以了， 虽然云平台提供商可提供通用性的安 全防护措施， 但是云端数据备份恢复以及业务自身安全性是用户的主要责任而非 云平台提供商的责任物 联 网 趋 势 和 安 全 威 胁 第 7 页 / 共 8 2 页 2 . 3 物联网安全事件 亚 马 逊 智 能 音 箱 发 生 重 大 监 听 事 故 ： 超 千 条 用 户 录 音 泄 露 。 2 0 1 8 年 1 2 月 2 0 日，德国媒体 c t 报道称，由于 亚马逊的人为错误，导致德 国一位 A l e x a 智能音箱用户接收到了 1 7 0 0 份的陌生人录音。 今年 8 月， 这位用户根据 通用 数据保护条例 要求亚马逊提供自己的个人活动语音数据时， 没想到对方竟然发 来了 1 7 0 0 份陌生人录音。 c t 听 取 了 其 中 部 分 录 音 发 现 ， 仅 凭 这 些 信 息 可 以 “ 拼 凑 ” 出 一 个 人 的 生活细节和个人习惯。 有些录音还有沐浴的声音 。 c t 根据这些信息找到了不 幸被泄露隐私的两位用户，其中一位表示震惊和愤怒。 智能家居设备部署在私密的家庭环境中，如果设备存在的漏洞被远程控制， 将 导 致用 户 隐 私 完全 暴 露 在 攻 击者 面 前 。 智能 家 居 设 备中 摄 像 头 的不 当 配 置 ( 缺 省 密 码 ) 与 设 备固 件 层 面 的安 全 漏 洞 可 能导 致 摄 像 头被 入 侵 ， 进而 引 发 摄 像头 采 集 的视 频隐 私 遭到 泄露 。 2 0 1 7 年 8 月 ，浙 江某 地 警方 破获 一 个在 网上 制 作和 传播家庭摄像头破解入侵软件的犯罪团伙。 查获被破解入侵家庭摄像头 I P 近万 个， 获取大量个人生 活影像 、 照片， 甚至个人私密信 息 。 2 0 1 7 年 2 月 2 8 日 安 全 专 家 T r o y H u n t 曝 光 互 联 网 填 充 智 能 玩 具 C l o u d P e t s ( 泰 迪 熊 ) 的 用 户 数 据存储在一个没有任何密码或防 火墙防护的公共数据库中 ， 暴露了 2 0 0 多万条 儿童与父母的录音，以及超过 8 0 万个帐户的电子邮件地址和密码。 利用设备漏洞控制物联网设备发起流量攻击， 可严重影响基础通信网络的正 常运行。 物联网设备基数大、 分布广， 且具备一定网络带宽资源， 一旦出现漏洞 将导致大量设备被控形成僵尸网络，对网络基础设施发起分布式拒绝服务攻击， 造成网络堵 塞甚至断网瘫痪 。 2 0 1 6 年 1 0 月 2 1 日， 美国域名服 务商 D y n 遭物 联 网 趋 势 和 安 全 威 胁 第 8 页 / 共 8 2 页 受 到 来 自 数 十 万 网 络 摄 像 头 、 数 字 录 像 机 设 备 组 成 的 僵 尸 网 络 高 达 6 2 0 G 流 量 的 D D o S 攻击， 导致美国 东海岸大面积断 网 ， T w i t t e r 、 亚马逊 、 华尔街日 报等 数 百 个 重 要 网 站 无 法 访 问 。 同 年 ， 德 国 电 信 遭 遇 网 络 攻 击 ， 超 9 0 万 台 路 由 器 无法联网， 断网事故共持续数个小时， 导致德国电信无法为用户提供正常网络服 务不 断 演 进 的 安 全 架 构 第 9 页 / 共 8 2 页 3 物 联 网 安 全 定 级 建 议 3.1 定级依据和标准 本指南所编写的物联网安全定级依据和标准参考了目前业界的主流方法， 将 物联网场景中受侵害客体分为公民、法人和其他组织的合法权益以及社会秩序、 公共利益，受侵害程度分为一般侵害、严重侵害、特别严重侵害。 安全等级与受侵害客体、受侵害程度关系如下表所示。 受 侵 害 的 客 体 对 客 体 的 侵 害 程 度 一 般 损 害 严 重 损 害 特 别 严 重 损 害 公 民 、 法 人 和 其 他 组 织 的 合 法 权 益 等 级 一 等 级 二 等 级 三 社 会 秩 序 、 公 共 利 益 等 级 二 等 级 三 第 四 级 表 3 - 1 物联网场景 C I A （可用性/ 机密性/ 完整性 ） 要求不同 ， 本指南根据不同 设置 的 C I A 和物联网场景的定级参考要求如下表： 可 用 性 机 密 性 完 整 性 等 级 H H H 4 H H L / N 3不 断 演 进 的 安 全 架 构 第 1 0 页 / 共 8 2 页 H L L / N 2 L L L / N 1 表 3 - 2 3.2 物联网场景安全定级建议 每种场景的物联网产品的安全级别不同， 厂商可以根据上一小节的物联网安 全定级标准来评估本身应该具备的安全级别。 物联网系统和物联网终端应当有不同的定级标准。 物联网终端由于功能和部 署位置不同， 对定级要求不同， 应当采取简化的定级和认证手段。 一款设备应该 当有入网级别的认证， 这个认证是设备基础定级认证。 当此设备被用于更高保护 等级网络中，应该提高安全级别，通过相应的终端级别认证。 比如智能家居产品一般是等级为 1 或者 2 ， 但如果部署此产品的建筑或者建 筑 里面 的 用 户本 身 是高 安 全 价值 目 标， 容 易 被 A P T 攻 击盯 上 。 使得 智 能家 居 产 品安全性无法满足新的安全需求，需要提升物联网安全等级。 如 用户 使用 运 动手 环进 行 运动 ， 上传 运动 数 据但 包含 了 G P S 位 置， 就会 造 成风险。在 2 0 1 8 年 4 月，S t r a v a 发布的热图中 暴露了美军多个海外军 事基地 。 充分说明了同一款 I o T 设备随着用途而需要不同的安全等级 。 反之过分提高设备 安全等级又会提高准入门槛，不利于物联网产业健康发展。 4 物 联 网 安 全 架 构 4 . 1 总体安全架构 物联网的安全架构可以根据物联网的架构可分为感知层安全、网络层安全、 平台层安全和应用层安全。如下图所示不 断 演 进 的 安 全 架 构 第 1 1 页 / 共 8 2 页 图 4 - 1 4 . 2 感知层安全 感知层包括物联网感知终端设备， 在物联网中主要负责感知外界信息， 包括 信息采集、 捕获数据和识别物体等。 感知层的设备终端数量和种类众多 ， 功能从 简单到丰富， 状态或联网或断开， 呈现多源异构性。 由于大部分感知终端设备通 常功能简单， 存储、 计算能力较弱， 其上部署的安全措施较少， 且感知终端设备 多部属于无人值守环境中， 面临较为复杂的安全威胁。 因此感知层终端的安全架 构需统筹考虑其计算、通信、存储等资源，在以下方面实现其安全设计： a ) 物理 安全： 需要 保护终 端的部 署安全 以及从 物理 上对感 知设备 的篡改 ， 在遭受物理攻击时， 确保终端设备在被突破后其身份、 认证以及账户信息相关的 重要数据不会被攻击者利用不 断 演 进 的 安 全 架 构 第 1 2 页 / 共 8 2 页 b ) 接入 安全： 需要 确保感 知终端 在接入 时经过 严格 的标识 和认证 ，防止 伪 造和假冒； c ) 硬件 安全： 感知 终端设 备需要 确保身 份、认 证以 及账户 信息等 重要数 据 的存储安全； d ) 通信 安全： 感知 终端需 采取安 全的通 信传输 协议 ，确保 身份、 认证以 及 其他重要数据在传输过程中不被恶意攻击和泄露； e ) 操作 系统安 全： 感知终 端需采 取措施 确保设 备固 件完整 真实， 满足访 问 控制、日志审计、接口安全、失效保护等安全要求； 4 . 3 网络层安全 网络层是连接 感知层和平台及应用的传 输通道，主要包括 W i F I 、Z i g B e e 、 蓝牙 、红外 、移动通 信网等 传输接 入网以 及以 I P v 4 / 6 为主 的核心 网络。由 于感 知层的传输网络多样化， 因此网络层需要将多种传输网络进行融合， 因此多采取 多网络叠加的开放性网络， 其通信传输比传统网络更为复杂， 协议破解 、 中间人 攻击等威胁十分突出。因此在网络层安全架构设计上需考虑： a ) 通用 网络安 全： 网络层 需考虑 与终端 的相互 认证 方式， 确保终 端接入 安 全，同时具备访问控制等安全措施； b ) 传输安全： 网络层需采取加密措施确保通信网络数据的机密性和完整性 ， 防止通信数据发生劫持、重放、篡改和窃听等中间人攻击； c ) 网络 攻击 防护 ：网 络层 需考 虑病 毒传 播、 D D o S 等网 络攻 击行 为， 确保 接入网及核心网的安全可靠； 需要通过协议健壮性测试保障开放的协议和端口能 抵御畸形报文攻击； d ) 协议 融合安 全： 作为多 网络融 合的开 放性网 络， 网络层 需要考 虑异构 网不 断 演 进 的 安 全 架 构 第 1 3 页 / 共 8 2 页 络间信息交换的安全。 4 . 4 平台层安全 平台层主要提供为感知层终端提供设备管理， 数据管理、 分析和反馈等服务 ， 也具备数据挖掘、 决策等重要功能。 平台层融合云计算 、 大数据等多种先进技术 ， 在进行大规模、分布式、多业务管理时，设计上需考虑： a ) 平台基础环境安全： 需关心承载平台层的云计算平台等基础环境的安全 ， 考虑硬件环境、虚拟化、稳定性、漏洞防护等安全问题； b ) 接入 安全： 需要 具有可 靠的密 钥管理 机制， 从而 对实现 并支持 用户、 设 备接入过程中安全传输的能力，并能够阻断异常的接入； c ) 数据 安全： 需考 虑平台 所传输 和存储 的物联 网数 据完整 性、保 密性和 不 可抵赖性； d ) 接口安全： 需考虑平台对 外提供 A P I 服务的安全性， 确保 A P I 不被非法 访问和非法数据请求，防止通过 A P I 过度消耗系统资源。 4 . 5 应用层安全 应用层主要对平台层提供的数据进行分析处理， 面向用户实现具体业务功能， 需考虑： a ) 身份 认证： 需考 虑应用 用户的 身份认 证，防 止身 份伪造 ，确保 用户仅 访 问其授权的资源； b ) 访问 控制： 需考 虑用户 与系统 资源的 访问策 略， 严格限 制用户 访问的 系 统权限； c ) W E B 应用攻击防护 ： 需考虑 W E B 应用可能面临 的 S Q L 注入 、 跨站脚本、 信息泄露、恶意代码等攻击行为不 断 演 进 的 安 全 架 构 第 1 4 页 / 共 8 2 页 d ) A P P 安全 ： 需综合考虑 A P P 面临的移动安 全问题 ， 包括不安全传 输 、 信 息泄露、反编译等攻击行为物 联 网 生 命 周 期 安 全 防 护 第 1 5 页 / 共 8 2 页 5 物 联 网 生 命 周 期 安 全 防 护 5 . 1 云端应用生命周期防护 安全漏洞本质上是软件质量缺陷， 安全性是软件质量的重要组成部分。 在国 际 上 ， 有 很 多 软 件 开 发 质 量 方 面 的 最 佳 实 践 ， S D L s e c u r i t y d e v e l o p m e n t l i f e c y c l e （ 安 全 开 发 生 命 周 期 ） ， 是 微 软 提 出 的 从 安 全 角 度 指 导 软 件 开 发 过 程 的 管理模式。 S D L 是一个安全保证的过程， 其重点是软件开发， 它在开发的所有阶 段都引入了安全和隐私的原则。 本节针对云端应用系统应当遵循的应用开发安全标准进行了规范性说明， 旨 在指导应用系统设计人员、 代码开发人员和安全检查管理人员进行应用安全开发 的安全配置，以提高应用系统的安全防护能力。 只有将安全融入到整个应用开发流程中， 执行到位， 才能保障产品的安全能 力及落地。一个在完整的应用安全开发过程，应该包括如下几个阶段： a ) 安全需求 b ) 安全设计 c ) 安全开发 d ) 安全测试 e ) 安全交付和维护物 联 网 生 命 周 期 安 全 防 护 第 1 6 页 / 共 8 2 页 图 5 - 1 在这几个阶段中， 应注重落实安全需求分析 、 威胁分析、 安全设计活动， 使 产品在设计阶段落实相关安全需求，保障产品的安全能力。 5 . 2 终端生命周期防护 一个物联网设备的完整生命周期包括了设计、 开发、 测试、 投产、 运营几个 阶段。 物联网设备的研发需求通常来自业务的自动化或业务数据的采集， 往往设 计生产后会在很长一段时间内处于无人维护的环境， 导致物联网设备容易被非使 用人员接触甚至破坏， 也很难通过巡检的方式来保障安全。 所以要保持物联网设 备的相对安全， 就需要从设计阶段开始尽量针对设备投产后面临的威胁进行针对 性的安全机制引入。 5 . 2 . 1 开 发 安 全 在设备的设计和开发阶段主要需要解决以下几个安全问题： a ) 硬件安全 硬件安全包括模组选型、防拆卸设计及能量攻击防护。 模组 选型， 从安 全上需 要避免 选择已 知具有 硬件 漏洞的 模组， 避免选 择 模组固件具有已知漏洞的模组版本物 联 网 生 命 周 期 安 全 防 护 第 1 7 页 / 共 8 2 页 防拆 卸设计 ，在 物理设 计上需 要尽量 增加通 过物 理方式 接触硬 件调试 接 口， 包括直接对关键模组、 芯片通过飞线等方式进行物理破解的难度 。 对关键重 要的物联网设备，如果条件允许，可以考虑增加物理拆卸感知上报的机制。 b ) 代码及供应链安全 代码 安全， 主要 指对物 联网设 备进行 业务开 发时 开发人 员的代 码规范 和 通过代码检查工具对编写完成的代码进行静态、 动态的检查， 尽早发现代码层面 的缺陷、漏洞。 软件 供应链 安全 ，开发 人员在 进行业 务开发 过程 中为了 节省开 发时间 、 提高效率会引入一些开源或成熟的软件包、 资源库等。 为了避免引入的软件包或 资源库存在安全漏洞， 需要在开发过程中使用相关的安全检查工具对代码引入的 软件包、资源库进行定期检查。 5 . 2 . 2 设 备 安 全 a ) 安全启动 在设备启动至业务流程执行过程，需要确保执行环境的安全： 具备通过难以篡改的信任根对固件进行完整性验证。 启动代码自身需要具备完整性校验。 业务关键流程和重要数据需要采用加密方式存储在专用安全存储区。 设备上需要具备独立安全运行空间，确保关键进程难以被篡改。 b ) 设备状态监控 设备投产使用过程中，需要对关键信息进行采集并上报： 设备存活状态。物联网设备应当具备定期对管理平台报活的机制。 设备 启停事 件。 物联网 设备启 动停止 事件对 于非 法移动 或仿冒 的判断 属物 联 网 生 命 周 期 安 全 防 护 第 1 8 页 / 共 8 2 页 重要信息，应当上报管理平台。 设备网络异常事件。如设备网络地址变更或活跃网络接口数量变更。 传感器状态。 对于终端连接的传感器， 设计时应当考虑传感器状态判断 ， 并在应用或系统层面对传感器状态进行上报。 设备 拆卸告 警。 对于设 计了防 拆告警 的终端 设备 ，此类 事件信 息应当 作 为重要告警上报。 用户 登录。 在系 统层面 ，用户 登录往 往意味 着此 时操作 人员已 经获取 了 系统权限，已经超出了应用访问的层面。 进程 启停。 对于 高级设 备而言 ，系统 中运行 了哪 些进程 ，以及 各进程 的 启动、 停止的生命周期可以准确的还原系统上某一时间段内的行为， 对于威胁分 析以及安全事件溯源分析十分有用。 条件允许的话应当对进程的调用关系同样进 行采集、上报。 系统对外提供的服务以及对外开放的端口。 系统关键设置被改变。 设备 网络访 问。 设备上 对网络 访问进 行采集 、上 报，可 以使得 管理平 台 结合网络流量威胁分析时可以快速发现威胁并且进行准确定位。 对于在网络中横 向渗透的威胁行为具有很好的追踪溯源效果。 c ) 安全防护 设备安全防护主要指针对物理接触或远程入侵等手段的一些防护措施： 侧信 道攻击 防护 。对于 非接触 式能量 或电磁 攻击 ，设备 的关键 芯片或 重 要电路部分需要具备一定的电磁屏蔽措施。 物 理 调 试 接 口 防 护 。 开 发 完 成 后 两 场 设 备 应 当 屏 蔽 J T A G 等 硬 件 调 试 端物 联 网 生 命 周 期 安 全 防 护 第 1 9 页 / 共 8 2 页 口，或设计特殊访问方式，防止固件被逆向。 物理 外设接 口防 护。设 备投产 后应当 确保除 业务 必须的 外设接 口外的 其 他接口处于禁用状态。 系统漏洞 修补 。 对于运行 通用操作系统 （如标准 L i n u x 、 标准 A n d r o i d ） 的高性能物联网设备， 通常因完整固件较大整体分发对于流量占用巨大， 故需具 备对系统漏洞及运行在设备上的特定程序进行打补丁方式修复的能力。 固 件 更 新 安 全 通 道 。 对 于 固 件 分 发 通 道 ， 应 当 至 少 采 用 H T T P S 等 加 密 传输的方式对传输内容进行加密。 高性能设备可以通过专用防护软件增强对终 端 D N S 劫持、中间人劫持等攻击手段的检测与防御机制。 固件 更新防 护。 远程更 新固件 时需要 对固件 来源 及完整 性校验 的机制 。 固件更新失败时应当上报， 并且尽可能保持业务可用的同时具备拒绝刷入非法固 件的机制 （如只允许刷入与固件更新前具有同样完整性校验特征码的特定版本固 件） 。 应用 升级防 护。 需要具 备对需 升级应 用进行 来源 校验和 完整性 校验。 升 级过程需要用户授权且升级失败具备将应用回滚至升级前状态的能力， 同时将升 级相关日志上报。 恶意 行为上 报。 可以对 设备应 用的异 常行为 或经 过检测 确认为 恶意行 为 的事件进行上报。如可以进一步响应处置更佳。 5 . 2 . 3 安 全 运 维 物联网网络环境复杂，海量设备离散部署、网络异构、设备碎片化等特点， 对设备的集中管理、 数据分析和威胁发现都是挑战。 为确保设备生命周期内的可 安全可控应当针对安全运维做好以下几点物 联 网 生 命 周 期 安 全 防 护 第 2 0 页 / 共 8 2 页 a ) 设备 安全信 息采 集能力 。设备 端关键 状态及 行为 信息是 做好安 全大数 据 分析的重要基础， 设备端需要采集上报的相关信息内容请参考设备安 全 2 、 3 两 节内容。 b ) 海量 大数据 分层 处理集 中分析 的能力 。物联 网设 备数量 巨大， 传统的 集 中式数据处理分析不光对大数据处理平台形成技术压力， 同时增大了系统对于安 全 事件 的发 现 - 响 应闭 环时 间导 致数 据时 效性 差， 威胁 处置 不 及时 的问 题。 利用 机器学习、 人工智能、 区块链和边缘计算等新技术将海量数据的处理分 层化 ， 将 威胁发现与处置能力边缘化，有助于解决以上问题。 c ) 安全 能力边 缘化 的安全 架构。 安全能 力边缘 化可 以缩短 安全响 应闭环 ， 提高数据时效性和威胁识别准确率。 故此， 对于高性能设备， 可以通过软、 硬件 的方式预制安全模块，对于 N B 等低性能设备建议提高接入侧设备安全能力。 d ) 动态 直观的 安全 可视化 平台。 安全运 维人员 对于 海量设 备、海 量日志 的 分 析 已 经 不 可 能 再 像 传 统 安 全 一 样 简 单 的 通 过 人 工 对 全 网 设 备 重 要 日 志 进 行 筛 选、 过滤来发现威胁。 结合大数据和威胁情报的自动化、 协同化的机制结合物联 网 设 备 业 务 需 求 建 模 后 通 过 多 种 安 全 维 度 以 直 观 可 视 化 的 方 式 对 物 联 网 安 全 态 势的展示可以极大的满足安全运维人员的需求。 e ) 情报 驱动的 安全 协同通 道。威 胁情报 作为大 数据 时代重 要的安 全信息 交 换手段， 实现了人、 机协同， 提高了安全事件响应效率 。 所以物联网安全运维平 台需要具备与安全服务商提供的威胁情报同步的能力。 f ) 贯 穿 始终 的 专 业 服务 。 运 维是 永 远 不 会 1 0 0 % 被 自 动化 的 服 务 ，运 维 的 成果取决于运维人员与相关工具的协同。 建立专业的安全运维团队或聘请专业人 员提供服务将是物联网时代安全运维的新需求物 联 网 身 份 标 识 和 认 证 第 2 1 页 / 共 8 2 页 6 物 联 网 身 份 标 识 和 认 证 物联网设备的身份标识和认证对物联网安全具有重要意义。 在物联网应用系 统和网络接入都需要依赖身份标识和身份鉴别