云安全联盟《物联网安全设计指南》（意见征集稿）

目录 目录2 1物联网概念和体系架构1 1.1物联网概念1 1.2物联网的体系架构1 1.3物联网的标准体系2 2物联网趋势和安全威胁3 2.1物联网发展趋势3 2.2物联网所面对的安全威胁和挑战4 3物联网安全定级建议9 3.1定级依据和标准9 3.2物联网场景安全定级建议10 4物联网安全架构10 4.1总体安全架构10 4.2感知层安全11 4.3网络层安全12 4.4平台层安全13 4.5应用层安全13 5物联网生命周期安全防护15 5.1云端应用生命周期防护15 5.2终端生命周期防护16 6物联网身份标识和认证21 6.1终端身份标识21 6.2身份认证21 6.3密钥管理26 7物联网安全可信28 7.1物联网安全可信体系总体架构28 图7-1物联网安全可信体系总体架构图28 7.2感知层安全可信28 7.3网络层安全可信31 7.4应用层安全可信32 8网络传输保护33 8.1端到端安全传输原则33 8.2传输协议保护34 8.3传输加密技术35 8.4传输数据完整性36 9近场通信安全37 9.1近场无线射频通信技术概述37 9.2RFID无线射频安全分析37 9.3NFC技术安全分析38 9.4无线射频遥控安全分析41 10数据和隐私保护43 10.1物联网与隐私和数据保护的关系43 10.2物联网中的隐私保护的关键步骤43 10.3物联网产品设计中的设计隐私保护（PrivacybyDesign）和默认隐私保护（PrivacybyDefault）48 11终端安全50 11.1物联网终端定义50 11.2终端物理安全51 11.3终端系统安全53 11.4终端应用安全54 11.5客户端应用安全技术54 12云端平台安全56 12.1云端平台架构56 12.2云端平台安全威胁57 12.3云端平台安全解决方案60 12.4云端平台安全认证62 12.5云端平台安全服务63 13物联网安全运营65 13.1设备入网检测与退网安全65 13.2物联网安全运营监测与防护67 13.3物联网安全态势感知与预警68 14关键业务场景应用指南70 14.1车联网安全70 14.2NB-IoT安全74 14.3无人机案例75 1物联网概念和体系架构 1.1物联网概念 物联网是使用互联网连接的物理世界中使用的非传统计算设备的总称。它包括了从互联网支持的运营技术(如电力和水)到健身追踪器、联网灯泡、医疗设备等等。这些技术越来越多地部署在个人和企业环境中，例如: a)企业视频监控和智能安防； b)实体物流的数字跟踪； c)家庭电表、气表、水表读数自动上报； d)为个人提供相关的健康生活的应用。 欧洲网络与信息安全署（ENISA）将物联网系统定义为“互联传感器和执行器的赛博物理生态系统，可实现智能决策”。 1.2物联网的体系架构 物联网的体系主要分为感知层、网络层、应用层。平台层为可选，一般与应用层在一起，位于应用层的下面。 感知层包含传感器以及相关的传感网络，完成物理世界的数据采集及数据短距离的传输； 网络层为感知层向应用层的通信管道，如Wifi、LTE、5G等； 应用层负责为用户提供具体服务，可视化呈现从感知层获取的数据信息，以及对数据信息的处理，它包含App应用、云端服务、计算存储等。除此之外，涉及到物联网的设备如何管理，用户如何管理，数据包如何解析，大数据如何展示等也是物联网模块中非常重要的部分，本文将建构在云端的物联网平台也作为物联网的体系架构中的一层来考虑。 1.3物联网的标准体系 物联网总体性标准:包括物联网导则、物联网总体架构、物联网业务需求等。 感知层标准体系:主要涉及传感器等各类信息获取设备的电气和数据接口、感知数据模型、描述语言和数据结构的通用技术标准、RFID标签和读写器接口和协议标准、特定行业和应用相关的感知层技术标准等。 网络层标准体系:主要涉及物联网网关、短距离无线通信、自组织网络、简化IPv6协议、低功耗路由、增强的M2M(MachinetoMachine，机器对机器)无线接入和核心网标准、M2M模组与平台、网络资源虚拟化标准、异构融合的网络标准等。 应用层标准体系:包括应用层架构、信息智能处理技术、以及行业、公众应用类标准。应用层架构重点是面向对象的服务架构，包括SOA体系架构、面向上层业务应用的流程管理、业务流程之间的通信协议、元数据标准以及SOA安全架构标准。信息智能处理类技术标准包括云计算、数据存储、数据挖掘、海量智能信息处理和呈现等。 共性关键技术标准体系:包括标识和解析、服务质量(QualityofService，QoS)、安全、网络管理技术标准。标识和解析标准体系包括编码、解析、认证、加密、隐私保护、管理，以及多标识互通标准。安全标准重点包括安全体系架构、安全协议、支持多种网络融合的认证和加密技术、用户和应用隐私保护、虚拟化和匿名化、面向服务的自适应安全技术标准等。 2物联网趋势和安全威胁 2.1物联网发展趋势 5G网络促使IoT持续增长：5G几乎可以实时收集、传输、管理和分析数据，从而进一步扩展了物联网市场。对于无人机、无人驾驶等对响应时间和传输速度要求很高的领域，5G更是大有可为，可以发掘物联网的潜能。 物联网与人工智能结合：使用物联网设备与技术收集到的数据增长惊人，很多过去不能感知的数据可以通过物联网技术呈现出来。而传统的计算方式已经无法满足数据处理需求。人工智能可用于自动化地数据分析，并且可以更好地进行图像处理、视频分析，有效地辅助决策。同时，随着人工智能和物联网技术的结合，可以创建出新的应用场景，生产质量管理和优化能源管理就是其中的几个可行的应用。 安全和合规：物联网产品的安全性不容忽视。在医疗健康、安防、金融等处理特别敏感数据的领域，物联网设施的安全将受到更多的关注。各种立法和监管机构纷纷提出更加严格的用户数据保护规定，用户的数据必将受到更严格的监管。这种监管将会给物联网产业带来挑战。如何合法合规地收集、使用、分享和管理用户数据，仍然是一个不断摸索的过程。 边缘计算：主要优势是降低大数据平台需要存储、分析的数据量；本地计算处理可以利用边缘设备算力，提高数据分析时效性的同时减少云端算力需求。同时，边缘计算把大部分数据传输和分析集中在本地，给业务提供了更大的灵活性。制造业往往需要实时决策，物流行业常常不能保证网络连通，无人驾驶则两种情况都存在，对于这些行业边缘计算就特别有帮助。 2.2物联网所面对的安全威胁和挑战 2.2.1感知层安全威胁 感知层的资源有限，并且大多部署在无人区，运行在恶劣的环境中，因此很容易受到恶意攻击。感知层面临的安全威胁主要有以下5种类型： a)干扰：干扰是使正常的通信信息丢失或不可用。感知层设备大多使用无线通信方式，只要在通信范围内，便可以使用干扰设备对通信信号进行干扰，也可以在感知层设备节点中注入病毒（恶意代码或指令等），这有可能使整个感知层网络瘫痪，所有通信信息都变得无效，或者多个设备频繁的同时发送数据，使整个网络瘫痪。 b)截取：攻击人员使用专用设备获取感知层节点或者簇中的基站、网关或后台系统的重要信息。 c)篡改：非授权人员没有获得操作感知层节点的能力，但是可以对感知层设备通信的正常数据进行篡改，或者使用非法设备发送大量垃圾数据包到通信系统中，把正常数据淹没在垃圾数据包中，使本来数据处理能力就不高的感知层设备节点无法正常的提供服务。 d)假冒：假冒就是使用非法设备假冒正常设备，进入到感知层网络中，参与正常通信，获取信息，或者使用假冒的数据包参与网络通信，使正常通信延迟，或诱导正常数据获得敏感信息。 e)漏洞：近年来黑客利用感知层设备自身漏洞发动网络攻击的事件越来越多，黑客主要通过利用感知层设备软硬件层面和操作系统层面的0day漏洞获取感知层权限，进而由点到面达到控制大量感知层设备的目的。 2.2.2网络层安全威胁 物联网网络层的安全威胁主要来自以下几个方面： a)病毒蠕虫威胁：随着物联网业务终端的日益智能化，计算能力的增强同时也增加了终端感染病毒、木马或恶意代码所入侵的渠道，一旦某一个节点的终端被入侵成功，那么其通过网络传播将变的非常容易，病毒、木马或恶意代码在物联网内具有更大传播性，更高的隐蔽性和更强的破坏性，相比单一的通信网络而言更加难以防范；简而言之，病毒、蠕虫是威胁的实现技术手段，网络层的蠕虫、病毒通常其目的是为了进一步渗透获取漏洞利用，进而实现非法权限获取及数据的非法获取、篡改、仿冒等；或单纯的直接发起攻击，如DoS等。因此，对于网络层的威胁总结包含DoS、窃听、渗透、篡改等； b)承载网络信息传输安全：物联网的承载网络是一个多网络叠加的开放性网络，随着网络融合加速及网络结构的日益复杂，物联网基于无线或有线链路进行数据传输将面临更大的威胁，攻击者可随意窃取、篡改或删除链路上的数据，并伪装成网络实体截取业务数据及对网络流量进行主动与被动分析；对系统无线链路中传输的业务与信令、控制信息进行篡改，包括插入、修改、删除等，攻击者通过物理级和协议级干扰，伪装成合法网络实体，诱使特定的协议或者业务流程失效； c)核心网络安全：未来全IP化的移动通信网络和互联网及下一代互联网将是物联网网络层的核心载体，大多数物联网业务信息要利用互联网传输，移动通信网络和互联网的核心网络具有相对完整的安全保护能力，但由于物联网中业务节点的数量将大大超过以往任何服务网络，并以分布式集群方式存在，在大量数据传输时可能将使承载网络阻塞，产生拒绝服务攻击。另外由于物联网网络应用 的广泛性，不同架构的承载网络需要互联互通，跨网络的安全认证、访问控制和授权管理方面也会面临更大的安全挑战。 2.2.3应用层安全威胁 物联网应用层主要威胁如下： a)身份冒用：由于物联网设备无人值守的特点，这些设备可能被劫持，然后伪造客户端或应用服务器发送数据并执行相关指令。例如针对智能锁，攻击者可伪造用户或管理员进入后台服务器，实现远程开锁； b)应用层窃听/篡改：由于物联网通信需要通过异构、多域网络，其安全机制相互独立，因此应用层数据可能被窃听、注入和篡改； c)隐私威胁：根据隐私数据的类型，物联网隐私可分为3类：一是身份隐私，它关于个人身份、特征、信用状况等；二是数据隐私，是指关于个人的医疗、购物、休闲等过程形成的数据记录；三是位置隐私，是指个人在活动中所出的地点和周围环境信息，例如GPS等，物联网时代下的个人隐私越来越受到关注，物联网大量与个人生活息息相关的摄像头、GPS、各类传感器及RFID设备连接到网络上，如果得不到保护，个人隐私数据必然赤裸裸的暴露于互联网上； d)由于物联网应用层多数位于云端，必然也会面临其他云安全通常的威胁，例如数据泄露、不安全的接口和API、系统漏洞、账户劫持、恶意内部人员等威胁； e)安全意识薄弱：一些企业错误的认为，由于他们的应用跑在云端，保护其应用的安全依靠云平台提供商就可以了，虽然云平台提供商可提供通用性的安全防护措施，但是云端数据备份恢复以及业务自身安全性是用户的主要责任而非云平台提供商的责任。 2.3物联网安全事件 亚马逊智能音箱发生重大监听事故：超千条用户录音泄露。2018年12月20日，德国媒体《c't》报道称，由于亚马逊的人为错误，导致德国一位Alexa 智能音箱用户接收到了1700份的陌生人录音。今年8月，这位用户根据《通用数据保护条例》要求亚马逊提供自己的个人活动语音数据时，没想到对方竟然发来了1700份陌生人录音。 《c't》听取了其中部分录音发现，仅凭这些信息可以“拼凑”出一个人的生活细节和个人习惯。有些录音还有沐浴的声音。《c't》根据这些信息找到了不幸被泄露隐私的两位用户，其中一位表示震惊和愤怒。 智能家居设备部署在私密的家庭环境中，如果设备存在的漏洞被远程控制，将导致用户隐私完全暴露在攻击者面前。智能家居设备中摄像头的不当配置(缺省密码)与设备固件层面的安全漏洞可能导致摄像头被入侵，进而引发摄像头采集的视频隐私遭到泄露。2