物联网安全关键技术白皮书

物联网安全关键技术白皮书 CSA-GCR ©2023云安全联盟大中华区-版权所有1 @2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 致谢 云安全联盟大中华区（简称：CSAGCR）物联网安全工作组在2018年11 月份成立。由余晓光担任工作组组长，工作组现有50多位安全专家们，分别来自华为、国家互联网应急中心、中国信通院、中国电信、中国银联、中国移动、招银云创、中国联通、海康威视、360企业安全集团、麦当劳、京东、奇安信、梆梆安全、吉大正元、启明星辰、绿盟、上元信安、雅培、青莲云、联软科技、易安联等四十多家单位。 本白皮书主要由CSAGCR物联网安全工作组专家撰写，并由CSA专家委员会审核，感谢以下专家的贡献（排名不分先后）： 本白皮书贡献者名单：余晓光刘宇馨任永攀卢佐华姚凯王安宇陈欣炜文黎力刘洪森张赛楠姚博龙杨洪起 贡献单位：华为技术有限公司、奇安信科技集团股份有限公司、OPPO广东移动通信有限公司、北京方研矩行科技有限公司 关于研究工作组的更多介绍，请在CSA大中华区官网（https://c-csa.cn/research/）上查看。 如本白皮书有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱：research@c-csa.cn;国际云安全联盟CSA公众号 序言 未来的世界是一个万物智联的世界，人们的工作生活将无时无刻被各种物联网设备紧密地绑定到一起。可以预见物联网的安全将是未来现实世界的重要组成部分，不仅关乎信息和隐私，更会关乎人民生命财产。 在本次发布的白皮书中，CSA大中华区物联网安全工作组从分析物联网的架构、威胁出发，重点对各种物联网安全技术进行深入剖析，从底层芯片到上层APP测试，涵盖物联网安全的各个方面，希望能够帮助读者快速的掌握在物联网安全中可以用到的各种关键技术，这些技术可以应用到物联网产品或解决方案中，为提升产品或解决方案安全性、保护用户隐私、提升用户体验起到有效作用。本白皮书还对这些关键技术的应用场景做了分析和建议，以帮助读者在实际场景中选择合适的物联网安全技术，更好的发挥技术的能力，创造一个更加安全的物联网环境。 李雨航YaleLiCSA大中华区主席兼研究院院长 目录 致谢3 序言4 1.概述6 1.1.物联网安全概述6 1.1.1.物联网的安全要求6 1.1.2.物联网的安全隐患7 1.2.物联网安全威胁与分析10 1.2.1.安全威胁总体分析10 1.2.2.传感器安全威胁分析10 1.2.3.感知终端设备/网关安全威胁分析11 1.2.4.数据传输中的安全威胁分析12 1.2.5.云端安全威胁分析12 1.2.6.应用安全威胁分析13 2.物联网安全关键技术14 2.1.芯片级安全技术14 2.1.1.可信计算与TPM芯片15 2.1.2.安全启动SecureBoot17 2.1.3.可信执行环境TEE19 2.1.4.内存安全技术21 2.1.5.芯片攻击及对策22 2.2.操作系统级安全技术23 2.3.物联网认证技术30 2.3.1.概述30 2.3.2.终端与云/业务平台认证30 2.3.3.终端与设备/网关32 2.3.4.终端与用户34 2.3.5.终端与APP35 2.4.基于大数据的安全威胁分析35 2.4.1.数据源获取36 2.4.2.数据预处理36 2.4.3.数据存储37 2.4.4.安全分析37 2.4.5.安全可视化40 2.5.物联网轻量级加密技术40 2.6.物联网安全管控技术44 2.6.1.密钥证书管理44 2.6.2.IoT平台安全管理47 2.7.物联网安全测试技术48 2.7.1.硬件接口安全测试技术48 2.7.2应用安全测试技术52 2.7.3通信安全测试技术55 3.物联网安全关键技术应用场景58 3.1.智慧家庭58 3.2.智能穿戴59 3.3.智能抄表62 3.4.智能汽车63 3.4.1.车辆安全65 3.4.2.网络安全66 3.4.3.智能汽车云平台安全67 3.5.智慧工厂68 3.6.平安城市70 1.概述 1.1.物联网安全概述 KevinAshton早在1999年就使用“物联网”（InternetofThings）一词描述一个系统，这个系统中的实体物体可以通过传感器连接到互联网。当时，这样的系统中使用RFID标签技术无需人工干预就可以在互联网上追踪供应链中的物品。随着物联网的发展，不同的组织机构给出了不同的解释和定义。例如，电气和电子工程师协会（InstituteofElectricalandElectronicsEngineers,IEEE）给出的一个定义称“物联网是将可以唯一标识的物体连接到互联网的网络。这些物体具备传感/驱动和潜在的可编程功能，通过利用独特的识别和感知，物体的信息可以被收集，物体的状态可以在任何时间、从任何地方修改。” 从总体上来看，物联网应该具有这样几个特征： （1）联网：无论是否连接到互联网，所有的物联网应该保证物体之间的通讯，或者每个物体都是联网的。 （2）可编程：物联网终端设备是嵌入式设备。无论物联网的应用场景如何，使用的终端是什么品牌型号，所有的终端应该具有一定程度的智能，可以进行编程。这种程序可以是写入内存的固件，也可以是Linux或其他操作系统，甚至是在操作系统上运行的应用。 （3）可采集：物联网设备需要具有感知的能力，对自身的运行，周边的环境参数进行记录。因此物联网中必然会部署大量的传感器，以满足场景感知的要求。 （4）可修改：修改分为两个方面。首先对于内部的固件、操作系统和应用，应该可以进行升级。升级可以是修补程序中的漏洞和缺陷，也可以是提供新的功能或废弃一部分功能。同时，在一定情况下，可以发布指令，对物联网设备进行操控并改变其运行状态。这种操控可以是基于感知的参数达到预先设定的阈值而自动触发，也可以是人为地下达指令，或者二者兼顾。 1.1.1.物联网的安全要求 随着物联网的发展，物联网安全也提上日程。黑客对物联网攻击的目标或是通过直接控制物联网设备达成，或是以物联网设备为跳板攻击其他设备或系统。前一种情况如使用震网病毒（Stuxnet）袭击伊朗的铀浓缩工厂，后者如利用Mirai病毒控制互联网上的物联 网设备（网络摄像头等）构成僵尸网络。有些人更是可以通过分析网络上物联网设备采集的信息发现机密。例如，分析人士通过全球定位系统（GPS）追踪Strava公司发布在网上的全球运动热力地图看到了美军在中东地区和阿富汗驻地的活动路线，暴露了此前从未对外公布过的秘密基地。 各国政府对物联网安全都很重视，2019年5月中国颁布的《等级保护2.0》标准包括物联网的安全扩展要求，针对不同的安全等级给出不同的要求。物联网安全扩展针对感知层提出特殊安全要求，与安全通用要求一起构成对物联网的完整安全要求。美国安全国家标准与技术研究院（NIST）对物联网安全也有专门的项目并发布了相关的指南。 物联网场景对信息安全的要求和传统的互联网存在较大差别。在传统场景下，首要考虑机密性，其次是完整性，最后是可用性。在物联网环境下，优先级发生了变化，可用性的重要性上升。物联网实时采集数据，如果不能实时采集和传输数据，数据将不可使用，在工业场景下这会导致大量次品，在消费品场景下用户会认为系统失效。由于物联网设备功能单一，通常只采集某一种或几种数据，这些数据所揭示的信息有限，基本不涉及机密。因此需要优先考虑数据的可用性，同时还要保证数据的完整性，防止数据被篡改。相比而言，数据机密性的优先级较低。 此外，物联网场景中存在几个特定的信息安全要求。传统信息安全通常是通过用户名密码或其他方式进行身份认证和授权，但是物联网设备没有用户输入界面，大多数时候是持续在线，如何保证采集的数据是从被授权的终端未经篡改地上传是一个挑战。物联网的快速部署以及终端的庞大数量，对于后台如何能稳健支撑物联网系统运行也是一个很大的挑战。某些物联网设备如果处理不当会涉及一些可能带来人身伤害的行为，因此需要考虑的不单单是信息安全，还应包括人身安全、物理安全和隐私保护。 1.1.2.物联网的安全隐患 物联网是一个巨大的市场，目前缺乏统一的标准，存在各种协议和框架。当前使用的框架有： ●OpenHAB(https://www.openhab.org/) ●EclipseIoT(https://iot.eclipse.org/) ●GEPredix(https://www.ge.com/digital/predixplatform-foundation-digital-industrialapplications) ●DistributedServicesArchitecture(http://iot-dsa.org/) ●OpenConnectivityFoundation(https://openconnectivity.org/) 与此同时，物联网所用的协议也纷繁复杂，一些常用的协议有： ●Wi-Fi ●BLE ●Cellular/LongTermEvaluation(LTE) ●ZigBee ●ZWave ●6LoWPAN ●LoRA ●MQTT 上述各种各样的物联网框架和协议导致物联网安全的复杂性。与此同时，物联网市场不够成熟，从业人员安全意识薄弱进一步导致物联网的脆弱性，例如： ●开发人员缺乏安全意识——开发人员通常对IoT设备中可能存在的安全漏洞欠缺必要的知识，缺少可操作的安全策略、要遵循的安全编码准则以及针对安全性的清单。 ●缺乏宏观视野——开发人员或安全团队非常容易忘记设备和各种技术的互连可能导致安全问题。例如，仅查看移动应用程序可能不会揭示安全问题，但是如果将移动应用程序与网络通信结合，可能会发生严重的安全问题。 ●供应链安全——物联网市场存在许多利益相关者，这意味着许多供应商制造的设备其不同组件是由另一供应商制造、组装和分发的，这可能会导致安全问题或后门，从而使整个产品处于危险之中。 ●使用了不安全的框架和第三方库。 与此同时，绝大多数企业仅关心物联网可实现的功能，而对一旦使用不当带来的危害认识不清。常见的问题有： ●从意识上对物联网设备的作用估计不足，认为其就一个简单地数据采集器，没有什么大不了的。 ●对设备疏于管理。设备安装使用后看不见，想不起。一旦部署，放任自流，不管不顾。 ●使用默认的管理员密码。使用供应商提供的默认密码，不作修改。 ●设备不打补丁不升级。 ●对向设备推送的内容不校验。 ●对设备采集的内容不评估。下表列出了物联网面临的常见风险： 安全特性 设备/硬件侧 网络侧 云/服务器侧 机密性 硬件攻击 低计算能力设备的加密 隐私 完整性 缺乏证明，非法升级 低计算能力设备的签名 NA 可用性 物理攻击，无线阻塞 网络不可靠 NA 认证 缺乏用户输入，硬件导出密钥 联合身份认证的挑战 缺乏设备识别实施标准 访问控制 物理访问，缺乏本地授权 访问控制的轻量协议 需要用户管理访问控制 不可抵赖性 没有安全的本地存储，低计算能力设备 低计算能力设备的签名 NA 表1-1物联网面临的常见风险 物联网建设过程中，安全必须与功能同步设计、同步实现。对于物联网技术的风险，一些专业机构进行了深入的探讨，如OWASP的IoT项目就从多个角度进行了分析，很多暴露的问题可以通过一定的技术手段应对。 1.2.物联网安全威胁与分析 1.2.1.安全威胁总体分析 物联网的特点是通过大量感知设备对业务进行数据采集后由终端设备（常见形式是终端设备集成或外挂传感器）或数据归集设备汇总后