2024物联网安全设计指南.docx

《2024物联网安全设计指南.docx》由会员分享，可在线阅读，更多相关《2024物联网安全设计指南.docx（76页珍藏版）》请在课桌文档上搜索。

1、物联网安全设计指南2024目录目录21物联网和体系架构11.1 物联网概念11.2 物联网的体系架构113物联网的标准体系22物联网趋势和安全威胁32.1 物联网发展趋势32.2 物联网所面对的安全威胁和挑战43物联网安全定级建议93.1 定级依据和标准93.2 物联网场景安全定级建议104物联网安全架构104.1 总体安全架构104.2 感知层安全114.3 网络层安全124.4 平台层安全134.5 应用层安全135物联网生命周期安全防护155.1 云端应用生命周期防护155.2 终端生命周期哪166物联网即分SiR和认证216.1终端身份标识216.3密钥三三267物联网安全可信287.

2、1 物联网安全可信体系总体架构28图7-1物联网安全可信体系总体架构图287.2 感知层安全可信2873网络层安全可信317.4 应用层安全可信328网络传输保护338.1 端到端安全传输原则338.2 传新办议保护3483传输加密技术358.4 传输数据完整性369近场通信安全379.1近场无线射频通信技术概述379.2RFlD无线射频安全分析3793NFC技术安全分析389.4无线射频遥控安全分析4110数据和隐私WI4310.1 物联网与隐私和数据保护的关系4310.2 物联网中的隐私保护的关键步骤43103物联网产品设计中的设计隐私保护(PrivacybyDesign)和默认隐私保护(

3、PrivacybyDefault)4811.1 物联网终端定义5011.2 终撇理安全51113终端系统安全5311.4 终端应用安全5411.5 客户端应用安全技术5412云端平台安全5612.1 云端平台架构5612.2 云端平台安全威胁57123云端平台安全解决方案6012.4 云端平台安全认证6212.5 云端平台安全服务6313物联网安全运营6513.1 设备入网检测与退网安全6513.2 物联网安全运营监测与防护6713.3 物联网安全态势感知与预警6814关键业务场景应用指南7014.1 车联网安全7014.2 NB-K)T安全74143无人机案例751物联网概念和体系架构1.l

4、物联网概念物联网是使用互联网连接的物理世界中使用的非传统计算设备的总称。它包括了从互联网支持的运营技术（如电力和水）到健身追踪器、联网灯泡、医疗设备等等。这些技术越来越多地部署在个人和企业环境中，例如：a）企业视频监控和智能安防;b）实体物流的数字跟踪；c）家庭电表、气表、水表读数自动上报；d）为个人提供相关的健康生活的应用。欧洲网络与信息安全署（ENISA）将物联网系统定义为互联传感器和执行器的赛博物理生态系统，可实现智能决策。1.2 物联网的体系架构物联网的体系主要分为感知层、网络层、应用层。平台层为可选，一般与应用层在一起，位于应用层的下面。感知层包含传感器以及相关的传感网络，完成物理世

5、界的数据采集及数据短距离的传输；网络层为感知层向应用层的通信管道,如Wifi、LTE.5G等；应用层负责为用户提供具体服务，可视化呈现从感知层获取的数据信息，以及对数摘言息的处理,它包含App应用、云端服务、计算存储等。除此之外，涉及到物联网的设备如何管理，用户如何管理，数据包如何解析，大数据如何展示等也是物联网模块中非常重要的部分，本文将建构在云端的物联网平台也作为物联网的体系架构中的一层来考虑。1.3 物联网的标准体系物联网总体性标准:包括物联网导则、物联网总体架构、物联网业务需求等。感知层标准体系:主要涉及传感器等各类信息获取设备的电气和数据接口、感知数据模型、描述语言和数据结构的通用技

6、术标准、RFID标签和读写器接口和协议标准、特定行业和应用相关的感知层技术标准等。网络层标准体系:主要涉及物联网网关、短8隅无线通信、自组织网络、简化IPv6协议、低功耗路由、增强的M2M(MachinetoMachine,机器对机器)无线接入和核心网标准、M2M模组与平台、网络资源虚拟化标准、异构融合的网络标准等。应用层标准体系:包括应用层架构、信息智能姐娠术、以及行业、公众应用类标准。应用跳构重点是面向对象的服务架构,包括SOA体系架构、面向上层业务应用的流程管理、业务流程之间的通信协议、元数据标准以及SOA安全架构标准。信息智能处理类技术标准包括云计算、数据存储、数据挖掘、海量智能信息处

7、理和呈现等。共性关键技术标准体系:包括标识和解析、服务质量(QUalityofService,QoS)、安全、网络管蝴术标准。标识和解析标准体系包括编码、解析、认证、加密、隐私保护、管理,以及多标识互通标准。安全标准重点包括安全体系架构、安全协议、涉多种网络融合的认证和加密技术、用户和应用隐私保护、虚拟化和匿名化、面向服务的自适应安全技术标准等。2物联网趋势和安全威胁2.1 物联网发展趋势5G网络促使IoT持续增长：5G几乎可以实时收集、传输、管理和分析数据，从而进一步扩展了物联网市场。对于无人机、无人驾驶等对D向应时i砺口传输速度要求很高的领域，5G更是大有可为，可以发掘物联网的潜能。物联网

8、与人工智能结合：使用物联网设备与技术收集到的数据增长惊人，很多过去不能感知的数据可以通过物联网技术呈现出来。而传统的计算方式已经无法满足数据处理需求。人工智能可用于自动化地数据分析，并且可以更好地进行图像处理、视濒分析,酸堀甫助决策。同时，随着人工智育矫口物联网技术的结合,可以创建出新的应用场景，生产质量管理和尤化能源管理就是其中的几个可行的应安领口合规：物联网产品的安全性不容忽视。在医疗健康、安防、金融等处理榔瞰嬲据白撅域，物联网设施的安全将受三!J更多的关注。各种立法和监管槌型分纷提出勤UIE格的用户:保睇脏，用户白缴掂必将受三度严格的监管。这种监管将会给物联网产业带来挑战。如何合法合规地

9、收集、使甩分享W管理用户期居，仍然是一个不断摸索的过程。边缘计算：主要优势是降低大平台需要存储、分析的幡量；本地计算处理可以利用边缘设备算力，提高缴分析时效性的同时减少云端算力需求同时，边缘计算把大部情黯翻吩析集中在本地，给业务提供了更大的灵活生制造业往往需要实时决策，物流行业常常不能保证网络连通,无人驾驶则两种情况都存在，对于这些行业边缘计算就特别有帮助。2.2 物联网所面对的安全威胁和挑战2.2.1 感知层安全威胁感知层的资源有限,并且大多部署在无人区，运行在恶劣的环境中，因此很容易受到恶意攻击。感知层面临的安全威胁主要有以下5种类型:$干扰：干扰是使正常的通信信息丢失或不可用。感知层设备

10、大多使用无线通信方式，只要在通信范围内，便可以使用节尤设备对通信信号进行干扰，也可以在感知层设备节点中注入病毒（恶意代码或指令等），这有可能使整个感知层网络磁,所有通信信息者陵得无效，或者多个设备频繁的同时发送数据，使整个网络瘫痪。截取：攻击人员使用专用设备获取感知层节点或者簇中的基站、网关或后台系统的重要信息。，篡改：非授权人员没有获得操作感知层节点的能力，但是可以对感知层设备通信的正常数据进行篡改，或者使用非法设备发送大量垃圾数据包到通信系统中，把正常数据淹没在垃殿据包中，使本糕崛处理能力就不高的感知层设备节点无法正常的提供服务。d假冒：假冒就是使用非法设备假冒正常设备，进入到感知层网络中

11、，参与正常通信,获取信息，或者使用假冒自搬据包参与网络通信，使正常通信延迟，或诱导正常数据获得敏解言息。空漏洞：近年来黑客利用感知层设备自身漏洞发动网络攻击的事件越来越多，黑客主要通过利用感知层设备软硬件层面和操作系统层面的Oday漏洞获取感知层权限，进而由点到面达到控制大量感知层设备的目的。2.2.2 网络层安全威胁物联网网络层的安全威胁主要来自以下几个方面：$病毒蠕虫威胁：随着物联网业务终端的日益智能化，计算能力的增强同时也增加了终端感染病毒、木马或恶意代码所入侵的渠道，一旦某一个节点的终端被入侵成功，那么其通过网络传播将变的非常容易,病毒、木马或恶意代码在物联网内具有更大传播性,更高的隐

12、蔽性和更强的破坏性,相匕弹W通信网络而言更加难以防范;简而言之，病毒、蠕虫是威胁蜂现技术手段，网络层的蠕虫、病毒通常其目的是为了进一步渗透获取漏洞利用，进而实现法权限获取及数据的非;燧取、篡改、仿冒等；或单纯的同妾发起攻击，如DOS等。因此，对于网络层的威胁总结包含DoS、窃听、渗透、篡改等；D）承载网络信息传输安全：物联网的承载网络是一个多网络叠加的开放性网络,随着网络融合加速及网络结构的日益复杂,物联网基于无线或有线链路进行数据传?俞将面I缶更大的威胁，攻击者可随意窃取、篡改或删除链路上的数据，并伪装成网络实体截取业务数据及对网络流量进行主动与被动分析；对系统无线链路中传输的业务与信令、控

13、制信息进行篡改，包括插入、修改、删除等，攻击者通过硼三级和协议级干扰，伪装成合法网络实体，诱使靛的协议或者业务漏跌效；i核心网络安全：未来全IP化的移动通信网络和互联网及下一代互联网将是物联网网络层的核心载体，大多数物联网业务信息要利用互联网传输，移动通信网络和互联网的核心网络具有相对完整的安全保护能力，但由于物联网中业务节点的数量将大大超过以往任何服务网络，并以分布式集群方式存在，在大量数据传输时可能将使承载网络阻塞，产生拒绝0艮务攻击。另外由于物联网网络应用的广泛性，不同架构的承载网络需要互联互通，跨网络的安全认证、访问控制和授权管理方面也会面临更大的安全挑战。2.2.3 应用层安全威胁物

14、联网应用层主要威胁如下：币身份冒用：由于物联网设备无人值守的特点，这些设备可能被劫持，然后伪造客户端或应用服务器发送数据并执行相关指令。例如针对智能锁，攻击者可伪造用户或管理员进入后台服务器，实现远程开锁；应用层窃听/篡改：由于物联网通信需要通过异构、多域网络,其安全机制相互独立，因此应用层数据可能被窃听、注入和篡改；，隐私威胁：根据隐私数据的类型，物联网隐私可分为3类：一是身份隐私，它关于个人身份、特征、信用状况等；二是麴坪绑，是指关于个人的断、购物、休闲等过程形成的翔居记录；三三位H隐私，是指个人在活中所出的地帚口周围环境信息，例如GPS等，物联网时代下的个人隐私越来越受到关注，物联网大量

15、与个人生活息息相关的摄像头、GPS,各类传感器及RFlD设备连接到网络上，如果得不到保护，个人隐私数据必然赤裸裸的暴露于互联网上；4由于物联网应用层多数位于云端,必然也会面Il缶其他云安全通常的威胁,例如数据泄露、不安全的接口和API、系统漏洞、贝妒劫持、恶意内部人员等威胁；6安全意识薄弱：一些企业错误的认为，由于他们的应用跑在云端，保护其应用的安全依靠云平台提供商就可以了，虽然云平台提供商可提供通用性的安全防护措施，但是与惴备份恢复以及业务自身安全性是用户的主要责任而非云平台提供商的责任。2.3 物联网安全事件亚马逊智能音箱发生重大监听事故：超千条用户录音泄露。2018年12月20日,德国媒

16、体ct报道称,由于亚马逊的人为错误，导致德国一位AIeXa智能音箱用户接收到了1700份的陌生人录音。今年8月，这位用户根据通用数据保护条例要求亚马S!提供自己的个人活动语音数据时，没想到对方竟然发来了1700份陌生人录音。dt听取了其中部分录音发现，仅凭这些信息可以拼凑出一个人的生活细节和个人习惯。有些录音还有沐浴的声音。7根据这些信息找到了不幸被泄露隐私的两位用户,其中一位表示震惊和愤怒。智能家居设备部署在私密的家庭环境中，如果设备存在的漏洞被远程控制，将导致用户隐私完全暴露在攻击者面前。智能家居设备中摄像头的不当配置（缺省密码）与设备固件层面的安全漏洞可能导致摄像头被入侵，进而引发摄像头

17、采集的视频隐私遭到泄露。2017年8月，浙江某地警方破获一个在网上制作和传播家庭摄像头破解入侵软件的犯罪团伙。查获被破解入侵家庭摄像头IP近万个，获取大量个人生活影像、照片，甚至个人私密信息。2017年2月28日安全专家TroyHunt曝光互联网填充智能玩具CloUdPetS傣迪熊）的用户数据存储在一个没有任何密码或防火墙防护的公共数据库中，暴露了200多万条儿童与父母的录音，以及超过80万个帐户的电子邮件地址和密码。利用设备漏洞控制物联网设备发起流量攻击，可严重影响基础通信网络的正常运行。物联网设备基数大、分布广，且具备一定网络带宽资源，一旦出现漏洞将导致大量设备被控形成僵尸网络，对网络基础

18、设施发起分布三施绝S艮务攻击，造成网络堵塞甚至断网瘫痪。2016年10月21日，美国域名服务商Dyn遭受到来自数十万网络摄像头、数字录像机设备组成的僵尸网络高达620G流量的DDoS攻击，导致美国东海岸大面积断网，Twitter.亚马逊、华尔街日报等数百个重要网站无法访问。同年，德国电信遭遇网络攻击，超90万台路由器无法联网，断网事故共持续数个小时，导致德国电信无法为用户提供正常网络服务。3物联网安全定级建议3.1 定级依据和标准本指南所编写的物联网安全定级依据和标准参考了目前业界的主流方法，将物联网场景中受侵害客体分为公民、法人和其他组织的合法权益以及社会秩序、公共利益，受侵害程度分为一般侵

19、害、严重侵害、特别严重侵害。安全等级与受侵害客体、受侵害程度关系如下表所示。受侵害的对客体的侵害程度客体一般损害严重损害特别严重损害公民法人和其他组织的合法权益等级一等级二等级三社会秩序.公共利益等级二等级三第四级表3-1物联网场景CIA（可用性/机密性/完整性）要求不同，本指南根据不同设置的CIA和物联网场景的定级参考要求如下表：可用性机密性完整性等级HLL/N2LLL/N1表3-23.2 物联网场景安全定级建议每种场景的物联网产品的安全级别不同，厂商可以根据上一小节的物联网安全定级标准来评估本身应该具备的安全级别。物联网系的口物联网终端应当有不同的定级标准。物联网终端由于功能和部署位置不同

20、，对定级要求不同，应当采取简化的定级和认证手段。一款设备应该当有入网级别的认证，这个认证是设备基础定级认证。当此设备被用于更高保护等级网络中，应该提高安全级别，通过相应的终端级别认证。比如智能家居产品一般是等级为1或者2,但如果部署此产品的建筑或者建筑里面的用户本身是高安全价值目标，容易被APT攻击盯上。使得智能家居产品安全性无法满足新的安全需求，需要提升物联网安全等级。如用户使用运动手环进行运动，上传运动数据但包含了GPS位置，就会造成风险。在2018年4月,StraVa发布的热图中暴露了美军多个海外军事基地。充分说明了同一款I。T设备随着用途而需要不同的安全等级。反之过分提高设备安全等级又

21、会提高准入门槛，不利于物联网产业健康发展。4物联网安全架构4.1 总体安全架构物联网的安全架构可以根据物联网的架构可分为感知层安全、网络层安全、平台层安全和应用层安全。如下图所示：访问控制WEB应用 安全图4-14.2 感知层安全感知层包括物联网感知终端设备，在物联网中主要负责感知外界信息，包括和识物将。麟口层的设备终频量种类众多，功能从简单到丰富，状态或联网或断开，呈现多源异构性。由于大部分的终端设备通常功能简单，存储、计算能力较弱，其上部署的安全措施较少，且解口终端设备多部属于无人值守环境中,面临较为复杂的安全威胁。因此感知端的安全架构需统筹考虑其计算、通信、存储等资源,在以下方面实现其安

22、全设计：a）物理安全：需要保护终端的部署安全以及从物理上对感知设备的篡改，在遭受物理攻击时，确保终端设备在被突破后其身份、认证以及账户信息相关的重要数据不会被攻击者利用；b）接入安全：需要确保感知终端在接入时经过严格的标识和认证，防止伪造和假冒；c）硬件安全：感知终端设备需要确保身份、认证以及账户信息等重要数据的存储安全；d）通信安全：感知终端需采取安全的通信传输协议，确保身份、认证以及其他重要数据在传输过程中不被恶意攻击和泄露；e）操作系统安全：感知终端需采取措施确保设备固件完整真实，满足访问控制、日志审计、接口安全、失效保护等安全要求；4.3 网络层安全网络层是连接感知层和平台及应用的传输

23、通道，主要包括WiFLZigBee.蓝牙、红外、移动通信网等传输接入网以及以IPv46为主的核心网络。由于感知层的传输网络多样化,因此网络层需要将多种传输网络进行融合,因此多采取多网络叠加的开放性网络，其通信传输比传统网络更为复杂，协议破解、中间人攻击等威胁出突出。因此在网络层安歌构设计上需考虑：a）通用网络安全：网络层需考虑与终端的相互认证方式，确保终端接入安全，同时具备访问控制等安全措施；b）传输安全：网络层需采取加密措施确保通信网络数据的机密性和完整性,防止通信数据发生劫持、重放、篡改和窃听等中间人攻击；c）网络攻击防护：网络层需考虑病毒传播、DDoS等网络攻击行为，确保接入网及核心网的

24、安全可靠；需要通过协议健上性测试保障开放的协议和端口能抵御畸形报文攻击；d）协议融合安全：作为多网络融合的开放性网络，网络层需要考虑异构网络间信息交换的安全。4.4 平台层安全平台层主要提供为感知层终端提供设备管理，数据管理、分析和反馈等服务，也具备翔居才魂、决策等重要功能。平台层融合云计算、梯据多种先撒术，在进行大规模、分布式、多业务管理时,设计上需考虑：a）平台基础环境安全:需关心承载平台层的云计算平台等基脚梗的安全，考虑硬件环境、虚拟化、稳定性、漏洞防护等安全问题；b）接入安全：需要具有可靠的密钥管理机制，从而对实现并支持用户、设备接入过程中安全传输的能力，并能够阻断异常的接入；c）数据

25、安全：需考虑平台所传输和存储的物联网数据完整性、保密性和不可抵赖性；d）接口安全：需考虑平台对外提供API服务的安全性,确保APl不被非法访问和非法数据请求，防止通过API过度消耗系统资源。4.5 应用层安全应用层主要对平台局是供的数据进行分析处理,面向用户实现具体业务功能，需考虑：a）身份认证：需考虑应用用户的身份认证，防止身份伪造，确保用户仅访问其授权的资源；b）访问控制：需考虑用户与系统资源的访问策略，严格限制用户访问的系统权限；c） WEB应用攻击防护：需考虑WEB应用可能面临的SQL注入、酚占脚本、信息泄露、恶意代码等攻击行为；d） APP安全:需综合考虑APP面临的移动安全问题,包

26、括不安全传输、信息泄露、反编译等攻击行为。5物联网生命周期安全防护5.1 云端应用生命周期防护安全漏洞本质上是软件质量缺陷，安全性是软件质量的重要组成部分。在国际上，有很多软件开发质量方面的最佳实践，SDLsecuritydevelopmentlifecycle（安全开发生命周期），是微软提出的从安全角度指导软件开发过程的管理模式。SDL是一个安全保证的过程，其重点是软件开发，它在开发的所有阶段都弓I入了安全和隐私的原则。本节针对云端应用系统应当遵循的应用开发安全标准进行了规范性说明，旨在指导应用系统设计人员、代码开发人员和安全检查管理人员进行应用安全开发的安全配置，以提高应用系统的安全防护能

27、力。只有将安全融入到整个应用开发流程中,执行到位，才能保障产品的安全能力及落地。一个在完整的应用安全开发过程，应该包括如下几个阶段：a）安全需求b）安全设计c）安全开发d）安全测试e）安全交付和维护图5-1在这几个阶段中，应注重W实安全需求分析、威胁分析、安全设计活动，使产品在设计阶段落实相关安全需求，保障产品的安全能力。5.2 终端生命周期防护一个物联网设备的完整生命周期包括了设计、开发、测试、投产、运营几个阶段。物联网设备的研发需求通常来自业务的自动化或业领艇的采集，往往设计生产后会在很长一段时间内处于无人维护的环境，导致物联网设备容易被非使用人员接触甚至破坏,也很难通过巡检的方式来保障安

28、全。所以要保持物联网设备的相对安全,就需要从设计阶段开始尽量针对设备投产后面雌威胁进行针对性的安全机制引入。5.2.1 开发安全在设备的设计和开发阶段主要需要解决以下几个安全问题：a）硬件安全硬件安全包括模组选型、防拆卸设计及能量攻击防护。模组选型，从安全上需要避免选择已知具有硬件漏洞的模组，避免选择模组固件具有已知漏洞的模组版本。防拆卸设计，在物理设计上需要尽量增加通过物理方式接触硬件调试接口，包括直接对关键模组、芯片通过飞线等方式进行物理破解的难度。对关键重要的物联网设备，如果条件允许，可以考虑增加物理拆卸感知上报的机制。b）代码及供应链安全代码安全，主要指对物联网设备进行业务开发时开发人

29、员的代码规潮口通过代码检查工具对编写完成的代码进行静态、动态的检查，尽早发现代码层面的缺陷、漏洞。软件供应链安全，开发人员在进行业务开发过程中为了节省开发时间、提高效率会引入一些开源或成熟的软件包、资源库等。为了避免引入的软件包或资源库存在安全漏洞，需要在开发过程中使用相关的安全检查工具对代码引入的软件包、资源库进行定期检查。5.2.2 设备安全a）安全启动在设备启动至业务流程执行过程，需要确保执行环境的安全：具备通过难以篡改的信任根对固件进行完整性验证。启动代码自身需要具备完整性校验。业务关键流程和重要数据需要采用加密方式存储在专用安全存储区。设备上需要具备独立安全运行空间,确保关键进程难以

30、被篡改。b）设备状态监控设备投产使用过程中，需要对关键信息进行采集并上报：设备存活状态。物联网设备应当具备定期对管理平台报活的机制。设备启停事件。物联网设备启动停止事件对于非法移动或仿冒的判断属重要信息，应当上报管理平台。设备网络异常事件。如设备网络地址变更或活跃网络接口数量变更。传感器状态。对于终端连接的传感器,设计时应当考虑传感器状态判断,并在应用或系统层面对传感器状态进行上报。设备拆卸告警。对于设计了防拆告警的终端设备，此类事件信息应当作为重要告警上报。用户登录。在系统层面，用户登录往往意味着此时操作人员已经获取了系统权限，已经超出了应用访问的层面。进程启停。对于高级设备而言，系统中运行

31、了哪些进程，以及各进程的启动、停止的生命周期可以准确的还原系统上某T寸间段内的行为，对于威胁分析以及安全事件溯源分析十分有用。条件允许的话应当对进程的调用关系同样进行采集、上报。系统对外提供的服务以及对夕国放的端口。系统关键设置被改变。设备网络访问。设备上对网络访问进行采集、上报,可以使得管理平台结合网络流量威胁分析时可以快速发现威胁并且进行准确定位。对于在网络中横向渗透的威胁行为具有很好的追踪溯源效果。c）安全防护设备安全防护主要指针对物理接触或远程入侵等手段的一些防护措施：侧信道攻击防护。对于非接触式能量或电磁攻击，设备的关键芯片或重要电路部分需要具备一定的电磁屏蔽措施。物理调试接口防护。

32、开发完成后两场设备应当屏蔽JTAG等硬件调试端口,或设计特殊访问方式,防止固件被逆向。物理外设接口防护。设备投产后应当确保除业务必须的外设接口外的其他接口处于禁用状态。系统漏洞修补。对于运行通用操作系统（如标准LinUX、标准AndrOid）的高性能物联网设备，通常因完整固件较大整体分发对于流量占用巨大,故需具备对系统濡同及运行在设备上的特定程序进行打补丁方式修复的能力。固件更新安全通道。对于固件分发通道,应当至少采用HUPS等加密传输的方式对传输内容进行加密。高性能设备可以通过专用防护软件增强对终端DNS劫持、中间人劫持等攻击手段的检测与防御机制。固件更新防护。远程更新固件时需要对固件来源及

33、完整性校验的机制。固件更新失败时应当邱，并且尽可能保持业务可用的同时具备拒绝刷入非法固件的机制（如只允许刷入与固件更新前具有同样完整性校验特征码的特定版本固件I应用升级防护。需要具备对需升级应用进行来源校验和完整性校验。升级过程需要用户授权且升级失败具备将应用回滚至升级前状态的能力，同时将升级相关日志上报。恶意行为上报。可以对设备应用的异常行为或经过检测确认为恶意行为的事件进行上报。如可以进一步响应处置更佳。5.2.3 安全运维物联网网络环境复杂，海量设备离散部署、网络异构、设备碎片化等特点，对设备的集中管理、数据分析威胁发现都朝俄。为确保设备生命周期内的可安全可控应当针对安全运维做好以下几点

34、：设备安全信息采集能力。设备端关键状态及行为信息是做好安全大数据分析的重要基础，设备端需要采集上报的相关信息内容请参考设备安全2、3两节内容。b）海量大数据分层处理集中分析的能力。物联网设备数量巨大，传统的集中式数据处理分析不光对大数据处理平台形成技术压力，同时增大了系统对于安全事件的发现-响应闭环时间导致数据时效性差，威胁处置不及时的问题。利用机器学习、AI智能、区块廨Kfi缘计算等新技术将海量期鄙处理分层化，将威胁发现与处置能力边缘化，有助于解决以上问题。O安全能力边缘化的安全架构。安全能力边缘化可以缩短安全响应闭环，提高数据时效性和威胁识别准确率。故此，对于高性能设备，可以通过软、硬件的

35、方式预制安全模块，对于NB等低性能设备建议提高接入侧设备安全能力。ci）动态直观的安全可视化平台。安全运维人员对于海量设备、海量日志的分析已经不可能再像传统安全一样简单的通过人工对全网设备重要日志进行筛选、过滤来发现威胁。结合梯艇和威胁情报的自动化、协同化的机制结合物联网设备业务需求建模后通过多种安全维度以直观可视化的方式对物联网安全态势的展示可以极大的满足安全运维人员的需求。6情报驱动的安全协同通道。威胁情报作为大数据时代重要的安全信息交换手段，实现了人、机协同,提高了安全事件响酬率。所以物联网安全运维平台需要具备与安全服务商提供的威胁情报同步的能力。D贯穿始终的专业服务。运维是永远不会10

36、0%被自动化的服务，运维的成果取决于运维人员与相关工具的协同。建立专业的安全运维团队或聘请专业人员提供服务将是物联网时代安全运维的新需求。6物联网身份标识和认证物联网设备的身份标识和认证对物联网安全具有重要意义。在物联网应用系统和网络接A都需要依赖身份标识和身份鉴SU,确保IE确的设备接入正确的网络,传输正确的数据，执行正确的动作。各类感知终端和接入设备在接入网络时应具备唯一标识；设备必须能够证明其唯一身份，并运用这一身份与服务器或其他设备之间建立安全通讯。网络和应用对各类感知终端接入行为具有身份鉴别机制；在终端接入网络时，终端需要对网络进行认证，网络也需要对终端接入认证。终端向应用系统发送数

37、据瞬受数据国旨令时，需要对应用系统进行JNE应用系统也需要对统给法性进行蜒6.1 终端身份标识身份标识需要在设备生命周期的起始阶段就建立,譬如工厂制造阶段，就与安全E进行合作,通过注册将设备的唯一标识和相关密钥灌入三J设备中的安全存储区域。应建立规则以识别使用相同身份凭证进行身份验证的设备,这可能表明存在安全隐患,应进行检测并修复问题。6.2 身份认证使用密码认证的，应审计WR别包含默认密码的设备,在部署时立即改变这些密码（最好是在国妾到网络之前）。识与其他设备共享密码的设备并立即改变这些密码。识共享园呈访问密钥的设备并根设备唯T份臧进行密码更新。使用数字证书进行身份认证的，应建立管理设备证书

38、的安全更新和信任锚的流程并获取相关技术，尽可能选择自动更新方式。限制授权管理员访问来更新设备信任锚。建立证书管理政策。定义在提供证书前验证设备身份的最低要求（登记）。设备识别验证应该基于（a）现场审查,或（b）在已有的关键材料基础上（例如由制造商）自动提供。建立包括证书更新在内的自动化证书流程。证书的寿命不超过三年。制造商嵌入的设备身份证书没有过期时间，但这些证书只能用于建立短期证书。身份认证包括终端身份认证、解口层网关身份认证以及通信网接入系统身份认证。6.2.1 终端身份认证a）身份认证鉴别机制终端应能向接入网络证明其网络身份，至少支持如下身份认证机制之一，建议采用推荐的身份认证机制。基于

39、网络身份标识的认证基于MAC地址的认证基于对称密码机制的认证（推荐）基于非对称密码机制的认证（推荐）b）认证失败处理机制终端应具备设置鉴权失败告警产生的频度门限以及相应的处理机制，如当超过设定的认证失败次数后终止访问，并在一定的安全事件间隔后才能恢复。c）操作系统用户身份认证具有操作系统的终端，应提供对终端的操作系统用户的身份认证机制。使用用户名和口令认证时，口令应由字母、数字及特殊字符组成，且长度不小于8位。具有执行能力的终端应能鉴别下达执行指令者的身份。d）访问控制具有操作系统的终端应能控制操作系统用户的访问权限。具有操作系统的终端，操作系统用户应仅被赋予完成任务所需的最小权限。终端应能控

40、制数据的本地或远程访问。终端应提供安全措施控制对其的远程配置。终端系统访问控制范围应覆盖所有主体、客体以及他们之间的操作。禁用闲置的通信三口，包括但不限制：USBQUART串口、SPLRS-485、以太网口、光纤口、CAN、ModBUS等。必要的时候可以增加其他的限制，例如地理围栏系绮口时间限制系统。e）物联网设备使用IEEE1609.2证书时，可以将身份验证凭据绑定到授权使用这些凭据的特定应用程序。如果使用正EE1609.2证书，请指定应用程序唯一标识符,并在IEEE1609.2SSP/PSID位中使用。当进行授权决策时验证SSP/PSID字段。f）禁用未认证的蓝牙进行配对（例如，直接连接6

41、.2.2感知层网关身份认证感知层网关的身份认证，包括麟口层网关南向对魁端所需要西寺的身份认证机制以及本身的身份认证机制。（一）南向对接终端所需要支持的身份认证机制a）终端接入认证保证对感知终端标识的感知层网关生命周期内的唯一性。提供对终端身份认证的机制。对基于口令的鉴别，提供t佥测已失效的或复制的口令数据重放的安全机制。提供防暴力破解机制，如当超过设定的认证失败次数后终止终端的访问，并在一定的安全事件间隔后才能恢复。b）网络访问控制支持访问控制表（ACL）等访问控制策略，防止资源被非法访问和非法使用。控制相同网络内部的相互访问。控制不同网络之间的跨网访问。访问控制的覆盖范围应扩展到访问相关的主

42、体、客体以及他们之间的操作。支持黑名单、白名单机制。能够控制终端访问数量。（二）感知层网关本身所需要具备的身份认证机制a）感知层网关身份认证b）感知层网关用户访问控制控制感知层网关用户的访问权限，并避免权限扩散。仅赋予感知层网关完成任务所需要的最小权限。控制数据的本地或远程访问。提供安全措施对感知层网关进行远程配置。控制范围应覆盖所有主体、客体以及他们之间的操作。6.2.3通信网接入系统身份认证本章节主要关注通信网接入系统的身份认证，包括通信网接入系统本身的身份认证机制以及感知层接入实体的身份认证机制。（一）通信网接入系统身份认证机制a）接入实体接入认证（含终端以及感知层网关，至少两种方式）基

43、于接入实体标识和接入口令的单向认证基于预共享密钥的单向或双向认证基于公钥基础设施的接入认证b）认证失败处理机制当认证应答超过规定时限时，接入系统应能终止与待接入的接入实体之间的当前会话。提供防暴力破解机制，在经过一定次数的认证失败以后，接入系统应能终止由该接入实体发起的建立会话的尝试，并在一定的时间间隔后才能允许继续接入。c）访问控制通过ACL方式控制感知层接入实体对通信网的访问。支持制定和执行访问控制策略的功能,访问控制策略可以是基于IP地址及端口、用户/用户组、读/写等操作、有效时间周期、敏感标记等的两种及以上构成的组合。支持白名单，限制接入实体对通信网的访问。（二）感知层接入实体身份认证

44、机制a）接入实体认证支持功能基于接入实体标识和接入口令的单向认证基于预共享密钥的单向或双向认证（预共享密钥，是物联网实体设备之间进行保密通信的初始密钥）基于公钥基础设施的接入认证提供实体标识、接入口令等的存储以及管理功能b）接入实体访问控制提供ACL列表实现访问控制。支持基于接入实体用户/用户组的访问控制，并部署用户访问控制策略。6.3密钥管理密钥管理是物联网安全非常重要的一环。应建立物联网系统的密钥管理流程，至少包括密钥生成、密钥派生、密钥建立/传输、密钥存储、密钥生命期和密钥归零/销毁。假设设备有足够的熔随机源，只要有可能，密钥应该在设备上生成如果使用中央密钥生期口分发则需要有安全的传输机

45、制用于传三密钥材料（包括以带外方式传递）。对于传统网络，如互联网和移动通信网络，终端的差异性不大，并且对计算资源限制不大，因此选择的密钥管理方案较多。但对于物联网网络而言，终端硬件存在巨大的差异性,存在大量彳氐功耗嵌入式的产品类型，这就对物联网密钥管理方案提出了更多的挑战。所以物联网密钥管理主要面临两类问题：一是如何匹配物联网终端系统及其协议的多样性。二是如何解决密钥管理层面的问题。以下是密钥管理建议：a）密钥生成:物联网平台应具备算法动态生成密钥的能力，并且算法有非常高的安全性。b）动态密钥：无论采用对称加密或者非对称加密算法，保证每台物联网终端都有属于自己的唯一密钥。每次建立会话都可以更新

46、密钥、从而在逻辑上形成通信隔离。c）加密方式：根据终端应用场景和对资源的敏感程度,提供不同的对称或者非对称加密算法。d）密钥存储：密钥可以存储在物联网设备的FLASH中，也可以只存放在内存中。安全级别较高的设备可以把密钥存储在SE芯片中。e）密钥备份：备份保存可以分为三种方式。密钥托管备份、密钥分割备份、密钥共享方式备份。f）密钥生命周期：密钥管理系统中,应该具备对终端密钥生命周期管理的能力。g）建立策略确保私钥不会跨多个设备或组共享。在密钥派生时尽可能采用前向保密性（如不使用静态机制）。密钥应该存储在f且件（软件或硬件）中,限制未经授权的角色访问密钥。密钥的生命期在可能的情况下不超过三年,理想情况下只有一年。同时可以依据策略通过云端进行自动密钥更新机制（如轮换或派生）。h）为物联网设备和服务建立专门的密钥管理用户组用于密钥管理安全配置。i）建立安全地引导物联网设备接入网络的流程。优先使用能够零接触的物联网设备，因为这些设备预置了画物游商的证。零撕邮,需要T可信的、带外过程加载提供的序列号和设备的公钥配置。如果零接触不可用，在网络上部署设备之前建立一个可信的设施登记设备序列号和预加载的身份识别/密钥/证书。所有帐户的注册和更新命令都需要采用加密机制。7物联网安全可信7.1 物联网安全可信体系总体架构物联网分为感知层、网络层、平台层和应用层,构建物联网安全可信体系需重点解决边缘侧