物联网终端安全能力研究

物联网终端安全能力研究 

林美玉   王亚忠 

（中国信息通信研究院安全研究所，北京 100191）

摘要：随着5G正式商用，物联网进入高速发展期，物联网终端数量也呈现指数级增长，随之而来的物联网安全问题也越来越引发关注，物联网终端因为结构简单、数量庞大、无人看守等问题成为物联网中被攻击的主要对象。针对物联网终端特点，介绍了物联网终端的基本架构，指出物联网终端面临的安全风险，并且针对不同风险提出物联网终端不同模块应该具备的安全能力。 

关键词：物联网终端；终端架构；安全风险；安全能力 

1   引言

1999年，美国麻省理工学院教授Ashton首次提出物联网的概念中只涉及RFID技术的简单终端；2005年，ITU发布《ITU 2005互联网报告摘要：物联网》（《ITU INTERNET REPORTS 2005 EXECUTIVE SUMMARY:The Internet of Things》），重新定义了物联网的概念并且扩展了物联网终端的范围，如传感网技 术、智能器件、纳米技术和小型化技术的终端^[1]。IDC预计，2020年物联网终端（如智慧城市、智能家居、工 业物联网等终端设备）数量将从2014年的1030 万种增至2950 万种。GSMA预测，到2025年，全球物联网终端数量将达到252 亿^[2]。 

随着物联网终端种类和数量指数级的增长，越来越多的物联网终端安全问题逐渐暴露出来。例如，非法控制海量物联网终端形成僵尸网络进而进行拒绝服务攻击；利用终端自身漏洞控制终端进行非法操作；窃取终端数据造成个人隐私数据泄露等。物联网终端安全事件已经对公众生命财产安全、网络基础设施、社会稳定和国家安全形成重大威胁。亟需对物联网终端架构进行全面分析研究，并针对物联网终端不同模块面临的典型风险，提出终端不同模块应具备的安全能力。

 2   物联网终端架构 

物联网终端架构分为必选模块和可选模块，必选模块包括传感器、硬件接口、通信模块、数据模块；可选模块包括安全模块、操作系统、应用软件。 

（1）传感器：能感受规定的被测量并按照一定的规律转换成可用信号的器件或装置，通常由敏感元件和转换元件组成，如射频识别（RFID）、红外感应器、全 球定位系统、激光扫描器等信息传感设备。

（2）硬件接口：指物联网终端暴露在外部的硬件接口，包括但不限于USB接口、JTAG、串口、RJ45接口。

（3）通信模块：主要通过蜂窝移动通信网、非蜂窝移动通信网两大类无线通信手段，直接或者通过网关间接连接到核心网络负责物联网终端和服务端的数据传输的模块。其中，蜂窝通信模块主要包络NB-IoT、eMTC；非蜂窝通信模块主要包括LoRa、Wi-Fi、蓝牙、ZigBee。 

（4）数据模块：该模块贯穿所有的物联网终端模块，依靠传感器硬件进行数据收集，依靠通信模块进行数据传输，依靠软件应用模块进行数据处理和分析。数据模块包含硬件的参数数据、操作系统的系统数据和配置数据，以及软件应用模块的应用服务数据等。

（5）安全模块：实现物联网终端的身份认证，以及控制端（平台应用、网关、客户端APP）的控制指令有效性验证等安全功能。 

（6）操作系统：运行在物联网终端上，是整个物联网终端的大脑，对物联网终端进行控制和管理，向上承载应用程序，向下承接底层资源调用和管理。 

（7）应用软件：建立在物联网终端操作系统之上，为终端提供丰富的对外功能，除了提供必要的业务功能外，也会临时存放敏感数据，同时还会根据版本迭代不断更新升级。 

3   物联网终端面临的安全风险 

3.1   硬件安全风险

（1）终端硬件结构简单，安全能力薄弱。因为成本原因，很多物联网终端结构简单。例如，智慧农业、 工业物联网应用场景，这些场景的终端主要结构就是各类传感器，有些终端甚至不具备基本的身份校验、加密完整性保护安全能力。另外，采用RFID、NFC技术的物联网终端结构也很简单，极易被窃取信息，进行非法操作、非法交易等。

（2）终端数量庞大，多数终端无人值守。智慧城市、智慧家居场景的物联网终端结构相对复杂，但是由于终端数量极其庞大，一旦被攻击者非法控制，很容易形成大面积的僵尸网络，进而进行DDoS攻击。智慧家居由于与公众直接接触，一旦被攻破会直接造成公众的隐私泄露、财产损失等。智能摄像头、智能井盖等终端无人值守，暴露在外的硬件接口容易被攻击者直接利用，终端也容易被直接破坏。 

3.2   软件安全风险 

（1）终端操作系统、软件本身存在漏洞。一些复杂的物联网终端包括操作系统以及应用软件，多数终端出厂以后从入网到报废整个周期没有操作系统补丁升级、软件升级的过程，针对开源的操作系统，容易被黑客利用系统本身存在的漏洞。操作系统一些接口（Telnet、SSH、FTP等）没有默认关闭，也容易被攻击者利用进行非法操作。

（2）终端接入方式多样，缺乏统一接入认证流程。物联网无线接入方式主要分为授权、非授权两种。授权接入包括eMTC和NB-IoT，该类物联网终端无论是接入认证还是加密完整性保护都是在基础电信企业移动网络中验证过的，安全能力可靠。非授权接入主要包括LoRa、ZigBee、Wi-Fi和蓝牙，此类接入方式没有统一的接入认证标准流程，都是采用自有协议的认证流程，攻击者会利用不同协议的漏洞进行攻击。 

3.3   数据安全风险

（1）密钥等系统信息没有加密存储。由于部分物联网终端结构简单，不支持复杂的加密算法，密钥等系统关键信息没有加密存储或者采用的加密算法相对简单，攻击者获取到密钥或者关键信息后会直接进行非法操作。还有一些终端的密码没有采用复杂密码规则或者使用系统默认的简单密码，攻击者登陆到终端系统后可以直接控制终端，进而控制大量终端进行DDoS攻击。

（2）用户数据泄露危害大。摄像头、智能门锁等物联网终端直接接触公众，终端使用过程中产生的数据涉及公众的隐私，无论是终端中存储的用户数据还是用户在使用数据过程中的传输数据，一旦泄露会直接对公众的生命财产造成重大威胁。

（3）数据源污染。随着物联网终端设备应用越来越广泛，必定会产生海量的数据，针对物联网数据源的管控非常必要，数据源头一旦异常，比如智能电表数据异常，就会对个人的财产安全造成损害。智慧城市、智慧农业等应用如果数据源出现问题，针对数据源进行的大数据分析结果就会出现偏差甚至错误，会严重威胁社会稳定、国家安全。

 4   物联网终端不同模块应该具备的安全能力

4.1   硬件安全能力要求 

物联网硬件应该具备防硬件拆除的安全能力，终端如果检测到正在遭受非法拆除，应该具备预警能力。终端应禁止感知终端闲置的外部接口（USB、串口，JTAG、RJ45接口等）；验证连接设备的调试/通信接口时，密码不能为弱口令，应存在连接超时检查机制、接口自动锁定机制。通信模块应使用加密算法和完整性保护算法保证通信的加密，避免侧信道攻击。蜂窝通信模块应具有不可更改的设备IMEI号，为了避免2G伪基站 攻击，以及3G网络逐渐退网，建议采用4G/NB-IoT/eMTC网络，避免使用2G/3G网络。BLE 4.2版本及以上的模块应使用低功耗安全连接（LE Secure Connections）功能。ZigBee模块应使用访问控制模式或安全模式进行通信，不能使用非安全模式进行 通信。

4.2   软件安全能力要求 

4.2.1   操作系统安全能力要求 

（1）物联网终端操作系统应该具备账户管理安全能力，比如对用户进行身份鉴别、提供用户账户的分级管理（管理员、维护员、访客等）、禁止业务需求以外的端口（Telnet、SSH、FTP、SFTP等）、单点登录控制、锁定长时间无操作用户等。 

（2）物联网终端操作系统应该具备资源访问控制安全能力，比如设置系统中客体（文件、文件夹、进程等）的访问属性、访问控制属性应包含读、写、执行等访问权限设置。

 （3）物联网终端操作系统应该具备安全审计能力，比如为操作系统事件生成审计记录，事件包括系统 运行记录、系统更新升级记录、报警记录、操作日志、网络流量记录、用户行为记录、配置信息等。审计记录应包括日期、时间、操作用户、操作类型等。 

（4）物联网终端操作系统应该具备安全防护能力，比如按照策略进行系统补丁更新和升级，与服务端建立连接要有认证过程，保证更新的数据来源是合法和完整的，应具备安全防护能力，如恶意代码防范、反编译防护。

 4.2.2   应用软件安全能力要求

（1）物联网终端应用软件应具备账号管理安全能力，比如对用户进行身份鉴别、系统文件不应明文存储用户账号、密码等敏感信息、用户账号相关动态信息（如验证码）应该有保护机制（如时效性等）。

（2）物联网终端应用软件安全防护能力，比如按照策略进行软件补丁更新和升级、应具备安全防护能力，如恶意代码防范、反编译防护等。 

4.2.3   接入认证安全能力要求 

物联网终端应具备接入认证安全能力，比如终端应该具备对控制端双向接入认证、身份识别机制，终端应能鉴别下达指令者的身份（如黑白名单），当鉴别应答超过规定时限时，接入系统应能终止与待接入的感知层接入实体之间的当前会话。 

4.3   数据安全能力要求

 物联网终端应具备数据安全能力，比如密钥、用户数据在产生、存储、传输、销毁、恢复、彻底删除等过程中均受到安全机制的保护（如加密存储等），不应明文存储数据库连接密码、FTP服务密码、登录密码、外部系统接口认证密码等敏感数据。数据传输应保证敏感通信数据在传递过程中可抵御监听或篡改，保障数据的保密性、完整性和有效性。

 5   结束语 

随着5G网络逐步商用，万物互联时代的到来，国家也积极推动物联网等新型基础设施建设的部署，在政策与市场双重驱动下物联网发展迎来了重要机遇。物联网安全在物联网发展过程中不可或缺，物联网终端安全更是物联网安全的重中之重。物联网终端需要继续提升安全能力，为物联网快速发展添砖加瓦、保驾护航。 

参考文献

[1] ITU. ITU Internet Reports 2005: The Internet of Things[S]. World Summit on the Information Society (WSIS), 2005. 

[2] GSMA The Mobile Economy China 2019[EB/OL].  [2020-08-10]. https://data.gsmaintelligence.com/research/research/research-2019/the-mobile-economy-china-2019.

[3] 韩海庭. 提升终端安全能力打造物联网安全内核[N]. 人民邮电, 2020-01-14(006). 

[4] 物联网安全创新实验室. 物联网终端安全白皮书[R], 2019. 

[5] 李祥军, 冯运波. 物联网终端安全分析及实践[J]. 保密科学技术, 2018(9):21-24. 

[6] 周平. 物联网终端安全分析及实践[J]. 通讯世界, 2019, 26(10):50-51. 

[7] 中国电子技术标准化研究院. 物联网智能终端信息安全白皮书[R], 2017. 

[8] GB/T 36951-2018. 信息安全技术. 物联网感知终端应用安全技术要求[S]. 中国国家标准化管理委员会, 2018. 

[9] GB/T 37093-2018. 信息安全技术. 物联网感知层接入通信网的安全要求[S]. 中国国家标准化管理委员 会, 2018. 

[10] TAF-FG1-AS0030-V1.0.0:2019. 智能门锁信息安全技术要求和评估方法[S]. 电信终端产业协会, 2019. 

Research on Internet of Things terminals security capabilities 

LIN Meiyu, WANG Yazhong 

(Security Research Institute, China Academy of Information and Communications Technology, Beijing 100191, China) 

Abstract: With the official commercialization of 5G, the Internet of Things has entered a period of rapid development, and the number of Internet of Things terminals has also shown an exponential growth. The following security issues of the Internet of Things have also attracted more and more attention. Internet of Things terminals have become the main target of Internet of Things attacks due to their simple structure, large number, and unattended problems. This article introduces the basic architecture of IoT terminals according to the characteristics of IoT terminals, points out the security risks faced by IoT terminals, and puts forward the security capabilities that different modules of IoT terminals should have for different risks. 

Key words: Internet of Things terminals; terminal architecture; security risks; security capabilities

本文刊于《信息通信技术与政策》2020年 第10期