物联网安全管理与技术研究

2018-02-14

信息通信技术与政策 2018年2期

张艺引中国移动杭州研发中心开放平台产品部产品经理

杜霖中国信息通信研究院安全研究所工程师

方琳中国信息通信研究院安全研究所助理工程师

1 引言

物联网成为新一轮科技革命与产业变革的核心驱动力。以物联网为代表的信息通信技术正加快转化为现实生产力，深刻改变着传统产业形态和人们的生活方式，催生了大量新技术、新产品、新模式，引发了全球数字经济浪潮。物联网是现有通信网的延伸和扩展，是新一代信息技术的高度集成和综合运用。物联网安全问题是技术发展的必然产物。物联网呈现3大新特征：一是物联网终端数量多、资源受限、安全防护弱；二是对数据传输实时性要求高；三是生产控制系统与其他信息系统交互要求高。

国内外物联网安全形势严峻。2016年11月28日前后，德国电信遭遇一次大范围的网络故障。在这次敀障中，2000万固定网络用户中的大约90万个路由器发生故障（约4.5%），并由此导致大面积网络访问受限；2016年10月24日，在国际知名安全黑客大赛GeekPwn（极棒）2016嘉年华上，黑客成功破解了智能电动轮椅、Edimax智能插座等设备；2016年10月21日，美国多个城市出现互联网瘫痪情况，包括Tw itter、Shopify、Reddit等在内的大量互联网知名网站数小时无法正常访问，造成半个美国互联网瘫痪的罪魁祸首是M irai僵尸网络控制下的数以10万计的物联网设备。

Gartner2017最新报告指出，安全是物联网发展的4大阻力之首。据JamesBrehm&Associates于2016年发布的针对全球企业关于物联网成长中的障碍的调查结果显示，安全以64%的比例排在所有阻碍物联网发展的因素之首，排在第二的是交互操作性（51%），排第三的是不能证明其ROI（Returnon Investment，投资回报率）（44%）。安全是最大的阻碍物联网发展的因素，需要对物联网安全管理和技术进行特别研究。

2 物联网安全管理现状分析

2.1 物联网安全管理政策

（1）国际

美欧日高度重视物联网安全发展，通过制定专门的物联网安全政策支持安全技术研发和应用推广，并出台安全原则指导各利益相关方加强物联网安全防护。

●美国

——2015年，美国国土安全部发布《智慧城市的未来：信息物理基础设施风险》报告，重点对交通、电力以及污水处理等物联网应用领域进行安全风险分析和评估。

——2016年11月15日，美国国土安全部发布《保障物联网安全战略原则》，呼吁物联网生态体系在设计、生产及使用物联网设备与系统时，皆应负起保障物联网（The InternetofThings，IOT）安全的责任。

——2017年8月1日，国会议员推动物联网安全法案《2017物联网网络安全改进法》，希望通过设定联邦政府采购物联网设备安全标准，来改善美政府所面临的物联网安全问题。

●欧盟

——2009年6月，欧盟出台“欧洲物联网行动计划”，要求完善隐私及个人数据保护，采取有效措施使物联网能够面对信任、接受和安全方面的挑战。

——2013年，欧盟第7研发框架计划（FP7），研发重点包括物联网安全和隐私技术。

●日本

——为了应对新时代，于2015年10月成立了物联网IoT推进联盟，在IoT物联网推进联盟下设的4个工作组中有专门的安全研究组——物联网安全WG。

——2017年1月17日，日本总务省发布《2017年物联网网络安全行动计划》，旨在面向物联网（IoT）时代尽早确立国家网络安全。

（2）国内

近年来，我国相关部门陆续出台推动物联网发展的政策措施，关于安全相关的内容分散在各政策条款中，尚未出台物联网安全专门的安全管理战略政策。

●2014年6月，工业和信息化部出台《工业和信息化部2014年物联网工作要点》，其中重点为推进安全保障体系建设，指出要建立健全物联网安全保障体系。

●2017年，中国制定了物联网的十三五规划（2016—2020年），提出建立健全物联网安全保障体系，推进关键安全技术研发和产业化，增强物联网基础设施、重大系统、重要信息的安全保障能力，强化个人信息安全，构建泛在安全的物联网。

●2017年11月，中共中央办公厅、国务院办公厅印发《推进互联网协议第六版（IPv6）规模部署行动计划》，提出加强IPv6环境下工业互联网、物联网、车联网、云计算、大数据、人工智能等领域的网络安全技术、管理及机制研究，增强新兴领域网络安全保障能力。

2.2 物联网安全管理标准规范

（1）国际

在物联网安全标准方面，国际各标准组织面向物联网特殊的安全需求，从各自领域针对物联网各个层次开展相关安全标准的研究制定工作。

●应用层：OneM 2M安全工作组研究发布M 2M的安全解决方案（TS 0003）、安全解决方案分析（TR 0008）、群认证和端到端安全（TR 0012）等。

●网络层：ETSIM 2M TC在其规范中也研究了机器类通信安全，TS102689提出可信环境和完整性验证需求、私密性需求等；3GPP发布22.368《机器类型通信服务需求》、TR 22.868《3GPP系统支持M 2M通信研究》、TR 33.868《机器类型通信安全问题研究》。

●感知层：EPCglobal发布《EPCglobal Reader ProtocolStandard1.1》，规范读写器与主机之间的数据与命令安全交互接口；ITU-T基于标签应用的安全威胁分析（X.1171），针对泛在传感器的网络安全框架（X.usnsec-1）、中间件安全指南（X.usnsec-2）、路由安全（X.usnsec-3）。

（2）国内

我国物联网安全标准化工作总体上处于起步阶段，但发展迅速。2016年10月，TC260标准会议周期间，WG5工作组共有十几项物联网、工控安全相关标准上会审议。现阶段物联网安全标准主要集中在物联网感知层，标准间存在交叉重复的问题。

目前，《信息安全技术物联网感知设备安全技术要求》、《信息安全技术物联网感知层网关安全技术要求》、《信息安全技术物联网安全参考模型及通用要求》、《网络安全等级保护基本要求第4部分：物联网安全扩展要求》、《网络安全等级保护测评要求第4部分：物联网安全扩展要求》、《网络安全等级保护安全设计技术要求第4部分：物联网安全要求》6项标准已公开征求意见。形成《信息安全技术物联网数据传输安全技术要求》、《信息安全技术物联网感知层接入通信网的安全要求》标准草案。

3 物联网安全技术现状分析

3.1 国际安全技术现状

国际方面，众多大学、科研机构在积极地参与和推进物联网安全技术的研究。在物联网感知层的轻量级加密算法方面，美国哈佛大学、英国剑桥大学分别提出了基于非对称密钥的加密算法，适应于感知节点资源受限的特点；在物联网的访问控制技术方面，德国德累斯顿工业大学在2008年的第一届物联网大会（The InternetofThings，IOT）上针对EPCIS协议不具有访问限制权限的问题，设计了一种专门用于描述大规模EPCIS事件中访问权限的上下文感知策略语言，并提出一种新的基于规则的访问协议，通过定义访问规则来限制用户访问权限，加强了信息的安全性；在物联网身份认证技术方面，意大利罗马大学的研究人员提出了在无线传感器网中PKI认证方法来使得各个设备之间建立信任关系。

3.2 国内安全技术现状

国内方面，2009年8月温家宝总理在江苏无锡调研时指出“在传感网发展中，要早一点谋划未来，早一点攻破核心技术”、“在国家重大科技专项中，加快推进传感网发展”、“尽快建立中国的传感信息中心，或者叫‘感知中国’中心”。至此，物联网正式成为我国未来信息化建设的重要发展战略。

实际上，中科院早在1999年就启动了传感器网络研究，随着“感知中国”概念的提出，我国现阶段又掀起了一场物联网研究的新高潮。在物联网安全技术领域，我国的高校、科研机构都取得了一定的研究成果。

在无线传感器节点的身份认证和防DDoS攻击方面，中兴联合南京邮电大学共同提出了一种新型的公钥管理架构和身份认证方案。哈尔滨工业大学的研究人员在分析了网络流量构成的基础上，提出了基于相似度的DDoS检测方法。

密钥管理（密钥基础设施PKI和密钥协商）方面，复旦大学提出了一种基于时间部署的随机密钥管理方案，该方案在为成对密钥的生成提供了较高的节点连通度的同时，提高了节点资源利用率并且增强了网络抵抗节点受损攻击的能力。哈尔滨工业大学在随机密钥预分配方案的基础上，提出一种利用节点部署知识和已知区域信息的异构无线传感器网络密钥预分配方案，从而减小节点所需存储空间，并增强网络抗攻击能力。

目前，我国在物联网的身份认证与鉴别、加密技术、用户管理等方面都进行了深入的研究，但是国内尚未形成统一的标准和规范。以密钥管理为例，目前密钥产生、管理都没有统一的标准。因此，现阶段亟待需要考虑研究如何对物联网中身份认证与鉴别、加密技术、用户管理等方面制定相应的规范。

4 我国物联网安全发展的对策建议

在新一轮物联网发展布局的关键窗口，我国应统筹规划，加大战略布局，从国家层面提升对物联网安全的总体规划部署和顶层设计；从法律法规、战略政策、管理机制、标准规范、关键技术等方面构建物联网安全保障体系，促进我国物联网产业安全发展。

4.1 监管角度

（1）完善物联网安全相关的法律制度

加强物联网安全立法保障，明确界定物联网安全保障责任，明确物联网设备和系统开发商、生产商、管理者、消费者等维护和保障物联网安全的责任和义务。重点提出物联网个人隐私保护、数据跨境流动以及物联网相关的知识产权保护等法律适用建议。

（2）出台物联网安全相关的战略政策

从国家层面制定出台物联网安全保障战略、行动计划等，明确物联网安全工作的定位、发展目标和保障措施等。设立物联网安全发展专项资金，出台落实财税扶持和投融资政策，全力支持物联网的健康发展。

（3）建立健全物联网安全管理机制

明确政府各部门在智能家居、车联网、工业控制等物联网行业领域的职责划分，加强各部门协调配合，按照国家政策规定监督指导相关单位落实物联网安全保护责任。制定并推动物联网安全审查制度和产品安全认可认证制度，对物联网核心软硬件设备进行安全测评。完善重要物联网关键行业（重点是工控行业）安全检查自查制度，组织进行安全检查和风险评估，及时发现风险隐患，完善安全措施。建立物联网关键行业（重点是工控行业）应急处置机制，组织制定物联网安全防护和事件处理的程序和指南，提高物联网安全应急响应能力。

（4）加强物联网安全标准的统筹部署

进一步梳理物联网安全标准的立项流程，统筹协调物联网安全标准的立项归口，统筹协调各标准组织之间、国家标准和行业标准之间的关系，避免标准间的交叉重复。组织、协调行业监管部门、研究机构、物联网企业、安全厂商等共同合作，研究制定物联网安全相关的防护要求、安全审查、评估评测等标准规范，指导业界开展物联网安全解决方案的设计和实施。积极主导或参与物联网安全国际标准化活动及工作规则制定，推动具有自主知识产权标准成为国际标准，逐步提升我国在物联网安全国际标准化组织中的影响力。