2022物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書

物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書（2022年）2022年9月物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書PAGE\*ROMANPAGE\*ROMANIV目 錄物聯(lián)網(wǎng)操作系統(tǒng)概述 1物網(wǎng)及聯(lián)網(wǎng)作系統(tǒng) 1物聯(lián)網(wǎng)簡介及發(fā)展趨勢(shì) 1物聯(lián)網(wǎng)操作系統(tǒng)簡介及架構(gòu) 1物聯(lián)網(wǎng)操作系統(tǒng)特點(diǎn) 2物聯(lián)網(wǎng)操作系統(tǒng)發(fā)展趨勢(shì) 3典物聯(lián)操作統(tǒng)安架構(gòu) 3物聯(lián)網(wǎng)操作系統(tǒng)安全分析 6物網(wǎng)操系統(tǒng)全發(fā)態(tài)勢(shì) 6物網(wǎng)操系統(tǒng)型安問題 8典物聯(lián)場(chǎng)景的安風(fēng)險(xiǎn)析 10工業(yè)控制 10智能家居 11智能表計(jì) 12車聯(lián)網(wǎng) 13視頻網(wǎng) 14物聯(lián)網(wǎng)操作系統(tǒng)關(guān)鍵安全技術(shù) 15身鑒別術(shù) 15訪控制術(shù) 17密技術(shù) 18物網(wǎng)通安全術(shù) 20可計(jì)算可信行環(huán)技術(shù) 22日審計(jì)安全勢(shì)感技術(shù) 25系升級(jí)全技術(shù) 28資競(jìng)爭(zhēng)全技術(shù) 29物聯(lián)網(wǎng)操作系統(tǒng)全生命周期中的安全指導(dǎo) 30安設(shè)計(jì) 30安實(shí)現(xiàn) 31安測(cè)試 32安運(yùn)維 34物聯(lián)網(wǎng)操作系統(tǒng)安全技術(shù)應(yīng)用實(shí)例 35工安全器 35平安全構(gòu) 36PSA簡介 36TF-M簡介 37嵌式防墻 38輕級(jí)傳層安協(xié)議 39建議及展望 41縮略語列表 42參考文獻(xiàn) 45物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書PAGEPAGE27物聯(lián)網(wǎng)操作系統(tǒng)概述物聯(lián)網(wǎng)及物聯(lián)網(wǎng)操作系統(tǒng)物聯(lián)網(wǎng)簡介及發(fā)展趨勢(shì)物聯(lián)網(wǎng)是““物”指物ISO/IEC22417:2017InternetofthingsIoTIoTusecases》穿戴、機(jī)車、智慧城市等。1312025246億，全球物聯(lián)網(wǎng)行業(yè)正處于高速發(fā)展期。30%1.7萬億元[1]，呈現(xiàn)出良好的增長態(tài)勢(shì)。2021年，工信部發(fā)布《物聯(lián)網(wǎng)新型基礎(chǔ)設(shè)施建設(shè)三年行動(dòng)計(jì)劃》，明確提出“融合應(yīng)用發(fā)展行動(dòng)”物聯(lián)網(wǎng)操作系統(tǒng)簡介及架構(gòu)物聯(lián)網(wǎng)操作系統(tǒng)是支持物聯(lián)網(wǎng)技術(shù)大規(guī)模發(fā)展的核心基礎(chǔ)軟件，包括操作1所示。AI1物聯(lián)網(wǎng)操作系統(tǒng)架構(gòu)示意圖物聯(lián)網(wǎng)操作系統(tǒng)特點(diǎn)UNIXI/OLinux作系統(tǒng)。WindowsmacOS獨(dú)樹一幟，Linux窗口制作優(yōu)美，操作簡單易學(xué)。AndroidiOS屏的交互設(shè)計(jì)。相比傳統(tǒng)操作系統(tǒng)，物聯(lián)網(wǎng)操作系統(tǒng)通常具備如下的特性[2]：1“”塊化設(shè)計(jì)以及任務(wù)調(diào)度分層化管理等。2的電源續(xù)航能力。3、安全性：軟件功能缺陷而導(dǎo)致安全風(fēng)險(xiǎn)。45GPRS/HSPA/4G/5G/NB-IoT等蜂窩無線通信功能，WiFi/ZigBee/NFC/RFID等近場(chǎng)通信功能。6連接中間件，物聯(lián)網(wǎng)操作系統(tǒng)可以極大的簡化物聯(lián)網(wǎng)應(yīng)用的開發(fā)。物聯(lián)網(wǎng)操作系統(tǒng)發(fā)展趨勢(shì)AndroidwatchOSPC上增加物聯(lián)網(wǎng)通AliOSThingsOneOS等。建設(shè)，而生態(tài)建設(shè)、應(yīng)用研發(fā)適配以及開發(fā)者培育都需要時(shí)間。典型物聯(lián)網(wǎng)操作系統(tǒng)安全架構(gòu)系統(tǒng)安全性的一個(gè)趨勢(shì)。μC/OSContikiMbedOSQNX?Neutrino?ZephyrThreadXLiteOS、AliOSThingsUNIXUNIXLinux、QNX、AndroidOS等。1、資源受限型物聯(lián)網(wǎng)操作系統(tǒng)2服務(wù)層/框架層、應(yīng)用層。受限于硬件性能，該類物聯(lián)網(wǎng)操作系統(tǒng)安全功能較為ArmArmv8-M中引入了TrustZone-MTF-M固件安全解決方案；翼輝提供了嵌入式防火墻，能有效防御常見的網(wǎng)絡(luò)攻擊；OneOSTLS，可利用極低的資源消耗實(shí)現(xiàn)數(shù)據(jù)加密和安全通信服務(wù)；LiteOS提供了LMS（LiteMemorySanitizer）服務(wù)，能夠?qū)崟r(shí)檢測(cè)內(nèi)存操作的合法性。圖2典型資源受限型物聯(lián)網(wǎng)操作系統(tǒng)及安全架構(gòu)2、資源豐富型物聯(lián)網(wǎng)操作系統(tǒng)3UNIX員用戶況下使用類型增強(qiáng)訪問控制機(jī)制EnforcementAccessControl，TEAC）會(huì)更合適?？蛇x的安全模型及安全機(jī)制有：BLP模型、Bida模型、Clark-WilsonChinese模型等；基于硬件的內(nèi)存保護(hù)機(jī)制、運(yùn)行域保護(hù)機(jī)制、I/O保護(hù)機(jī)LSM（Linux安全模塊）框架，（SimplifiedMandatoryAccessControlKernel，SMACK）提供了基于路徑的訪問控制機(jī)制等。圖3典型資源豐富型物聯(lián)網(wǎng)操作系統(tǒng)及安全架構(gòu)物聯(lián)網(wǎng)操作系統(tǒng)安全分析物聯(lián)網(wǎng)操作系統(tǒng)安全發(fā)展態(tài)勢(shì)1、物聯(lián)網(wǎng)設(shè)備及操作系統(tǒng)面臨日趨嚴(yán)峻的安全威脅20203月一種新型DVRUDP反射攻擊方法被發(fā)現(xiàn)[4]UDP反射攻擊方法，利用的是某視頻監(jiān)控廠商的設(shè)備發(fā)DHDiscoverIP地址發(fā)送服務(wù)發(fā)DDoS反射攻擊。在設(shè)備對(duì)DHDiscover服務(wù)探測(cè)報(bào)文回應(yīng)的內(nèi)容中可以AccessControlPort、設(shè)備序列號(hào)、設(shè)備版本號(hào)等。本次攻擊流量規(guī)模50Gbps。2020324oAllSueuidonkn披露了一LinuxOpenWrt的RCE（OpenWrtOpkg包管理器中，由于包解析邏SHA-256從而繞過了對(duì)已下載.ipkOpkgroot權(quán)限以及特制的.ipk2017年2月份就被引入代碼，距披露時(shí)有三年之久。20205月研究人員披露了一個(gè)藍(lán)牙協(xié)議棧漏洞，攻擊者可以利用這個(gè)漏洞偽造并欺騙遠(yuǎn)程配對(duì)的藍(lán)牙設(shè)備，形成藍(lán)牙冒充攻擊（BIAS），其危害性影BIAS攻擊就是利用了這個(gè)特性。2020年6月8日，安全專家披露了一個(gè)名為“CallStranger”（漏洞編號(hào)為的新型UPnPWindowsPCXboxOneD-LinkNetgearTP-LinkDDoS攻擊，并繞過安全系統(tǒng)進(jìn)行內(nèi)網(wǎng)滲透及內(nèi)部端口掃描。2020616日，TreckTCP/IP協(xié)議棧被發(fā)現(xiàn)了190day漏洞（又名“Ripple20”）IoT設(shè)備，小到家用打印機(jī)、攝像頭，大到工業(yè)控制500施耐德電氣，英特爾等，都深受其害。2020715“BadPower”“BadPower”億計(jì)?！巴脐惓鲂翫DoS反射攻擊。DHDiscover反射攻擊利用了設(shè)備廠商的私有協(xié)議，物聯(lián)網(wǎng)UDP聯(lián)網(wǎng)操作系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)過程中針對(duì)無線通訊的安全不容忽視。10釣魚欺詐等攻擊，危害物聯(lián)網(wǎng)和互聯(lián)網(wǎng)等重要基礎(chǔ)設(shè)施和廣大普通用戶。2、物聯(lián)網(wǎng)操作系統(tǒng)安全面臨的困境還將繼續(xù)存在。對(duì)于物聯(lián)網(wǎng)操作系統(tǒng)的安全功能來說，也存在相同的情況。ArmMbedOSAliOSThingsLiteOS以及美的智能家電物聯(lián)網(wǎng)OS為例，大多數(shù)物聯(lián)網(wǎng)操作系統(tǒng)都集成了Arm公司開發(fā)的MbedTLS。MbedTLS30KB，但是這對(duì)某些物聯(lián)網(wǎng)設(shè)網(wǎng)設(shè)備廠商和開發(fā)者需要共同關(guān)注的問題。3、物聯(lián)網(wǎng)操作系統(tǒng)安全的研發(fā)現(xiàn)狀SDK通過將安全SDK植入到物聯(lián)網(wǎng)操作系統(tǒng)中來提高終端與外部通信安全。網(wǎng)廠商擁有檢測(cè)物聯(lián)網(wǎng)設(shè)備的安全和可信狀態(tài)的能力。2獨(dú)立的、輕量級(jí)的可信執(zhí)行環(huán)境，用于保護(hù)原有內(nèi)核的關(guān)鍵操作。4、物聯(lián)網(wǎng)操作系統(tǒng)安全相關(guān)的法律法規(guī)及標(biāo)準(zhǔn)規(guī)范發(fā)展情況[5]20152007-T-469GB/T36951-2018物聯(lián)GB/T37093-2018物聯(lián)網(wǎng)感知層接入通信網(wǎng)的安全要求》等。目前明確針對(duì)物聯(lián)網(wǎng)操作系統(tǒng)相關(guān)的標(biāo)準(zhǔn)僅有《GB/T34976-2017移動(dòng)智能終端操作系統(tǒng)安全技術(shù)要求和測(cè)試評(píng)價(jià)方法》及《YD/B173-2017物聯(lián)網(wǎng)終端嵌入式操作系統(tǒng)安全技術(shù)要求》，尚缺實(shí)施指南、檢測(cè)評(píng)計(jì)和實(shí)施進(jìn)行規(guī)范指導(dǎo)。物聯(lián)網(wǎng)操作系統(tǒng)典型安全問題物聯(lián)網(wǎng)操作系統(tǒng)面臨的安全問題主要涉及如下方面：1、非授權(quán)訪問使得非授權(quán)訪問惡意攻擊造成的影響范圍大，進(jìn)而帶來嚴(yán)重的經(jīng)濟(jì)損失。2、數(shù)據(jù)安全物聯(lián)網(wǎng)終端設(shè)備硬件容易被攻擊者直接獲取并通過刷寫工具或逆向分析獲3、攻擊檢測(cè)及防御取相應(yīng)的安全措施。4、遠(yuǎn)程升級(jí)安全升級(jí)包進(jìn)行完整性校驗(yàn)等。5、通信安全、ZigBee等近距離通信協(xié)議，LoRa、NB-IoTMQTT、HTTP等高層統(tǒng)的通信，獲取系統(tǒng)敏感信息，或是篡改關(guān)鍵通信信息，破壞其通信過程。6、新技術(shù)帶來的挑戰(zhàn)IPv6容器、微服務(wù)等新技術(shù)的加快融合，新技術(shù)給物聯(lián)網(wǎng)帶來了功能和性能的提升，但也對(duì)現(xiàn)有的物聯(lián)網(wǎng)安全防護(hù)措施帶來了新的挑戰(zhàn)。IPv6將物聯(lián)網(wǎng)設(shè)備暴露于公共網(wǎng)絡(luò)中，內(nèi)部和外部系統(tǒng)之間的通信不再有備將更容易遭受網(wǎng)絡(luò)攻擊。API（NetworkFunctionVirtualization，NFV）等技術(shù)，開放性的特點(diǎn)容易將物聯(lián)網(wǎng)邊緣節(jié)點(diǎn)暴露給外部攻擊者。典型物聯(lián)網(wǎng)場(chǎng)景中的安全風(fēng)險(xiǎn)剖析工業(yè)控制隨著信息技術(shù)（IT）和操作技術(shù)（OT）網(wǎng)絡(luò)數(shù)字化轉(zhuǎn)型和融合的加速，物聯(lián)網(wǎng)(IoT)和工業(yè)物聯(lián)網(wǎng)(IIoT)設(shè)備正成為石油和天然氣、能源、公用事業(yè)、制造生產(chǎn)質(zhì)量、可靠性以及響應(yīng)性。IT類風(fēng)險(xiǎn)之中。工業(yè)物聯(lián)網(wǎng)場(chǎng)景下的風(fēng)險(xiǎn)主要源于以下幾個(gè)方面：1現(xiàn)了訪問設(shè)備的用戶憑據(jù)被硬編碼在設(shè)備硬件中，或者在管理過程中使用弱口設(shè)。2、重放攻擊：工業(yè)控制場(chǎng)景的通信協(xié)議設(shè)計(jì)的關(guān)注重點(diǎn)在實(shí)時(shí)性和功能度的加密保護(hù)，使得攻擊者可以捕獲設(shè)備啟動(dòng)/停止命令的數(shù)據(jù)包，在不做任何修改的情況下就可以直接發(fā)送給控制設(shè)備引發(fā)設(shè)備啟動(dòng)/停止，從而實(shí)施非授權(quán)操作，給整個(gè)業(yè)務(wù)流程帶來風(fēng)險(xiǎn)。3擊。而工控系統(tǒng)中一個(gè)節(jié)點(diǎn)設(shè)備的異常就有可能導(dǎo)致整個(gè)生產(chǎn)線的癱瘓。4、供應(yīng)鏈攻擊上游廠商，受到威脅的則是上下游廠商。基于供應(yīng)鏈攻擊的常用方法：利用供應(yīng)商的產(chǎn)品植入惡意軟硬件模塊。利用第三方組件（打包、偽裝、代碼植入、硬件植入）。利用開源代碼庫中包含的漏洞。利用“內(nèi)鬼”在源碼中植入惡意功能。惡意接管（利用社區(qū)項(xiàng)目管理職權(quán)注入惡意代碼）。利用非官方售后服務(wù)（安裝惡意軟件、植入惡意硬件）。工業(yè)設(shè)備生產(chǎn)廠商預(yù)留的運(yùn)維后門。智能家居括智能家電與控制端應(yīng)用程序之間的連接，智能家電與遠(yuǎn)程云服務(wù)器之間的連的安全運(yùn)行需要物聯(lián)網(wǎng)操作系統(tǒng)支持多種通信協(xié)議，典型的如WiFi，BLE，操作系統(tǒng)應(yīng)提供對(duì)通信數(shù)據(jù)的機(jī)密性和完整性的保護(hù)以及對(duì)家電設(shè)備身份的安障智能家電使用過程的安全。智能家電需要物聯(lián)網(wǎng)操作系統(tǒng)解決的網(wǎng)絡(luò)安全威脅主要包括以下幾種：1破壞。2敏感數(shù)據(jù)和用戶數(shù)據(jù)進(jìn)行惡意操作，或?yàn)E用操作系統(tǒng)的安全功能。3、數(shù)據(jù)安全：惡意用戶通過密碼分析等手段訪問操作系統(tǒng)存儲(chǔ)在存儲(chǔ)器件IoT設(shè)備實(shí)施物理攻擊，直接拷貝或篡改存儲(chǔ)設(shè)備上所有數(shù)據(jù)，造成數(shù)據(jù)泄露或損壞。4IT實(shí)體之間的通信，獲取敏感信息、破壞數(shù)據(jù)保密性；或者攻擊之間的通信。智能表計(jì)30%以上。但目前智能表計(jì)行業(yè)尚屬于發(fā)展初期，除了少數(shù)大型企業(yè)，“重發(fā)展而輕安全”是行業(yè)普遍現(xiàn)象，這將為能源行業(yè)數(shù)字化轉(zhuǎn)型升級(jí)留下很大的安全隱患。國外的幾個(gè)相關(guān)安全事件值得借鑒：2014年西班牙智能電表被曝出安全漏洞，可被利用實(shí)施電費(fèi)欺詐，甚至控制電路系統(tǒng)導(dǎo)致大面積停電；2021年施耐德智能電表曝嚴(yán)重漏洞，可被遠(yuǎn)程強(qiáng)制重啟等。電表不要求低功耗險(xiǎn)：1析尋找漏洞或提取密鑰等敏感信息。2設(shè)備被非法控制可能導(dǎo)致大規(guī)模停水停電，影響公共安全。3百萬人的生活甚至國家安全。4、通信安全：NB-IoT、LoRa等低功耗遠(yuǎn)距離通信方式，也有采用網(wǎng)關(guān)+近距離無線通信的方式，其中網(wǎng)關(guān)+近距離無損失。車聯(lián)網(wǎng)數(shù)據(jù)包篡改、鑰匙重放攻擊到現(xiàn)在針對(duì)語音控制的“海豚音”攻擊、針對(duì)自動(dòng)駕駛“道路識(shí)別”、“自動(dòng)雨刷”2016年，有安全研究員利用漏洞對(duì)特斯拉進(jìn)行了無物理接觸遠(yuǎn)程攻ArmLinuxCVE-2013-6282CIDrootCID為跳板進(jìn)一步IC、ParrotGateway，從而打通了整個(gè)攻擊鏈條。安全風(fēng)險(xiǎn)、數(shù)據(jù)安全風(fēng)險(xiǎn)、遠(yuǎn)程升級(jí)安全風(fēng)險(xiǎn)等部分。1IT能通過調(diào)試接口直接非法訪問系統(tǒng)、提取系統(tǒng)中的信息。2CVE漏洞、不安全配置、甚至是明文的密鑰。3錯(cuò)誤、更新策略不完善和非安全啟動(dòng)。452020R156了具體的要求。如何保障升級(jí)流程安全、升級(jí)包傳輸安全、ECU升級(jí)安全依舊充滿挑戰(zhàn)。視頻網(wǎng)治理體制具有重要意義。Linux各剪裁版本的操作安全等級(jí)不同。1、攝像頭系統(tǒng)脆弱性問題劫持為“肉雞”DDOS2、攝像頭非法接入問題PC網(wǎng)核心服務(wù)進(jìn)行網(wǎng)絡(luò)可達(dá)，很容易造成內(nèi)部網(wǎng)絡(luò)攻擊行為或者病毒傳播行為。3、攝像頭等物聯(lián)網(wǎng)終端的固件安全問題在公安視頻網(wǎng)場(chǎng)景，這些攝像頭一旦感染病毒，就會(huì)橫向擴(kuò)散，產(chǎn)生類似與2016年MIRAI病毒的攻擊危害。4、攝像頭數(shù)據(jù)安全問題這些年攝像頭因?yàn)閷?duì)外開放的WEB頻數(shù)據(jù)，一旦泄漏就可能造成惡劣的社會(huì)影響、甚至是經(jīng)濟(jì)損失。成的安全風(fēng)險(xiǎn)。物聯(lián)網(wǎng)操作系統(tǒng)關(guān)鍵安全技術(shù)1：表1物聯(lián)網(wǎng)操作系統(tǒng)關(guān)鍵安全技術(shù)安全威脅安全問題關(guān)鍵安全技術(shù)非授權(quán)用戶登錄越權(quán)攻擊、非法設(shè)備接入身份鑒別技術(shù)訪問控制技術(shù)盜竊、破解機(jī)密信息核心數(shù)據(jù)、隱私泄露密碼技術(shù)利用網(wǎng)絡(luò)漏洞進(jìn)行攻擊設(shè)備連接故障，關(guān)鍵信息被偵聽或獲取網(wǎng)絡(luò)連接及網(wǎng)絡(luò)通信安全技術(shù)利用欺騙偽造攻擊維測(cè)數(shù)據(jù)、版本文件、維測(cè)程序被非法篡改可信及TEE安全技術(shù)所有類型攻擊無法對(duì)攻擊行為進(jìn)行追溯以及及時(shí)處置日志審計(jì)及安全態(tài)勢(shì)感知技術(shù)利用非法版本和程序進(jìn)行攻擊系統(tǒng)被非法控制，成為肉雞系統(tǒng)升級(jí)安全技術(shù)利用系統(tǒng)漏洞進(jìn)行攻擊系統(tǒng)崩潰資源競(jìng)爭(zhēng)安全技術(shù)下面的子章節(jié)將對(duì)這些關(guān)鍵安全技術(shù)進(jìn)行詳細(xì)說明。身份鑒別技術(shù)體身份認(rèn)證和用戶身份鑒別。1、設(shè)備身份鑒別MobileEquipmentAccessControlAddress）地址等?；蚪涌?，并通過訪問控制機(jī)制，防止其被非法篡改。常見技術(shù)存在以下兩種：請(qǐng)求用戶授權(quán)；采用密碼學(xué)技術(shù)，保護(hù)設(shè)備唯一標(biāo)識(shí)符的完整性。2、遠(yuǎn)程通信實(shí)體身份認(rèn)證作系統(tǒng)需支持對(duì)遠(yuǎn)程通信實(shí)體的身份認(rèn)證。常見身份認(rèn)證技術(shù)包含以下幾種：統(tǒng)需將所用對(duì)稱密鑰妥善保存在設(shè)備端，避免被非授權(quán)讀取或被篡改。“公鑰交換”X.509驗(yàn)證遠(yuǎn)程通信實(shí)體身份。SM9標(biāo)識(shí)密碼算法的身份認(rèn)證方式，既使用國家密碼管理局于2016328日發(fā)布的GMT0044-2016SM9SM9SM9易于部署和使用。3、用戶身份鑒別6（（如輸入的字符數(shù)法進(jìn)行保護(hù)，避免口令明文數(shù)據(jù)被泄露?？诹钍且环N簡單易行的身份鑒別手段，但是因?yàn)槿菀妆徊聹y(cè)而比較脆弱，易被非法用戶利用。數(shù)字證書以及其他具有相應(yīng)安全強(qiáng)度的兩種或兩種以上的組合機(jī)制進(jìn)行用戶身份鑒別，并對(duì)鑒別數(shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)。訪問控制技術(shù)（DiscretionaryAccess和強(qiáng)制訪問控制（MandatoryAccessControl，MAC）兩種形式。（DAC）訪問控制機(jī)制。在強(qiáng)制訪問控制（MAC）中，系統(tǒng)中的每個(gè)任務(wù)、文件、通信機(jī)制等都被賦予了相應(yīng)的安全屬性。并且這些安全屬性是不能改變的。強(qiáng)制訪問控制（MAC）可以彌補(bǔ)自主訪問控制（DAC）在權(quán)限控制過于分主體只有通過了自主訪問控制（DAC）和強(qiáng)制訪問控制（MAC）的檢查后，才能訪問客體。（bjtbsedessContol,AC、（Task-basedAccessControl,（Role-basedAccessControl，RBAC）和基于屬性的訪問控制（Attribute-basedAccessControl，ABAC）等機(jī)制。理的復(fù)雜性?；谌蝿?wù)的訪問控制（TBAC），以面向任務(wù)的觀點(diǎn)，從任務(wù)（活動(dòng)）的步對(duì)處理對(duì)象的操作許可。RBAC之間的一座橋梁。ABAC更新訪問控制決策，從而提供一種更細(xì)粒度的、更加靈活的訪問控制方法。密碼技術(shù)希算法。1、對(duì)稱密鑰算法SSSSM4，ECB，CBC，OFB，CFB，CTR等，CCMGCM，在對(duì)數(shù)據(jù)進(jìn)行加密的同時(shí)還能夠生成額外的校驗(yàn)數(shù)據(jù)塊，在保護(hù)數(shù)據(jù)機(jī)密性的基礎(chǔ)上增加數(shù)據(jù)完整性和消息來源合法性的保護(hù)。分發(fā)等成為一個(gè)挑戰(zhàn)。2、非對(duì)稱密鑰算法身份驗(yàn)證或不可抵賴性。換和數(shù)字簽名。3、哈希算法（即消息完整性密鑰，生成消驗(yàn)證碼（MessageAuthenticationCode，MAC）、基于哈希的消息MD5SHA1、SHA2、SHA3、SM3等。GlobalPlatform在2021CryptographicAlgorithmRecommendation中建議128S/3SCBCSM、SHA-1、SHA-2243072RSA等算法已經(jīng)不推薦在新產(chǎn)品中使用。TLSv1.3v1.2版本的很多密碼學(xué)套件，轉(zhuǎn)而使用更強(qiáng)大HMAC提取和擴(kuò)展密鑰派生函數(shù)（HKDF），以及帶有關(guān)聯(lián)（AuthenticatedEncryptionwithAssociated確保CNSASuite也取代了早期的NSASuiteB，并建議使用更穩(wěn)健的參數(shù)來保護(hù)高機(jī)密級(jí)別的信息。mbedTLSAlternateAESRSASHAECC等算法操作和隨機(jī)數(shù)生成。CPU負(fù)載、算法性能、FlashRAM占用空間、對(duì)功耗的影響等，在資源受限的系統(tǒng)中，通STM32U5PKA，SAES）還具備防側(cè)信道攻擊、錯(cuò)誤注入攻擊的能力，能夠給密碼算法的執(zhí)行帶來更進(jìn)一步的安全保護(hù)。（ISO29192CLEFIAPRESENT輕量級(jí)分組密碼算法等）。物聯(lián)網(wǎng)通信安全技術(shù)MQTTCoAPDDSXMPPAMQPHTTPIPv4IPv66LoWPANTCPUDP近距離無線通信遠(yuǎn)距離無線通信有線通信ZigBeeBLEWiFiNB-IoTLTEUSBRS485NFC5GLoRa以太網(wǎng)CAN網(wǎng)絡(luò)傳輸層應(yīng)用層物聯(lián)網(wǎng)通信技術(shù)能夠使物聯(lián)網(wǎng)將感知到的信息在不同的終端之間進(jìn)行高效傳輸和交換，實(shí)現(xiàn)信息資源的互通和共享，是物聯(lián)網(wǎng)各種應(yīng)用功能的關(guān)鍵支撐。BluetoothZigBeeNFCNB-IoT、5GLoRaUSBRS485EthernetCANMQTTCoAPDDSXMPPAMQPHTTPIPv4IPv66LoWPANTCPUDP近距離無線通信遠(yuǎn)距離無線通信有線通信ZigBeeBLEWiFiNB-IoTLTEUSBRS485NFC5GLoRa以太網(wǎng)CAN網(wǎng)絡(luò)傳輸層應(yīng)用層物理層圖4常見物聯(lián)網(wǎng)通信協(xié)議物理層物聯(lián)網(wǎng)通信安全技術(shù)主要包括：1（放式認(rèn)證和共享秘鑰認(rèn)證括靜態(tài)口令、雙因素身份認(rèn)證、生物認(rèn)證和數(shù)字證書等。2、加密機(jī)制：加密主要用于防止對(duì)敏感數(shù)據(jù)和物聯(lián)網(wǎng)設(shè)備的未經(jīng)授權(quán)訪問，加密算法主要有對(duì)稱加密、非對(duì)稱加密和摘要算法等。3、密鑰管理：密鑰是整個(gè)系統(tǒng)安全的基石，是網(wǎng)絡(luò)安全和通信保護(hù)的關(guān)鍵點(diǎn)，密鑰管理包括密鑰的生成、分發(fā)、更新等。物聯(lián)網(wǎng)常用無線連接技術(shù)安全機(jī)制如表2所示：表2物聯(lián)網(wǎng)常用無線連接技術(shù)安全機(jī)制類別密鑰管理數(shù)據(jù)加密認(rèn)證與完整性保護(hù)WiFi預(yù)置共享密鑰AES-CCMCBC-MACZigBee預(yù)置鏈接密鑰，信任中心生成/更新網(wǎng)絡(luò)密鑰AES-CCMCBC-MACBLEPasskey，ECDHAES-CCMCBC-MACLoRa預(yù)置NwkSKey及AppSKeyAES128CMACNB-IoT基于SIM的預(yù)置共享密鑰，多級(jí)密鑰衍生SNOW3G/AES/ZUCMilenage算法的AKA鑒權(quán)，雙向認(rèn)證Cat.1基于SIM的預(yù)置共享密鑰，多級(jí)密鑰衍生SNOW3G/AES/ZUCMilenage算法的AKA鑒權(quán)，雙向認(rèn)證IP化是物聯(lián)網(wǎng)通信技術(shù)的趨勢(shì)，資源豐富型物聯(lián)網(wǎng)設(shè)備一般支持完整TCP/IP協(xié)議棧，而在一些帶寬資源極度受限或功耗要求嚴(yán)格的通信環(huán)境下，ZigBee(802.15.4)、BLE(802.15.1)等，可采用一種非常緊湊、高效的IP實(shí)現(xiàn)IPv6IPSec、TLS、DTLS等。IPSecIPIP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議簇。IPSec4項(xiàng)功能：①數(shù)據(jù)機(jī)密性：IPSec發(fā)送IPSec發(fā)送方發(fā)PSec接受方能夠鑒別PSec:IPSec重放包。IPSec主要由以下協(xié)議組成：IP重放攻擊保護(hù)；二、封裝安全載荷（ESP），提供機(jī)密性、數(shù)據(jù)源認(rèn)證、無連接完整性、防重放和有限的傳輸流（traffic-flow）機(jī)密性；AHESP操作所需的參數(shù)。四、密鑰協(xié)議（IKE），提供對(duì)稱密碼的鑰匙的生存和交換。TLSTransportLayerTCP協(xié)議之上的SSL（SecureSocketLayer，安全套接字層TCP進(jìn)行傳輸?shù)墓δ堋LS協(xié)議主MAC刻發(fā)現(xiàn)；③認(rèn)證，雙方都可以配備證書，防止身份被冒充。TLS協(xié)議由兩層組成：握手協(xié)議和記錄協(xié)議。握手協(xié)議用于客戶端和服務(wù)端在加密通信之前進(jìn)行算法套件和加密密鑰的協(xié)商；記錄協(xié)議為TLS上層子協(xié)議提供分片、消息加密及加密后報(bào)傳輸，同時(shí)對(duì)接收到的數(shù)據(jù)進(jìn)行驗(yàn)證、解密、重新組裝等功能。DTLSDatagramTransportLayerSecurity，即數(shù)據(jù)包傳輸層安全性協(xié)DTLSUDPTLSTLS同樣由兩層組成:記錄協(xié)議DTLSDTLSTLS3個(gè)cookieDOSDTLS消息分片（IP分片）；③重發(fā)計(jì)時(shí)器用于處理消息丟失。OpenSSL，而對(duì)于MbedTLSwolfSSLNetXSecureOneTLS等輕量級(jí)的嵌入式安全通信協(xié)議棧。可信計(jì)算及可信執(zhí)行環(huán)境技術(shù)1、可信計(jì)算技術(shù)ComputingGroup，TCG）和國際標(biāo)準(zhǔn)化組織（ISO）發(fā)布了一系列針對(duì)可信計(jì)算的技術(shù)規(guī)范，定義了體系結(jié)構(gòu)、TPMPC客“網(wǎng)絡(luò)安全法”中要求“推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)2.0可利用可信計(jì)算技術(shù)實(shí)現(xiàn)對(duì)物聯(lián)網(wǎng)設(shè)備從最底層的物理硬件、BIOS/BootLoader等固件、操作系統(tǒng)、業(yè)務(wù)應(yīng)用及重要數(shù)據(jù)等全部執(zhí)行環(huán)節(jié)進(jìn)行防護(hù)，如下：/信驗(yàn)證，物聯(lián)網(wǎng)操作系統(tǒng)應(yīng)具備與相應(yīng)可信計(jì)算整體功能配合的能力，形成完整的可信鏈?？尚艩顟B(tài)上報(bào)、可信日志上報(bào)等功能。時(shí)，支持報(bào)警、并向可信安全管理中心上報(bào)。2、DICE（DeviceIdentifierCompositionEngine，DICE）工作組。DICETPM的系統(tǒng)和組件的新的安全和隱私技術(shù)。目標(biāo)是開發(fā)新的方法，以最小的硅需求增強(qiáng)安全性和隱私性。DICEDICEDICE知道的唯一設(shè)備秘密（UniqueDeviceSecret，UDS）開始，創(chuàng)建每一層特有的秘密和硬件配置。這種派生方法確保如Layer0以上其他層的UDSDICEDICE5所示：圖5DICE-設(shè)備標(biāo)識(shí)組合引擎3、可信執(zhí)行環(huán)境技術(shù)整個(gè)設(shè)備硬件中存儲(chǔ)的數(shù)據(jù)，而可信執(zhí)行環(huán)境技術(shù)可以降低上述安全威脅。(TrustedExecutionEnvironment,TEE)CPU芯片層面上單mbedOSOneOS、AliOS等等系統(tǒng)TEETEE中。TEETEE隔離的環(huán)境中的數(shù)據(jù)和代碼也會(huì)受到保護(hù)。的是基于ArmTrustZone的隔離技術(shù)和基于RISC-V的物理內(nèi)存保護(hù)機(jī)制(PhysicalMemoryTEE為開放系統(tǒng)提供一系列安全功能，通常包括：基礎(chǔ)服務(wù)功能說明安全存儲(chǔ)為數(shù)據(jù)提供加密存儲(chǔ)或可信存儲(chǔ)區(qū)域，保證數(shù)據(jù)的機(jī)密性和完整性，防止數(shù)據(jù)被非法篡改或非法獲取。加密密鑰動(dòng)態(tài)生成且不出可信安全域。安全加解密可支持國際或國密算法，包括對(duì)稱密碼算法、公鑰密碼算法、散列密碼算法等?？芍С中酒瑑?nèi)置加解密引擎或外接加解密硬件模塊。安全時(shí)間可提供不能被非法篡改的時(shí)間接口，僅存于安全可信環(huán)境下，主要用于安全日志、視頻數(shù)據(jù)等可審計(jì)的場(chǎng)景。真隨機(jī)數(shù)可支持在可信環(huán)境下獲取硬件產(chǎn)生的隨機(jī)源，且在開放系統(tǒng)無法獲取此隨機(jī)源。主要用于密碼算法的隨機(jī)因子。安全校驗(yàn)檢查可信應(yīng)用啟動(dòng)時(shí)的完整性和真實(shí)性，確保未被非法篡改。密鑰管理為每個(gè)可信應(yīng)用隨機(jī)產(chǎn)生共享密鑰，保護(hù)各可信應(yīng)用的數(shù)據(jù)，且可信應(yīng)用間互不可見密鑰?？尚鸥壎ㄓ布ㄒ粯?biāo)識(shí)信息，運(yùn)行階段生成。在可信環(huán)境下可以獲取此信息，且各設(shè)備都不同且唯一。安全驅(qū)動(dòng)TEE（SPII2C等放系統(tǒng)無法訪問。（升級(jí)等的安全資產(chǎn)。日志審計(jì)及安全態(tài)勢(shì)感知技術(shù)記錄查詢、分類和存儲(chǔ)保護(hù)，并可由安全管理中心管理。物聯(lián)網(wǎng)操作系統(tǒng)的日志審計(jì)相對(duì)于其他系統(tǒng)場(chǎng)景，有如下特征:1、審計(jì)日志覆蓋范圍更廣。需要覆蓋從設(shè)備到應(yīng)用全系統(tǒng)領(lǐng)域，大致可分為：息安全管理等；系統(tǒng)日志。如系統(tǒng)運(yùn)行、告警、錯(cuò)誤信息、關(guān)鍵狀態(tài)監(jiān)控信息等；運(yùn)維日志。如用戶登錄、用戶操作、系統(tǒng)更改、異常事件等。日志存儲(chǔ)位置和上報(bào)策略需要滿足硬件資源限制，日志存儲(chǔ)時(shí)限需要滿足《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中的約束。2、日志審計(jì)策略需要有很強(qiáng)的及時(shí)性。需要及時(shí)將安全事件上報(bào)，并有一定智能化自處理能力，對(duì)重大安全威脅進(jìn)行實(shí)時(shí)的防范。3、日志審計(jì)需要具備多層次性由于物聯(lián)網(wǎng)場(chǎng)景的如上特征，需要建立統(tǒng)一高效的安全風(fēng)險(xiǎn)識(shí)別和通報(bào)機(jī)規(guī)律、動(dòng)向、趨勢(shì)，這就需要物聯(lián)網(wǎng)安全態(tài)勢(shì)感知技術(shù)。物聯(lián)網(wǎng)安全態(tài)勢(shì)感知技術(shù)通過收集EndsleyOODA控制循環(huán)所示。通過集成在物聯(lián)網(wǎng)操作系統(tǒng)中的安全態(tài)勢(shì)感知模塊（SDK）和安全態(tài)勢(shì)感知平臺(tái)協(xié)同，提供一套解決方案。圖6物聯(lián)網(wǎng)安全態(tài)勢(shì)感知技術(shù)參考實(shí)現(xiàn)方案安全態(tài)勢(shì)感知平臺(tái)的實(shí)現(xiàn)有如下關(guān)鍵技術(shù)：1、可擴(kuò)展且開放的大數(shù)據(jù)平臺(tái)架構(gòu)。采用靈活先進(jìn)的柔性平設(shè)計(jì)，可以滿足各種不同規(guī)模的部署場(chǎng)景，支持快速擴(kuò)展。2、資產(chǎn)生命周期管理技術(shù)資產(chǎn)的安全管理。3、基于智能決策推理引擎的風(fēng)險(xiǎn)評(píng)估和預(yù)測(cè)技術(shù)和情報(bào)綜合進(jìn)行威脅判定和深度關(guān)聯(lián)分析，綜合考慮資產(chǎn)重要性、開放端口/服務(wù)/安裝中間件、資產(chǎn)漏洞信息、資產(chǎn)上發(fā)生的威脅等級(jí)、結(jié)果、影響，進(jìn)行威脅與攻擊事件的判定。4、威脅全過程管控的威脅研判體系框架則，體系化梳理規(guī)則可信度、規(guī)則熱度、風(fēng)險(xiǎn)等級(jí)、戰(zhàn)術(shù)標(biāo)記能力，并結(jié)合日常運(yùn)營、攻防演練進(jìn)行持續(xù)化運(yùn)營和優(yōu)化，提供高可信+高頻+風(fēng)險(xiǎn)等級(jí)較高的內(nèi)置運(yùn)營場(chǎng)景能力。5、基于線索式的威脅狩獵與溯源取證技術(shù)。平臺(tái)提供針對(duì)可疑線索（IPMD5等）/度下的攻擊過程。6SOARPlaybook自動(dòng)化觸發(fā)不同安全設(shè)備執(zhí)行響應(yīng)動(dòng)作。7、用戶行為分析技術(shù)（UEBA）。平臺(tái)提供用戶異常行為分析能力，基于(IP應(yīng)用、設(shè)備和網(wǎng)絡(luò)等)的行為進(jìn)行評(píng)估、關(guān)聯(lián)并建立基線，以發(fā)現(xiàn)內(nèi)部威脅以及外部入侵行為。安全態(tài)勢(shì)感知模塊的實(shí)現(xiàn)有如下關(guān)鍵技術(shù)：1、網(wǎng)絡(luò)數(shù)據(jù)采集技術(shù)：采集網(wǎng)絡(luò)通信的五元組信息及DNS信息，并上傳到云端態(tài)勢(shì)平臺(tái)處理。2、本地進(jìn)程信息采集技術(shù)：本地?cái)?shù)據(jù)以腳本形式采集并保存文件，分別對(duì)CPU信息、內(nèi)存信息、進(jìn)程信息、文件信息、設(shè)備信息的進(jìn)行采集。3、基線檢測(cè)技術(shù)：訂閱基線，獲取平臺(tái)下發(fā)的基線（CPU/內(nèi)存/進(jìn)程/文件/訪問/DNS策略），對(duì)終端行為進(jìn)行實(shí)時(shí)監(jiān)控。4IDS蓋病毒、蠕蟲、間諜軟件、木馬后門、掃描探測(cè)、暴力破解等行為。5、網(wǎng)絡(luò)黑白名單檢測(cè)技術(shù)：獲取平臺(tái)下發(fā)的網(wǎng)絡(luò)訪問控制策略，結(jié)合異常行為監(jiān)控引擎對(duì)異常訪問事件進(jìn)行實(shí)時(shí)監(jiān)控。6引擎對(duì)異常進(jìn)程事件進(jìn)行實(shí)時(shí)監(jiān)控。7引擎對(duì)異常文件事件進(jìn)行實(shí)時(shí)監(jiān)控。8、DNS黑白名單檢測(cè)技術(shù)：獲取平臺(tái)下發(fā)的DNS控制策略，結(jié)合DNS監(jiān)DNS事件進(jìn)行實(shí)時(shí)監(jiān)控。9DNS行為阻斷、入侵行為阻斷等。系統(tǒng)升級(jí)安全技術(shù)程升級(jí)/更新是讓物聯(lián)網(wǎng)設(shè)備及操作系統(tǒng)安全的一個(gè)基礎(chǔ)功能。系統(tǒng)遠(yuǎn)程升級(jí)/更新的安全技術(shù)主要涉及更新來源可靠、完整性、機(jī)密性、更新失敗的恢復(fù)、防止回滾等。1HTTPS服務(wù)。2、完整性：在保證更新來源可靠的措施公鑰簽名技術(shù)中，通常已經(jīng)包含了完整性檢查，比如簽名值通常是對(duì)下載內(nèi)容摘要值或哈希值的簽名。3、機(jī)密性：為了減少物聯(lián)網(wǎng)操作系統(tǒng)被攻擊的風(fēng)險(xiǎn)，對(duì)于閉源物聯(lián)網(wǎng)操作系統(tǒng)來說，可以在下載更新時(shí)增加對(duì)稱加密技術(shù)的保護(hù)措施。4ABABBAA區(qū)來下載更新保證更新失敗時(shí)可以恢復(fù)。因此，AB區(qū)之間反復(fù)切換的乒乓升級(jí)過程是可以保證更新失敗時(shí)可恢復(fù)的。5TEE等物理可信根的支持。即在物理可信根中保存當(dāng)前版資源競(jìng)爭(zhēng)安全技術(shù)（例源配額上限的時(shí)候，系統(tǒng)訪問返回失敗。1CPU23量，包括二進(jìn)制信號(hào)量，計(jì)數(shù)信號(hào)量，互斥信號(hào)量，POSIX信號(hào)量?？赏ㄟ^配信號(hào)量不超過配額。4、消息隊(duì)列配額5允許的范圍內(nèi)。物聯(lián)網(wǎng)操作系統(tǒng)全生命周期中的安全指導(dǎo)安全設(shè)計(jì)滿足安全需求。1、信任控制：物聯(lián)網(wǎng)操作系統(tǒng)運(yùn)行中的相關(guān)模塊和程序需要經(jīng)過原廠簽碼/模塊的注入。2復(fù)。3間內(nèi)完成操作，同時(shí)嚴(yán)格限制非必要服務(wù)端口的對(duì)外暴露。4、權(quán)限分離：應(yīng)使用多個(gè)特權(quán)條件來限制用戶訪問某個(gè)對(duì)象。5服務(wù)層、應(yīng)用層以及數(shù)據(jù)層等實(shí)施安全控制措施，建立縱深防御體系。6、簡潔性：盡量避免把目前并不需要的功能加到信息系統(tǒng)中來，減少錯(cuò)誤發(fā)生的機(jī)率。開發(fā)過程中，代碼越簡潔，漏洞出現(xiàn)的可能性就會(huì)越小。7、最少共用：避免多個(gè)主體通過共享機(jī)制使用同一資源。8、單元分割：單元模塊設(shè)計(jì)應(yīng)該松散耦合，可獨(dú)立部署，增加重用性。9、完全檢測(cè)：對(duì)用戶輸入系統(tǒng)的任何數(shù)據(jù)都應(yīng)當(dāng)進(jìn)行合法性校驗(yàn)，必要時(shí)還應(yīng)在系統(tǒng)處理過程中和輸出時(shí)也進(jìn)行數(shù)據(jù)合法性檢査。10、身份鑒別：可以參考物聯(lián)網(wǎng)操作系統(tǒng)關(guān)鍵安全技術(shù)章節(jié)中的身份鑒別技術(shù)。安全實(shí)現(xiàn)“安全左移”結(jié)束階段（開始階段由此順利銜接安全與研發(fā)相關(guān)工具及流程。1、安全編碼原則的可讀性、易維護(hù)性，提高程序運(yùn)行效率和穩(wěn)定性。一些安全組織和企業(yè)已經(jīng)公開了一些編碼標(biāo)準(zhǔn)和規(guī)范，可以提供參考。如C、C++、Java發(fā)布了《MISRAC編碼規(guī)范等。2、軟件安全編譯最新版本補(bǔ)丁的目標(biāo)環(huán)境進(jìn)行編譯。3、代碼安全審核透等。SASTSCA。靜態(tài)代碼者潛在的許可證授權(quán)問題。BOON、Cqual、Xg++FindBugs等，商業(yè)工FortifyCoverity綠盟科技等。安全測(cè)試防御能力使設(shè)備在現(xiàn)網(wǎng)應(yīng)用不被非法入侵，保證產(chǎn)品的穩(wěn)定運(yùn)行。1、靜態(tài)代碼分析2、固件包分析CVE漏洞庫匹配，分析出有漏洞的組件，發(fā)現(xiàn)潛在漏洞。3、安全動(dòng)態(tài)分析（網(wǎng)操作系統(tǒng)運(yùn)行中的潛在安全問題。4、模糊測(cè)試模糊測(cè)試主要通過向物聯(lián)網(wǎng)操作系統(tǒng)輸入無效數(shù)據(jù)，以期望觸發(fā)錯(cuò)誤條件或測(cè)試主要通過以下三種方式：借助模糊測(cè)試工具觸發(fā)手工編寫腳本使用發(fā)包工具進(jìn)行組包攻擊5、滲透測(cè)試滲透測(cè)試是使用非常規(guī)的方法和發(fā)散性思維對(duì)物聯(lián)網(wǎng)操作系統(tǒng)進(jìn)行深入探shell權(quán)限等。5YD/B173-2017準(zhǔn)整理的安全測(cè)試要點(diǎn)，供參考。3物聯(lián)網(wǎng)操作系統(tǒng)安全測(cè)試點(diǎn)測(cè)試項(xiàng)測(cè)試子項(xiàng)測(cè)試點(diǎn)接入安全網(wǎng)絡(luò)接入認(rèn)證驗(yàn)證系統(tǒng)接入網(wǎng)絡(luò)時(shí)采用的身份認(rèn)證及鑒別機(jī)制網(wǎng)絡(luò)訪問控制驗(yàn)證系統(tǒng)訪問網(wǎng)絡(luò)時(shí)采用的雙向身份認(rèn)證機(jī)制通信安全傳輸完整性通過校驗(yàn)工具查看傳輸前后的數(shù)據(jù)保持一致傳輸保密性通過流量分析數(shù)據(jù)在傳輸過程中未采用明文傳輸抗重放攻擊測(cè)試系統(tǒng)在數(shù)據(jù)通信時(shí)，抓取報(bào)文后重放報(bào)文，系統(tǒng)不響應(yīng)或者提示無效報(bào)文系統(tǒng)安全用戶身份鑒別用戶標(biāo)識(shí)的唯一性用戶登錄的身份鑒別訪問控制操作系統(tǒng)具備訪問控制機(jī)制，根據(jù)系統(tǒng)管理員設(shè)置的訪問控制策略，系統(tǒng)中所有主體、客體都應(yīng)遵循訪問控制機(jī)制系統(tǒng)安全審計(jì)審計(jì)范圍應(yīng)覆蓋到每個(gè)系統(tǒng)用戶審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用等重要的安全相關(guān)事件客體標(biāo)識(shí)和結(jié)果等保護(hù)操作系統(tǒng)審計(jì)記錄，避免被刪除、修改或覆蓋系統(tǒng)安全隔離通過命令驗(yàn)證終端對(duì)操作系統(tǒng)資源和各類數(shù)據(jù)進(jìn)行安全隔離，存儲(chǔ)空間進(jìn)行劃分資源訪問控制驗(yàn)證系統(tǒng)中客體的訪問屬性讀、寫、執(zhí)行等訪問權(quán)限設(shè)置客體僅允許客體擁有者對(duì)其訪問權(quán)限進(jìn)行設(shè)置，且客體擁有者無法把客體的控制權(quán)分配給其他主體升級(jí)更新機(jī)制升級(jí)通道加密升級(jí)鏡像包加密升級(jí)失敗時(shí)系統(tǒng)可回退可用數(shù)據(jù)安全數(shù)據(jù)完整性存儲(chǔ)數(shù)據(jù)內(nèi)容進(jìn)行完整性保護(hù)和驗(yàn)證，檢測(cè)到完整性錯(cuò)誤時(shí)采用必要的恢復(fù)措施數(shù)據(jù)可用性驗(yàn)證系統(tǒng)重要數(shù)據(jù)有備份機(jī)制，刪除之后仍然可以正?；謴?fù)數(shù)據(jù)機(jī)密性對(duì)鑒別信息、重要業(yè)務(wù)數(shù)據(jù)等敏感內(nèi)容進(jìn)行加密存儲(chǔ)驗(yàn)證個(gè)人信息安全個(gè)人信息檢測(cè)操作系統(tǒng)中不應(yīng)該存儲(chǔ)個(gè)人相關(guān)信息數(shù)據(jù)，除非有客戶授權(quán)個(gè)人信息刪除檢查個(gè)人信息徹底刪除，且不可恢復(fù)安全運(yùn)維物聯(lián)網(wǎng)操作系統(tǒng)的安全運(yùn)維要從身份標(biāo)識(shí)、訪問控制、系統(tǒng)檢測(cè)處理機(jī)制、漏洞管理、網(wǎng)絡(luò)隔離、數(shù)據(jù)安全、日志審計(jì)等方面進(jìn)行要求。1物聯(lián)網(wǎng)操作系統(tǒng)的身份標(biāo)識(shí)的唯一性，減少故障或風(fēng)險(xiǎn)的產(chǎn)生。2符合安全復(fù)雜度的要求。建議不要采用互聯(lián)網(wǎng)遠(yuǎn)程維護(hù)訪問方式。34追溯?？赏ㄟ^下面兩種方式獲取漏洞。（件庫），以發(fā)現(xiàn)最新的漏洞；通過官方渠道及時(shí)了解使用的物聯(lián)網(wǎng)操作系統(tǒng)存在的漏洞。5ACL列表，只允許經(jīng)過授權(quán)的服務(wù)請(qǐng)求。6、運(yùn)維數(shù)據(jù)安全要求：主要包括數(shù)據(jù)存儲(chǔ)安全和數(shù)據(jù)備份安全要求。程度，存儲(chǔ)位置，角色訪問權(quán)限等。刪除后供恢復(fù)使用。7物聯(lián)網(wǎng)操作系統(tǒng)安全技術(shù)應(yīng)用實(shí)例工業(yè)安全容器2019年推出了基于其自主操作系統(tǒng)的工業(yè)安全容器（ECS），入式設(shè)備容易受到來自不可信賴或惡意程序的攻擊以及應(yīng)用資源競(jìng)爭(zhēng)等問題。工業(yè)安全容器技術(shù)支持將應(yīng)用環(huán)境整體打包成為一個(gè)標(biāo)準(zhǔn)化單元，實(shí)現(xiàn)開硬件設(shè)施上運(yùn)行不同軟件時(shí)的沖突。7工業(yè)安全容器架構(gòu)工業(yè)安全容器技術(shù)可在物聯(lián)網(wǎng)操作系統(tǒng)和容器內(nèi)的應(yīng)用程序之間提供一道為容器提供安全隔離機(jī)制，同時(shí)比虛擬機(jī)更輕量級(jí)、更高效。POSIXAF_UNIXIPC等資源進(jìn)行隔離，確保容器具有完整獨(dú)立的運(yùn)行環(huán)境，免受外在環(huán)境差異的影響。CPU運(yùn)行時(shí)間、內(nèi)存大小、內(nèi)核shell命提升系統(tǒng)整體的安全性。容器支持輕量級(jí)實(shí)現(xiàn)，對(duì)CPU和內(nèi)存消耗極少，系統(tǒng)鏡像可控制在6MB以內(nèi)，為工業(yè)場(chǎng)景的應(yīng)用提供了更加安全可靠的系統(tǒng)解決方案，滿足其對(duì)性能、實(shí)時(shí)性、安全性、可靠性的高標(biāo)準(zhǔn)要求。平臺(tái)安全架構(gòu)PSA簡介公司在201710月對(duì)外發(fā)布了IoT領(lǐng)域的安全框架-PlatformSecurityArchitecture（IoT網(wǎng)的設(shè)備及其輸出的數(shù)據(jù)都是可信的。PSA提供了從安全分析、軟硬件架構(gòu)規(guī)范、參考實(shí)現(xiàn)、再到認(rèn)證的完整流程：1、安全分析：通過對(duì)目標(biāo)系統(tǒng)進(jìn)行威脅建模，明確在設(shè)計(jì)時(shí)所必須的安全ArmIoT（ThreatandSecurityAnalyses，TMSA）全需求。2IoT領(lǐng)域主要的文檔包括：固件框架（FirmwareFrameworkforM）Arm?Cortex?-M系列處理器上的安全應(yīng)用程序的標(biāo)準(zhǔn)編程環(huán)境及基礎(chǔ)的根信任?？尚呕A(chǔ)系統(tǒng)架構(gòu)-TBSA（TrustedBaseSystemArchitectureforM）：Armv8-M架構(gòu)處理器的硬件要求規(guī)范，以及針對(duì)不支持TrustZoneArmv6-MArmv7-M架構(gòu)處理器的最佳實(shí)踐建議。（Security具有已知安全屬性的產(chǎn)品的關(guān)鍵目標(biāo)。（PlatformSecurityBoot平臺(tái)安全要求（PlatformSecurityRequirements）SoC預(yù)期的最低安全要求?；谡J(rèn)證的調(diào)試訪問控制規(guī)范（AuthenticatedDebugAccessControl3PSAPSAAPIIoTArmTF-MPSA固件參考實(shí)現(xiàn)，TF-M的介紹。PSAAPI（PSAFunctionalAPIs）：目前定義了針對(duì)密碼學(xué)（Secure（Attestation）及固件升級(jí)（FirmwareUpdate）API。API測(cè)試程序（APItestsuite）API接口有沒有被正確實(shí)現(xiàn)。4、認(rèn)證：提供基于安全實(shí)驗(yàn)室評(píng)估的安全認(rèn)證。PSA認(rèn)證目前包含兩部分內(nèi)容[7]：APIPSAAPI被正確的實(shí)現(xiàn)并檢查其一致性。安全認(rèn)證：提供了三個(gè)級(jí)別的安全認(rèn)證對(duì)應(yīng)到不同場(chǎng)景的安全需求。表4PSA安全認(rèn)證等級(jí)概述認(rèn)證級(jí)別第1級(jí)第2級(jí)第3級(jí)穩(wěn)健性級(jí)別RoTOS的安全模型目標(biāo)基于實(shí)驗(yàn)室的PSA-RoT防軟件攻擊和“輕量級(jí)”硬件攻擊的評(píng)估可以防御額外的大量軟件和硬件攻擊認(rèn)證過程實(shí)驗(yàn)室檢查問卷實(shí)驗(yàn)室評(píng)估、白盒測(cè)試實(shí)驗(yàn)室根據(jù)更高級(jí)別要求，進(jìn)行測(cè)試認(rèn)證結(jié)果PSAC上的證書PSAC上的證書PSAC上的證書上述規(guī)范文檔資料可以從Arm官網(wǎng)免費(fèi)下載：/architectures/architecture-security-features/platform-security。PSA認(rèn)證相關(guān)內(nèi)容可參閱：/。TF-M簡介TF-M全稱為TrustedFirmwareM，是Arm創(chuàng)建的符合PSA規(guī)范的開源固件TrustedFirmwareBSD-3開源許可協(xié)議。支持PSAFirmwareFrameworkAPIFunctionalPSA規(guī)范一起PSATF-M作為安全側(cè)固件。TF-MTrustZoneArmv8-MArm?Cortex?-MArm?Cortex?-A核+Cortex?-M核的多處理器系統(tǒng)。圖8運(yùn)行TF-M的典型系統(tǒng)模塊框圖如圖8所示，TF-M主要提供了這些功能特性：1MCUBootBootloader來進(jìn)行安全TF-MBootloaderRomCode。2、安全存儲(chǔ)：FlashFlash可以對(duì)存儲(chǔ)內(nèi)容進(jìn)行加密、完整性驗(yàn)證及防回滾保護(hù)。3、加解密服務(wù)：mbedTLS作為加解密引擎，提供各種基于密碼的底層加解密庫。4、與Bootloader配合提供驗(yàn)證及更新系統(tǒng)鏡像的服務(wù)。5版本、安全生命周期等。更多關(guān)于TF-M的細(xì)節(jié)可以在TF-M幫助文檔[8]中找到。嵌入式防火墻ARP欺騙攻擊，SYN泛洪攻擊等，以保護(hù)物聯(lián)網(wǎng)設(shè)備及系統(tǒng)安全。9SylixOS220K防火墻內(nèi)部包括四個(gè)防御模塊，網(wǎng)絡(luò)風(fēng)暴防御模塊，重放攻擊防御模塊，ARP欺騙防御模塊，及SYN泛洪防御模塊。四種防御模塊具體功能如下：1、網(wǎng)絡(luò)風(fēng)暴防御模塊：自動(dòng)識(shí)別產(chǎn)生風(fēng)暴的設(shè)備和風(fēng)暴報(bào)文類型；實(shí)時(shí)監(jiān)持動(dòng)態(tài)配置拉黑時(shí)間。2、重放攻擊防御模塊：通過隨機(jī)驗(yàn)證碼進(jìn)行報(bào)文唯一性驗(yàn)證，支持驗(yàn)證碼產(chǎn)生時(shí)間隔間修改；支持局域網(wǎng)和非局域網(wǎng)環(huán)境下的重放攻擊防御。3、ARP欺騙防御模塊：自動(dòng)識(shí)別新加入網(wǎng)絡(luò)的設(shè)備信息；自動(dòng)進(jìn)行MAC（MediaAccessControlIPMAC變化MAC、IPARP欺騙這兩種網(wǎng)絡(luò)狀況，支持快速識(shí)別與處理。4、SYNSYNSYN泛洪時(shí)，采取白名單通信機(jī)制。圖9嵌入式防火墻結(jié)構(gòu)圖輕量級(jí)傳輸層安全協(xié)議OneTLSTLS的(D)TLS1.3品中。OneTLS可以根據(jù)實(shí)際情況靈活地裁剪，以降低對(duì)硬件資源的消耗。OneTLS具有以下技術(shù)特點(diǎn)：1TLS1.3（RFC8446）DTLS1.3（RFC9147）標(biāo)準(zhǔn)，取消MD53DESRC42PSK數(shù)據(jù)傳輸，節(jié)省了連接建立時(shí)的交互次數(shù)，實(shí)現(xiàn)更快的訪問速度；3、支持商密算法，實(shí)現(xiàn)了IETF標(biāo)準(zhǔn)商密套件（RFC8998ShangMi(SM)CipherSuitesforTLSPSACryptography內(nèi)部加密引擎或片外安全芯片的密碼計(jì)算調(diào)用；4、資源占用低至15KB，適用于存儲(chǔ)資源受限的場(chǎng)景，有效降低物聯(lián)網(wǎng)設(shè)備安全通信的硬件門檻和成本。圖10OneTLS分層結(jié)構(gòu)圖建議及展望物聯(lián)網(wǎng)感知控制域復(fù)雜多變的環(huán)境使得物聯(lián)網(wǎng)設(shè)備及操作系統(tǒng)面臨著嚴(yán)峻源有限的現(xiàn)實(shí)狀況卻使得物聯(lián)網(wǎng)設(shè)備及操作系統(tǒng)難以承載復(fù)雜的安全技術(shù)和措展多方面的工作，共同推動(dòng)物聯(lián)網(wǎng)設(shè)備及操作系統(tǒng)安全技術(shù)發(fā)展和應(yīng)用：1、共同完善物聯(lián)網(wǎng)操作系統(tǒng)安全技術(shù)體系持續(xù)完善物聯(lián)網(wǎng)操作系統(tǒng)安全技術(shù)體系建設(shè)，定義統(tǒng)一的安全接口和規(guī)范，以指導(dǎo)實(shí)現(xiàn)物聯(lián)網(wǎng)操作系統(tǒng)安全子系統(tǒng)的輕量化模塊化設(shè)計(jì)。2、共同促進(jìn)物聯(lián)網(wǎng)軟硬安全技術(shù)協(xié)同發(fā)展和應(yīng)用的安全性和協(xié)同性發(fā)展。3、共同加快物聯(lián)網(wǎng)設(shè)備及操作系統(tǒng)內(nèi)生安全能力的構(gòu)建雜多變的物聯(lián)網(wǎng)安全環(huán)境，加快構(gòu)建物聯(lián)網(wǎng)設(shè)備及操作系統(tǒng)內(nèi)生安全的能力。PAGEPAGE45縮略語列表縮略語英文全名中文解釋ADACAuthenticatedDebugAccessControlSpecification基于認(rèn)證的調(diào)試訪問控制規(guī)范ABACAttribute-basedAccessControl基于屬性的訪問控制AEADAuthenticatedEncryptionwithAssociatedData用于關(guān)聯(lián)數(shù)據(jù)的認(rèn)證加密AESAdvancedEncryptionStandard高級(jí)加密標(biāo)準(zhǔn)ASLRAddressSpaceLayoutRandomization地址空間布局隨機(jī)化BLEBluetoohLowEnergy藍(lán)牙低能耗技術(shù)CBCCipherBlockChaining密碼分組鏈接模式CCMCipherBlockChaining-MessageAuthenticationCode密碼分組鏈接消息認(rèn)證碼CFBCipherFeedbackMode加密反饋模式CNSACommercialNationalSecurityAlgorithm美國商業(yè)國家安全算法CTRCountermode計(jì)數(shù)器模式DACDiscretionaryAccessControl自主訪問控制DDoSDistributedDenialofService分布式拒絕服務(wù)DESDataEncryptionStandard數(shù)據(jù)加密標(biāo)準(zhǔn)DEP/NXDataExecutionPrevention/No-executeDEP/NX數(shù)據(jù)執(zhí)行保護(hù)技術(shù)DHDiffieHellmanKeyExchangeAlgorithm迪菲-赫爾曼密鑰交換協(xié)議/算法DICEDeviceIdentifierCompositionEngine設(shè)備標(biāo)識(shí)組合引擎DTLSDatagramTransportLayerSecurity數(shù)據(jù)包傳輸層安全協(xié)議ECBElectronicCodeBook電子密碼本模式ECCEllipticCurveCryptography橢圓曲線ECDHEllipticCurveDiffie-Hellman橢圓曲線迪菲-赫爾曼算法E