2022物聯(lián)網操作系統(tǒng)安全白皮書

物聯(lián)網操作系統(tǒng)安全白皮書（2022年）2022年9月物聯(lián)網操作系統(tǒng)安全白皮書物聯(lián)網操作系統(tǒng)安全白皮書PAGE\*ROMANPAGE\*ROMANIV目 錄物聯(lián)網操作系統(tǒng)概述 1物網及聯(lián)網作系統(tǒng) 1物聯(lián)網簡介及發(fā)展趨勢 1物聯(lián)網操作系統(tǒng)簡介及架構 1物聯(lián)網操作系統(tǒng)特點 2物聯(lián)網操作系統(tǒng)發(fā)展趨勢 3典物聯(lián)操作統(tǒng)安架構 3物聯(lián)網操作系統(tǒng)安全分析 6物網操系統(tǒng)全發(fā)態(tài)勢 6物網操系統(tǒng)型安問題 8典物聯(lián)場景的安風險析 10工業(yè)控制 10智能家居 11智能表計 12車聯(lián)網 13視頻網 14物聯(lián)網操作系統(tǒng)關鍵安全技術 15身鑒別術 15訪控制術 17密技術 18物網通安全術 20可計算可信行環(huán)技術 22日審計安全勢感技術 25系升級全技術 28資競爭全技術 29物聯(lián)網操作系統(tǒng)全生命周期中的安全指導 30安設計 30安實現 31安測試 32安運維 34物聯(lián)網操作系統(tǒng)安全技術應用實例 35工安全器 35平安全構 36PSA簡介 36TF-M簡介 37嵌式防墻 38輕級傳層安協(xié)議 39建議及展望 41縮略語列表 42參考文獻 45物聯(lián)網操作系統(tǒng)安全白皮書物聯(lián)網操作系統(tǒng)安全白皮書PAGEPAGE27物聯(lián)網操作系統(tǒng)概述物聯(lián)網及物聯(lián)網操作系統(tǒng)物聯(lián)網簡介及發(fā)展趨勢物聯(lián)網是““物”指物ISO/IEC22417:2017InternetofthingsIoTIoTusecases》穿戴、機車、智慧城市等。1312025246億，全球物聯(lián)網行業(yè)正處于高速發(fā)展期。30%1.7萬億元[1]，呈現出良好的增長態(tài)勢。2021年，工信部發(fā)布《物聯(lián)網新型基礎設施建設三年行動計劃》，明確提出“融合應用發(fā)展行動”物聯(lián)網操作系統(tǒng)簡介及架構物聯(lián)網操作系統(tǒng)是支持物聯(lián)網技術大規(guī)模發(fā)展的核心基礎軟件，包括操作1所示。AI1物聯(lián)網操作系統(tǒng)架構示意圖物聯(lián)網操作系統(tǒng)特點UNIXI/OLinux作系統(tǒng)。WindowsmacOS獨樹一幟，Linux窗口制作優(yōu)美，操作簡單易學。AndroidiOS屏的交互設計。相比傳統(tǒng)操作系統(tǒng)，物聯(lián)網操作系統(tǒng)通常具備如下的特性[2]：1“”塊化設計以及任務調度分層化管理等。2的電源續(xù)航能力。3、安全性：軟件功能缺陷而導致安全風險。45GPRS/HSPA/4G/5G/NB-IoT等蜂窩無線通信功能，WiFi/ZigBee/NFC/RFID等近場通信功能。6連接中間件，物聯(lián)網操作系統(tǒng)可以極大的簡化物聯(lián)網應用的開發(fā)。物聯(lián)網操作系統(tǒng)發(fā)展趨勢AndroidwatchOSPC上增加物聯(lián)網通AliOSThingsOneOS等。建設，而生態(tài)建設、應用研發(fā)適配以及開發(fā)者培育都需要時間。典型物聯(lián)網操作系統(tǒng)安全架構系統(tǒng)安全性的一個趨勢。μC/OSContikiMbedOSQNX?Neutrino?ZephyrThreadXLiteOS、AliOSThingsUNIXUNIXLinux、QNX、AndroidOS等。1、資源受限型物聯(lián)網操作系統(tǒng)2服務層/框架層、應用層。受限于硬件性能，該類物聯(lián)網操作系統(tǒng)安全功能較為ArmArmv8-M中引入了TrustZone-MTF-M固件安全解決方案；翼輝提供了嵌入式防火墻，能有效防御常見的網絡攻擊；OneOSTLS，可利用極低的資源消耗實現數據加密和安全通信服務；LiteOS提供了LMS（LiteMemorySanitizer）服務，能夠實時檢測內存操作的合法性。圖2典型資源受限型物聯(lián)網操作系統(tǒng)及安全架構2、資源豐富型物聯(lián)網操作系統(tǒng)3UNIX員用戶況下使用類型增強訪問控制機制EnforcementAccessControl，TEAC）會更合適?？蛇x的安全模型及安全機制有：BLP模型、Bida模型、Clark-WilsonChinese模型等；基于硬件的內存保護機制、運行域保護機制、I/O保護機LSM（Linux安全模塊）框架，（SimplifiedMandatoryAccessControlKernel，SMACK）提供了基于路徑的訪問控制機制等。圖3典型資源豐富型物聯(lián)網操作系統(tǒng)及安全架構物聯(lián)網操作系統(tǒng)安全分析物聯(lián)網操作系統(tǒng)安全發(fā)展態(tài)勢1、物聯(lián)網設備及操作系統(tǒng)面臨日趨嚴峻的安全威脅20203月一種新型DVRUDP反射攻擊方法被發(fā)現[4]UDP反射攻擊方法，利用的是某視頻監(jiān)控廠商的設備發(fā)DHDiscoverIP地址發(fā)送服務發(fā)DDoS反射攻擊。在設備對DHDiscover服務探測報文回應的內容中可以AccessControlPort、設備序列號、設備版本號等。本次攻擊流量規(guī)模50Gbps。2020324oAllSueuidonkn披露了一LinuxOpenWrt的RCE（OpenWrtOpkg包管理器中，由于包解析邏SHA-256從而繞過了對已下載.ipkOpkgroot權限以及特制的.ipk2017年2月份就被引入代碼，距披露時有三年之久。20205月研究人員披露了一個藍牙協(xié)議棧漏洞，攻擊者可以利用這個漏洞偽造并欺騙遠程配對的藍牙設備，形成藍牙冒充攻擊（BIAS），其危害性影BIAS攻擊就是利用了這個特性。2020年6月8日，安全專家披露了一個名為“CallStranger”（漏洞編號為的新型UPnPWindowsPCXboxOneD-LinkNetgearTP-LinkDDoS攻擊，并繞過安全系統(tǒng)進行內網滲透及內部端口掃描。2020616日，TreckTCP/IP協(xié)議棧被發(fā)現了190day漏洞（又名“Ripple20”）IoT設備，小到家用打印機、攝像頭，大到工業(yè)控制500施耐德電氣，英特爾等，都深受其害。2020715“BadPower”“BadPower”億計?！巴脐惓鲂翫DoS反射攻擊。DHDiscover反射攻擊利用了設備廠商的私有協(xié)議，物聯(lián)網UDP聯(lián)網操作系統(tǒng)設計和實現過程中針對無線通訊的安全不容忽視。10釣魚欺詐等攻擊，危害物聯(lián)網和互聯(lián)網等重要基礎設施和廣大普通用戶。2、物聯(lián)網操作系統(tǒng)安全面臨的困境還將繼續(xù)存在。對于物聯(lián)網操作系統(tǒng)的安全功能來說，也存在相同的情況。ArmMbedOSAliOSThingsLiteOS以及美的智能家電物聯(lián)網OS為例，大多數物聯(lián)網操作系統(tǒng)都集成了Arm公司開發(fā)的MbedTLS。MbedTLS30KB，但是這對某些物聯(lián)網設網設備廠商和開發(fā)者需要共同關注的問題。3、物聯(lián)網操作系統(tǒng)安全的研發(fā)現狀SDK通過將安全SDK植入到物聯(lián)網操作系統(tǒng)中來提高終端與外部通信安全。網廠商擁有檢測物聯(lián)網設備的安全和可信狀態(tài)的能力。2獨立的、輕量級的可信執(zhí)行環(huán)境，用于保護原有內核的關鍵操作。4、物聯(lián)網操作系統(tǒng)安全相關的法律法規(guī)及標準規(guī)范發(fā)展情況[5]20152007-T-469GB/T36951-2018物聯(lián)GB/T37093-2018物聯(lián)網感知層接入通信網的安全要求》等。目前明確針對物聯(lián)網操作系統(tǒng)相關的標準僅有《GB/T34976-2017移動智能終端操作系統(tǒng)安全技術要求和測試評價方法》及《YD/B173-2017物聯(lián)網終端嵌入式操作系統(tǒng)安全技術要求》，尚缺實施指南、檢測評計和實施進行規(guī)范指導。物聯(lián)網操作系統(tǒng)典型安全問題物聯(lián)網操作系統(tǒng)面臨的安全問題主要涉及如下方面：1、非授權訪問使得非授權訪問惡意攻擊造成的影響范圍大，進而帶來嚴重的經濟損失。2、數據安全物聯(lián)網終端設備硬件容易被攻擊者直接獲取并通過刷寫工具或逆向分析獲3、攻擊檢測及防御取相應的安全措施。4、遠程升級安全升級包進行完整性校驗等。5、通信安全、ZigBee等近距離通信協(xié)議，LoRa、NB-IoTMQTT、HTTP等高層統(tǒng)的通信，獲取系統(tǒng)敏感信息，或是篡改關鍵通信信息，破壞其通信過程。6、新技術帶來的挑戰(zhàn)IPv6容器、微服務等新技術的加快融合，新技術給物聯(lián)網帶來了功能和性能的提升，但也對現有的物聯(lián)網安全防護措施帶來了新的挑戰(zhàn)。IPv6將物聯(lián)網設備暴露于公共網絡中，內部和外部系統(tǒng)之間的通信不再有備將更容易遭受網絡攻擊。API（NetworkFunctionVirtualization，NFV）等技術，開放性的特點容易將物聯(lián)網邊緣節(jié)點暴露給外部攻擊者。典型物聯(lián)網場景中的安全風險剖析工業(yè)控制隨著信息技術（IT）和操作技術（OT）網絡數字化轉型和融合的加速，物聯(lián)網(IoT)和工業(yè)物聯(lián)網(IIoT)設備正成為石油和天然氣、能源、公用事業(yè)、制造生產質量、可靠性以及響應性。IT類風險之中。工業(yè)物聯(lián)網場景下的風險主要源于以下幾個方面：1現了訪問設備的用戶憑據被硬編碼在設備硬件中，或者在管理過程中使用弱口設。2、重放攻擊：工業(yè)控制場景的通信協(xié)議設計的關注重點在實時性和功能度的加密保護，使得攻擊者可以捕獲設備啟動/停止命令的數據包，在不做任何修改的情況下就可以直接發(fā)送給控制設備引發(fā)設備啟動/停止，從而實施非授權操作，給整個業(yè)務流程帶來風險。3擊。而工控系統(tǒng)中一個節(jié)點設備的異常就有可能導致整個生產線的癱瘓。4、供應鏈攻擊上游廠商，受到威脅的則是上下游廠商?；诠湽舻某Ｓ梅椒ǎ豪霉痰漠a品植入惡意軟硬件模塊。利用第三方組件（打包、偽裝、代碼植入、硬件植入）。利用開源代碼庫中包含的漏洞。利用“內鬼”在源碼中植入惡意功能。惡意接管（利用社區(qū)項目管理職權注入惡意代碼）。利用非官方售后服務（安裝惡意軟件、植入惡意硬件）。工業(yè)設備生產廠商預留的運維后門。智能家居括智能家電與控制端應用程序之間的連接，智能家電與遠程云服務器之間的連的安全運行需要物聯(lián)網操作系統(tǒng)支持多種通信協(xié)議，典型的如WiFi，BLE，操作系統(tǒng)應提供對通信數據的機密性和完整性的保護以及對家電設備身份的安障智能家電使用過程的安全。智能家電需要物聯(lián)網操作系統(tǒng)解決的網絡安全威脅主要包括以下幾種：1破壞。2敏感數據和用戶數據進行惡意操作，或濫用操作系統(tǒng)的安全功能。3、數據安全：惡意用戶通過密碼分析等手段訪問操作系統(tǒng)存儲在存儲器件IoT設備實施物理攻擊，直接拷貝或篡改存儲設備上所有數據，造成數據泄露或損壞。4IT實體之間的通信，獲取敏感信息、破壞數據保密性；或者攻擊之間的通信。智能表計30%以上。但目前智能表計行業(yè)尚屬于發(fā)展初期，除了少數大型企業(yè)，“重發(fā)展而輕安全”是行業(yè)普遍現象，這將為能源行業(yè)數字化轉型升級留下很大的安全隱患。國外的幾個相關安全事件值得借鑒：2014年西班牙智能電表被曝出安全漏洞，可被利用實施電費欺詐，甚至控制電路系統(tǒng)導致大面積停電；2021年施耐德智能電表曝嚴重漏洞，可被遠程強制重啟等。電表不要求低功耗險：1析尋找漏洞或提取密鑰等敏感信息。2設備被非法控制可能導致大規(guī)模停水停電，影響公共安全。3百萬人的生活甚至國家安全。4、通信安全：NB-IoT、LoRa等低功耗遠距離通信方式，也有采用網關+近距離無線通信的方式，其中網關+近距離無損失。車聯(lián)網數據包篡改、鑰匙重放攻擊到現在針對語音控制的“海豚音”攻擊、針對自動駕駛“道路識別”、“自動雨刷”2016年，有安全研究員利用漏洞對特斯拉進行了無物理接觸遠程攻ArmLinuxCVE-2013-6282CIDrootCID為跳板進一步IC、ParrotGateway，從而打通了整個攻擊鏈條。安全風險、數據安全風險、遠程升級安全風險等部分。1IT能通過調試接口直接非法訪問系統(tǒng)、提取系統(tǒng)中的信息。2CVE漏洞、不安全配置、甚至是明文的密鑰。3錯誤、更新策略不完善和非安全啟動。452020R156了具體的要求。如何保障升級流程安全、升級包傳輸安全、ECU升級安全依舊充滿挑戰(zhàn)。視頻網治理體制具有重要意義。Linux各剪裁版本的操作安全等級不同。1、攝像頭系統(tǒng)脆弱性問題劫持為“肉雞”DDOS2、攝像頭非法接入問題PC網核心服務進行網絡可達，很容易造成內部網絡攻擊行為或者病毒傳播行為。3、攝像頭等物聯(lián)網終端的固件安全問題在公安視頻網場景，這些攝像頭一旦感染病毒，就會橫向擴散，產生類似與2016年MIRAI病毒的攻擊危害。4、攝像頭數據安全問題這些年攝像頭因為對外開放的WEB頻數據，一旦泄漏就可能造成惡劣的社會影響、甚至是經濟損失。成的安全風險。物聯(lián)網操作系統(tǒng)關鍵安全技術1：表1物聯(lián)網操作系統(tǒng)關鍵安全技術安全威脅安全問題關鍵安全技術非授權用戶登錄越權攻擊、非法設備接入身份鑒別技術訪問控制技術盜竊、破解機密信息核心數據、隱私泄露密碼技術利用網絡漏洞進行攻擊設備連接故障，關鍵信息被偵聽或獲取網絡連接及網絡通信安全技術利用欺騙偽造攻擊維測數據、版本文件、維測程序被非法篡改可信及TEE安全技術所有類型攻擊無法對攻擊行為進行追溯以及及時處置日志審計及安全態(tài)勢感知技術利用非法版本和程序進行攻擊系統(tǒng)被非法控制，成為肉雞系統(tǒng)升級安全技術利用系統(tǒng)漏洞進行攻擊系統(tǒng)崩潰資源競爭安全技術下面的子章節(jié)將對這些關鍵安全技術進行詳細說明。身份鑒別技術體身份認證和用戶身份鑒別。1、設備身份鑒別MobileEquipmentAccessControlAddress）地址等?；蚪涌?，并通過訪問控制機制，防止其被非法篡改。常見技術存在以下兩種：請求用戶授權；采用密碼學技術，保護設備唯一標識符的完整性。2、遠程通信實體身份認證作系統(tǒng)需支持對遠程通信實體的身份認證。常見身份認證技術包含以下幾種：統(tǒng)需將所用對稱密鑰妥善保存在設備端，避免被非授權讀取或被篡改?！肮€交換”X.509驗證遠程通信實體身份。SM9標識密碼算法的身份認證方式，既使用國家密碼管理局于2016328日發(fā)布的GMT0044-2016SM9SM9SM9易于部署和使用。3、用戶身份鑒別6（（如輸入的字符數法進行保護，避免口令明文數據被泄露?？诹钍且环N簡單易行的身份鑒別手段，但是因為容易被猜測而比較脆弱，易被非法用戶利用。數字證書以及其他具有相應安全強度的兩種或兩種以上的組合機制進行用戶身份鑒別，并對鑒別數據進行機密性和完整性保護。訪問控制技術（DiscretionaryAccess和強制訪問控制（MandatoryAccessControl，MAC）兩種形式。（DAC）訪問控制機制。在強制訪問控制（MAC）中，系統(tǒng)中的每個任務、文件、通信機制等都被賦予了相應的安全屬性。并且這些安全屬性是不能改變的。強制訪問控制（MAC）可以彌補自主訪問控制（DAC）在權限控制過于分主體只有通過了自主訪問控制（DAC）和強制訪問控制（MAC）的檢查后，才能訪問客體。（bjtbsedessContol,AC、（Task-basedAccessControl,（Role-basedAccessControl，RBAC）和基于屬性的訪問控制（Attribute-basedAccessControl，ABAC）等機制。理的復雜性?；谌蝿盏脑L問控制（TBAC），以面向任務的觀點，從任務（活動）的步對處理對象的操作許可。RBAC之間的一座橋梁。ABAC更新訪問控制決策，從而提供一種更細粒度的、更加靈活的訪問控制方法。密碼技術希算法。1、對稱密鑰算法SSSSM4，ECB，CBC，OFB，CFB，CTR等，CCMGCM，在對數據進行加密的同時還能夠生成額外的校驗數據塊，在保護數據機密性的基礎上增加數據完整性和消息來源合法性的保護。分發(fā)等成為一個挑戰(zhàn)。2、非對稱密鑰算法身份驗證或不可抵賴性。換和數字簽名。3、哈希算法（即消息完整性密鑰，生成消驗證碼（MessageAuthenticationCode，MAC）、基于哈希的消息MD5SHA1、SHA2、SHA3、SM3等。GlobalPlatform在2021CryptographicAlgorithmRecommendation中建議128S/3SCBCSM、SHA-1、SHA-2243072RSA等算法已經不推薦在新產品中使用。TLSv1.3v1.2版本的很多密碼學套件，轉而使用更強大HMAC提取和擴展密鑰派生函數（HKDF），以及帶有關聯(lián)（AuthenticatedEncryptionwithAssociated確保CNSASuite也取代了早期的NSASuiteB，并建議使用更穩(wěn)健的參數來保護高機密級別的信息。mbedTLSAlternateAESRSASHAECC等算法操作和隨機數生成。CPU負載、算法性能、FlashRAM占用空間、對功耗的影響等，在資源受限的系統(tǒng)中，通STM32U5PKA，SAES）還具備防側信道攻擊、錯誤注入攻擊的能力，能夠給密碼算法的執(zhí)行帶來更進一步的安全保護。（ISO29192CLEFIAPRESENT輕量級分組密碼算法等）。物聯(lián)網通信安全技術MQTTCoAPDDSXMPPAMQPHTTPIPv4IPv66LoWPANTCPUDP近距離無線通信遠距離無線通信有線通信ZigBeeBLEWiFiNB-IoTLTEUSBRS485NFC5GLoRa以太網CAN網絡傳輸層應用層物聯(lián)網通信技術能夠使物聯(lián)網將感知到的信息在不同的終端之間進行高效傳輸和交換，實現信息資源的互通和共享，是物聯(lián)網各種應用功能的關鍵支撐。BluetoothZigBeeNFCNB-IoT、5GLoRaUSBRS485EthernetCANMQTTCoAPDDSXMPPAMQPHTTPIPv4IPv66LoWPANTCPUDP近距離無線通信遠距離無線通信有線通信ZigBeeBLEWiFiNB-IoTLTEUSBRS485NFC5GLoRa以太網CAN網絡傳輸層應用層物理層圖4常見物聯(lián)網通信協(xié)議物理層物聯(lián)網通信安全技術主要包括：1（放式認證和共享秘鑰認證括靜態(tài)口令、雙因素身份認證、生物認證和數字證書等。2、加密機制：加密主要用于防止對敏感數據和物聯(lián)網設備的未經授權訪問，加密算法主要有對稱加密、非對稱加密和摘要算法等。3、密鑰管理：密鑰是整個系統(tǒng)安全的基石，是網絡安全和通信保護的關鍵點，密鑰管理包括密鑰的生成、分發(fā)、更新等。物聯(lián)網常用無線連接技術安全機制如表2所示：表2物聯(lián)網常用無線連接技術安全機制類別密鑰管理數據加密認證與完整性保護WiFi預置共享密鑰AES-CCMCBC-MACZigBee預置鏈接密鑰，信任中心生成/更新網絡密鑰AES-CCMCBC-MACBLEPasskey，ECDHAES-CCMCBC-MACLoRa預置NwkSKey及AppSKeyAES128CMACNB-IoT基于SIM的預置共享密鑰，多級密鑰衍生SNOW3G/AES/ZUCMilenage算法的AKA鑒權，雙向認證Cat.1基于SIM的預置共享密鑰，多級密鑰衍生SNOW3G/AES/ZUCMilenage算法的AKA鑒權，雙向認證IP化是物聯(lián)網通信技術的趨勢，資源豐富型物聯(lián)網設備一般支持完整TCP/IP協(xié)議棧，而在一些帶寬資源極度受限或功耗要求嚴格的通信環(huán)境下，ZigBee(802.15.4)、BLE(802.15.1)等，可采用一種非常緊湊、高效的IP實現IPv6IPSec、TLS、DTLS等。IPSecIPIP協(xié)議的網絡傳輸協(xié)議簇。IPSec4項功能：①數據機密性：IPSec發(fā)送IPSec發(fā)送方發(fā)PSec接受方能夠鑒別PSec:IPSec重放包。IPSec主要由以下協(xié)議組成：IP重放攻擊保護；二、封裝安全載荷（ESP），提供機密性、數據源認證、無連接完整性、防重放和有限的傳輸流（traffic-flow）機密性；AHESP操作所需的參數。四、密鑰協(xié)議（IKE），提供對稱密碼的鑰匙的生存和交換。TLSTransportLayerTCP協(xié)議之上的SSL（SecureSocketLayer，安全套接字層TCP進行傳輸的功能。TLS協(xié)議主MAC刻發(fā)現；③認證，雙方都可以配備證書，防止身份被冒充。TLS協(xié)議由兩層組成：握手協(xié)議和記錄協(xié)議。握手協(xié)議用于客戶端和服務端在加密通信之前進行算法套件和加密密鑰的協(xié)商；記錄協(xié)議為TLS上層子協(xié)議提供分片、消息加密及加密后報傳輸，同時對接收到的數據進行驗證、解密、重新組裝等功能。DTLSDatagramTransportLayerSecurity，即數據包傳輸層安全性協(xié)DTLSUDPTLSTLS同樣由兩層組成:記錄協(xié)議DTLSDTLSTLS3個cookieDOSDTLS消息分片（IP分片）；③重發(fā)計時器用于處理消息丟失。OpenSSL，而對于MbedTLSwolfSSLNetXSecureOneTLS等輕量級的嵌入式安全通信協(xié)議棧?？尚庞嬎慵翱尚艌?zhí)行環(huán)境技術1、可信計算技術ComputingGroup，TCG）和國際標準化組織（ISO）發(fā)布了一系列針對可信計算的技術規(guī)范，定義了體系結構、TPMPC客“網絡安全法”中要求“推廣安全可信的網絡產品和服務2.0可利用可信計算技術實現對物聯(lián)網設備從最底層的物理硬件、BIOS/BootLoader等固件、操作系統(tǒng)、業(yè)務應用及重要數據等全部執(zhí)行環(huán)節(jié)進行防護，如下：/信驗證，物聯(lián)網操作系統(tǒng)應具備與相應可信計算整體功能配合的能力，形成完整的可信鏈?？尚艩顟B(tài)上報、可信日志上報等功能。時，支持報警、并向可信安全管理中心上報。2、DICE（DeviceIdentifierCompositionEngine，DICE）工作組。DICETPM的系統(tǒng)和組件的新的安全和隱私技術。目標是開發(fā)新的方法，以最小的硅需求增強安全性和隱私性。DICEDICEDICE知道的唯一設備秘密（UniqueDeviceSecret，UDS）開始，創(chuàng)建每一層特有的秘密和硬件配置。這種派生方法確保如Layer0以上其他層的UDSDICEDICE5所示：圖5DICE-設備標識組合引擎3、可信執(zhí)行環(huán)境技術整個設備硬件中存儲的數據，而可信執(zhí)行環(huán)境技術可以降低上述安全威脅。(TrustedExecutionEnvironment,TEE)CPU芯片層面上單mbedOSOneOS、AliOS等等系統(tǒng)TEETEE中。TEETEE隔離的環(huán)境中的數據和代碼也會受到保護。的是基于ArmTrustZone的隔離技術和基于RISC-V的物理內存保護機制(PhysicalMemoryTEE為開放系統(tǒng)提供一系列安全功能，通常包括：基礎服務功能說明安全存儲為數據提供加密存儲或可信存儲區(qū)域，保證數據的機密性和完整性，防止數據被非法篡改或非法獲取。加密密鑰動態(tài)生成且不出可信安全域。安全加解密可支持國際或國密算法，包括對稱密碼算法、公鑰密碼算法、散列密碼算法等?？芍С中酒瑑戎眉咏饷芤婊蛲饨蛹咏饷苡布K。安全時間可提供不能被非法篡改的時間接口，僅存于安全可信環(huán)境下，主要用于安全日志、視頻數據等可審計的場景。真隨機數可支持在可信環(huán)境下獲取硬件產生的隨機源，且在開放系統(tǒng)無法獲取此隨機源。主要用于密碼算法的隨機因子。安全校驗檢查可信應用啟動時的完整性和真實性，確保未被非法篡改。密鑰管理為每個可信應用隨機產生共享密鑰，保護各可信應用的數據，且可信應用間互不可見密鑰。可信根綁定硬件唯一標識信息，運行階段生成。在可信環(huán)境下可以獲取此信息，且各設備都不同且唯一。安全驅動TEE（SPII2C等放系統(tǒng)無法訪問。（升級等的安全資產。日志審計及安全態(tài)勢感知技術記錄查詢、分類和存儲保護，并可由安全管理中心管理。物聯(lián)網操作系統(tǒng)的日志審計相對于其他系統(tǒng)場景，有如下特征:1、審計日志覆蓋范圍更廣。需要覆蓋從設備到應用全系統(tǒng)領域，大致可分為：息安全管理等；系統(tǒng)日志。如系統(tǒng)運行、告警、錯誤信息、關鍵狀態(tài)監(jiān)控信息等；運維日志。如用戶登錄、用戶操作、系統(tǒng)更改、異常事件等。日志存儲位置和上報策略需要滿足硬件資源限制，日志存儲時限需要滿足《網絡安全等級保護基本要求》中的約束。2、日志審計策略需要有很強的及時性。需要及時將安全事件上報，并有一定智能化自處理能力，對重大安全威脅進行實時的防范。3、日志審計需要具備多層次性由于物聯(lián)網場景的如上特征，需要建立統(tǒng)一高效的安全風險識別和通報機規(guī)律、動向、趨勢，這就需要物聯(lián)網安全態(tài)勢感知技術。物聯(lián)網安全態(tài)勢感知技術通過收集EndsleyOODA控制循環(huán)所示。通過集成在物聯(lián)網操作系統(tǒng)中的安全態(tài)勢感知模塊（SDK）和安全態(tài)勢感知平臺協(xié)同，提供一套解決方案。圖6物聯(lián)網安全態(tài)勢感知技術參考實現方案安全態(tài)勢感知平臺的實現有如下關鍵技術：1、可擴展且開放的大數據平臺架構。采用靈活先進的柔性平設計，可以滿足各種不同規(guī)模的部署場景，支持快速擴展。2、資產生命周期管理技術資產的安全管理。3、基于智能決策推理引擎的風險評估和預測技術和情報綜合進行威脅判定和深度關聯(lián)分析，綜合考慮資產重要性、開放端口/服務/安裝中間件、資產漏洞信息、資產上發(fā)生的威脅等級、結果、影響，進行威脅與攻擊事件的判定。4、威脅全過程管控的威脅研判體系框架則，體系化梳理規(guī)則可信度、規(guī)則熱度、風險等級、戰(zhàn)術標記能力，并結合日常運營、攻防演練進行持續(xù)化運營和優(yōu)化，提供高可信+高頻+風險等級較高的內置運營場景能力。5、基于線索式的威脅狩獵與溯源取證技術。平臺提供針對可疑線索（IPMD5等）/度下的攻擊過程。6SOARPlaybook自動化觸發(fā)不同安全設備執(zhí)行響應動作。7、用戶行為分析技術（UEBA）。平臺提供用戶異常行為分析能力，基于(IP應用、設備和網絡等)的行為進行評估、關聯(lián)并建立基線，以發(fā)現內部威脅以及外部入侵行為。安全態(tài)勢感知模塊的實現有如下關鍵技術：1、網絡數據采集技術：采集網絡通信的五元組信息及DNS信息，并上傳到云端態(tài)勢平臺處理。2、本地進程信息采集技術：本地數據以腳本形式采集并保存文件，分別對CPU信息、內存信息、進程信息、文件信息、設備信息的進行采集。3、基線檢測技術：訂閱基線，獲取平臺下發(fā)的基線（CPU/內存/進程/文件/訪問/DNS策略），對終端行為進行實時監(jiān)控。4IDS蓋病毒、蠕蟲、間諜軟件、木馬后門、掃描探測、暴力破解等行為。5、網絡黑白名單檢測技術：獲取平臺下發(fā)的網絡訪問控制策略，結合異常行為監(jiān)控引擎對異常訪問事件進行實時監(jiān)控。6引擎對異常進程事件進行實時監(jiān)控。7引擎對異常文件事件進行實時監(jiān)控。8、DNS黑白名單檢測技術：獲取平臺下發(fā)的DNS控制策略，結合DNS監(jiān)DNS事件進行實時監(jiān)控。9DNS行為阻斷、入侵行為阻斷等。系統(tǒng)升級安全技術程升級/更新是讓物聯(lián)網設備及操作系統(tǒng)安全的一個基礎功能。系統(tǒng)遠程升級/更新的安全技術主要涉及更新來源可靠、完整性、機密性、更新失敗的恢復、防止回滾等。1HTTPS服務。2、完整性：在保證更新來源可靠的措施公鑰簽名技術中，通常已經包含了完整性檢查，比如簽名值通常是對下載內容摘要值或哈希值的簽名。3、機密性：為了減少物聯(lián)網操作系統(tǒng)被攻擊的風險，對于閉源物聯(lián)網操作系統(tǒng)來說，可以在下載更新時增加對稱加密技術的保護措施。4ABABBAA區(qū)來下載更新保證更新失敗時可以恢復。因此，AB區(qū)之間反復切換的乒乓升級過程是可以保證更新失敗時可恢復的。5TEE等物理可信根的支持。即在物理可信根中保存當前版資源競爭安全技術（例源配額上限的時候，系統(tǒng)訪問返回失敗。1CPU23量，包括二進制信號量，計數信號量，互斥信號量，POSIX信號量。可通過配信號量不超過配額。4、消息隊列配額5允許的范圍內。物聯(lián)網操作系統(tǒng)全生命周期中的安全指導安全設計滿足安全需求。1、信任控制：物聯(lián)網操作系統(tǒng)運行中的相關模塊和程序需要經過原廠簽碼/模塊的注入。2復。3間內完成操作，同時嚴格限制非必要服務端口的對外暴露。4、權限分離：應使用多個特權條件來限制用戶訪問某個對象。5服務層、應用層以及數據層等實施安全控制措施，建立縱深防御體系。6、簡潔性：盡量避免把目前并不需要的功能加到信息系統(tǒng)中來，減少錯誤發(fā)生的機率。開發(fā)過程中，代碼越簡潔，漏洞出現的可能性就會越小。7、最少共用：避免多個主體通過共享機制使用同一資源。8、單元分割：單元模塊設計應該松散耦合，可獨立部署，增加重用性。9、完全檢測：對用戶輸入系統(tǒng)的任何數據都應當進行合法性校驗，必要時還應在系統(tǒng)處理過程中和輸出時也進行數據合法性檢査。10、身份鑒別：可以參考物聯(lián)網操作系統(tǒng)關鍵安全技術章節(jié)中的身份鑒別技術。安全實現“安全左移”結束階段（開始階段由此順利銜接安全與研發(fā)相關工具及流程。1、安全編碼原則的可讀性、易維護性，提高程序運行效率和穩(wěn)定性。一些安全組織和企業(yè)已經公開了一些編碼標準和規(guī)范，可以提供參考。如C、C++、Java發(fā)布了《MISRAC編碼規(guī)范等。2、軟件安全編譯最新版本補丁的目標環(huán)境進行編譯。3、代碼安全審核透等。SASTSCA。靜態(tài)代碼者潛在的許可證授權問題。BOON、Cqual、Xg++FindBugs等，商業(yè)工FortifyCoverity綠盟科技等。安全測試防御能力使設備在現網應用不被非法入侵，保證產品的穩(wěn)定運行。1、靜態(tài)代碼分析2、固件包分析CVE漏洞庫匹配，分析出有漏洞的組件，發(fā)現潛在漏洞。3、安全動態(tài)分析（網操作系統(tǒng)運行中的潛在安全問題。4、模糊測試模糊測試主要通過向物聯(lián)網操作系統(tǒng)輸入無效數據，以期望觸發(fā)錯誤條件或測試主要通過以下三種方式：借助模糊測試工具觸發(fā)手工編寫腳本使用發(fā)包工具進行組包攻擊5、滲透測試滲透測試是使用非常規(guī)的方法和發(fā)散性思維對物聯(lián)網操作系統(tǒng)進行深入探shell權限等。5YD/B173-2017準整理的安全測試要點，供參考。3物聯(lián)網操作系統(tǒng)安全測試點測試項測試子項測試點接入安全網絡接入認證驗證系統(tǒng)接入網絡時采用的身份認證及鑒別機制網絡訪問控制驗證系統(tǒng)訪問網絡時采用的雙向身份認證機制通信安全傳輸完整性通過校驗工具查看傳輸前后的數據保持一致傳輸保密性通過流量分析數據在傳輸過程中未采用明文傳輸抗重放攻擊測試系統(tǒng)在數據通信時，抓取報文后重放報文，系統(tǒng)不響應或者提示無效報文系統(tǒng)安全用戶身份鑒別用戶標識的唯一性用戶登錄的身份鑒別訪問控制操作系統(tǒng)具備訪問控制機制，根據系統(tǒng)管理員設置的訪問控制策略，系統(tǒng)中所有主體、客體都應遵循訪問控制機制系統(tǒng)安全審計審計范圍應覆蓋到每個系統(tǒng)用戶審計內容應包括重要用戶行為、系統(tǒng)資源的異常使用等重要的安全相關事件客體標識和結果等保護操作系統(tǒng)審計記錄，避免被刪除、修改或覆蓋系統(tǒng)安全隔離通過命令驗證終端對操作系統(tǒng)資源和各類數據進行安全隔離，存儲空間進行劃分資源訪問控制驗證系統(tǒng)中客體的訪問屬性讀、寫、執(zhí)行等訪問權限設置客體僅允許客體擁有者對其訪問權限進行設置，且客體擁有者無法把客體的控制權分配給其他主體升級更新機制升級通道加密升級鏡像包加密升級失敗時系統(tǒng)可回退可用數據安全數據完整性存儲數據內容進行完整性保護和驗證，檢測到完整性錯誤時采用必要的恢復措施數據可用性驗證系統(tǒng)重要數據有備份機制，刪除之后仍然可以正?；謴蛿祿C密性對鑒別信息、重要業(yè)務數據等敏感內容進行加密存儲驗證個人信息安全個人信息檢測操作系統(tǒng)中不應該存儲個人相關信息數據，除非有客戶授權個人信息刪除檢查個人信息徹底刪除，且不可恢復安全運維物聯(lián)網操作系統(tǒng)的安全運維要從身份標識、訪問控制、系統(tǒng)檢測處理機制、漏洞管理、網絡隔離、數據安全、日志審計等方面進行要求。1物聯(lián)網操作系統(tǒng)的身份標識的唯一性，減少故障或風險的產生。2符合安全復雜度的要求。建議不要采用互聯(lián)網遠程維護訪問方式。34追溯。可通過下面兩種方式獲取漏洞。（件庫），以發(fā)現最新的漏洞；通過官方渠道及時了解使用的物聯(lián)網操作系統(tǒng)存在的漏洞。5ACL列表，只允許經過授權的服務請求。6、運維數據安全要求：主要包括數據存儲安全和數據備份安全要求。程度，存儲位置，角色訪問權限等。刪除后供恢復使用。7物聯(lián)網操作系統(tǒng)安全技術應用實例工業(yè)安全容器2019年推出了基于其自主操作系統(tǒng)的工業(yè)安全容器（ECS），入式設備容易受到來自不可信賴或惡意程序的攻擊以及應用資源競爭等問題。工業(yè)安全容器技術支持將應用環(huán)境整體打包成為一個標準化單元，實現開硬件設施上運行不同軟件時的沖突。7工業(yè)安全容器架構工業(yè)安全容器技術可在物聯(lián)網操作系統(tǒng)和容器內的應用程序之間提供一道為容器提供安全隔離機制，同時比虛擬機更輕量級、更高效。POSIXAF_UNIXIPC等資源進行隔離，確保容器具有完整獨立的運行環(huán)境，免受外在環(huán)境差異的影響。CPU運行時間、內存大小、內核shell命提升系統(tǒng)整體的安全性。容器支持輕量級實現，對CPU和內存消耗極少，系統(tǒng)鏡像可控制在6MB以內，為工業(yè)場景的應用提供了更加安全可靠的系統(tǒng)解決方案，滿足其對性能、實時性、安全性、可靠性的高標準要求。平臺安全架構PSA簡介公司在201710月對外發(fā)布了IoT領域的安全框架-PlatformSecurityArchitecture（IoT網的設備及其輸出的數據都是可信的。PSA提供了從安全分析、軟硬件架構規(guī)范、參考實現、再到認證的完整流程：1、安全分析：通過對目標系統(tǒng)進行威脅建模，明確在設計時所必須的安全ArmIoT（ThreatandSecurityAnalyses，TMSA）全需求。2IoT領域主要的文檔包括：固件框架（FirmwareFrameworkforM）Arm?Cortex?-M系列處理器上的安全應用程序的標準編程環(huán)境及基礎的根信任?？尚呕A系統(tǒng)架構-TBSA（TrustedBaseSystemArchitectureforM）：Armv8-M架構處理器的硬件要求規(guī)范，以及針對不支持TrustZoneArmv6-MArmv7-M架構處理器的最佳實踐建議。（Security具有已知安全屬性的產品的關鍵目標。（PlatformSecurityBoot平臺安全要求（PlatformSecurityRequirements）SoC預期的最低安全要求?；谡J證的調試訪問控制規(guī)范（AuthenticatedDebugAccessControl3PSAPSAAPIIoTArmTF-MPSA固件參考實現，TF-M的介紹。PSAAPI（PSAFunctionalAPIs）：目前定義了針對密碼學（Secure（Attestation）及固件升級（FirmwareUpdate）API。API測試程序（APItestsuite）API接口有沒有被正確實現。4、認證：提供基于安全實驗室評估的安全認證。PSA認證目前包含兩部分內容[7]：APIPSAAPI被正確的實現并檢查其一致性。安全認證：提供了三個級別的安全認證對應到不同場景的安全需求。表4PSA安全認證等級概述認證級別第1級第2級第3級穩(wěn)健性級別RoTOS的安全模型目標基于實驗室的PSA-RoT防軟件攻擊和“輕量級”硬件攻擊的評估可以防御額外的大量軟件和硬件攻擊認證過程實驗室檢查問卷實驗室評估、白盒測試實驗室根據更高級別要求，進行測試認證結果PSAC上的證書PSAC上的證書PSAC上的證書上述規(guī)范文檔資料可以從Arm官網免費下載：/architectures/architecture-security-features/platform-security。PSA認證相關內容可參閱：/。TF-M簡介TF-M全稱為TrustedFirmwareM，是Arm創(chuàng)建的符合PSA規(guī)范的開源固件TrustedFirmwareBSD-3開源許可協(xié)議。支持PSAFirmwareFrameworkAPIFunctionalPSA規(guī)范一起PSATF-M作為安全側固件。TF-MTrustZoneArmv8-MArm?Cortex?-MArm?Cortex?-A核+Cortex?-M核的多處理器系統(tǒng)。圖8運行TF-M的典型系統(tǒng)模塊框圖如圖8所示，TF-M主要提供了這些功能特性：1MCUBootBootloader來進行安全TF-MBootloaderRomCode。2、安全存儲：FlashFlash可以對存儲內容進行加密、完整性驗證及防回滾保護。3、加解密服務：mbedTLS作為加解密引擎，提供各種基于密碼的底層加解密庫。4、與Bootloader配合提供驗證及更新系統(tǒng)鏡像的服務。5版本、安全生命周期等。更多關于TF-M的細節(jié)可以在TF-M幫助文檔[8]中找到。嵌入式防火墻ARP欺騙攻擊，SYN泛洪攻擊等，以保護物聯(lián)網設備及系統(tǒng)安全。9SylixOS220K防火墻內部包括四個防御模塊，網絡風暴防御模塊，重放攻擊防御模塊，ARP欺騙防御模塊，及SYN泛洪防御模塊。四種防御模塊具體功能如下：1、網絡風暴防御模塊：自動識別產生風暴的設備和風暴報文類型；實時監(jiān)持動態(tài)配置拉黑時間。2、重放攻擊防御模塊：通過隨機驗證碼進行報文唯一性驗證，支持驗證碼產生時間隔間修改；支持局域網和非局域網環(huán)境下的重放攻擊防御。3、ARP欺騙防御模塊：自動識別新加入網絡的設備信息；自動進行MAC（MediaAccessControlIPMAC變化MAC、IPARP欺騙這兩種網絡狀況，支持快速識別與處理。4、SYNSYNSYN泛洪時，采取白名單通信機制。圖9嵌入式防火墻結構圖輕量級傳輸層安全協(xié)議OneTLSTLS的(D)TLS1.3品中。OneTLS可以根據實際情況靈活地裁剪，以降低對硬件資源的消耗。OneTLS具有以下技術特點：1TLS1.3（RFC8446）DTLS1.3（RFC9147）標準，取消MD53DESRC42PSK數據傳輸，節(jié)省了連接建立時的交互次數，實現更快的訪問速度；3、支持商密算法，實現了IETF標準商密套件（RFC8998ShangMi(SM)CipherSuitesforTLSPSACryptography內部加密引擎或片外安全芯片的密碼計算調用；4、資源占用低至15KB，適用于存儲資源受限的場景，有效降低物聯(lián)網設備安全通信的硬件門檻和成本。圖10OneTLS分層結構圖建議及展望物聯(lián)網感知控制域復雜多變的環(huán)境使得物聯(lián)網設備及操作系統(tǒng)面臨著嚴峻源有限的現實狀況卻使得物聯(lián)網設備及操作系統(tǒng)難以承載復雜的安全技術和措展多方面的工作，共同推動物聯(lián)網設備及操作系統(tǒng)安全技術發(fā)展和應用：1、共同完善物聯(lián)網操作系統(tǒng)安全技術體系持續(xù)完善物聯(lián)網操作系統(tǒng)安全技術體系建設，定義統(tǒng)一的安全接口和規(guī)范，以指導實現物聯(lián)網操作系統(tǒng)安全子系統(tǒng)的輕量化模塊化設計。2、共同促進物聯(lián)網軟硬安全技術協(xié)同發(fā)展和應用的安全性和協(xié)同性發(fā)展。3、共同加快物聯(lián)網設備及操作系統(tǒng)內生安全能力的構建雜多變的物聯(lián)網安全環(huán)境，加快構建物聯(lián)網設備及操作系統(tǒng)內生安全的能力。PAGEPAGE45縮略語列表縮略語英文全名中文解釋ADACAuthenticatedDebugAccessControlSpecification基于認證的調試訪問控制規(guī)范ABACAttribute-basedAccessControl基于屬性的訪問控制AEADAuthenticatedEncryptionwithAssociatedData用于關聯(lián)數據的認證加密AESAdvancedEncryptionStandard高級加密標準ASLRAddressSpaceLayoutRandomization地址空間布局隨機化BLEBluetoohLowEnergy藍牙低能耗技術CBCCipherBlockChaining密碼分組鏈接模式CCMCipherBlockChaining-MessageAuthenticationCode密碼分組鏈接消息認證碼CFBCipherFeedbackMode加密反饋模式CNSACommercialNationalSecurityAlgorithm美國商業(yè)國家安全算法CTRCountermode計數器模式DACDiscretionaryAccessControl自主訪問控制DDoSDistributedDenialofService分布式拒絕服務DESDataEncryptionStandard數據加密標準DEP/NXDataExecutionPrevention/No-executeDEP/NX數據執(zhí)行保護技術DHDiffieHellmanKeyExchangeAlgorithm迪菲-赫爾曼密鑰交換協(xié)議/算法DICEDeviceIdentifierCompositionEngine設備標識組合引擎DTLSDatagramTransportLayerSecurity數據包傳輸層安全協(xié)議ECBElectronicCodeBook電子密碼本模式ECCEllipticCurveCryptography橢圓曲線ECDHEllipticCurveDiffie-Hellman橢圓曲線迪菲-赫爾曼算法E