物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書 （2022 年）

物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書中國通信標(biāo)準(zhǔn)化協(xié)會(huì)2022年9月I版權(quán)說明—————————————————————————本白皮書版權(quán)屬于中國通信標(biāo)準(zhǔn)化協(xié)會(huì)，并受法律保護(hù)。轉(zhuǎn)載、摘編或利用其它方式使用本白皮書文字或者觀點(diǎn)的，應(yīng)注明“來源：中國通信標(biāo)準(zhǔn)化協(xié)會(huì)”。違反上述聲明者，本協(xié)會(huì)將追究其相關(guān)法律責(zé)任。物聯(lián)網(wǎng)操作系統(tǒng)是指運(yùn)行在物聯(lián)網(wǎng)感知控制域中各類終端上的在深入分析物聯(lián)網(wǎng)操作系統(tǒng)所面臨的主要安全問題和風(fēng)險(xiǎn)的基珊、何申、何狄凡、吳國燕、楊輝、楊坤、楊明、楊新苗、余希希、中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書1.物聯(lián)網(wǎng)操作系統(tǒng)概述 1.1.1.物聯(lián)網(wǎng)簡介及發(fā)展趨勢 1.1.2.物聯(lián)網(wǎng)操作系統(tǒng)簡介及架構(gòu) 1.1.3.物聯(lián)網(wǎng)操作系統(tǒng)特點(diǎn) 21.1.4.物聯(lián)網(wǎng)操作系統(tǒng)發(fā)展趨勢 3 32.物聯(lián)網(wǎng)操作系統(tǒng)安全分析 6 6 8 2.3.1.工業(yè)控制 2.3.2.智能家居 2.3.3.智能表計(jì) 2.3.4.車聯(lián)網(wǎng) 2.3.5.視頻網(wǎng) 3.物聯(lián)網(wǎng)操作系統(tǒng)關(guān)鍵安全技術(shù) 4.物聯(lián)網(wǎng)操作系統(tǒng)全生命周期中的安全指導(dǎo) 30 5.物聯(lián)網(wǎng)操作系統(tǒng)安全技術(shù)應(yīng)用實(shí)例 35 5.2.1.PSA簡介 365.2.2.TF-M簡介 37V 6.建議及展望 41縮略語列表 42參考文獻(xiàn) 45中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書11.物聯(lián)網(wǎng)操作系統(tǒng)概述物理和虛擬世界的信息進(jìn)行處理并做出反應(yīng)的智能服務(wù)系統(tǒng)”。其中，“物”指物理實(shí)體。國際標(biāo)準(zhǔn)ISO/IEC22417:20預(yù)計(jì)到2025年，連接規(guī)模將達(dá)到246億，全球物聯(lián)網(wǎng)行業(yè)正處于高速發(fā)展期。2021年，工信部發(fā)布《物聯(lián)網(wǎng)新型基礎(chǔ)設(shè)施建設(shè)三年行動(dòng)計(jì)劃》，明確提物聯(lián)網(wǎng)操作系統(tǒng)是支持物聯(lián)網(wǎng)技術(shù)大規(guī)模發(fā)展的核心基礎(chǔ)軟件，包括操作中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書2圖1物聯(lián)網(wǎng)操作系統(tǒng)架構(gòu)示意圖交互方式以鍵盤為主。如果對(duì)于磁盤I/O要求較高，那么Linux是首選服務(wù)器操個(gè)人計(jì)算機(jī)中微軟的Windows占據(jù)主流，蘋果的macOS獨(dú)相比傳統(tǒng)操作系統(tǒng)，物聯(lián)網(wǎng)操作系統(tǒng)通常具備如下中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書3距離的通信協(xié)議，既能支持GPRS/HSPA/4G/5G/NB-IoT等蜂窩無線通信功能，連接中間件，物聯(lián)網(wǎng)操作系統(tǒng)可以極大的簡主要的形態(tài)[3]。一是以谷歌AndroidWear4服務(wù)層/框架層、應(yīng)用層。受限于硬件性能，該類物聯(lián)網(wǎng)操作系統(tǒng)安全功能較為墻，能有效防御常見的網(wǎng)絡(luò)攻擊；OneOS提供了輕量級(jí)TLS，可利用極低的資源消耗實(shí)現(xiàn)數(shù)據(jù)加密和安全通信服務(wù)；LiteOS提供了LMS（LiteMemory圖2典型資源受限型物聯(lián)網(wǎng)操作系統(tǒng)及安全架構(gòu)核層、系統(tǒng)組件/服務(wù)/工具層、文件系統(tǒng)、應(yīng)用層。這類物聯(lián)網(wǎng)操作系中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書5況下使用類型增強(qiáng)訪問控制機(jī)制（TypeEnforcementAccessConChineseWall模型等；基于硬件的內(nèi)存保護(hù)機(jī)制、運(yùn)行域保護(hù)機(jī)制、I/O保護(hù)機(jī)熟的技術(shù)實(shí)現(xiàn)。以訪問控制為例，Linux提供了LSM（Linux安全模塊）框架，AccessControlKernel，SMACK）提供了類型增強(qiáng)訪問控制機(jī)制；Tomoyo提供圖3典型資源豐富型物聯(lián)網(wǎng)操作系統(tǒng)及安全架構(gòu)中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書62.物聯(lián)網(wǎng)操作系統(tǒng)安全分析攻擊者采用了一種新的UDP反射攻擊方法，利用的是某視頻監(jiān)控廠商的設(shè)備發(fā)者用于DDoS反射攻擊。在設(shè)備對(duì)DHDiscover服務(wù)探測報(bào)文回應(yīng)的內(nèi)容中類型、設(shè)備型號(hào)、HTTPPort、設(shè)備序列號(hào)、設(shè)備版本號(hào)等。本次攻擊流量規(guī)模從而繞過了對(duì)已下載.ipk工件的完整性檢查。攻擊者借助Opkg本身的root權(quán)限2020年5月研究人員披露了一個(gè)藍(lán)牙協(xié)議棧漏洞，攻擊者可以利用這個(gè)漏洞偽造并欺騙遠(yuǎn)程配對(duì)的藍(lán)牙設(shè)備，形成藍(lán)牙冒充攻擊（BIAS），其危害性影次它們就能夠不經(jīng)過配對(duì)過程而重新連接。BIAS2020年6月8日，安全專家該漏洞可能會(huì)被遠(yuǎn)程、未經(jīng)認(rèn)證的攻擊者濫用，進(jìn)行反射DDoS攻擊，并繞過“Ripple20”）。全球數(shù)億臺(tái)IoT設(shè)備，小到家用打印機(jī)、攝像頭，大到工業(yè)控制中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書7用納入武器庫，利用某一個(gè)漏洞即可感染數(shù)量相行DDoS反射攻擊。DHDiscover反射攻擊利用了設(shè)備廠商的私有協(xié)議，物聯(lián)網(wǎng)設(shè)備的發(fā)現(xiàn)協(xié)議通常基于UDP設(shè)計(jì)，一旦大規(guī)模暴露在互聯(lián)網(wǎng)上，極有釣魚欺詐等攻擊，危害物聯(lián)網(wǎng)和互聯(lián)網(wǎng)等重還將繼續(xù)存在。對(duì)于物聯(lián)網(wǎng)操作系統(tǒng)的安全功能來說能家電物聯(lián)網(wǎng)OS為例，大多數(shù)物聯(lián)網(wǎng)操作系統(tǒng)都集成了Arm公司開發(fā)的MbedTLS。MbedTLS所占用的最小內(nèi)存可低至30KB，但是這對(duì)某些物聯(lián)網(wǎng)設(shè)8的安全要求》等。目前明確針對(duì)物聯(lián)網(wǎng)操作系統(tǒng)相關(guān)的標(biāo)準(zhǔn)僅有《GB/T34976-2017移動(dòng)智能終端操作系統(tǒng)安全技術(shù)要求和測試評(píng)價(jià)方法》及《YD/B173-2017物聯(lián)網(wǎng)終端嵌入式操作系統(tǒng)安全技術(shù)要求》，尚缺實(shí)施指南、檢測評(píng)使得非授權(quán)訪問惡意攻擊造成的影響范圍大，進(jìn)而物聯(lián)網(wǎng)終端設(shè)備硬件容易被攻擊者直接獲取并通過刷寫工具或逆向分析獲中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書9統(tǒng)的通信，獲取系統(tǒng)敏感信息，或是篡改關(guān)鍵通信IPv6將物聯(lián)網(wǎng)設(shè)備暴露于公共網(wǎng)絡(luò)中，內(nèi)部和外部系統(tǒng)之間的通信不再有中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書隨著信息技術(shù)（IT）和操作技術(shù)（OT）網(wǎng)絡(luò)數(shù)字化轉(zhuǎn)型和融合的加速，物聯(lián)網(wǎng)(IoT)和工業(yè)物聯(lián)網(wǎng)(IIoT)設(shè)備正成為石油和天然氣、能源、公用事業(yè)、制造網(wǎng)直接或間接的接觸，導(dǎo)致原本處于獨(dú)立生態(tài)的工控設(shè)備將同步處于IT類風(fēng)險(xiǎn)現(xiàn)了訪問設(shè)備的用戶憑據(jù)被硬編碼在設(shè)備硬件中，或者在管理過程中使用弱口2、重放攻擊：工業(yè)控制場景的通信協(xié)議設(shè)計(jì)的關(guān)注重點(diǎn)在實(shí)時(shí)性和功能度的加密保護(hù)，使得攻擊者可以捕獲設(shè)備啟動(dòng)/停止命令的數(shù)據(jù)包，在不做任何修改的情況下就可以直接發(fā)送給控制設(shè)備引發(fā)設(shè)備啟動(dòng)/停止，從而實(shí)施非授權(quán)擊。而工控系統(tǒng)中一個(gè)節(jié)點(diǎn)設(shè)備的異常就有可能導(dǎo)中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書上游廠商，受到威脅的則是上下游廠商?；诶ㄖ悄芗译娕c控制端應(yīng)用程序之間的連接，智能家電與遠(yuǎn)程云服務(wù)器之間的連的安全運(yùn)行需要物聯(lián)網(wǎng)操作系統(tǒng)支持多種通信協(xié)議，典型的如WiFi，BLE，操作系統(tǒng)應(yīng)提供對(duì)通信數(shù)據(jù)的機(jī)密性和完整性的保護(hù)以及對(duì)家電設(shè)備身份的安中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書作系統(tǒng)與外部IT實(shí)體之間的通信，獲取敏感信息、破壞數(shù)據(jù)保密性；或者攻擊但目前智能表計(jì)行業(yè)尚屬于發(fā)展初期，除了少數(shù)大型企業(yè)，“重發(fā)展而輕安全”是行業(yè)普遍現(xiàn)象，這將為能源行業(yè)數(shù)字化轉(zhuǎn)型升級(jí)留下很大的安全隱患。國外的幾個(gè)相關(guān)安全事件值得借鑒：2014年西班牙智能電表被曝出安全漏洞，可被利用實(shí)施電費(fèi)欺詐，甚至控制電路系統(tǒng)導(dǎo)致大面積停電；2021年施耐德智能遠(yuǎn)距離通信方式，也有采用網(wǎng)關(guān)+近距離無線通信的方式，其中網(wǎng)關(guān)+近距離無中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書越來越多樣性，從通信竊聽、OTA數(shù)據(jù)包篡改、鑰匙重放攻擊到現(xiàn)在針對(duì)語音基石。早在2016年，有安全研究員利用漏洞對(duì)特斯拉進(jìn)行了無物理接觸遠(yuǎn)程攻統(tǒng)存在的CVE漏洞、不安全配置、甚至是明文的密鑰。了具體的要求。如何保障升級(jí)流程安全、升級(jí)包傳輸安全、ECU升級(jí)安全依舊中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書網(wǎng)核心服務(wù)進(jìn)行網(wǎng)絡(luò)可達(dá)，很容易造成內(nèi)部網(wǎng)絡(luò)攻擊行這些年攝像頭因?yàn)閷?duì)外開放的WEB服務(wù)權(quán)限過大導(dǎo)致的數(shù)據(jù)泄漏事件屢中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書3.物聯(lián)網(wǎng)操作系統(tǒng)關(guān)鍵安全技術(shù)表1物聯(lián)網(wǎng)操作系統(tǒng)關(guān)鍵安全技術(shù)安全威脅安全問題關(guān)鍵安全技術(shù)非授權(quán)用戶登錄越權(quán)攻擊、非法設(shè)備接入維測數(shù)據(jù)、版本文件、維測程序遭到破壞，無法進(jìn)行維測、版本無法升級(jí)身份鑒別技術(shù)訪問控制技術(shù)盜竊、破解機(jī)密信息核心數(shù)據(jù)、隱私泄露密碼技術(shù)利用網(wǎng)絡(luò)漏洞進(jìn)行攻擊設(shè)備連接故障，關(guān)鍵信息被偵聽或獲取網(wǎng)絡(luò)連接及網(wǎng)絡(luò)通信安全技術(shù)利用欺騙偽造攻擊維測數(shù)據(jù)、版本文件、維測程序被非法篡改可信及TEE安全技術(shù)所有類型攻擊無法對(duì)攻擊行為進(jìn)行追溯以及及時(shí)處置日志審計(jì)及安全態(tài)勢感知技術(shù)利用非法版本和程序進(jìn)行攻擊系統(tǒng)被非法控制，成為肉雞系統(tǒng)升級(jí)安全技術(shù)利用系統(tǒng)漏洞進(jìn)行攻擊系統(tǒng)崩潰資源競爭安全技術(shù)中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書或接口，并通過訪問控制機(jī)制，防止其被非法(2)采用密碼學(xué)技術(shù)，保護(hù)設(shè)備唯一標(biāo)識(shí)符的完整性。作系統(tǒng)需支持對(duì)遠(yuǎn)程通信實(shí)體的身份認(rèn)證。常見身統(tǒng)需將所用對(duì)稱密鑰妥善保存在設(shè)備端，避免被非授權(quán)讀取或被篡(3)基于SM9標(biāo)識(shí)密碼算法的身份認(rèn)證方式，既使用國家密碼管理局于數(shù)字證書以及其他具有相應(yīng)安全強(qiáng)度的兩種或兩種以上的組合機(jī)制進(jìn)行用戶身訪問控制機(jī)制。在強(qiáng)制訪問控制（MAC）中，系統(tǒng)中的每個(gè)任務(wù)、文件、通信機(jī)制等都被賦予了相應(yīng)的安全屬性。并且這些安全強(qiáng)制訪問控制（MAC）可以彌補(bǔ)自主訪問控制（DAC）在權(quán)限控制過于分主體只有通過了自主訪問控制（DAC）和強(qiáng)制訪問控制（MAC）的檢查后，才（Role-basedAccessControl，RBAC）和基于屬性的訪問控制（Attribute-based基于任務(wù)的訪問控制（TBAC），以面向任務(wù)的觀點(diǎn)，從任務(wù)（活動(dòng)）的更新訪問控制決策，從而提供一種更細(xì)粒度的、更加GCM，在對(duì)數(shù)據(jù)進(jìn)行加密的同時(shí)還能夠生成額外的校驗(yàn)數(shù)據(jù)塊，在保護(hù)數(shù)據(jù)機(jī)密鑰，生成消驗(yàn)證碼（MessageAuthenticationCode，MAC）、基于哈希的消息TLSv1.3在很大程度上也棄用了v1.2版本的很多密碼學(xué)套件，轉(zhuǎn)而使用更強(qiáng)大的算法，包括基于HMAC提取和擴(kuò)展密鑰派生函數(shù)（HKDF），以及帶有關(guān)聯(lián)數(shù)據(jù)認(rèn)證的加密（Authenticated滿足數(shù)據(jù)機(jī)密性、完整性和真實(shí)性的需求。再嵌入式設(shè)備上支持加解密算法可能有多方面因素需要考量，例如CPU負(fù)載、算法性能、Flash和RAM占用空間、對(duì)功耗的影響等，在資源受限的系統(tǒng)中，通錯(cuò)誤注入攻擊的能力，能夠給密碼算法的執(zhí)行帶來中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書應(yīng)用層網(wǎng)絡(luò)傳輸層物理層物聯(lián)網(wǎng)通信技術(shù)能夠使物聯(lián)網(wǎng)將感知到的信息在不同的終端之間進(jìn)行高效應(yīng)用層網(wǎng)絡(luò)傳輸層物理層MQTTMQTTCoAPCoAPXMPPXMPPAMQPAMQPHTTPHTTP66LoWPANTCPTCPUDPUDPLoRaLoRaNBNB-IoTRS485CANRS485CANUSBUSB以太網(wǎng)以太網(wǎng)ZigBeeZigBee圖4常見物聯(lián)網(wǎng)通信協(xié)議2、加密機(jī)制：加密主要用于防止對(duì)敏感數(shù)據(jù)和物聯(lián)網(wǎng)設(shè)備的未經(jīng)授權(quán)訪表2物聯(lián)網(wǎng)常用無線連接技術(shù)安全機(jī)制中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書類別密鑰管理數(shù)據(jù)加密認(rèn)證與完整性保護(hù)WiFi預(yù)置共享密鑰AES-CCMCBC-MACZigBee預(yù)置鏈接密鑰，信任中心生成/更新網(wǎng)絡(luò)密鑰AES-CCMCBC-MACBLEECDHAES-CCMCBC-MACLoRa預(yù)置NwkSKey及AppSKeyAES128CMACNB-IoT基于SIM的預(yù)置共享密鑰，多級(jí)密鑰衍生SNOW3G/AES/ZUC基于Milenage算法的AKA鑒權(quán)，雙向認(rèn)證Cat.1基于SIM的預(yù)置共享密鑰，多級(jí)密鑰衍生SNOW3G/AES/ZUC基于Milenage算法的AKA鑒權(quán)，雙向認(rèn)證網(wǎng)絡(luò)IP化是物聯(lián)網(wǎng)通信技術(shù)的趨勢，資源豐富型物聯(lián)網(wǎng)設(shè)的TCP/IP協(xié)議棧，而在一些帶寬資源極度受限或功耗要求嚴(yán)格的通信環(huán)境下，如ZigBee(802.15.4)、BLE(802.15.1)等，可采用一種非常緊湊、高效的IP實(shí)現(xiàn)IPSec是一個(gè)協(xié)議簇，通過對(duì)IP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議簇。IPSec可以實(shí)現(xiàn)以下4項(xiàng)功能：①數(shù)據(jù)機(jī)密性：IPSec發(fā)送），），它實(shí)現(xiàn)了將應(yīng)用層的報(bào)文進(jìn)行加密后再交由TCP進(jìn)行傳輸?shù)墓δ?。TLS協(xié)議主TLS協(xié)議由兩層組成：握手協(xié)議和記錄協(xié)議。握手協(xié)議用于客戶端和服務(wù)端在加密通信之前進(jìn)行算法套件和加密密鑰的協(xié)商；記錄協(xié)議為TLS上層子協(xié)DTLS全稱是DatagramTransportLayer達(dá)的報(bào)文段和重傳機(jī)制實(shí)現(xiàn)了可靠傳送。而握手協(xié)議DTLS與TLS相比有3個(gè)）；安全通信協(xié)議實(shí)現(xiàn)方面，資源豐富型物聯(lián)網(wǎng)設(shè)備可選擇OpenSSL，而對(duì)于標(biāo)準(zhǔn)化組織（ISO）發(fā)布了一系列針對(duì)可信計(jì)算的技術(shù)規(guī)范，定義了體系結(jié)構(gòu)、極采用可信計(jì)算技術(shù)對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行防護(hù)，中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書可利用可信計(jì)算技術(shù)實(shí)現(xiàn)對(duì)物聯(lián)網(wǎng)設(shè)備從最底層的物理硬件、BIOS/BootLoader等固件、操作系統(tǒng)、業(yè)務(wù)應(yīng)用及重要數(shù)據(jù)等全信驗(yàn)證，物聯(lián)網(wǎng)操作系統(tǒng)應(yīng)具備與相應(yīng)可信計(jì)算整體功能配合的能組。DICE工作組旨在探索適用于有或沒有TPM的系統(tǒng)和組件的新的安全和隱備啟動(dòng)是分層的。從只有制造商和DICE知道的唯一設(shè)備秘密（UniqueDeviceSecret，UDS）開始，創(chuàng)建每一層特有的秘密和硬補(bǔ)代碼自動(dòng)創(chuàng)建一個(gè)新的秘密，可以有效地重新設(shè)置設(shè)備Layer0以上其他層的中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書處理信息，其余在寄存器和內(nèi)存上的信息都需被全部抹除。如圖5所示：圖5DICE-設(shè)備標(biāo)識(shí)組合引擎整個(gè)設(shè)備硬件中存儲(chǔ)的數(shù)據(jù)，而可信執(zhí)行環(huán)境技可信執(zhí)行環(huán)境(TrustedExecutionEnvironment,TEE)是CPU芯片層面上單的是基于ArmTrustZone的隔離技術(shù)和基于RISC-V的物理內(nèi)存保護(hù)機(jī)制中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書日志存儲(chǔ)位置和上報(bào)策略需要滿足硬件資源限制，日志存儲(chǔ)時(shí)限需要滿足中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書由于物聯(lián)網(wǎng)場景的如上特征，需要建立統(tǒng)一高效的安全風(fēng)險(xiǎn)識(shí)別和通報(bào)機(jī)所示。通過集成在物聯(lián)網(wǎng)操作系統(tǒng)中的安全態(tài)勢感知模塊（安全SDK）和安全圖6物聯(lián)網(wǎng)安全態(tài)勢感知技術(shù)參考實(shí)現(xiàn)方案和情報(bào)綜合進(jìn)行威脅判定和深度關(guān)聯(lián)分析，綜合考慮資產(chǎn)重要性、開放端口/服務(wù)/安裝中間件、資產(chǎn)漏洞信息、資產(chǎn)上發(fā)生的威脅等級(jí)、結(jié)果、影響，進(jìn)行威則，體系化梳理規(guī)則可信度、規(guī)則熱度、風(fēng)險(xiǎn)等級(jí)、ATT&CK戰(zhàn)術(shù)標(biāo)記能力，并結(jié)合日常運(yùn)營、攻防演練進(jìn)行持續(xù)化運(yùn)營和優(yōu)化，提供高可信+高頻+風(fēng)險(xiǎn)等域名、MD5等）關(guān)聯(lián)其上下文，過濾誤報(bào)7、用戶行為分析技術(shù)（UEBA）。平臺(tái)應(yīng)用、設(shè)備和網(wǎng)絡(luò)等)的行為進(jìn)行評(píng)估、關(guān)聯(lián)并建立基線，以發(fā)現(xiàn)內(nèi)部威脅以及1、網(wǎng)絡(luò)數(shù)據(jù)采集技術(shù)：采集網(wǎng)絡(luò)通信的五元組信息及DNS信息，并上傳CPU信息、內(nèi)存信息、進(jìn)程信息、文件信息），系統(tǒng)遠(yuǎn)程升級(jí)/更新的安全技術(shù)主要涉及更新來源可靠、完整性、機(jī)密性、B區(qū)的操作系統(tǒng)文件。后續(xù)如果再有新的更新，則使用A區(qū)來下載更新保證更新失敗時(shí)可以恢復(fù)。因此，A區(qū)和B區(qū)之間反復(fù)切換的乒乓升級(jí)過程是可以?，F(xiàn)，需要硬件上例如TEE等物理可信根的支持。即在物理可信根中保存當(dāng)前版任務(wù)出錯(cuò)。此技術(shù)應(yīng)用在工業(yè)安全容器中，可以有效提量，包括二進(jìn)制信號(hào)量，計(jì)數(shù)信號(hào)量，互斥信號(hào)量，POSIX信號(hào)量。可通過配中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書4.物聯(lián)網(wǎng)操作系統(tǒng)全生命周期中的安全指導(dǎo)1、信任控制：物聯(lián)網(wǎng)操作系統(tǒng)運(yùn)行中的相關(guān)模塊和程序需要經(jīng)過原廠簽服務(wù)層、應(yīng)用層以及數(shù)據(jù)層等實(shí)施安全控制措中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書10、身份鑒別：可以參考物聯(lián)網(wǎng)操作系統(tǒng)關(guān)鍵安全技術(shù)章節(jié)中的身份鑒別一些安全組織和企業(yè)已經(jīng)公開了一些編碼標(biāo)準(zhǔn)和規(guī)范，可以提供參考。如源代碼審核工具包括靜態(tài)代碼審計(jì)SAST和軟件成分分析SCA。靜態(tài)代碼類。開源工具中比較有名的包括BOON、Cqual、Xg++和F及是否有緩存溢出、命令注入等高風(fēng)險(xiǎn)。通過與CVE漏洞庫匹配，分析出有漏中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書滲透測試是使用非常規(guī)的方法和發(fā)散性思維對(duì)物聯(lián)網(wǎng)操作系統(tǒng)進(jìn)行深入探表3物聯(lián)網(wǎng)操作系統(tǒng)安全測試點(diǎn)測試項(xiàng)測試子項(xiàng)測試點(diǎn)接入安全網(wǎng)絡(luò)接入認(rèn)證驗(yàn)證系統(tǒng)接入網(wǎng)絡(luò)時(shí)采用的身份認(rèn)證及鑒別機(jī)制網(wǎng)絡(luò)訪問控制驗(yàn)證系統(tǒng)訪問網(wǎng)絡(luò)時(shí)采用的雙向身份認(rèn)證機(jī)制通信安全傳輸完整性通過校驗(yàn)工具查看傳輸前后的數(shù)據(jù)保持一致傳輸保密性通過流量分析數(shù)據(jù)在傳輸過程中未采用明文傳輸抗重放攻擊測試系統(tǒng)在數(shù)據(jù)通信時(shí)，抓取報(bào)文后重放報(bào)文，系統(tǒng)不響應(yīng)或者提示無效報(bào)文系統(tǒng)安全用戶身份鑒別用戶標(biāo)識(shí)的唯一性用戶登錄的身份鑒別訪問控制操作系統(tǒng)具備訪問控制機(jī)制，根據(jù)系統(tǒng)管理員設(shè)置的訪問控制策略，系統(tǒng)中所有主體、客體都應(yīng)遵循訪問控制機(jī)制系統(tǒng)安全審計(jì)審計(jì)范圍應(yīng)覆蓋到每個(gè)系統(tǒng)用戶審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用等重要的安全相關(guān)事件審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等保護(hù)操作系統(tǒng)審計(jì)記錄，避免被刪除、修改或覆蓋系統(tǒng)安全隔離通過命令驗(yàn)證終端對(duì)操作系統(tǒng)資源和各類數(shù)據(jù)進(jìn)行安全隔離，存儲(chǔ)空間進(jìn)行劃分資源訪問控制驗(yàn)證系統(tǒng)中客體的訪問屬性讀、寫、執(zhí)行等訪問權(quán)限設(shè)置客體僅允許客體擁有者對(duì)其訪問權(quán)限進(jìn)行設(shè)置，且客體擁有者無法把客體的控制權(quán)分配給其他主體升級(jí)更新機(jī)制升級(jí)通道加密升級(jí)鏡像包加密中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書升級(jí)失敗時(shí)系統(tǒng)可回退可用數(shù)據(jù)安全數(shù)據(jù)完整性存儲(chǔ)數(shù)據(jù)內(nèi)容進(jìn)行完整性保護(hù)和驗(yàn)證，檢測到完整性錯(cuò)誤時(shí)采用必要的恢復(fù)措施數(shù)據(jù)可用性驗(yàn)證系統(tǒng)重要數(shù)據(jù)有備份機(jī)制，刪除之后仍然可以正?；謴?fù)數(shù)據(jù)機(jī)密性對(duì)鑒別信息、重要業(yè)務(wù)數(shù)據(jù)等敏感內(nèi)容進(jìn)行加密存儲(chǔ)驗(yàn)證個(gè)人信息安全個(gè)人信息檢測操作系統(tǒng)中不應(yīng)該存儲(chǔ)個(gè)人相關(guān)信息數(shù)據(jù)，除非有客戶授權(quán)個(gè)人信息刪除檢查個(gè)人信息徹底刪除，且不可恢復(fù)），中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書5.物聯(lián)網(wǎng)操作系統(tǒng)安全技術(shù)應(yīng)用實(shí)例翼輝信息于2019年推出了基于其自主操作系統(tǒng)的工業(yè)安全容器（ECS），入式設(shè)備容易受到來自不可信賴或惡意程序的攻擊以及工業(yè)安全容器技術(shù)支持將應(yīng)用環(huán)境整體打包成為一個(gè)標(biāo)準(zhǔn)化單元，實(shí)現(xiàn)開圖7工業(yè)安全容器架構(gòu)工業(yè)安全容器技術(shù)可在物聯(lián)網(wǎng)操作系統(tǒng)和容器內(nèi)的應(yīng)用程序之間提供一道中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書離，確保容器具有完整獨(dú)立的運(yùn)行環(huán)境，免容器支持資源競爭安全技術(shù)，可對(duì)容器的CPU運(yùn)行時(shí)間、內(nèi)存大小、內(nèi)核對(duì)象、磁盤存儲(chǔ)空間、信號(hào)量、消息隊(duì)列、任務(wù)優(yōu)先級(jí)等資源的配額和shell命容器支持輕量級(jí)實(shí)現(xiàn)，對(duì)CPU和內(nèi)存消耗極少，系統(tǒng)鏡像可控制在6MB公司在2017年10月對(duì)外發(fā)布了IoT領(lǐng)域的安全框架-PlatfoPSA提供了從安全分析、軟硬件架構(gòu)規(guī)范、參考實(shí)現(xiàn)、再到認(rèn)證的完整流），Cortex?-M系列處理器上的安全應(yīng)用程序的標(biāo)準(zhǔn)編程環(huán)境及基礎(chǔ)的根提供了針對(duì)Armv8-M架構(gòu)處理器的硬件中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書(5)平臺(tái)安全要求（PlatformSecurityRequirements）：規(guī)定了對(duì)SoC(6)基于認(rèn)證的調(diào)試訪問控制規(guī)范（AuthenticatedDebugAccessControl(2)PSA功能API（PSAFunctionalAPIs目前定義了針對(duì)密碼學(xué)及固件升級(jí)（FirmwareUpda(3)API測試程序（APItestsuite）：用來測試各API接口有沒有被正確[7]：(1)功能API認(rèn)證：該認(rèn)證的目的是確保PSA定義的API被正確的表4PSA安全認(rèn)證等級(jí)概述認(rèn)證級(jí)別穩(wěn)健性級(jí)別的安全模型目標(biāo)基于實(shí)驗(yàn)室的PSA-RoT防軟件攻擊和“輕量級(jí)”硬件攻擊的評(píng)估可以防御額外的大量軟件和硬件攻擊認(rèn)證過程實(shí)驗(yàn)室檢查問卷實(shí)驗(yàn)室評(píng)估、白盒測試實(shí)驗(yàn)室根據(jù)更高級(jí)別進(jìn)行測試認(rèn)證結(jié)果PSAC上的證書PSAC上的證書PSAC上的證書/architectures/architecture-security-features中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書實(shí)現(xiàn)。目前由TrustedFirmware社區(qū)管理。其使用BSD-3開源許可協(xié)議。支持演進(jìn)。目前通過PSA認(rèn)證的系統(tǒng)普遍使用了TF-M作為用雙Arm?Cortex?-M核處理器或者Arm?Cortex?-A核+C圖8運(yùn)行TF-M的典型系統(tǒng)模塊框圖3、加解密服務(wù)：默認(rèn)使用mbedTLS作為加解密引ARP欺騙攻擊，SYN泛洪攻擊等，以保護(hù)物聯(lián)網(wǎng)設(shè)備及防火墻內(nèi)部包括四個(gè)防御模塊，網(wǎng)絡(luò)風(fēng)暴防御模塊，重放攻擊防御模塊，2、重放攻擊防御模塊：通過隨機(jī)驗(yàn)證碼進(jìn)行報(bào)文唯一性驗(yàn)證，支持驗(yàn)證碼產(chǎn)生時(shí)間隔間修改；支持局域網(wǎng)和非局域網(wǎng)情況。對(duì)MAC、IP地址發(fā)生變化和ARP欺騙這兩種網(wǎng)絡(luò)狀況，支持快速識(shí)別圖9嵌入式防火墻結(jié)構(gòu)圖中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書1、支持最新的TLS1.3（RFC8446）和DTLS1.32、支持PSK密鑰協(xié)商及身份認(rèn)證機(jī)制，可實(shí)現(xiàn)0-RTT數(shù)據(jù)傳輸，節(jié)省了3、支持商密算法，實(shí)現(xiàn)了IETF標(biāo)準(zhǔn)商密套件（RFC8998ShangMi(SM)4、資源占用低至15KB，適用于存儲(chǔ)資源受圖10OneTLS分層結(jié)構(gòu)圖中國通信標(biāo)準(zhǔn)化協(xié)會(huì)物聯(lián)網(wǎng)操作系統(tǒng)安全白皮書6.建議及展望物聯(lián)網(wǎng)感知控制域復(fù)雜多變的環(huán)境使得物聯(lián)網(wǎng)設(shè)備及操作系統(tǒng)面臨著嚴(yán)峻源有限的現(xiàn)實(shí)狀況卻使得物聯(lián)網(wǎng)設(shè)備及操作系統(tǒng)難以承載復(fù)雜的安全技術(shù)和措展多方面的工作，共同推動(dòng)物聯(lián)網(wǎng)設(shè)備及操作系統(tǒng)雜多變的物聯(lián)網(wǎng)安全環(huán)境，加快構(gòu)建物聯(lián)網(wǎng)設(shè)備及縮略語英文全名中文解釋ADACAuthenticatedDebugAccessControlSpecification基于認(rèn)證的調(diào)試訪問控制規(guī)范ABACAttribute-basedAccessControl基于屬性的訪問控制AEADAuthenticatedEncryptionwithAssociatedData用于關(guān)聯(lián)數(shù)據(jù)的認(rèn)證加密AESAdvancedEncryptionStandard高級(jí)加密標(biāo)準(zhǔn)ASLRAddressSpaceLayoutRandomization地址空間布局隨機(jī)化BLEBluetoohLowEnergy藍(lán)牙低能耗技術(shù)CBCCipherBlockChaining密碼分組鏈接模式CCMCipherBlockChaining-MessageAuthenticationCode密碼分組鏈接消息認(rèn)證碼CFBCipherFeedbackMode加密反饋模式CNSACommercialNationalSecurityAlgorithm美國商業(yè)國家安全算法CTRCountermode計(jì)數(shù)器模式DACDiscretionaryAccessControl自主訪問控制DDoSDistributedDenialofService分布式拒絕服務(wù)DESDataEncryptionStandard數(shù)據(jù)加密標(biāo)準(zhǔn)DEP/NXDataExecutionPrevention/No-executeDEP/NX數(shù)據(jù)執(zhí)行保護(hù)技術(shù)DHDiffieHellmanKeyExchangeAlgorithm迪菲-赫爾曼密鑰交換協(xié)議/算法DICEDeviceIdentifierCompositionEngine設(shè)備標(biāo)識(shí)組合引擎DTLSDatagramTransportLayerSecurity數(shù)據(jù)包傳輸層安全協(xié)議ECBElectronicCodeBook電子密碼本模式ECCEllipticCurveCryptography橢圓曲線ECDHEllipticCurveDiffie-Hellman橢圓曲線迪菲-赫爾曼算法ECDSAEllipticCurveDigitalSignatureAlgorithm橢圓曲線數(shù)字簽名算法GCMGaloisCounterMode伽羅華計(jì)數(shù)器模式GPIOGeneral-PurposeInput/Output通用型輸入輸出GPRSGeneralPacketRadioservice通用分組無線業(yè)務(wù)HKDFHMAC-basedExtract-and-ExpandKeyDerivationFunction基于哈希的提取和擴(kuò)展密鑰派生函數(shù)HMACHash-basedMessageAuthenticationCode基于哈希的消息認(rèn)證碼HSMHardwareSecurityModule硬件安全模塊HSPAHigh-SpeedPacketAccess高速下行分組接入IMEIInternationalMobileEquipmentIdentity國際移動(dòng)設(shè)備識(shí)別碼IIoTIndustryInternetofThings工業(yè)物聯(lián)網(wǎng)IoTInternetofThings物聯(lián)網(wǎng)KDFKeyDerivationFunction密鑰派生函數(shù)LSMLinuxSecurityModulesLinux安全模塊L