單武

摘要：在物聯(lián)網(wǎng)快速發(fā)展和應用的進程中，數(shù)據(jù)安全問題應作為首要問題加以重視。本文基于計算機安全評估標準一通用準則（Common Criteria，CC），探討了物聯(lián)網(wǎng)數(shù)據(jù)安全當前所面臨的風險和威脅，制定了全面保障物聯(lián)網(wǎng)數(shù)據(jù)安全必備的安全功能組件和安全保證組件。通過實例證實該方法能夠反映物聯(lián)網(wǎng)數(shù)據(jù)安全保障可能所需的產(chǎn)品功能，對物聯(lián)網(wǎng)數(shù)據(jù)安全建設具有一定參考價值。

關鍵詞：CC標準；安全需求分析；安全功能組件；安全保證組件；物聯(lián)網(wǎng)

中圖分類號：TP311

文獻標識碼：A

DOI：10.3969/j.issn.1003-6970.2015.08.025

0 引言

在物聯(lián)網(wǎng)的長期發(fā)展進程中，不可避免地會遇到一些問題，而對于信息、數(shù)據(jù)而言，最致命的莫過于安全問題。物聯(lián)網(wǎng)安全若得不到保證，那么物聯(lián)網(wǎng)所涵蓋的人與物、物與物之間的通信信息將有可能被泄露，進而導致不可預計的嚴重后果。

由于物聯(lián)網(wǎng)是一個融合了多網(wǎng)的異構網(wǎng)絡，因此除了具備與一般移動通信網(wǎng)絡、傳感器網(wǎng)絡和因特網(wǎng)相同的安全問題之外，還具有一定的特殊性，主要表現(xiàn)在異構網(wǎng)絡的認證與訪問控制問題、信息儲存和管理問題、隱私保護問題等。因此，在保證物聯(lián)網(wǎng)應用背景本身安全的前提之下，構建物聯(lián)網(wǎng)信息系統(tǒng)的信息安全設計也是必不可少的。一旦信息安全設計存在易被攻擊的漏洞，所獲得的數(shù)據(jù)或信息不僅無效，甚至會帶來危害，嚴重者還會導致系統(tǒng)癱瘓。例如互聯(lián)網(wǎng)的無線信號很容易被竊取和干擾，一旦被敵對勢力利用發(fā)起惡意攻擊，就很可能導致工廠停產(chǎn)、商店停業(yè)、交通癱瘓，等等，整個社會陷入一片混亂。

如何在物聯(lián)網(wǎng)中構建安全架構、運用安全技術，是物聯(lián)網(wǎng)安全的研究重點。文章基于物聯(lián)網(wǎng)數(shù)據(jù)安全的角度，對物聯(lián)網(wǎng)數(shù)據(jù)及其安全特點進行了分析，在此基礎上，結合通用國際標注CC，對物聯(lián)網(wǎng)數(shù)據(jù)安全保護所需的安全功能組件和保證要求進行了選取，對后續(xù)物聯(lián)網(wǎng)數(shù)據(jù)安全防護產(chǎn)品的設計和選型有一定的參考意義。

1 物聯(lián)網(wǎng)數(shù)據(jù)特點和安全問題新特性

跟一般的數(shù)據(jù)相比，物聯(lián)網(wǎng)數(shù)據(jù)有自己的特色。例如，物聯(lián)網(wǎng)數(shù)據(jù)總是大規(guī)模的、分布式的、時間相關的和位置相關的。同時，數(shù)據(jù)的來源是各異的，節(jié)點的資源是有限的。與其他網(wǎng)絡相比，物聯(lián)網(wǎng)數(shù)據(jù)特點和安全問題呈現(xiàn)出以下新特性：

1.1 數(shù)據(jù)的容量更大

物聯(lián)網(wǎng)不是靜態(tài)的，而是由若干個無線識別的物體彼此連接和結合形成的動態(tài)網(wǎng)絡。例如在一個大型的有機農場中，農產(chǎn)品的往往以千萬計。在農場的RFID系統(tǒng)中，假如有2000萬件蔬菜需要跟蹤，每天讀取10次，每次100個字節(jié)，這樣一天的數(shù)據(jù)量就達到20GB，而一年的數(shù)據(jù)量將達到7300GB。而所有蔬菜的跟蹤數(shù)據(jù)量加起來將是一個海量的數(shù)據(jù)。

1.2 數(shù)據(jù)的異構性更強

無線傳感網(wǎng)的數(shù)據(jù)既有視頻、圖像、音頻、文字等多種形式，也有靜態(tài)和動態(tài)多種狀態(tài)；無線傳感網(wǎng)的傳感器既有多種用途，也有多種結構和性能；RFID系統(tǒng)既有多種讀寫器，也有多個RFID標簽；M2M系統(tǒng)中的微型計算設備也是多種多樣。以上這些多態(tài)性、異構性決定了物聯(lián)網(wǎng)數(shù)據(jù)同樣具有異構性，而造成數(shù)據(jù)多態(tài)性和異構性的根本原因則是物聯(lián)網(wǎng)的應用模式和架構互不相同，缺乏可批量應用的系統(tǒng)方法。

1.3 數(shù)據(jù)的更新速度更快

物聯(lián)網(wǎng)的信息采集工作是實時進行的，而被采集的對象一一物的信息是隨時變化的，因此無論是RFID，還是WSN，它們所發(fā)送的數(shù)據(jù)更新是很快的，而且這些數(shù)據(jù)只能備份，而不能長期保存。數(shù)據(jù)更新速度的加快對系統(tǒng)的反應速度和響應時間提出了更高的要求，否則就容易得出錯誤的結果。

1.4 數(shù)據(jù)的傳輸難度更大

國內物聯(lián)網(wǎng)應用相關研究證明：對于WSN來說，文本型數(shù)據(jù)易傳難感，多媒體數(shù)據(jù)易感難傳；當數(shù)據(jù)傳輸故障發(fā)生時，難以判斷是硬件故障還是軟件故障；理想化的系統(tǒng)模型假設因其忽略了WSN運行過程中伴隨的各種不確定的、動態(tài)的環(huán)境因素往往難以實地應用；從某種程度來說，電源（電池）的壽命甚至可以決定整個WSN的壽命。因此，造成WSN式物聯(lián)網(wǎng)在實際應用中節(jié)點的數(shù)量難以突破1000大關的原因，并不完全是異構性、海量性等。數(shù)據(jù)采集、傳輸元器件的性能一一功耗、實用性、可靠性和穩(wěn)定性，已經(jīng)成為目前WSN數(shù)據(jù)管理的瓶頸。

上文所提到的物聯(lián)網(wǎng)數(shù)據(jù)的容量更大、異構性更強、更新速度更快，以及傳輸難度更大的問題，是物聯(lián)網(wǎng)發(fā)展過程中面臨的挑戰(zhàn)，也是促使相關研究者不斷研究的動力，以滿足互聯(lián)網(wǎng)特性的要求，解決數(shù)據(jù)處理難題。

2 物聯(lián)網(wǎng)安全研究和CC應用現(xiàn)狀

2.1 物聯(lián)網(wǎng)安全研究現(xiàn)狀

目前，美國、歐盟、日本、中國等都在投入巨資深入研究物聯(lián)網(wǎng)。作為物聯(lián)網(wǎng)關鍵技術之一一一物聯(lián)網(wǎng)安全，各機構更是不遺余力的投入。2008年在法國召開的歐洲物聯(lián)網(wǎng)大會重要議題之一就是物聯(lián)網(wǎng)中隱私權，關注物聯(lián)網(wǎng)的安全和隱私。在歐盟物聯(lián)網(wǎng)研究需求進程表中，對其中的安全與隱私技術的進程做了明確規(guī)定^[1][2]。

通過跟進這些研究現(xiàn)狀不難看出，目前對物聯(lián)網(wǎng)的安全研究大多集中在物聯(lián)網(wǎng)安全架構和物聯(lián)網(wǎng)安全技術研究方面，例如，文獻[3-11]關注的時物聯(lián)網(wǎng)分層架構安全。文獻[3-8]首先將物聯(lián)網(wǎng)分為感知層、網(wǎng)絡層、處理層、應用層四個邏輯層，而后對各層面臨的安全威脅及其需求進行總結，最后提出了分層安全架構雛形；文獻[9-10]重點探討了物聯(lián)網(wǎng)的嵌入式安全框架特有的安全問題，提出了物聯(lián)網(wǎng)安全中間件的體系架構，并應用成熟的中間件技術和安全技術來屏蔽安全的復雜性，實現(xiàn)物聯(lián)網(wǎng)的安全防護；文獻[11]對物聯(lián)網(wǎng)的新范式從安全架構角度進行了描述。物聯(lián)網(wǎng)安全技術研究方面，文獻[12-16]關注了目前物聯(lián)網(wǎng)安全領域的安全技術發(fā)展現(xiàn)狀和一些關鍵安全技術，關鍵安全技術主要體現(xiàn)在安全路由、安全認證、安全接人和加密算法等，但文獻主要是做出了概括性結論，沒有具體涉及到物聯(lián)網(wǎng)安全的核心技術，而且對相關技術能否適用于物聯(lián)網(wǎng)并未給出相應評論。目前，國外的物聯(lián)網(wǎng)前端無線傳感網(wǎng)和后端互聯(lián)網(wǎng)安全研究要領先于我國，文獻[17-21]對物聯(lián)網(wǎng)中的入侵檢測、拒絕服務攻擊、安全路由和協(xié)議等技術進行了詳細描述。

通過對目前國內外用于物聯(lián)網(wǎng)的傳感器網(wǎng)絡安全性研究現(xiàn)狀的綜合分析，我們可以發(fā)現(xiàn)，用于物聯(lián)網(wǎng)的傳感器安全越來越受到重視。從政府層面到主流的研究機構，都對其投入了極大的關注；同時，因為物聯(lián)網(wǎng)的應用還處于初級階段，目前對物聯(lián)網(wǎng)安全的研究主要還停留在安全架構，安全模型，傳感器終端安全的階段；從這些研究，我們可以看出總結現(xiàn)有物聯(lián)網(wǎng)安全研究的不足：

1）多是從分析物聯(lián)網(wǎng)面臨的安全威脅人手，根據(jù)物聯(lián)網(wǎng)的主流體系架構，從感知層、傳輸層和應用層分層的角度對物聯(lián)網(wǎng)的安全進行分析，并結合各層的特點，采取不同的安全措施。

2）不全面，針對特定領域的特定問題，或者只是通用架構描述，實踐性不足。

2.2 CC應用現(xiàn)狀

CC作為IT安全評估的行業(yè)標準，不僅定義了對特定的IT產(chǎn)品的評估模型和方法，還定義了對一類IT產(chǎn)品的評估方法和模型。這里需要注意的是，CC標準體系除了包括CC之外，還包括CEM（通用評估方法）和PP（保護輪廓）。CEM是CC標準出版后，為了在評估中應用CC而提供的一種通用方法，是與CC配套的文檔。保護輪廓是針對一系列產(chǎn)品的安全功能需求描述文檔。這三者就組成了CC的標準體系^[22]。CC定義了作為評估信息技術產(chǎn)品和系統(tǒng)安全性的基礎準則，提出了目前國際上公認的表述信息技術安全性的結構，即把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求以及解決如何正確有效的實施這些功能的保證要求^[23]。

CC標準提供的安全功能組件和安全保證組件是在總結各國多年在軟件安全方面的經(jīng)驗和知識的基礎上得出的，并且在軟件安全評估的經(jīng)驗中得到了實踐的檢驗。所以CC提供的安全功能組件可以作為軟件需求工程的核心知識庫。近年來基于CC標準來定義軟件安全需求已經(jīng)逐漸成為業(yè)界一種共識，CC標準作為軟件安全評估領域的國際標準將可能成為軟件安全需求分析的事實標準。

2.3 基于CC分析物聯(lián)網(wǎng)數(shù)據(jù)安全的可行性

CC能夠脫離產(chǎn)品和技術本身，全面的反映應用場景下的安全需求和安全問題。數(shù)據(jù)安全有對立的兩方面的含義：一是數(shù)據(jù)本身的安全，主要是指采用現(xiàn)代密碼算法對數(shù)據(jù)進行主動保護；二是數(shù)據(jù)防護的安全，主要是采用現(xiàn)代信息存儲手段對數(shù)據(jù)進行主動防護，如數(shù)據(jù)備份、異地容災等。隱私即為數(shù)據(jù)所有者不愿意被披露的敏感信息，包括敏感數(shù)據(jù)以及數(shù)據(jù)所表征的特性。目前常見的隱私保護技術主要分為基于數(shù)據(jù)失真的技術、基于數(shù)據(jù)加密的技術、基于限制發(fā)布的技術。

物聯(lián)網(wǎng)的數(shù)據(jù)要經(jīng)過信息感知、獲取、匯聚、加密、傳輸、存儲、決策和控制等處理流程。物聯(lián)網(wǎng)應用不僅面臨信息采集的安全性，也要考慮到數(shù)據(jù)傳輸中安全性和應用平臺中數(shù)據(jù)存儲的私密性，要求信息不能被竊聽或篡改，以及非授權用戶的訪問；同時，還要考慮到網(wǎng)絡的可靠性、可用性和安全性。物聯(lián)網(wǎng)能否大規(guī)模推廣應用，很大程度上取決于其是否能夠保障用戶數(shù)據(jù)和隱私的安全。

用CC的思路來考慮物聯(lián)網(wǎng)的數(shù)據(jù)安全，可以全面的分析物聯(lián)網(wǎng)數(shù)據(jù)安全保證的需求，同時通過安全功能組件和安全保證組件的提取，可以為后續(xù)的物聯(lián)網(wǎng)數(shù)據(jù)安全產(chǎn)品設計和物聯(lián)網(wǎng)數(shù)據(jù)安全風險評估提供指導。

3 基于CC標準的物聯(lián)網(wǎng)數(shù)據(jù)安全需求分析

下圖是一個典型的物聯(lián)網(wǎng)數(shù)據(jù)傳輸應用場景，涵蓋了不同的數(shù)據(jù)傳輸方式，在沒有網(wǎng)絡覆蓋的情況且不適合布線的地方，通過無線傳輸，如①所示?；蛘邿o線專網(wǎng)傳輸，如②所示。通過專網(wǎng)上傳數(shù)據(jù)的有線傳輸，如③所示。

可以從圖中總結出物聯(lián)網(wǎng)的數(shù)據(jù)安全著重要關注的區(qū)域有三個，分別是感知層的數(shù)據(jù)安全，信息采集中心的數(shù)據(jù)安全和數(shù)據(jù)上傳到上級中心的數(shù)據(jù)傳輸安全。從圖1中可以看出，感知層處于物聯(lián)網(wǎng)的末端，負責各類信息的采集，是物聯(lián)網(wǎng)各種應用的基石，但是采集后的業(yè)務數(shù)據(jù)并沒有嚴格的保密措施，這些業(yè)務數(shù)據(jù)信息是一些涉密信息，到達信息中心采集服務器，有“一公里”的安全通信問題，并且在數(shù)據(jù)上報傳輸時，數(shù)據(jù)易被截獲、纂改等，一旦泄漏，會嚴重損害國家利益。數(shù)據(jù)采集區(qū)數(shù)據(jù)進入信息采集中心網(wǎng)絡以及業(yè)務數(shù)據(jù)上報到上級單位網(wǎng)絡時，業(yè)務數(shù)據(jù)由低安全域網(wǎng)進入高安全域網(wǎng)絡，在進行數(shù)據(jù)交換時，并沒有相應的隔離措施來保證高安全域網(wǎng)絡的安全。在“末端一公里”的傳輸過程中，由于存在專用的通信資源有限、專用通信網(wǎng)絡覆蓋范圍有限等不足，很可能影響上級單位對采集信息實時監(jiān)管的任務需求。同時也不能滿足物聯(lián)網(wǎng)時代軍民融合的通信戰(zhàn)略需求。

針對圖1中提出的安全隱患，系統(tǒng)需要重點解決“末端一公里”的通信安全問題以及信息安全傳輸問題和網(wǎng)絡安全隔離問題。安全需求具體體現(xiàn)在以下方面：

（1）業(yè)務數(shù)據(jù)的安全保密需求

物聯(lián)網(wǎng)中的業(yè)務數(shù)據(jù)在開放的網(wǎng)絡中傳輸時，有可能被非授權的用戶或實體截取，獲得對某個資源的非法訪問，從而導致泄密，造成嚴重后果。因此，通過信息系統(tǒng)傳輸?shù)臉I(yè)務數(shù)據(jù)必須進行加密保護，且加密算法和密碼強度滿足一定的加密要求。

（2）業(yè)務數(shù)據(jù)安全隔離交換需求

業(yè)務數(shù)據(jù)在進入高安全域網(wǎng)絡進行數(shù)據(jù)交換時，需要提供可靠的安全隔離，要阻斷能用的TCP/IP連接，任何TCP/IP報文都不能直接進行傳輸，實現(xiàn)通用網(wǎng)絡協(xié)議和私有通信協(xié)議的協(xié)議轉換，只允許用戶認可的業(yè)務及其他信息進行數(shù)據(jù)轉發(fā)。需要控制包含在TCP/IP報文中的網(wǎng)絡攻擊，保證不同安全域網(wǎng)絡互連的安全性。

（3）身份認證及消息認證需求

身份認證確保通信雙方互為可信的通信實體；消息認證實現(xiàn)消息的完整性驗證。

（4）其他安全需求

僅允許給出數(shù)據(jù)交換機制、數(shù)據(jù)格式的專用業(yè)務數(shù)據(jù)進入，并能對業(yè)務數(shù)據(jù)進行有效控制，進行安全檢查。只有通過安全檢查的數(shù)據(jù)才允許進行另一個網(wǎng)絡。因此，系統(tǒng)還應該設置訪問控制、安全審計、密鑰管理等功能。

CC標準中提出的安全需求抽取方法是根據(jù)威脅和預定采取的組織安全策略確定安全目的，通過選擇安全功能組件對應實現(xiàn)安全目的，所選擇的安全功能組件可以視為是安全需求的具體抽取?；贑C標準的方法的一個優(yōu)勢是使用了標準所提供的安全功能組件，使得安全需求的表達形式更為嚴謹和權威。安全需求抽取的主要工作是根據(jù)威脅或者預定的安全目標識別安全需求。

4 基于CC的物聯(lián)網(wǎng)數(shù)據(jù)安全功能組件和安全保證組件

基于對物聯(lián)網(wǎng)數(shù)據(jù)安全的需求分析，結合CC功能組建集合中關于數(shù)據(jù)安全方面的功能組件的設計，本文對物聯(lián)網(wǎng)數(shù)據(jù)安全功能組建和安全保證組建選取了下面的安全功能組建列表和安全保證組建列表（EAL 3級，3級是應用中廣泛采用的一個等級）。

5 結束語

在對物聯(lián)網(wǎng)安全研究中從物聯(lián)網(wǎng)的數(shù)據(jù)安全角度出發(fā)，建立了基于CC的物聯(lián)網(wǎng)數(shù)據(jù)安全風險分析和安全功能組件和安全保證組件的選取，建立了數(shù)據(jù)驅動的安全保證體系。本文將CC標準融人物聯(lián)網(wǎng)數(shù)據(jù)安全需求分析過程中，為物聯(lián)網(wǎng)的數(shù)據(jù)安全需求選取了安全功能組件和安全保證組件，從而能夠較為容易的開發(fā)物聯(lián)網(wǎng)數(shù)據(jù)安全防護產(chǎn)品和物聯(lián)網(wǎng)數(shù)據(jù)防護提供框架范圍內的參考，能部分解決物聯(lián)網(wǎng)安全的落地問題。對以往的只是從架構角度去談物聯(lián)網(wǎng)安全或突出某項關鍵技術，但脫離實際應用環(huán)境的現(xiàn)狀做了改進。

結合CC分析物聯(lián)網(wǎng)的數(shù)據(jù)安全，在一定程度上達到了脫離具體產(chǎn)品和特定技術，能夠較為全面的反映物聯(lián)網(wǎng)數(shù)據(jù)安全保證所需的功能組件。該方法對于物聯(lián)網(wǎng)數(shù)據(jù)安全評估和物聯(lián)網(wǎng)安全產(chǎn)品的開發(fā)有較好的實用價值。

參考文獻

[1]European Research Projects on the Intemet of Things （CERP-IoT） Strategic Research Agenda（SRA）. Internet of things-strategic research roadmap.http：//ec.Europa.eu/information_so ciety/policy/rfid/documents/in_cerp.pdf.）

[2]Commission of the European communities. Internet of Things in 2020， EPoSS， Brussels. http： //www.umic. pt/images/sto-ries/publicacoes2/1nternet-of-Things_in_ 2020_EC-EPoSS_Workshop_Report_2008_v3.pdf

[3]武傳坤物聯(lián)網(wǎng)安全架構初探中國科學院軟件研究所信息安全國家重點實驗室《中國科學院院刊》（中文版），2011

[4]孫其博，劉杰，黎羴，等物聯(lián)網(wǎng)：概念、架構與關鍵技術研究綜述[J]北京郵電大學學報，2010（03）

[5]郭莉，嚴波，沈延物聯(lián)網(wǎng)安全系統(tǒng)架構研究[J]信息安全與通信保密，2010（12）

[6]高同，朱佳佳，羅圣美，孫知信M2M功能架構與安全研究計算機技術與發(fā)展2012（1）

[7]李志清.物聯(lián)網(wǎng)安全架構與關鍵技術[J]微型機與應用，2011（09）

[8]吳振強，周彥偉，馬建峰物聯(lián)網(wǎng)安全傳輸模型[J]計算機學報，2011（08）

[9]SachinBabar，AntoniettiaStango， Proposed Embedded Security Framework for Internet of Things （IoT）978-1-4577-07872011 IEEE

[10]ArijitUkil，JaydipSen， Embedded Security for Internet of Things978-1-4244-9581

2011 IEEE

[11]DoriceNyamy， Pascal Urien， HIP-TAG，a New Paradigm for the Internet of Things， 978-1-4244-8790-5/112011 IEEE

[12]楊庚，許建，陳偉，等物聯(lián)網(wǎng)安全特征與關鍵技術[J]南京郵電大學學報（自然科學版），2010（04）

[13]郎為民.物聯(lián)網(wǎng)安全技術的相關研究與發(fā)展[J]信息網(wǎng)絡安全，2011（03）

[14]楊光，耿貴寧，都婧，等物聯(lián)網(wǎng)安全威脅與措施[J]清華大學學報（自然科學版），2011（10）

[15]聶學武，張永勝，駱琴，等物聯(lián)網(wǎng)安全問題及其對策研究[J]計算機安全，2010（11）

[16]李振汕.物聯(lián)網(wǎng)安全問題研究[J]信息網(wǎng)絡安全，2010（12）

[17]Murat D，Youngwhan S An RSSI-based scheme for Sybil attack detection in wireless sensor networks. In： Proceedings of the 2006Intemational Symposium on a World of Wireless， Mobile and Multimedia Nerworks（WoWMoM' 06）， New York USA， June 2006

[18]Hu Y C，Perrig A，Johnson D B Packet leashes：a defense against wormhole attacks in wireless networks， twenty-second annualjointconference ofthe IEEE computer and communications societies. IEEE INFOCOM 2003， 3（30）：1 976-1 986

[19] KrotirisI，DimitriouT，Giannetsos T.LIDeA： A distributed lightweight intrusion detection architecture for sensor networks[C]//Proceedings fo the 4 th Intemational Conference on Security and Privacy for Communication networks， 2008

[20]Loo C E，Ng M Y，LechkieC，et al，Intrusion detection for routing attacks in sensor networks[J]. Intemational Journal of DistributedSensor Networks， 2006， 2（4）L：313-332

[21]Bhuse V，Gupta A Anomaly intrusion detection in wireless sensor networks[J]. Journal of High Speed Networks， 2006，15（1）： 33-51

[22]劉豐煦.基于CC標準的等級驅動安全需求分析方法[D]天津：天津大學，2012

[23]潘東.結合CC標準基于活動圖擴展的安全需求分析方法[D]天津：天津大學，2010