◎南京海關(guān)工業(yè)產(chǎn)品檢測中心 封亞輝 王亞春 戴東情

◎中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心 毛圣兵

如今，安全問題是大規(guī)?？纱┐髟O(shè)備部署的最大障礙之一。可穿戴設(shè)備制造商正與標(biāo)準(zhǔn)化組織合作，打造下一代更安全、更標(biāo)準(zhǔn)化的智能穿戴物品，但安全方面的認(rèn)證仍是一個(gè)懸而未決的問題。一個(gè)合適的安全認(rèn)證計(jì)劃將有助于評估和比較不同的安全技術(shù)，以便為最終用戶提供一個(gè)更加協(xié)調(diào)的可穿戴安全環(huán)境。事實(shí)上，歐洲網(wǎng)絡(luò)安全組織第一工作組正致力于標(biāo)準(zhǔn)化、認(rèn)證、標(biāo)記和供應(yīng)鏈管理，為安全標(biāo)準(zhǔn)和認(rèn)證的發(fā)展制定路線圖。然而，可穿戴設(shè)備安全的適當(dāng)風(fēng)險(xiǎn)評估和認(rèn)證方法必須克服這種模式固有的各方面障礙。一方面，設(shè)備和產(chǎn)品高度的多樣性和異質(zhì)性與安全方面的客觀需求相沖突。另一方面，由于典型可穿戴設(shè)備環(huán)境的動態(tài)性，認(rèn)證方法必須考慮到產(chǎn)品在這些變化的條件下運(yùn)行的各種情況。因此，需要?jiǎng)?chuàng)建自我評估方案并改進(jìn)自動化環(huán)境的測試方法，以確保產(chǎn)品具有適合于使用環(huán)境的最低安全級別。此外，該方法必須滿足可穿戴市場的業(yè)務(wù)需求并能以用戶理解的方式傳達(dá)結(jié)果。

為了應(yīng)對這些挑戰(zhàn)，本文提出了一種可穿戴設(shè)備安全認(rèn)證方法，該方法基于兩個(gè)構(gòu)建模塊：風(fēng)險(xiǎn)評估和測試，其最終目標(biāo)是在特定協(xié)議和環(huán)境中標(biāo)記設(shè)備的安全性。

一、可穿戴設(shè)備安全評估

可穿戴設(shè)備的安全性經(jīng)常被忽視，或者被可穿戴設(shè)備制造商當(dāng)作事后因素考慮?？纱┐髟O(shè)備上市時(shí)間短，產(chǎn)品開發(fā)成本降低加快了設(shè)備的設(shè)計(jì)和開發(fā)過程。即使有少數(shù)設(shè)備支持某些保護(hù)也通常選擇使用軟件級別的解決方案，比如固件簽名。然而，將注意力集中在基于軟件的保護(hù)方案上常常會使硬件在無意中變得脆弱(例如，調(diào)試接口打開)，從而導(dǎo)致新的攻擊。

（一）安全目標(biāo)：CIA安全模型

安全三元組是一種用于開發(fā)安全機(jī)制的杰出模型，它利用三個(gè)主要領(lǐng)域來實(shí)現(xiàn)安全，即數(shù)據(jù)機(jī)密性、完整性和可用性。

數(shù)據(jù)機(jī)密性是指通過使用不同的機(jī)制向用戶提供敏感信息的保密措施，從而防止其泄露給未經(jīng)授權(quán)的一方，并且僅被授權(quán)用戶擁有訪問這些敏感信息的能力。數(shù)據(jù)機(jī)密性通常通過數(shù)據(jù)信息加密或系統(tǒng)訪問控制等不同方式實(shí)現(xiàn)。

數(shù)據(jù)完整性是指通過一些常見的方法，如數(shù)據(jù)完整性算法來防止數(shù)據(jù)修改，從而保護(hù)有用的信息不受網(wǎng)絡(luò)犯罪分子、數(shù)據(jù)傳輸以及休息期間的外部干擾。

數(shù)據(jù)的可用性確保了被授權(quán)方在任何情況下都能夠立即訪問其信息資源。對于DoS攻擊等未被授權(quán)的訪問，系統(tǒng)會拒絕其訪問信息資源。最著名的保護(hù)可用性的機(jī)制是：防火墻、IDS和冗余方法。

圖1 CIA安全模型

（二）安全風(fēng)險(xiǎn)評估方法：CVSS

如今，可穿戴設(shè)備的安全問題越來越受到人們的關(guān)注，面對種類繁雜的可穿戴設(shè)備以及存在的復(fù)雜多變的安全漏洞，可穿戴設(shè)備的測試管理人員需要更好地對不同環(huán)境中的可穿戴設(shè)備的安全風(fēng)險(xiǎn)作出合適的安全風(fēng)險(xiǎn)評估。

CVSS是一個(gè)自由和開放的行業(yè)標(biāo)準(zhǔn)，用于評估計(jì)算機(jī)系統(tǒng)安全漏洞的嚴(yán)重性。它使用統(tǒng)一的語言對不同的漏洞進(jìn)行嚴(yán)重性評分，允許管理人員根據(jù)具體的風(fēng)險(xiǎn)對響應(yīng)和資源進(jìn)行優(yōu)先級排序。CVSS的嚴(yán)重性得分是根據(jù)基本評估、時(shí)效性評估以及環(huán)境評估這三個(gè)指標(biāo)計(jì)算得出的一個(gè)0到10之間的數(shù)字。

（1）基本評估

基本評估由可利用性和影響程度兩組指標(biāo)組成。可利用性是評估漏洞如何被訪問以及訪問時(shí)是否需要額外的條件，包括三個(gè)指標(biāo)：訪問途徑、訪問復(fù)雜性以及身份驗(yàn)證。影響程度是評估當(dāng)某個(gè)安全漏洞被惡意利用后對信息的機(jī)密性、完整性和可用性的影響。

（2）時(shí)效性評估

時(shí)效性評估是指在安全風(fēng)險(xiǎn)評估過程中可能與時(shí)間有一定聯(lián)系的屬性，時(shí)效性評估作為CVSS的可選指標(biāo)之一，并不會影響安全風(fēng)險(xiǎn)的最終得分。時(shí)效性評估的指標(biāo)包括漏洞的可用性、漏洞修補(bǔ)的安全程度以及安全報(bào)告的可信度。

（3）環(huán)境評估

安全漏洞對可穿戴產(chǎn)品帶來的危害和經(jīng)濟(jì)損失程度因使用環(huán)境的不同而不同。環(huán)境評估也是CVSS的可選指標(biāo)，不影響安全風(fēng)險(xiǎn)的最終評分。

在安全風(fēng)險(xiǎn)評估的三個(gè)指標(biāo)中，只有基本評估指標(biāo)是必選指標(biāo)，一旦計(jì)算出基本評估指標(biāo)，安全風(fēng)險(xiǎn)就會根據(jù)解決方案的有效性進(jìn)行排序，從而更好地解決安全問題?，F(xiàn)階段解決安全漏洞問題的主要難點(diǎn)包括以下兩方面：

（1）硬件不安全和常見的應(yīng)用漏洞已經(jīng)有很多成熟的解決方案。然而這些解決方案的適用性與設(shè)備制造商或軟件開發(fā)人員的產(chǎn)品開發(fā)方式有關(guān)。

（2）缺乏輕量級的反惡意軟件和DoS攻擊問題解決方案，雖然現(xiàn)階段能給出一個(gè)嚴(yán)重性評分，但解決方案很少。

二、可穿戴安全認(rèn)證架構(gòu)

本方案的目標(biāo)是為大型可穿戴項(xiàng)目提供對設(shè)備安全風(fēng)險(xiǎn)與用戶信任度的測試和認(rèn)證的技術(shù)解決方案，使用升級的云測試平臺，為安全風(fēng)險(xiǎn)與信任度測試配備適當(dāng)?shù)脑O(shè)備。該認(rèn)證和風(fēng)險(xiǎn)評估的整體過程將基于測試的安全風(fēng)險(xiǎn)評估與基于風(fēng)險(xiǎn)的安全測試相結(jié)合。

可穿戴設(shè)備安全風(fēng)險(xiǎn)評估與認(rèn)證方案總體架構(gòu)如圖2所示，總體可分為四個(gè)階段：漏洞識別、分析環(huán)境、安全評估、認(rèn)證及標(biāo)記。第一個(gè)階段是漏洞識別，它對可穿戴環(huán)境進(jìn)行分析，以便在可穿戴系統(tǒng)中建立一個(gè)安全風(fēng)險(xiǎn)數(shù)據(jù)庫。第二階段是分析環(huán)境階段，包括理解業(yè)務(wù)、監(jiān)管環(huán)境以及分析每種環(huán)境中需要的安全級別。第三階段是安全評估階段，這一階段包括安全風(fēng)險(xiǎn)評估(本文的主要主題)和安全測試。第四階段是認(rèn)證與標(biāo)記階段，主要利用從測試中收集的數(shù)據(jù)，結(jié)合獲得的配置文件以及認(rèn)證過程生成的標(biāo)簽，幫助用戶了解評估目標(biāo)的安全級別。

此外，圖2是為了建立管理視角與外部控制模塊，從而做到分析和改進(jìn)過程中相關(guān)信息以及提供額外的技術(shù)支持。

（一）漏洞識別

漏洞識別階段主要目的是分析可穿戴設(shè)備環(huán)境，根據(jù)已有的安全漏洞建立合適的安全風(fēng)險(xiǎn)數(shù)據(jù)庫，分為以下兩個(gè)步驟：

（1）從當(dāng)前可穿戴文獻(xiàn)中提取引用最多的一些安全方面的漏洞。

（2）將這些漏洞與通用漏洞進(jìn)行映射并將它們分組為更普遍的適用于可穿戴的安全風(fēng)險(xiǎn)，目的是使用一個(gè)簡單的標(biāo)簽以壓縮的方式反映所有安全維度。

（二）分析環(huán)境

分析環(huán)境階段進(jìn)行風(fēng)險(xiǎn)分析，確定在一個(gè)特定的使用環(huán)境中需要的安全級別。在這一過程中，我們采用的方法是將環(huán)境變量添加到標(biāo)簽，例如，在健康方面的應(yīng)用中，保密性和可用性可以被認(rèn)為是兩個(gè)非常重要的安全屬性，在智能家居中不那么重要。健康應(yīng)用方面的保密性比智能家居方面的保密性更重要這一特征將反映在相關(guān)的配置文件中。

在這個(gè)階段的分析中定義了幾個(gè)配置文件（如A，B，C，D），在獲取每個(gè)配置文件時(shí)，評估目標(biāo)必須達(dá)到相應(yīng)的安全級別，例如，如果設(shè)備想要獲得A配置文件，它需要一個(gè)低風(fēng)險(xiǎn)的安全級別。值得注意的是，如果一個(gè)設(shè)備滿足一個(gè)特定的配置文件，它也滿足較低的配置文件，所以如果一個(gè)設(shè)備滿足一個(gè)A配置文件，它也滿足B、C、D配置文件。

（三）安全評估

根據(jù)漏洞識別階段提取的漏洞能夠確定可穿戴設(shè)備在特定應(yīng)用場景的潛在漏洞。如果某個(gè)漏洞不能被惡意利用，則被默認(rèn)標(biāo)記為低風(fēng)險(xiǎn)。安全評估階段旨在提供不同的測試結(jié)果來作為認(rèn)證計(jì)劃的基準(zhǔn)，并提供與漏洞相關(guān)的風(fēng)險(xiǎn)標(biāo)記，以便能夠比較不同場景帶來的不同安全風(fēng)險(xiǎn)，并通過安全認(rèn)證階段獲得最終的安全標(biāo)簽。在安全風(fēng)險(xiǎn)評估中，分為三個(gè)階段：

（1）風(fēng)險(xiǎn)識別：使用漏洞識別階段識別的一般漏洞作為輸入。根據(jù)評估目標(biāo)選擇將被測試的漏洞。

（2）風(fēng)險(xiǎn)評估：每個(gè)漏洞分配一個(gè)風(fēng)險(xiǎn)標(biāo)記。利用安全測試階段獲得的默認(rèn)值和測試結(jié)果，通過CVSS機(jī)制來評估安全風(fēng)險(xiǎn)漏洞的風(fēng)險(xiǎn)等級。

（3）風(fēng)險(xiǎn)評估：將風(fēng)險(xiǎn)評估的結(jié)果與分析環(huán)境階段所考慮的安全等級進(jìn)行比較。

安全測試階段的主要目的是測試可穿戴設(shè)備的風(fēng)險(xiǎn)等級。它包括三個(gè)階段：

（1）測試設(shè)計(jì)和實(shí)現(xiàn)：這個(gè)階段的目標(biāo)是設(shè)計(jì)一個(gè)測試套件來獲得安全性度量，并在風(fēng)險(xiǎn)評估中使用這個(gè)測試套件來測試每個(gè)漏洞的風(fēng)險(xiǎn)等級。

（2）測試環(huán)境的建立和維護(hù)：在這一過程中利用測試適配器提供測試套件的執(zhí)行環(huán)境并將生成的測試代碼與不同的可穿戴設(shè)備相適應(yīng)。

（3）測試執(zhí)行、分析和總結(jié)：這一階段執(zhí)行前一階段設(shè)計(jì)的測試并從執(zhí)行過程中收集與測試結(jié)果相關(guān)的信息以及與一些指標(biāo)相關(guān)的信息。

圖2 認(rèn)證過程概覽

（四）安全認(rèn)證

安全認(rèn)證階段完成可穿戴設(shè)備的安全認(rèn)證并生成多維安全標(biāo)簽，標(biāo)簽中主要考慮兩個(gè)方面：

（1）評估目標(biāo)：評估目標(biāo)被定義為一組可能伴有引導(dǎo)的軟件、固件或硬件。另外，評估目標(biāo)還包括測試過的協(xié)議和測試過的環(huán)境。

（2）安全級別：安全級別與測試場景相關(guān)的風(fēng)險(xiǎn)有關(guān)。

由于安全需求實(shí)際上是多維的，因此評估的結(jié)果需要以適當(dāng)?shù)男问絺鬟_(dá)給用戶。除了評估目標(biāo)之外，標(biāo)簽還包括每個(gè)通用漏洞的配置文件以便為用戶提供更多的信息。例如，如果使用算術(shù)函數(shù)將這些標(biāo)記組合在一起，那么保密性上的一個(gè)壞標(biāo)記可以用身份驗(yàn)證上的一個(gè)好標(biāo)記來補(bǔ)償。為了使標(biāo)簽更直觀，可以使用一個(gè)八邊形來表示，其中的頂點(diǎn)是8個(gè)常見的漏洞，圖3中展示了智能手環(huán)中的多維標(biāo)簽。

圖3 智能手環(huán)中CoAP和CoAPs分別獲得的多維標(biāo)簽

三、關(guān)鍵問題與未來發(fā)展方向

從可穿戴設(shè)備安全認(rèn)證的整體流程可以看出可穿戴設(shè)備的風(fēng)險(xiǎn)評估主要存在以下問題：

（1）可穿戴設(shè)備的安全風(fēng)險(xiǎn)呈現(xiàn)出復(fù)雜多態(tài)的安全狀況。

可穿戴設(shè)備安全問題暴露出來的難點(diǎn)主要有兩點(diǎn)：一是感知設(shè)備與海量性，感知節(jié)點(diǎn)自身的限制使得對感知環(huán)境的感知存在不穩(wěn)定性。海量的設(shè)備會產(chǎn)生大量的數(shù)據(jù)，如此大量的數(shù)據(jù)處理也是難點(diǎn)之一。二是網(wǎng)絡(luò)強(qiáng)異構(gòu)性，包括網(wǎng)絡(luò)異構(gòu)、設(shè)備異構(gòu)和通信接口異構(gòu)，繼承而來的問題也是各種異構(gòu)單元長期存在的問題。

（2）可穿戴設(shè)備安全模型及應(yīng)用場景的多樣化。

隨著可穿戴設(shè)備越來越多的安全問題暴露出來，適用于各種可穿戴設(shè)備的安全模型也趨于多元化。這對可穿戴設(shè)備的風(fēng)險(xiǎn)評估也提出了更高的要求。另一方面，隨著技術(shù)的發(fā)展，可穿戴設(shè)備被應(yīng)用到各種各樣的場景中，在安全風(fēng)險(xiǎn)評估與認(rèn)證的過程中，認(rèn)證方法必須考慮到設(shè)備在不同場景下使用的情況。

如今，可穿戴生態(tài)系統(tǒng)需要大規(guī)模部署，設(shè)備可以提供高水平的安全性，以覆蓋典型的漏洞。讓實(shí)驗(yàn)者能夠評估和比較不同的可穿戴安全技術(shù)。為此，需要考慮一種系統(tǒng)的、自動化的方法。通過MBT、CertifyIT和TITAN等方式，安全測試的自動生成以及結(jié)果的自動化將成為可穿戴設(shè)備風(fēng)險(xiǎn)評估與安全認(rèn)證的未來發(fā)展方向。

四、總結(jié)

可穿戴設(shè)備的安全風(fēng)險(xiǎn)評估及認(rèn)證是針對可穿戴設(shè)備進(jìn)行深入的安全研究，分析其存在的安全隱患、漏洞和主要威脅，提出相應(yīng)的安全檢測規(guī)范和評估報(bào)告，為可穿戴設(shè)備面臨的風(fēng)險(xiǎn)給出等級劃分。本文提出的方法可以為可穿戴設(shè)備中的安全方面提供可伸縮的測試方法，希望能夠?yàn)橄嚓P(guān)領(lǐng)域提供參考。