《物联网系统安全可靠性研究.docx》由会员分享,可在线阅读,更多相关《物联网系统安全可靠性研究.docx(23页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精品文档,仅供学习与交流,如有侵权请联系网站删除物联网研究本期主题物联网系统安全可靠性研究工业和信息化部计算机与微电子发展研究中心Center of Computer and Microelectronics Industry Development, MIIT机构介绍工业和信息化部计算机与微电子发展研究中心(中国软件评测中心),简称中国评测,成立于1990年,是直属于工业和信息化部的一类科研事业单位。工业和信息化部计算机与微电子发展研究中心秉承“专业就是实力”的宗旨,坚持面向政府、面向行业、面向企业,致力于提供软硬件产品和系统测试、安全测评、信息工程监理、系统集成企业和监理单位资质认证、电子
2、政务咨询评估等专业服务,形成了测试、监理、认证、评估、培训五业并举发展的格局。工业和信息化部计算机与微电子发展研究中心总部设在北京,在上海、广州、深圳、大连等地设有分支机构,拥有测试实验室3000余平方米,员工300余人,其中博士40余人。近年来,中心以电子系统可靠性评测为核心,重点面向物联网、云计算、智能移动终端软件系统、光伏产品及系统、工业控制系统等领域,搭建专业测试环境,研制测评指标体系,研发测评模型和测评工具,开展技术咨询、方案验证、测评服务等业务。目前,受国家发改委、工信部和财政部等部委的委托,正在承建“物联网公共技术服务平台”、“云计算公共技术服务平台”、“智能移动终端软件公共技术
3、服务平台”、光伏产品公共技术服务平台”等多个国家级公共服务平台,全力打造开放的公共技术服务支撑体系。引言随着物联网在各地、各行业取得广泛的应用,其安全可靠性问题成为物联网的焦点。物联网和互联网一样,都是一把“双刃剑”。物联网是一种虚拟网络与现实世界实时交互的新型系统,其特点是无处不在的数据感知、以无线为主的信息传输、智能化的信息处理。物联网技术的推广和运用,一方面将显著提高经济和社会运行效率,另一方面也对国家和企业、公民的信息安全和隐私保护问题提出了严峻的挑战。物联网系统安全的总需求是物理安全、网络安全、信息内容安全、基础设施安全等的综合。,最终目标是确保信息的保密性、完整性、认证性、抗抵赖性
4、和可用性,确保用户对系统资源的控制,保障系统的安全、稳定、可靠运行。因此物联网系统安全体系框架由技术体系、管理体系和组织体系三部分构成。为了建立物联网的安全可靠性保障体系,应加强系统建设的安全设计、安全建设以及安全测评相关工作。安全设计包括安全环境设计、安全区域边界设计、安全通信网络设计。而安全建设通过进行信息安全方案设计,确定安全需求,选择合适的安全产品及系统,还要重视集成后的测试与维护。加强安全测评工作,对各类物联网应用示范工程全面开展安全风险与系统可靠性评估工作。研究物联网安全可靠性测评技术与方法,有助于加速物联网技术研发和产业化推广,既是我国信息产业转型升级、由弱变强的重要支撑,也是保
5、障国家信息安全的必由之路。通过物联网系统可靠性测试领域的建设,可以提供高质量的物联网检验检测服务,推动物联网公共技术服务环境的完善,完善我国物联网产业支撑体系,为我国物联网创新发展和示范工程的推进提供技术支撑与保障。目录第一章物联网安全可靠性发展及现状61.1物联网安全需求与现状61.2物联网“十二五”规划信息安全解读11第二章物联网安全可靠性体系架构122.1信息系统安全技术发展阶段122.2物联网系统安全体系架构13第三章物联网安全可靠性保障173.1建立物联网系统安全保障体系的主要工作173.2物联网系统安全可靠性检测指标19第四章物联网安全可靠性测评仿真工具254.1面向TinyOS的
6、物联网系统信息安全测评工具254.2基于OPNET物联网系统安全仿真验证系统27第一章 物联网安全可靠性发展及现状1.1 物联网安全需求与现状 物联网技术体系的安全问题从物联网的信息处理过程来看, 感知信息经过采集、汇聚、融合、传输、决策与控制等过程, 整个信息处理的过程体现了物联网安全的特征与要求与传统网络安全关注的重点存在着巨大的差异。1、感知网络安全问题感知网络的信息采集、传输与信息安全问题。感知节点呈现多源异构性, 感知节点通常情况下功能简单(如自动温度计)、携带能量少(使用电池) , 使得它们无法拥有复杂的安全保护能力, 而感知网络多种多样, 从温度测量到水文监控, 从道路导航到自动
7、控制, 它们的数据传输和消息也没有特定的标准, 所以没法提供统一的安全保护体系。2、传输网络安全问题传输网络的信息安全问题。核心网络具有相对完整的安全保护能力, 但是由于物联网中节点数量庞大, 且以集群方式存在, 因此会导致在数据传播时, 由于大量机器的数据发送使网络拥塞,产生拒绝服务攻击。此外, 现有通信网络的安全架构都是从人通信的角度设计的, 对以物为主体的物联网, 要建立适合于感知信息传输与应用的安全架构。3、业务平台安全问题物联网业务的安全问题。支撑物联网业务的平台有着不同的安全策略, 如云计算、分布式系统、海量信息处理等, 这些支撑平台要为上层服务管理和大规模行业应用建立起一个高效、
8、可靠和可信的系统, 而大规模、多平台、多业务类型使物联网业务层次的安全面临新的挑战, 是针对不同的行业应用建立相应的安全策略, 还是建立一个相对独立的安全架构。4、隐私保护问题安全的机密性、完整性和可用性来分析物联网的安全需求。信息隐私是物联网信息机密性的直接体现, 如感知终端的位置信息是物联网的重要信息资源之一, 也是需要保护的敏感信息。另外在数据处理过程中同样存在隐私保护问题, 如基于数据挖掘的行为分析等等, 要建立访问控制机制, 控制物联网中信息采集、传递和查询等操作, 不会由于个人隐私或机构秘密的泄露而造成对个人或机构的伤害。信息的加密是实现机密性的重要手段, 由于物联网的多源异构性,
9、 使密钥管理显得更为困难, 特别是对感知网络的密钥管理是制约物联网信息机密性的瓶颈。物联网的信息完整性和可用性贯穿物联网数据流的全过程。同时物联网的感知互动过程也要求网络具有高度的稳定性和可靠性:物联网与许多应用领域的物理设备关连关联, 要保证网络的稳定可靠, 如在仓储物流应用领域, 物联网必须是稳定的, 要保证网络的连通性, 不能出现互联网中电子邮件时常丢失等问题, 不然无法准确检测进库和出库的物品。因此, 物联网的安全特征体现了感知信息的多样性、网络环境的多样性和应用需求的多样性, 呈现出网络的规模和数据的处理量大, 决策控制复杂等特点, 给安全研究提出了新的挑战。 物联网系统风险薄弱环节
10、总结2.物联网系统风险薄弱环节总结(这个小标题与哪个标题接续?)物联网在面临的安全挑战方面除了面对传统的网络安全问题外,还将面对如下特殊的安全挑战:物的数量极其庞大,信息量相比“互联网”时代巨大。物的数量极其庞大,信息量相比“互联网”时代巨大。(1)感知层的计算能力、通信能力、存储能力、能量等都受限,不能应用复杂的安全技术。现实世界的“物”都联网,通过网络可感知及控制类似家电、交通、能源等设施,安全事故的危害巨大。鉴于物联网系统非常复杂,涉及的内容远远超过传统的网络系统,影响其可靠性的因素众多,故需对物联网安全性缺陷做一些专门分析。下面列出了一些各层较为典型的缺陷与薄弱环节。物理安全:传感网节
11、点多分布在恶劣环境中,往往无人值守,容易遭到物理破坏而失效;节点易于伪造:节点结构简单,加密手段较弱,易于伪造。例如无线传感器网络中最主要、最易出现的蛀洞攻击,这种攻击通过单个节点伪造身份或偷窃合法节点身份,以多个虚假身份出现在网络的其他节点面前,使其更容易成为路由路径中的节点,吸引数据流以提高目标数据流经过自身的概率。易受干扰:例如在目标网络中心频率发送无线电波进行欺骗式干扰或压制式干扰。节点易于被捕获或被控制:由于物联网节点的软、硬件结构较简单,其数据处理能力、数据存储能力较弱,因此无法采用复杂的加密算法,易于被捕获或控制。(2)网络层:。数据加密机制:由于传感器节点的物理限制,其有限的计
12、算能力和有限的存储空间使基于公钥的密码体制难以应用于无线传感器网络中。为了节省传感器网络的能量开销和提供整体性能,也尽量要采用轻量级的对称加密算法。碰撞攻击(通过发送额外数据包与原始数据包叠加而导致有用信息无法分离);拒绝服务攻击(在MAC协议中,节点通过监测邻居节点是否发送数据来确定自身是否能访问通信信道,这种载波监听方式特别容易遭到拒绝服务攻击)。虚假路由信息:通过欺骗,更改和重发路由信息,攻击者可以创建路由环,吸引或者拒绝网络信息流通量,延长或者缩短路由路径,形成虚假的错误消息,分割网络,增加端到端的时延。安全路由:由于每个节点都是潜在的路由节点,因此更易于受到攻击。大多数路由协议都没有
13、考虑安全的需求,使得这些路由协议都易于遭到攻击,而导致整个无线传感器网络崩溃;恶意节点随即丢失数据包,或将自己的数据包以很高的优先级进行传输,从而破坏网络的正常通信等。选择性的转发:节点收到数据包后,有选择地转发或者根本不转发收到的数据包,导致数据包不能到达目的地。拒绝服务攻击:拒绝服务攻击即攻击者想办法让目标机器停止提供服务,一般采用对网络带宽进行消耗性攻击。物联网节点的资源有限,所以抵抗DoS攻击的能力较弱。(3)应用层:本层的安全问题主要来自于各类新兴业务及应用的相关业务平台。恶意代码以及各类软件系统自身漏洞和可能的设计缺陷是物联网应用系统的重要威胁之一。同时由于涉及多领域多行业, 物联
14、网广域范围的海量数据信息处理和业务控制策略目前在安全性和可靠性方面仍存在较多技术瓶颈且难于突破,特别是业务控制和管理、业务逻辑、中间件、业务系统关键接口等环境安全问题尤为突出。由于物联网设备可能是先部署后连接网络,而物联网节点又无人看守,所以如何对物联网设备进行远程签约信息和业务信息配置就成了难题。另外,庞大且多样化的物联网平台必然需要一个强大而统一的安全管理平台,否则独立的平台会被各式各样的物联网应用所淹没。物联网各层都存在着安全缺陷和薄弱环节,需要特别指出的是:隐私泄露问题在物联网领域面临的形势非常严峻。从感知层到应用层,各层都存在着隐私泄露的环节。从研究和关注度的角度来看,隐私性和隐私保
15、护技术一直是整个技术和应用发展过程中的短板。其中一个原因是公众对于隐私的漠视。而对技术人员来说,最大的缺憾是保护隐私的各种技术还尚未成熟:现有的各种系统并不是针对资源受限访问型设备而设计的,但物联网恰恰是这种类型的系统。(二)物联网应用安全需求与现状(此小标题(一)在哪儿?)目前,物联网在中国的发展已经进入关键阶段,各地纷纷建立物联网示范工程,这种局面虽有利于推动物联网利于推动物联网相关产业的发展,但也存在着严重的陷患,目前局部的或小规模的物联网示范工程项目尚不存在太多的信息安全问题,因为一方面这些示范工程一般自成体系,很少与其他网络互通,因此受到的攻击来源少;另一方面,由于示范工程使用规模有
16、限,潜在的攻击者也不愿意为此花费太大的投入,因此相对比较安全。但是,一旦这些示范工程将来发展成为真正物联网的一部分,当前看似安全的体系可能在将来会面临重大安全隐患。如何在物联网(包括小型示范工程)建立初期就建立严格规范的信息安全架构,关系到这些系统能否在真正物联网系统下提供良好的安全措施,或能够对安全措施进行升级,以保障系统的可用性。“十一五”期间,国家围绕物联网信息汇聚阶段特点,已部署了总体、关键技术、标准、设备、芯片、应用示范等系列重要课题,建设了一批物联网技术与行业应用解决方案研发中心。然而,随着国际、国家标准制定、产业应用等工作的快速推进,与这些课题与研发中心科研成果相辅相成的安全测试
17、与验证评估技术、方法和工具的研制却仍处于起步阶段,使物联网软、硬件产品缺乏有效的安全保障,物联网示范工程缺乏专业、公正的安全监管。这些检测与监管平台的缺失已成为物联网发展的重大瓶颈,严重制约了物联网在地质灾害监控、智能电网、环境监测以及防入侵等重大行业应用中的实践。目前,物联网安全和隐私保护问题已经引起了我国政府的高度重视。(三)物联网基础设施安全需求与现状基础设施包括传输网络、海量计算与存储中心等资源,这些资源构成了物联网系统的神经系统,其安全性对系统的安全重要环节。传输网络:对于物联网的传输网络,安全的重要环境主要在近距离通信以及接入骨干网络的网关方面。对于近距离通信,涉及各种无线、有线通
18、信协议的互联互通。近距离通信主要采用无线通信方式,无线链路的广播特性、不稳定性、非对称挂对于物联网系统的安全有重要影响。而通信网关主要实现协议转换、数据融合等任务,其安全性尤为重要,网关的计算能力、数据存储能力一般比传统的计算机弱,无法采用复杂的加密算法,其信息安全是系统的薄弱环境。海量计算与存储中心:(云计算)(接在哪儿?)从技术层面来看,海量计算技术属于多种技术的融合与集成,云计算系统规模庞大、结构复杂,属于大规模复杂网络信息系统,由大量的基础设施、平台软件及应用软件组成。一般说来,系统规模越大,其问题就越严重,系统的可靠性及安全性决定于各个环节,任何环节发生故障都将导致系统发生故障。因此
19、,不可避免的存在着一些可靠性及安全性隐患。从外部来看,随着云系统的不断发展,其各个组件和部件及加载的应用也不断更新和增加,而且网络环境也日趋复杂,云计算上部署的应用来源广泛,使用途径多种多样,也存在着大量的可靠性和安全性隐患。特别地,虚拟化、伸缩性、多租户等特性为云计算注入创新活力的同时,也使得安全性及可靠性威胁趋于严重,虚拟机逃逸、拒绝服务访问、服务实效、信息窃取、非法闯入、电子欺骗、数据隐私泄露、网络安全漏洞、容错能力低、伸缩能力差等问题将是云计算系统存在的可靠性及安全性的重大隐患。1.2 物联网“十二五”规划信息安全解读物联网安全是以防止信息遭到篡改或泄露、系统遭受破坏为目标,涉及信息采
20、集、传输、处理、应用各环节,包括节点认证、身份鉴别、入侵检测、访问控制、隐私保护等传统意义上的信息安全内容,以及电磁防护、系统容错、冗余设计等系统可靠性内容。注重信息安全保护是促进物联网健康可持续发展的重要任务之一,是解决制约物联网发展和规模化应用的瓶颈问题的重要途径。规划主要从三个方面考虑:首先物联网是在现有网络基础上拓展了感知网络和应用平台,给已有的信息安全架构和技术体系带来了新的挑战,规划和制定符合物联网技术特征的安全架构是保障物联网系统安全稳定可靠运行的前提;其次物联网应用环境的多样性与复杂性,使实际应用系统面临更加严峻的安全挑战,建立并完善物联网安全保障体系,在示范工程全生命周期推行
21、安全风险与系统可靠性评估,是从源头保障物联网应用安全的必要措施;另外,物联网将经济社会活动、战略性基础设施资源和人们生活全面架构在现有的网络上,网络基础设施的安全防护是保障系统端到端的安全稳定可靠运行的重要基础。第二章物联网安全可靠性体系架构2.1 信息系统安全技术发展阶段近50年来,信息系统安全大致经历了通信保密、信息安全和信息安全保障、风险管理四个重要发展阶段。1. 通信保密通信保密指信息在处理、存储、传输和还原的整个过程中通过密码进行保护的技术。它以确保传输信息的机密性和完整性,防止第三方从截获信号中读取有用信息为目的。通信保密技术经历了从简单到复杂、从早期的单机保密到进入网络时代后的通
22、信网络保密的发展过程。通信保密的核心是确保信息在传输过程中的机密性。2. 信息安全20世纪80年代后,随着网络技术的发展,信息系统的安全提上日程,“保密”的概念逐渐从早期的通信保密发展到适应于保护信息系统的信息安全。保密性、完整性、认证性、抗抵赖性以及可用性和可控性成为信息安全的主要内容。其中保密性仍然是信息安全中最重要的特性。随着网络攻防斗争的日趋激烈,信息安全在信息系统中的低位不断得到提升。信息安全的基本目标是保护信息资源的归属性和完整性,维护信息设备和系统的正常运转,维持正常应用的人为活动。3. 信息安全保障到20世纪90年代末,自美国国家安全局提出“信息保障技术框架”以来,信息安全的概
23、念又进一步延伸为“信息保障”,或称“信息安全保障”。就是通过确保信息和信息系统的保密性、完整性、认证性、抗抵赖性以及可用性和可控性保护信息和信息系统,包括综合利用保护、检测和反应能力来恢复系统的能力。信息安全保障特别把“保护、检测、响应和恢复”(PDRR)视为信息安全的4个联动的动态环节,强调实施多层次防御,在整个信息基础设施的所有层面上实施安全政策、步骤、技术和机制,使得攻破一层或一类保护的攻击行为无法破坏整个信息基础设施。信息安全保障从以往重视发展具体技术手段为主的情况转向重视系统级的整体安全,强调“人、技术和运作”三大因素的相互作用,因此信息安全保障是信息安全的外延,是全方位的概念,比传
24、统意义的信息安全更加全面和完整。4. 风险管理近些年来,美国军方已将信息安全的指导思想和方针从“规避风险”转为“风险管理”,就是说,要在风险管理的基础上实施信息安全保障,在信息系统的生命周期内,从技术、管理、过程和人员等方面提出系统的安全需求,制定系统的安全策略,配置合适的安全机制和安全产品,最后对系统的安全防护能力进行评估,在一定的代价下,使安全风险降到所付代价可接受的程度。风险管理也是一个闭环过程。图1:信息安全技术发展4个阶段2.2 物联网系统安全体系架构1.1.1 物联网系统安全体系结构特点安全体系结构的形成是根据所要保护的系统资源,对资源使用者、攻击者(人为、环境、系统自身)对系统可
25、能产生破坏的设想及其破坏目的、技术手段以及造成的后果来分析该系统所售到的已知的、可能的威胁,并考虑到构成系统各部件的缺陷和隐患共同形成的风险,然后建立起系统的安全需求。恰当的安全需求,应将注意力集中到系统最高权力机构认为必须注意的那些方面,以最大限度体现系统资源拥有者或管理者的安全管理意志。安全体系结构的特点:1)它的体系结构包括人、组织和技术三个方面,不单纯是技术;2)它的体系结构与被保护的信息系统有密切关系,包括信息系统所处的周围环境、服务对象和宗旨,以及本身结构特征等。安全需求和策略应尽可能对抗遇见的系统风险及其变化,在“风险安全代价”的平衡关系制约下具有持续能力,从而为系统提供有效的安
26、全服务,保证系统有效安全运行。平衡关系的维持有两个参考标准:将风险降低到可以接受的程度;威胁或破坏系统所付出的代价大于所获得现实和潜在的价值。1.1.2 物联网系统安全体系目标物联网系统安全的总需求是物理安全、网络安全、信息内容安全、基础设施安全等综合。最终目标是确保信息的保密性、完整性、认证性、抗抵赖性和可用性,确保用户对系统资源的控制,保障系统的安全、稳定、可靠运行。因此物联网系统安全体系框架由技术体系、管理体系和组织体系三部分构成。1.1.3 物联网系统安全体系结构组成图2:信息系统安全体系结构1 技术体系安全技术体系为物联网系统提供全面安全保护的技术保障。借鉴美国国防信息系统安全计划(
27、DISSP)提出的信息系统安全技术体系框架,物联网系统安全技术体系可用三维坐标表示:x轴表示安全功能/服务(安全机制),y轴表示协议层次,z轴表示物联网系统的各组成单元。在DISSP提出的三维图中,是以开放系统互连的7层模型为参考,选择了适于配置安全功能的5个层次:应用层、传输层、网络层、链路层和物理层。由于安全功能必须通过安全机制才能发挥作者用,所以在x维的上部给出安全功能,下部给出各种安全机制,并连同物理安全技术的电磁辐射控制、抗电磁干扰的机制一并给出。每个维中的安全管理是一种概念,它是完全基于标准的各种技术管理。运行环境安全技术是与OSI安全体系不同的技术保障体系,运行环境安全技术包括物
28、理安全技术和系统安全技术两大类,涉及的物理环境和系统平台不属于开放互连系统。物理安全技术通过物理机械强度标准的贯彻和控制,使得物联网系统的设备、产品、模块等硬件设备满足系统机械防护的安全要求,属于硬件可靠性的范畴。系统安全技术是通过对系统与安全相关组件相关的操作系统的安全性选择措施或自主控制,使系统的安全组件达到相应的安全等级。这样,一方面可以避免系统自身的脆弱性和漏洞引发风险;另一方面将任何形式的非授权对信息系统安全组件的入侵行为,或者对接管系统管理权的试图进行阻塞。图3信息系统技术体系2管理体系管理体系由培训、制度和法律管理3部分组成。培训管理是确保物联网系统安全的前提,其内容包括法律培训
29、、内部制度培训、岗位操作培训、普遍的安全意识培训,以及与岗位相关的重点安全意识相结合的培训、业务素质与技能培训能,其对象包括与信息系统有关的全部人员。系统安全管理制度是依据国家和行业法律法规制定的内部必须的规章制度。3 组织体系组织体系是物联网系统安全的组织保障,由机构、岗位和人事(部门)组成。体系设置分为决策层、管理层和执行3个层面。决策层是物联网系统主题单位决定重大事宜的领导机构,由单位的主管领导负责。管理层是决策层的日常管理机构,根据决策层的决定,全面规划与协调各方面的力量实施系统安全方案的制定,安全策略的修改,处理安全事件,并设置相关的安全岗位。执行层是负责某一个或某几个特定安全事务的
30、逻辑群体,分布在系统的各个操作层或岗位上,在管理层的协调下完成本职工作。岗位就是物联网系统安全管理机关根据系统的安全需要设定的负责某一个活某几个安全事务的职位。第三章物联网安全可靠性保障3.1 建立物联网系统安全保障体系的主要工作1. 安全设计安全环境设计:包括用户身份鉴别、自主访问控制、标记和强制访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、客体安全重用、程序可信执行保护。安全区域边界设计:区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护。安全通信网络设计:通信网络安全审计、通信网络数据传输完整性保护、通信网络数据传输保密性保护、通信网络可信接入保护。
31、安全管理中心设计:系统管理、安全管理、审计管理。2、安全建设(1)进行信息安全方案设计,确定安全需求建设信息安全系统的首要问题是要搞清楚存在的安全风险,明确安全目标,进而提出安全需求,并以此为基础设计安全解决方案。安全需求的确定涉及以下几个方面:政策、标准要全面审查和考虑相关的政策指令,包含与有关安全标准或目标体系结构相符合的东西以及国际、国家、部门、地方等级别上颁发的、强制或指导性的各种规定。安全威胁评估:安全威胁分成两大类,一类是恶意地利用环境、行动或事件,可能给信息或系统造成的损害。另一类包含授权用户在内的因为纯粹的误操作或偶尔的误用不经意下所犯下的错误,以及系统组件的脆弱性和漏洞。任务
32、的安全目标:安全目标是从一种大范围、长时期使用的观点提出的,从而可以作为系统的安全风险分析以及选择产品和解决方案的依据。信息流及其功能和价值:了解系统及其所处理信息的性质非常重要。要分析由于系统资源或系统处理信息的丢失、泄露或被修改对国家、团体和个人在政治影响、社会影响和经济利益方面带来的损害。为了准确地定义安全目标、安全需求,必须了解和分析系统处理或存贮的信息功能、流向和价值。(2)选择合适的产品及系统信息安全产品按其功能分为几大类,如访问控制类、加密类、入侵检测类等等。每类产品因设计思想和实现模式不同而衍生出各种有特色的产品。对用户来说,需要选择一款最适宜的。首先用户要搞清楚要保护什么?达
33、到什么安全目标?安全产品并不是功能越全越好,而且每种产品都有其优点和缺点,没有那家厂商的产品是全方位的冠军,应该以应用需求推动技术采购决策,另外,要考虑安装、配置以及管理的方便性。由于信息安全系统的特殊性,所以不论对安全系统的集成商还是产品的提供商,了解其背景、考察其服务能力十分必要。最好选择有成功案例、社会知名度高且信誉好的企业和产品,对技术支持和服务承诺要落实在协议中避免发生纠纷。安全功能的配置要和当前系统的整体应用水平配套,对于那些用不到或暂时用不到的功能可以不采购或暂缓采购产品。这样,一是安全目标明确,维护易行;二是经费可以得到有效利用,避免浪费;三是信息技术发展日新月异,购置的产品闲
34、置不用很快将被新的技术产品所取代;四是把下次产品采购的主动权留给自己。(3)集成后的测试和维护信息安全保护措施不是一劳永逸的。信息技术不断发展,网络系统的功能也在不断完善扩充,网络攻击、病毒传播、恶意破坏的手段不断翻新,因此,对安全提出新的需求。这就要求网络安全管理者及时调整安全策略,采取安全措施:一、将所有的安全功能模块(产品)集成为一个完整的系统后,需要检查确认集成出的系统是否符合要求。包括:测试安全系统在整个系统中的作用;测试安全系统与网络系统及应用系统的适应性和对它们的影响;跟踪安全保障机制,包括安全管理机制,发现漏洞;完善系统的运行程序和全生命期安全支持计划;准备一份现阶段的安全风险
35、评估报告。作为一些重要部门可以邀请权威的测评认证机构对安全系统进行一次检查和测试,以确保系统设计满足安全目标并得到主管部门的认可。二、运行维护阶段要对各种安全问题采取措施,以保证系统的安全水平在运行期间不会下降,具体工作如下:做好产品的升级和系统打补丁工作。监测系统的安全性能,包括事故报告。对用户进行安全培训,并对培训进行评估。监测新发现的对系统的安全攻击、系统所受威胁的变化以及其它与安全风险有关的因素。监控配置改动对安全的影响。评估系统改动对安全系统造成的影响。3、安全测评对各类物联网应用示范工程全面开展安全风险与系统可靠性评估工作。支持物联网安全风险与系统可靠性评估指标体系研制,测评系统开
36、发和专业评估团队的建设在物联网示范工程的规划、验证、监理、验收、运维全生命周期推行安全风险与系统可靠性评估,从源头保障物联网的应用安全可靠。3.2 物联网系统安全可靠性检测指标参考传统的硬件设备可靠性、通信网络可靠性与软件可靠性的研究成果,物联网系统可靠性指标体系由检测指标、条件指标和判定指标三部分组成。如图4所示。图4物联网系统检测指标体系模型图(1)检测指标检测指标包含基本可靠性、任务可靠性和使用可靠性三大类检测指标,具体表现为功能、性能、抗毁性、生存性、安全性、完成性和可用性七种检测指标,其中可用性包含故障率、可恢复性和鲁棒性。图5物联网系统可靠性检测指标模型1)功能:功能是描述和实现系
37、统的外部行为,全面地对用户所要求的服务给出准确地描述和实现。表1物联网各子系统功能测试指标体系(1-3级)举例测试层次检测指标感知系统RFID识别、读取、数据传输、数据存储、标签解调、标签反向散射等传感器节点信息采集、数据处理、数据存储、通信、时间同步、定位、路由、能量管理、协议支持等视频采集节点视频采集、数据处理、数据压缩、数据传输、自动聚焦、光学变焦等传输系统无线传感器网络路由、信号覆盖、自组网、网络协同、通信协议一致性、数据融合通信网络路由、带宽分配、QoS、VLAN、网络管理、协议一致性、IP子网划分决策系统数据库数据存储、数据查询操作系统进程管理、任务调度、设备管理、文件系统管理、存
38、储管理中间件消息处理、事务处理、编程支持、系统管理应用软件任务管理、预测、预警、查询2)性能:性能是描述系统在指定条件下使用时,提供满足明确和隐含要求的功能的能力。表2物联网各子系统性能测试指标体系(1-3级)举例测试层次检测指标感知系统RFID工作距离、读取角度、通信速率、发射功率、标签返回时间、标签反应时间等传感器节点能耗、启动时间、采样时间、节点电池寿命、存储能力、计算能力、通信距离、传输速率、刷新频率、定位精度、时间同步、资源占用率等视频采集节点刷新频率、采样时间、存储能力、视频实时性、视频输出幅度、图像信噪比、图像防抖和稳定等传输系统无线传感器网络吞吐量、延迟、丢包率、分组成功传输概
39、率、单跳传输时的分组延迟、基于路由策略的多跳成功传输概率、基于路由策略的多跳传输延迟、端到端延迟、衰减、抗干扰特性、端到端成功传输概率、QoS下的网络性能、数据处理时间、排队延迟、能耗(单位能耗下所支持的平均数据速率)、可扩展性等通信网络端到端吞吐量、端到端延迟、抖动、丢包率、背对背、新建会话速率、并发会话数量、服务质量、最大并发隧道数量、最大新建隧道数量(可选)、隧道加密速率等决策系统数据库响应时间、并发事务、执行效率操作系统数学运算、系统调用测试、系统负载测试、I/O性能测试、编译器性能测试、图形系统性能测试、系统性能测试、应用基准测试、内存文件系统支持、页面动态尺寸支持、内核线程支持能力
40、、事件端口支持能力、负载管理能力、资源管理能力、数据库支持能力等;中间件执行效率、并发事务、系统响应时间、系统资源占用率应用软件并发用户数、吞吐量、响应时间3)抗毁性:描述了物联网在人为或自然灾害破坏作用下的可靠性, 是破坏一个物联网的困难程度。抗毁性的概念来源于通信网络可靠性的研究,描述网络拓扑结构对通信网可靠性的影响,与网络部件的可靠性无关,主要测试指标包括:拓扑连通度、容错度、抗攻击度等。对于无线传感器网络来说,面对随机性的失效, 比随机网络有着更好的抗毁性, 但面对蓄意攻击, 具有无标度网络特征的传感器网络就显得异常脆弱。因为,当网络结构发生改变, 如节点的加入、移除, 网络上的负载将
41、重新分配。一般来说, 网络中节点承受负载的能力是有限的。有限的负载容量和负载的重新分配使得网络的抗毁性问题变得更加复杂: 一个节点的失效导致网络负载的重新分配, 负载的重新分配使得某些节点上的负载超过其负载容量而失效, 这些节点的失效又可能导致其他节点的级联失效。如果开始失效的是一个关键节点, 它的失效可能触发整个网络的级联崩溃。因此,测试物联网系统的抗毁性尤其是感知层网络的抗毁性对于保证整个系统的可靠性具有重要的意义。这里需要说明的是,由于目前软件使用受工作环境影响较小,因此抗毁性的测试内容不包含软件方面的检测。4)生存性:描述的是系统在部件随机性失效的情况下的可靠性。在军用环境中,随机性破
42、坏表现为:破坏者只有关于系统结构的部分资料,采用一种随机的破坏策略;在商用环境中,随机性破坏则表现为系统部件(模块、节点、链路、软件)的自然失效。与抗毁性相比,生存性加入对系统部件可靠性的考虑,但是抗毁性和生存性的研究方法不考虑网络所提供的业务,以及业务的各种特性。生存性它不仅和系统的拓扑结构有关, 也和系统部件的故障概率、外部故障以及维修策略等因素有关。5)安全性:安全性是对于合理的一组输入,物联网系统会给出正确的结果;对于用户或非法用户的有意或无意的不合理性输入,系统应该拒绝这种输人,并指出输入的不合理性,并提醒用户;以及系统抗搜索、抗截取、抗定向分析、抗欺骗等抗外界入侵的能力。具体包括物
43、理安全、数据安全、网络安全和应用安全。6)完成性:是指系统在任务开始时可用性一定的情况下,在规定的任务剖面内的任一随机时刻,系统正常运行或降级完成服务要求的能力。完成性主要由系统设备的可靠性水平、网络拓扑结构和系统设备的服务能力、网络流量分布等因素决定。网络完成性的概念最早由美国密歇根大学电子工程与计算机系的John F. Meyer 教授在1978 年的论文中提出。Kyandoghere等研究了网络故障在路由策略上对网络的影响问题,提出了网络完成性指标框架。现在国际上每两年召开与完成性相关的学术会议,主要讨论完成性模型构造与求解问题。7)可用性:指在规定的条件下, 在规定时间内的任意时刻,
44、网络系统保持可工作或可使用状态的能力。此指标是一种基于网络业务性能的可靠性指标,它指出了网络在系统部件失效条件下满足业务性能要求的程度。它又包括故障率、可恢复性和鲁棒性。故障率是指不影响系统正常运行情况下,允许系统组件发生故障的最大故障数。可维护性是指系统从运行影响状态恢复到正常运行状态的能力。系统鲁棒性指系统在系统部件失效条件下满足系统性能要求的程度。满足系统性能要求是系统完成规定功能的体现。提出的主要基本测度参数包括:信息采集率、误码率、堵塞率、传输延时、吞吐量、并发用户数量、软件的容错性等。鲁棒性研究更加面向业务性能, 更加针对最终用户, 也反映了系统的服务性能, 是网络可靠性测度的较高
45、层次。(2)条件指标条件指标指测试过程中,施加给测试系统的测试条件。根据“适用性”原则和物联网系统的工作场景属性,条件指标包括环境测试条件、安全测试条件、系统架构完整性测试条件、数据流测试条件和配置管理测试条件五种类别。其中每种类别根据对系统的危害程度,从轻到高依次划分为5个等级,对应的测试结果为可靠性等级1-5级。表3测试条件指标体系模型(3)判定指标判定指标是判定检测指标在各种测试条件下是否符合既定功能性能指标的要求。根据“完备性”和“层次性”设计原则,判定指标分为系统级判定指标和子系统判定指标。其中,系统级判定指标用于判定被测物联网系统的可靠性(含安全性)等级,子系统级判定指标用于确定系
46、统缺陷或漏洞的位置,以改进系统设计方案或指定预警应急方案。同时,针对检测指标的特征,判定指标又分为定量判定指标和定性判定指标。定量判定指标包括,系统抗毁性判定指标、生存性判定指标、完成性判定指标、可用性判定指标;定性判定指标包括安全性判定指标和使用可靠性判定指标。根据“递进性”和“适用性”原则,判定指标应根据不同应用系统有所改变,并根据技术发展趋势,不断完善和改进。图6物联网系统安全可靠性判定指标体系模型第四章物联网安全可靠性测评仿真工具为了对物联网系统安全可靠性进行测评与仿真验证,我们开发了物联网安全可靠性测评仿真工具,分别是面向TinyOS的物联网信息安全测评工具以及基于OPNET的物联网
47、系统安全仿真验证工具。4.1 面向TinyOS的物联网系统信息安全测评工具与TinyOS面临的严峻安全形势相比,当前适合TinyOS的安全与可靠性测试与仿真工具的研究现状还很落后。很多已经商业化的测试仿真工具并不适合,如OPNET、NS2原因是它们的体系建立较早,在设计上没有充分考虑TinyOS的特点,因此不很适合研究TinyOS的安全问题。现在TinyOS已成为物联网特别是传感网的工业标准之一,越来越多的物联网应用是基于TinyOS开发的,因此我们开发了基于TinyOS的安全性与可靠性仿真系统(Security & Reliability Emulation System SRES)。4.1
48、.1 应用场景SRES面向的应用场景有两类,一类针对节点路由安全测试与仿真,另一个针对节点数据传输安全测试与仿真。在第一类场景中:SRES可模拟发送伪造的节点路由报文,在传感网路由初始化过程或者路由变换过程中攻击传感网关;测试各节点的路由程序的安全机制与抗攻击能力。在第二类场景中:SRES可发送伪造的节点数据报文,在数据传输中模拟恶意攻击,测试评估传感网传输中的安全机制和抗攻击能力。4.1.2 工具架构SRES包括一个注入器(injector)、一个接收器(receiver)、一个分配器(dispatcher)和一个图形化界面,图形化界面包括进程管理、数据解析和报文处理等模块。测试前首先要定义好被测系统,比如使用C+程序编写,然后编译出被测系统的TOSSIM可执行程序,之后即可开展测试。测试中被测系统与SRES各部分的关系如图7所示。图7 SRES系统结构与工作流程图工作过程如下:首先通过图形化界面的进程管理启动被测系统A,然后通过进程管理控制一个或多个注入器从外部向TOSSIM