《華為：2017物聯網安全技術白皮書（24頁）.pdf》由會員分享，可在線閱讀，更多相關《華為：2017物聯網安全技術白皮書（24頁）.pdf（24頁珍藏版）》請在三個皮匠報告上搜索。

1、3?1目錄02物聯網時代即將到來01摘要04物聯網安全實踐03物聯網安全架構的基礎06總結05物聯網安全生態2.1 華為的“3T+1M”物聯網安全視角2.2 物聯網安全事件的影響2.3 物聯網固有的基本挑戰0304044.1 終端設計實踐4.2 驗證和測試安全實踐3.1 在開放、協作和動態的物聯網世界中的安全愿景15164.3 隱私保護實踐164.4 安全操作和維護實踐174.5 最佳安全案例18073. 2 物聯網安全架構的關鍵因素083.3 安全架構藍圖095.1 生態的重要性5.2 協同合作的作用5.3 安全機構及標準化組織6.1 加強物聯網安全的方法6.2 結論212222 23232

2、物聯網（IoT）實現了虛擬世界和物理世界的融合， 它是面向終端的傳感器網絡和由互聯網技術推動的面向數據的應用之間的重要聯結。 物聯網基礎架構上呈現為地理分布式， 通過各種傳感器為人們的日常生活提供無處不在的連接。 傳感器可以捕獲人們活動相關的各種信息并傳遞給物聯網應用， 這些應用在個人、 群體和社會層面上改善了相關活動的效率， 從而使物聯網對我們的世界產生了深遠的影響。物聯網是物理和虛擬世界的混合， 因此也給人們帶來困惑與巨大挑戰。 物聯網的開放性也一樣， 它匯聚了與公共、 私人和社區等實體以及活動相關的信息， 這些信息整合后被用于各種各樣的應用。 然而， 在數據采集時， 人們并不完全知道其目

3、的和用途。在現代社會中， 引入物聯網應優先考慮物聯網相關者的利益， 同時滿足其安全和隱私要求。 后者在物聯網中至關重要， 其定義了集公共、 私人和社區于一體的開放系統的安全界限。對所有利益相關者而言， 建立和保護物聯網安全界限是人們能夠信任開放的物聯網世界的基礎。 因此， 全面而徹底的物聯網安全保障至關重要。本白皮書是物聯網安全議題構建執行面的第一步。 本文包含如下內容： 描述關鍵技術， 同時介紹物聯網安全挑戰的基礎知識 ; 介紹物聯網安全挑戰和構建有效物聯網安全架構方法的關鍵要素 ; 從終端、 網絡和平臺等方面介紹物聯網安全的最佳實踐; 概述協作在物聯網安全中的作用（例如在標準化機構和社區倡

4、議等方面） ； 列出物聯網安全架構流程的重點工作， 為可靠的物聯網安全架構工作提供保障和支持。 這些保障和支持包括重點架構、 標準使用和重要生態系統等。華為物聯網安全技術白皮書 2017摘要1摘要物聯網時代即將到來物聯網安全架構的基礎物聯網安全實踐物聯網安全生態總結3華為物聯網安全技術白皮書 2017顧名思義， 物聯網將物理世界的物互相連接， 并將其用于各種應用。 物聯網使用傳感器來探測物理世界的相關屬性， 并使用執行器來控制物理世界的各個組成部分。 正因為其對物理世界具有潛在的直接影響， 所以安全對物聯網來說至關重要。物聯網終端的資源通常有限， 且很容易受到惡意攻擊。 攻擊者可以侵入一臺物聯

5、網終端， 并以此發起對其他物聯網終端的攻擊。 因此， 對單臺物聯網終端的入侵可以像傳染病一樣， 逐漸擴散到成千上萬的物聯網終端。 攻擊者可利用眾多受感染的物聯網終端所組成的大型網絡， 對所有設備使用或依賴的服務或平臺發起攻擊。物聯網安全來自終端、 網絡和平臺等層面所帶來技術挑戰，以及以端到端方式整合安全技術的流程挑戰。 面對這些挑戰， 以下 3 個關鍵安全技術和 1 個流程能力至關重要：2.1 華為的 “3T+1M” 物聯網安全視角31?1. 終端視角： 適度的終端防御能力2. 網絡視角： 惡意終端檢測和隔離3. 平臺視角： 平臺及數據的保護4. 流程視角： 安全運營和管理從物聯網安全角度而言

6、， 應解決上述所有層面所面臨的挑戰， 華為正致力于在這些領域為客戶提供安全功能， 并支持客戶獲得所需的安全保障。圖 1 華為的 “3T+1M” 安全架構視角物聯網時代即將到來2摘要物聯網時代即將到來物聯網安全架構的基礎物聯網安全實踐物聯網安全生態總結42016 年 10 月 20 日， DDoS 攻擊者利用惡意軟件 Mirai控制物聯網設備對互聯網域名系統的服務商 Dyn 發起攻擊。 眾所周知， 域名系統是互聯網基礎設施的重要組成部分。此次攻擊中， 包括 IP 攝像機、 家庭路由器以及其他小型智能終端在內的超過 100000 臺物聯網終端受 Mirai 指揮對 Dyn 發起攻擊1。這次攻擊嚴重

7、影響了互聯網服務，導致包括 GitHub、Twitter、 Reddit、 Netflix、 Airbnb 在內的多個知名網站在短時間內無法訪問。此外， 惡意軟件 Mirai 也曾用于 2016年9月20日針對Krebs on Security網站的DDoS攻擊，峰值流量達到 620Gbps。2.2 物聯網安全事件的影響2.3 物聯網固有的挑戰因物聯網安全事件而導致的財務損失不容忽視2， 有些情況下甚至可以達到一些組織年收入的 13.4%。物聯網設備多是小型設備， 也可能嵌入在較大規模的設備中。 例如， 現代化車輛可能配有多個傳感器， 這些傳感器嵌入在從制動系統到車輛空調等不同部件內。 除了嵌

8、入式外， 物聯網設備也可以是移動的， 或者被放在常人難以觸及的偏僻地方。 物聯網設備的使用壽命可達到 10 年或更久， 由于長時間暴露在外， 物聯網終端暴露在較高的風險之中。 此外， 嵌入式要求限制了可用于加密操作和安全協議的資源， 從而制約了物聯網終端的安全能力。由于其分布式的特點， IoT 系統的多個組成部分可能跨越不同地理區域（圖 2） 。應用程序： 包含需要安全訪問物聯網數據或可能需要對物聯網設備進行安全管控的應用程序。平臺： 物聯網系統安全的重要支點， 通常托管于云基礎設施，從而利用云安全的現有能力。 它包括最終負責識別、 認證和策略控制的物聯網平臺。物聯網終端在用途、 形態、 硬件

9、能力以及合規方面千差萬別。 物聯網終端廣泛應用于各行各業和各種場景， 從智能電表， 醫療保健， 到汽車行業。 物聯網系統的設計必須充分考慮終端和服務的多樣性， 然而， 物聯網必須容納大量不同類型終端這一特點與安全設計基本原則是相悖的（即終端需要應對的變數越少， 其就會越安全） 。 所以， 權衡利弊有所取舍是物聯網安全架構的重大挑戰之一。2.3.1 嵌入式計算2.3.3 實體分布2.3.2 終端差異性物聯網安全架構的基礎物聯網安全實踐物聯網安全生態總結摘要物聯網時代即將到來網絡： 通過物聯網網關整合客戶域中的基礎技術設施， 物聯網網關屏蔽了客戶系統技術上的差異， 還可以作為物聯網安全的本地策略點

10、用于執行策略規則等。 根據場景不同，物聯網網關可以是物理設備， 也可以是虛擬設備， 比如可以是一種服務托管于云基礎設施中。終端： 通過傳感器和執行器與物理世界相連。 根據其通信能力， 物聯網終端可以直接與物聯網平臺相連， 也可以通過物聯網網關與平臺相連。1. 維基百科： Mirai， https:/en.wikipedia.org/wiki/Mirai_(malware)2. 物聯網商業新聞： “調查： 近半數使用物聯網的美國公司受到安全攻擊” ， https:/ 20175如圖 2 所示， 這些域和其中的網元被信任邊界分隔開來（這是因為這些設備遭受實際攻擊的風險程度是不同的） 。 將設備部署

11、在不同位置和地理區域給物聯網端到端安全帶來挑戰。 因為這不僅使連接變得不可靠， 還使跨信任邊界的管理流程 （例如密鑰撤銷等）變得更為復雜。?圖 2 物聯網的域和信任邊界物聯網終端面臨較大的安全風險（例如篡改行為） ， 但其自身安全能力卻有限， 因此， 物聯網應始終采取相互認證 （即，所有交互方都應彼此認證） 。 在這個異質且控制松散的生態系統中， 未經過合適的認證， 任何一個網元都不可以假設其它網元所聲稱的身份是真實的。 這就使得身份驗證和信任變得更復雜。 例如， 對于基于證書和公鑰 / 私鑰的憑證，管理數十億臺設備的證書和密鑰 （例如撤銷） 是十分困難的。此外， 為了節省資源， 物聯網終端可

12、能工作周期較短， 在長時間的空閑時切換到省電模式。 典型的基于角色的授權模式無法識別省電模式下的物聯網終端是否已經被攻擊者干預。 要想驗證設備的完整性， 需要額外的關于該設備的狀態信息。 因此， 物聯網中的授權應該基于設備不斷變化的信息動態調整。在物聯網中， 同一數據可能會用在多個場景中， 因而基于單一目的來保護數據這種常見做法在物聯網中是不夠的。一些場景具有更嚴格的隱私要求， 對數據關聯性（即數據源頭、 數據處理動作和數據路徑）和數據溯源方面有更多安全方面的關注。 此外， 數據挖掘能力的提升， 使得在物聯網中還應考慮元數據的安全性。 例如， 通常情況下， 某人尋醫問診的細節（即元數據）不會包

13、含在其 GPS 跟蹤記錄中（GPS 跟蹤記錄由其智能手機記錄并可被物聯網應用程序訪問） 。 但是， 對于其運動模式的關聯分析可能會顯示此病人正在訪問提供特定醫療服務的場所， 從而可以推斷出關于其健康狀況。 數據聚合分析為數據安全帶來巨大挑戰， 具體表現在數據收集、 傳輸以及存儲方面。2.3.4 認證和授權2.3.5 數據安全物聯網安全架構的基礎物聯網安全實踐物聯網安全生態總結摘要物聯網時代即將到來華為物聯網安全技術白皮書 20176人類社會憧憬在多個領域實現自動化和智能， 讓萬物具有“意識” ， 變得 “聰明” 起來。 而物聯網是促使這些愿景變為現實的重要推動者。 例如， 智能交通的愿景包括提

14、供資源感知的交通能力和促進更有效的端到端交通服務。 每個“智能” 愿景都有多種場景， 有一些甚至都還沒有構想出來。但所有場景都必須具有感知和智能的能力。 另一方面， 物聯網安全正跨越領域的界限， 所以需要一種端到端的視角。例如冰箱、 烤箱和微波爐等典型的家用電器和加熱、 通風2.3.6 靈活性： 事先未知的場景?圖 3 跨領域的物聯網場景近期的物聯網安全事件突顯了物聯網安全規模的問題。 Dyn 最近遭受的 DDoS 攻擊的峰值帶寬達到了前所未有的高度，超過了1 Tbps。 而這次 DDoS 攻擊只涉及約 120,000 臺物聯網設備， 只占所有市場預測的幾十億物聯網設備的很小一部分。 在防御方

15、面， 大多數 DDoS 清洗中心的容量不超過 8 Tbps。 據統計， DDoS 攻擊的平均峰值規模每季度增長 26（即每年大約增加 100） 。 據報道， 超過 100 Gbps 的 DDoS 攻擊同比增長 140。 鑒于此僅依賴提升 DDoS 清洗能力來應對攻擊似乎不現實3.4。 我們還需要采取其他措施， 而這需要我們重新思考和評估思路、 工具、 方法和流程。2.3.7 攻擊規模等家居控制系統， 可同時出現在智能家居和智能電網的場景中。同樣， 私家電動汽車也將出現在智能停車、 智能電網和智能車輛的場景里， 甚至可能是同時的， 如圖 3 所示。為了確保安全設計的正確性， 對于每個物聯網設備和

16、場景，識別出的安全需求都應該與它所在的其他所有場景的安全需求進行交叉檢查。 這意味著物聯網安全需要一個跨領域協調的框架。當存在多個物聯網場景時， 一個場景的安全漏洞可能會影響其他場景。 物聯網特定層面的漏洞既可以被縱向 （即， 跨協議層）利用， 也可以被橫向（即跨相鄰系統）利用。 沒有人能預測攻擊者可能會對受控的物聯網設備下達的所有指令。 因此， 物聯網安全架構的一個重要設計原則就是多層次的保護措施。 當需要操作數百萬臺設備（例如， 跨越多個城市的智能電表） ， 手動干預就變得不切實際了 。 因此， 大規模的操作自動化對物聯網安全至關重要。物聯網安全架構的基礎物聯網安全實踐物聯網安全生態總結摘

17、要物聯網時代即將到來3. Akamai 季度安全報告， 2016 年第四季度， https:/ Verisign DDoS 趨勢報告， 2016 年第四季度， http:/ 20177許多物聯網系統是開放式的， 并且包含不同供應商提供的組件。 在多數情況下， 這種開放性和可擴展性可以為物聯網帶來巨大潛在價值。然而， 正因為平臺、 通信網絡和網關以及眾多可用的終端設備可能來自不同的供應商， 在所有場景中使用統一的安全系統具有很大挑戰。 因此， 十分重要的一點是， 我們需要考慮在整個系統中做些什么來實現良好的安全基礎功能和靈活的高級安全功能， 怎么做才能最大限度地保護這個靈活、 開放的系統。 有許

18、多安全增強技術可用來幫助提高總體安全性， 例如通用平臺和設備的重要關鍵模塊、安全的操作系統和可靠的網元， 這些可以使整個生態系統達到一個基本的安全水平， 以便不同的供應商可以在此基礎上進一步提升其安全性。 通過提供這些重要關鍵安全模塊，華為與合作伙伴密切合作， 為整個行業帶來更多安全可靠的解決方案， 從而滿足我們的客戶需求。只有通過合作和建立伙伴關系， 才能保護這個龐大而復雜的環境。 合作伙伴需要在開發、 驗證、 部署和運營的整個生命周期中協同合作。 因此， 我們為物聯網安全策略設計一個靈活的框架， 與合作伙伴密切合作， 使能、 授權并合力構建完整、 靈活、 甚至可擴展的端到端解決方案。華為正

19、在通過OpenLab 計劃促進合作伙伴協作， 與合作伙伴和客戶一起構建并驗證完整、 安全的解決方案， 這超出了技術本身。此外， 要時刻謹記物聯網場景可以是極其動態變化的。 可能隨時添加新設備， 這些設備使用的組件、 供應商和平臺也不盡相同。 有些設備可能不如其他設備那樣功能可靠， 所以必須假設物聯網生態系統的某些組成部分在未來可能會被攻破。 因此， 我們需要考慮到這個活力十足但又危險重重的環境來設計安全措施和控制方法。 必須不斷的檢測和評估， 在必要的情況下， 根據安全保障的要求和風險狀況的變化， 適配和更新安全保護措施。 我們通過動態安全防范策略進行調控， 在保護措施、 增強檢測能力和安全響

20、應之間進行不斷的迭代。 以下章節介紹華為如何支撐其物聯網安全愿景， 分享架構視角， 討論關鍵技術， 并指出重要的最佳實踐。3.1 在開放、 協作和動態的物聯網世界中的安全愿景物聯網安全架構的基礎3?物聯網安全架構的基礎物聯網安全實踐物聯網安全生態總結摘要物聯網時代即將到來華為物聯網安全技術白皮書 201783.2 物聯網安全架構的關鍵因素 使用標準： 標準來自于諸多利益相關方的安全知識和專業知識， 因此是架構設計的成本效益部分； 最佳實踐： 物聯網安全需與 IT 安全（例如多層防御、 隔離、 最小權限等）保持一致， 并復用其標準和實踐， 這樣有助于更專注應對和解決物聯網固有的安全挑戰。監管是有

21、序管理物聯網安全架構的方法， 被監管的安全架構方法， 可通過威脅分析和建模來支持不同的安全優先級。 威脅分析： 在威脅分析中， 針對可能會對系統產生負面影響的行為進行識別和分析， 關注其發生概率并考慮其后果。 因此， 在量化安全相關事件的可能性時需要采用系統的方法。此外物聯網場景可能會共享設備、 數據和3.2.1 方法3.2.2 監管攻擊者相關信息的系統分析；攻擊者最大可能的攻擊向量列表；攻擊者所針對的設備列表。服務， 為了解決跨領域等問題， 我們必須采取條理清晰的威脅分析方法； 威脅建模： 威脅建模是識別系統潛在攻擊者類別， 然后針對每個攻擊者類別， 識別、 枚舉和排列潛在威脅的優先級（從相

22、應的攻擊者的角度來看） 。 威脅建模的目的在于將以下關鍵的安全信息提供給系統利益相關方（例如系統開發人員、 系統運營商等） ：然而， 物聯網中所有供應商的安全設計能力成熟度不一，可能無法在威脅分析、 威脅建模能力和使用程度上達到相同的水平。 例如， 一些物聯網供應商可能缺乏安全資源或面臨市場因素， 迫使他們在設計中更多地考慮功能特性，而不是安全。 物聯網安全架構的基礎物聯網安全實踐物聯網安全生態總結物聯網包含了眾多應用場景， 需要物聯網安全架構提供多種不同的設計。 然而， 物聯網安全有效的方法應以良好的準則為基礎。摘要物聯網時代即將到來華為物聯網安全技術白皮書 201793.3 安全架構藍圖物

23、聯網涉及多個利益相關方， 例如設備制造商、 服務提供商、 網絡運營商和應用開發者。 為確保物聯網安全不被忽視以及避免處理不當， 物聯網利益相關方之間的協作應遵循安全業務框架。 構建物聯網安全架構的管理和審計， 可使物聯網設備在其整個生命周期內安全問題可控， 如圖 4 所示： 在設計、 開發、 測試、 認證等環節的整個生產過程中， 針對供應鏈和生產的風險注入進行全面管理和控制。 基于標準 IT 安全實踐的工具可以根據風險狀況， 復用于物聯網設備的生產階段； 通過管理軟件更新和漏洞補丁方式， 在運維（注冊、 更新等）中進行總體管控、 治理以及風險暴露。 相應的措施包括通過滲透測試等方式， 驗證部署

24、的安全措施， 以及評估 CERT 等所在組織對安全事件的響應能力； 在即將退市階段（例如， 用于監測風險等） 。3.3.1 業務框架安全治理提供了一種針對物聯網設備的涵蓋所有處理流程、 利益相關方和生命周期的整體安全性可視可控的方法。 審計能夠實現物聯網流程、 設備等安全事項的合規和驗證。?圖 4 物聯網安全業務架構物聯網安全架構的基礎物聯網安全實踐物聯網安全生態總結摘要物聯網時代即將到來華為物聯網安全技術白皮書 201710物聯網安全架構設計需要構建安全能力來解決以下類型的安全威脅： 系統完整性的破壞： 如果某些系統組件被篡改， 系統將無法按設計運行。 破壞系統完整性的典型方法是在系統中植入

25、惡意軟件， 從而對系統安全造成持續的威脅； 系統入侵： 攻擊者突破邊界保護和身份認證機制， 利用系統漏洞或使用其他攻擊手段侵入系統。 然后， 攻擊者惡意使用系統資源， 破壞系統數據或進程， 或者竊取重要的系統數據； 惡意濫用權限： 用戶或進程利用系統漏洞發起越權等攻擊， 以獲得未經授權的訪問權限， 由此產生的特權濫用， 并對系統安全造成嚴重威脅； 數據安全的威脅： 是指數據完整性、 機密性和可用性的威脅以及對隱私信息的威脅（披露或未經授權使用隱私信息） ； 網絡服務攻擊引起的業務中斷： 攻擊者攻擊系統提供的網絡服務， 導致系統無法正常提供網絡服務。物聯網威脅普遍存在于物聯網基礎設施中從終端到云

26、平臺的各個部分， 華為為這些遭受威脅的部分提供安全能力保障， 例如物聯網終端操作系統。 華為物聯網安全解決方案系統包括以下部分：1. 物聯網終端側（例如傳感器和執行器等） ： 提供檢測和控制物理環境的設備；2. 物聯網網絡側： 利用 IoT 領域的通信技術（例如 NFC、 IEEE 802.15.4 和 ModBus 等） ， 收集和處理傳感器數據， 同時連接到下文所述的物聯網平臺。 網絡側的物聯網網關可作為本地策略執行設備。 蜂窩移動網等底層網絡保障域間安全數據交換， 并提供防攻擊服務；3. 物聯網平臺側： 提供連接管理、 數據管理和業務使能功能；4. 安全運維和管理： 包括安全運維、 定期

27、物聯網安全評估、 安全報告和基于最佳實踐策略自動識別安全事件。3.3.2 威脅類別3.3.3 “3T+1M” 安全架構物聯網安全架構的基礎物聯網安全實踐物聯網安全生態總結摘要物聯網時代即將到來華為物聯網安全技術白皮書 2017113?“3 T+1 M”?1?圖 5 華為物聯網安全架構如圖 5 所示， 為了應對上述威脅， 華為物聯網安全 “3T（技術）+1M（管理） ” 縱深防御體系架構涵蓋了端管云及平臺數據隱私安全保護， 同時加上端到端安全管控與運維， 多道防線， 縱深防御。終端適度防攻擊能力（1T） ：物聯網終端應具備適度防攻擊能力。資源（內存， 存儲，CPU 等）受限的終端提供基礎安全，

28、工業控制終端提供 X.509 認證與簽名安全， 關鍵業務終端提供高級安全能力。作為安全防御的第一道防線?；A安全為必須滿足基本認證和加密傳輸能力， 高級安全提供可信， 防入侵保護能力， 遠程安全管理等， 部署華為LiteOS 可采用高級安全功能， 在 NB-IoT 場景下華為提供應用層傳輸可采用的優化標準 DTLS等加密方法。 此外，提供華為物聯網終端安全技術規范、 華為物聯網終端安全測試用例及黑盒測試工具保證不同終端接入安全。惡意終端檢測與隔離（1T） ：網絡管道側提供防海量終端浪涌式風暴， NB-IoT 場景無線連接時遵從 3GPP 相關安全標準提供鑒權與完整性檢查， 有 IoT 網關場景

29、還包括 IOT 網關安全傳輸、 協議識別、入侵檢測等安全能力， 可視化安全分析與管理。 云化下， 提供邊界物理和虛擬化基礎設施安全保護， 物聯協議識別與過濾， 黑白名單等， 構建云原生的安全組件 DFW, VSG, WAF 進行網絡隔離和響應。惡意終端檢測與隔離由平臺設備管理提供， 大數據機器學習分析系統， 業務， 事件， 用戶，設備行為進行可視化快速檢測和隔離惡意攻擊。 此作成安全防御的第二道防線。平臺與數據保護（1T） ：云端平臺及數據防護安全能力。 包括數據存儲、 處理、 傳輸、開放等。數據隱私保護， 數據生命周期管理， 數據的 API安全授權， 租戶數據隔離等。 采用云原生安全及大數據

30、安全技術保護云平臺不受惡意攻擊及對敏感數據隱私保護， 滿足歐洲數據隱私合規要求。此作為安全防御的第三道防線。安全管控與運維（1M） ：智能化安全態勢感知、 日常 IoT 安全評估及運維安全報告、最佳實踐策略自動識別安全事件。 為物聯網運維管理人員提供安全指導和豐富的安全巡檢工具， 該層面的安全防御支持標準操作流程。物聯網安全架構的基礎物聯網安全實踐物聯網安全生態總結摘要物聯網時代即將到來華為物聯網安全技術白皮書 201712作為完整安全解決方案， 安全的操作系統必不可少， 通常輕量化的 IoT OS 調度機制中， 不區分用戶態和內核態， 使用統一的內存空間， 所有應用和內核均運行在特權模式。系

31、統服務將會面臨眾多不確定的安全隱患。 如果使用輕量級安全 OS 的隔離機制， 使得用戶態與內核態隔離、 應用與應用隔離， 并支持內核內存保護機制， 及內核隔離調度機制， 那么業務系統的可靠性與安全性都會得到極大提高。安全 OS 通過內存管理重新進行合理布局， 使得內核空間和應用空間分離； 并采用 Syscall 機制實現內核態和用戶?342?1圖 6 終端安全功能態權限分離， 通過 VM 實現不同應用之間的權限保護； 基于 MPU 或 MMU 來提供給用戶可配置的內存保護接口。具體安全保護措施包括： 設計合理的內存布局； 區分內核態和用戶態； 應用進程之間進行隔離； 提供內存保護接口。物理攻擊

32、一直以來都是一種傳統且流行的攻擊方式。 在網絡場景中， 例如物聯網， 終端的漏洞會成為整個網絡的弱點。針對物聯網的攻擊可能會導致嚴重后果， 包括品牌信譽受損、 資產損毀（例如黑客控制了車輛）甚至威脅生命（例如在智能健康場景中） 。 為此， 華為為物聯網終端提供全面的保護， 如圖 6 所示： 安全內核提供基礎安全功能， 例如安全啟動利用了芯片組安全數據存儲功能；3.3.4 終端適度防攻擊能力 協議內核保障通信協議的安全， 例如 3GPP AKA 認證和 DoS 攻擊防御； 應用內核提供端到端會話安全， 例如基于 DTLS/PSK的會話安全， 尤其是為節省電力而延長休眠時間的物聯網終端提供安全保障

33、。物聯網安全架構的基礎物聯網安全實踐物聯網安全生態總結摘要物聯網時代即將到來華為物聯網安全技術白皮書 201713如圖 7 所示， 通過輕量級隔離機制實現的安全區是操作系統的安全保障。 應用可借助內存保護單元創建基于安全區的獨立的應用安全域。 安全 OS 建立的輕量級隔離機制主要特性體現在以下方面： 安全訪問控制： 沙盒與沙盒之間的相互隔離， 安全訪問通道的建立使用， 惡意代碼非法訪問的有效管控； 安全核： 為固件更新（FOTA） 、 安全存儲、 密鑰管理、 加解密、 設備 ID 等提供安全保護基礎。物聯網網絡層負責接入和傳輸， 有多種接入方式， 例如包括 Wi-Fi、 ZigBee、藍牙和紅

34、外線等方式的無線短程接入， 用于移動通信網絡的無線遠程接入和有線網絡接入。網絡層包括核心網絡， 通常是 IP 網絡， 同時也是物聯網信息和數據的傳輸層， 在設備層收集的數據通過網絡層傳輸到 IoT 平臺和應用層處理。網絡層面臨的主要安全威脅： 在物聯網中如果數據傳輸未加密或者完整性校驗未執行， 通信內容有可能被竊聽或篡改； 某些物聯網協議在認證方法上可能有缺陷， 攻擊者可利用此類缺陷侵入物聯網；由此安全 OS 能夠提供可信的身份認證、 安全的固件更新、 Internet 服務訪問權限管控和加解密及密鑰管理等功能。3.3.5 惡意終端檢測和隔離?圖 7 設備安全保護措施 大量終端的惡意攻擊行為，

35、 比如 DDoS 攻擊。從物聯網網絡自身安全角度， 保障網絡層通信安全的主要措施包括： 對終端和遠程系統之間的通信進行加密和認證； 使用白名單和黑名單策略控制數據流； 修復特定協議的缺點或缺陷； 隔離網段。物聯網安全架構的基礎物聯網安全實踐物聯網安全生態總結摘要物聯網時代即將到來華為物聯網安全技術白皮書 201714同時為了應對物聯網海量終端的接入安全， 需要通過 IoT 平臺與網絡側協同， 共同構建基于惡意終端檢測與隔離的網絡安全機制， 通過對終端惡意行為的快速檢測、 判斷和迅速隔離， 來保障物聯網整體安全。 這些惡意行為的檢測與隔離的安全機制包括但不限于：1. 雙向認證： 終端與 IoT

36、平臺之間進行基于證書的相互認證， 并只允許與白名單終端進行通信；2. 輕量級加密： 在物聯網終端和網關上使用輕量級算法， 以減少內存和存儲資源的消耗， 檢測隔離非加密終端接入；3. 安全隧道： 使用 TLS 和 IPSec 等 VPN 技術加密通信數據并校驗通信完整性， 檢測出非法終端接入行為；4. 流量檢測： 識別和分析物聯網協議并處理流量， 通過流量異常分析， 快速檢測出終端的惡意行為；5. 行為異常檢測： 通過大數據或機器學習等方法， 分析終端行為模式和數據相關性， 從而快速檢測惡意終端入侵行為。3.3.6 平臺和數據的保護物聯網設備的訪問和管理安全最基本的安全要求是物聯網設備（如終端、

37、 網關等）能夠安全訪問物聯網平臺。 在生產環節， 為每個物聯網終端預置了唯一的標識和認證憑據。 認證憑據可以基于共享密鑰、數字證書或其他技術解決方案， 且必須受到保護以防被篡改（例如未經授權的私鑰復制） ， 從而確保每個物聯網設備都能被正確識別。 為了確保物聯網設備和物聯網云平臺之間傳輸的數據的機密性和完整性， 應該使用用于安全傳輸的標準協議 （例如 TLS 和 DTLS） 。 然而， 在某些場景中，物聯網設備的資源限制可能會阻礙標準安全協議的使用。個人數據和隱私保護由物聯網設備收集并傳輸到物聯網云平臺的數據可能會受到隱私相關的約束（例如歐盟數據保護條例，即GDPR） 。 根據使用場景和最小權

38、限原則， 收集和傳輸個人或隱私數據需提供明確的個人數據和隱私聲明以及提前獲得授權， 數據所有者有權隨時撤銷其授權。敏感數據必須加密存儲， 且數據所有者有權定義數據留存期， 在數據留存期滿后， 數據應被及時刪除。物聯網安全架構的基礎物聯網安全實踐物聯網安全生態總結摘要物聯網時代即將到來華為物聯網安全技術白皮書 201715物聯網安全實踐4IoT 的安全問題可以通過參考和借鑒信息技術安全領域的相關實踐來解決。 對于實踐的借鑒需要貫穿物聯網服務整個生命周期過程， 從研究設計到市場中的部署以及交付后的運維， 每個生命周期節點均需融入對應的安全實踐。 風險評估、 威脅分析和影響分析作為安全場景基礎， 將

39、為終端安全設計決策提供參考。 這是因為場景需求在很大程度上決定了物聯網終端所受到的限制， 例如處理能力、 存儲限制、 能耗等。成本考慮使得在物聯網終端設計決策中，不可避免的削弱了終端的安全能力。 因此， IoT 終端設計上需要綜合考慮其處理能力、 內存資源、 成本、 功耗、 角色等，滿足與之相對應的適度防御能力， 華為將為之提供物聯網終端安全設計規范 ， 給合作伙伴提供相應的終端安全設計指導。終端適度安全防御能力設計原則：1. 弱終端類： 需要滿足基本安全要求， 同時兼顧計算能力和成本， 比如 DTLS、 雙向認證、 密碼管理、 遠程升級等；這類終端處理能力弱、 內存資源有限、 成本功耗敏感，

40、典型類別包括水電氣表、 停車車檢器、 農業傳感器、 寵物追蹤設備等；2. 強終端 / 網關類： 除了滿足基本安全要求， 還需要滿足增強安全要求， 重點關注自身安全和攻擊影響， 比如安全啟動、 系統加固、 TPM/TEE、 病毒防護、 端口加固等；這類終端處理能力較強， 通常自帶嵌入式操作系統， 在IoT 網絡中角色通常較為關鍵且受攻擊后影響較大， 典型類別包括車聯網終端、 家庭物聯網關、 工業控制網關、攝像頭、 人機交互終端等。根據華為物聯網終端安全設計規范 ， 終端安全設計應側重于以下幾個方面： 傳輸安全： 聚焦于傳輸協議保護， 包括 DTLS/+、 PSK、協議防攻擊和傳輸加密等； 物理安

41、全 ： 根據使用場景， 可能需要考慮防水、 防塵、 散熱、電磁干擾、 定位、 物理損壞或破壞等； 數據安全： 確保靜態數據、 內存中數據以及被傳輸數據的保密性、 完整性和可用性；4.1 終端設計實踐 系統安全： 包括身份標識和認證、 訪問控制、 審核、 安全軟件（包括固件） 更新、 軟件安全、 漏洞掃描、 安全啟動、安全存儲、 接口安全等； 訪問安全： 在網絡側部署安全保護措施， 包括訪問認證、訪問控制、 防御措施、 異常監控與隔離等； 日志保護： 實現物聯網終端日志記錄和日志審計保護， 包括日志保護、 安全事件告警、 敏感信息更新記錄和審計記錄等； 應用安全： 包括 APP 認證、 應用敏感

42、數據訪問認證、 互操作權限管理和訪問權限控制等； 隱私保護： 保護物聯網個人數據或敏感數據， 滿足所有國家和行業的隱私合規要求， 并在這些物聯網終端上應用數據銷毀和加密存儲機制。此外， 華為除了提供 IoT 終端安全設計規范外， 還通過提供物聯網芯片和集成 LiteOS 安全能力開放， 幫助合作伙伴構筑終端適度防御能力。比如，華為的 NB-IoT 芯片Boudica 能提供 DTLS/+、 FOTA、雙向認證等基礎安全能力。物聯網安全架構的基礎物聯網安全實踐物聯網安全生態總結摘要物聯網時代即將到來華為物聯網安全技術白皮書 201716物聯網終端研發完成并執行了相應的安全實踐后， 還需要對其安全

43、性進行測試與驗證， 包括但不限于以下方面： 硬件檢視和操作測試； 網絡流量分析； 接口安全分析； 對認證和默認配置的缺陷進行驗證； 服務和輸入測試， 以檢查對 DoS 和 Fuzzing 攻擊的防御； 在實際場景中對備份和恢復過程進行驗證； 對更新機制以及固件和軟件的完整性校驗進行測試； 運行環境中的法規遵從。隱私和數據保護物聯網海量數據和隱私保護重點在于物聯網平臺， 不同的物聯網應用具有不同的隱私要求。 華為物聯網平臺支持根據應用場景定制不同的應用隱私策略， 例如， 智能家居應用的隱私要求與智能抄表應用的隱私要求是不同的， 因而必須采取適當的隱私控制措施。4.2 驗證和測試安全實踐4.3 隱

44、私保護實踐雖然遵守安全標準對終端級安全非常重要， 但與合作伙伴在物聯網驗證和測試方面協同合作才是最佳實踐。 在安全標準方面， 華為一直遵循 3GPP 和 GSMA 安全規范。 作為行業解決方案的領導者， 華為正與垂直行業的合作伙伴共同開發一系列規范， 以確保物聯網生態系統的安全。 同時， 華為通過 OpenLab 為合作伙伴提供物聯網解決方案安全測試和驗證。OpenLab 是華為提供的開放實驗室， 助力合作伙伴進行端到端的物聯網系統集成和驗證。為了驗證相關的安全標準和規范是否已經成功應用到設計和研發階段， 華為在 OpenLab 中對各個物聯網產品的安全性進行測試。 華為的 OpenLab可以

45、全面真實地模擬實際的物聯網環境，并已經被華為和合作伙伴用在諸多物聯網場景（例如智能計量、 智能水務等）的技術驗證中。 它還支持通過模擬常見的物聯網攻擊（例如物理攻擊、 DDoS 攻擊等）來進行物聯網安全測試和驗證。 為了幫助合作伙伴構建物聯網終端適度防御能力， 構建健康的物聯網安全生態系統， 華為OpenLab 還將為合作伙伴提供針對物聯網終端的黑盒測試和驗證服務。物聯網安全架構的基礎物聯網安全實踐物聯網安全生態總結摘要物聯網時代即將到來華為物聯網安全技術白皮書 201717為了解決運維安全所面臨的問題和相關需求， 華為提出了構建端到端的全方位安全運維解決方案， 全面保證網絡運維的安全性。 該

46、解決方案重點構筑人工運維、 基本運維和基于云端的智能運維的安全能力（圖 8） 。確保安全運維的實踐主要體現在以下三個方面：面向運維人員的端到端的標準操作流程（SOP） 。安全運維的關鍵要素在于人， 為運維人員制定端到端的標準操作流程尤為重要， 這可以確保日常物聯網運維的安全。標準操作流程保障不同行業的所有物聯網應用的安全性，包括運營商和各種垂直行業（例如車聯網、 計量、 物流和制4.4 安全操作和維護實踐?圖 8 華為運維安全框架 支持接入網關的雙向安全身份認證 支持終端內置唯一安全令牌或內置證書和私鑰， 向 IoT 安全運維中心驗證 支持基于網關的主動注冊和被動查詢， 確保感知范圍可控 支持

47、獨立 TLS 協議或網關代理 TLS 協議， 確保網絡連接隧道安全 支持 OTA 更新， 能夠為任何位置的所有設備 / 網關提供實時更新， 失敗自動回退 支持規則引擎， 制定復雜和靈活的任務， 能夠精確地定義時間、 地點和事件等 支持遠程診斷調試， 包括重啟和出廠設置恢復等功能 支持狀態報告和查詢 支持安全啟動和可信計算遠程驗證 支持日志發送至云端審核功能造等） ， 因此需要針對各行業的特點， 制定適配于該行業的安全運維規范。 運維操作流程的內容制定應覆蓋終端認證、 安裝交付、 現場運維、 后臺支持、 應用定制開發、 應急保障等端到端的流程。構建系統側安全運維的基本能力1. 遠程配置安全物聯網

48、安全架構的基礎物聯網安全實踐物聯網安全生態總結摘要物聯網時代即將到來華為物聯網安全技術白皮書 201718隨著物聯網智能水表技術的發展和窄帶物聯網的應用， 水系統行業正從人工抄表發展為遠程智能抄表。 通過自動抄表， 水務公司可以更加智能地管理抄表。 智能水表計算能力有限 （通常安裝單片機） ， 功耗要求極高 （要求電池可以供電 6 年以上） ，且數據計量易受外界影響。 因此， 為確保物聯網安全， 應保證網絡數據傳輸的安全， 優先采用輕型安全協議和算法， 并考慮其對終端能耗的影響。4.5.1 智能水表?圖 9 華為 E2E NB-IoT 智能水表系統的安全框架 支持下載軟件完整性校驗的遠程驗證

49、支持運行軟件的數字證書白名單 支持下載中心的認證和白名單 支持分權分域的 RBAC 訪問控制模型 支持 SSO 統一認證 支持多級 CA 認證中心 支持基于不同角色使用不同證書的校驗 支持統一的 IoT 安全運維中心 支持為每個安全密鑰定制訪問策略2. 授權軟件下載3. 管理員身份認證4. 統一安全平臺構建云端側智能安全態勢感知和威脅分析的能力IoT 安全的關鍵在于終端和平臺， 因此云端平臺側的安全能力對于整個物聯網系統的安全運維和管控至關重要。 在云端側構建強大的安全態勢感知和威脅分析工具， 對于構筑整個物聯網端到端的安全能力， 具有重要意義。 這些安全預警和測試功能包括： CIS 大數據威

50、脅分析、 日常安全評估與運維報告、 自動安全態勢感知、 安全實踐識別、 終端安全生命周期管理、 安全監控與審計等。4.5 最佳安全案例針對智能水表系統， 華為提出了一套 NB-IoT 智能水表系統解決方案。 就網絡層安全性而言， 所有用戶數據都通過非接入層（NAS） 發送， 并且通過基于 3GPP 的物聯網終端和核心網絡確保加密 / 完整性保護。 應用層安全性， 則通過數據包傳輸層 支持流數據分析， 統一呈現業務儀表盤， 預測剩余使用壽命等 設備注冊管理， 全面掌控全網設備的使用情況， 進行生命周期管理 安全態勢感知， 能夠對全網實時監控和基礎設施分析來識別異常 日志審核， 定時分析終端日志是