物联网信息安全模型综述

【 摘 要 】 物联网是互联网的延伸，不仅传统的安全问题继续困扰物联网，而且新的、特有的安全问题也不断呈现，这些均对物联网安全模型提出了更高的要求。本文从安全防护对象以及方式对物联网信息安全模型进行分类，综述了当前比较流行的物联网信息安全模型，分析了现有安全模型优势与劣势，展望了物联网信息安全模型发展的趋势。

【 关键词 】 物联网；信息安全；安全模型

An Overview of Information Security Model for IOT

Shao Hua Fan Hong

（The First Research Institute of Ministry of Public Security Beijing 100048）

【 Abstract 】 The internet of things is the extension of the internet， should not only to face the traditional security issues， but also deal with new and specific security problem， which made higher requirements for security model. This article from the security protection object and way to classify the information security model for IOT， summarizes the current popular information security model for IOT， analysis the advantages and disadvantages of the existing security model， and predicts the trend of the development of the IOT information security model.

【 Keywords 】 internet of things； information security； security model

1 引言

据不完全统计，2013年，全球有120亿感知设备连接物联网，预计到2020年，有近500亿设备连接物联网，而在2008年连接在互联网上的设备将超过地球上人口的总和。如此众多设备连接上网络，其造成的危害和影响也是无法估量，特别是当物联网应用在国家关键基础设施，如电力、交通、工业、制造业等，极有可能在现实世界造成电力中断、金融瘫痪、社会混乱等严重危害公共安全的事件，甚至将危及国家安全，因此伴随着物联网快速发展，物联网安全也越来越受到重视。

信息安全模型最早可以追溯到1973年由Bell和Lapadula提出的机密性模型，但物联网涉及技术纷繁复杂、防护对象层次不齐，传统的安全模型已不再适用新的安全需求。近年来，人们在原有的模型基础上，对物联网信息安全模型做了初步探讨和研究。从安全防护对象以及方式来看，物联网信息安全模型可分为两大类：一是单层安全模型，这类模型主要侧重于物联网三层结构中某一层的安全问题，具有一定的安全防护能力，整体防护能力偏弱；二是整体防护安全模型，这类模型以整体角度分析安全防护措施，或以攻击形式考虑安全问题，或以安全技术考虑问题，不仅相同。本文综述目前已有的物联网安全模型，同时在此基础上展望了未来的研究方向。

2 单层安全模型

2.1 面向感知层安全模型

为了构建通用安全框架模型，最大程度改变当前存在安全系统、信息管理、自治管理的关系，Pierre等人提出一种自管理安全单元模型（SMSC）。该模型适用于大型分布式系统，以资源作为其安全防护对象，其中资源可以理解为连接在网络上的资产，典型的资源有应用、传感器等设备。SMSC模型具备互操作性、自动操作、权利下放和上下文前后对照下特性。互操作性是指资源可以相互通信与理解的特性，其被分为三个主要领域：通信语义、通信语法、操作的连接；自动控制是指资源根据侦听的安全威胁，自动执行安全策略进行响应。在物联网中，随着资源数量和它们之间联系的增加，人工管理效率也越来越低，因此需要系统进行自动控制；权利下放是指在实际应用中，资源不可避免地要管理下放信息的存储以及制定安全策略；上下文前后对照性是指资源必须根据不同功能、不同类型的数据进行自适应管理，安全实施必须依赖其上下文环境。

SMSC模型是基于自我管理单元模式（SMC）的模型，SMSC模型在SMC中加入了基于安全和管理的组件，通过借助于大量资源结盟潜在的影响来提高网络安全性，从而能够保证安全通信，图1为SMSC模型的逻辑视图。

SMSC模型要求资源节点具有一定的处理能力来完成自动控制功能，而在物联网应用中，特别是传感网应用中，感知节点处理能力、存储能力、能量消耗均有限，安全功能实现成本代价较高，其实际应用效果并不明显。

2.2 面向传输层安全模型

在EPC物联网体系结构中，信息传输过程中易出现隐私泄漏，其主要原因有：1）阅读器与标签之间的任意读取；2）ONS查询系统为L-ONS提供无条件查询功能；3）物品信息有R-TIS以明文形式传送给L-TIS。为此，吴政强等人提出基于EPC物联网架构的安全传输模型，该模型是面向协议，主要增强了传输过程中信息隐私的安全性。其通过引入可信第三方――可信认证服务器对原有模型进行改进：在ONS查询机制中增加了可信匿名认证过程，对L-ONS的身份合法性以及平台可信性进行认证；物品信息可信匿名传输机制确保物品信息的安全传输，物联网安全传输模型如图2所示。在传输过程中，远程物品信息服务器按响应路径各节点的顺序从后至前用公钥对物品信息嵌套加密，加密后的数据每经过一个路由节点被解密一层，直到本地信息服务器时，物品信息才被还原成明文。传输过程每个路由节点可以验证收到数据的完整性及转发路径的真实性。

物联网安全传输模型匿名认证协议具有抗被动攻击、抗主动攻击、信息泄漏量极小，路由可鉴别性、响应数据的可验证性。但由于其基于EPC网络结构，适用范围具有一定局限性。

3 整体防护安全模型

3.1 基于P2DR2的物联网安全模型

传统的安全防护方法是对系统或设备进行风险分析，制定相应的安全防护策略或部署安全设备进行防护，这种方式忽略了物联网安全的动态性，为此PDR模型应运而生，PDR是防护（Protection）、检测（Detection）、反应（Reaction）的缩写PDR模型通过Pt（攻击所需时间）、Dt（检测安全威胁时间）、Rt（对安全事件的反应时间）来描述系统是否安全，即Pt>Dt+Rt，随着技术发展，PDR模型演变为P2DR模型，后期又融合了恢复（Recovery），形成了更为完善的P2DR2的动态自适应安全模型。刘波等人提出了基于P2DR2的物联网安全模型，该模型采用动态防御的思想，结合物联网的三层体系结构，如图3所示。

基于P2DR2的物联网安全模型强调了安全防护的各个方面，各层均未给安全技术实施方法，缺乏可操作性。将P2DR2模型直接应用物联网，虽然考虑了分层结构，但各层策略（Policy）、防护（Protection）、检测（Detection）、反应（Reaction）、恢复（Recovery）实现能力层次不齐，特别是在感知层，容易出现“短板”问题。

3.2 基于等级划分的物联网安全模型

目前，国内外较为流行的无线通信协议均采用为不同安全等级应用配置不同加密等级策略的思路。我国自1994年开始实施信息安全等级保护制度来重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。随着物联网的发展，等级保护也作为物联网安全防护的重要分支。孙知信等人提出了一种基于等级划分的物联网安全模型（BHSM-IOT），该模型以物联网攻击模型和以物联网实际应用为前提构建的物联网拓扑模型为基础，利用模糊评价方法对物联网应用进行等级划分（无安全模式，ACL模式，认证、完整性和机密性模式，认证、完整性和机密、密钥管理模式），从而部署实施不同安全配置。BHSM-IOT模式架构如图4所示，包括应用需求分析、网络拓扑分析、攻击类型预测以及应用安全等级判定四个部分，其中BHSM-IOT模型从信息系统提取关键对象进行描述：应用系统管理员（ASA）、用户（User）、维护数据单元（MDU）、系统硬件设备（SH）、应用涉及范围（AR）、应用类型（AT）和敏感数据单元（SDU）。

范红等人提出一种从横向和纵向两个方面提升物联网防护水平的物联网安全技术体系（STA-EPC），横向防御体系以国标GB25070-2010为依据，涵盖等级保护物理安全、安全计算环境、安全区域边界、安全通信网络、安全管理中心、应急响应恢复与处置六个方面，其中 “一个中心”管理下的“三重保护”是核心，物理安全是基础，应急响应处置与恢复是保障。纵深防御体系是依据保护对象的重要程度以及防范范围，将整个保护对象从网络空间划分为若干层次，不同层次采取不同的安全技术。目前，物联网体系以互联网为基础，因此可以将保护范围划分为边界防护、区域防护、节点防护、核心防护（应用防护或内核防护），从而实现如图5所示的纵深防御。STA-EPC模型满足机密性、完整性、Accountability、可用性安全属性。

上述两个安全模型均包含等级防护的思想，BHSM-IOT模型通过赋值进行定量评估信息系统等级，具有一定可操作性，但其安全技术粒度粗糙；STA-EPC模型针对40多个安全技术部署位置以及防御的层次给出了详细的描述，为了物联网安全防护提供了细粒度的操作指南。

3.3 基于三层架构的安全模型

目前较为通用的物联网架构分为三层，即感知层、网络层和应用层。Omar Said结合物联网三层架构提出了一种物联网安全模型，该模型在物联网三层架构的基础上，增加了应用安全层、网络安全层、感知安全层，如图6所示。其中应用安全层被划分局部应用安全防御和全局应用安全防御。全局应用安全防御安全级别更高，但其不能与局部应用安全防御相冲突；网络安全层分为有线网络与无线网络，无线网络安全包括无线局域网、移动通信网、传感网等，其防护技术包括密钥分发、入侵探测、身份认证等。有线网络包括传统的防火墙、路由访问控制、IPS等技术；感知安全层依据采集数据分为多媒体、图像、文本信息。多媒体数据可以通过压缩加密、时间戳、时间同步、会话认证防护安全威胁。图像数据使用图像压缩算法、循环冗余等技术保障安全。文本信息数据则通过加密、抗干扰等技术进行防护。

该模型通过能量消耗、成本、时间、安全强度参数进行了评估，随着传输量和时间的增长，其能量消耗呈现波形，趋于稳定，并且其安全强度处于80-100之间。虽然上述测试结果比较理想，但其选择的试验的安全技术相对简单，如身份认证、授权管理、时间同步均涉及。

4 结束语

综上所述，物联网安全模型的发展必须满足关键要求：1）适用于分布式拓扑架构且安全管理单元可进行自治；2）横向防御与纵深防御结合；3）需进行能量消耗、成本、时间、安全强度的评估；4）物联网安全模型涉及的安全技术应细粒度，可操作性要强；5）具有一定通用性，与物联网体系架构无关，不局限于EPC物联网、传感网等形态。

参考文献

[1] Bell D E， Lapadula L J. Secure Computer Systems： Mathematical Foundations and Model [J]. MITRE CORPBEDFORD MA， 1973.

[2] De Leusse， Periorellis， etc. Self Managed Security Cell， a security model for the Internet of Things and Services[C] First International Conference on Advances in Future Internet， 2009：45-52.

[3] Sventek J. Self-managed cells and their federation [J]. Networks and Communication Technologies， 2006， 10（2）：45-50.

[4] 吴振强，周彦伟，马建峰.物联网安全传输模型[J].计算机学报，2011， 34（8）：1351-1364.

[5] 刘波，陈晖等.物联网安全问题分析及安全模型研究[J].计算机与数字工程， 2012，11：21-24.

[6] 孙知信，骆冰清等. 一种基于等级划分的物联网安全模型[J].计算机工程.2011，37（10）：1-7.

[7] 范红，邵华等.物联网安全技术体系研究.第26次全国计算机安全学术交流会，2011：5-8.

[8] GB/T 25070-2010，信息系统等级保护安全设计技术要求[S].

[9] Omar Said. Development of an Innovative Internet of Things Security System[J]. International Journal of Computer Science Issues.2013，10（6）：155-161.

作者简介：

邵华（1984-），男，湖北黄冈人，毕业于北京工业大学，硕士，现任公安部第一研究所信息安全工程师，工程师；工作业绩：参与多项发改委信息安全专项和公安部重点项目；主要研究方向和关注领域：信息与网络安全、物联网。

范红（1969-），女，河北保定人，毕业于中国科学院，博士，现任公安部第一研究所检测中心主任助理，研究员；工作业绩：多项国家863，发改委信息安全专项负责人；主要研究方向和关注领域：信息与网络安全、物联网。