物联云仓-物联网安全关键技术白皮书.pdf

12023 云安全联盟大中华区-版权所有1物联网安全关键技术白皮书物联网安全关键技术白皮书CSA-GCR22023 云安全联盟大中华区-版权所有22023 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https:/www.c-）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。32023 云安全联盟大中华区-版权所有3致致谢谢云安全联盟大中华区（简称：CSA GCR）物联网安全工作组在 2018 年 11月份成立。由余晓光担任工作组组长，工作组现有 50多位安全专家们，分别来自华为、国家互联网应急中心、中国信通院、中国电信、中国银联、中国移动、招银云创、中国联通、海康威视、360企业安全集团、麦当劳、京东、奇安信、梆梆安全、吉大正元、启明星辰、绿盟、上元信安、雅培、青莲云、联软科技、易安联等四十多家单位。本白皮书主要由 CSA GCR 物联网安全工作组专家撰写，并由 CSA 专家委员会审核，感谢以下专家的贡献（排名不分先后）：本白皮书贡献者名单：余晓光 刘宇馨 任永攀 卢佐华 姚凯 王安宇 陈欣炜文黎力 刘洪森 张赛楠 姚博龙 杨洪起贡献单位：华为技术有限公司、奇安信科技集团股份有限公司、OPPO 广东移动通信有限公司、北京方研矩行科技有限公司关于 研究 工 作组的 更多介 绍，请 在 CSA 大中华 区 官网（https:/c- CSA GCR 秘书处给与雅正!联系邮箱：researchc-;国际云安全联盟 CSA公众号42023 云安全联盟大中华区-版权所有4序序言言未来的世界是一个万物智联的世界，人们的工作生活将无时无刻被各种物联网设备紧密地绑定到一起。可以预见物联网的安全将是未来现实世界的重要组成部分，不仅关乎信息和隐私，更会关乎人民生命财产。在本次发布的白皮书中，CSA 大中华区物联网安全工作组从分析物联网的架构、威胁出发，重点对各种物联网安全技术进行深入剖析，从底层芯片到上层 APP 测试，涵盖物联网安全的各个方面，希望能够帮助读者快速的掌握在物联网安全中可以用到的各种关键技术，这些技术可以应用到物联网产品或解决方案中，为提升产品或解决方案安全性、保护用户隐私、提升用户体验起到有效作用。本白皮书还对这些关键技术的应用场景做了分析和建议，以帮助读者在实际场景中选择合适的物联网安全技术，更好的发挥技术的能力，创造一个更加安全的物联网环境。李雨航 Yale LiCSA 大中华区主席兼研究院院长52023 云安全联盟大中华区-版权所有5目录致谢.3序言.41.概述.61.1.物联网安全概述.61.1.1.物联网的安全要求.61.1.2.物联网的安全隐患.71.2.物联网安全威胁与分析.101.2.1.安全威胁总体分析.101.2.2.传感器安全威胁分析.101.2.3.感知终端设备/网关安全威胁分析.111.2.4.数据传输中的安全威胁分析.121.2.5.云端安全威胁分析.121.2.6.应用安全威胁分析.132.物联网安全关键技术.142.1.芯片级安全技术.142.1.1.可信计算与 TPM芯片.152.1.2.安全启动 Secure Boot.172.1.3.可信执行环境 TEE.192.1.4.内存安全技术.212.1.5.芯片攻击及对策.222.2.操作系统级安全技术.232.3.物联网认证技术.302.3.1.概述.302.3.2.终端与云/业务平台认证.302.3.3.终端与设备/网关.322.3.4.终端与用户.342.3.5.终端与 APP.352.4.基于大数据的安全威胁分析.352.4.1.数据源获取.362.4.2.数据预处理.362.4.3.数据存储.372.4.4.安全分析.372.4.5.安全可视化.402.5.物联网轻量级加密技术.402.6.物联网安全管控技术.442.6.1.密钥证书管理.442.6.2.IoT平台安全管理.472.7.物联网安全测试技术.482.7.1.硬件接口安全测试技术.482.7.2应用安全测试技术.522.7.3通信安全测试技术.553.物联网安全关键技术应用场景.583.1.智慧家庭.583.2.智能穿戴.593.3.智能抄表.623.4.智能汽车.633.4.1.车辆安全.653.4.2.网络安全.663.4.3.智能汽车云平台安全.673.5.智慧工厂.683.6.平安城市.7062023 云安全联盟大中华区-版权所有61.概概述述1.1.物联网安全概述Kevin Ashton 早在 1999 年就使用“物联网”（Internet of Things）一词描述一个系统，这个系统中的实体物体可以通过传感器连接到互联网。当时，这样的系统中使用 RFID 标签技术无需人工干预就可以在互联网上追踪供应链中的物品。随着物联网的发展，不同的组织机构给出了不同的解释和定义。例如，电气和电子工程师协会（Institute of Electrical andElectronics Engineers,IEEE）给出的一个定义称“物联网是将可以唯一标识的物体连接到互联网的网络。这些物体具备传感/驱动和潜在的可编程功能，通过利用独特的识别和感知，物体的信息可以被收集，物体的状态可以在任何时间、从任何地方修改。”从总体上来看，物联网应该具有这样几个特征：（1）联网：无论是否连接到互联网，所有的物联网应该保证物体之间的通讯，或者每个物体都是联网的。（2）可编程：物联网终端设备是嵌入式设备。无论物联网的应用场景如何，使用的终端是什么品牌型号，所有的终端应该具有一定程度的智能，可以进行编程。这种程序可以是写入内存的固件，也可以是 Linux 或其他操作系统，甚至是在操作系统上运行的应用。（3）可采集：物联网设备需要具有感知的能力，对自身的运行，周边的环境参数进行记录。因此物联网中必然会部署大量的传感器，以满足场景感知的要求。（4）可修改：修改分为两个方面。首先对于内部的固件、操作系统和应用，应该可以进行升级。升级可以是修补程序中的漏洞和缺陷，也可以是提供新的功能或废弃一部分功能。同时，在一定情况下，可以发布指令，对物联网设备进行操控并改变其运行状态。这种操控可以是基于感知的参数达到预先设定的阈值而自动触发，也可以是人为地下达指令，或者二者兼顾。1.1.1.物联网的安全要求随着物联网的发展，物联网安全也提上日程。黑客对物联网攻击的目标或是通过直接控制物联网设备达成，或是以物联网设备为跳板攻击其他设备或系统。前一种情况如使用震网病毒（Stuxnet）袭击伊朗的铀浓缩工厂，后者如利用 Mirai 病毒控制互联网上的物联72023 云安全联盟大中华区-版权所有7网设备（网络摄像头等）构成僵尸网络。有些人更是可以通过分析网络上物联网设备采集的信息发现机密。例如，分析人士通过全球定位系统（GPS）追踪 Strava 公司发布在网上的全球运动热力地图看到了美军在中东地区和阿富汗驻地的活动路线，暴露了此前从未对外公布过的秘密基地。各国政府对物联网安全都很重视，2019 年 5 月中国颁布的等级保护 2.0标准包括物联网的安全扩展要求，针对不同的安全等级给出不同的要求。物联网安全扩展针对感知层提出特殊安全要求，与安全通用要求一起构成对物联网的完整安全要求。美国安全国家标准与技术研究院（NIST）对物联网安全也有专门的项目并发布了相关的指南。物联网场景对信息安全的要求和传统的互联网存在较大差别。在传统场景下，首要考虑机密性，其次是完整性，最后是可用性。在物联网环境下，优先级发生了变化，可用性的重要性上升。物联网实时采集数据，如果不能实时采集和传输数据，数据将不可使用，在工业场景下这会导致大量次品，在消费品场景下用户会认为系统失效。由于物联网设备功能单一，通常只采集某一种或几种数据，这些数据所揭示的信息有限，基本不涉及机密。因此需要优先考虑数据的可用性，同时还要保证数据的完整性，防止数据被篡改。相比而言，数据机密性的优先级较低。此外，物联网场景中存在几个特定的信息安全要求。传统信息安全通常是通过用户名密码或其他方式进行身份认证和授权，但是物联网设备没有用户输入界面，大多数时候是持续在线，如何保证采集的数据是从被授权的终端未经篡改地上传是一个挑战。物联网的快速部署以及终端的庞大数量，对于后台如何能稳健支撑物联网系统运行也是一个很大的挑战。某些物联网设备如果处理不当会涉及一些可能带来人身伤害的行为，因此需要考虑的不单单是信息安全，还应包括人身安全、物理安全和隐私保护。1.1.2.物联网的安全隐患物联网是一个巨大的市场，目前缺乏统一的标准，存在各种协议和框架。当前使用的框架有：OpenHAB(https:/www.openhab.org/)Eclipse IoT(https:/iot.eclipse.org/)GEPredix(https:/ ServicesArchitecture(http:/iot-dsa.org/)Open Connectivity Foundation(https:/openconnectivity.org/)82023 云安全联盟大中华区-版权所有8与此同时，物联网所用的协议也纷繁复杂，一些常用的协议有：Wi-FiBLECellular/Long Term Evaluation(LTE)ZigBeeZWave6LoWPANLoRAMQTT上述各种各样的物联网框架和协议导致物联网安全的复杂性。与此同时，物联网市场不够成熟，从业人员安全意识薄弱进一步导致物联网的脆弱性，例如：开发人员缺乏安全意识开发人员通常对 IoT 设备中可能存在的安全漏洞欠缺必要的知识，缺少可操作的安全策略、要遵循的安全编码准则以及针对安全性的清单。缺乏宏观视野开发人员或安全团队非常容易忘记设备和各种技术的互连可能导致安全问题。例如，仅查看移动应用程序可能不会揭示安全问题，但是如果将移动应用程序与网络通信结合，可能会发生严重的安全问题。供应链安全物联网市场存在许多利益相关者，这意味着许多供应商制造的设备其不同组件是由另一供应商制造、组装和分发的，这可能会导致安全问题或后门，从而使整个产品处于危险之中。使用了不安全的框架和第三方库。与此同时，绝大多数企业仅关心物联网可实现的功能，而对一旦使用不当带来的危害认识不清。常见的问题有：从意识上对物联网设备的作用估计不足，认为其就一个简单地数据采集器，没有什么大不了的。对设备疏于管理。设备安装使用后看不见，想不起。一旦部署，放任自流，不管不顾。92023 云安全联盟大中华区-版权所有9使用默认的管理员密码。使用供应商提供的默认密码，不作修改。设备不打补丁不升级。对向设备推送的内容不校验。对设备采集的内容不评估。下表列出了物联网面临的常见风险：安安全全特特性性设设备备/硬硬件件侧侧网网络络侧侧云云/服服务务器器侧侧机密性硬件攻击低计算能力设备的加密隐私完整性缺乏证明，非法升级低计算能力设备的签名NA可用性物理攻击，无线阻塞网络不可靠NA认证缺乏用户输入，硬件导出密钥联合身份认证的挑战缺乏设备识别实施标准访问控制物理访问，缺乏本地授权访问控制的轻量协议需要用户管理访问控制不可抵赖性没有安全的本地存储，低计算能力设备低计算能力设备的签名NA表 1-1 物联网面临的常见风险物联网建设过程中，安全必须与功能同步设计、同步实现。对于物联网技术的风险，一些专业机构进行了深入的探讨，如 OWASP 的 IoT 项目就从多个角度进行了分析，很多暴露的问题可以通过一定的技术手段应对。102023 云安全联盟大中华区-版权所有101.2.物联网安全威胁与分析1.2.1.安全威胁总体分析物联网的特点是通过大量感知设备对业务进行数据采集后由终端设备（常见形式是终端设备集成或外挂传感器）或数据归集设备汇总后进行打包上传，最终由云端使能平台通过数据汇总、分析实现业务的应用支撑，并且会由使能平台对外提供管理接口实现操作交互（交互界面常见的有 WEB UI 和移动 APP 两种）。我们使用 STRIDE 威胁建模工具进行威胁分析后，结合人工分析对威胁进行归并、提炼，得到了下面的物联网威胁地图：图 1-1 物联网安全威胁地图在威胁地图上我们可以看到网络传输、云端服务、数据至移动 APP 基本都属于网络安全相对成熟的垂直领域，针对威胁选择成熟方案或快速定制都比较容易达到目标；但由于感知层设备类型碎片化、部署泛在化和网络异构化三大特点，使得物联网边缘侧安全保障需要安全技术上的创新得以落地。1.2.2.传感器安全威胁分析传感器作为物联网技术对物理世界实现数字化感知的使能原件直接决定了上层应用实现程度。作为攻击方，针对传感器的攻击方式主要是通过技术手段使得传感器失去感知能力或感知错误信息，以达到通过错误数据引导上层应用得到偏向攻击方预期的结果，进而可能引发物联网系统的错误反馈，比如进行了错误的动作指令决策，导致执行器按攻击设想进行动作而达到攻击目的。结合传感器实现技术分析，来自攻击者的威胁主要有以下两种方式：112023 云安全联盟大中华区-版权所有11（1）篡改，攻击者针对目标传感器施加外因迫使传感器产生错误数据欺骗物联网系统，例如对 MEMS 传感器施加干扰震动，对温度传感器施加热辐射以及通过物理方式破坏传感器等；以及攻击者通过重放攻击等通讯手段劫持正常数据包对感知数据篡改后重新发送的方式。（2）仿冒，攻击者通过技术手段仿冒合法传感器直接发送定制的感知数据给物联网系统，例如更换传感器为攻击者特制的同型号传感器或直接通过逆向通讯协议直接发送不存在的伪造数据包等。1.2.3.感知终端设备/网关安全威胁分析感知终端设备/网关设备因为需要进行运算，通常具备 MCU 或 CPU，大多数采用了RTOS、Linux 或 Android 等通用操作系统，但又因技术、成本、硬件性能等多种因素制约使得无法部署上安全能力，导致其攻击面相对较多，成为物联网端侧最易受攻击的目标。感知终端设备/网关设备的主要威胁有以下几点：（1）仿冒，攻击者通过仿冒合法设备接入物联网，可能对整个系统进行渗透以寻求更具价值的目标。例如，通过有线局域网组网的场景，攻击者往往可以使用 PC 轻易仿冒成合法设备接入。（2）篡改，感知终端设备/网关通常具备一定的运算能力，本地很可能会存在敏感、重要的业务数据。加之感知终端设备/网关通常使用了通用操作系统，攻击者很可能通过系统/应用的漏洞获得设备较高的访问权限，进而对设备存储数据、发送的信息进行篡改。（3）抵赖，感知终端设备/网关虽然通常选择了通用操作系统，但又出于技术、成本等多种原因，通常对审计安全不够重视，当攻击者攻陷设备，并通过感知终端设备对其他目标进行渗透攻击时往往会导致证据链缺失而难以追查。（4）信息泄露，有些重要的智能物联网终端设备其业务可能涉及敏感信息的采集、存储，如果在设计开发时没有对重要数据进行加密存储，或加密算法强度较弱就可能导致设备失陷后造成敏感信息泄露；另外如果是重要基础设施，攻击者也可能通过侧信道攻击分析芯片运算时电磁辐射变化获取敏感信息，所以感知终端设备/网关在设计时也应当根据业务重要性考虑应用电磁防护手段。（5）DoS，攻击者通过 DoS 攻击目标对象迫使业务中断，例如通过 DoS 迫使某关键基础设施停止服务；但近年来攻击者更多的通过技术手段如僵尸网络，将海量物联网设备武器化，使其成为对特定目标发起 DDoS 的武器，典型代表是 2016 年的 Mirai 病毒导致美国大面积断网事件。122023 云安全联盟大中华区-版权所有12（6）提权，感知终端设备/网关设备的系统、应用因业务需要通常会保留一些对外接口，从而使得攻击者有可能利用相关漏洞获取超出预期的访问权限，进而达到访问敏感数据甚至获取设备的完全控制权。1.2.4.数据传输中的安全威胁分析由于物联网的网络异构特性，攻击者能够在数据传输过程中找到合适攻击点的概率大大增加，通过分析在数据传输过程中可能发生的安全威胁如下：（1）仿冒，攻击者可能通过技术手段如数据重放或伪造数据包仿冒成合法的控制端或感知设备，与其他接入物联网系统的设备进行信息交互从而达到自己的目的。例如，有安全研究员通过逆向分析自己购买的某智能家电与云端服务器的通讯格式而实现了反射式攻击，成功仿冒控制端对全网同型号家电发送了控制指令。（2）篡改，攻击者可能通过技术手段修改物联网中传输数据的内容，从而达成自己的目的。例如在网关与云端传输路径上对安防系统的重要数据进行监控，并篡改告警信息使得安防系统认为环境仍然安全，从而可以纵容实施非法行为。（3）信息泄露，信息泄露通常比篡改数据的攻击成本低很多，并且危害更大，攻击者可以通过中间人攻击对加密数据实现破译，所以物联网数据传输应当考虑链路层完整性检测机制。（4）DoS，攻击者可能通过 DoS 攻击使得关键通讯节点拒绝服务从而阻断数据传输，这类低成本的攻击最为常见。1.2.5.云端安全威胁分析云端安全威胁有以下几点：（1）篡改，攻击者可能通过接口、服务或系统漏洞直接对数据存储中的特定数据实现非法篡改。（2）抵赖，攻击者可能通过提权或漏洞使得自己对云端数据或基础设施的恶意操作无法被记录或对记录进行手动删除，从而导致攻击行为难以被发现或难以溯源。（3）信息泄露，攻击者可能通过接口或系统漏洞实现超出授予权限的访问，实现对敏感数据、重要数据的访问。（4）DoS，云基础设施、云端服务直接影响物联网业务稳定性，攻击者偏好采用 DoS或 DDoS 这种低成本的方式阻断系统对外服务，对服务所有者造成直接损失。亦有可能实132023 云安全联盟大中华区-版权所有13现对云基础设施的渗透，控制后将云基础设施变成对外 DDoS 的攻击源，而一旦大带宽、高性能的云基础设施被作为攻击源，其影响将更为严重。（5）提权，攻击者可能通过接口、服务或系统漏洞实现超出授予权限的访问，甚至实现对云基础设施的完全控制。1.2.6.应用安全威胁分析（1）仿冒，攻击者可能通过逆向应用与后台系统的接口通讯，并通过专用工具仿冒合法身份，实现与系统的交互，达成攻击目的。（2）篡改，攻击者可能通过应用自身或接口漏洞实现数据的非法篡改，如通过 SQL注入等手段篡改管理员密码而获取管理员权限。（3）抵赖，攻击者可能通过漏洞使得自己恶意操作无法被正确记录，从而导致攻击行为难以被发现或溯源。（4）信息泄露，攻击者可能通过接口或系统漏洞实现超出授予权限的访问，实现对敏感数据、重要数据的访问。（5）DoS，攻击者可能对应用接口进行针对性拒绝服务攻击，或通过技术手段破坏应用接口配置以使得应用后台服务无法正常工作。（6）提权，攻击者可能通过接口或服务漏洞实现超出授予权限的访问，如通过应用接口远程执行漏洞获取后台系统权限。142023 云安全联盟大中华区-版权所有142.物物联联网网安安全全关关键键技技术术物联网面临很多的安全风险，如果处理不当，不仅会造成敏感信息泄露、设备劫持，更有甚者会危害人身安全。目前很多物联网系统缺乏体系化的安全设计，如智能摄像头有Web 访问接口且配置弱口令；智能建筑中的 KNX、ZigBee 协议如果没有安全设计极易被外界入侵；部分共享单车品牌采用蓝牙接口开锁，极易破解；部分智能烟感设备硬件调试接口没有关闭，可以被访问内部数据，进而控制云平台进行恶意告警。再如国内部分智能表类计量系统，大部分数据采用明文传输，也没有严格的认证鉴权控制。用户在建设物联网系统时，首先应该考虑的就是安全问题，但目前的物联网系统大多仅采用一些基本的安全技术，如数据加密、防火墙等，缺乏体系化的安全设计，包括分析所有可能的攻击以及对应的安全措施等，使得整个系统安全存在较大的风险。同时，物联网安全与传统的计算机信息系统安全相比，有两个难点：(1)复杂的部署环境和网络结构。如智能电表系统部署在千家万户，智能手环随身佩戴，智能车载终端随车移动，中间经过各类网络如蓝牙、RF、PLC、运营商网络等。(2)受限的计算和网络资源。很多物联网场景中传感器、终端以及部分网关的资源往往非常有限，包括计算、存储及能源，难以运行复杂的安全协议以及部署安全Agent。网络带宽也很有限，很多本地网络运行在几十 Kbps共享带宽下。因此，本白皮书将在第二章详细描述针对物联网安全的关键技术，最后一章结合物联网的一些典型应用场景给出具体的安全方案建议。读者可以根据自身情况，基于实际场景中不同的安全要求和资源要求对这些物联网安全关键技术进行选择。2.1.芯片级安全技术随着嵌入式技术的发展，物联网设备得到普及。而物联网的硬件基础是超大型集成电路或者芯片，这些芯片决定了物联网设备如何运行，如何处理数据。物联网设备为生活带来便捷的同时，也带来了困扰。当物联网设备遭受攻击时，它可能会泄露个人隐私或商业机密，甚至可能造成大规模的网络瘫痪。而且由于物联网设备本身计算资源有限，系统和硬件高度定制化、不通用、以及网络传输速率和工作环境等限制，难以部署传统的安全防护措施。152023 云安全联盟大中华区-版权所有15针对于物联网设备的安全问题，芯片级的安全技术是不错的解决方案，芯片级的安全技术包括可信平台模块（TPM）、安全启动（Secure Boot）、TEE、内存安全以及侧信道防护等等。这些芯片级的安全技术具有从根本上解决物联网安全问题的能力，芯片级安全技术软硬结合的防御措施，使攻击者难以窃取数据，窃取了也读不懂、读懂了也篡改不了。芯片级安全技术是物理安全的发展方向之一，目前越来越多的芯片厂商在设计的芯片中增加了安全机制，如 TrustZone，同时国际上也成立了可信计算组织 TCG（Trusted ComputingGroup），以推动安全技术的发展。2.1.1.可信计算与 TPM 芯片可信计算是一项由可信计算组织 TCG（Trusted Computing Group）推动和开发的技术。可信计算通过保证计算机操作系统和引导程序的完整性，来保障系统和应用的行为可以按预期执行。所以防篡改是可信计算的核心目的之一，通过基于硬件的安全芯片来校验系统和引导程序的完整性。2.1.1.1.可信计算的存在背景物联网是建立在传统互联网上并将海量的 RFID 设备、传感器等终端设备通过互联网连接在一起的终端网络。物联网通过终端设备感知环境信息，并通过物联网将信息进行收集、分析和处理，提取能为上层应用服务的数据信息。物联网环境中，传感器、节点终端等多为嵌入式环境，其系统多样性、计算能力、性能、可使用资源差别巨大，传统的防护手段已经无法解决当前物联网设备所面临的安全问题。当前大部分信息安全系统主要是由防火墙、入侵检测和防病毒软件组成，这些在计算资源有限、部署环境复杂的 IoT 设备上难以部署，而且这些手段面对越来越系统化、隐蔽化、多样化的攻击方式也逐渐捉襟见肘。在 IoT 设备上，操作系统的不安全配置导致应用软件的各种漏洞层出不穷，引导程序缺乏有效的校验导致恶意固件的刷入。在针对关键信息系统的攻击中，攻击往往初次发起就造成致命的后果，例如在乌克兰变电站攻击事件中，由于缺乏有效的安全手段，导致大部分地区突然停电。在许多物联网设备上，因为计算资源和开发成本而缺少有效的身份认证。对物联网设备来说，一是用户认证，认证使用者的权限，对于智能音箱、家庭摄像头这类的设备，隐私安全尤为重要。二是设备认证，物联网设备的部署环境复杂，即使在同一个局域网内，也有可能受到恶意设备的攻击，物联网网络中的设备应该要求它们之间进行身份验证，确保攻击者无法使用隐含的信任作为进入系统的凭证。162023 云安全联盟大中华区-版权所有162.1.1.2.可信计算的使用场景在物联网设备上，可信计算技术可以用来进行系统保护，当被刷入恶意固件或网站提供修改过的升级包时，设备可以对固件或升级包进行可信校验，从而发现其中错误，并及时拒绝或阻止此类固件或升级包执行。在身份认证方面，用户信息被保存在 TPM 的可信存储区域内，只有经过授权才能读取用户信息，从而防止信息被伪造、窃取。2.1.1.3.可信计算的机制可信计算可以在物联网设备中建立起主动防御机制。通过链式校验和专有的可信操作系统确保完成某些操作的应用程序能够按照预期的行为完成任务。在物联网设备上建立整个可信环境，首先需要一个可信根，然后建立一条可信链，再将可信传递到系统的各个模块，之后就能建立整个系统的可信。可信根是可信系统的底层机制，是系统可信的源头，可信根应具备密码服务功能、针对系统启动工程的度量能力和控制能力，先于其他部分启动。在 TCG 定义的可信计算中，可信根由具备密码服务功能的可信平台模块（TPM）以及系统 BIOS 中的度量代码段（CRTM）组成。TPM 为系统提供了密码服务引擎，CRTM 执行对系统的度量功能并且可以在度量未通过时实施控制。可信链是由可信根开始，通过逐层扩展的方式实现。首先需要用可信根验证系统硬件和固件的可信性，用固件的验证机制验证操作系统引导程序的可信性，用操作系统引导程序验证操作系统安全部件的可信性，由操作系统安全部件为应用程序提供可信运行环境，从而在系统中构建一个完整的信任链条，保障应用的可信运行。2.1.1.4.基于 TPM可信物联网架构早期可信计算研究主要以可信计算组织（TCG）为主，在可信计算中最核心的部分就是 TPM 硬件芯片。到目前为止，TPM 规范已经发展到 2.0。TPM 1.1b 发布于 2003 年，是第一个得到广泛应用的 TPM 规范。在此之前，TPM 已经提供如密钥生成、存储、安全授权和设备健康验证等基本功能。当前基于 TPM 安全平台的技术有三种，ARM TrustZone、Intel TXT 和 AMD PSP。1)ARM TrustZoneTrustZone 提供了一种能够在 SoC 上创建一个虚拟处理器的功能，从而把软硬件资源划分为两部分，一部分叫安全世界（Secure World，SWd），运行执行安全功能的可信软件；另一个叫正常世界（Normal World），运行其他的操作。安全世界和正常世界可以通过一172023 云安全联盟大中华区-版权所有17个叫 Monitor Mode 的模式转换。这两个执行环境被 SoC 的硬件隔离开来，保证主操作系统不会干扰安全世界（SWd）中的程序和数据。这使得用户可以在不能信任整个设备的情况下，保持对安全世界（SWd）中数据的信赖。ARM TrustZone 技术是所有 Cortex-A 类处理器的基本功能，是通过 ARM 架构安全扩展引入的。目前，ARM 处理器在物联网中应用最为普及，如智能手机、电视盒子、车载娱乐系统等。2)Intel TXTTXT 是 Trusted Execution Technology 的简称，即可信执行技术，是 TPM 2.0 的典型代表。其主要目标是通过使用特定的 Intel CPU、专用硬件以及相关固件，建立一个从一开机就可信的环境，进而为系统软件提供多种方法来实现更安全的系统以及更好的数据完整性保护。3)AMD PSPAMD 安全处理器是独立于平台核心处理器的、集成在 SoC 中的专用安全硬件子系统。它可以提供一个隔离的环境，一些敏感组件可以在不受其他软件影响的情况下运行。PSP可以执行系统工作任务以及可信第三方提供的工作任务。2.1.2.安全启动 Secure Boot嵌入式设备的启动流程从芯片上电运行开始，首先运行的是固化在芯片内部 ROM 里的一段代码（ROM Code），然后 ROM Code 加载一级引导，一级引导加载 Bootloader，Bootloader 初始化各种硬件，之后加载并将参数传递给操作系统内核，由操作系统内核启动各种服务。在这个过程中，加载 Bootloader 和加载操作内核阶段往往容易受到恶意的攻击，如篡改内核版本、修改 Bootloader 传递给内核的参数等，或是通过硬件手段往存储操作系统内核的芯片中刷入恶意固件，以达到修改设备功能的目的。因此 Secure Boot 的机制是向物联网设备启动的每个阶段添加校验机制，在加载运行下一级之前，对下一级的代码进行安全校验，校验通过才加载运行，校验不通过则停止运行，这个机制有效的防止未经授权或恶意的修改固件，有效的保护了物联网设备的启动安全。182023 云安全联盟大中华区-版权所有182.1.2.1.ARM TrustZone中的 Secure BootTrustZone 中 Secure Boot 方案将加密检查添加到安全世界（SWd）启动过程的每个阶段。这个过程用于校验所有 SWd 软件镜像的完整性，从而防止运行任何未经授权或遭受恶意修改的软件。防止恶意攻击的最简单方法是将所有安全世界资源执行都保留在 SoC 内存位置中。如果代码和数据永远不会存储在 SoC 封装之外的其他芯片中，那么读取或修改数据就变得更加困难，因为对 SoC 封装的物理攻击要比将逻辑探针连接到 PCB 走线或封装引脚困难得多。安全启动代码通常负责将代码加载到 SoC 内存中，因此，正确地进行身份验证以避免为攻击者引入机会之窗至关重要。假设正在运行的代码和所需的签名已经在安全的 SoC 内存中，则在使用加密方法进行身份验证之前，应先将要验证的二进制或 PuK 复制到安全位置。对镜像进行身份验证然后将其复制到安全内存位置的设计有遭受攻击的风险，攻击者可以在检查完成和进行复制之间的短窗口期中修改镜像。2.1.2.2.AMD Secure BootAMD 在特别的加速处理器(APU)中内置了专属的安全处理器。这套安全处理器是基于ARM TrustZone 架构的，它运行于硬件之上通过将 CPU 分割为两个虚拟的“世界”来建立安全环境。保密任务将运行于 AMD 安全处理器（即“安全世界”）中，而其他的任务则以“标准操作”方式运行。这样确保了敏感数据的存储和可信应用程序的安全运行。2.1.2.3.具体技术方案Secure boot 的解决方案有很多，国内其中一种 Secure Boot 的解决方案是系统软件采用签名认证的方式，在设备出厂前对设备操作系统的 Image 文件进行签名认证，并将基于公钥的 Hash 值写入芯片的一次性可编程模块。由于不同文件计算得到的 Hash 值不同，采用Secure Boot 方案的设备每次启动时都会先校验系统的 Hash 值，即和芯片内的 Hash 值进行比较，然后对签名 Images 的逐级校验，实现从设备芯片到系统软件的链式校验过程，很好地避免设备出厂后没有得到客户签名认证的非授权操作，从而保护了设备中原有的操作系统和软件版本。该 Secure Boot 技术方案主要分为三个部分：镜像签名、安全引导程序、镜像下载和上传。192023 云安全联盟大中华区-版权所有19镜像签名是通过公钥加密算法对数据进行签名，以保护数据来源的正确性。主要包含三个算法：密钥生成算法、签名算法和签名验证算法。Secure Boot 方案中的数字签名由SHA 和 RSA 算法组成。Secure Boot 的基本思想是从 ROM code 到 Kernel image 的多层链式校验。ROM code 利用 Hash 函数来验证 BSC 的完整性，用 RSA 算法来验证 SPL 的完整性，然后 SPL 将会验证 uboot，最后 uboot 来验证 Boot image、Recovery image、Kernel image 等。当 Secure Boot功能 enable 时，镜像需要签名才能下载。在下载的过程中，链式校验的任何环节验证失败都会导致这些镜像不能下载到设备中。设备启动时同样也会对这些镜像进行校验。2.1.3.可信执行环境 TEE2.1.3.1.可信执行环境（TEE）与可信平台模块（TPM）可信执行环境（TEE，Trusted Execution Environment）是 Global Platform（GP）提出的概念。与 TEE 对应的是 REE（Rich Execution Environment），所有未做防护的设备都可看成是 REE 环境，这些设备通常运行的是通用操作系统如 Linux、Android、VxWorks 等。这些操作系统会为 APP 提供完整的系统调用，应用程序可以不受限制的在内核模式和用户模式切换。因此 REE 下的物联网设备存在着许多安全隐患。设备上运行的操作系统往往是默认配置，对于网络数据包缺乏过滤，这会导致很多网络攻击事件的发生。而基于虚拟化的技术虽然可以实现软件的隔离，却无法保证硬件的安全，同时运行性能损耗较大，这对资源有限的物联网设备来说是难以实现的。而 TEE 可以在低成本的情况下为物联网设备提供保护，很好的平衡了成本和安全性。2.1.3.2.可信环境所面临的风险许多物联网设备操作系统通常会对上层 APP 开放所有的系统调用，每次调用都会使操作系统在用户模式和内核模式转换。在用户模式下，每个应用程序的空间是独立的，而在内核模式下，所有的用户程序共用一块内核空间，这会造成恶意应用程序攻击其他程序甚至操作系统内核。而且对于 APP 来说，操作系统作为资源调控者可以访问 APP 所有的数据，这意味着 APP 无法安全的存储密钥和其他敏感信息，因为 APP 不能保证操作系统是否可信。更何况这些通用的操作系统如 Linux、Android，代码量庞大，漏洞频发。202023 云安全联盟大中华区-版权所有202.1.3.3.TEE 具备的功能TEE 作为一种安全技术，可以为应用程序提供一个可信的环境。TEE 借助硬件保护机制，使整个可信环境和其他环境隔离开来，只对外提供安全的可供调用的接口，这样既能保证可信 APP 的运行，又能保证普通 APP 的操作不被限制。基于硬件的 TEE 在性能方面可以占用整个 CPU 的性能，TEE 可以访问所有的内存地址，普通环境中运行的 APP 只能访问自己的地址空间。在设计方面，TEE 的目标是保护敏感数据免受不可信 APP 的恶意行为，并且必须以硬件保护机制提供保护，该机制只供 TEE 使用。在加密方面通常采用 128位的安全强度，并且可抵御一些基于硬件的攻击。TEE 的启动必须基于硬件芯片的安全启动（Secure Boot）流程启动，使控制权限由芯片上电运行的第一段代码 ROM Code 完整的传递到 TEE。基于硬件 TPM 芯片的 TEE 同时具有可信存储的功能，用于保护数据的机密性和完整性。TEE 主要应用于移动支付、认证、数据保护等方面。主要针对安全要求比较高的物联网设备如自动贩卖机、ATM 机，移动支付等。2.1.3.4.TEE 设备架构TEE 是一种执行环境，可提供安全功能，例如隔离执行、受信任的应用程序（TA）的完整性以及 TA资产的完整性和机密性。REE 和 TEE 都利用了许多资源，例如处理核心、RAM、ROM、加密加速器等。在任何时间内，这些软硬件资源都由 REE 或 TEE 控制。部分资源的控制权可以在 TEE 和 REE之间转移。当资源由特定的 TEE 控制时，它便与 REE 和其他 TEE 隔离，除非该 TEE 授权了访问权限。一般而言，TEE 提供的执行空间比 Rich OS 有更高的安全级别。尽管 TEE 的安全性不如 SE，但它提供的安全性对于大多数应用和设备程序来说已经足够。2.1.3.5.TEE 的软件实现1)OP-TEEOP-TEE，来自 STMicroelectronics，是 BSD 授权支持下的开源项目。OP-TEE 最初由ST-Ericsson 开发。2013 年，ST-Ericsson 达到了 Global Platform 的认证标准，证明了 API 的表现符合预期。2)Open TEEOpen TEE，开源实现，来自芬兰阿尔托大学（Aalto University）的一个研究项目。212023 云安全联盟大中华区-版权所有21Open TEE 开源项目的目标是实施符合最新 Global Platform TEE 规范的“虚拟 TEE”。虚拟 TEE 的主要动机是将其用作可信应用程序开