物聯(lián)網(wǎng)產(chǎn)品安全檢測(cè)研究*

邵華 張冬芳 公安部安全與警用電子產(chǎn)品質(zhì)量檢測(cè)中心

物聯(lián)網(wǎng)產(chǎn)品安全檢測(cè)研究*

邵華 張冬芳 公安部安全與警用電子產(chǎn)品質(zhì)量檢測(cè)中心

從檢測(cè)內(nèi)容、檢測(cè)方法、檢測(cè)環(huán)境、檢測(cè)流程等方面探討了一套能體現(xiàn)典型場(chǎng)景的安全檢測(cè)應(yīng)用框架。提供RFID標(biāo)簽及讀寫(xiě)器、第二代居民身份證閱讀機(jī)具、遠(yuǎn)程終端單元（RTU）等物聯(lián)網(wǎng)產(chǎn)品功能、性能、安全性和安全保證檢測(cè)。

物聯(lián)網(wǎng)信息安全檢測(cè)

一、引言

在公安工作中，采用物聯(lián)網(wǎng)技術(shù)的產(chǎn)品、應(yīng)用方案率先應(yīng)用于第二代居民身份證、警員定位與警力動(dòng)態(tài)調(diào)配、會(huì)務(wù)保障、車(chē)輛動(dòng)態(tài)監(jiān)管、警用裝備和物證的單品級(jí)管理、大型刑事案件檢材管理、監(jiān)所管理以及重點(diǎn)區(qū)域的監(jiān)控與預(yù)警等，在涉人、涉車(chē)、涉物和重點(diǎn)場(chǎng)所管理上發(fā)揮了重要作用，實(shí)現(xiàn)了現(xiàn)代警務(wù)對(duì)事件信息的實(shí)時(shí)采集、動(dòng)態(tài)處理和防范預(yù)警等智能化功能，極大地提升現(xiàn)代警務(wù)的實(shí)戰(zhàn)能力和服務(wù)水平，促進(jìn)了警務(wù)工作的整體聯(lián)動(dòng)和協(xié)同作戰(zhàn)。

但物聯(lián)網(wǎng)各類(lèi)安全問(wèn)題直接制約其發(fā)展，目前物聯(lián)網(wǎng)產(chǎn)品主要面臨5類(lèi)威脅：（1）感知操作安全威脅。這類(lèi)威脅主要是指感知設(shè)備在交互數(shù)據(jù)時(shí)存在的安全威脅，包括竊聽(tīng)無(wú)線信道信息或數(shù)據(jù)，中間人攻擊、重放數(shù)據(jù)以及通過(guò)放大功率干擾設(shè)備或利用間諜標(biāo)簽攻擊其防沖突協(xié)議，使感知產(chǎn)品失效[1-2]；（2）數(shù)據(jù)存儲(chǔ)安全威脅。攻擊者遠(yuǎn)程或直接登錄感知節(jié)點(diǎn)設(shè)備，非法竊取或篡改感知節(jié)點(diǎn)設(shè)備存儲(chǔ)的數(shù)據(jù)和由于自然、人為或軟硬件故障造成的數(shù)據(jù)丟失或破壞；（3）數(shù)據(jù)處理安全威脅。感知數(shù)據(jù)處理過(guò)程中的信息泄漏以及由于軟硬件異?；蛲獠咳藶楣粼斐傻臄?shù)據(jù)不一致；（4）感知產(chǎn)品通信安全威脅。旁路竊聽(tīng)或截獲通信數(shù)據(jù)；篡改或偽造通信數(shù)據(jù)，導(dǎo)致網(wǎng)絡(luò)傳輸故障或拒絕服務(wù)攻擊；非法設(shè)備接入感知網(wǎng)，消耗網(wǎng)絡(luò)資源或進(jìn)行其它攻擊行為；干擾網(wǎng)絡(luò)通信，破壞路由信息[3]；（5）感知產(chǎn)品安全威脅。這類(lèi)威脅主要是產(chǎn)品系統(tǒng)以及安全配置威脅。非授權(quán)用戶修改感知節(jié)點(diǎn)設(shè)備配置參數(shù)與安全策略、安裝惡意軟件等；授權(quán)用戶越權(quán)操作，如用戶遠(yuǎn)程登錄網(wǎng)絡(luò)攝像頭并私自改變攝像頭拍攝角度，導(dǎo)致拍攝出現(xiàn)死角，無(wú)法拍下犯罪行為[4-6]。

本文將針對(duì)上述威脅，依據(jù)相關(guān)標(biāo)準(zhǔn)，研究適用于感知產(chǎn)品且能體現(xiàn)典型場(chǎng)景的安全檢測(cè)應(yīng)用框架。首先介紹了目前行業(yè)的安全檢測(cè)現(xiàn)狀，然后以居民身份證、RTU產(chǎn)品為例，從檢測(cè)內(nèi)容、檢測(cè)環(huán)境、檢測(cè)方法和檢測(cè)流程等方面探討了典型場(chǎng)景的安全檢測(cè)應(yīng)用框架。

二、檢測(cè)現(xiàn)狀

由于巨大利益的驅(qū)使，Sun、IBM、UPS、Microsoft等IT和物流行業(yè)巨頭已經(jīng)重金投入對(duì)RFID的測(cè)試和解決方案的開(kāi)發(fā)。美國(guó)聯(lián)合包裹服務(wù)公司（UPS）目前正在進(jìn)行多項(xiàng)RFID測(cè)試，在其中一個(gè)實(shí)驗(yàn)項(xiàng)目中，UPS公司把RFID貨運(yùn)標(biāo)簽放在可重復(fù)使用的集裝箱中，這些集裝箱用來(lái)裝運(yùn)小型或形狀不規(guī)則的貨物，結(jié)果發(fā)現(xiàn)在不規(guī)則形狀的包裹上使用RFID標(biāo)簽可以提高讀取速率；IBM也在美國(guó)馬里蘭州興建了RFID測(cè)試中心，并宣布這個(gè)測(cè)試中心可作為沃爾瑪?shù)雀骷覐S商將RFID導(dǎo)入例行操作之前的測(cè)試場(chǎng)地；Sun則在整合了硬件、軟件和服務(wù)后推出了多層的Sun EPC網(wǎng)絡(luò)架構(gòu)，并在全球各地部署了多個(gè)RFID測(cè)試中心。

國(guó)內(nèi)也已經(jīng)開(kāi)始著手建立自己的RFID測(cè)試中心，其中包括中科院自動(dòng)化所的RFID研究中心，上海復(fù)旦的Auto-ID中國(guó)實(shí)驗(yàn)室，國(guó)家RFID檢測(cè)中心以及相關(guān)行業(yè)公司的演示中心等。

但上述這些檢測(cè)機(jī)構(gòu)主要側(cè)重于標(biāo)準(zhǔn)符合性、可用性的測(cè)試，未考慮行業(yè)特定需求。警務(wù)工作的特殊性，對(duì)RFID的安全系數(shù)要求更高，且更廣泛、更嚴(yán)格。因此需要針對(duì)公安等特殊行業(yè)實(shí)現(xiàn)更具有適用性的安全檢測(cè)能力。

三、產(chǎn)品安全檢測(cè)環(huán)境與內(nèi)容

物聯(lián)網(wǎng)產(chǎn)品種類(lèi)繁雜，僅警務(wù)應(yīng)用的產(chǎn)品類(lèi)型就包括溫感、煙感、有害氣體傳感器、遙測(cè)、遙控、遙信、人像識(shí)別攝像機(jī)、公安基礎(chǔ)信息采集設(shè)備、RFID標(biāo)簽、RFID閱讀器、第二代身份證GPS/北斗產(chǎn)品等等，這些產(chǎn)品在滿足標(biāo)準(zhǔn)符合性、可用性的基礎(chǔ)上，還需要根據(jù)公安業(yè)務(wù)的安全需求，進(jìn)行安全檢測(cè)。如公安部裝備財(cái)務(wù)局與科技信息化局正在起草人員基礎(chǔ)信息一體化采集設(shè)備通用技術(shù)戰(zhàn)技指標(biāo)要求和檢測(cè)大綱，該產(chǎn)品既滿足身份信息、人像、身高、體重、足長(zhǎng)等的信息采集，也必須對(duì)產(chǎn)品的數(shù)據(jù)安全、網(wǎng)絡(luò)安全和性能進(jìn)行檢測(cè)。

物聯(lián)網(wǎng)產(chǎn)品檢測(cè)可根據(jù)用戶需求制定，檢測(cè)內(nèi)容一般包括對(duì)產(chǎn)品的接口協(xié)議、數(shù)據(jù)速率、工作溫度、工作濕度、讀寫(xiě)距離、振動(dòng)、沖擊、碰撞、安全性、電磁兼容性、“一機(jī)兩用”等關(guān)鍵項(xiàng)目，同時(shí)可對(duì)RFID標(biāo)簽、IC卡以及遠(yuǎn)程終端單元的存儲(chǔ)容量、工作環(huán)境、抗射線、抗交變電磁場(chǎng)、抗沖擊、機(jī)械振動(dòng)、自由跌落、抗靜電等關(guān)鍵項(xiàng)目進(jìn)行檢測(cè)，并在實(shí)際應(yīng)用環(huán)境下進(jìn)行特定性能和策略符合性檢測(cè)，進(jìn)一步驗(yàn)證產(chǎn)品運(yùn)行效果，形成一條包括產(chǎn)品級(jí)和應(yīng)用級(jí)的檢測(cè)鏈。

（一）產(chǎn)品檢測(cè)分類(lèi)

物聯(lián)網(wǎng)產(chǎn)品涵蓋物聯(lián)網(wǎng)智能感知層、接入傳輸層和業(yè)務(wù)應(yīng)用層所有產(chǎn)品，根據(jù)應(yīng)用方式、安全性要求的不同，可以分為3大類(lèi)12項(xiàng)，如圖1所示。

下面將介紹RFID標(biāo)簽及讀寫(xiě)器、第二代居民身份證閱讀機(jī)具及遠(yuǎn)程終端單元（RTU）產(chǎn)品檢測(cè)應(yīng)用框架的示例。

（二）居民第二代身份證閱讀機(jī)具檢測(cè)

1.檢測(cè)環(huán)境和檢測(cè)工具

居民第二代身份證閱讀機(jī)具產(chǎn)品檢測(cè)環(huán)境如圖2所示。檢測(cè)工具包括：頻譜分析儀、射頻信號(hào)發(fā)生器、場(chǎng)強(qiáng)探頭、壓力試驗(yàn)臺(tái)、振動(dòng)試驗(yàn)臺(tái)、主控PC、應(yīng)用滲透測(cè)試軟件、測(cè)試腳本、居民第二代身份證應(yīng)用軟件、抓包工具、NI-VISN-R2100RFID/NFC綜合測(cè)試儀、數(shù)字萬(wàn)用表和無(wú)線接入點(diǎn)。

2.檢測(cè)內(nèi)容

居民第二代身份證閱讀機(jī)具產(chǎn)品測(cè)試內(nèi)容主要包括功能測(cè)試、性能測(cè)試、安全性測(cè)試以及安全保證測(cè)試四部分。

（1）功能測(cè)試

主要針對(duì)產(chǎn)品應(yīng)用功能進(jìn)行測(cè)試，測(cè)試內(nèi)容包括數(shù)據(jù)通信、身份證識(shí)別，讀寫(xiě)身份證信息等。

（2）性能測(cè)試

主要針對(duì)產(chǎn)品的物理特性和電磁特性，如耐振動(dòng)、耐沖擊、耐溫濕度、工作頻率、電場(chǎng)強(qiáng)度閥值、抗擾度、讀卡響應(yīng)時(shí)間等進(jìn)行測(cè)試。

（3）安全性測(cè)試

安全性測(cè)試根據(jù)《公安物聯(lián)網(wǎng)感知層通用安全要求導(dǎo)則》和《信息技術(shù)安全性評(píng)估準(zhǔn)則》，主要針對(duì)產(chǎn)品感知操作安全、數(shù)據(jù)處理安全、數(shù)據(jù)存儲(chǔ)安全、感知節(jié)點(diǎn)設(shè)備安全、感知節(jié)點(diǎn)設(shè)備通信安全、感知監(jiān)控中心等6方面涉及的安全要求進(jìn)行符合性檢測(cè)，如數(shù)據(jù)傳輸安全、標(biāo)識(shí)和鑒別、TSF保護(hù)、資源利用等。

（4）安全保證測(cè)試

安全保證是解決如何正確有效的實(shí)施前述這些功能的保證要求，它包括產(chǎn)品的配置管理、交付與運(yùn)行、開(kāi)發(fā)、指導(dǎo)性文檔、測(cè)試、脆弱性評(píng)定等方面。

（三）RTU產(chǎn)品檢測(cè)

1.檢測(cè)環(huán)境和工具

RTU檢測(cè)環(huán)境如圖3所示。檢測(cè)工具包括：射頻信號(hào)發(fā)生器、性能測(cè)試儀、網(wǎng)絡(luò)分析儀、Zigbee/GPRS、Wi-Fi、以太網(wǎng)網(wǎng)關(guān)、無(wú)線接入點(diǎn)、Zigbee路由器、NIVISN-R2100RFID/NFC綜合測(cè)試儀、應(yīng)用服務(wù)器、主控PC、場(chǎng)強(qiáng)探頭、壓力試驗(yàn)臺(tái)、振動(dòng)試驗(yàn)臺(tái)、頻譜分析儀、數(shù)字萬(wàn)用表、矢量網(wǎng)絡(luò)分析儀等。

2.檢測(cè)內(nèi)容

遠(yuǎn)程終端（RTU）產(chǎn)品測(cè)試內(nèi)容主要包括功能測(cè)試、性能測(cè)試、安全性測(cè)試以及安全保證測(cè)試四部分。

（1）功能測(cè)試

內(nèi)容包括數(shù)據(jù)采集、遙信、遙測(cè)、遙控、遙調(diào)和數(shù)據(jù)傳輸、遠(yuǎn)程管理、圖片抓拍、報(bào)警、存儲(chǔ)、通信功能等。

（2）性能測(cè)試

主要針對(duì)產(chǎn)品的物理特性和電磁特性，如耐振動(dòng)、耐沖擊、耐溫濕度、工作頻率、電場(chǎng)強(qiáng)度閥值、抗擾度、功耗、通信速率等進(jìn)行測(cè)試。

（3）安全性測(cè)試

包括管理安全、安全審計(jì)、用戶數(shù)據(jù)保護(hù)、標(biāo)識(shí)和鑒別、TSF保護(hù)、資源利用等。

（4）安全保證測(cè)試

同“居民第二代身份證閱讀機(jī)具”的檢測(cè)內(nèi)容。

四、產(chǎn)品檢測(cè)的方法與流程

（一）檢測(cè)方法

根據(jù)產(chǎn)品形態(tài)的不同，產(chǎn)品安全檢測(cè)的檢測(cè)方法主要有功能驗(yàn)證、電磁兼容試驗(yàn)、性能檢測(cè)、滲透測(cè)試、文檔審查與分析、網(wǎng)絡(luò)抓包與協(xié)議分析等。

1.功能驗(yàn)證

針對(duì)產(chǎn)品的功能特性，例如第二代居民身份證閱讀器獲取身份證、比對(duì)數(shù)據(jù)。

2.電磁兼容試驗(yàn)

如檢測(cè)電場(chǎng)強(qiáng)度閾值：將信號(hào)發(fā)生器工作頻率設(shè)置為標(biāo)簽的工作頻率，設(shè)置讀寫(xiě)器從最小工作頻點(diǎn)開(kāi)始發(fā)射詢問(wèn)信號(hào)，保證標(biāo)簽處的詢問(wèn)信號(hào)電場(chǎng)強(qiáng)度從0v/m開(kāi)始增加，直到讀寫(xiě)器能夠通過(guò)標(biāo)簽發(fā)射信號(hào)讀到其存儲(chǔ)的信號(hào)。檢測(cè)標(biāo)簽靜電放電抗擾度，在嚴(yán)酷等級(jí)4、試驗(yàn)電壓15kv、直接于標(biāo)簽表面采用空氣放電、每個(gè)敏感試驗(yàn)點(diǎn)放電次數(shù)正負(fù)極性各10次，每次放電間隔至少為1秒的條件下，對(duì)標(biāo)簽進(jìn)行識(shí)別功能和識(shí)別性能試驗(yàn)。

3.滲透測(cè)試

抗干擾滲透測(cè)試：使用干擾源對(duì)工作中的射頻遙控器進(jìn)行干擾，同時(shí)使用頻譜分析儀分析射頻遙控器的工作頻率，檢查射頻遙控器是否采用抗干擾技術(shù)防止頻段干擾；簡(jiǎn)單攻擊探測(cè)：使用滲透性測(cè)試工具對(duì)自動(dòng)柜員機(jī)進(jìn)行IP欺騙攻擊，偽造虛假路由器IP地址，檢查自動(dòng)柜員機(jī)是否能夠檢測(cè)到攻擊。使用漏洞掃描器對(duì)自動(dòng)柜員機(jī)進(jìn)行掃描，檢查自動(dòng)柜員機(jī)是否能夠檢測(cè)到端口掃描；越權(quán)檢測(cè)：電子防盜鎖使用者在未經(jīng)身份認(rèn)證情況下嘗試對(duì)受控客體進(jìn)行遙控操作，使用者在通過(guò)身份認(rèn)證的情況下嘗試對(duì)受控客體進(jìn)行操作；惡意代碼檢測(cè)：對(duì)球型攝像頭發(fā)送帶有控制或破壞系統(tǒng)正常工作的惡意代碼，查看球型攝像頭能否正常工作，惡意代碼是否被檢測(cè)出來(lái)。

4.文檔審查與分析

針對(duì)TSF間用戶數(shù)據(jù)傳送的保密性保護(hù)、防止審計(jì)數(shù)據(jù)丟失、密碼運(yùn)算、可信路勁等安全要求進(jìn)行檢測(cè)，需審查開(kāi)發(fā)者提供的設(shè)計(jì)文檔、產(chǎn)品說(shuō)明書(shū)等文檔，進(jìn)行功能確認(rèn)，然后進(jìn)行驗(yàn)證性檢測(cè)。

5.網(wǎng)絡(luò)抓包與協(xié)議分析

檢測(cè)可信路徑：使用協(xié)議分析儀捕獲ATM和ATMP之間的通訊數(shù)據(jù)，分析是否采用加密機(jī)制保證通信數(shù)據(jù)的保密性和完整性；檢測(cè)傳輸保密性和完整性；利用綜測(cè)儀抓取雙方通信數(shù)據(jù)包，查看數(shù)據(jù)包是否存在明文數(shù)據(jù)，且協(xié)議是否有完整性校驗(yàn)機(jī)制。

（二）檢測(cè)流程

產(chǎn)品安全檢測(cè)工作流程分為項(xiàng)目建檔及跟蹤、檢測(cè)方案指定、測(cè)試實(shí)施，報(bào)告及建議4個(gè)階段，如圖4所示。

1.項(xiàng)目建檔

受測(cè)單位（客戶）向檢測(cè)單位提出申請(qǐng)并提交相關(guān)資料，受理人登入信息化綜合服務(wù)平臺(tái)“項(xiàng)目管理”，對(duì)本次檢測(cè)項(xiàng)目建檔，并根據(jù)提交的材料進(jìn)行資料評(píng)審。

2.檢測(cè)方案制定

資料評(píng)審?fù)ㄟ^(guò)后，根據(jù)受檢單位（客戶）的檢測(cè)材料，明確檢測(cè)類(lèi)別，通過(guò)基礎(chǔ)庫(kù)，形成檢測(cè)規(guī)則、檢測(cè)方法，并確定檢測(cè)需要的工具集，最終形成檢測(cè)方案。

3.測(cè)試實(shí)施

分為實(shí)驗(yàn)室測(cè)評(píng)和現(xiàn)場(chǎng)測(cè)評(píng)。實(shí)驗(yàn)室測(cè)評(píng)適用于產(chǎn)品的安全檢測(cè)以及現(xiàn)場(chǎng)測(cè)評(píng)難度大、無(wú)法進(jìn)行現(xiàn)場(chǎng)實(shí)施的情況；現(xiàn)場(chǎng)測(cè)評(píng)適用于測(cè)評(píng)對(duì)象無(wú)法轉(zhuǎn)移，測(cè)試實(shí)施地點(diǎn)限制為現(xiàn)場(chǎng)等情況。

4.報(bào)告及建議

匯總檢測(cè)數(shù)據(jù)、工具集記錄數(shù)據(jù)，關(guān)聯(lián)分析測(cè)試數(shù)據(jù)，并依據(jù)檢查標(biāo)準(zhǔn)要求判斷結(jié)果，形成RFID產(chǎn)品安全檢測(cè)、RUT產(chǎn)品安全檢測(cè)以及第二代居民身份證閱讀機(jī)具安全檢測(cè)報(bào)告，根據(jù)檢測(cè)判斷結(jié)果，對(duì)不符合要求項(xiàng)給出整改建議。

五、總結(jié)

RFID、RUT等物聯(lián)網(wǎng)產(chǎn)品在公共安全、生成管理與控制、工業(yè)控制等領(lǐng)域的深入應(yīng)用，必將對(duì)其安全提出更高的要求。為了滿足日益增長(zhǎng)的安全需求，對(duì)物聯(lián)網(wǎng)產(chǎn)品進(jìn)行科學(xué)、有效的檢測(cè)和評(píng)估是保證物聯(lián)網(wǎng)應(yīng)用安全的重要措施之一。本文從檢測(cè)能力的構(gòu)建探討了物聯(lián)網(wǎng)產(chǎn)品安全檢測(cè)的應(yīng)用框架，為產(chǎn)品安全檢測(cè)提供有效的技術(shù)手段。

[1]Benjamin F,Oliver G.Security Challengesof EPCglobal Network [J].Communications of the ACM-Ba rba ra Lis kov:ACM's AM.Turing AwardWinner,2009,52(7):121-125.

[2]J.G.Alfaro,M.Barbeau,E.Kranakis.Analys is of Threats to the Security of EPC Networks[J].2008 Communication Networks a ndServicesRes earchConference,2008.

[3]Rodrigo Roman,Pablo Na jera,JavierLopez.Securing theInternet of Things.IEEE Computer,2011Vol 44(9):51-58.

[4]毛豐江.智能卡的邊頻攻擊分析及安全防范措施[J].單片機(jī)與嵌入式系統(tǒng)應(yīng)用,2006.vol 2:9-11.

[5]李萬(wàn)才.物聯(lián)網(wǎng)中智能視頻技術(shù)的現(xiàn)狀與分析[J].警察技術(shù), 2010(06).

[6]范紅,邵華,等.物聯(lián)網(wǎng)安全技術(shù)體系研究[J].第26次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集,2011(9):5-8.

2012年度國(guó)家發(fā)展與改革委員會(huì)信息安全專項(xiàng)