原标题：深度解析联网安全存问题及解决方案

　　随着新技术的不断刷新，物联网终是大势所趋。物联网再给人们带来便捷、愉悦的生活的同时，安全问题也不容忽视，如隐私泄漏、数据泄露等。就物联网安全问题，海尔UHomeOS研发总监尹德帅从物联网安全概述、物联网安全需求、物联网安全需求对操作系统要求、UHomeOS安全方案四个方面深度解析当下物联网安全存在的问题及解决方案，下面是具体内容。

　　1. 物联网安全概述

　　1.1. 引言

　　维 基百科对于物联网（Internet of Things）的定义为物联网是将物理设备、车辆、建筑物和一些其它嵌入电子设备、软件、传感器等事物与网络连接起来，使这些对象能够收集和交换数据的网络。物联网允许远端系统通过现有的网络基础设施感知和控制事物，可以将物理世界集成到基于计算机系统的网络世界，从而提高效率、准确性和经济利益。经过二十多年的发展，物联网已经逐步融入到我们的生活中来。从应用于家庭的智能恒温器，智能电灯等设备，到与身体健康相关的智能穿戴设备。每一种智能设备的出现，都大大便利了人们的生活。

　　但是物联网在给人们的生活带来便利的同时，也会给人们带来种种隐忧。许多智能电视带有摄像头和麦克风，即便电视没有打开，入侵智能电视的攻击者可以使用摄像头来监视你和你的家人，可以利用麦克风监 听你和家人的谈话内容。维 基解密近期公布机密文件，表明美国中情局利用三星智能电视漏洞监 听观众对话，突显物联网安全问题的重要性。除此之外攻击者还可以获取对于智能家庭中的灯光系统的访问后，除了可以控制家庭中的灯光外，还可以访问家庭的电力，从而可以增加家庭的电力消耗，导致极大的电费账单。种种安全问题提示人们，在享受物联网带来的方便快捷的同时，也要关注物联网的安全问题。

　　物联网面临的新的挑战包括：

　　（1） 隐私问题日益引起关注和用户困惑。

　　（2） 移动的普遍性使得安全问题变的不可控。

　　（3） 设备数量的巨大使得常规的安全措施捉襟见肘。

　　（4） 大量基于云的操作使得边界安全不太奏效。

　　1.2. 物联网安全与互联网安全的关系

　　物联网是互联网的延伸，因此物联网的安全可以大力借鉴互联网安全，物联网和互联网的关系是密不可分。但是物联网和互联网在体系结构、操作系统、通信协议、系统升级、运维管理、隐私问题、硬件平台多样性、安全环境方面有大量的不同。物联网的安全既构建在互联网的安全上，也有因为其业务环境而具有自身的特点。总的来说，物联网安全和互联网安全的关系体现在：物联网安全不是全新的概念，物联网安全比互联网安全多了感知层，传统互联网的安全机制可以部分应用到物联网，物联网安全比互联网安全更复杂。物联网与互联网对比，见下表：

　　物联网 互联网 体系结构 分为感知层、网络层和应用层 集中在网络层和应用层 操作系统 嵌入式操作系统为主，专为物联网定制的操作系统为辅，例如UHomeOS等 通用操作系统，例如Windows、Linux、MacOS等 通信协议 蓝牙、Wi-Fi、Zigbee及互联网协议 TCP/IP、HTTP/HTTPs、MQTT 系统升级 一些专有系统兼容性差、软硬件升级较困难，一般很少

　　进行系统升级，如需升级可能需要整个系统升级换代 采用通用系统、兼容性较好，软硬件升级较容易，且软件系统升级较频繁 运维管理 不仅关注互联网所关注的问题，还关注对物联网设备远

　　程控制和管理 互联网运维通常关注系统响应、性能 隐私问题 物联网的很多应用都与人们的日常生活相关，其应用过程中需要收集人们的日常生活信息，利用该信息可以直接或者间接地通过连接查询追溯到某个人 用户网络行为、偏好方面的信息 硬件平台 硬件平台复杂多样，形态各异，性能和运算能力差异巨大 平台比较单一，种类较少 安全环境 安全环境复杂，有室内、室外；有静止、运动；有的监控，有的无人监控； 系统大多在受保护的环境中

　　2. 物联网安全需求

　　2.1. 引言

　　物联网新常态下安全的观念和方向都要发生转变。在传统互联网安全领域，我们强调对用户进行强认证，对用户的数据做加密，保障用户在使用PC时的身份安全、应用安全、数据安全。而在万物互联时代，用户却不再是网络的单一主体，而是网络多个设备中一个普通的角色或者终端，每一台设备都产生和传输数据，每一台设备都成为了一个安全实体。如果仍以人员为安全管理的目标和基本单位进行管理，显然安全保障的粒度和强度都不够，已经不符合实际的安全需要，网络安全从人员安全的时代开始转向设备安全的时代。

　　在设备安全的时代，每一台设备都将成为我们关注的目标，例如：每一台设备的接入是否授权，网络通信两端的设备是否彼此应该信任，设备收集到的数据是否能够安全存储和传输，都是需要考虑的新问题。解决这些问题，实际是要从设备的角度来解决身份的认证问题，以及数据的保密性、完整性问题。我们也需要为设备建立一套网络信任体系，将数字证书的发放对象由人扩展到设备，利用加密、签名技术解决设备的强认证、完整、保密问题。

　　2.2. 隐私保护

　　物联网时代对用户而言最关切的问题还有隐私问题。隐私不仅体现在用户在使用设备的过程中，还体现在用户在维修设备时。同传统的设备相比物联网的设备存储有更多用户的私密信息，例如设备存储了用户的包含用户名称和电话号码的账号信息、通话记录、聊天记录、语音记录、采购记录、甚至信用卡信息等等。这些信息一旦泄露会对用户造成不可预计的麻烦和后顾之忧。

　　2.3. 数据安全

　　物联网时代的设备相当大量的设备暴露在没有固定安全保护的环境中，因此对数据安全的要求与传统的数据安全相比具有更苛刻的需求。除了传统的数据保护措施外，物联网时代的数据安全要具有一定的移动性和更高的对数据安全危害的抵御能力。除此之外物联网设备的设备种类复杂多样，运算能力的差异导致在数据安全方案上需匹配多种多样的设备。

　　2.4. 访问控制管理

　　物联网设备的设备另一大属性是同一个设备会有不同的用户，比如空调在家庭中是大家共有的，但每个家庭成员对空调的使用温度是有不同喜好的。另外一个例子是诸如微波炉、电磁炉等设备对儿童而言具有一定的危害性，因此在家庭设备授权方面必须有很好的访问控制管理。

　　2.5. 攻击检测及防御

　　物联网设备的攻击检测及防御同互联网时代的攻击检测及防御相比，具有检测更加困难、防御更加严峻的特性。因为设备的分布性、移动性、多样性及协议的广泛性比以往更加复杂。比如对监控摄像头的攻击由于操作系统的小巧和处于成本考虑使得攻击更加容易，但攻击证据和回溯会更加困难。因此选择与设备的操作系统匹配的攻击防御措施显得十分突出。

　　2.6. 通信安全

　　物联网的通信安全必须能满足多种通信协议要求，而不仅仅是满足以太网或者Wi-Fi通信安全。物联网的通信协议种类繁多，诸如蓝牙、Wi-Fi、ZigBee、zWave等基础通信协议。也有基于之上的CoAP、MQTT、HTTP等等。因此通信安全会更加复杂、通信安全在物联网时代更加严峻。

　　3. 物联网安全需求对操作系统要求

　　3.1. 引言

　　物联网时代的设备与通信属性与传统互联网相比，对操作系统的安全有特殊的需求, 基于对现有一流设备的观察，构建安全设备更多的是一项科学，而非艺术。如果严格遵循众所周知的原则和做法，构建安全设备是可重复的。物联网对所有高安全性联网设备必备的八个属性：基于硬件的信任根、小型可信计算基础、深度防御、分区化、基于证书的身份验证、安全更新和故障报告、防复制机制。

　　3.2. 高可靠高安全系统必备属性

　　信任根是基于硬件的。单纯的操作系统软件对高安全设备而言是远远不够的，硬件的防护可以检测并减缓物理攻击的危害，同时可以防止攻击者重复使用某一攻击手段。

　　可信计算基础是最小化的。可信计算基础的最小化在保证安全操作环境外，暴露给攻击者的机会大大较少。

　　防御是深度的。防御必须是深度多样化的，同时对攻击造成的伤害必须可以采取减缓措施。

　　防护是分区化的。分区由硬件强制边界提供保护，以防止一个软件分区中的缺陷或漏洞传播到系统中的其他软件分区。

　　身份验证是证书化的。证书是使用秘密私钥签名并使用已知公钥验证的身份和授权声明。不同于基于共享机密的密码或其他身份验证机制，证书无法被窃取、伪造或用于验证假冒者身份。

　　安全是可以更新的。即使在设备受到安全威胁后，具有可更新安全性的设备也可以自动更新到更安全的状态。安全威胁不断发展，攻击者不断发现新的攻击媒介。为了应对新兴威胁，必须定期更新设备安全性。在极端情况下，当设备的分区和分层受到零日漏洞的破坏时，较低的分层必须重建并更新系统较高级别的安全性。远程证明和回滚保护可以保证一旦更新，设备就无法恢复到已知的脆弱状态。没有可更新安全性的设备存在潜在的危机。

　　安全是可以审计的。攻击过程和破坏结果是可以记录、可以追踪的，达到事后审计效果。

　　系统影像是不可克隆的。系统不被克隆机制可以用来防止攻击者采用重复的方法获取系统信息，例如密钥信息、密钥机制及算法等。同时也可以防止系统被篡改。

　　4. UHomeOS安全方案

　　UHomeOS除了充分借鉴传统互联网的安全机制外，也充分实现和满足了物联网新的对安全的需求。具体为UHomeOS实现了安全的十大机制，即CPU模型是安全的、产品模型是安全的、认证模型是安全的、量产模型是安全的、售后模型是安全的、工具链模型是安全的、OS自身模型是安全的、信息交换模型是安全的、密钥管理模型是安全的和算法模型是安全的。对于比较重要的安全模型描述如下：

　　4.1. CPU安全模型

　　CPU安全模型包括1）安全启动即CPU启动时，固件通过验证操作系统的签名来保证只有生产者认可的操作系统可以运行；2）防回滚保护即CPU可以防止低软件版本下载和运行，其目的是一旦在操作系统在某一硬件版本入侵成功后，可以通过更改CPU硬件版本来防止入侵进一步发生；3）安全下载，只有生产商认可的操作系统方可以下载到硬件系统中；4）调试接口屏蔽与开启即调试接口可以通过设置来开启和关闭来保证系统的安全性；5）防止复制即操作系统的影像不可以被复制以防止固件系统信息和用户信息泄露；6）硬件系统具备安全模块能力比如硬件ID、硬件随机数发生器、RSA公钥散列发生器等。

　　4.2. 产品安全模型

　　产品安全模型包括1）产品身份识别即每个产品有唯一的识别码；该唯一识别码有助于追踪设备运行状况，防止设备被复制；2）影像防复制机制用来防止设备影像被复制，保护用户数据隐私以及防止操作系统关键代码篡改；3）深度防御机制用来应对各种对操作系统的威胁，即使操作系统一部分受到攻击其他部分应不受影响，同时合适和恰当的措施用来应对攻击；4）安全系统更新即操作系统可以接受不断更新，特别是成功的攻击被发现后，操作系统的安全可更新机制保证系统免遭新的攻击。

　　4.3. 系统量产安全模型

　　系统量产安全模型用来保证1）产线信息安全模型用来保证产线上的信息安全例如产品序列号、MAC信息等；2）产线密钥安全用来保证密钥管理的安全，防止密钥泄露、丢失等。

　　4.4. 售后安全模型

　　售后安全模型指1）售后维修时操作系统信息是安全的、系统不被复制、篡改；2）用户信息安全保证用户在维护设备是用户数据和信息是安全的。

　　4.5. 工具链安全模型

　　工具链安全模型包括1）安全下载即保证只有合法的操作系统影像才能下载到合法的硬件上；2）数据恢复安全保证用户在维修设备时数据得到安全恢复；3）影像安全保证影像不被非法获取和拷贝。

　　5. 结束语

　　物联网仍然在如火如荼的处于快速发展当中，安全机制也会伴随着攻击者的进步而不断进步。新的防攻击机制，新的安全机制也会层出不穷。与此同时在物联网建立起共同的安全机制显得日益需要，因此组建共同的安全联盟是下一步物联网健康发展的推动力。