1、3?1目录02物联网时代即将到来01摘要04物联网安全实践03物联网安全架构的基础06总结05物联网安全生态2.1 华为的“3T+1M”物联网安全视角2.2 物联网安全事件的影响2.3 物联网固有的基本挑战0304044.1 终端设计实践4.2 验证和测试安全实践3.1 在开放、协作和动态的物联网世界中的安全愿景15164.3 隐私保护实践164.4 安全操作和维护实践174.5 最佳安全案例18073. 2 物联网安全架构的关键因素083.3 安全架构蓝图095.1 生态的重要性5.2 协同合作的作用5.3 安全机构及标准化组织6.1 加强物联网安全的方法6.2 结论212222 23232

2、物联网（IoT）实现了虚拟世界和物理世界的融合， 它是面向终端的传感器网络和由互联网技术推动的面向数据的应用之间的重要联结。 物联网基础架构上呈现为地理分布式， 通过各种传感器为人们的日常生活提供无处不在的连接。 传感器可以捕获人们活动相关的各种信息并传递给物联网应用， 这些应用在个人、 群体和社会层面上改善了相关活动的效率， 从而使物联网对我们的世界产生了深远的影响。物联网是物理和虚拟世界的混合， 因此也给人们带来困惑与巨大挑战。 物联网的开放性也一样， 它汇聚了与公共、 私人和社区等实体以及活动相关的信息， 这些信息整合后被用于各种各样的应用。 然而， 在数据采集时， 人们并不完全知道其目

3、的和用途。在现代社会中， 引入物联网应优先考虑物联网相关者的利益， 同时满足其安全和隐私要求。 后者在物联网中至关重要， 其定义了集公共、 私人和社区于一体的开放系统的安全界限。对所有利益相关者而言， 建立和保护物联网安全界限是人们能够信任开放的物联网世界的基础。 因此， 全面而彻底的物联网安全保障至关重要。本白皮书是物联网安全议题构建执行面的第一步。 本文包含如下内容： 描述关键技术， 同时介绍物联网安全挑战的基础知识 ; 介绍物联网安全挑战和构建有效物联网安全架构方法的关键要素 ; 从终端、 网络和平台等方面介绍物联网安全的最佳实践; 概述协作在物联网安全中的作用（例如在标准化机构和社区倡

4、议等方面） ； 列出物联网安全架构流程的重点工作， 为可靠的物联网安全架构工作提供保障和支持。 这些保障和支持包括重点架构、 标准使用和重要生态系统等。华为物联网安全技术白皮书 2017摘要1摘要物联网时代即将到来物联网安全架构的基础物联网安全实践物联网安全生态总结3华为物联网安全技术白皮书 2017顾名思义， 物联网将物理世界的物互相连接， 并将其用于各种应用。 物联网使用传感器来探测物理世界的相关属性， 并使用执行器来控制物理世界的各个组成部分。 正因为其对物理世界具有潜在的直接影响， 所以安全对物联网来说至关重要。物联网终端的资源通常有限， 且很容易受到恶意攻击。 攻击者可以侵入一台物联

5、网终端， 并以此发起对其他物联网终端的攻击。 因此， 对单台物联网终端的入侵可以像传染病一样， 逐渐扩散到成千上万的物联网终端。 攻击者可利用众多受感染的物联网终端所组成的大型网络， 对所有设备使用或依赖的服务或平台发起攻击。物联网安全来自终端、 网络和平台等层面所带来技术挑战，以及以端到端方式整合安全技术的流程挑战。 面对这些挑战， 以下 3 个关键安全技术和 1 个流程能力至关重要：2.1 华为的 “3T+1M” 物联网安全视角31?1. 终端视角： 适度的终端防御能力2. 网络视角： 恶意终端检测和隔离3. 平台视角： 平台及数据的保护4. 流程视角： 安全运营和管理从物联网安全角度而言

6、， 应解决上述所有层面所面临的挑战， 华为正致力于在这些领域为客户提供安全功能， 并支持客户获得所需的安全保障。图 1 华为的 “3T+1M” 安全架构视角物联网时代即将到来2摘要物联网时代即将到来物联网安全架构的基础物联网安全实践物联网安全生态总结42016 年 10 月 20 日， DDoS 攻击者利用恶意软件 Mirai控制物联网设备对互联网域名系统的服务商 Dyn 发起攻击。 众所周知， 域名系统是互联网基础设施的重要组成部分。此次攻击中， 包括 IP 摄像机、 家庭路由器以及其他小型智能终端在内的超过 100000 台物联网终端受 Mirai 指挥对 Dyn 发起攻击1。这次攻击严重

7、影响了互联网服务，导致包括 GitHub、Twitter、 Reddit、 Netflix、 Airbnb 在内的多个知名网站在短时间内无法访问。此外， 恶意软件 Mirai 也曾用于 2016年9月20日针对Krebs on Security网站的DDoS攻击，峰值流量达到 620Gbps。2.2 物联网安全事件的影响2.3 物联网固有的挑战因物联网安全事件而导致的财务损失不容忽视2， 有些情况下甚至可以达到一些组织年收入的 13.4%。物联网设备多是小型设备， 也可能嵌入在较大规模的设备中。 例如， 现代化车辆可能配有多个传感器， 这些传感器嵌入在从制动系统到车辆空调等不同部件内。 除了嵌

8、入式外， 物联网设备也可以是移动的， 或者被放在常人难以触及的偏僻地方。 物联网设备的使用寿命可达到 10 年或更久， 由于长时间暴露在外， 物联网终端暴露在较高的风险之中。 此外， 嵌入式要求限制了可用于加密操作和安全协议的资源， 从而制约了物联网终端的安全能力。由于其分布式的特点， IoT 系统的多个组成部分可能跨越不同地理区域（图 2） 。应用程序： 包含需要安全访问物联网数据或可能需要对物联网设备进行安全管控的应用程序。平台： 物联网系统安全的重要支点， 通常托管于云基础设施，从而利用云安全的现有能力。 它包括最终负责识别、 认证和策略控制的物联网平台。物联网终端在用途、 形态、 硬件

9、能力以及合规方面千差万别。 物联网终端广泛应用于各行各业和各种场景， 从智能电表， 医疗保健， 到汽车行业。 物联网系统的设计必须充分考虑终端和服务的多样性， 然而， 物联网必须容纳大量不同类型终端这一特点与安全设计基本原则是相悖的（即终端需要应对的变数越少， 其就会越安全） 。 所以， 权衡利弊有所取舍是物联网安全架构的重大挑战之一。2.3.1 嵌入式计算2.3.3 实体分布2.3.2 终端差异性物联网安全架构的基础物联网安全实践物联网安全生态总结摘要物联网时代即将到来网络： 通过物联网网关整合客户域中的基础技术设施， 物联网网关屏蔽了客户系统技术上的差异， 还可以作为物联网安全的本地策略点

10、用于执行策略规则等。 根据场景不同，物联网网关可以是物理设备， 也可以是虚拟设备， 比如可以是一种服务托管于云基础设施中。终端： 通过传感器和执行器与物理世界相连。 根据其通信能力， 物联网终端可以直接与物联网平台相连， 也可以通过物联网网关与平台相连。1. 维基百科： Mirai， https:/en.wikipedia.org/wiki/Mirai_(malware)2. 物联网商业新闻： “调查： 近半数使用物联网的美国公司受到安全攻击” ， https:/ 20175如图 2 所示， 这些域和其中的网元被信任边界分隔开来（这是因为这些设备遭受实际攻击的风险程度是不同的） 。 将设备部署

11、在不同位置和地理区域给物联网端到端安全带来挑战。 因为这不仅使连接变得不可靠， 还使跨信任边界的管理流程 （例如密钥撤销等）变得更为复杂。?图 2 物联网的域和信任边界物联网终端面临较大的安全风险（例如篡改行为） ， 但其自身安全能力却有限， 因此， 物联网应始终采取相互认证 （即，所有交互方都应彼此认证） 。 在这个异质且控制松散的生态系统中， 未经过合适的认证， 任何一个网元都不可以假设其它网元所声称的身份是真实的。 这就使得身份验证和信任变得更复杂。 例如， 对于基于证书和公钥 / 私钥的凭证，管理数十亿台设备的证书和密钥 （例如撤销） 是十分困难的。此外， 为了节省资源， 物联网终端可

12、能工作周期较短， 在长时间的空闲时切换到省电模式。 典型的基于角色的授权模式无法识别省电模式下的物联网终端是否已经被攻击者干预。 要想验证设备的完整性， 需要额外的关于该设备的状态信息。 因此， 物联网中的授权应该基于设备不断变化的信息动态调整。在物联网中， 同一数据可能会用在多个场景中， 因而基于单一目的来保护数据这种常见做法在物联网中是不够的。一些场景具有更严格的隐私要求， 对数据关联性（即数据源头、 数据处理动作和数据路径）和数据溯源方面有更多安全方面的关注。 此外， 数据挖掘能力的提升， 使得在物联网中还应考虑元数据的安全性。 例如， 通常情况下， 某人寻医问诊的细节（即元数据）不会包

13、含在其 GPS 跟踪记录中（GPS 跟踪记录由其智能手机记录并可被物联网应用程序访问） 。 但是， 对于其运动模式的关联分析可能会显示此病人正在访问提供特定医疗服务的场所， 从而可以推断出关于其健康状况。 数据聚合分析为数据安全带来巨大挑战， 具体表现在数据收集、 传输以及存储方面。2.3.4 认证和授权2.3.5 数据安全物联网安全架构的基础物联网安全实践物联网安全生态总结摘要物联网时代即将到来华为物联网安全技术白皮书 20176人类社会憧憬在多个领域实现自动化和智能， 让万物具有“意识” ， 变得 “聪明” 起来。 而物联网是促使这些愿景变为现实的重要推动者。 例如， 智能交通的愿景包括提

14、供资源感知的交通能力和促进更有效的端到端交通服务。 每个“智能” 愿景都有多种场景， 有一些甚至都还没有构想出来。但所有场景都必须具有感知和智能的能力。 另一方面， 物联网安全正跨越领域的界限， 所以需要一种端到端的视角。例如冰箱、 烤箱和微波炉等典型的家用电器和加热、 通风2.3.6 灵活性： 事先未知的场景?图 3 跨领域的物联网场景近期的物联网安全事件突显了物联网安全规模的问题。 Dyn 最近遭受的 DDoS 攻击的峰值带宽达到了前所未有的高度，超过了1 Tbps。 而这次 DDoS 攻击只涉及约 120,000 台物联网设备， 只占所有市场预测的几十亿物联网设备的很小一部分。 在防御方

15、面， 大多数 DDoS 清洗中心的容量不超过 8 Tbps。 据统计， DDoS 攻击的平均峰值规模每季度增长 26（即每年大约增加 100） 。 据报道， 超过 100 Gbps 的 DDoS 攻击同比增长 140。 鉴于此仅依赖提升 DDoS 清洗能力来应对攻击似乎不现实3.4。 我们还需要采取其他措施， 而这需要我们重新思考和评估思路、 工具、 方法和流程。2.3.7 攻击规模等家居控制系统， 可同时出现在智能家居和智能电网的场景中。同样， 私家电动汽车也将出现在智能停车、 智能电网和智能车辆的场景里， 甚至可能是同时的， 如图 3 所示。为了确保安全设计的正确性， 对于每个物联网设备和

16、场景，识别出的安全需求都应该与它所在的其他所有场景的安全需求进行交叉检查。 这意味着物联网安全需要一个跨领域协调的框架。当存在多个物联网场景时， 一个场景的安全漏洞可能会影响其他场景。 物联网特定层面的漏洞既可以被纵向 （即， 跨协议层）利用， 也可以被横向（即跨相邻系统）利用。 没有人能预测攻击者可能会对受控的物联网设备下达的所有指令。 因此， 物联网安全架构的一个重要设计原则就是多层次的保护措施。 当需要操作数百万台设备（例如， 跨越多个城市的智能电表） ， 手动干预就变得不切实际了 。 因此， 大规模的操作自动化对物联网安全至关重要。物联网安全架构的基础物联网安全实践物联网安全生态总结摘

17、要物联网时代即将到来3. Akamai 季度安全报告， 2016 年第四季度， https:/ Verisign DDoS 趋势报告， 2016 年第四季度， http:/ 20177许多物联网系统是开放式的， 并且包含不同供应商提供的组件。 在多数情况下， 这种开放性和可扩展性可以为物联网带来巨大潜在价值。然而， 正因为平台、 通信网络和网关以及众多可用的终端设备可能来自不同的供应商， 在所有场景中使用统一的安全系统具有很大挑战。 因此， 十分重要的一点是， 我们需要考虑在整个系统中做些什么来实现良好的安全基础功能和灵活的高级安全功能， 怎么做才能最大限度地保护这个灵活、 开放的系统。 有许

18、多安全增强技术可用来帮助提高总体安全性， 例如通用平台和设备的重要关键模块、安全的操作系统和可靠的网元， 这些可以使整个生态系统达到一个基本的安全水平， 以便不同的供应商可以在此基础上进一步提升其安全性。 通过提供这些重要关键安全模块，华为与合作伙伴密切合作， 为整个行业带来更多安全可靠的解决方案， 从而满足我们的客户需求。只有通过合作和建立伙伴关系， 才能保护这个庞大而复杂的环境。 合作伙伴需要在开发、 验证、 部署和运营的整个生命周期中协同合作。 因此， 我们为物联网安全策略设计一个灵活的框架， 与合作伙伴密切合作， 使能、 授权并合力构建完整、 灵活、 甚至可扩展的端到端解决方案。华为正

19、在通过OpenLab 计划促进合作伙伴协作， 与合作伙伴和客户一起构建并验证完整、 安全的解决方案， 这超出了技术本身。此外， 要时刻谨记物联网场景可以是极其动态变化的。 可能随时添加新设备， 这些设备使用的组件、 供应商和平台也不尽相同。 有些设备可能不如其他设备那样功能可靠， 所以必须假设物联网生态系统的某些组成部分在未来可能会被攻破。 因此， 我们需要考虑到这个活力十足但又危险重重的环境来设计安全措施和控制方法。 必须不断的检测和评估， 在必要的情况下， 根据安全保障的要求和风险状况的变化， 适配和更新安全保护措施。 我们通过动态安全防范策略进行调控， 在保护措施、 增强检测能力和安全响

20、应之间进行不断的迭代。 以下章节介绍华为如何支撑其物联网安全愿景， 分享架构视角， 讨论关键技术， 并指出重要的最佳实践。3.1 在开放、 协作和动态的物联网世界中的安全愿景物联网安全架构的基础3?物联网安全架构的基础物联网安全实践物联网安全生态总结摘要物联网时代即将到来华为物联网安全技术白皮书 201783.2 物联网安全架构的关键因素 使用标准： 标准来自于诸多利益相关方的安全知识和专业知识， 因此是架构设计的成本效益部分； 最佳实践： 物联网安全需与 IT 安全（例如多层防御、 隔离、 最小权限等）保持一致， 并复用其标准和实践， 这样有助于更专注应对和解决物联网固有的安全挑战。监管是有

21、序管理物联网安全架构的方法， 被监管的安全架构方法， 可通过威胁分析和建模来支持不同的安全优先级。 威胁分析： 在威胁分析中， 针对可能会对系统产生负面影响的行为进行识别和分析， 关注其发生概率并考虑其后果。 因此， 在量化安全相关事件的可能性时需要采用系统的方法。此外物联网场景可能会共享设备、 数据和3.2.1 方法3.2.2 监管攻击者相关信息的系统分析；攻击者最大可能的攻击向量列表；攻击者所针对的设备列表。服务， 为了解决跨领域等问题， 我们必须采取条理清晰的威胁分析方法； 威胁建模： 威胁建模是识别系统潜在攻击者类别， 然后针对每个攻击者类别， 识别、 枚举和排列潜在威胁的优先级（从相

22、应的攻击者的角度来看） 。 威胁建模的目的在于将以下关键的安全信息提供给系统利益相关方（例如系统开发人员、 系统运营商等） ：然而， 物联网中所有供应商的安全设计能力成熟度不一，可能无法在威胁分析、 威胁建模能力和使用程度上达到相同的水平。 例如， 一些物联网供应商可能缺乏安全资源或面临市场因素， 迫使他们在设计中更多地考虑功能特性，而不是安全。 物联网安全架构的基础物联网安全实践物联网安全生态总结物联网包含了众多应用场景， 需要物联网安全架构提供多种不同的设计。 然而， 物联网安全有效的方法应以良好的准则为基础。摘要物联网时代即将到来华为物联网安全技术白皮书 201793.3 安全架构蓝图物

23、联网涉及多个利益相关方， 例如设备制造商、 服务提供商、 网络运营商和应用开发者。 为确保物联网安全不被忽视以及避免处理不当， 物联网利益相关方之间的协作应遵循安全业务框架。 构建物联网安全架构的管理和审计， 可使物联网设备在其整个生命周期内安全问题可控， 如图 4 所示： 在设计、 开发、 测试、 认证等环节的整个生产过程中， 针对供应链和生产的风险注入进行全面管理和控制。 基于标准 IT 安全实践的工具可以根据风险状况， 复用于物联网设备的生产阶段； 通过管理软件更新和漏洞补丁方式， 在运维（注册、 更新等）中进行总体管控、 治理以及风险暴露。 相应的措施包括通过渗透测试等方式， 验证部署

24、的安全措施， 以及评估 CERT 等所在组织对安全事件的响应能力； 在即将退市阶段（例如， 用于监测风险等） 。3.3.1 业务框架安全治理提供了一种针对物联网设备的涵盖所有处理流程、 利益相关方和生命周期的整体安全性可视可控的方法。 审计能够实现物联网流程、 设备等安全事项的合规和验证。?图 4 物联网安全业务架构物联网安全架构的基础物联网安全实践物联网安全生态总结摘要物联网时代即将到来华为物联网安全技术白皮书 201710物联网安全架构设计需要构建安全能力来解决以下类型的安全威胁： 系统完整性的破坏： 如果某些系统组件被篡改， 系统将无法按设计运行。 破坏系统完整性的典型方法是在系统中植入

25、恶意软件， 从而对系统安全造成持续的威胁； 系统入侵： 攻击者突破边界保护和身份认证机制， 利用系统漏洞或使用其他攻击手段侵入系统。 然后， 攻击者恶意使用系统资源， 破坏系统数据或进程， 或者窃取重要的系统数据； 恶意滥用权限： 用户或进程利用系统漏洞发起越权等攻击， 以获得未经授权的访问权限， 由此产生的特权滥用， 并对系统安全造成严重威胁； 数据安全的威胁： 是指数据完整性、 机密性和可用性的威胁以及对隐私信息的威胁（披露或未经授权使用隐私信息） ； 网络服务攻击引起的业务中断： 攻击者攻击系统提供的网络服务， 导致系统无法正常提供网络服务。物联网威胁普遍存在于物联网基础设施中从终端到云

26、平台的各个部分， 华为为这些遭受威胁的部分提供安全能力保障， 例如物联网终端操作系统。 华为物联网安全解决方案系统包括以下部分：1. 物联网终端侧（例如传感器和执行器等） ： 提供检测和控制物理环境的设备；2. 物联网网络侧： 利用 IoT 领域的通信技术（例如 NFC、 IEEE 802.15.4 和 ModBus 等） ， 收集和处理传感器数据， 同时连接到下文所述的物联网平台。 网络侧的物联网网关可作为本地策略执行设备。 蜂窝移动网等底层网络保障域间安全数据交换， 并提供防攻击服务；3. 物联网平台侧： 提供连接管理、 数据管理和业务使能功能；4. 安全运维和管理： 包括安全运维、 定期

27、物联网安全评估、 安全报告和基于最佳实践策略自动识别安全事件。3.3.2 威胁类别3.3.3 “3T+1M” 安全架构物联网安全架构的基础物联网安全实践物联网安全生态总结摘要物联网时代即将到来华为物联网安全技术白皮书 2017113?“3 T+1 M”?1?图 5 华为物联网安全架构如图 5 所示， 为了应对上述威胁， 华为物联网安全 “3T（技术）+1M（管理） ” 纵深防御体系架构涵盖了端管云及平台数据隐私安全保护， 同时加上端到端安全管控与运维， 多道防线， 纵深防御。终端适度防攻击能力（1T） ：物联网终端应具备适度防攻击能力。资源（内存， 存储，CPU 等）受限的终端提供基础安全，

28、工业控制终端提供 X.509 认证与签名安全， 关键业务终端提供高级安全能力。作为安全防御的第一道防线。基础安全为必须满足基本认证和加密传输能力， 高级安全提供可信， 防入侵保护能力， 远程安全管理等， 部署华为LiteOS 可采用高级安全功能， 在 NB-IoT 场景下华为提供应用层传输可采用的优化标准 DTLS等加密方法。 此外，提供华为物联网终端安全技术规范、 华为物联网终端安全测试用例及黑盒测试工具保证不同终端接入安全。恶意终端检测与隔离（1T） ：网络管道侧提供防海量终端浪涌式风暴， NB-IoT 场景无线连接时遵从 3GPP 相关安全标准提供鉴权与完整性检查， 有 IoT 网关场景

29、还包括 IOT 网关安全传输、 协议识别、入侵检测等安全能力， 可视化安全分析与管理。 云化下， 提供边界物理和虚拟化基础设施安全保护， 物联协议识别与过滤， 黑白名单等， 构建云原生的安全组件 DFW, VSG, WAF 进行网络隔离和响应。恶意终端检测与隔离由平台设备管理提供， 大数据机器学习分析系统， 业务， 事件， 用户，设备行为进行可视化快速检测和隔离恶意攻击。 此作成安全防御的第二道防线。平台与数据保护（1T） ：云端平台及数据防护安全能力。 包括数据存储、 处理、 传输、开放等。数据隐私保护， 数据生命周期管理， 数据的 API安全授权， 租户数据隔离等。 采用云原生安全及大数据

30、安全技术保护云平台不受恶意攻击及对敏感数据隐私保护， 满足欧洲数据隐私合规要求。此作为安全防御的第三道防线。安全管控与运维（1M） ：智能化安全态势感知、 日常 IoT 安全评估及运维安全报告、最佳实践策略自动识别安全事件。 为物联网运维管理人员提供安全指导和丰富的安全巡检工具， 该层面的安全防御支持标准操作流程。物联网安全架构的基础物联网安全实践物联网安全生态总结摘要物联网时代即将到来华为物联网安全技术白皮书 201712作为完整安全解决方案， 安全的操作系统必不可少， 通常轻量化的 IoT OS 调度机制中， 不区分用户态和内核态， 使用统一的内存空间， 所有应用和内核均运行在特权模式。系

31、统服务将会面临众多不确定的安全隐患。 如果使用轻量级安全 OS 的隔离机制， 使得用户态与内核态隔离、 应用与应用隔离， 并支持内核内存保护机制， 及内核隔离调度机制， 那么业务系统的可靠性与安全性都会得到极大提高。安全 OS 通过内存管理重新进行合理布局， 使得内核空间和应用空间分离； 并采用 Syscall 机制实现内核态和用户?342?1图 6 终端安全功能态权限分离， 通过 VM 实现不同应用之间的权限保护； 基于 MPU 或 MMU 来提供给用户可配置的内存保护接口。具体安全保护措施包括： 设计合理的内存布局； 区分内核态和用户态； 应用进程之间进行隔离； 提供内存保护接口。物理攻击

32、一直以来都是一种传统且流行的攻击方式。 在网络场景中， 例如物联网， 终端的漏洞会成为整个网络的弱点。针对物联网的攻击可能会导致严重后果， 包括品牌信誉受损、 资产损毁（例如黑客控制了车辆）甚至威胁生命（例如在智能健康场景中） 。 为此， 华为为物联网终端提供全面的保护， 如图 6 所示： 安全内核提供基础安全功能， 例如安全启动利用了芯片组安全数据存储功能；3.3.4 终端适度防攻击能力 协议内核保障通信协议的安全， 例如 3GPP AKA 认证和 DoS 攻击防御； 应用内核提供端到端会话安全， 例如基于 DTLS/PSK的会话安全， 尤其是为节省电力而延长休眠时间的物联网终端提供安全保障

33、。物联网安全架构的基础物联网安全实践物联网安全生态总结摘要物联网时代即将到来华为物联网安全技术白皮书 201713如图 7 所示， 通过轻量级隔离机制实现的安全区是操作系统的安全保障。 应用可借助内存保护单元创建基于安全区的独立的应用安全域。 安全 OS 建立的轻量级隔离机制主要特性体现在以下方面： 安全访问控制： 沙盒与沙盒之间的相互隔离， 安全访问通道的建立使用， 恶意代码非法访问的有效管控； 安全核： 为固件更新（FOTA） 、 安全存储、 密钥管理、 加解密、 设备 ID 等提供安全保护基础。物联网网络层负责接入和传输， 有多种接入方式， 例如包括 Wi-Fi、 ZigBee、蓝牙和红

34、外线等方式的无线短程接入， 用于移动通信网络的无线远程接入和有线网络接入。网络层包括核心网络， 通常是 IP 网络， 同时也是物联网信息和数据的传输层， 在设备层收集的数据通过网络层传输到 IoT 平台和应用层处理。网络层面临的主要安全威胁： 在物联网中如果数据传输未加密或者完整性校验未执行， 通信内容有可能被窃听或篡改； 某些物联网协议在认证方法上可能有缺陷， 攻击者可利用此类缺陷侵入物联网；由此安全 OS 能够提供可信的身份认证、 安全的固件更新、 Internet 服务访问权限管控和加解密及密钥管理等功能。3.3.5 恶意终端检测和隔离?图 7 设备安全保护措施 大量终端的恶意攻击行为，

35、 比如 DDoS 攻击。从物联网网络自身安全角度， 保障网络层通信安全的主要措施包括： 对终端和远程系统之间的通信进行加密和认证； 使用白名单和黑名单策略控制数据流； 修复特定协议的缺点或缺陷； 隔离网段。物联网安全架构的基础物联网安全实践物联网安全生态总结摘要物联网时代即将到来华为物联网安全技术白皮书 201714同时为了应对物联网海量终端的接入安全， 需要通过 IoT 平台与网络侧协同， 共同构建基于恶意终端检测与隔离的网络安全机制， 通过对终端恶意行为的快速检测、 判断和迅速隔离， 来保障物联网整体安全。 这些恶意行为的检测与隔离的安全机制包括但不限于：1. 双向认证： 终端与 IoT

36、平台之间进行基于证书的相互认证， 并只允许与白名单终端进行通信；2. 轻量级加密： 在物联网终端和网关上使用轻量级算法， 以减少内存和存储资源的消耗， 检测隔离非加密终端接入；3. 安全隧道： 使用 TLS 和 IPSec 等 VPN 技术加密通信数据并校验通信完整性， 检测出非法终端接入行为；4. 流量检测： 识别和分析物联网协议并处理流量， 通过流量异常分析， 快速检测出终端的恶意行为；5. 行为异常检测： 通过大数据或机器学习等方法， 分析终端行为模式和数据相关性， 从而快速检测恶意终端入侵行为。3.3.6 平台和数据的保护物联网设备的访问和管理安全最基本的安全要求是物联网设备（如终端、

37、 网关等）能够安全访问物联网平台。 在生产环节， 为每个物联网终端预置了唯一的标识和认证凭据。 认证凭据可以基于共享密钥、数字证书或其他技术解决方案， 且必须受到保护以防被篡改（例如未经授权的私钥复制） ， 从而确保每个物联网设备都能被正确识别。 为了确保物联网设备和物联网云平台之间传输的数据的机密性和完整性， 应该使用用于安全传输的标准协议 （例如 TLS 和 DTLS） 。 然而， 在某些场景中，物联网设备的资源限制可能会阻碍标准安全协议的使用。个人数据和隐私保护由物联网设备收集并传输到物联网云平台的数据可能会受到隐私相关的约束（例如欧盟数据保护条例，即GDPR） 。 根据使用场景和最小权

38、限原则， 收集和传输个人或隐私数据需提供明确的个人数据和隐私声明以及提前获得授权， 数据所有者有权随时撤销其授权。敏感数据必须加密存储， 且数据所有者有权定义数据留存期， 在数据留存期满后， 数据应被及时删除。物联网安全架构的基础物联网安全实践物联网安全生态总结摘要物联网时代即将到来华为物联网安全技术白皮书 201715物联网安全实践4IoT 的安全问题可以通过参考和借鉴信息技术安全领域的相关实践来解决。 对于实践的借鉴需要贯穿物联网服务整个生命周期过程， 从研究设计到市场中的部署以及交付后的运维， 每个生命周期节点均需融入对应的安全实践。 风险评估、 威胁分析和影响分析作为安全场景基础， 将

39、为终端安全设计决策提供参考。 这是因为场景需求在很大程度上决定了物联网终端所受到的限制， 例如处理能力、 存储限制、 能耗等。成本考虑使得在物联网终端设计决策中，不可避免的削弱了终端的安全能力。 因此， IoT 终端设计上需要综合考虑其处理能力、 内存资源、 成本、 功耗、 角色等，满足与之相对应的适度防御能力， 华为将为之提供物联网终端安全设计规范 ， 给合作伙伴提供相应的终端安全设计指导。终端适度安全防御能力设计原则：1. 弱终端类： 需要满足基本安全要求， 同时兼顾计算能力和成本， 比如 DTLS、 双向认证、 密码管理、 远程升级等；这类终端处理能力弱、 内存资源有限、 成本功耗敏感，

40、典型类别包括水电气表、 停车车检器、 农业传感器、 宠物追踪设备等；2. 强终端 / 网关类： 除了满足基本安全要求， 还需要满足增强安全要求， 重点关注自身安全和攻击影响， 比如安全启动、 系统加固、 TPM/TEE、 病毒防护、 端口加固等；这类终端处理能力较强， 通常自带嵌入式操作系统， 在IoT 网络中角色通常较为关键且受攻击后影响较大， 典型类别包括车联网终端、 家庭物联网关、 工业控制网关、摄像头、 人机交互终端等。根据华为物联网终端安全设计规范 ， 终端安全设计应侧重于以下几个方面： 传输安全： 聚焦于传输协议保护， 包括 DTLS/+、 PSK、协议防攻击和传输加密等； 物理安

41、全 ： 根据使用场景， 可能需要考虑防水、 防尘、 散热、电磁干扰、 定位、 物理损坏或破坏等； 数据安全： 确保静态数据、 内存中数据以及被传输数据的保密性、 完整性和可用性；4.1 终端设计实践 系统安全： 包括身份标识和认证、 访问控制、 审核、 安全软件（包括固件） 更新、 软件安全、 漏洞扫描、 安全启动、安全存储、 接口安全等； 访问安全： 在网络侧部署安全保护措施， 包括访问认证、访问控制、 防御措施、 异常监控与隔离等； 日志保护： 实现物联网终端日志记录和日志审计保护， 包括日志保护、 安全事件告警、 敏感信息更新记录和审计记录等； 应用安全： 包括 APP 认证、 应用敏感

42、数据访问认证、 互操作权限管理和访问权限控制等； 隐私保护： 保护物联网个人数据或敏感数据， 满足所有国家和行业的隐私合规要求， 并在这些物联网终端上应用数据销毁和加密存储机制。此外， 华为除了提供 IoT 终端安全设计规范外， 还通过提供物联网芯片和集成 LiteOS 安全能力开放， 帮助合作伙伴构筑终端适度防御能力。比如，华为的 NB-IoT 芯片Boudica 能提供 DTLS/+、 FOTA、双向认证等基础安全能力。物联网安全架构的基础物联网安全实践物联网安全生态总结摘要物联网时代即将到来华为物联网安全技术白皮书 201716物联网终端研发完成并执行了相应的安全实践后， 还需要对其安全

43、性进行测试与验证， 包括但不限于以下方面： 硬件检视和操作测试； 网络流量分析； 接口安全分析； 对认证和默认配置的缺陷进行验证； 服务和输入测试， 以检查对 DoS 和 Fuzzing 攻击的防御； 在实际场景中对备份和恢复过程进行验证； 对更新机制以及固件和软件的完整性校验进行测试； 运行环境中的法规遵从。隐私和数据保护物联网海量数据和隐私保护重点在于物联网平台， 不同的物联网应用具有不同的隐私要求。 华为物联网平台支持根据应用场景定制不同的应用隐私策略， 例如， 智能家居应用的隐私要求与智能抄表应用的隐私要求是不同的， 因而必须采取适当的隐私控制措施。4.2 验证和测试安全实践4.3 隐

44、私保护实践虽然遵守安全标准对终端级安全非常重要， 但与合作伙伴在物联网验证和测试方面协同合作才是最佳实践。 在安全标准方面， 华为一直遵循 3GPP 和 GSMA 安全规范。 作为行业解决方案的领导者， 华为正与垂直行业的合作伙伴共同开发一系列规范， 以确保物联网生态系统的安全。 同时， 华为通过 OpenLab 为合作伙伴提供物联网解决方案安全测试和验证。OpenLab 是华为提供的开放实验室， 助力合作伙伴进行端到端的物联网系统集成和验证。为了验证相关的安全标准和规范是否已经成功应用到设计和研发阶段， 华为在 OpenLab 中对各个物联网产品的安全性进行测试。 华为的 OpenLab可以

45、全面真实地模拟实际的物联网环境，并已经被华为和合作伙伴用在诸多物联网场景（例如智能计量、 智能水务等）的技术验证中。 它还支持通过模拟常见的物联网攻击（例如物理攻击、 DDoS 攻击等）来进行物联网安全测试和验证。 为了帮助合作伙伴构建物联网终端适度防御能力， 构建健康的物联网安全生态系统， 华为OpenLab 还将为合作伙伴提供针对物联网终端的黑盒测试和验证服务。物联网安全架构的基础物联网安全实践物联网安全生态总结摘要物联网时代即将到来华为物联网安全技术白皮书 201717为了解决运维安全所面临的问题和相关需求， 华为提出了构建端到端的全方位安全运维解决方案， 全面保证网络运维的安全性。 该

46、解决方案重点构筑人工运维、 基本运维和基于云端的智能运维的安全能力（图 8） 。确保安全运维的实践主要体现在以下三个方面：面向运维人员的端到端的标准操作流程（SOP） 。安全运维的关键要素在于人， 为运维人员制定端到端的标准操作流程尤为重要， 这可以确保日常物联网运维的安全。标准操作流程保障不同行业的所有物联网应用的安全性，包括运营商和各种垂直行业（例如车联网、 计量、 物流和制4.4 安全操作和维护实践?图 8 华为运维安全框架 支持接入网关的双向安全身份认证 支持终端内置唯一安全令牌或内置证书和私钥， 向 IoT 安全运维中心验证 支持基于网关的主动注册和被动查询， 确保感知范围可控 支持

47、独立 TLS 协议或网关代理 TLS 协议， 确保网络连接隧道安全 支持 OTA 更新， 能够为任何位置的所有设备 / 网关提供实时更新， 失败自动回退 支持规则引擎， 制定复杂和灵活的任务， 能够精确地定义时间、 地点和事件等 支持远程诊断调试， 包括重启和出厂设置恢复等功能 支持状态报告和查询 支持安全启动和可信计算远程验证 支持日志发送至云端审核功能造等） ， 因此需要针对各行业的特点， 制定适配于该行业的安全运维规范。 运维操作流程的内容制定应覆盖终端认证、 安装交付、 现场运维、 后台支持、 应用定制开发、 应急保障等端到端的流程。构建系统侧安全运维的基本能力1. 远程配置安全物联网

48、安全架构的基础物联网安全实践物联网安全生态总结摘要物联网时代即将到来华为物联网安全技术白皮书 201718随着物联网智能水表技术的发展和窄带物联网的应用， 水系统行业正从人工抄表发展为远程智能抄表。 通过自动抄表， 水务公司可以更加智能地管理抄表。 智能水表计算能力有限 （通常安装单片机） ， 功耗要求极高 （要求电池可以供电 6 年以上） ，且数据计量易受外界影响。 因此， 为确保物联网安全， 应保证网络数据传输的安全， 优先采用轻型安全协议和算法， 并考虑其对终端能耗的影响。4.5.1 智能水表?图 9 华为 E2E NB-IoT 智能水表系统的安全框架 支持下载软件完整性校验的远程验证

49、支持运行软件的数字证书白名单 支持下载中心的认证和白名单 支持分权分域的 RBAC 访问控制模型 支持 SSO 统一认证 支持多级 CA 认证中心 支持基于不同角色使用不同证书的校验 支持统一的 IoT 安全运维中心 支持为每个安全密钥定制访问策略2. 授权软件下载3. 管理员身份认证4. 统一安全平台构建云端侧智能安全态势感知和威胁分析的能力IoT 安全的关键在于终端和平台， 因此云端平台侧的安全能力对于整个物联网系统的安全运维和管控至关重要。 在云端侧构建强大的安全态势感知和威胁分析工具， 对于构筑整个物联网端到端的安全能力， 具有重要意义。 这些安全预警和测试功能包括： CIS 大数据威

50、胁分析、 日常安全评估与运维报告、 自动安全态势感知、 安全实践识别、 终端安全生命周期管理、 安全监控与审计等。4.5 最佳安全案例针对智能水表系统， 华为提出了一套 NB-IoT 智能水表系统解决方案。 就网络层安全性而言， 所有用户数据都通过非接入层（NAS） 发送， 并且通过基于 3GPP 的物联网终端和核心网络确保加密 / 完整性保护。 应用层安全性， 则通过数据包传输层 支持流数据分析， 统一呈现业务仪表盘， 预测剩余使用寿命等 设备注册管理， 全面掌控全网设备的使用情况， 进行生命周期管理 安全态势感知， 能够对全网实时监控和基础设施分析来识别异常 日志审核， 定时分析终端日志是