基于测试的可穿戴设备风险评估和安全认证

◎南京海关工业产品检测中心 封亚辉 王亚春 戴东情

◎中国网络安全审查技术与认证中心 毛圣兵

如今，安全问题是大规模可穿戴设备部署的最大障碍之一。可穿戴设备制造商正与标准化组织合作，打造下一代更安全、更标准化的智能穿戴物品，但安全方面的认证仍是一个悬而未决的问题。一个合适的安全认证计划将有助于评估和比较不同的安全技术，以便为最终用户提供一个更加协调的可穿戴安全环境。事实上，欧洲网络安全组织第一工作组正致力于标准化、认证、标记和供应链管理，为安全标准和认证的发展制定路线图。然而，可穿戴设备安全的适当风险评估和认证方法必须克服这种模式固有的各方面障碍。一方面，设备和产品高度的多样性和异质性与安全方面的客观需求相冲突。另一方面，由于典型可穿戴设备环境的动态性，认证方法必须考虑到产品在这些变化的条件下运行的各种情况。因此，需要创建自我评估方案并改进自动化环境的测试方法，以确保产品具有适合于使用环境的最低安全级别。此外，该方法必须满足可穿戴市场的业务需求并能以用户理解的方式传达结果。

为了应对这些挑战，本文提出了一种可穿戴设备安全认证方法，该方法基于两个构建模块：风险评估和测试，其最终目标是在特定协议和环境中标记设备的安全性。

一、可穿戴设备安全评估

可穿戴设备的安全性经常被忽视，或者被可穿戴设备制造商当作事后因素考虑。可穿戴设备上市时间短，产品开发成本降低加快了设备的设计和开发过程。即使有少数设备支持某些保护也通常选择使用软件级别的解决方案，比如固件签名。然而，将注意力集中在基于软件的保护方案上常常会使硬件在无意中变得脆弱(例如，调试接口打开)，从而导致新的攻击。

（一）安全目标：CIA安全模型

安全三元组是一种用于开发安全机制的杰出模型，它利用三个主要领域来实现安全，即数据机密性、完整性和可用性。

数据机密性是指通过使用不同的机制向用户提供敏感信息的保密措施，从而防止其泄露给未经授权的一方，并且仅被授权用户拥有访问这些敏感信息的能力。数据机密性通常通过数据信息加密或系统访问控制等不同方式实现。

数据完整性是指通过一些常见的方法，如数据完整性算法来防止数据修改，从而保护有用的信息不受网络犯罪分子、数据传输以及休息期间的外部干扰。

数据的可用性确保了被授权方在任何情况下都能够立即访问其信息资源。对于DoS攻击等未被授权的访问，系统会拒绝其访问信息资源。最著名的保护可用性的机制是：防火墙、IDS和冗余方法。

图1 CIA安全模型

（二）安全风险评估方法：CVSS

如今，可穿戴设备的安全问题越来越受到人们的关注，面对种类繁杂的可穿戴设备以及存在的复杂多变的安全漏洞，可穿戴设备的测试管理人员需要更好地对不同环境中的可穿戴设备的安全风险作出合适的安全风险评估。

CVSS是一个自由和开放的行业标准，用于评估计算机系统安全漏洞的严重性。它使用统一的语言对不同的漏洞进行严重性评分，允许管理人员根据具体的风险对响应和资源进行优先级排序。CVSS的严重性得分是根据基本评估、时效性评估以及环境评估这三个指标计算得出的一个0到10之间的数字。

（1）基本评估

基本评估由可利用性和影响程度两组指标组成。可利用性是评估漏洞如何被访问以及访问时是否需要额外的条件，包括三个指标：访问途径、访问复杂性以及身份验证。影响程度是评估当某个安全漏洞被恶意利用后对信息的机密性、完整性和可用性的影响。

（2）时效性评估

时效性评估是指在安全风险评估过程中可能与时间有一定联系的属性，时效性评估作为CVSS的可选指标之一，并不会影响安全风险的最终得分。时效性评估的指标包括漏洞的可用性、漏洞修补的安全程度以及安全报告的可信度。

（3）环境评估

安全漏洞对可穿戴产品带来的危害和经济损失程度因使用环境的不同而不同。环境评估也是CVSS的可选指标，不影响安全风险的最终评分。

在安全风险评估的三个指标中，只有基本评估指标是必选指标，一旦计算出基本评估指标，安全风险就会根据解决方案的有效性进行排序，从而更好地解决安全问题。现阶段解决安全漏洞问题的主要难点包括以下两方面：

（1）硬件不安全和常见的应用漏洞已经有很多成熟的解决方案。然而这些解决方案的适用性与设备制造商或软件开发人员的产品开发方式有关。

（2）缺乏轻量级的反恶意软件和DoS攻击问题解决方案，虽然现阶段能给出一个严重性评分，但解决方案很少。

二、可穿戴安全认证架构

本方案的目标是为大型可穿戴项目提供对设备安全风险与用户信任度的测试和认证的技术解决方案，使用升级的云测试平台，为安全风险与信任度测试配备适当的设备。该认证和风险评估的整体过程将基于测试的安全风险评估与基于风险的安全测试相结合。

可穿戴设备安全风险评估与认证方案总体架构如图2所示，总体可分为四个阶段：漏洞识别、分析环境、安全评估、认证及标记。第一个阶段是漏洞识别，它对可穿戴环境进行分析，以便在可穿戴系统中建立一个安全风险数据库。第二阶段是分析环境阶段，包括理解业务、监管环境以及分析每种环境中需要的安全级别。第三阶段是安全评估阶段，这一阶段包括安全风险评估(本文的主要主题)和安全测试。第四阶段是认证与标记阶段，主要利用从测试中收集的数据，结合获得的配置文件以及认证过程生成的标签，帮助用户了解评估目标的安全级别。

此外，图2是为了建立管理视角与外部控制模块，从而做到分析和改进过程中相关信息以及提供额外的技术支持。

（一）漏洞识别

漏洞识别阶段主要目的是分析可穿戴设备环境，根据已有的安全漏洞建立合适的安全风险数据库，分为以下两个步骤：

（1）从当前可穿戴文献中提取引用最多的一些安全方面的漏洞。

（2）将这些漏洞与通用漏洞进行映射并将它们分组为更普遍的适用于可穿戴的安全风险，目的是使用一个简单的标签以压缩的方式反映所有安全维度。

（二）分析环境

分析环境阶段进行风险分析，确定在一个特定的使用环境中需要的安全级别。在这一过程中，我们采用的方法是将环境变量添加到标签，例如，在健康方面的应用中，保密性和可用性可以被认为是两个非常重要的安全属性，在智能家居中不那么重要。健康应用方面的保密性比智能家居方面的保密性更重要这一特征将反映在相关的配置文件中。

在这个阶段的分析中定义了几个配置文件（如A，B，C，D），在获取每个配置文件时，评估目标必须达到相应的安全级别，例如，如果设备想要获得A配置文件，它需要一个低风险的安全级别。值得注意的是，如果一个设备满足一个特定的配置文件，它也满足较低的配置文件，所以如果一个设备满足一个A配置文件，它也满足B、C、D配置文件。

（三）安全评估

根据漏洞识别阶段提取的漏洞能够确定可穿戴设备在特定应用场景的潜在漏洞。如果某个漏洞不能被恶意利用，则被默认标记为低风险。安全评估阶段旨在提供不同的测试结果来作为认证计划的基准，并提供与漏洞相关的风险标记，以便能够比较不同场景带来的不同安全风险，并通过安全认证阶段获得最终的安全标签。在安全风险评估中，分为三个阶段：

（1）风险识别：使用漏洞识别阶段识别的一般漏洞作为输入。根据评估目标选择将被测试的漏洞。

（2）风险评估：每个漏洞分配一个风险标记。利用安全测试阶段获得的默认值和测试结果，通过CVSS机制来评估安全风险漏洞的风险等级。

（3）风险评估：将风险评估的结果与分析环境阶段所考虑的安全等级进行比较。

安全测试阶段的主要目的是测试可穿戴设备的风险等级。它包括三个阶段：

（1）测试设计和实现：这个阶段的目标是设计一个测试套件来获得安全性度量，并在风险评估中使用这个测试套件来测试每个漏洞的风险等级。

（2）测试环境的建立和维护：在这一过程中利用测试适配器提供测试套件的执行环境并将生成的测试代码与不同的可穿戴设备相适应。

（3）测试执行、分析和总结：这一阶段执行前一阶段设计的测试并从执行过程中收集与测试结果相关的信息以及与一些指标相关的信息。

图2 认证过程概览

（四）安全认证

安全认证阶段完成可穿戴设备的安全认证并生成多维安全标签，标签中主要考虑两个方面：

（1）评估目标：评估目标被定义为一组可能伴有引导的软件、固件或硬件。另外，评估目标还包括测试过的协议和测试过的环境。

（2）安全级别：安全级别与测试场景相关的风险有关。

由于安全需求实际上是多维的，因此评估的结果需要以适当的形式传达给用户。除了评估目标之外，标签还包括每个通用漏洞的配置文件以便为用户提供更多的信息。例如，如果使用算术函数将这些标记组合在一起，那么保密性上的一个坏标记可以用身份验证上的一个好标记来补偿。为了使标签更直观，可以使用一个八边形来表示，其中的顶点是8个常见的漏洞，图3中展示了智能手环中的多维标签。

图3 智能手环中CoAP和CoAPs分别获得的多维标签

三、关键问题与未来发展方向

从可穿戴设备安全认证的整体流程可以看出可穿戴设备的风险评估主要存在以下问题：

（1）可穿戴设备的安全风险呈现出复杂多态的安全状况。

可穿戴设备安全问题暴露出来的难点主要有两点：一是感知设备与海量性，感知节点自身的限制使得对感知环境的感知存在不稳定性。海量的设备会产生大量的数据，如此大量的数据处理也是难点之一。二是网络强异构性，包括网络异构、设备异构和通信接口异构，继承而来的问题也是各种异构单元长期存在的问题。

（2）可穿戴设备安全模型及应用场景的多样化。

随着可穿戴设备越来越多的安全问题暴露出来，适用于各种可穿戴设备的安全模型也趋于多元化。这对可穿戴设备的风险评估也提出了更高的要求。另一方面，随着技术的发展，可穿戴设备被应用到各种各样的场景中，在安全风险评估与认证的过程中，认证方法必须考虑到设备在不同场景下使用的情况。

如今，可穿戴生态系统需要大规模部署，设备可以提供高水平的安全性，以覆盖典型的漏洞。让实验者能够评估和比较不同的可穿戴安全技术。为此，需要考虑一种系统的、自动化的方法。通过MBT、CertifyIT和TITAN等方式，安全测试的自动生成以及结果的自动化将成为可穿戴设备风险评估与安全认证的未来发展方向。

四、总结

可穿戴设备的安全风险评估及认证是针对可穿戴设备进行深入的安全研究，分析其存在的安全隐患、漏洞和主要威胁，提出相应的安全检测规范和评估报告，为可穿戴设备面临的风险给出等级划分。本文提出的方法可以为可穿戴设备中的安全方面提供可伸缩的测试方法，希望能够为相关领域提供参考。