物联网产品安全检测研究*

邵华 张冬芳 公安部安全与警用电子产品质量检测中心

物联网产品安全检测研究*

邵华 张冬芳 公安部安全与警用电子产品质量检测中心

从检测内容、检测方法、检测环境、检测流程等方面探讨了一套能体现典型场景的安全检测应用框架。提供RFID标签及读写器、第二代居民身份证阅读机具、远程终端单元（RTU）等物联网产品功能、性能、安全性和安全保证检测。

物联网信息安全检测

一、引言

在公安工作中，采用物联网技术的产品、应用方案率先应用于第二代居民身份证、警员定位与警力动态调配、会务保障、车辆动态监管、警用装备和物证的单品级管理、大型刑事案件检材管理、监所管理以及重点区域的监控与预警等，在涉人、涉车、涉物和重点场所管理上发挥了重要作用，实现了现代警务对事件信息的实时采集、动态处理和防范预警等智能化功能，极大地提升现代警务的实战能力和服务水平，促进了警务工作的整体联动和协同作战。

但物联网各类安全问题直接制约其发展，目前物联网产品主要面临5类威胁：（1）感知操作安全威胁。这类威胁主要是指感知设备在交互数据时存在的安全威胁，包括窃听无线信道信息或数据，中间人攻击、重放数据以及通过放大功率干扰设备或利用间谍标签攻击其防冲突协议，使感知产品失效[1-2]；（2）数据存储安全威胁。攻击者远程或直接登录感知节点设备，非法窃取或篡改感知节点设备存储的数据和由于自然、人为或软硬件故障造成的数据丢失或破坏；（3）数据处理安全威胁。感知数据处理过程中的信息泄漏以及由于软硬件异常或外部人为攻击造成的数据不一致；（4）感知产品通信安全威胁。旁路窃听或截获通信数据；篡改或伪造通信数据，导致网络传输故障或拒绝服务攻击；非法设备接入感知网，消耗网络资源或进行其它攻击行为；干扰网络通信，破坏路由信息[3]；（5）感知产品安全威胁。这类威胁主要是产品系统以及安全配置威胁。非授权用户修改感知节点设备配置参数与安全策略、安装恶意软件等；授权用户越权操作，如用户远程登录网络摄像头并私自改变摄像头拍摄角度，导致拍摄出现死角，无法拍下犯罪行为[4-6]。

本文将针对上述威胁，依据相关标准，研究适用于感知产品且能体现典型场景的安全检测应用框架。首先介绍了目前行业的安全检测现状，然后以居民身份证、RTU产品为例，从检测内容、检测环境、检测方法和检测流程等方面探讨了典型场景的安全检测应用框架。

二、检测现状

由于巨大利益的驱使，Sun、IBM、UPS、Microsoft等IT和物流行业巨头已经重金投入对RFID的测试和解决方案的开发。美国联合包裹服务公司（UPS）目前正在进行多项RFID测试，在其中一个实验项目中，UPS公司把RFID货运标签放在可重复使用的集装箱中，这些集装箱用来装运小型或形状不规则的货物，结果发现在不规则形状的包裹上使用RFID标签可以提高读取速率；IBM也在美国马里兰州兴建了RFID测试中心，并宣布这个测试中心可作为沃尔玛等各家厂商将RFID导入例行操作之前的测试场地；Sun则在整合了硬件、软件和服务后推出了多层的Sun EPC网络架构，并在全球各地部署了多个RFID测试中心。

国内也已经开始着手建立自己的RFID测试中心，其中包括中科院自动化所的RFID研究中心，上海复旦的Auto-ID中国实验室，国家RFID检测中心以及相关行业公司的演示中心等。

但上述这些检测机构主要侧重于标准符合性、可用性的测试，未考虑行业特定需求。警务工作的特殊性，对RFID的安全系数要求更高，且更广泛、更严格。因此需要针对公安等特殊行业实现更具有适用性的安全检测能力。

三、产品安全检测环境与内容

物联网产品种类繁杂，仅警务应用的产品类型就包括温感、烟感、有害气体传感器、遥测、遥控、遥信、人像识别摄像机、公安基础信息采集设备、RFID标签、RFID阅读器、第二代身份证GPS/北斗产品等等，这些产品在满足标准符合性、可用性的基础上，还需要根据公安业务的安全需求，进行安全检测。如公安部装备财务局与科技信息化局正在起草人员基础信息一体化采集设备通用技术战技指标要求和检测大纲，该产品既满足身份信息、人像、身高、体重、足长等的信息采集，也必须对产品的数据安全、网络安全和性能进行检测。

物联网产品检测可根据用户需求制定，检测内容一般包括对产品的接口协议、数据速率、工作温度、工作湿度、读写距离、振动、冲击、碰撞、安全性、电磁兼容性、“一机两用”等关键项目，同时可对RFID标签、IC卡以及远程终端单元的存储容量、工作环境、抗射线、抗交变电磁场、抗冲击、机械振动、自由跌落、抗静电等关键项目进行检测，并在实际应用环境下进行特定性能和策略符合性检测，进一步验证产品运行效果，形成一条包括产品级和应用级的检测链。

（一）产品检测分类

物联网产品涵盖物联网智能感知层、接入传输层和业务应用层所有产品，根据应用方式、安全性要求的不同，可以分为3大类12项，如图1所示。

下面将介绍RFID标签及读写器、第二代居民身份证阅读机具及远程终端单元（RTU）产品检测应用框架的示例。

（二）居民第二代身份证阅读机具检测

1.检测环境和检测工具

居民第二代身份证阅读机具产品检测环境如图2所示。检测工具包括：频谱分析仪、射频信号发生器、场强探头、压力试验台、振动试验台、主控PC、应用渗透测试软件、测试脚本、居民第二代身份证应用软件、抓包工具、NI-VISN-R2100RFID/NFC综合测试仪、数字万用表和无线接入点。

2.检测内容

居民第二代身份证阅读机具产品测试内容主要包括功能测试、性能测试、安全性测试以及安全保证测试四部分。

（1）功能测试

主要针对产品应用功能进行测试，测试内容包括数据通信、身份证识别，读写身份证信息等。

（2）性能测试

主要针对产品的物理特性和电磁特性，如耐振动、耐冲击、耐温湿度、工作频率、电场强度阀值、抗扰度、读卡响应时间等进行测试。

（3）安全性测试

安全性测试根据《公安物联网感知层通用安全要求导则》和《信息技术安全性评估准则》，主要针对产品感知操作安全、数据处理安全、数据存储安全、感知节点设备安全、感知节点设备通信安全、感知监控中心等6方面涉及的安全要求进行符合性检测，如数据传输安全、标识和鉴别、TSF保护、资源利用等。

（4）安全保证测试

安全保证是解决如何正确有效的实施前述这些功能的保证要求，它包括产品的配置管理、交付与运行、开发、指导性文档、测试、脆弱性评定等方面。

（三）RTU产品检测

1.检测环境和工具

RTU检测环境如图3所示。检测工具包括：射频信号发生器、性能测试仪、网络分析仪、Zigbee/GPRS、Wi-Fi、以太网网关、无线接入点、Zigbee路由器、NIVISN-R2100RFID/NFC综合测试仪、应用服务器、主控PC、场强探头、压力试验台、振动试验台、频谱分析仪、数字万用表、矢量网络分析仪等。

2.检测内容

远程终端（RTU）产品测试内容主要包括功能测试、性能测试、安全性测试以及安全保证测试四部分。

（1）功能测试

内容包括数据采集、遥信、遥测、遥控、遥调和数据传输、远程管理、图片抓拍、报警、存储、通信功能等。

（2）性能测试

主要针对产品的物理特性和电磁特性，如耐振动、耐冲击、耐温湿度、工作频率、电场强度阀值、抗扰度、功耗、通信速率等进行测试。

（3）安全性测试

包括管理安全、安全审计、用户数据保护、标识和鉴别、TSF保护、资源利用等。

（4）安全保证测试

同“居民第二代身份证阅读机具”的检测内容。

四、产品检测的方法与流程

（一）检测方法

根据产品形态的不同，产品安全检测的检测方法主要有功能验证、电磁兼容试验、性能检测、渗透测试、文档审查与分析、网络抓包与协议分析等。

1.功能验证

针对产品的功能特性，例如第二代居民身份证阅读器获取身份证、比对数据。

2.电磁兼容试验

如检测电场强度阈值：将信号发生器工作频率设置为标签的工作频率，设置读写器从最小工作频点开始发射询问信号，保证标签处的询问信号电场强度从0v/m开始增加，直到读写器能够通过标签发射信号读到其存储的信号。检测标签静电放电抗扰度，在严酷等级4、试验电压15kv、直接于标签表面采用空气放电、每个敏感试验点放电次数正负极性各10次，每次放电间隔至少为1秒的条件下，对标签进行识别功能和识别性能试验。

3.渗透测试

抗干扰渗透测试：使用干扰源对工作中的射频遥控器进行干扰，同时使用频谱分析仪分析射频遥控器的工作频率，检查射频遥控器是否采用抗干扰技术防止频段干扰；简单攻击探测：使用渗透性测试工具对自动柜员机进行IP欺骗攻击，伪造虚假路由器IP地址，检查自动柜员机是否能够检测到攻击。使用漏洞扫描器对自动柜员机进行扫描，检查自动柜员机是否能够检测到端口扫描；越权检测：电子防盗锁使用者在未经身份认证情况下尝试对受控客体进行遥控操作，使用者在通过身份认证的情况下尝试对受控客体进行操作；恶意代码检测：对球型摄像头发送带有控制或破坏系统正常工作的恶意代码，查看球型摄像头能否正常工作，恶意代码是否被检测出来。

4.文档审查与分析

针对TSF间用户数据传送的保密性保护、防止审计数据丢失、密码运算、可信路劲等安全要求进行检测，需审查开发者提供的设计文档、产品说明书等文档，进行功能确认，然后进行验证性检测。

5.网络抓包与协议分析

检测可信路径：使用协议分析仪捕获ATM和ATMP之间的通讯数据，分析是否采用加密机制保证通信数据的保密性和完整性；检测传输保密性和完整性；利用综测仪抓取双方通信数据包，查看数据包是否存在明文数据，且协议是否有完整性校验机制。

（二）检测流程

产品安全检测工作流程分为项目建档及跟踪、检测方案指定、测试实施，报告及建议4个阶段，如图4所示。

1.项目建档

受测单位（客户）向检测单位提出申请并提交相关资料，受理人登入信息化综合服务平台“项目管理”，对本次检测项目建档，并根据提交的材料进行资料评审。

2.检测方案制定

资料评审通过后，根据受检单位（客户）的检测材料，明确检测类别，通过基础库，形成检测规则、检测方法，并确定检测需要的工具集，最终形成检测方案。

3.测试实施

分为实验室测评和现场测评。实验室测评适用于产品的安全检测以及现场测评难度大、无法进行现场实施的情况；现场测评适用于测评对象无法转移，测试实施地点限制为现场等情况。

4.报告及建议

汇总检测数据、工具集记录数据，关联分析测试数据，并依据检查标准要求判断结果，形成RFID产品安全检测、RUT产品安全检测以及第二代居民身份证阅读机具安全检测报告，根据检测判断结果，对不符合要求项给出整改建议。

五、总结

RFID、RUT等物联网产品在公共安全、生成管理与控制、工业控制等领域的深入应用，必将对其安全提出更高的要求。为了满足日益增长的安全需求，对物联网产品进行科学、有效的检测和评估是保证物联网应用安全的重要措施之一。本文从检测能力的构建探讨了物联网产品安全检测的应用框架，为产品安全检测提供有效的技术手段。

[1]Benjamin F,Oliver G.Security Challengesof EPCglobal Network [J].Communications of the ACM-Ba rba ra Lis kov:ACM's AM.Turing AwardWinner,2009,52(7):121-125.

[2]J.G.Alfaro,M.Barbeau,E.Kranakis.Analys is of Threats to the Security of EPC Networks[J].2008 Communication Networks a ndServicesRes earchConference,2008.

[3]Rodrigo Roman,Pablo Na jera,JavierLopez.Securing theInternet of Things.IEEE Computer,2011Vol 44(9):51-58.

[4]毛丰江.智能卡的边频攻击分析及安全防范措施[J].单片机与嵌入式系统应用,2006.vol 2:9-11.

[5]李万才.物联网中智能视频技术的现状与分析[J].警察技术, 2010(06).

[6]范红,邵华,等.物联网安全技术体系研究[J].第26次全国计算机安全学术交流会论文集,2011(9):5-8.

2012年度国家发展与改革委员会信息安全专项