物联网感知终端安全技术要求解析：基于GB/T 36951-2018标准的检测思路

作者|张晓明、曹克俭、彭光明

一切都是电脑。一切都是相连的。

随着人类社会“信息化”、“智能化”的发展，万物互联已成为趋势。从智能家居、智能电网到智慧城市、工业物联网，网络空间与现实世界的融合越来越紧密。与此同时，网络安全事件的影响也越来越严重。作为物联网世界的基本组成单元，物联网传感终端的安全受到广泛关注。本文主要参考标准：GB/T 36951-2018《信息安全技术物联网传感终端应用安全技术要求》。基于实际研究和测试，我们分享对物联网传感终端安全需求的理解，并提供基于该标准的解决方案。感知终端安全检测提供了一种思路。由于CNCERT没有参与标准的制定，因此对标准术语的解释可能不准确，欢迎大家批评指正。

1、物联网安全风险及安全标准简述

纵观近年来的物联网安全事件，不难发现物联网设备是网络攻击的重点。宏观层面，物联网设备种类多、规模大。那些广泛使用的设备型号一旦发现高危漏洞，很容易被大规模控制，形成僵尸网络，造成像2016年美国、德国那样的大规模网络中断。（MIRAI病毒）事件。电信运营商对此类风险极为担忧，因为单一型号设备的部署量可能达到数百万。在微观层面，由于物联网设备计算能力有限，难以实现较为复杂的安全功能，且大多分散部署且无人值守，因此定点被攻破的风险非常高。针对特定物联网设备或系统的APT攻击可能会导致敏感数据泄露、财产损失甚至人身伤亡，例如针对网络摄像头、智能门锁、植入式医疗设备的攻击。物联网广泛应用，许多传统行业缺乏网络安全意识和经验，急需相应的标准和指导。

2018年以来，我国陆续发布了多个物联网安全标准：GB/T37044-2018《信息安全技术物联网安全参考模型和通用要求》、GB/T 36951-2018《信息安全技术物联网传感终端》应用安全《技术要求》，GB/T 37024-2018《信息安全技术物联网感知层网关安全技术要求》， GB/T37025-2018《信息安全技术物联网数据传输安全技术要求》、GB/T 37093-2018《信息安全技术物联网感知层接入通信网络的安全要求》GB/T 37714-2019 《公安物联网传感设备数据传输安全评价技术要求》GB/T 38637-2020《物联网传感《控制设备接入第1部分通用要求》等方面从安全模型、接入安全、数据传输安全、设备安全等多个方面规范了物联网安全。虽然目前完全对标的物联网信息系统和设备还不多，但随着标准推进和行业监管的力度加大，相信我国物联网整体安全性将显着提升，黑客攻击的难度和成本将持续增加。 。在已发布的物联网安全标准中，遗憾的是相应的配套评估标准很少。

2.物联网传感终端安全标准解读及测试思路

GB/T 36951-2018《信息安全技术物联网传感终端应用安全技术要求》是由北京信息安全评测中心起草的国家标准。涵盖物理安全、访问安全、通信安全、设备安全和数据安全五个方面。这方面规范了物联网传感终端应用的安全性。该标准不仅关注传感终端本身的安全，还涉及传感终端的部署和应用安全。它是一个面向应用的系统级标准。该标准将传感终端的安全要求分为基本要求和增强要求。 3级及以上物联网系统的传感终端应满足增强型要求。

物联网感知终端应用程序的安全框架

1 物联网传感终端定义

物联网信息系统通常由感知层、网络层和应用层组成。感知终端工作在感知层，主要由数据采集模块、计算模块和通信模块组成。支持多种通信方式（有线、无线、近场、远场等），适应不同的应用场景。应用时，传感终端可以通过本地网关与应用层通信，也可以通过远程通信直接与应用层连接。

物联网信息系统实例

标准中对物联网传感终端的定义是“能够收集信息和/或对物体或环境进行操作，并能够与互联网进行通信的设备”。根据定义，感知终端除了通常意义上的信息采集设备外，还至少包括一些控制设备。从某种角度看，还包括工业控制系统中的过程级设备，如智能执行终端、具有联网功能的变频器等。信息安全标委会2019年发布的《物联网安全标准化白皮书》直接引用了“传感控制设备”一词，标准GB/T 38637-2020《物联网传感控制设备接入第1部分通用要求》 ”采用了术语“感觉控制装置”。

2物理安全

该标准从选型、选址、供电、防盗、防破坏四个方面规范了传感终端的硬件特性和安全部署。由于本文主要关注物联网传感终端本身的安全测试，因此部署和应用方面不再详细描述。

3访问安全

5.2.1 网络接入认证规范传感终端接入传感网络或物联网平台的安全。其中，5.2.1 a)“在接入网络中应具有唯一的网络标识”，是本条的基本要求。传感终端无论是接入网络还是后期通信都应该有一个唯一的身份，以便网关或平台能够识别和审计其身份。网络身份标识可以是终端的MAC地址（以太网、WIFI、ZigBee等）、DevEUI（LoRaWAN）、IMSI（3G/4G、NB-IoT），也可以是物联网平台分配给终端的ID，例如如阿里云ID²、腾讯云的IoT TID。

关于5.2.1 b)“应能够向接入网证明其网络身份，并支持至少一种以下身份认证机制：

（一）基于网络身份的识别；

(2)基于MAC地址识别；

(3) 基于通信协议的识别；

(4) 基于通信端口的识别；

(5) 基于对称密码机制的身份识别；

(6)基于非对称密码机制的身份识别。 ”

接入认证的作用是确保只有合法终端/授权用户才能访问物联网系统。它要求传感终端支持网关（或物联网平台）使用的接入认证协议，或者至少能够向网关（或物联网平台）报告。平台）来证明您的在线身份。

大多数传感网络使用无线通信。在开放环境中，无线通信缺乏物理保护。只要在网络传输覆盖范围内，理论上任何人都可以访问网络或窃听网络传输的数据。因此，网络接入认证和数据传输机密性是物联网感知网络最基本的安全要求两个。

由于传感终端种类繁多、接入方式多样，很难对其提出统一的要求。从接入对象不同，接入认证可分为本地感知网络接入和远程应用平台接入。一种偏重网络层接入，另一种偏重平台接入。

本地感知网络接入主要是指本地感知层网关的接入。所使用的接入认证协议通常与传感网络所使用的通信方法直接相关。例如，如果传感网络采用WIFI通信，则接入认证协议一般采用WPA/WPA2协议。如果传感网络采用LoRaWAN通信，一般采用OTAA或ABP协议。通常每种主流通信方式都有相应的网络接入认证协议。

远程平台接入主要是指连接到云端的物联网平台，所使用的接入认证协议需要与物联网平台适配。如果传感终端支持阿里云物联网平台，则需要支持基于MQTT和设备密钥的认证、ID²认证或X.509数字证书认证。许多物联网平台使用双向身份验证。支持平台接入的传感终端，除了支持相应的接入认证协议外，一般还需要在设备内部预置密钥、认证证书等信息。

测试时，可以根据传感终端支持的通信方式和接入对象，检查传感终端是否支持相应的接入认证协议，然后搭建测试环境，验证接入认证协议的功能和安全性。下面简单介绍一下几种主流通信方式的接入认证测试：

1、如果传感终端（以下简称“DUT”）支持WIFI和基于WPA/WPA2安全机制的身份认证，则搭建WIFI网络并启用WPA/WPA2接入认证，并配置正确的WPA-PSK密码或用户对DUT输入密码，检查DUT是否能够成功接入网络并正常通信（基于通信协议/基于对称密钥的认证）；

2、如果DUT支持LoRaWan通信方式，搭建LoRawan测试环境（包括Lorawan网关和Lorawan服务器），手动将DUT的DevEUI、激活方式（OTAA/ABP）等信息注册到Lorawan服务器，并根据DUT上的注册信息 配置相应参数，检查DUT是否能够成功接入网络并正常通信（基于网络身份识别）；

3. 如果DUT支持Zigbee通信方式和AES通信加密，则构建Zigbee网络并启用AES加密认证。设置DUT和Zigbee网关使用相同的预设密钥或在Zigbee网关上注册DUT密钥以检查DUT是否可以成功。接入网络并正常通信（基于对称密钥的认证）；

4、如果DUT支持蓝牙通信，搭建蓝牙测试环境（包括蓝牙网关），检查DUT是否支持非Just Works配对方式接入蓝牙网关并正常通信；如果DUT支持蓝牙mesh通信，则搭建蓝牙mesh测试环境（包括蓝牙mesh网关），检查DUT是否支持非OOB（无带外）方式接入蓝牙mesh网络并正常通信（基于对称密钥/非对称密钥认证）；

5、如果DUT支持基于802.1X的身份认证，搭建支持802.1X认证的测试环境（包括802.1X网关和Radius服务器），在DUT上输入正确的用户名和密码，检查DUT是否能够成功接入网络和正常通信（根据网络身份/通信端口进行识别）；

6. 如果DUT支持基于TLS/DTLS协议的身份认证，搭建基于TLS/DTLS协议的测试环境（包括基于TLS/DTLS协议的服务器），检查DUT是否可以通过TLS访问网络/DTLS 并正常通信。 ;如果DUT支持双向认证，则尝试在服务器上配置正确/错误的证书来验证DUT是否对服务器进行身份验证（基于非对称加密机制的双向认证）；

7、如果DUT支持访问物联网云平台（如阿里云、移动Onenet或私有云），根据用户手册配置DUT访问云平台，并验证是否使用所声明的身份通过分析DUT通信数据的认证方式（如阿里云证书认证）；

8. 如果DUT支持基于非TLS/DTLS协议的双向身份认证机制，则分析该双向认证机制是否安全，并搭建相应的测试环境（包括认证服务器）进行验证。

注意：这里需要注意的一点是感知终端接入认证协议本身的安全性。例如，如果WIFI终端只支持WEP而不支持WPA，那么安全性显然不够。

事实上，考虑到传感终端计算资源有限、接入方式多样，标准并没有在基本要求中对“支持接入认证协议”做出强制要求，而只是要求传感终端能够向网络证明自己的身份。 。例如，对于有线以太网接入传感终端，即使不实现任何接入认证机制，从某种意义上来说仍然可以满足标准要求，因为数据帧在通信时会携带终端MAC地址，满足“MAC基于地址的“身份识别”这篇文章，此时只要网关支持基于MAC地址的MAB认证，也可以达到一定的安全性（虽然MAC地址容易伪造，安全性不高）。

另外，部分传感终端受限于缺乏输入输出设备，无法配置按键等信息。接入安全只能更多地依赖网关。顺便说一句，最近一些智能家居产品采用了更智能的方式，使用蓝牙代替传统的串口作为设备输入输出接口。设备支持蓝牙和WIFI两种通讯方式，通过蓝牙将WIFI配置信息传递给设备，然后设备将配置信息访问到本地WIFI网关。蓝牙的短距离通信在这里成为优势，使得设备配置具有一定程度的物理安全性。

关于 5.2.1 c)“认证失败处理应该是可能的”。身份验证失败处理通常是网关（或物联网平台）的要求。当终端多次认证失败时，网关应采取保护措施，防止认证信息被暴力破解。要求终端具有处理认证失败的能力。我们推测这可能是针对双向认证场景。传感终端接入传感网络/平台。在向网络证明自己身份的同时，还要检查接入网络/平台的合法性，如不符合预期，传感终端应采取相应措施，防止不断检测到假冒网络/平台。由于感知终端通常是接入认证的发起者，当发现接入网络/平台出现问题时，终端只需不再发起接入请求即可。这里的“认证失败处理”也可能是物联网系统的“系统级”需求，既涉及网关/平台，也涉及传感终端。

关于5.2.1 d)“采用插卡方式进行网络身份认证时，应采取防止卡被拔出或更换的措施。”大多数物联网设备都是无人值守的，并且面临着被替换和假冒的巨大风险。假冒设备在接入感知网络/平台时也需要进行身份认证。对于插卡身份认证来说，如果终端上的卡无法拔出或更换，显然可以有效降低被伪造的风险。另一方面，对于使用物联网卡通信的传感终端来说，这一要求也有助于防止物联网卡被盗。

关于5.2.1 e)“应保证密钥存储和交换安全”，这是原则要求。测试时可以分别考察密钥存储安全和交换安全。对于密钥存储，可以从两个维度进行测试：一是传感终端的文件系统是否提供外部访问接口，检查密钥信息是否加密存储；其次，对传感终端的固件进行逆向分析，检查密钥信息是否加密存储。对于密钥交换，首先检查是否存在密钥明文传输等明显问题。其次，通过查阅开发文档等方法分析密钥交换机制是否安全，并搭建基于密钥交换协议的环境，用于评估其功能和安全性。来验证。

5.2.2 网络访问控制。其中，5.2.2a)“应禁用业务需求以外的通信端口”为应用要求。感知终端每打开一个网络服务端口，就相当于为攻击者提供了一个攻击目标。因此，应用时应尽量减少攻击面，并关闭所有非必要的服务端口。这一要求要求感知终端有能力关闭非必要的服务端口，或者默认只打开必要的端口。这个需求看似简单，但在工业领域却不一定得到支持。例如，一些主流PLC型号不提供关闭网络服务的功能。另一方面，有些物联网终端在设计时没有在本地开放任何服务端口，主动连接云平台进行网络通信是一个好主意。

关于5.2.2 b)“应设置网络访问控制策略，限制传感终端的网络访问”，从表述来看，这是系统级的要求。网络访问控制可以由网关、终端或两者共同实现。考虑到计算资源有限，感知终端可以通过IP白名单等方法实现简单的访问控制。

4 通讯安全

该标准在5.3.1节中对传感终端的无线电使用进行了规定，要求使用的无线电频段和辐射强度应符合国家规定。

通信传输的完整性在5.3.2、5.3.2 a)中规定：“应建立并启用通信完整性验证机制，以实现数据传输的完整性保护。”测试时，可以根据传感终端开发文档分析数据传输是否具有完整性验证机制（如报文验证码MAC、数字签名等），并搭建环境验证该机制是否能有效防止数据传输免遭篡改。如果传感终端数据验证仅采用通用的CRC算法，而没有加密等其他安全机制，显然不能满足要求，因为攻击者可以轻易地在被篡改的数据上附加正确的校验码。如果使用自定义的验证算法，至少有一定程度的安全性。

5.3.2b) “应有通信延迟和中断处理机制。”推测这篇文章可能是为了处理数据传输过程中的乱序和丢包问题，保护机制类似于TCP协议的序列号和超时重传机制。如果上述猜测正确，那么传感终端只需要使用TCP协议来传输数据就可以满足要求。对于使用UDP协议的，需要在应用层提供相应的保护机制。

6.3.3 数据传输的保密性“传感终端在传输身份信息、隐私数据、重要业务数据等敏感信息时，应进行加密保护。”这里的保密性是一个增强的要求。如前所述，许多传感终端采用无线通信，自然缺乏物理保护。如果他们使用明文传输，很容易被窃听。所以保密性应该是一个基本要求，大多数主流无线通信（wifi、zigbee、lora等）也支持加密传输。我们推测，作为增强功能的保密性要求可能主要是针对有线通信，并且是出于性能考虑。无线通信的数据加解密通常由通信芯片完成，对系统性能影响不大，而有线通信的加解密一般由嵌入式软件实现，成本较高。测试时，可以首先检查传感终端采用的通信方式是否在链路层、网络层、传输层、应用层提供加密机制。如果没有，请检查应用程序是否传输身份信息、隐私数据和重要业务数据。是否对敏感信息进行加密。

5设备安全

设备安全主要针对传感终端本身的安全。该标准在本章中提出了“带有操作系统的传感终端”的概念。我们先来说说我们对这个概念的理解。大多数传感终端都是嵌入式黑匣子设备。有的采用嵌入式操作系统，有的则比较简单，没有操作系统。很多时候，没有开发文档，很难判断它们是否有操作系统（有些传感终端的操作系统只是为了实现多任务和资源管理，并不提供外部接口）。根据标准内容，我们理解“带有操作系统的传感终端”是指采用操作系统并提供操作系统用户访问接口的传感终端。

5.4.1 标识和标识，仅针对“带操作系统的传感终端”。要求传感终端的操作系统用户应具有唯一的身份，用户登录时需要对用户进行身份验证，用户密码应满足一定的复杂度要求。读者在这里可能会有疑问。身份识别和认证是最基本的安全需求。对于那些提供管理界面但没有操作系统的传感终端，是否不需要管理员身份认证？据我们了解，该标准在 5.4.2 访问控制 c) 和 d) 中为此类情况提供了原则要求。

6.4.1 识别和识别增强要求：“具有执行能力的传感终端应能够识别发出执行指令的人的身份。”该需求中的身份认证应该是业务层面的，与传感终端使用的具体业务协议（工业控制协议）相关。需要注意的是，之前的基础要求更多是在管理层面，而增强的要求是在业务层面，两者是有区别的。

5.4.2 访问控制，其中前两项a）和b）针对“具有操作系统的感知终端”：“操作系统用户应能够控制访问权限”和“操作系统用户应仅被授予其所访问的权限”。测试时，可以以不同角色（如操作员、审核员）的用户身份登录操作系统，检查操作系统为各个用户分配的权限是否合理（例如：例如，运营商无权删除审计记录，审计人员无权进行业务操作），同时还要检查权限分配是否符合最小权限原则。

5.4.2 c)和d)适用于所有传感终端，其中5.4.2 c)：“传感终端应能够控制本地或远程数据访问”是原则要求。测试时，可以根据传感终端的数据类型检查是否有相应的访问控制措施，如用户识别、权限控制、IP白名单等。

5.4.2d) “传感终端应提供安全措施来控制其远程配置。”许多传感终端的远程配置采用私有协议或WEB方式。测试时需要检查配置方法是否具有安全保护机制（如身份认证、加密认证等）。这里需要说明的一点是，传感终端的管理平面和业务平面最好分离，即业务用户只能访问业务数据而不能配置，管理者只能配置而不能执行商业运作。

6.4.2 访问控制增强要求“传感终端系统的访问控制范围应覆盖所有主体、客体及其之间的操作”。这是原则要求。测试时可以检查传感终端现有的访问控制策略是否未被覆盖。主体、客体以及它们之间的操作。

5.4.3 日志审计，仅针对“带有操作系统的传感终端”，“应能够生成操作系统事件的审计记录，审计记录应包括日期、时间、操作用户、操作类型等信息”，“应该能够由安全审计员打开和关闭操作系统的审计功能”并且“应该能够提供操作系统的审计记录审查功能”。 6.4.3 增强要求“存储的操作系统审计记录应受到保护，以避免未经授权的修改、删除、覆盖等”。由于审核要求与通用设备基本相同，此处不再详述。

5.4.4 故障保护“传感终端应能够自我检测规定的设备故障并发出警报，以确保设备上不受故障影响的部分正常工作。”本文的重点是故障报警功能和可用性。测试时可以模拟传感器故障、网络故障等，看看传感终端是否可以发出警报以及其他功能是否受到影响。对于控制设备，要求通讯故障不影响控制功能。

6.4.4 故障安全增强要求 a) “具有操作系统的传感终端应能够在操作系统崩溃时重新启动。”本项主要考察传感终端硬件上是否有看门狗定时器或其他设计，以防止系统宕机。很长一段时间无法使用。这个要求虽然简单，但却很难验证，因为让感知终端的操作系统崩溃并不容易。如果测试时无法进行实际验证，可以查阅传感终端开发文档或硬件设计图纸。

6.4.4 故障安全增强要求 b) “具有执行能力的传感终端应具有本地手动控制功能，且手动控制功能的优先级高于自动控制功能。”这种需求经常出现在工业领域，例如电力测量和控制设备。现场手动控制具有最高优先级。测试时，可以根据传感终端的功能和控制逻辑设置相应的测试场景来验证该功能。

5.4.5 软件安全，仅适用于“具有操作系统的感知终端”，其中 a) “仅应安装授权软件”。一个比较直观的反例：对于RFID数据采集器、4G执法摄像头等提供图形用户界面的Android设备来说，如果允许用户在终端上随意安装APP，显然风险很大。测试时，可以尝试在终端上安装未授权的通用软件，看是否安装成功。

5.4.5 软件安全 b) “应按照政策进行软件补丁更新和升级，并保证更新数据来源合法、完整。”测试时检查感知终端是否有软件更新策略，并通过伪造数据源进行检查。是否在更新软件时验证数据源，使用篡改的补丁或升级软件包执行升级操作，并检查是否可以成功。

5.4.5软件安全c）“满足业务安全功能要求的软件应安装，配置和正确使用”，6.4.6增强需求“具有操作系统的意识终端软件应在补丁更新和升级之前进行安全测试和验证” ，6.4.7 a）“应禁用传感终端的空闲外部设备接口”和b）“应禁用传感终端的外部存储设备的自启动功能。”以上项目是感应终端应用的所有要求。测试过程中的一般原理是：传感终端是否具有满足应用程序要求的基本能力，例如支持外围界面的残疾和外围自动启动功能。

6DATA安全

5.5.1数据可用性“当传感终端传输其收集的数据时，它应该标记数据的新鲜度。”本文可以主要用于通过将时间戳，序列号和其他信息附加到数据中来防止重播攻击。保护。 6.5.1增强的要求“传感终端应通过冗余部署来支持重要数据的收集”。在测试过程中，您可以根据传感终端用户手册来检查它是否支持冗余部署，并设置验证环境。关于传感终端的冗余部署的信息相对较少。工业控制设备PLC具有支持冗余部署（硬冗余）的特殊模型。

5.5.2数据完整性“传感终端应为其收集的数据生成完整性证据（例如检查代码，消息消化，数字签名等）。”本文主要关注收集的业务数据。在测试过程中，可以从数据存储中获得它，以两个方面进行：完整性和数据传输完整性。有关特定方法，请参阅5.3.2和6.3.3。

6.5.2增强的要求：“传感终端应对存储的识别信息，隐私数据和重要业务数据执行完整性验证，并在检测到完整性错误时采取必要的恢复指标。”在测试过程中，首先检查传感终端的文件系统是否提供了外部访问接口。如果是这样，请尝试篡改标识信息，隐私数据和重要的业务数据，以查看传感终端是否可以及时检测并采取必要的恢复指标。

6.5.3数据机密性“感知终端应使用加密算法来存储和传输敏感信息的加密保护，例如识别信息，私人数据和重要的业务数据。加密算法应遵守相关的国家密码法规。”该标准对6.3.3中敏感数据的加密传输具有统一的要求。这里的主要重点是敏感信息的加密存储。测试方法类似于5.2.1 e）。首先，如果传感终端的文件系统提供了外部访问接口，请检查敏感信息是否已加密和存储；其次，对传感终端的固件进行反向分析，并检查是否对敏感数据（例如标识信息）进行加密。贮存。

3。其他测试预防措施

在传感终端测试过程中，除了标准涵盖的内容外，还有其他一些问题需要注意，例如：检查传感终端的硬件板是否保留了调试接口（攻击者可以使用调试接口收集信息），传感终端固件，或者核心组件是否具有反向措施，无论传感终端（还是传感终端使用的第三方组件）是否具有已知漏洞，是否还有其他端口，服务，服务或制造商宣布的内容以外的特殊许可页，以及是否通信协议实现足够强大（稳健性），等等。

参考

1.GB/T 36951-2018“信息安全技术事物互联网传感终端应用程序安全技术要求”

2.GB/T37024-2018“信息安全技术事物互联网感知层网关安全技术要求”

3。“信息安全技术事物互联网传感终端应用程序安全技术要求”的准备说明

4。“事物互联网安全标准化白皮书（2019版）”