基于CC标准的物联网数据安全需求分析及应用研究

单武

摘要：在物联网快速发展和应用的进程中，数据安全问题应作为首要问题加以重视。本文基于计算机安全评估标准一通用准则（Common Criteria，CC），探讨了物联网数据安全当前所面临的风险和威胁，制定了全面保障物联网数据安全必备的安全功能组件和安全保证组件。通过实例证实该方法能够反映物联网数据安全保障可能所需的产品功能，对物联网数据安全建设具有一定参考价值。

关键词：CC标准；安全需求分析；安全功能组件；安全保证组件；物联网

中图分类号：TP311

文献标识码：A

DOI：10.3969/j.issn.1003-6970.2015.08.025

0 引言

在物联网的长期发展进程中，不可避免地会遇到一些问题，而对于信息、数据而言，最致命的莫过于安全问题。物联网安全若得不到保证，那么物联网所涵盖的人与物、物与物之间的通信信息将有可能被泄露，进而导致不可预计的严重后果。

由于物联网是一个融合了多网的异构网络，因此除了具备与一般移动通信网络、传感器网络和因特网相同的安全问题之外，还具有一定的特殊性，主要表现在异构网络的认证与访问控制问题、信息储存和管理问题、隐私保护问题等。因此，在保证物联网应用背景本身安全的前提之下，构建物联网信息系统的信息安全设计也是必不可少的。一旦信息安全设计存在易被攻击的漏洞，所获得的数据或信息不仅无效，甚至会带来危害，严重者还会导致系统瘫痪。例如互联网的无线信号很容易被窃取和干扰，一旦被敌对势力利用发起恶意攻击，就很可能导致工厂停产、商店停业、交通瘫痪，等等，整个社会陷入一片混乱。

如何在物联网中构建安全架构、运用安全技术，是物联网安全的研究重点。文章基于物联网数据安全的角度，对物联网数据及其安全特点进行了分析，在此基础上，结合通用国际标注CC，对物联网数据安全保护所需的安全功能组件和保证要求进行了选取，对后续物联网数据安全防护产品的设计和选型有一定的参考意义。

1 物联网数据特点和安全问题新特性

跟一般的数据相比，物联网数据有自己的特色。例如，物联网数据总是大规模的、分布式的、时间相关的和位置相关的。同时，数据的来源是各异的，节点的资源是有限的。与其他网络相比，物联网数据特点和安全问题呈现出以下新特性：

1.1 数据的容量更大

物联网不是静态的，而是由若干个无线识别的物体彼此连接和结合形成的动态网络。例如在一个大型的有机农场中，农产品的往往以千万计。在农场的RFID系统中，假如有2000万件蔬菜需要跟踪，每天读取10次，每次100个字节，这样一天的数据量就达到20GB，而一年的数据量将达到7300GB。而所有蔬菜的跟踪数据量加起来将是一个海量的数据。

1.2 数据的异构性更强

无线传感网的数据既有视频、图像、音频、文字等多种形式，也有静态和动态多种状态；无线传感网的传感器既有多种用途，也有多种结构和性能；RFID系统既有多种读写器，也有多个RFID标签；M2M系统中的微型计算设备也是多种多样。以上这些多态性、异构性决定了物联网数据同样具有异构性，而造成数据多态性和异构性的根本原因则是物联网的应用模式和架构互不相同，缺乏可批量应用的系统方法。

1.3 数据的更新速度更快

物联网的信息采集工作是实时进行的，而被采集的对象一一物的信息是随时变化的，因此无论是RFID，还是WSN，它们所发送的数据更新是很快的，而且这些数据只能备份，而不能长期保存。数据更新速度的加快对系统的反应速度和响应时间提出了更高的要求，否则就容易得出错误的结果。

1.4 数据的传输难度更大

国内物联网应用相关研究证明：对于WSN来说，文本型数据易传难感，多媒体数据易感难传；当数据传输故障发生时，难以判断是硬件故障还是软件故障；理想化的系统模型假设因其忽略了WSN运行过程中伴随的各种不确定的、动态的环境因素往往难以实地应用；从某种程度来说，电源（电池）的寿命甚至可以决定整个WSN的寿命。因此，造成WSN式物联网在实际应用中节点的数量难以突破1000大关的原因，并不完全是异构性、海量性等。数据采集、传输元器件的性能一一功耗、实用性、可靠性和稳定性，已经成为目前WSN数据管理的瓶颈。

上文所提到的物联网数据的容量更大、异构性更强、更新速度更快，以及传输难度更大的问题，是物联网发展过程中面临的挑战，也是促使相关研究者不断研究的动力，以满足互联网特性的要求，解决数据处理难题。

2 物联网安全研究和CC应用现状

2.1 物联网安全研究现状

目前，美国、欧盟、日本、中国等都在投入巨资深入研究物联网。作为物联网关键技术之一一一物联网安全，各机构更是不遗余力的投入。2008年在法国召开的欧洲物联网大会重要议题之一就是物联网中隐私权，关注物联网的安全和隐私。在欧盟物联网研究需求进程表中，对其中的安全与隐私技术的进程做了明确规定^[1][2]。

通过跟进这些研究现状不难看出，目前对物联网的安全研究大多集中在物联网安全架构和物联网安全技术研究方面，例如，文献[3-11]关注的时物联网分层架构安全。文献[3-8]首先将物联网分为感知层、网络层、处理层、应用层四个逻辑层，而后对各层面临的安全威胁及其需求进行总结，最后提出了分层安全架构雏形；文献[9-10]重点探讨了物联网的嵌入式安全框架特有的安全问题，提出了物联网安全中间件的体系架构，并应用成熟的中间件技术和安全技术来屏蔽安全的复杂性，实现物联网的安全防护；文献[11]对物联网的新范式从安全架构角度进行了描述。物联网安全技术研究方面，文献[12-16]关注了目前物联网安全领域的安全技术发展现状和一些关键安全技术，关键安全技术主要体现在安全路由、安全认证、安全接人和加密算法等，但文献主要是做出了概括性结论，没有具体涉及到物联网安全的核心技术，而且对相关技术能否适用于物联网并未给出相应评论。目前，国外的物联网前端无线传感网和后端互联网安全研究要领先于我国，文献[17-21]对物联网中的入侵检测、拒绝服务攻击、安全路由和协议等技术进行了详细描述。

通过对目前国内外用于物联网的传感器网络安全性研究现状的综合分析，我们可以发现，用于物联网的传感器安全越来越受到重视。从政府层面到主流的研究机构，都对其投入了极大的关注；同时，因为物联网的应用还处于初级阶段，目前对物联网安全的研究主要还停留在安全架构，安全模型，传感器终端安全的阶段；从这些研究，我们可以看出总结现有物联网安全研究的不足：

1）多是从分析物联网面临的安全威胁人手，根据物联网的主流体系架构，从感知层、传输层和应用层分层的角度对物联网的安全进行分析，并结合各层的特点，采取不同的安全措施。

2）不全面，针对特定领域的特定问题，或者只是通用架构描述，实践性不足。

2.2 CC应用现状

CC作为IT安全评估的行业标准，不仅定义了对特定的IT产品的评估模型和方法，还定义了对一类IT产品的评估方法和模型。这里需要注意的是，CC标准体系除了包括CC之外，还包括CEM（通用评估方法）和PP（保护轮廓）。CEM是CC标准出版后，为了在评估中应用CC而提供的一种通用方法，是与CC配套的文档。保护轮廓是针对一系列产品的安全功能需求描述文档。这三者就组成了CC的标准体系^[22]。CC定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效的实施这些功能的保证要求^[23]。

CC标准提供的安全功能组件和安全保证组件是在总结各国多年在软件安全方面的经验和知识的基础上得出的，并且在软件安全评估的经验中得到了实践的检验。所以CC提供的安全功能组件可以作为软件需求工程的核心知识库。近年来基于CC标准来定义软件安全需求已经逐渐成为业界一种共识，CC标准作为软件安全评估领域的国际标准将可能成为软件安全需求分析的事实标准。

2.3 基于CC分析物联网数据安全的可行性

CC能够脱离产品和技术本身，全面的反映应用场景下的安全需求和安全问题。数据安全有对立的两方面的含义：一是数据本身的安全，主要是指采用现代密码算法对数据进行主动保护；二是数据防护的安全，主要是采用现代信息存储手段对数据进行主动防护，如数据备份、异地容灾等。隐私即为数据所有者不愿意被披露的敏感信息，包括敏感数据以及数据所表征的特性。目前常见的隐私保护技术主要分为基于数据失真的技术、基于数据加密的技术、基于限制发布的技术。

物联网的数据要经过信息感知、获取、汇聚、加密、传输、存储、决策和控制等处理流程。物联网应用不仅面临信息采集的安全性，也要考虑到数据传输中安全性和应用平台中数据存储的私密性，要求信息不能被窃听或篡改，以及非授权用户的访问；同时，还要考虑到网络的可靠性、可用性和安全性。物联网能否大规模推广应用，很大程度上取决于其是否能够保障用户数据和隐私的安全。

用CC的思路来考虑物联网的数据安全，可以全面的分析物联网数据安全保证的需求，同时通过安全功能组件和安全保证组件的提取，可以为后续的物联网数据安全产品设计和物联网数据安全风险评估提供指导。

3 基于CC标准的物联网数据安全需求分析

下图是一个典型的物联网数据传输应用场景，涵盖了不同的数据传输方式，在没有网络覆盖的情况且不适合布线的地方，通过无线传输，如①所示。或者无线专网传输，如②所示。通过专网上传数据的有线传输，如③所示。

可以从图中总结出物联网的数据安全着重要关注的区域有三个，分别是感知层的数据安全，信息采集中心的数据安全和数据上传到上级中心的数据传输安全。从图1中可以看出，感知层处于物联网的末端，负责各类信息的采集，是物联网各种应用的基石，但是采集后的业务数据并没有严格的保密措施，这些业务数据信息是一些涉密信息，到达信息中心采集服务器，有“一公里”的安全通信问题，并且在数据上报传输时，数据易被截获、纂改等，一旦泄漏，会严重损害国家利益。数据采集区数据进入信息采集中心网络以及业务数据上报到上级单位网络时，业务数据由低安全域网进入高安全域网络，在进行数据交换时，并没有相应的隔离措施来保证高安全域网络的安全。在“末端一公里”的传输过程中，由于存在专用的通信资源有限、专用通信网络覆盖范围有限等不足，很可能影响上级单位对采集信息实时监管的任务需求。同时也不能满足物联网时代军民融合的通信战略需求。

针对图1中提出的安全隐患，系统需要重点解决“末端一公里”的通信安全问题以及信息安全传输问题和网络安全隔离问题。安全需求具体体现在以下方面：

（1）业务数据的安全保密需求

物联网中的业务数据在开放的网络中传输时，有可能被非授权的用户或实体截取，获得对某个资源的非法访问，从而导致泄密，造成严重后果。因此，通过信息系统传输的业务数据必须进行加密保护，且加密算法和密码强度满足一定的加密要求。

（2）业务数据安全隔离交换需求

业务数据在进入高安全域网络进行数据交换时，需要提供可靠的安全隔离，要阻断能用的TCP/IP连接，任何TCP/IP报文都不能直接进行传输，实现通用网络协议和私有通信协议的协议转换，只允许用户认可的业务及其他信息进行数据转发。需要控制包含在TCP/IP报文中的网络攻击，保证不同安全域网络互连的安全性。

（3）身份认证及消息认证需求

身份认证确保通信双方互为可信的通信实体；消息认证实现消息的完整性验证。

（4）其他安全需求

仅允许给出数据交换机制、数据格式的专用业务数据进入，并能对业务数据进行有效控制，进行安全检查。只有通过安全检查的数据才允许进行另一个网络。因此，系统还应该设置访问控制、安全审计、密钥管理等功能。

CC标准中提出的安全需求抽取方法是根据威胁和预定采取的组织安全策略确定安全目的，通过选择安全功能组件对应实现安全目的，所选择的安全功能组件可以视为是安全需求的具体抽取。基于CC标准的方法的一个优势是使用了标准所提供的安全功能组件，使得安全需求的表达形式更为严谨和权威。安全需求抽取的主要工作是根据威胁或者预定的安全目标识别安全需求。

4 基于CC的物联网数据安全功能组件和安全保证组件

基于对物联网数据安全的需求分析，结合CC功能组建集合中关于数据安全方面的功能组件的设计，本文对物联网数据安全功能组建和安全保证组建选取了下面的安全功能组建列表和安全保证组建列表（EAL 3级，3级是应用中广泛采用的一个等级）。

5 结束语

在对物联网安全研究中从物联网的数据安全角度出发，建立了基于CC的物联网数据安全风险分析和安全功能组件和安全保证组件的选取，建立了数据驱动的安全保证体系。本文将CC标准融人物联网数据安全需求分析过程中，为物联网的数据安全需求选取了安全功能组件和安全保证组件，从而能够较为容易的开发物联网数据安全防护产品和物联网数据防护提供框架范围内的参考，能部分解决物联网安全的落地问题。对以往的只是从架构角度去谈物联网安全或突出某项关键技术，但脱离实际应用环境的现状做了改进。

结合CC分析物联网的数据安全，在一定程度上达到了脱离具体产品和特定技术，能够较为全面的反映物联网数据安全保证所需的功能组件。该方法对于物联网数据安全评估和物联网安全产品的开发有较好的实用价值。

参考文献

[1]European Research Projects on the Intemet of Things （CERP-IoT） Strategic Research Agenda（SRA）. Internet of things-strategic research roadmap.http：//ec.Europa.eu/information_so ciety/policy/rfid/documents/in_cerp.pdf.）

[2]Commission of the European communities. Internet of Things in 2020， EPoSS， Brussels. http： //www.umic. pt/images/sto-ries/publicacoes2/1nternet-of-Things_in_ 2020_EC-EPoSS_Workshop_Report_2008_v3.pdf

[3]武传坤物联网安全架构初探中国科学院软件研究所信息安全国家重点实验室《中国科学院院刊》（中文版），2011

[4]孙其博，刘杰，黎羴，等物联网：概念、架构与关键技术研究综述[J]北京邮电大学学报，2010（03）

[5]郭莉，严波，沈延物联网安全系统架构研究[J]信息安全与通信保密，2010（12）

[6]高同，朱佳佳，罗圣美，孙知信M2M功能架构与安全研究计算机技术与发展2012（1）

[7]李志清.物联网安全架构与关键技术[J]微型机与应用，2011（09）

[8]吴振强，周彦伟，马建峰物联网安全传输模型[J]计算机学报，2011（08）

[9]SachinBabar，AntoniettiaStango， Proposed Embedded Security Framework for Internet of Things （IoT）978-1-4577-07872011 IEEE

[10]ArijitUkil，JaydipSen， Embedded Security for Internet of Things978-1-4244-9581

2011 IEEE

[11]DoriceNyamy， Pascal Urien， HIP-TAG，a New Paradigm for the Internet of Things， 978-1-4244-8790-5/112011 IEEE

[12]杨庚，许建，陈伟，等物联网安全特征与关键技术[J]南京邮电大学学报（自然科学版），2010（04）

[13]郎为民.物联网安全技术的相关研究与发展[J]信息网络安全，2011（03）

[14]杨光，耿贵宁，都婧，等物联网安全威胁与措施[J]清华大学学报（自然科学版），2011（10）

[15]聂学武，张永胜，骆琴，等物联网安全问题及其对策研究[J]计算机安全，2010（11）

[16]李振汕.物联网安全问题研究[J]信息网络安全，2010（12）

[17]Murat D，Youngwhan S An RSSI-based scheme for Sybil attack detection in wireless sensor networks. In： Proceedings of the 2006Intemational Symposium on a World of Wireless， Mobile and Multimedia Nerworks（WoWMoM' 06）， New York USA， June 2006

[18]Hu Y C，Perrig A，Johnson D B Packet leashes：a defense against wormhole attacks in wireless networks， twenty-second annualjointconference ofthe IEEE computer and communications societies. IEEE INFOCOM 2003， 3（30）：1 976-1 986

[19] KrotirisI，DimitriouT，Giannetsos T.LIDeA： A distributed lightweight intrusion detection architecture for sensor networks[C]//Proceedings fo the 4 th Intemational Conference on Security and Privacy for Communication networks， 2008

[20]Loo C E，Ng M Y，LechkieC，et al，Intrusion detection for routing attacks in sensor networks[J]. Intemational Journal of DistributedSensor Networks， 2006， 2（4）L：313-332

[21]Bhuse V，Gupta A Anomaly intrusion detection in wireless sensor networks[J]. Journal of High Speed Networks， 2006，15（1）： 33-51

[22]刘丰煦.基于CC标准的等级驱动安全需求分析方法[D]天津：天津大学，2012

[23]潘东.结合CC标准基于活动图扩展的安全需求分析方法[D]天津：天津大学，2010