摘  要：物联网即“万物相连的互联网”，是利用互联网延伸与扩展，实现频射识别、红外感应、全球定位系统、激光扫描器等设备的互联通信。物联网体系结构复杂，各组件安全问题突出，传统人工测评方式难以适用。目前，以攻击者视角来研究如何整体评估物联网生态安全的报道较少。文章以威胁建模为导向，基于物联网组件分解理论，定义并识别出所有可能的攻击面，提出一种综合评估物联网生态系统安全方式，为自动化渗透测试提供适当的切入点。

关键词：物联网;攻击面;自动化渗透测试;威胁建模

中图分类号：TP391.44;TN929.5       文献标识码：A 文章编号：2096-4706（2020）01-0171-03

Abstract：IoT（internet of things） is the considered as the internet of all the things. According to the extension and expansion of internet，the information sensing devices such as frequency identification，infrared sensors，GPS，laser scanner and so on，are able to interconnect with each other. As a new technology production，the architecture of the internet of things is extremely complex，and the security of various components is particularly prominent. Therefore，it will be difficult to carry out the traditional manual evaluation method. At present，there are relatively few studies on the overall assessment of ecosystem security of the internet of things from an attackers perspective. In this paper，based on threat modeling，component decomposition theory based on internet of things，and then give a suggestion of identifying all the referring possible attack surfaces，and form a method of how to estimate the IOT ecosystem security assessment. It will be supposed to provide an appropriate entry point for automated penetration testing in the future research.

Keywords：internet of things;attack surfaces;automated penetration testing;threat modeling

0  引  言

物联网（IoT，internet of things）是新型信息技术的重要组成部分，它本质上是对传统网络的进一步延伸与扩展，通过将各种信息传感设备与互联网相结合，实现任何时间、任意地点的人、机、物的互联互通[1]。物联网具有整体感知、可靠传输和智能处理的特性要求，是由各种组件进行的大规模、复杂化的配置与融合，针对这些特征，安全应用亦将面临着规模复杂、综合交互的新型挑战。

渗透测试是通过模拟攻击的方式，评估互联网或系统安全的常规性方法，与黑客攻击的非法性目标不同，其旨在提供系统中可以被攻击者利用的漏洞清单及修复建议，以提高系统的整体性安全。按照PTES（渗透测试执行标准）的规定内容[2]，渗透测试过程可分为前期交互、情报搜集、威胁建模、漏洞分析、漏洞攻击、后渗透以及撰写报告7个阶段，而威胁建模又是其中至关重要的环节，该环节根据已获取信息识别出可能存在的攻击矢量，指引后续漏洞挖掘与验证的执行。

截至当前，针对物联网安全方面的研究，往往是将对物联网设备的探究分析、模拟攻击及防御方法作为重点关注对象，而极少以攻击者为第一视角提供评估物联网生态系统整体安全性的方法。此外，尽管渗透测试是一种广泛使用的方法，但如继续沿用于物联网安全研究中，将会耗费大量的人力、物力、财力及时间成本，因此物联网安全渗透测试的发展将会是更加自动化、智能化的。

当前渗透测试的工作对象普遍以Web应用系统和移动应用为主，而针对物联网、大数据、人工智能、云应用等新形态的渗透测试研究也势在必行。与传统渗透测试模式不同，这些新兴应用规模庞大、结构复杂，其所涉及的安全问题也异常突出，为了适应这些新变化，新的渗透测试模式与方法也急需形成并于实践中运用。本文中，我们的研究基于物联网自动化渗透测试的威胁建模，通过逐步分解来定义和识别出物联网生态系统中所有可能的安全攻击面，从而提出一种整体评估物联网安全性的可行方式，为实现后续的自动化渗透测试提供适当的切入点。

1  物聯网安全

相较于传统互联网，物联网安全防御更为繁杂，因其结构化的组合特性，会涉及更多的安全漏洞或攻击面。因此，传统的网络安全解决方案无法全方位覆盖至物联网安全各方面。按照中国电信和绿盟科技公司联合发布《2017物联网安全研究报告》中的相关内容，物联网安全架构可以被分为感知层、网络层和应用层：

（1）感知层安全。感知层也常被称为识别层或物理层，主要负责信息采集及传输，是物联网全面感知的核心能力。信息采集技术包括传感器、条码、二维码、RFID射频、音视频等多媒体信息，而信息传输通常指的就是实现这些设备之间相互通信的传感器网络。基于客观因素的考虑，物联网设备被设计成只具有有限的计算、通信和存储能力，往往难以直接在其上面运用复杂的安全技术，通常会涉及到的防护技术和措施主要有物理安全、硬件安全、接入安全、操作系统安全、数据安全、网络安全、应用安全等。

（2）网络层安全。网络层主要负责感知层与应用层之间的信息传输，目前物联网中采用的网络接入技术仍然是常用的几种，如无线局域网、蜂窝移动网、自组网等多种异构网络。虽然传统网络的安全机制依旧适用于物联网，但毕竟物联网的网络环境更为复杂，所要面临的网络安全问题也相对更加繁多，例如针对网络安全势态感知、物联网专有网络协议等方面。

（3）应用层安全。目前物联网领域中主要存在两种形式的Web应用，即混合云模式和独立嵌入式服务器模式。混合云模式通常包含厂家或服务提供商的SaaS服务，与嵌入式固件中的Web应用程序建立并实现数据同步。每套混合模式框架都包含第三方市场，其中也涉及各种类功能插件，这种移动框架在带来便利性同时也隐藏着诸多安全隐患。独立的嵌入式服务应用则是为特定系统而开发的，例如采用C、Swift、Java等原生语言编写，因此原生应用的安全也往往取决于开发人员对原生平台语言的熟悉程度，这在实际中往往是难以把控的[3]。

2  渗透测试

根据OWASP物联网渗透测试项目相关内容[4]，物联网自动化透测试主要分为四个阶段，即信息收集、漏洞分析、漏洞挖掘和报告形成。

2.1  信息收集

信息收集是初始阶段但尤为关键的环节，渗透测试是否能够成功执行，很大程度上取决于从其所依赖三层结构中探测到的可用信息。

（1）感知层：在感知层中，有必要收集到的物理环境信息包括但不局限于节点位置、节点类型、节点范畴、连接方式、通信协议、拓扑结构、操作系统、功率、保护机制、节点脆弱性、传输协议脆弱性等。

（2）网络层：与传统渗透测试基本一致，所收集的信息大致为网络类型、连接方式、保护机制、传输协议脆弱性等。

（3）应用层：尽管物联网应用场景极为广泛，但针对其在应用层的信息收集工作基本相同，譬如服务器类型、访问端口、配置信息、应用程序报错或泄露等信息。

2.2  漏洞分析

基于已获知的信息，确定测试执行目标及计划，分析并识别出可行的攻击途径，考虑如何取得目标系统的访问权。

2.3  漏洞挖掘

根据之前已识别出的攻击路径和目标，实施对漏洞的挖掘与验证。

2.4  报告形成

报告是渗透测试过程中最为重要的因素，以报告文档展现渗透测试过程所发现的安全漏洞和弱点，为漏洞修复提供依据指引，是渗透测试工作真正价值的体现。

3  威胁攻击研究

威胁建模是一种深入分析应用程序安全性的有效方法，它通过提供上下文和风险分析来识别、量化、定位和捕捉应用相关安全风险。当评估物联网安全性问题时，往往建立威胁模型是极有必要的，它还能够帮助指引渗透测试的执行过程，有助于消除物联网中存在的安全隐患。

威胁建模通常分为3个步骤，即应用分解、威胁确定和对策解读。本节内容是基于已提出的BDI建模[5]，从攻击面角度分解物联网系统，从而提供可被识别的潜在安全威胁攻击面，旨在为后续确定对策和缓解措施提供参考依据。

以攻击者视角将物联网，按照攻击面分解各应用组件，可分为生态系统、设备内存、设备物理接口、设备Web界面、设备固件、网络服务、管理界面、本地数据存储、云Web界面、第三方后端APIs、更新机制、移动应用程序、供应商后端APD、生态系统通信、网络流量、认证与授权、隐私和硬件。根据OWASP物联网渗透测试项目中定义內容[6]，分解出各攻击面所涉及自动化渗透测试的关联威胁漏洞如表1所示。

4  结  论

物联网生态系统已逐渐演化成为一种融合了传统网络、传感器、无线网络、普适计算、云计算等信息与通信技术的完整信息产业链，其涉及的终端规模庞大、业务面广、技术标准规范分散等问题，对物联网安全评估带来了极大的挑战。

针对物联网生态系统的安全现状，本文按照感知层、网络层、应用层的结构划分，简析并对比了其各自与传统网络安全方面的差异性;建议采用自动化渗透测试方法进行全方位评估;以BDI建模思想作为指引，系统性梳理并形成其涉及攻击面有可能出现的威胁漏洞清单，旨在为后续自动化渗透测试的进一步研究提供可行的输入及依据参考切入点。

参考文献：

[1] JUN Q，PO Y，XU L，等. Advanced Internet of Things for Personalised Healthcare System：A Survey [J].Pervasive & Mobile Computing，2017（41）：132-149.

[2] OWASP.IoT Attack Surface Areas Project.” [EB/OL].[2019-11-06].https：//www.owasp.org/index.php/IoT Attack Surface Areas.

[3] DENIS M，ZENA C，HAYAJNEH T. Penetration testing：Concepts，attack methods，and defense strategies [C]//2016 IEEE Long Island Systems，Applications and Technology Conference （LISAT），IEEE，2016.

[4] CHU G，LISITSA A. Penetration Testing for Internet of Things and Its Automation [C]//IEEE 16th International Conference on Smart City，At Exeter，United Kingdom，2019.

[5] 赵旭赟，宋彬，阮长明，等.基于BDI的多Agent复杂系统建模方法 [J].信息技术，2015（10）：121-123.

[6] OWASP China，OWASP IoT项目，OWASP IoT Top 10 2018 [EB/OL].[2019-11-06].http：//www.owasp.org.cn/owasp-project/owasp-things.

作者简介：冯伟（1987.03-），男，汉族，湖北黄冈人，工程师，硕士，研究方向：Web应用安全渗透测试、自主Web服务组合。