物联网作为新一代信息技术的重要组成部分,是实现人、机、物泛在连接的基础设施,是现实世界和数字空间的桥梁,但物联网的发展也催生出许多新的安全问题。为了统筹物联网的发展与安全,提升物联网产品安全测试服务能力和水平,中国工业互联网研究院工联众测平台(以下简称“平台”)研发上线“物联网安全众测”业务板块,正式面向工业物联网、车联网、基础设施物联网、消费物联网等相关产品提供安全众测服务,旨在以测促改、以测促建,不断提升物联网基础设施安全保障水平。
目前,物联网安全测试主要面临两大难点,一是繁多的通信协议以及复杂多样的业务现场,导致远程在线测试难以实现;二是传统众测方式存在固件泄露风险,导致产品商业秘密泄露及暴露面扩大,产生更大的安全风险。
对此,平台可为工业物联网、基础设施物联网、车联网、消费物联网等业务场景,快速建立远程在线测试环境,内置各类安全工具,帮助物联网安全研究人员便捷开展各类安全测试。同时,通过认证、鉴权、加密、审计等技术手段,打造具有可信赖、可回溯、防下载、场景仿真、线上快速接入5大特点的物联网安全测试环境(如图1所示),具体如下:
可信赖:入驻平台的安全专家均已通过实名身份认证和资格审核;
可回溯:平台通过屏幕录像、操作日志、会话记录实现测试过程的全程审计;
防下载:平台测试环境中禁止任何下载功能,杜绝固件及测试数据外泄风险;
场景仿真:基于虚实结合技术,将下位机与虚拟化平台中的业务场景打通,满足实际业务的安全测试需求;
线上快速接入:通过在需求方现场部署下位机,可对专用协议和接口进行识别与转换,实现实景测试的线上快速接入。平台目前支持8类常用协议的对接,包括Zigbee、WiFi、蓝牙、车载以太网、Modbus、OPC、MQTT、CAN。后续,平台还将在实际测试场景中根据不同目标进行协议定制化转换,不断增加协议支持范围。
图1 物联网安全众测业务架构
物联网安全众测业务范围包括:工业物联网(如:工业传感器、传输设备、应用组件等)、车联网(如:车载设备、路侧单元等)、基础设施物联网(如:视频监控设备、交通控制设备以及各类传感器等)、消费物联网(如:智能穿戴设备、智能家居等)等相关产品和业务场景的安全测试,如图2所示。
图2 物联网安全众测应用场景