物联网信息安全模型综述邵华1，范红1（1.公安部第一研究所, 北京100048）摘要：物联网是互联网的延伸，不仅传统的安全问题继续困扰物联网，而且新的、特有的安全问题也不断呈现，这些均对物联网安全模型提出了更高的要求。

本文从安全防护对象以及方式对物联网信息安全模型进行分类，综述了当前比较流行的物联网信息安全模型，分析了现有安全模型优势与劣势，展望了物联网信息安全模型发展的趋势。

关键词：物联网；信息安全；安全模型An Overview of Information Security Model for IOTShao Hua1, Fan Hong1(The First Research Institute of Ministry of Public Security Beijing 100048)Abstract：The internet of things is the extension of the internet, should not only to face the traditional security issues, but also deal with new and specific security problem, which made higher requirements for security model. This article from the security protection object and way to classify the information security model for IOT, summarizes the current popular information security model for IOT, analysis the advantages and disadvantages of the existing security model, and predicts the trend of the development of the IOT information security model.Keyword：Internet of things; information security; security model1.引言据不完全统计，2013年，全球有120亿感知设备连接物联网，预计到2020年，有近500亿设备连接物联网，而在2008年连接在互联网上的设备将超过地球上人口的总和。

如此众多设备连接上网络，其造成的危害和影响也是无法估量，特别是当物联网应用在国家关键基础设施，如电力、交通、工业、制造业等，极有可能在现实世界造成电力中断、金融瘫痪、社会混乱等严重危害公共安全的事件，甚至将危及国家安全，因此伴随着物联网快速发展，物联网安全也越来越受到重视。

信息安全模型最早可以追溯到1973年由Bell和Lapadula提出的机密性模型[1]，但物联网涉及技术纷繁复杂、防护对象层次不齐，传统的安全模型已不再适用新的安全需求。

近年来，人们在原有的模型基础上，对物联网信息安全模型做了初步1作者简介：邵华（1984－），男，湖北，安全工程师，硕士Email:haorrenhaomen@; 范红（1969－），女，河北，研究员，博士后Email: ysfanhong@资助项目：国家发改委2012信息安全专项探讨和研究。

从安全防护对象以及方式来看，物联网信息安全模型可分为两大类：一是单层安全模型，这类模型主要侧重于物联网三层结构中某一层的安全问题，具有一定的安全防护能力，整体防护能力偏弱；二是整体防护安全模型，这类模型以整体角度分析安全防护措施，或以攻击形式考虑安全问题、或以安全技术考虑问题，不仅相同。

本文综述目前已有的物联网安全模型，同时在此基础上展望了未来的研究方向。

本文第2节综述了三个物联网单层安全模型，第3节考察了整体防护安全模型，最后展望未来的研究方向。

2.单层安全模型2.1面向感知层安全模型为了构建通用安全框架模型，最大程度改变当前存在安全系统、信息管理、自治管理的关系，Pierre等人提出一种自管理安全单元模型（SMSC）[2]，该模型适用于大型分布式系统，以资源作为其安全防护对象，其中资源可以理解为连接在网络上的资产，典型的资源有：应用、传感器等设备。

SMSC模型具备互操作性、自动操作、权利下放和上下文前后对照下特性。

互操作性是指资源可以相互通信与理解的特性，其被分为3个主要领域，即通信语义、通信语法、操作的连接；自动控制是指资源根据侦听的安全威胁，自动执行安全策略进行响应。

在物联网中，随着资源数量和它们之间联系的增加，人工管理效率也越来越低，因此需要系统进行自动控制；权利下放是指在实际应用中，资源不可避免地要管理下放信息的存储以及制定安全策略；上下文前后对照性是指资源必须根据不同功能、不同类型的数据进行自适应管理，安全实施必须依赖其上下文环境。

SMSC模型是基于自我管理单元模式（SMC）的模型[3]，SMSC模型在SMC中加入了基于安全和管理的组件，通过借助于大量资源结盟潜在的影响来提高网络安全性，从而能够保证安全通信，图1为SMSC模型的逻辑视图。

图 1 SMSC模型逻辑视图Figure 1 logical view of SMSC modelSMSC模型要求资源节点具有一定的处理能力来完成自动控制功能，而在物联网应用中，特别是传感网应用中，感知节点处理能力、存储能力、能量消耗均有限，安全功能实现成本代价较高，其实际应用效果并不明显。

2.2面向传输层安全模型在EPC物联网体系结构中，信息传输过程中易出现隐私泄漏，其主要原因有：1）阅读器与标签之间的任意读取；2）ONS查询系统为L-ONS提供无条件查询功能；3）物品信息有R-TIS以明文形式传送给L-TIS。

为此，吴政强等人提出基于EPC物联网架构的安全传输模型[4]，该模型是面向协议，主要增强了传输过程中信息隐私的安全性。

其通过引入可信第三方-----可信认证服务器对原有模型进行改进：在ONS查询机制中增加了可信匿名认证过程，对L-ONS的身份合法性以及平台可信性进行认证；物品信息可信匿名传输机制确保物品信息的安全传输，物联网安全传输模型如图2所示。

在传输过程中，远程物品信息服务器按响应路径各节点的顺序从后至前用公钥对物品信息嵌套加密，加密后的数据每经过一个路由节点被解密一层，直到本地信息服务器时，物品信息才被还原成明文。

传输过程每个路由节点可以验证收到数据的完整性及转发路径的真实性。

图2 物联网安全传输模型Figure 2 Security Transmission Model for Internet of Things 物联网安全传输模型匿名认证协议具有抗被动攻击、抗主动攻击、信息泄漏量极小，路由可鉴别性、响应数据的可验证性。

但由于其基于EPC网络结构，适用范围具有一定局限性。

3.整体防护安全模型3.1基于P2DR2的物联网安全模型传统的安全防护方法是对系统或设备进行风险分析，制定相应的安全防护策略或部署安全设备进行防护，这种方式忽略了物联网安全的动态性，为此PDR模型应运而生，PDR是防护（Protection）、检测（Detection）、反应（Reaction）的缩写PDR模型通过Pt(攻击所需时间)、Dt（检测安全威胁时间）、Rt（对安全事件的反应时间）来描述系统是否安全，即Pt>Dt+Rt，随着技术发展，PDR模型演变为P2DR模型，后期又融合了恢复（Recovery），形成了更为完善的P2DR2的动态自适应安全模型。

刘波等人提出了基于P2DR2的物联网安全模型[5]，该模型采用动态防御的思想，结合物联网的三层体系结构，如图3所示。

图3基于P2DR2的物联网安全模型Figure 3 Security model for IOT based on P2DR2基于P2DR2的物联网安全模型强调了安全防护的各个方面，各层均未给安全技术实施方法，缺乏可操作性。

将P2DR2模型直接应用物联网，虽然考虑了分层结构，但各层策略（Policy）、防护（Protection）、检测（Detection）、反应（Reaction）、恢复（Recovery）实现能力层次不齐，特别是在感知层，容易出现“短板”问题。

3.2基于等级划分的物联网安全模型目前，国内外较为流行的无线通信协议均采用为不同安全等级应用配置不同加密等级策略的思路。

我国自1994年开始实施信息安全等级保护制度来重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。

随着物联网的发展，等级保护也作为物联网安全防护的重要分支。

孙知信等人提出了一种基于等级划分的物联网安全模型（BHSM-IOT）[6]，该模型以物联网攻击模型和以物联网实际应用为前提构建的物联网拓扑模型为基础，利用模糊评价方法对物联网应用进行等级划分（无安全模式，ACL模式，认证、完整性和机密性模式，认证、完整性和机密、密钥管理模式），从而部署实施不同安全配置。

BHSM-IOT模式架构如图4所示，包括应用需求分析、网络拓扑分析、攻击类型预测以及应用安全等级判定4个部分，其中BHSM-IOT模型从信息系统提取关键对象进行描述：应用系统管理员（ASA）、用户（User）、维护数据单元（MDU）、系统硬件设备（SH）、应用涉及范围（AR）、应用类型（A T）和敏感数据单元（SDU）。

图4 基于等级划分的物联网安全模型Figure 4 Security model for IOT based on Classification范红等人提出一种从横向和纵向两个方面提升物联网防护水平的物联网安全技术体系（STA-EPC）[7]，横向防御体系以国标GB25070-2010为依据[8]，涵盖等级保护物理安全、安全计算环境、安全区域边界、安全通信网络、安全管理中心、应急响应恢复与处置六个方面，其中“一个中心”管理下的“三重保护”是核心，物理安全是基础，应急响应处置与恢复是保障。

纵深防御体系是依据保护对象的重要程度以及防范范围，将整个保护对象从网络空间划分为若干层次，不同层次采取不同的安全技术。

目前，物联网体系以互联网为基础，因此可以将保护范围划分为：边界防护、区域防护、节点防护、核心防护（应用防护或内核防护），从而实现如图5所示的纵深防御。

STA-EPC模型满足机密性、完整性、accountability、可用性安全属性。

图5 纵深防御体系Figure 5 depth defense structures上述两个安全模型均包含等级防护的思想，BHSM-IOT模型通过赋值进行定量评估信息系统等级，具有一定可操作性，但其安全技术粒度粗糙；STA-EPC模型针对40多个安全技术部署位置以及防御的层次给出了详细的描述，为了物联网安全防护提供了细粒度的操作指南。