物聯(lián)網(wǎng)操作系統(tǒng)安全研究綜述

2018-04-19 03:13:42彭安妮周威賈巖張玉清

通信學(xué)報(bào) 2018年3期

彭安妮，周威，賈巖，張玉清,

彭安妮1，周威1，賈巖2，張玉清1,2

（1. 中國科學(xué)院大學(xué)國家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心，北京 101408；2. 西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院，陜西西安 710071）

隨著物聯(lián)網(wǎng)的迅速普及和應(yīng)用，物聯(lián)網(wǎng)系統(tǒng)核心（操作系統(tǒng)）的安全問題越發(fā)顯得急迫和突出。首先，對(duì)現(xiàn)階段市場(chǎng)上廣泛應(yīng)用的物聯(lián)網(wǎng)操作系統(tǒng)及其特征進(jìn)行了介紹，分析了其與傳統(tǒng)嵌入式操作系統(tǒng)的異同；然后，在調(diào)研和分析大量物聯(lián)網(wǎng)操作系統(tǒng)相關(guān)文獻(xiàn)的基礎(chǔ)上，從構(gòu)建完整安全系統(tǒng)的角度對(duì)現(xiàn)有物聯(lián)網(wǎng)操作系統(tǒng)安全研究成果進(jìn)行有效的分類和分析；進(jìn)一步指出了物聯(lián)網(wǎng)操作系統(tǒng)安全所面臨的挑戰(zhàn)和機(jī)遇，總結(jié)了物聯(lián)網(wǎng)操作系統(tǒng)安全的研究現(xiàn)狀；最后，結(jié)合現(xiàn)有研究的不足指出了物聯(lián)網(wǎng)操作系統(tǒng)安全未來的熱點(diǎn)研究方向，并特別指出了物聯(lián)網(wǎng)系統(tǒng)生存技術(shù)這一新的研究方向。

物聯(lián)網(wǎng)；安全；操作系統(tǒng)

1 引言

數(shù)據(jù)表明，物聯(lián)網(wǎng)逐漸成為繼計(jì)算機(jī)、互聯(lián)網(wǎng)之后，世界信息產(chǎn)業(yè)發(fā)展的第3次浪潮，并得到各個(gè)國家與企業(yè)的高度重視，發(fā)展十分迅速。根據(jù)Statista門戶網(wǎng)站的最新統(tǒng)計(jì)數(shù)據(jù)[1]，物聯(lián)網(wǎng)市場(chǎng)規(guī)模不斷擴(kuò)大，設(shè)備數(shù)目高速增長，互聯(lián)設(shè)備數(shù)量2016年已經(jīng)達(dá)到176億，預(yù)計(jì)到2020年將突破300億。而物聯(lián)網(wǎng)操作系統(tǒng)作為物聯(lián)網(wǎng)行業(yè)發(fā)展的關(guān)鍵技術(shù)，其發(fā)展趨勢(shì)也十分迅猛。目前，ARM、谷歌、微軟、華為、阿里等國內(nèi)外公司均推出了物聯(lián)網(wǎng)操作系統(tǒng)[2]。

由于物聯(lián)網(wǎng)存在設(shè)備的異構(gòu)性、設(shè)備間的互用性以及部署環(huán)境的復(fù)雜性等因素，物聯(lián)網(wǎng)應(yīng)用普遍安全性較低、不便于移植、成本較高。其中，物聯(lián)網(wǎng)操作系統(tǒng)作為連接物聯(lián)網(wǎng)應(yīng)用與物理設(shè)備的中間層，對(duì)解決這些問題起著主要作用。物聯(lián)網(wǎng)操作系統(tǒng)可以屏蔽物聯(lián)網(wǎng)的碎片化特征，為應(yīng)用程序提供統(tǒng)一的編程接口，從而降低開發(fā)時(shí)間和成本，便于實(shí)現(xiàn)整個(gè)物聯(lián)網(wǎng)統(tǒng)一管理。鑒于物聯(lián)網(wǎng)操作系統(tǒng)作為物聯(lián)網(wǎng)系統(tǒng)架構(gòu)的核心，其安全問題將會(huì)嚴(yán)重影響整個(gè)物聯(lián)網(wǎng)生態(tài)系統(tǒng)，所以物聯(lián)網(wǎng)操作系統(tǒng)也逐漸成為攻擊者的重點(diǎn)目標(biāo)。

近年，隨著物聯(lián)網(wǎng)應(yīng)用領(lǐng)域擴(kuò)大，物聯(lián)網(wǎng)系統(tǒng)安全問題愈發(fā)嚴(yán)重。例如，2010年曝光的“震網(wǎng)病毒”，攻擊者利用其入侵多國核電站、水壩、國家電網(wǎng)等工業(yè)與公共基礎(chǔ)設(shè)施的操作系統(tǒng)，造成了大規(guī)模的破壞[3]。2016年，爆發(fā)的現(xiàn)今最大規(guī)模的“IoT僵尸網(wǎng)絡(luò)Mirai”，其控制物聯(lián)網(wǎng)設(shè)備的方法除了利用默認(rèn)的用戶名口令，還主要利用了物聯(lián)網(wǎng)設(shè)備中的系統(tǒng)漏洞如緩沖區(qū)溢出等，從而控制了大量的物聯(lián)網(wǎng)設(shè)備。

隨著物聯(lián)網(wǎng)設(shè)備與應(yīng)用逐漸增多，物聯(lián)網(wǎng)操作系統(tǒng)面臨的安全風(fēng)險(xiǎn)也逐漸增大。任何一個(gè)存在系統(tǒng)漏洞的物聯(lián)網(wǎng)設(shè)備，都會(huì)給整個(gè)物聯(lián)網(wǎng)系統(tǒng)帶來潛在的安全威脅，因此，亟待提出能更加有效保護(hù)物聯(lián)網(wǎng)操作系統(tǒng)的安全機(jī)制。然而現(xiàn)階段關(guān)于物聯(lián)網(wǎng)操作系統(tǒng)安全研究的文獻(xiàn)較少，已有的研究成果也存在嚴(yán)重的不足。物聯(lián)網(wǎng)設(shè)備、通信協(xié)議和應(yīng)用場(chǎng)景的多樣化與異構(gòu)性也使對(duì)物聯(lián)網(wǎng)操作系統(tǒng)很難構(gòu)建一個(gè)系統(tǒng)的安全體系。為了使研究人員更加清楚地了解物聯(lián)網(wǎng)安全研究現(xiàn)狀，促進(jìn)物聯(lián)網(wǎng)操作系統(tǒng)安全發(fā)展，本文對(duì)物聯(lián)網(wǎng)操作系統(tǒng)安全現(xiàn)狀進(jìn)行了深入分析，指出了挑戰(zhàn)和機(jī)遇以及未來的研究方向，主要貢獻(xiàn)如下。

1) 對(duì)現(xiàn)有典型物聯(lián)網(wǎng)操作系統(tǒng)進(jìn)行了全面調(diào)研與分析，總結(jié)了物聯(lián)網(wǎng)操作系統(tǒng)的關(guān)鍵新特性與存在的安全問題，并根據(jù)不同的物聯(lián)網(wǎng)應(yīng)用場(chǎng)景提出了相應(yīng)的安全需求。

2) 通過調(diào)研大量的現(xiàn)階段物聯(lián)網(wǎng)操作系統(tǒng)相關(guān)研究成果，將物聯(lián)網(wǎng)操作系統(tǒng)安全相關(guān)文獻(xiàn)按照“系統(tǒng)安全構(gòu)建—系統(tǒng)安全性分析—系統(tǒng)攻擊防御”這3個(gè)角度進(jìn)行了分類，并將不同安全技術(shù)對(duì)應(yīng)到不同的應(yīng)用場(chǎng)景需求，從而可以更加清晰、全面地了解物聯(lián)網(wǎng)操作系統(tǒng)安全研究現(xiàn)狀。

3) 結(jié)合現(xiàn)有物聯(lián)網(wǎng)操作系統(tǒng)的安全問題與研究現(xiàn)狀，深入分析導(dǎo)致安全問題產(chǎn)生的根本原因，并指出了物聯(lián)網(wǎng)操作系統(tǒng)安全研究中面臨的挑戰(zhàn)與機(jī)遇。

4) 結(jié)合物聯(lián)網(wǎng)操作系統(tǒng)安全發(fā)展中的挑戰(zhàn)與機(jī)遇，為相關(guān)研究者指出未來的熱點(diǎn)研究方向，特別指出了物聯(lián)網(wǎng)系統(tǒng)生存技術(shù)這一新的研究方向。

2 背景介紹

2.1 物聯(lián)網(wǎng)設(shè)備系統(tǒng)架構(gòu)

現(xiàn)階段物聯(lián)網(wǎng)設(shè)備與應(yīng)用雖然多種多樣，但其操作系統(tǒng)主要由各種嵌入式操作系統(tǒng)改進(jìn)而來，所以其邏輯架構(gòu)層次本質(zhì)與嵌入式系統(tǒng)架構(gòu)是相似的，如圖1所示。

圖1 物聯(lián)網(wǎng)系統(tǒng)架構(gòu)

需要注意的是，物聯(lián)網(wǎng)與嵌入式系統(tǒng)架構(gòu)具有2個(gè)不同：1) 物聯(lián)網(wǎng)系統(tǒng)架構(gòu)中各個(gè)層次并不是固定的，如工業(yè)和醫(yī)療領(lǐng)域的某些控制設(shè)備，其自身受資源限制可能并沒有操作系統(tǒng)層，只是通過遠(yuǎn)程應(yīng)用的命令直接進(jìn)行控制，另外，還有許多輕量級(jí)嵌入式物聯(lián)網(wǎng)設(shè)備，其應(yīng)用直接與簡(jiǎn)化的RTOS進(jìn)行交互并沒有中間件層；2) 物聯(lián)網(wǎng)硬件設(shè)備、操作系統(tǒng)和應(yīng)用經(jīng)常在物理上也是可分離的，如智能家居中的傳感器、IP攝像頭等，其物理設(shè)備上只具備簡(jiǎn)單的操作系統(tǒng)，而其應(yīng)用則是在遠(yuǎn)程移動(dòng)設(shè)備或者云服務(wù)器上。本文主要討論系統(tǒng)架構(gòu)中操作系統(tǒng)層次的安全問題與安全研究現(xiàn)狀。

2.2 物聯(lián)網(wǎng)操作系統(tǒng)特征與安全問題

為了更好地保證物聯(lián)網(wǎng)操作系統(tǒng)安全，保障物聯(lián)網(wǎng)設(shè)備工作的正常高效，首先應(yīng)該了解物聯(lián)網(wǎng)操作系統(tǒng)新的特征。其特征使物聯(lián)網(wǎng)操作系統(tǒng)能夠與物聯(lián)網(wǎng)的其他層次結(jié)合得更加緊密，數(shù)據(jù)共享更加方便，同時(shí)也是影響物聯(lián)網(wǎng)操作系統(tǒng)安全的主要因素。本文在調(diào)研現(xiàn)有物聯(lián)網(wǎng)操作系統(tǒng)后，選取有代表性的10個(gè)物聯(lián)網(wǎng)操作系統(tǒng)，總結(jié)其各自主要特性，如表1所示。表1進(jìn)一步提煉出物聯(lián)網(wǎng)操作系統(tǒng)5個(gè)重要特征，表2對(duì)物聯(lián)網(wǎng)操作系統(tǒng)和嵌入式操作系統(tǒng)的主要特征進(jìn)行了比較。

表1 物聯(lián)網(wǎng)10個(gè)操作系統(tǒng)及其特性

1) 硬件驅(qū)動(dòng)和操作系統(tǒng)內(nèi)核可分離性。由于物聯(lián)網(wǎng)設(shè)備異構(gòu)性較大，不同的設(shè)備會(huì)有不同的固件與驅(qū)動(dòng)程序，所以對(duì)操作系統(tǒng)內(nèi)核與驅(qū)動(dòng)的可分離性要求更高，進(jìn)而提高操作系統(tǒng)內(nèi)核的適用性和可移植性。

2) 可配置剪裁性。物聯(lián)網(wǎng)終端的硬件配置各種各樣，有小到十幾千字節(jié)內(nèi)存的微型嵌入式應(yīng)用，也有高達(dá)幾十兆字節(jié)內(nèi)存的復(fù)雜應(yīng)用領(lǐng)域。因此，對(duì)物聯(lián)網(wǎng)操作系統(tǒng)可裁剪性和配置性的要求比對(duì)傳統(tǒng)嵌入式操作系統(tǒng)要求更高，同一個(gè)操作系統(tǒng)，通過裁剪或動(dòng)態(tài)配置，既能夠適應(yīng)低端的需求，又能夠滿足高端復(fù)雜的需求。

3) 協(xié)同互用性。傳統(tǒng)的嵌入式系統(tǒng)大多獨(dú)立完成某個(gè)單一的任務(wù)，而在物聯(lián)網(wǎng)環(huán)境下各種設(shè)備之間相互協(xié)同工作的任務(wù)會(huì)越來越多，所以對(duì)物聯(lián)網(wǎng)操作系統(tǒng)之間通信協(xié)調(diào)的要求會(huì)越來越高。

4) 自動(dòng)與智能化。隨著物聯(lián)網(wǎng)應(yīng)用技術(shù)的發(fā)展，物聯(lián)網(wǎng)設(shè)備需要人為干預(yù)的操作越來越少，而自動(dòng)化與智能化的操作越來越多，所以物聯(lián)網(wǎng)操作系統(tǒng)比傳統(tǒng)的嵌入式操作系統(tǒng)更加智能。

5) 安全可信性。傳統(tǒng)工業(yè)設(shè)備的嵌入式操作系統(tǒng)單獨(dú)處于封閉環(huán)境中，同時(shí)傳統(tǒng)的嵌入式設(shè)備與用戶的關(guān)聯(lián)并不那么緊密。而隨著物聯(lián)網(wǎng)設(shè)備在工業(yè)與生活中的普遍應(yīng)用，其將會(huì)面臨更加嚴(yán)重的網(wǎng)絡(luò)攻擊威脅，同時(shí)物聯(lián)網(wǎng)設(shè)備存儲(chǔ)和使用的數(shù)據(jù)更加敏感和重要。這些系統(tǒng)被控制后將對(duì)個(gè)人、社會(huì)和國家安全造成嚴(yán)重威脅，因此，對(duì)于物聯(lián)網(wǎng)設(shè)備的安全和可信性要求越來越高。

表2 物聯(lián)網(wǎng)操作系統(tǒng)與傳統(tǒng)嵌入式系統(tǒng)特征比較

本文進(jìn)一步分析了上述物聯(lián)網(wǎng)操作系統(tǒng)的安全設(shè)計(jì)，指出了其主要存在的3個(gè)問題。

1) 直接沿用原有的安全機(jī)制。例如，Android Things直接沿用了Android系統(tǒng)的一些基礎(chǔ)安全機(jī)制，并沒有深入分析物聯(lián)網(wǎng)設(shè)備實(shí)際的軟硬件特性與需求，還有eLinux也主要是基于Linux內(nèi)核安全機(jī)制，并沒有為物聯(lián)網(wǎng)設(shè)備設(shè)計(jì)額外的安全機(jī)制。

2) 缺乏對(duì)終端系統(tǒng)安全設(shè)計(jì)。現(xiàn)有的物聯(lián)網(wǎng)操作設(shè)計(jì)時(shí)普遍只關(guān)注其功能要求。例如，Contiki主要為實(shí)時(shí)性做了優(yōu)化設(shè)計(jì)，RIOT主要為支持各種通信協(xié)議進(jìn)行了改進(jìn)。大多并沒有考慮對(duì)系統(tǒng)安全進(jìn)行額外的設(shè)計(jì)。即使像mbed操作系統(tǒng)，雖然在設(shè)計(jì)時(shí)考慮安全因素，但其主要安全保護(hù)措施是為了保護(hù)通信安全如SSL，但對(duì)系統(tǒng)本身還沒有采取有效的防護(hù)措施。

3) 沒有充分利用設(shè)備自身硬件架構(gòu)安全特性。上述物聯(lián)網(wǎng)操作系統(tǒng)如FreeRTOS、RIOT、Tizen等普遍是運(yùn)行在ARM Cortex-M系列的CPU核心上的。但是對(duì)于Cortex-M自身提供的硬件安全機(jī)制如內(nèi)存保護(hù)單元（MPU），在這些操作系統(tǒng)設(shè)計(jì)中卻沒有具體的應(yīng)用。而這些自帶的硬件安全機(jī)制如果進(jìn)行合理的配置和使用，可在不增加額外硬件配置的條件下實(shí)現(xiàn)高效的系統(tǒng)防御措施。

2.3 不同物聯(lián)網(wǎng)場(chǎng)景下操作系統(tǒng)安全需求

現(xiàn)階段物聯(lián)網(wǎng)應(yīng)用場(chǎng)景逐漸增多，不同場(chǎng)景下的需求不同，設(shè)備軟硬件資源存在差異，故各應(yīng)用場(chǎng)景對(duì)應(yīng)的系統(tǒng)安全需求側(cè)重點(diǎn)也不相同。在介紹物聯(lián)網(wǎng)操作系統(tǒng)安全研究現(xiàn)狀之前，本節(jié)首先對(duì)各個(gè)應(yīng)用場(chǎng)景的安全需求進(jìn)行分析簡(jiǎn)述，只有明確其安全需求，才能采取有針對(duì)性的安全機(jī)制。

2.3.1 智能家居

在智能家居越發(fā)普及的同時(shí)，各種智能家居設(shè)備系統(tǒng)中保存和使用的用戶隱私信息也越來越多。這些數(shù)據(jù)不僅包含與用戶身份認(rèn)證直接相關(guān)的指紋、密碼等隱私信息，還包括用戶日常生活中的隱私信息，例如，溫度傳感器記錄了家中各個(gè)房間的實(shí)時(shí)溫度信息；智能電表記錄了家中的用電情況等。而且目前用戶隱私保護(hù)意識(shí)較差，智能家居產(chǎn)品也缺乏隱私數(shù)據(jù)使用規(guī)范，導(dǎo)致智能家居設(shè)備隱私數(shù)據(jù)泄露日趨嚴(yán)重[14]。

智能家居操作系統(tǒng)的首要安全需求是保護(hù)用戶的隱私數(shù)據(jù)，操作系統(tǒng)需要在不影響應(yīng)用端使用這些隱私數(shù)據(jù)的同時(shí)防止隱私數(shù)據(jù)泄露。

2.3.2 智能醫(yī)療

在智能醫(yī)療場(chǎng)景下，設(shè)備收集的用戶隱私信息會(huì)更多，同時(shí)智能醫(yī)療設(shè)備的隱私信息會(huì)共享給諸多醫(yī)療單位，加劇用戶醫(yī)療隱私信息泄露的風(fēng)險(xiǎn)[15]。另一方面，該場(chǎng)景下設(shè)備運(yùn)行的穩(wěn)定性需要得到保證，醫(yī)療設(shè)備尤其是胰島素泵[16]、心臟起搏器[17]等人體嵌入式設(shè)備尤為重要，一旦這些醫(yī)療設(shè)備的操作被惡意控制，將會(huì)直接威脅用戶的生命安全，針對(duì)智能醫(yī)療設(shè)備[18]的勒索軟件也開始逐漸增多。

對(duì)于智能醫(yī)療設(shè)備的操作系統(tǒng)，一方面需要對(duì)收集、使用和傳輸?shù)碾[私數(shù)據(jù)進(jìn)行嚴(yán)格保護(hù)，另一方面需要對(duì)設(shè)備的關(guān)鍵程序操作也進(jìn)行實(shí)時(shí)的監(jiān)控，在異常行為最終執(zhí)行之前采取對(duì)應(yīng)的處理措施，切實(shí)保障智能醫(yī)療設(shè)備的安全運(yùn)行。

2.3.3 智能工業(yè)

現(xiàn)階段工業(yè)生產(chǎn)中應(yīng)用的物聯(lián)網(wǎng)設(shè)備越來越多，這些物聯(lián)網(wǎng)設(shè)備在方便企業(yè)進(jìn)行更加智能自動(dòng)化管理和操作的同時(shí)，也擴(kuò)大了其攻擊面。例如，“震網(wǎng)病毒”等對(duì)關(guān)鍵工業(yè)設(shè)施的攻擊會(huì)對(duì)企業(yè)和國家產(chǎn)生嚴(yán)重危害。

因此，關(guān)鍵智能工業(yè)設(shè)備操作系統(tǒng)最重要的安全需求應(yīng)該是對(duì)其控制程序的完整性和可信性的驗(yàn)證。確保控制可信命令得到執(zhí)行，同時(shí)，對(duì)于設(shè)備的異常行為做到提早發(fā)現(xiàn)和快速處理，防止異常程序行為的執(zhí)行。另外，對(duì)關(guān)鍵工業(yè)設(shè)備的外圍接口也要進(jìn)行安全隔離，防止通過如U盤等外圍設(shè)備插入關(guān)鍵控制設(shè)備傳播惡意代碼。

2.3.4 智能汽車

隨著市場(chǎng)上聯(lián)網(wǎng)的智能汽車逐漸增多，現(xiàn)實(shí)中對(duì)智能汽車的電子攻擊也層出不窮[19]。智能汽車的系統(tǒng)漏洞也逐漸成為不法者盜取汽車的重要手段[20]。另一方面，用戶個(gè)人車輛行駛數(shù)據(jù)具有較大的商業(yè)價(jià)值，也成為不法者和各大公司竊取的主要目標(biāo)。

對(duì)于智能汽車操作系統(tǒng)，一方面要防止其存儲(chǔ)的車輛行駛隱私數(shù)據(jù)在用戶不知情的情況下泄露，另一方面要對(duì)車輛系統(tǒng)的控制總線CAN-Bus進(jìn)行特別防護(hù)和隔離，防止攻擊者借助安全性較低的系統(tǒng)程序（如車載娛樂系統(tǒng)、導(dǎo)航系統(tǒng)等）對(duì)其非法訪問。另外，智能汽車的安全防護(hù)措施必須滿足車輛在實(shí)際使用時(shí)實(shí)時(shí)性的要求，對(duì)關(guān)鍵行駛控制設(shè)備必須進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)終止異常行為執(zhí)行。

3 物聯(lián)網(wǎng)操作系統(tǒng)安全研究現(xiàn)狀

本文首先廣泛調(diào)研了物聯(lián)網(wǎng)安全的相關(guān)文獻(xiàn)，發(fā)現(xiàn)其中涉及物聯(lián)網(wǎng)操作系統(tǒng)安全的研究文獻(xiàn)較少且研究技術(shù)較為分散。于是進(jìn)一步調(diào)研了移動(dòng)操作系統(tǒng)安全領(lǐng)域中可用于物聯(lián)網(wǎng)環(huán)境下的具體安全技術(shù)（如可信執(zhí)行環(huán)境隔離、安全啟動(dòng)等），最終整理出多篇物聯(lián)網(wǎng)操作系統(tǒng)安全相關(guān)研究文獻(xiàn)，并對(duì)其進(jìn)行了更加深入的分析與研究。

從這些研究文獻(xiàn)中發(fā)現(xiàn)，物聯(lián)網(wǎng)操作系統(tǒng)安全還處于初級(jí)階段，對(duì)相關(guān)研究的安全技術(shù)也沒有恰當(dāng)?shù)姆诸愺w系。所以本文從安全系統(tǒng)構(gòu)建的過程出發(fā)，依據(jù)“系統(tǒng)安全構(gòu)建—系統(tǒng)安全性分析—系統(tǒng)攻擊防御”這一過程對(duì)現(xiàn)有物聯(lián)網(wǎng)操作系統(tǒng)主流安全技術(shù)進(jìn)行分類，如圖2所示。首先，在操作系統(tǒng)構(gòu)建之初就應(yīng)盡可能全面地考慮到其安全問題，分析需求并設(shè)計(jì)相應(yīng)方案，這比構(gòu)建一個(gè)脆弱的系統(tǒng)再進(jìn)行漏洞修補(bǔ)的方案更為高效，能起到事半功倍的效果。然而，由于操作系統(tǒng)的開放性，構(gòu)建一個(gè)永久安全的系統(tǒng)也是無法實(shí)現(xiàn)的。所以在系統(tǒng)構(gòu)建后，及時(shí)地對(duì)系統(tǒng)進(jìn)行安全分析發(fā)現(xiàn)安全問題也顯得十分重要。同時(shí)，由于攻擊者手段和能力不斷提高，原有設(shè)計(jì)難以應(yīng)付日新月異的攻擊手段，物聯(lián)網(wǎng)操作系統(tǒng)偵測(cè)攻擊的能力也需要不斷提升，來抵御各種潛在的系統(tǒng)攻擊。

圖2 物聯(lián)網(wǎng)操作系統(tǒng)中的安全研究分類

本文將分別按系統(tǒng)安全構(gòu)建、系統(tǒng)安全性分析、系統(tǒng)攻擊防御這3個(gè)方面對(duì)現(xiàn)有物聯(lián)網(wǎng)操作系統(tǒng)研究工作進(jìn)行討論。使相關(guān)安全研究人員可以更加直觀地了解物聯(lián)網(wǎng)操作系統(tǒng)構(gòu)建與使用過程中已有的安全問題和技術(shù)，便于快速開展進(jìn)一步的研究。另外，由于現(xiàn)有關(guān)于安全接口設(shè)計(jì)的研究?jī)?nèi)容很少，所以本文對(duì)安全接口相關(guān)研究?jī)?nèi)容沒有展開討論。

3.1 物聯(lián)網(wǎng)操作系統(tǒng)安全構(gòu)建

實(shí)現(xiàn)物聯(lián)網(wǎng)操作系統(tǒng)安全的首要步驟是在系統(tǒng)設(shè)計(jì)之初就盡可能全面地考慮到其安全問題，構(gòu)建一個(gè)相對(duì)穩(wěn)固的、安全的系統(tǒng)。對(duì)于實(shí)現(xiàn)物聯(lián)網(wǎng)操作系統(tǒng)安全構(gòu)建的研究，本節(jié)從系統(tǒng)安全框架構(gòu)建、安全內(nèi)核設(shè)計(jì)和可信隔離執(zhí)行環(huán)境構(gòu)建這3個(gè)方面展開。

3.1.1 安全系統(tǒng)框架

目前，市場(chǎng)上的物聯(lián)網(wǎng)產(chǎn)品在設(shè)計(jì)階段往往忽視安全因素，導(dǎo)致現(xiàn)階段物聯(lián)網(wǎng)產(chǎn)品普遍存在大量的安全漏洞。而如果在設(shè)計(jì)之初就考慮安全因素，采用更為安全的操作系統(tǒng)設(shè)計(jì)框架，會(huì)有效緩解這一問題。因此，學(xué)術(shù)界很早就開始關(guān)注操作系統(tǒng)安全框架的設(shè)計(jì)，目前主要提出2個(gè)指導(dǎo)性意見，同樣適用于物聯(lián)網(wǎng)操作系統(tǒng)。

1) 支持用戶自定義控制系統(tǒng)，在設(shè)計(jì)時(shí)應(yīng)該讓用戶擁有自主選擇信任范圍的權(quán)利，而不能盲目相信設(shè)備廠商提供的系統(tǒng)或固件。

2) 對(duì)系統(tǒng)提出安全防御措施時(shí)要盡可能地減少安全測(cè)試復(fù)雜度。現(xiàn)階段一些數(shù)據(jù)加密、安全啟動(dòng)等安全措施在抵御攻擊者的同時(shí)，也給設(shè)備的安全測(cè)試和分析增加了難度[21]。

根據(jù)上述指導(dǎo)意見，有研究人員提出在物聯(lián)網(wǎng)設(shè)備中內(nèi)置安全模塊，為用戶提供動(dòng)態(tài)檢測(cè)、診斷、隔離等安全功能，從而使用戶擺脫對(duì)廠商的依賴，擁有檢測(cè)設(shè)備安全和可信的能力[22]。還有研究人員根據(jù)現(xiàn)階段物聯(lián)網(wǎng)產(chǎn)品存在的安全問題，有針對(duì)性地提出了安全產(chǎn)品設(shè)計(jì)建議[23]，值得學(xué)習(xí)借鑒和參考。

3.1.2 安全內(nèi)核

內(nèi)核是操作系統(tǒng)的核心部分，用于完成如進(jìn)程調(diào)度、內(nèi)存管理等主要功能。對(duì)于物聯(lián)網(wǎng)設(shè)備而言，其操作系統(tǒng)本身就十分簡(jiǎn)潔，絕大多數(shù)功能均通過內(nèi)核來實(shí)現(xiàn)。因此，設(shè)計(jì)安全內(nèi)核對(duì)于物聯(lián)網(wǎng)操作系統(tǒng)安全構(gòu)建顯得十分重要。

目前，許多研究致力于輕量級(jí)安全內(nèi)核的研究，其工作主要可分為2個(gè)方面。一方面是直接改進(jìn)原有內(nèi)核的設(shè)計(jì)增加安全性。例如，有研究人員設(shè)計(jì)了安全內(nèi)核原型系統(tǒng)[24]，其可以提供安全認(rèn)證、訪問控制以及授權(quán)管理等多種安全功能并可適用于多種嵌入式操作系統(tǒng)；還有研究人員將原有整體內(nèi)核進(jìn)行分區(qū)隔離，來有效防止攻擊的傳播和擴(kuò)散，但安全分區(qū)間的通信會(huì)額外增加系統(tǒng)負(fù)擔(dān)[25]。改進(jìn)內(nèi)核的設(shè)計(jì)方法雖然可以直接提高內(nèi)核的安全性，但這無疑增加了開發(fā)人員的負(fù)擔(dān)，通用內(nèi)核難以直接應(yīng)用。

另一方面，研究人員致力于通過增加額外的模塊來對(duì)原有內(nèi)核進(jìn)行監(jiān)測(cè)和驗(yàn)證。例如，有研究人員設(shè)計(jì)了獨(dú)立的、輕量級(jí)的可信執(zhí)行環(huán)境，用于保護(hù)原有內(nèi)核的關(guān)鍵操作[26]；還有研究人員增加了額外的驗(yàn)證模塊用于實(shí)時(shí)動(dòng)態(tài)地驗(yàn)證原有內(nèi)核的安全性，從而保證內(nèi)核關(guān)鍵操作與通信的正確運(yùn)行[27]。

另外，實(shí)時(shí)性也是物聯(lián)網(wǎng)操作系統(tǒng)必備的特性之一，但其與安全性很難兼?zhèn)洌訫alenko等[28]提出了適用于物聯(lián)網(wǎng)設(shè)備的實(shí)時(shí)操作系統(tǒng)內(nèi)核設(shè)計(jì)安全要求，如完整性、機(jī)密性、可用性、可靠性、可維護(hù)性等，為后續(xù)物聯(lián)網(wǎng)實(shí)時(shí)操作系統(tǒng)設(shè)計(jì)提供了很好的參考。

3.1.3 可信隔離執(zhí)行環(huán)境

隨著物聯(lián)網(wǎng)設(shè)備在工業(yè)與關(guān)鍵基礎(chǔ)設(shè)施中的應(yīng)用愈發(fā)廣泛，其安全威脅也逐步增加。但如果對(duì)系統(tǒng)所有層攻擊都對(duì)應(yīng)采取相應(yīng)的防御措施會(huì)使開銷過大，且防御措施也難以面面俱到。所以在系統(tǒng)構(gòu)建時(shí)，設(shè)計(jì)可信隔離執(zhí)行環(huán)境用于關(guān)鍵程序執(zhí)行。

可信執(zhí)行環(huán)境的構(gòu)建主要通過硬件和軟件這2種方式來實(shí)現(xiàn)。對(duì)于硬件隔離，有研究人員提出利用安全協(xié)處理器來確保工作的獨(dú)立執(zhí)行[29]。然而，使用安全協(xié)處理器會(huì)有額外功耗以及具有較低的計(jì)算性能等缺點(diǎn)，因此，Petroni等[30]提出只將協(xié)處理器用于偵測(cè)和保證中央處理器實(shí)際計(jì)算的完整性。但由于偵測(cè)的工作方式是周期性的，所以其工作間隙的攻擊無法被偵測(cè)到；同時(shí)輕量級(jí)物聯(lián)網(wǎng)設(shè)備一般并不具備協(xié)處理器或額外的硬件配置。如何利用最少的設(shè)備和已有的硬件資源實(shí)現(xiàn)可信執(zhí)行環(huán)境的構(gòu)建仍需進(jìn)一步研究。

對(duì)于軟件隔離，研究人員主要通過軟件錯(cuò)誤隔離（SFI, software fault isolation）和硬件虛擬化來實(shí)現(xiàn)。軟件錯(cuò)誤隔離主要是在原有程序中增加對(duì)控制流完整性的檢查，并對(duì)使用的內(nèi)存進(jìn)行訪問控制[31]，從而實(shí)現(xiàn)應(yīng)用之間控制流與數(shù)據(jù)流的相互隔離。還有研究人員通過增加虛擬化層來實(shí)現(xiàn)操作系統(tǒng)與關(guān)鍵應(yīng)用程序之間的相互隔離，關(guān)鍵應(yīng)用程序的內(nèi)存數(shù)據(jù)直接由虛擬層進(jìn)行管理，而操作系統(tǒng)無法對(duì)其修改和查看。故即使在虛擬層運(yùn)行的客戶系統(tǒng)被攻擊者控制，其仍然無法影響系統(tǒng)可信代碼的執(zhí)行[32,33]。但軟件操作隔離的方法需要增加額外的檢測(cè)程序，會(huì)降低原有輕量級(jí)物聯(lián)網(wǎng)操作系統(tǒng)的工作效率；而虛擬化的方法一般需要處理器硬件架構(gòu)的支持，物聯(lián)網(wǎng)設(shè)備大多也不具備這樣的配置。所以更加有效的輕量級(jí)可信執(zhí)行環(huán)境構(gòu)建方法還有待更加深入的研究。

3.2 物聯(lián)網(wǎng)操作系統(tǒng)安全性分析

一個(gè)永久安全的系統(tǒng)是不存在的，尤其對(duì)于關(guān)鍵工業(yè)與基礎(chǔ)設(shè)施的物聯(lián)網(wǎng)設(shè)備需要嚴(yán)格保證其數(shù)據(jù)與操作的可信性，這就需要對(duì)物聯(lián)網(wǎng)操作系統(tǒng)進(jìn)行安全性分析，驗(yàn)證設(shè)備安全的同時(shí)可以及時(shí)發(fā)現(xiàn)與修復(fù)系統(tǒng)安全問題。關(guān)于物聯(lián)網(wǎng)操作系統(tǒng)的安全性分析的研究，本節(jié)將從平臺(tái)組件完整性驗(yàn)證、系統(tǒng)安全測(cè)試與漏洞檢測(cè)方法這2個(gè)方面來闡述。

3.2.1 平臺(tái)組件完整性驗(yàn)證

由于物聯(lián)網(wǎng)設(shè)備的多樣性，各種物聯(lián)網(wǎng)設(shè)備廠商都會(huì)對(duì)其設(shè)備定制平臺(tái)組件，導(dǎo)致現(xiàn)階段系統(tǒng)組件碎片化嚴(yán)重。如何確保各種平臺(tái)組件的安全性成為物聯(lián)網(wǎng)操作系統(tǒng)安全性分析的一大難點(diǎn)。現(xiàn)有研究主要通過平臺(tái)組件完整性驗(yàn)證來及時(shí)發(fā)現(xiàn)被惡意修改的平臺(tái)組件，從而保護(hù)系統(tǒng)安全。對(duì)于平臺(tái)組件完整性的驗(yàn)證主要可分為安全啟動(dòng)、運(yùn)行時(shí)驗(yàn)證和更新驗(yàn)證3個(gè)部分。

安全啟動(dòng)主要通過驗(yàn)證各啟動(dòng)模塊的數(shù)字簽名（主要由模塊代碼散列值和設(shè)備廠商提供的私鑰組成）并結(jié)合可信計(jì)算基（TCB, trusted computing base）來保證不可修改的啟動(dòng)順序。具體驗(yàn)證過程首先由硬件TCB將系統(tǒng)最先啟動(dòng)的模塊（如BootLoader）加載到內(nèi)存進(jìn)行驗(yàn)證，驗(yàn)證通過再加載下一模塊（如內(nèi)核）對(duì)其進(jìn)行驗(yàn)證，以此類推，其中任何一個(gè)啟動(dòng)模塊驗(yàn)證失敗都會(huì)導(dǎo)致安全啟動(dòng)終止，只有所有模塊均按順序通過驗(yàn)證后才可以完成安全啟動(dòng)[34]。安全啟動(dòng)的相關(guān)技術(shù)現(xiàn)階段越發(fā)成熟并已經(jīng)廣泛應(yīng)用于大量的移動(dòng)設(shè)備中，例如，ARM公司推出的TrustZone架構(gòu)就攜帶了安全啟動(dòng)的功能。

要確保平臺(tái)組件的完整性，只通過在啟動(dòng)階段驗(yàn)證是遠(yuǎn)遠(yuǎn)不夠的，攻擊者還可在系統(tǒng)啟動(dòng)后對(duì)平臺(tái)組件進(jìn)行惡意修改，所以需要在系統(tǒng)運(yùn)行階段對(duì)平臺(tái)組件完整性進(jìn)行驗(yàn)證。現(xiàn)階段主要是通過一個(gè)額外的監(jiān)測(cè)程序不斷地對(duì)平臺(tái)組件代碼進(jìn)行驗(yàn)證[30]，并嘗試自動(dòng)修復(fù)被惡意篡改的平臺(tái)組件[35]。該監(jiān)測(cè)程序自身完整性可通過設(shè)備密鑰對(duì)其數(shù)字簽名進(jìn)行驗(yàn)證，但這無疑會(huì)增加系統(tǒng)運(yùn)行時(shí)額外的開銷。對(duì)系統(tǒng)資源十分有限的物聯(lián)網(wǎng)設(shè)備的運(yùn)行，平臺(tái)組件完整性驗(yàn)證方法還有待改進(jìn)。

另外，平臺(tái)組件由于功能增加或安全漏洞修復(fù)會(huì)經(jīng)常需要更新，故需要驗(yàn)證更新組件的完整性與可信性，從而防止攻擊者通過假冒更新組件安裝惡意程序。Kohn?user等[36]提出利用無線網(wǎng)絡(luò)中的其他設(shè)備來驗(yàn)證微型嵌入式系統(tǒng)平臺(tái)更新代碼可信性方案，即在網(wǎng)絡(luò)中，各設(shè)備遠(yuǎn)程平臺(tái)代碼在更新后，進(jìn)行互相驗(yàn)證，從而排除處于不可信狀態(tài)的設(shè)備，大大提高了攻擊者偽造平臺(tái)組件更新的難度。但現(xiàn)階段對(duì)單一物聯(lián)網(wǎng)設(shè)備進(jìn)行安全平臺(tái)組件更新的方法研究較為稀少。

3.2.2 系統(tǒng)安全測(cè)試與漏洞檢測(cè)方法

目前，安全問題在物聯(lián)網(wǎng)設(shè)備系統(tǒng)中十分普遍，Costin等[37]在靜態(tài)分析了大量物聯(lián)網(wǎng)設(shè)備系統(tǒng)固件及其更新補(bǔ)丁的源碼后，發(fā)現(xiàn)了許多已知和未知的安全漏洞，例如，未保護(hù)的后門私鑰泄露問題、存在于通過Wi-Fi連接的Web服務(wù)中的XSS漏洞等。因此，對(duì)設(shè)備本身進(jìn)行安全測(cè)試與漏洞挖掘是十分必要的。

由于物聯(lián)網(wǎng)設(shè)備的異構(gòu)性，其安全測(cè)試與漏洞挖掘方法很難統(tǒng)一，雖然2016年Sachidananda等[38]第一個(gè)提出了可以應(yīng)用于不同種類物聯(lián)網(wǎng)設(shè)備的測(cè)試框架，但其主要針對(duì)已知的設(shè)備系統(tǒng)漏洞，并且缺乏對(duì)實(shí)際產(chǎn)品的大量測(cè)試。同年，Mer等[39]提出在智能醫(yī)療場(chǎng)景中從設(shè)備系統(tǒng)端到云端的完整測(cè)試框架，但其主要方法依靠靜態(tài)分析缺乏動(dòng)態(tài)測(cè)試并且測(cè)試方法過于簡(jiǎn)單。Tabrizi等[40]創(chuàng)新性地提出基于安全狀態(tài)的物聯(lián)網(wǎng)設(shè)備測(cè)試方法，即為物聯(lián)網(wǎng)設(shè)備建立安全與非安全狀態(tài)，然后，根據(jù)已知的常見攻擊去測(cè)試設(shè)備，看設(shè)備是否會(huì)從安全狀態(tài)轉(zhuǎn)化為非正常狀態(tài)從而發(fā)現(xiàn)安全問題。但其只將該方法在智能電表上進(jìn)行了測(cè)試，而且該模型的效果過度依賴于已知的攻擊，無法檢測(cè)出更深層次的未知漏洞。

概括而言，現(xiàn)階段物聯(lián)網(wǎng)操作系統(tǒng)安全測(cè)試與漏洞挖掘方法主要存在3個(gè)問題亟待解決。

1) 現(xiàn)階段的物聯(lián)網(wǎng)系統(tǒng)測(cè)試方法適用范圍有限，僅僅適用于單一應(yīng)用場(chǎng)景或系統(tǒng)。

2) 現(xiàn)有的安全測(cè)試與漏洞挖掘方法并不全面，僅僅從設(shè)備自身入手沒有考慮到物聯(lián)網(wǎng)設(shè)備相互之間的影響，缺乏廣泛的實(shí)際應(yīng)用的測(cè)試。

3) 目前的安全測(cè)試與漏洞挖掘方法過于單一，大多只依靠靜態(tài)測(cè)試或依賴于已知攻擊或常見漏洞的檢測(cè)，缺乏多種測(cè)試方法綜合使用以及系統(tǒng)運(yùn)行時(shí)動(dòng)態(tài)測(cè)試的方案。

3.3 物聯(lián)網(wǎng)操作系統(tǒng)攻擊防御

隨著深度學(xué)習(xí)和大數(shù)據(jù)時(shí)代的到來，攻擊者的能力不斷提高，攻擊手段也更多樣化，物聯(lián)網(wǎng)操作系統(tǒng)在未來會(huì)面臨更加嚴(yán)重的已知和未知的系統(tǒng)攻擊。目前，學(xué)術(shù)界主要通過在物聯(lián)網(wǎng)設(shè)備中改進(jìn)嵌入式系統(tǒng)異常行為檢測(cè)、輕量級(jí)抵御系統(tǒng)攻擊防御策略、安全隔離存儲(chǔ)與數(shù)據(jù)加密及遠(yuǎn)程可信證明這4種安全機(jī)制來應(yīng)對(duì)各種攻擊手段。

3.3.1 系統(tǒng)異常行為檢測(cè)

物聯(lián)網(wǎng)操作系統(tǒng)首先應(yīng)該具備異常行為檢測(cè)的能力，才可以采取進(jìn)一步的防御與解決措施。物聯(lián)網(wǎng)異常行為檢測(cè)與之前異常行為檢測(cè)的主要不同在于物聯(lián)網(wǎng)程序因設(shè)備的不同導(dǎo)致其功能差異更大，很難設(shè)計(jì)出固定的特征檢測(cè)方法。

為應(yīng)對(duì)物聯(lián)網(wǎng)這一新特性，研究人員從程序自身入手，通過自動(dòng)學(xué)習(xí)正常程序的特征從而檢測(cè)異常行為。例如，Khan等[41]提出動(dòng)態(tài)運(yùn)行時(shí)的安全監(jiān)測(cè)方案，可通過檢查程序運(yùn)行行為和預(yù)定義行為模式的一致性來偵測(cè)攻擊的發(fā)生，該方案避免了傳統(tǒng)異常檢測(cè)只能檢測(cè)固定屬性閾值的缺點(diǎn)，適用于檢測(cè)未知的物聯(lián)網(wǎng)系統(tǒng)攻擊行為。Yoon等[42]提出通過系統(tǒng)調(diào)用頻率來檢測(cè)異常程序行為的方法，其可以自動(dòng)學(xué)習(xí)記錄正常應(yīng)用程序系統(tǒng)調(diào)用的頻率分布，從而對(duì)比發(fā)現(xiàn)程序異常的調(diào)用行為。該方法可自動(dòng)適用于各種不同的應(yīng)用程序，并且其額外系統(tǒng)開銷較低，在物聯(lián)網(wǎng)設(shè)備中有很好的應(yīng)用前景。

3.3.2 輕量級(jí)系統(tǒng)防御措施

由于大多數(shù)物聯(lián)網(wǎng)設(shè)備為傳感器等微型嵌入式設(shè)備，其軟硬件資源均十分有限，只能執(zhí)行少量的專用計(jì)算任務(wù)，沒有足夠的資源用于實(shí)現(xiàn)抵御系統(tǒng)攻擊的防御措施。所以現(xiàn)階段研究人員主要從軟件、硬件2個(gè)方面輕量化改進(jìn)原有系統(tǒng)防御技術(shù)，使其適用于輕量級(jí)物聯(lián)網(wǎng)操作系統(tǒng)。例如，針對(duì)ROP攻擊，加拿大多倫多大學(xué)研究人員結(jié)合Intel MPX硬件內(nèi)存保護(hù)擴(kuò)展設(shè)計(jì)了輕量級(jí)的內(nèi)存保護(hù)系統(tǒng)，防止對(duì)關(guān)鍵內(nèi)存區(qū)域函數(shù)調(diào)用堆棧返回地址的修改[43]，實(shí)現(xiàn)了比控制流完整性驗(yàn)證（CFI, control flow integrity）更高的安全性，同時(shí)大大降低了系統(tǒng)開銷。還有研究人員采用建立內(nèi)存影子的方法輕量化原有內(nèi)存檢查點(diǎn)設(shè)計(jì)方法，可以有效抵御基于輕量級(jí)Linux系統(tǒng)的緩沖區(qū)溢出等系統(tǒng)攻擊[44]。

但現(xiàn)階段系統(tǒng)針對(duì)攻擊的防御技術(shù)研究大多忽視了物聯(lián)網(wǎng)設(shè)備互用性的特點(diǎn)。在物聯(lián)網(wǎng)環(huán)境下設(shè)備間的互用和依賴關(guān)系會(huì)越來越多，所以僅僅考慮抵御對(duì)自身系統(tǒng)的攻擊是遠(yuǎn)遠(yuǎn)不夠的。例如，市場(chǎng)上有些智能窗戶控制器會(huì)根據(jù)溫度傳感器收集的室溫自動(dòng)打開或關(guān)閉窗戶。在上述情景下，敵手僅需控制溫度傳感器的溫度值，從而間接實(shí)現(xiàn)對(duì)智能窗戶的控制。Yu等[45]提出基于設(shè)備間依賴關(guān)系來建立入侵檢測(cè)模型，為解決設(shè)備互用問題提供了很好的解決思路，值得國內(nèi)研究人員學(xué)習(xí)和參考。

3.3.3 安全隔離存儲(chǔ)與數(shù)據(jù)加密

目前，隨著物聯(lián)網(wǎng)可穿戴設(shè)備的發(fā)展，其與用戶的聯(lián)系更加緊密，物聯(lián)網(wǎng)設(shè)備存儲(chǔ)與使用的敏感數(shù)據(jù)逐漸增多，所以不可避免地會(huì)帶來用戶的隱私安全問題。為避免隱私數(shù)據(jù)的泄露，禁止未經(jīng)授權(quán)的運(yùn)行在不可信執(zhí)行環(huán)境的程序訪問設(shè)備的敏感數(shù)據(jù)，安全隔離存儲(chǔ)與數(shù)據(jù)對(duì)于物聯(lián)網(wǎng)設(shè)備顯得十分必要。

同樣，由于物聯(lián)網(wǎng)設(shè)備硬件資源十分有限，通過增加額外的安全芯片進(jìn)行安全存儲(chǔ)的方法對(duì)于物聯(lián)網(wǎng)設(shè)備而言開銷過大。針對(duì)這一問題，一方面研究人員提出了軟件層面的可動(dòng)態(tài)配置的安全存儲(chǔ)策略。即在系統(tǒng)啟動(dòng)階段，允許用戶自定義地將存儲(chǔ)器劃分為安全存儲(chǔ)和非安全存儲(chǔ)區(qū)域，并記錄對(duì)應(yīng)區(qū)域的訪問控制條件；然后在程序運(yùn)行階段，將內(nèi)存訪問指令與記錄的訪問控制條件進(jìn)行比對(duì)，只允許受保護(hù)的安全程序訪問安全存儲(chǔ)，非安全程序不得訪問安全存儲(chǔ)中的數(shù)據(jù)[46~48]。

另一方面，研究人員從實(shí)現(xiàn)和設(shè)計(jì)這2個(gè)角度，輕量化數(shù)據(jù)加密方案來使其適用于物聯(lián)網(wǎng)設(shè)備安全存儲(chǔ)[49~52]，例如，通過改進(jìn)S-box的實(shí)現(xiàn)方案輕量化現(xiàn)有加密系統(tǒng)[51]以及設(shè)計(jì)適用于輕量級(jí)物聯(lián)網(wǎng)設(shè)備上的AAβ非對(duì)稱加密方案[52]等。

但現(xiàn)階段的大多數(shù)輕量化密碼學(xué)方案只注重減少對(duì)設(shè)備計(jì)算與存儲(chǔ)資源的使用，缺乏對(duì)算法耗電量的評(píng)估。而過高的電量消耗會(huì)大大降低這些算法的實(shí)用價(jià)值。所以相關(guān)研究人員在設(shè)計(jì)和實(shí)現(xiàn)這些輕量級(jí)安全算法時(shí)，還需充分考慮對(duì)設(shè)備電量的消耗。

3.3.4 遠(yuǎn)程可信證明

由于越來越多的小型物聯(lián)網(wǎng)設(shè)備（如嵌入式醫(yī)療設(shè)備、特殊環(huán)境的工業(yè)控制系統(tǒng)以及軍用設(shè)備等）在實(shí)際應(yīng)用中會(huì)面臨長期物理不可接觸的問題，從而導(dǎo)致這些設(shè)備被攻擊者惡意控制以后，其管理者并沒有辦法察覺。所以如何遠(yuǎn)程驗(yàn)證這些設(shè)備的關(guān)鍵操作是否可信成為現(xiàn)階段物聯(lián)網(wǎng)系統(tǒng)安全研究的熱點(diǎn)問題。

遠(yuǎn)程可信證明是目前解決這一問題最主要也是最有效的方法之一。遠(yuǎn)程證明一般是對(duì)關(guān)鍵安全程序[53~56]進(jìn)行驗(yàn)證。主要過程是發(fā)送端首先根據(jù)需要驗(yàn)證程序的狀態(tài)信息或控制流的關(guān)鍵屬性計(jì)算出摘要信息。然后再利用TCB存儲(chǔ)的設(shè)備私鑰對(duì)摘要信息進(jìn)行加密。接收端也用與發(fā)送端同樣的方法計(jì)算出原始程序的摘要信息。最后接收端再用發(fā)送端的公鑰對(duì)加密的摘要信息進(jìn)行解密從而完成對(duì)遠(yuǎn)程程序的可信證明。

但現(xiàn)有遠(yuǎn)程證明方法在物聯(lián)網(wǎng)設(shè)備中的應(yīng)用主要存在2個(gè)問題。

1) 驗(yàn)證過程摘要信息會(huì)不可避免地泄露程序的狀態(tài)信息。為了解決敏感程序狀態(tài)信息泄露的問題，有研究人員提出了基于軟件屬性的可信認(rèn)證方法，即對(duì)軟件原始屬性都建立對(duì)應(yīng)的安全證書，在加載軟件時(shí)對(duì)每個(gè)屬性證書進(jìn)行驗(yàn)證[57,58]。然而，如何確定和提取軟件的屬性還是現(xiàn)有研究中的一大難點(diǎn)。

2) 另一個(gè)問題是可信證明在實(shí)現(xiàn)過程中會(huì)占用過多的系統(tǒng)資源，并不適用于輕量級(jí)物聯(lián)網(wǎng)設(shè)備系統(tǒng)。所以研究人員提出只驗(yàn)證部分的關(guān)鍵安全服務(wù)程序，然后常規(guī)應(yīng)用程序再利用這些安全服務(wù)程序進(jìn)行可信安全操作[59]，從而簡(jiǎn)化遠(yuǎn)程可信證明過程。同時(shí)，最近許多研究人員嘗試結(jié)合物聯(lián)網(wǎng)設(shè)備自身獨(dú)特的物理特性（PUF, physical unclonable function）來輔助認(rèn)證過程[60~62]。即PUF在認(rèn)證過程中生成動(dòng)態(tài)的“挑戰(zhàn)—響應(yīng)”對(duì)來進(jìn)行驗(yàn)證，從而代替存儲(chǔ)固定的設(shè)備密鑰，節(jié)約用于單獨(dú)存儲(chǔ)密碼的硬件資源，同時(shí)提高了安全性[62]。然而該方案也存在一定的安全問題，例如，挑戰(zhàn)響應(yīng)對(duì)不能被重復(fù)利用，否則，會(huì)導(dǎo)致重放攻擊。所以目前更加實(shí)用的方案是將認(rèn)證密鑰存儲(chǔ)在基于PUF的密鑰存儲(chǔ)器中[63,64]。

3.4 不同場(chǎng)景對(duì)應(yīng)的安全技術(shù)

為了最大限度地保證其安全性，物聯(lián)網(wǎng)應(yīng)用應(yīng)該具備“系統(tǒng)安全構(gòu)建—系統(tǒng)安全性分析—系統(tǒng)攻擊防御”這整個(gè)周期內(nèi)的所有安全技術(shù)。不過根據(jù)2.3節(jié)介紹的不同場(chǎng)景的安全需求，不同的應(yīng)用場(chǎng)景下的操作系統(tǒng)對(duì)安全技術(shù)要求的側(cè)重點(diǎn)有所不同，如表3所示。

表3 不同場(chǎng)景下物聯(lián)網(wǎng)操作系統(tǒng)采取的安全技術(shù)

4 物聯(lián)網(wǎng)操作系統(tǒng)的挑戰(zhàn)與機(jī)遇

在深入調(diào)研現(xiàn)階段物聯(lián)網(wǎng)操作系統(tǒng)安全問題的基礎(chǔ)上，指出物聯(lián)網(wǎng)操作系統(tǒng)安全研究中目前面臨的挑戰(zhàn)。然后，結(jié)合研究現(xiàn)狀給出可用于應(yīng)對(duì)這些挑戰(zhàn)的安全技術(shù)機(jī)遇，其對(duì)應(yīng)關(guān)系如表4所示。

表4 物聯(lián)網(wǎng)操作系統(tǒng)面臨的挑戰(zhàn)和機(jī)遇

4.1 不安全的系統(tǒng)構(gòu)建

目前，物聯(lián)網(wǎng)操作系統(tǒng)安全問題產(chǎn)生的根本原因主要是在系統(tǒng)構(gòu)建時(shí)忽略了安全因素。但小型廠商并不具備安全系統(tǒng)構(gòu)建的專業(yè)知識(shí)，所以需要安全研究人員設(shè)計(jì)出實(shí)用的且額外成本低的安全系統(tǒng)構(gòu)建框架[65]供物聯(lián)網(wǎng)設(shè)備廠商選擇使用。另外，研究人員可設(shè)計(jì)額外的安全評(píng)估模塊在系統(tǒng)設(shè)計(jì)過程中就預(yù)先對(duì)其進(jìn)行安全性分析[66]，防患于未然。

4.2 設(shè)備資源的有限性

由于物聯(lián)網(wǎng)設(shè)備的計(jì)算、存儲(chǔ)資源有限，并對(duì)設(shè)備的成本和功耗有著較高的要求，所以在保證操作系統(tǒng)安全的同時(shí)還要使附加的安全機(jī)制的功耗和資源使用降到最低，才能切實(shí)提高安全機(jī)制的實(shí)用價(jià)值。現(xiàn)有輕量加密算法[67]、輕量認(rèn)證算法[68]以及輕量級(jí)系統(tǒng)防御措施[69]的資源消耗和安全性均還無法滿足現(xiàn)階段輕量級(jí)物聯(lián)網(wǎng)設(shè)備的安全需求。

4.3 不可接觸的物理設(shè)備

物聯(lián)網(wǎng)環(huán)境下很多設(shè)備都會(huì)面臨長期物理不可接觸，如嵌入式醫(yī)療設(shè)備、特殊環(huán)境的工業(yè)控制系統(tǒng)和軍用設(shè)備等。如何驗(yàn)證這些設(shè)備關(guān)鍵操作的可信性以及數(shù)據(jù)的可靠性逐漸成為現(xiàn)階段物聯(lián)網(wǎng)操作系統(tǒng)研究的一大熱點(diǎn)，需要研究人員提出更加輕量化且高效的遠(yuǎn)程可信認(rèn)證方案來解決這一難題[70]。

4.4 存在漏洞的系統(tǒng)

現(xiàn)階段物聯(lián)網(wǎng)應(yīng)用的操作系統(tǒng)中存在大量安全漏洞，但現(xiàn)有的物聯(lián)網(wǎng)安全測(cè)試工具與漏洞挖掘方法過于簡(jiǎn)單或直接照搬原有Android系統(tǒng)的測(cè)試方法，無法挖掘出更加深入的物聯(lián)網(wǎng)系統(tǒng)中的安全問題，同時(shí)發(fā)現(xiàn)的安全問題也不夠全面。根據(jù)本文調(diào)研結(jié)果，目前尚未發(fā)現(xiàn)優(yōu)秀的針對(duì)物聯(lián)網(wǎng)系統(tǒng)安全測(cè)試的公開成果，亟待研究人員提出更加有效的安全分析與測(cè)試工具[30,71]。

4.5 隱私數(shù)據(jù)泄露

隨著物聯(lián)網(wǎng)設(shè)備越發(fā)普及，智能家居、智能醫(yī)療設(shè)備等還會(huì)收集用戶大量的隱私信息，如室溫變化、體征變化等，保管傳輸不當(dāng)會(huì)導(dǎo)致嚴(yán)重的用戶隱私泄露問題。但這些物聯(lián)網(wǎng)設(shè)備存儲(chǔ)資源均十分有限，系統(tǒng)防御能力十分薄弱，如何在輕量級(jí)物聯(lián)網(wǎng)設(shè)備系統(tǒng)中利用更少的系統(tǒng)資源構(gòu)建出可信安全的存儲(chǔ)空間防止隱私數(shù)據(jù)泄露，需要引起研究人員的重點(diǎn)關(guān)注。

4.6 外圍設(shè)備安全威脅

目前，物聯(lián)網(wǎng)設(shè)備之間的無線與有線交互越來越頻繁，僅僅保障設(shè)備內(nèi)部系統(tǒng)安全往往是不夠的。在物聯(lián)網(wǎng)系統(tǒng)設(shè)計(jì)中還需要特別對(duì)外圍接口的程序設(shè)計(jì)以及調(diào)用進(jìn)行仔細(xì)的檢查。防止攻擊者利用不安全的外圍設(shè)備入侵關(guān)鍵設(shè)備系統(tǒng)。設(shè)計(jì)出安全、靈活、廣泛適用的程序接口也是現(xiàn)階段物聯(lián)網(wǎng)操作系統(tǒng)安全研究中不可忽視的環(huán)節(jié)[72]。

4.7 關(guān)鍵程序入侵

隨著物聯(lián)網(wǎng)設(shè)備在工業(yè)等關(guān)鍵設(shè)施中的廣泛應(yīng)用，其安全問題也越發(fā)嚴(yán)重，攻擊者可以通過入侵控制基礎(chǔ)設(shè)備的關(guān)鍵程序從而造成嚴(yán)重的物理破壞。故對(duì)于控制重要設(shè)備的關(guān)鍵程序，一方面需要為其構(gòu)造可信隔離的安全執(zhí)行環(huán)境，即使在操作系統(tǒng)被攻破的前提下仍然保障關(guān)鍵程序不會(huì)受到威脅；另一方面需要構(gòu)建安全內(nèi)核，增加操作系統(tǒng)抵御攻擊的能力。

4.8 各種系統(tǒng)攻擊

由于物聯(lián)網(wǎng)系統(tǒng)普遍存在諸多漏洞，并且隨著攻擊者能力不斷提高，物聯(lián)網(wǎng)操作系統(tǒng)隨時(shí)可能遭受多種類型的系統(tǒng)攻擊。對(duì)此，需要從各個(gè)方面構(gòu)建起完整的系統(tǒng)防御機(jī)制。首先，要從啟動(dòng)階段就開始對(duì)系統(tǒng)進(jìn)行防護(hù)，為關(guān)鍵程序構(gòu)建可信執(zhí)行環(huán)境進(jìn)行隔離[44]；其次，實(shí)時(shí)對(duì)物聯(lián)網(wǎng)操作系統(tǒng)上程序行為進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)和處理異常行為，有效提高設(shè)備的安全性[50,51]；最后，針對(duì)嚴(yán)重的特定攻擊手段（如精心設(shè)計(jì)的ROP攻擊、側(cè)信道分析等），設(shè)計(jì)出對(duì)應(yīng)的高效防御措施[32,73]。

5 未來研究方向展望

根據(jù)第4節(jié)介紹的物聯(lián)網(wǎng)挑戰(zhàn)與機(jī)遇，本文將其中需要進(jìn)一步發(fā)展的研究技術(shù)提煉抽象為未來研究的發(fā)展方向，8個(gè)技術(shù)發(fā)展機(jī)遇關(guān)系如圖3所示，并在此之后根據(jù)現(xiàn)有系統(tǒng)防御技術(shù)的不足，提出了物聯(lián)網(wǎng)生存技術(shù)這一新的研究方向。

圖3 物聯(lián)網(wǎng)操作系統(tǒng)研究方向與現(xiàn)有嵌入式系統(tǒng)安全防御技術(shù)關(guān)系

5.1 輕量化細(xì)粒度系統(tǒng)防御與可信計(jì)算技術(shù)

現(xiàn)階段許多傳感器和小型物聯(lián)網(wǎng)設(shè)備軟硬件資源均十分有限，操作系統(tǒng)也十分輕量，并不具備如DEP、ASLR等普通計(jì)算機(jī)的系統(tǒng)防御措施，甚至硬件架構(gòu)也不支持MMU等內(nèi)存管理功能。但如果依靠增加外圍硬件如安全芯片來實(shí)現(xiàn)可信計(jì)算，開銷過大且不易推廣。為了解決細(xì)粒度的系統(tǒng)保護(hù)與資源有限的矛盾，需要充分利用現(xiàn)有設(shè)備的軟硬件資源例如ARM架構(gòu)的MPU和TrustZone等，構(gòu)建適用范圍更廣的輕量級(jí)系統(tǒng)防御與可信計(jì)算技術(shù)。

5.2 廣泛適用的安全系統(tǒng)框架、內(nèi)核、接口設(shè)計(jì)方法

現(xiàn)階段物聯(lián)網(wǎng)設(shè)備種類越來越多，并逐步應(yīng)用于醫(yī)療、家居、交通和工業(yè)等各種不同的場(chǎng)景，所以設(shè)備間軟硬件架構(gòu)普遍存在異構(gòu)性。但是，對(duì)每種設(shè)備都定制化構(gòu)建安全系統(tǒng)又是不切實(shí)際的。如何對(duì)這些異構(gòu)設(shè)備設(shè)計(jì)出廣泛適用的安全系統(tǒng)構(gòu)建方法、安全內(nèi)核及外圍接口將成為物聯(lián)網(wǎng)系統(tǒng)安全研究的一大難點(diǎn)。

5.3 高效的物聯(lián)網(wǎng)安全測(cè)試與漏洞檢測(cè)方法

現(xiàn)階段，各種物聯(lián)網(wǎng)設(shè)備和系統(tǒng)層出不窮，許多未經(jīng)嚴(yán)格安全測(cè)試存在大量安全漏洞的物聯(lián)網(wǎng)產(chǎn)品已經(jīng)流入市場(chǎng)。現(xiàn)有的物聯(lián)網(wǎng)設(shè)備測(cè)試方法并不成熟，缺乏大量的產(chǎn)品測(cè)試[36]，而且測(cè)試方法也過于簡(jiǎn)單，無法挖掘出深層次的安全漏洞，例如，設(shè)備間互用導(dǎo)致的安全問題。如何對(duì)各種物聯(lián)網(wǎng)產(chǎn)品進(jìn)行深入全面的系統(tǒng)測(cè)試和漏洞檢測(cè)逐步成為物聯(lián)網(wǎng)操作系統(tǒng)安全研究領(lǐng)域亟待解決的一大問題。

5.4 物聯(lián)網(wǎng)系統(tǒng)生存技術(shù)

在對(duì)物聯(lián)網(wǎng)操作系統(tǒng)安全研究現(xiàn)狀進(jìn)行深入分析時(shí)發(fā)現(xiàn)，現(xiàn)階段物聯(lián)網(wǎng)操作系統(tǒng)還沒有關(guān)于系統(tǒng)生存技術(shù)的相關(guān)研究。而隨著物聯(lián)網(wǎng)設(shè)備種類與功能的不斷增加，物聯(lián)網(wǎng)操作系統(tǒng)也會(huì)更加復(fù)雜，移除所有存在于物聯(lián)網(wǎng)系統(tǒng)中可能被攻擊者利用的漏洞是一件十分困難的事情，因此，本文認(rèn)為研究生存技術(shù)在物聯(lián)網(wǎng)操作系統(tǒng)中的應(yīng)用十分必要。而入侵容忍系統(tǒng)能夠在即使部分組件被妥協(xié)的狀況下，保證整個(gè)系統(tǒng)仍發(fā)揮正常的功能。關(guān)于傳統(tǒng)的系統(tǒng)生存技術(shù)，目前已有許多研究成果[74~76]。例如，對(duì)當(dāng)前操作系統(tǒng)進(jìn)行自動(dòng)評(píng)估，并幫助用戶選擇和配置相應(yīng)的生存與入侵容忍機(jī)制[74]以及為入侵行為構(gòu)建狀態(tài)轉(zhuǎn)換模型用戶自動(dòng)學(xué)習(xí)入侵特征等[75]。但這些技術(shù)過于復(fù)雜還無法直接應(yīng)用于物聯(lián)網(wǎng)系統(tǒng)中，目前尚未發(fā)現(xiàn)適用于物聯(lián)網(wǎng)系統(tǒng)的生存技術(shù)，亟待相關(guān)研究人員填補(bǔ)這項(xiàng)空白。

6 結(jié)束語

本文首先介紹了物聯(lián)網(wǎng)系統(tǒng)架構(gòu)及其特征并與傳統(tǒng)的嵌入式系統(tǒng)進(jìn)行了比較，然后在調(diào)研了大量相關(guān)文獻(xiàn)后，創(chuàng)新性地從“系統(tǒng)安全構(gòu)建—系統(tǒng)安全性分析—系統(tǒng)攻擊防御”的角度對(duì)現(xiàn)有物聯(lián)網(wǎng)操作系統(tǒng)相關(guān)研究進(jìn)行分類總結(jié)。進(jìn)一步在此基礎(chǔ)上指出了物聯(lián)網(wǎng)操作系統(tǒng)安全面臨的8個(gè)挑戰(zhàn)與機(jī)遇，最后，對(duì)未來物聯(lián)網(wǎng)操作系統(tǒng)安全研究方向進(jìn)行了展望，指出輕量化細(xì)粒度系統(tǒng)防御與可信計(jì)算技術(shù)、廣泛適用的安全系統(tǒng)框架、內(nèi)核、接口設(shè)計(jì)方法、高效的物聯(lián)網(wǎng)安全測(cè)試與漏洞檢測(cè)方法、物聯(lián)網(wǎng)系統(tǒng)生存技術(shù)等這些物聯(lián)網(wǎng)操作系統(tǒng)安全的未來熱點(diǎn)研究方向。

物聯(lián)網(wǎng)操作系統(tǒng)是物聯(lián)網(wǎng)發(fā)展的重要基礎(chǔ)，只有保證了物聯(lián)網(wǎng)操作系統(tǒng)的安全，才能進(jìn)一步保證物聯(lián)網(wǎng)的安全，促進(jìn)物聯(lián)網(wǎng)產(chǎn)業(yè)快速發(fā)展與普及，更好地服務(wù)于人們的日常生活。

[1] 張玉清, 周威, 彭安妮. 物聯(lián)網(wǎng)安全綜述[J]. 計(jì)算機(jī)研究與發(fā)展, 2017, 54(10):2130-2143.

ZHANG Y Q, ZHOU W, PENG A N. Survey of Internet of things security[J]. Journal of Computer Research and Development, 2017, 54(10): 2130-2143.

[2] AMIRI-KORDESTANI M, BOURDOUCEN H. A survey on embedded open source system software for the Internet of things[C]// Free and Open Source Software Conference. 2017.

[3] LANGNER R. Stuxnet: dissecting a cyberwarfare weapon[J]. IEEE Security & Privacy, 2011, 9(3):49-51.

[4] D’EXPLOITATION S. RIOT-the friendly operating system for the Internet of Things-VIDEO[J]. Genomics & Informatics, 2012, 10(4): 249-55.

[5] DUNKELS A, GRNVALL B, VOIGT T. Contiki-a lightweight and flexible operating system for tiny networked sensors[C]// IEEE International Conference on Local Computer Networks. 2004:455-462.

[6] PAVELI? N. Evaluation of Android things platform[D].Sveu?ili?te u Zagrebu: Fakultet Elektrotehnike i Ra?unarstva, 2017.

[7] TOULSON R, WILMSHURST T. Fast and effective embedded systems design: applying the ARM mbed[J]. Newnes, 2016.

[8] SHALAN M, EL-SISSY D. Online power management using DVFS for RTOS[C]//4th International Design and Test Workshop (IDT). 2009: 1-6.

[9] INAM R, M?KI-TURJA J, SJ?DIN M, et al. Hard real-time support for hierarchical scheduling in FreeRTOS[C]//23rd Euromicro Conference on Real-Time Systems. 2011: 51-60.

[10] CAO Q, ABDELZAHER T, STANKOVIC J, et al. The liteos operating system: towards unix-like abstractions for wireless sensor networks[C]//International Conference on Information Processing in Sensor Networks. 2008: 233-244.

[11] GR?S S, LOSE G. Green hills software’s integrity real-time operating system unleashes the power of Intel network processors[J]. International Urogynecology Journal, 2013, 24(10):1771.

[12] POELLABAUER C, SCHWAN K, WEST R, et al. Flexible user/kernel com-munication for real-time applications in elinux[C]//The Workshop on Real Time Operating Systems and Applications and Second Real Time Linux Workshop (in conjunction with RTSS 2000). 2000.

[13] VELEZ G, SENDEROS O, NIETO M, et al. Implementation of a computer vision based advanced driver assistance system in Tizen IVI[C]// ITS World Congress. 2014.

[14] ZHAO K, GE L. A survey on the Internet of things security[C]// Ninth International Conference on Computational Intelligence and Security. 2013:663-667.

[15] ZARAGOZA M G, KIM H K, LEE R Y. Big data and IoT for-healthcare security[M]//Computer and Information Science. Springer International Publishing, 2018:1-11.

[16] HENRY N L, PAUL N R, MCFARLANE N. Using bowel sounds to create a forensically-aware insulin pump system[C]//Usenix Conference on Safety, Security, Privacy and Interoperability of Health Information Technologies. 2013: 8.

[17] LANGNER R. Stuxnet: dissecting a cyberwarfare weapon[J]. IEEE Security & Privacy, 2011, 9(3):49-51.

[18] CLARK S S, RANSFORD B, RAHMATI A, et al. WattsUpDoc: power side channels to nonintrusively discover untargeted malware on embedded medical devices[C]//HealthTech. 2013.

[19] WOO S, JO H J, LEE D H. A practical wireless attack on the connected car and security protocol for in-vehicle CAN[J]. IEEE Transactions on Intelligent Transportation Systems, 2015, 16(2): 993-1006.

[20] HUMAYED A, LUO B. Cyber-physical security for smart cars: taxonomy of vulnerabilities, threats, and attacks[C]//The ACM/IEEE Sixth International Conference on Cyber-Physical Systems. 2015: 252-253.

[21] FRANCILLON A. Analyzing thousands of firmware images and a few physical devices: what’s next?[C]//The 6th International Workshop on Trustworthy Embedded Devices. 2016: 1.

[22] BABAR S, STANGO A, PRASAD N, et al. Proposed embedded security framework for Internet of things (IoT)[C]//2011 2nd International Conference on Wireless Communication, Vehicular Technology, Information Theory and Aerospace & Electronics Systems Technology (Wireless VITAE). 2011: 1-5.

[23] JIN Y. Embedded system security in smart consumer electronics[C]//The 4th International Workshop on Trustworthy Embedded Devices. 2014: 59.

[24] LIU S. Design and development of a security kernel in an embedded system[J]. International Journal of Control & Automation, 2014, 7(11):49-58.

[25] GUANCIALE, ROBERTO, KHAKPOUR, et al. Formal verification of information flow security for a simple arm-based separation kernel[J]. Journal of Molecular Structure Theochem, 2013, 587(s1-3): 49-56.

[26] AZAB A M, SWIDOWSKI K, BHUTKAR R, et al. SKEE: a lightweight secure kernel-level execution environment for ARM[C]//NDSS. 2016.

[27] BATES A, TIAN D, BUTLER K R B, et al. Trustworthy whole-system provenance for the Linux kernel[C]//Usenix Conference on Security Symposium. 2015: 319-334.

[28] MALENKO M, BAUNACH M. Real-time and security requirements for Internet-of-things operating systems[C]//Internet Der Dinge: Echtzeit 2016. 2016: 33-42.

[29] DYER J G, LINDEMANN M, PEREZ R, et al. Building the IBM 4758 secure coprocessor[J]. Computer, 2001, 34(10): 57-66.

[30] PETRONI JR N L, FRASER T, MOLINA J, et al. Copilot-a coprocessor-based kernel runtime integrity monitor[C]//USENIX Security Symposium. 2004: 179-194.

[31] ZHAO L, LI G, SUTTER B D, et al. ARMor: fully verified software fault isolation[C]//The International Conference on Embedded Software. 2011:289-298.

[32] CHEN X, GARFINKEL T, LEWIS E C, et al. Overshadow:a virtualization based approach to retrofitting protection in commodity operating systems[C]//ACM, 2008:2-13.

[33] NORDHOLZ J, VETTER J, PETER M, et al. Xnpro: low-impact hypervisor-based execution prevention on ARM[C]//The 5th International Workshop on Trustworthy Embedded Devices. 2015: 55-64.

[34] PARK D J, HWANG H S, KANG M H, et al. Secure boot method and semiconductor memory system using the method: US20090019275[P]. 2009.

[35] KIRKPATRICK M S, GHINITA G, BERTINO E. Resilient authenticated execution of critical applications in untrusted environments[J]. IEEE Transactions on Dependable & Secure Computing, 2012, 9(4):597-609.

[36] KOHNH?USER F, KATZENBEISSER S. Secure code updates for mesh networked commodity low-end embedded devices[C]//European Symposium on Research in Computer Security. 2016: 320-338.

[37] COSTIN A, ZADDACH J, FRANCILLON A, et al. A large-scale analysis of the security of embedded firmwares[C]//USENIX Security Symposium. 2014: 95-110.

[38] SACHIDANANDA V, TOH J, SIBONI S, et al. POSTER: towards exposing Internet of things: a roadmap[C]//ACM Sigsac Conference on Computer and Communications Security. 2016:1820-1822.

[39] MER M, ASPINALL D, WOLTERS M. POSTER: weighing in eHealth security[C]//ACM Sigsac Conference on Computer and Communications Security. 2016:1832-1834.

[40] TABRIZI F M, PATTABIRAMAN K. Formal security analysis of smart embedded systems[C]//The 32nd Annual Conference on Computer Security Applications. 2016: 1-15.

[41] KHAN M T, SERPANOS D, SHROBE H. A rigorous and efficient run-time security monitor for real-time critical embedded system applications[C]//2016 IEEE 3rd World Forum on Internet of Things (WF-IoT). 2016: 100-105.

[42] YOON M K, MOHAN S, CHOI J, et al. Learning execution contexts from system call distribution for anomaly detection in smart embedded system[C]//2017 IEEE/ACM Second International Conference on Internet-of-Things Design and Implementation (IoTDI). 2017: 191-196.

[43] HUANG W, HUANG Z, MIYANI D, et al. LMP: light-weighted memory protection with hardware assistance[C]//The 32nd Annual Conference on Computer Security Applications. 2016: 460-470.

[44] VOGT D, GIUFFRIDA C, BOS H, et al. Lightweight memory checkpointing[C]//IEEE/IFIP International Conference on Dependable Systems and Networks. 2015:474-484.

[45] YU T, SEKAR V, SESHAN S, et al. Handling a trillion (unfixable) flaws on a billion devices: rethinking network security for the Internet-of-things[C]//ACM Workshop on Hot Topics in Networks. 2015:5.

[46] KOEBERL P, SCHULZ S, SADEGHI A R, et al. TrustLite: a security architecture for tiny embedded devices[C]//European Conference on Computer Systems. 2014:10.

[47] DEFRAWY K E, PERITO D, TSUDIK G. SMART: secure and minimal architecture for (Establishing a Dynamic) root of trust[J]. Isoc, 2017.

[48] STRACKX R, PIESSENS F, PRENEEL B. Efficient isolation of trusted subsystems in embedded systems[C]//International Conference on Security and Privacy in Communication Systems. 2010:344-361.

[49] GUO F, MU Y, SUSILO W, et al. CP-ABE with constant-size keys for lightweight devices[J]. IEEE Transactions on Information Forensics &Security, 2014, 9(5):763-771.

[50] SHI Y, WEI W, HE Z, et al. An ultra-lightweight white-box encryption scheme for securing resource-constrained IoT devices[C]//Conference on Computer Security Applications. 2016:16-29.

[51] BANSOD G, RAVAL N, PISHAROTY N. Implementation of a new lightweight encryption design for embedded security[J].IEEE Transactions on Information Forensics and Security, 2015, 10(1): 142-151.

[52] ADNAN S F S, ISA M A M, HASHIM H. Timing analysis of the lightweight AAβ encryption scheme on embedded Linux for Internet of things[C]//2016 IEEE Symposium on Computer Applications & Industrial Electronics (ISCAIE). 2016: 113-116.

[53] KAUER B. OSLO: improving the security of trusted computing[C]// USENIX Security Symposium. 2007: 229-237.

[54] KüHN U, SELHORST M, STüBLE C. Realizing property-based attestation and sealing with commonly available hard and software[C]//The 2007 ACM workshop on Scalable trusted computing. 2007: 50-57.

[55] KYL?NP?? M, RANTALA A. Remote attestation for embedded systems[C]//Conference on Cybersecurity of Industrial Control Systems. 2015: 79-92.

[56] TSUDIK G. Challenges in remote attestation of low-end embedded devices[C]//The 4th International Workshop on Trustworthy Embedded Devices. 2014: 1.

[57] CHEN L, L?HR H, MANULIS M, et al. Property-based attestation without a trusted third party[J]. Information Security, 2008: 31-46.

[58] SADEGHI A R, STüBLE C. Property-based attestation for computing platforms: caring about properties, not mechanisms[C]//The 2004 workshop on new security paradigms. 2004: 67-77.

[59] MCCUNE J M, LI Y, QU N, et al. TrustVisor: efficient TCB reduction and attestation[C]//2010 IEEE Symposium on Security and Privacy (SP). 2010: 143-158.

[60] SCHULZ S, WACHSMANN C, SADEGHIS A R. Lightweight remote attestation using physical functions, technische universitat darmstadt, darmstadt[R]. Germany, Technical Report, 2011.

[61] SCHULZ S, SADEGHI A R, WACHSMANN C. Short paper: lightweight remote attestation using physical functions[C]//The fourth ACM Conference on Wireless Network Security. 2011: 109-114.

[62] RANASINGHE D, ENGELS D, COLE P. Security and privacy: modest proposals for low-cost RFID systems[C]//Auto-ID Labs Research Workshop, Zurich, Switzerland. 2004.

[63] EICHHORN I, LEEST V V D, LEEST V V D. Logically reconfigurable PUFs: memory-based secure key storage[C]//ACM Workshop on Scalable Trusted Computing. 2011:59-64.

[64] YU M D M, M’RAIHI D, SOWELL R, et al. Lightweight and secure PUF key storage using limits of machine learning[C]//International Work-shop on Cryptographic Hardware and Embedded Systems. 2011: 358-373.

[65] GARITANO I, FAYYAD S, NOLL J. Multi-metrics approach for security, privacy and dependability in embedded systems[J]. Wireless Personal Communications, 2015, 81(4): 1359-1376.

[66] OH D, KIM D, RO W W. A malicious pattern detection engine for embedded security systems in the Internet of things[J]. Sensors, 2014, 14(12): 24188-24211.

[67] BANSOD G, RAVAL N, PISHAROTY N. Implementation of a new lightweight encryption design for embedded security[J]. IEEE Transactions on Information Forensics and Security, 2015, 10(1): 142-151.

[68] ODELU V, DAS A K, GOSWAMI A. A secure biometrics-based multi-server authentication protocol using smart cards[J]. IEEE Transactions on Information Forensics and Security, 2015, 10(9): 1953-1966.

[69] CARABAS M, MOGOSANU L, DEACONESCU R, et al. Lightweight display virtualization for mobile devices[C]//International Workshop on Secure Internet of Things. 2014:18-25.

[70] ABERA T, ASOKAN N, DAVI L, et al. C-FLAT: control-flow attestation for embedded systems software[C]//The 2016 ACM SIGSAC Conference on Computer and Communications Security. 2016: 743-754.

[71] CHALUPAR G, PEHERSTORFER S, POLL E, et al. Automated reverse engineering using Lego[J]. WOOT, 2014, 14: 1-10.

[72] ASOKAN N, EKBERG J E, KOSTIAINEN K, et al. Mobile trusted computing[J]. Proceedings of the IEEE, 2014, 102(8):1189-1206.

[73] HALEVI T, MA D, SAXENA N, et al. Secure proximity detection for NFC devices based on ambient sensor data[C]//European Symposium on Research in Computer Security. 2012: 379-396.

[74] LIN J, JING J, LIU P. Evaluating intrusion-tolerant certification authority systems[J]. Quality & Reliability Engineering International, 2012, 28(8):825-841.

[75] GOSEVAPOPSTOJANOVA K, VAIDYANATHAN K, TRIVEDI K, et al. Characterizing intrusion tolerant systems using a state transition model[C]//DARPA Information Survivability Conference & Exposition II. 2001:211-221.

[76] GUPTA V, LAM V, RAMASAMY H G V, et al. dependability and performance evaluation of intrusion-tolerant server architectures[M]// Dependable Computing. Springer Berlin Heidelberg, 2003: 81-101.

Survey of the Internet of things operating systemsecurity

PENG Anni1, ZHOU Wei1, JIA Yan2, ZHANG Yuqing1,2

1. National Computer Network Intrusion Protection Center, University of Chinese Academy of Sciences, Beijing 101408, China2. School of Cyber Engineering, Xidian University, Xi’an 710071, China

With the rapid popularization and wide application of the Internet of things (IoT), the security problems of IoT operating system, which is the essential part, become more and more urgent. Firstly, the famous IoT operating systems and their different features were introduced, then it was compared with present embedded systems. Secondly, On the basis of the survey of research related to IoT operating system, the research was discussed and analyzed from the view of building a comprehensive security system, then security challenges and opportunities which the IoT system faced were pointed out, and the research status of the security of the IoT operating system was summarized. Finally, the promising future study directions in the IoT operating system security field were discussed based on the drawbacks of the existing researches, particularly, the IoT system survival technology as a new research direction was pointed out.

Internet of things, security, operating system

TP393

10.11959/j.issn.1000-436x.2018040

2017-10-12；

2018-03-06

國家重點(diǎn)研發(fā)計(jì)劃基金資助項(xiàng)目（No. 2016YFB0800703）；國家自然科學(xué)基金資助項(xiàng)目（No. 61572460, No. 61272481）；信息安全國家重點(diǎn)實(shí)驗(yàn)室的開放課題基金資助項(xiàng)目（No.2017-ZD-01）；國家發(fā)改委信息安全專項(xiàng)基金資助項(xiàng)目（No. (2012)1424）；國家“111”計(jì)劃基金資助項(xiàng)目（No.B16037）

The National Key Research and Development Program of China (No.2016YFB0800703), The National Natural Science Foundation of China (No.61572460, No.61272481), The Open Project Program of the State Key Laboratory of Information Security(No.2017-ZD-01), The National Information Security Special Projects of National Development and Reform Commission of China (No.(2012)1424), 111 Project Foundation of China (No.B16037)

彭安妮（1995-），女，湖北武漢人，中國科學(xué)院大學(xué)博士生，主要研究方向?yàn)榫W(wǎng)絡(luò)與系統(tǒng)安全。

周威（1993-），男，河北保定人，中國科學(xué)院大學(xué)博士生，主要研究方向?yàn)榫W(wǎng)絡(luò)與系統(tǒng)安全。

賈巖（1992-），男，河北石家莊人，西安電子科技大學(xué)博士生，主要研究方向?yàn)榫W(wǎng)絡(luò)與系統(tǒng)安全。

張玉清（1966-），男，陜西寶雞人，博士，中國科學(xué)院大學(xué)教授，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息系統(tǒng)安全。