物聯網設備安全檢測綜述

張 妍 黎家通 宋小祎 范鈺婷 路曄綿 張若定 王子馨

1（中國科學院信息工程研究所 北京 100093）

2（中國科學院大學網絡空間安全學院 北京 100049）

3（成都信息工程大學網絡空間安全學院 成都 610000）

4（中國信息通信研究院 北京 100191）

物聯網（Internet of things，IoT）設備的數量不斷增加，且滲透人們生活的方方面面.據Statista 公司估計，至2025 年，通過IoT 連接的系統和設備的總量將超過210 億臺，相當于每人約3.47 臺IoT 設備.作為信息空間與物理空間深度融合的典型范例，IoT 設備已向愈來愈智能化的方向發展，并與AI、云計算、計算機視覺等技術全面結合.國內外的IoT 設備不斷涌現，例如：國外的Verizon、蘋果、Samara、Nissho、Bosch、Siemens 等品牌的智能家居，以及自動駕駛汽車和智能穿戴設備等，國內的華為、大華、?？低?、海爾、京東、阿里巴巴和小米等品牌的攝像頭、路由器、智能家居、體脂秤、運動手環和智能音箱等是最常見的IoT 設備.Xenofontos 等人[1]將IoT 設備按場景分為3 類：消費者IoT、商業IoT、工業IoT.3 類場景下的IoT 設備廣泛應用于人們的工作環境與生活環境中，其安全性涉及到財產安全、人身安全、個人隱私、商業機密、國家安全等方方面面，如果被惡意對手成功利用，可能產生不同程度的后果.

近年來，一些典型的IoT 設備攻擊事件從不同層面給國家、社會、企業和個人帶來不同程度的影響.2016 年10 月美國互聯網域名解析服務商DYN 遭受攻擊，攻擊者通過Mirai 病毒感染了大批IoT 設備，構建僵尸網絡對DYN 的DNS 服務發起分布式拒絕服務攻擊（distributed denail of service,DDoS）攻擊，造成大面積的網絡服務癱瘓[2]；2018 年APT 組織“奇幻熊”（APT28）利用IoT 設備漏洞遠程獲得初始控制權，對烏克蘭的氯氣蒸餾站發起攻擊，此次攻擊并未成功，否則工廠將被迫關閉，進而影響烏克蘭政府的污水處理工作[3-4]；2019 年，微軟安全響應中心捕獲到了APT28 入侵IoT 設備的攻擊活動，利用默認口令和漏洞入侵了視頻解碼器、VOIP 電話設備和打印機，泄露了目標用戶的IP 地址[5]；2020 年美國公司iRobot推出的Roomba 掃地機器人將使用者的日常照片發布到了網絡上，泄露了使用者的隱私[6]；2021 年6 月，美國網絡安全和基礎設施安全局CISA 發布預警，數百萬聯網安全和家用攝像頭中用于傳輸大型音視頻文件的Through-Tek P2P SDK[7]存在一個信息泄露漏洞（CVE-2021-32934），由于本地設備和遠程ThroughTek 服務器之間明文傳輸數據，遠程攻擊者可利用此漏洞竊取個人家庭和社會層面的敏感信息；2 月后，同樣的廠商再現重磅漏洞[8].2022 年12 月，哥倫比亞最大的公共能源、水源和天然氣供應商之一Empresas Publicas de Medelln（EPM）的IoT 系統遭受到了黑貓勒索軟件的攻擊[9]，導致公司IT 基礎設施癱瘓，在線服務中斷，影響了其所服務的大量用戶.

只有全面分析并著手解決IoT 設備所面臨的各種安全問題，才能更好地發展IoT 設備.從全球范圍來看，已經有越來越多的國家或組織就IoT 安全問題提出了相關的法規標準和認證制度，也有越來越多的學者和企業就IoT 的安全風險檢測技術進行研究.目前國內外已有較多針對IoT 安全及防護技術的綜述和報告[10-18].文獻[10]從IoT 環境和IoT 架構2 個角度分析IoT 設備面臨的安全問題，在分析IoT 架構面臨的安全挑戰時，將IoT 架構分為應用層、網絡層和感知層3 個層次，依次分析各層次可能存在的威脅，但缺少對物理層安全風險的分析；文獻[11]同樣從這3 個層次來討論可能的攻擊方式，同時也針對各層次提出了相應的解決方案，最后指出沒有一個解決方案可以提供完備的安全性，因此需要定期檢查和更新IoT 設備.文獻[12]將IoT 整體架構分為物理層、網絡層、感知層和應用層4 個層次，按層分析可能存在的安全問題并提出相應的解決方案.文獻[13]重點從IoT 硬件方面對其防護技術進行闡述，并依據防護階段將攻擊層面分為應用層、網絡層和感知層.文獻[14]調查并分析了針對IoT 設備固件更新操作的攻擊類型及其可用的安全固件更新方法，并介紹了幾種常用的固件分析工具.文獻[15]則從軟件層面對IoT 設備防護策略進行了評估.文獻[16]進一步地從通信層面討論了IoT 防護策略的現狀并給出了目前IoT 設備在通信安全方面的政策建議.文獻[17-18]則在軟件層和通信層進一步做了深入研究，分別從機器學習與深度學習方面的安全檢測技術論述，研究了不同數據集、訓練方法和模型對于IoT 設備安全防護檢測的影響，并給出機器學習在該領域更為適用的結論.縱覽已有的文獻，聚焦于IoT安全架構分層分析的較多，目前專門針對IoT 設備本身的安全檢測、評估、認證技術和法規標準的工作總結分析尚未有深入的和最新的報道，且目前的文獻在IoT 設備的分層攻擊面劃分和檢測技術劃分不夠全面.本文對各個國家和區域性組織現有的IoT 設備安全法律法規情況、IoT 設備安全測評及認證現狀進行了細致的梳理，進一步對國內外學術界和業界在IoT 設備各層面安全風險檢測技術進行總結研究，且做了更細致的層面劃分，以期為建立IoT 設備安全風險綜合評估提供新技術、新模式方法作為參考，為IoT 設備安全的科研、產業做出有益的探索.

為達到上述目的，我們首先確定IoT security，vulnerability detection，IoT vulnerability，IoT devices vulnerability 等關鍵詞，隨后我們在ACM Digital Library，IEEE Xplore Digital Library，Wiley Online Library，Springer Link Digital Library，Chinese Science Citation Database，Science Direct Digital 數據庫中搜索這些關鍵詞，在各國政府公開網站搜索相關的IoT 法律、法規、標準等文件.對于檢索出的文獻，本文作者通過查看其題目、摘要篩選與本綜述主題相關的論文，通過查看簡介等篩選與本文相關的法律和標準文件，共檢索到相關論文130 篇，相關法律文件50 份，隨后在知網、谷歌學術等學術論文搜索引擎查找文獻被引及作者發表論文情況等，進一步補充和篩選相關論文及法律文件，截止到2023 年5 月，最終我們確定最具代表性的高質量論文116 篇，法律與標準文件31 份.

本文的主要工作和貢獻為：1）對不同層次的IoT設備的攻擊面進行了總結，并列舉了其中經典的攻擊風險和實例.2）對各國家與地區IoT 設備安全法律法規、安全測評及認證現狀進行了梳理，并對世界各國極具影響力的法律法規進行了系統整理.3）結合具體實例詳細介紹了IoT 設備安全風險檢測的前沿技術，并從不同維度分析了IoT 設備安全風險檢測的技術方案.

1 IoT 設備安全威脅與攻擊面

OWASP 聯盟IoT 攻擊面區域項目（IoT attack surface areas project）[19]基于威脅程度列舉出IoT 的十大安全隱患，把目光聚焦于不安全的密碼、網絡服務、生態接口和組件設置、不適當的數據處理方式、設備加固和管理等問題上，并對其細分領域進行了總結.然而OWASP 的攻擊面分類以問題為導向，未將安全風險出現的層次邏輯進行劃分.

區分不同安全威脅與漏洞所面向的IoT 設備層次組件，辨析安全威脅在不同層次上的作用機理對IoT 設備的安全研制與加固具有重要意義.已有一些工作演示了如何利用攻擊層[20-21]構建IoT 攻擊分類.Felt 等人[20]提供了針對IoT 設備通信層的漏洞和潛在攻擊的劃分方法，將攻擊面分為邊緣層、訪問層和應用程序層.文獻[21]將IoT 系統面臨的威脅分類為網絡物理攻擊、中間件攻擊和應用程序攻擊；文獻[22]根據目標層和執行方式將攻擊分為4 種：cyberbased，network-based，communication-based，physicalbased.參考近年來學者們的攻擊分類，并結合IoT 設備自身的軟硬件架構設計，如圖1 所示，我們將對設備各個攻擊面自底向上，按設備物理層攻擊面、通信層攻擊面、固件層攻擊面和應用與服務層攻擊面這4 個層面分層進行總結.此外我們還將這4 個層面細分為芯片木馬檢測分析、接口風險檢測、無線協議風險檢測、固件風險檢測、應用與服務風險檢測共5個方面，并在每個方面給出具體技術應用和案例.

Fig.1 Typical security threats at each layer of IoT devices圖1 IoT 設備各層次典型安全威脅

1）物理層攻擊面.IoT 設備物理層一般由處理器（嵌入式）、內部總線、主板、接口和外部設備等5 個組件構成.通過選擇適當的組件，IoT 設備物理層可以實現豐富多樣的功能，滿足多種需求.這一層次常見的主要威脅為芯片硬件木馬、總線攻擊、物理DoS攻擊和接口攻擊等.

芯片硬件木馬[22]指植入芯片電路中的木馬，用于達到攻擊、篡改和控制芯片的目的.芯片木馬可以在IC 設計、制造、運送或是大規模復制期間產生，具有隱蔽性.總線攻擊是針對IoT 設備中的內部總線、主板接口等內部通信器件的攻擊，如總線側信道分析，通過分析總線上的側信道信息，如功耗、電磁輻射等推斷出敏感信息或操作模式[23]；總線外接攻擊，通過在傳輸線上接入外接線實施監聽活動，或插入干擾信號導致數據錯誤、系統崩潰或執行惡意操作[24]；總線間的沖突或競爭機制干擾存儲訪問，以達到非法讀寫數據或訪問控制的目的.物理層的DoS 攻擊主要試圖使合法用戶無法使用物理資源，例如，迫使設備退出低功耗模式，消耗電池的睡眠剝奪攻擊[25].此外，物理層的DoS 攻擊還能夠通過使用電磁輻射、射頻干擾、電壓干擾等手段干擾IoT 設備中的傳感器器件，使其無法正常工作，常見如：光照傳感器在高能量激光設備的照射下可能會導致設備短暫地停止工作或永久性損傷[26]；利用信號干擾器發射信號使無線通信模塊無法正常通信[27].大量IoT 設備在安裝部署后，裝置整體往往處于暴露狀態，物理接口缺乏必要的保護措施，難以阻止攻擊者破壞各種設備的物理完整性.一種典型的接口攻擊方法是針對USB 接口的攻擊，如BadUSB[28]，攻擊者會提前將惡意代碼載入到USB 設備中，將USB設備與目標IoT設備連接就可以實施攻擊行為.

2）通信層攻擊面.IoT 設備的通信層包括有線通信和無線通信.布局在工業IoT、智慧樓宇、智慧城市等場景中的IoT 設備由于具備統一布線的基礎條件，常采用有線通訊方式，如IEEE1394，RS-232，RS-485，CAN，Profibus 等；而在智能家居、無人駕駛、野外傳感作業等移動性比較強的場景下，更多還是會采用無線通信的方式來進行數據傳輸.無線通信，包括短距離通信網絡，以Wi-Fi，Bluetooth，ZigBee 為代表；長距離通信網絡，包括LoRa、基帶通信、LTE Cat-M1、NB-IoT 等.相對而言，無線通信由于通信信道具有暴露性特征，通常情況下風險高于有線通信，下面我們重點探討無線通信層的攻擊面.不同的無線通信協議面臨的安全威脅不同，針對基帶通信，攻擊者可采取空口監聽技術破解加密語音與業務數據，或向目標發送攻擊流量實施偽基站攻擊獲取數據[11-13]；對于Wi-Fi 網絡協議，WEP 的核心算法RC4 加密算法易被攻擊者破解，已有成熟的工具[29]可以對其進行監聽，之后的WPA2 在2017 年被KRACK 攻擊攻破[30]，WPA3 也被MathyVanhoef 發現了FragAttacks 系列漏洞[31].

其他無線通信網絡協議，長期以來也不斷曝露各種不同類型的漏洞風險.如2022 年NCC 披露特斯拉Model 3 和Model Y 可以被攻擊者通過對低功耗藍牙通訊實施中繼攻擊解鎖[32].針對NFC 協議，攻擊者可以利用NFC 支付中繼攻擊實時提取數據[33].KNX-RF協議的 PSK 預共享密鑰存在泄露風險，KNX 也已被發現大量的攻擊載體和安全服務缺陷[34].Thread 協議[35]使用網絡密鑰作為網絡級保護，密鑰的分發采用密鑰加密鑰（keyencryptionkey，KEK）加密傳輸，而KEK的泄露風險使其陷入安全瓶頸.對于混合協議方面，一種Torii 僵尸網絡的典型案例為國外組織“海蓮花”利用代理流量的木馬對國內外IoT、OA 服務器進行監聽和設備控制，其利用的協議包括但不限于Wi-Fi，Li-Fi，6L0WPAN，NB-IoT 等[36].

3）固件層攻擊面.IoT 設備中的固件包括位于應用程序和硬件之間的復雜系統、指令和數據.由于固件控制硬件與固件相關的攻擊一但實施成功可能會造成較大損失.同時，隨著IoT 設備智能程度的不斷增加，固件系統的復雜性也在不斷增加，日益復雜的代碼引入了更多的攻擊面.

固件中較常見的硬編碼漏洞會暴露URL、密碼算法、密鑰等敏感信息，固件代碼往往也存在大量漏洞.如CVE-2021-46008 漏洞將Totolink a3100r 設備Telnet 密碼直接硬編碼在設備的軟件代碼中，未進行任何混淆和保護，在Verizon 5G Home LVSKIHP InDoor-Unit（IDU）3.4.66.162和OutDoorUnit（ODU）3.33.101.0設備上，RPC 訪問使用的靜態證書嵌入在固件中，攻擊者只需下載固件，提取證書的私有組件即可獲得訪問權限.其他常見的漏洞包括固件更新漏洞、命令注入漏洞、信息泄露漏洞、緩沖區溢出漏洞等，表1 中列出了2021—2023 年不同IoT 設備的固件漏洞案例.

同時在開發固件時，通常會使用嵌入式開發環境和工具鏈，如Keil，IAR Embedded Workbench，Arduino IDE 等.此外，固件開發還需要熟悉相關的編程語言，如C，C++，Python 等，以及硬件驅動程序的開發和調試技巧.因此，固件層的攻擊面往往不僅來自于固件本身，還來自于固件開發時使用的開發工具.如CVE-2009-4979 漏洞，較早的Keil 版本允許攻擊者執行任意SQL 命令，在固件開發階段遠程注入漏洞.CVE-2019-13991 漏洞則是Arduino 項目的一種嵌入式系統安全漏洞.該漏洞允許遠程攻擊者向LEDs 發送數據，導致固件開發時被植入惡意數據.另外，已有的驅動程序也可能會擴大固件自身的攻擊面，如CVE-2023-24924 漏洞是美國微軟（Microsoft）用于PostScript 打印機的標準驅動程序的執行漏洞，該漏洞能夠利用系統與打印機固件間的通信協議上傳代碼并遠程執行；而CVE-2010-1592 漏洞是路由器設備上的驅動程序漏洞，該漏洞可以通過路由器內部固件協議合法地將存儲設備中的文件進行替換，并曾被質疑為美國聯合特種作戰司令部（JSOC）用于攻擊非洲和中東各國的路由器設備并收集他國人員信息[37].

4）應用與服務層攻擊面.在IoT 時代，IoT 設備終端與用戶之間、終端與終端之間、終端與后臺之間的交互越來越強，終端廠商也正從銷售設備轉變為提供服務，應用層與服務層是IoT 系統中的重要組成部分，包括IoT 設備應用、控制端應用以及云端服務.IoT 設備應用運行在具體的IoT 設備上，用于控制和管理設備的各種功能和操作.隨著IoT 設備智能程度的不斷提升，APP 已成為智能硬件設備的捆綁標配，小程序、快應用等新的應用服務形態也不斷出現[38].IoT 設備控制端運行在用戶設備（如智能手機、平板電腦、電腦）上，容易被遠程控制并接管IoT 設備.

云端服務托管在云計算平臺上，通過互聯網連接IoT 設備，控制端應用，提供數據存儲和分析服務、設備管理服務、遠程監控和控制服務、安全認證服務等.它們共同構建了一個完整的IoT 生態系統，提供了豐富的功能和服務.但IoT 設備應用開發門檻低，且缺乏相應的安全標準，為了加快產品的開發，相關應用軟件常常直接編譯，使用簡單不安全的代碼，這樣容易引入未知的漏洞.以Android 為固件OS 平臺的設備為例，應用軟件整體質量低，導致應用本身存在大量安全漏洞[39-40]，開發者可能無意間開發出具有安全隱患的應用，投入市場后導致大量用戶面臨安全威脅；另外手機應用、設備、云的交互是IoT 的一個重要特征，復雜的交互關系給IoT 帶來了更多安全挑戰，這3 者交互過程中需要經歷注冊、綁定、使用等各個階段，每個階段都需要進行信息交互和狀態轉換，轉換需要依照特定的模式進行，然而實際上一些應用并沒有按照規定的模式進行[41-42]，這可能導致遠程劫持等漏洞的產生.另外各個應用之間聯動時存在的邏輯錯誤也可能被攻擊者利用，對用戶造成威脅.

2 IoT 設備安全法律法規現狀

2.1 聚焦數據安全的通用法律法規

全球范圍來看，目前IoT 設備安全相關的通用法律法規多聚焦于數據安全.在各類數據法律法規中，歐盟《一般數據保護條例》[43]（general data protection regulation，GDPR）的影響較為深遠.GDPR 的前身是1995 年歐盟為應對數字技術巨變后的新時代安全挑戰制定的《計算機數據保護法》（computer data protection act）[44]，2018 年5 月演變為強制實施的GDPR，以及英國的對標法案《UK’s data protection act 2018》[45].

GDPR 在第3 章第1 部分第12 條規定，廠商在收集用戶的個人信息之前，須以“簡潔、透明、易懂和容易獲取的形式，以清晰和平白的語言”向用戶說明收集信息的行為、范圍、存儲方式等.IoT 設備的傳感器通常會頻繁收集與用戶有關的信息，如可穿戴設備所收集并傳輸的用戶坐標位置、智能家居設備所收集并傳輸的用戶家庭能量消耗數據、設備使用頻率等.因此IoT 設備廠商或集成方案廠商應充分考量GDPR 的要求，在網絡中獲得個人數據之前需要獲得用戶的同意并說明相關情況.此外，IoT 設備采集數據的存儲與處理常常采用基于云的解決方案，其存儲數據和處理數據的位置也需符合所有GDPR要求.

在美國，自2020 年1 月1 日起，美國加利福尼亞州開始實施數據保護相關的新法案：《加州消費者隱私法案》（California Consumer Privacy Act，CCPA）[46].該法案從隱私保護和數據安全2 個角度出發保護加州的消費者，也給在加州生產或者銷售智能產品的企業提出了新的要求.

全球各國也先后發布了多部與數據隱私保護相關的法律文件，如加拿大的《個人信息保護和電子文檔法》（personal information protection and electronic documents act，PIPEDA）[47]、南非的《個人信息保護法》（Protection of Personal Information Act，POPI Act）[48]和日本的《個人信息保護法》（Amended Act on the Protection of Personal Information，APPI）[49]等.在我國，2021 年9月《中華人民共和國數據安全法》[50]開始實施（同年6 月頒布），2021 年11 月《中華人民共和國個人信息保護法》[51]開始實施（同年8 月頒布），標志著在復雜的互聯網時代，我國數據信息安全領域的法律體系得到進一步完善.以上法案均明確了隱私數據保護的責任、權利與處罰規定，為各國境內提供數據服務的IoT 設備廠商提供應遵循的法案.

2.2 多方利益保護驅動的IoT 安全法律法規

層出不窮的IoT 設備攻擊事件和漏洞風險給國家和政府機構、制造商、消費者等各方都帶來不同程度的損失和影響，為保護一方或多方利益，各國和國際組織也在積極推進IoT 設備安全技術相關的針對性法規的制定.

2016 年11 月15 日，美國國土安全部發布的《保障物聯網安全戰略原則（V1.0）》[52]指出，未在最初設計階段構建安全并采取基本安全措施“可能會造成制造商的經濟成本、聲譽成本或產品召回成本損失”.因此，該原則為IoT 利益相關者（聯邦機構、制造商、網絡連接提供商和其它行業利益相關者）提供了一套非約束性原則和最佳安全實踐建議.英國于2018 年發布的《消費者物聯網安全業務守則》[48]為消費者物聯網制造商提供了13 條準則，旨在確保設備的安全性.該行為準則為loT 制造商和其他行業利益相關者制定了實用步驟，以改進消費類loT 產品及其相關服務的安全性.實施這13 條準則有助于保護消費者的隱私和安全，同時使消費者更能安全地使用他們的產品.2020 年澳大利亞政府發布《實踐準則：為消費者保護物聯網》[49]，該準則主要包括：沒有重復的弱口令或默認口令，實施漏洞披露策略，軟件持續安全更新，憑證的安全存儲等方面要求.2020 年11 月9 日，歐盟網絡安全局發布了《物聯網安全準則》[50]，旨在幫助物聯網制造商、開發商、集成商及所有物聯網供應鏈的利益相關者在構建、部署或評估物聯網技術時做出最佳決策.

2020 年12 月4 日，美國《物聯網網絡安全改進法案》[53]簽署，首部全美層面的物聯網安全法律誕生，該法案的主要目的是考慮聯邦政府的安全利益訴求，確保聯邦政府設備的安全性，并通過政府采購間接提升消費者設備市場的安全能力.同年，新加坡網絡安全局（Cyber Security Agency of Singapore，CSA）[52]提出消費類物聯網設備網絡安全標簽計劃，根據星號的數量將智能設備分為4 個等級進行評級，希望該計劃能夠激勵制造商開發更安全的產品，以使其與競爭對手區分開來，提升競爭力.2022 年，新加坡進一步將該標簽計劃擴大到對醫療設備進行防護，以防范網絡安全風險的增加危及患者的個人信息、臨床數據或治療方案，最終影響患者的人身健康.

3 IoT 設備安全測評及其認證現狀

從全球范圍來看，各國和國際組織或者通過制定專門針對IoT 設備的標準，或者沿用通用的安全標準來引導IoT 設備的安全設計和生產，并將這些作為IoT 設備安全測試和認證的依據，開展了針對IoT產品的上市安全測評與安全認證活動.圖2 展示了近20 年各國在IoT 法規及標準制定實施方面的歷程.

Fig.2 Progress on the development and implementation of IoT regulations and standards in various countries圖2 各國IoT 法規及標準制定實施歷程

3.1 通用安全標準、測評與認證

基于通用安全標準的測評與認證方面，國外機構多數遵循基于《信息技術安全性評估通用準則》（The Common Criteria for Information Technology Security Evaluation，CC）[54]和《通用評估方法》（Common Evaluation Methodology，CEM）[55]的安全保障等級評估.我國參考CC 標準制定了GB/T 18336《信息安全信息技術安全評估準則》系列國標，以此作為國內的CC 評估依據，但國內的CC 評估結果目前尚無法與國際進行互認.許多IoT 設備產品陸續通過了基于CC/CEM/GB18336 標準的安全等級評估認證，如：2016 年，三星為其智能電視實現了CC EAL 1級認證；2017 年4 月，LG 為其智能電視產品實現了CC EAL 2 級認證；2021 年華為智慧屏通過了中國網絡安全審查技術與認證中心[56]開展的企業智慧屏產品EAL 2+認證.同時，在IoT 設備的數據安全風險評估方面，常采用通用的DPIA（data protection impact assessment）[57]作為數據保護影響評估方案.DPIA 是各機構基于GDPR 原則下的一項風險評估工具，通過對數據處理活動的評估幫助數據控制者提前識別和減輕隱私風險，符合GDPR 一直倡導的自證合規原則[57].IoT 設備廠商可借助DPIA 評估其數據處理全流程的風險性.很多地區/國家的數據保護監管機構已發布其制作相應的DPIA 評估標準或指南來幫助廠商完成評估.2017 年10 月4 日，歐盟數據保護委員會（European Data Protection Board，EDPB）[58]出臺的針對DPIA 的WP248rev.01[59]的指南是較早期的指南，2020 年2 月，EDPB 又發布了《車聯網個人數據保護指南（征求意見稿）》[60]，該指南聚焦于車聯網和出行相關應用背景下個人數據的保護與處理，揭露風險的同時也為行業從業者提出建議.我國國家標準GB/T 39335-2020《信息安全技術個人信息安全影響評估指南》[61]是根據我國GB/T 35 273-2020《個人信息安全規范》[62]和GDPR 要求提出的隱私影響評估和數據保護影響評估方法指南.

3.2 面向IoT 設備的安全標準、測評與認證

除國內外通用安全標準的檢測評估之外，IoT 設備在不同的監管背景、上市需求和應用場景下，可申請不同類別的 IoT 領域安全標準測評與認證.

歐洲電信標準協會（European Telecommunications Standards Institute，ETSI）[63]于2019 年發布了技術規范TS 103 645《消費者物聯網的網絡安全：基準要求》[64]，并于2020 年轉為標準EN 303645.該標準是專為防止針對智能設備發起的大規模普遍攻擊而建立的IoT產品專項安全基準，涉及的產品包括兒童玩具、嬰兒監視器、煙霧探測器、智能門鎖、智能相機、電視、揚聲器和可穿戴式健康追蹤器等，該標準從網絡安全規定和數據隱私保護條款2 方面要求以上產品.產品在滿足了EN 303645 標準要求的同時也滿足了GDPR的相關要求.芬蘭網絡安全標簽計劃、新加坡網絡安全標簽計劃，以及英國消費電子IoT 產品安全法都采用或參考該標準.美國國家標準與技術研究院（National Institute of Standards and Technology，NIST）[65]針對IoT 網絡安全制定了一系列的標準、指南和相關文檔，其中NISTIR 8 259《物聯網設備制造商的基本網絡安全活動》標準[66]為物聯網設備制造商提供了詳細的網絡安全路線圖.美國無線通信和互聯網協會（Cellular Telecommunications and Internet Association，CTIA）[67]于2018年發布了《面向蜂窩網絡的物聯網設備網絡安全認證測試計劃》，用于認證在美國使用蜂窩網絡或Wi-Fi網絡進行數據通信的IoT 設備是否具備相應的安全能力.

2021 年，Arm 與BrightSight、中國信息通信研究院、Risure 和UL[68]等獨立安全測試實驗室，以及咨詢機構Prove&Run 聯合推出的PSA 安全物聯網認證項目[69]（PSA IoT security certification program），旨在支持基于平臺安全架構（PSA）框架的安全物聯網解決方案的大規模部署.

在我國，全國信息安全標準化技術委員會于2018 年發布了國標GB/T 36951-2018《信息安全技術物聯網感知終端應用安全技術要求》[70]，規定了物聯網信息系統中感知終端應用的物理安全、接入安全、通信安全、數據安全等安全技術要求，該標準可作為相應終端網絡安全測試依據.隨后頒布的GB/T37044-2018《信息安全技術物聯網安全參考模型及通用要求》[71]制定了關于物聯網安全參考模型和通用要求的標準，其中描述了安全區的組成和不同功能區的信息安全防護需求.通信標準化協會于2017 年發布了行標YD/B 173-2017《物聯網終端嵌入式操作系統安全技術要求》[72]，對物聯網終端操作系統提出了相應的安全要求，包括訪問控制、數據安全、通信服務和外設管理、安全審計、入侵檢測、防火墻等.GB/T 22240-2020《信息安全技術網絡安全等級保護定級指南》[37]中也專門提出了物聯網擴展安全要求，其中二級物聯網擴展要求提出了安全物理環境、安全區域邊界和安全運維管理3 個方面的基本要求，三級物聯網擴展要求相較二級除了豐富了安全物理環境和安全運維管理2 個維度的要求外，還就安全計算環境這一維度新增了數個基本要求.

4 IoT 設備安全檢測前沿技術研究

基于國內外各類標準的IoT 設備安全測試和認證的測評方法常常包括訪談、文檔審查、配置檢查、工具測試、實地查看等步驟，測評單位在追求測評項覆蓋面廣的同時，提高其測評技術先進性和測評深度也是需要不斷努力的方向.本節我們總結分析當前學術界和業界在IoT 設備物理層、通信層、固件層和應用與服務層的典型風險檢測目標和檢測技術研究現狀，為建立IoT 設備安全風險綜合評估能力提供新技術、新模式方法參考.其中物理層主要聚焦于芯片木馬和接口安全風險檢測，通信層主要探討無線通信安全.本文歸納的IoT 設備安全檢測類別及對應的檢測技術研究熱點如表2 所示.

4.1 物理層芯片木馬檢測分析技術

IoT 設備處理器芯片不同階段的工藝常常要經過多方制造商來完成，這些制造商的安全性未知，芯片電路在這些環節中存在被植入芯片硬件木馬的風險，這給處理器集成電路（IC）芯片的安全性帶來挑戰.

目前針對芯片硬件木馬的風險檢測技術可主要分為破壞性和非破壞性.破壞性方法通過芯片剖層（暴露芯片進行芯片逆向）實現，但該方法代價高、耗時久、成功率較低，并對IC 造成破壞；非破壞性方法主要分為2 個類型：邏輯測試和側信道分析.邏輯測試是通過功能測試檢測木馬電路；側信道分析則通過檢查側信道參數如電源、延時、瞬態/靜態電流和最大頻率的改變以判定木馬的存在.

邏輯測試方法通過給被評估的芯片電路輸入不同的刺激，將實際響應與預期響應進行比較，如果電路中的木馬在測試時影響到了IC 的實際響應就會被檢測出來.因此，邏輯測試的首要目標就是在最大化木馬激活概率的條件下優化測試向量生成方法.

自動測試向量生成（automatic test pattern generation，ATPG）[73]技術應運而生，它通過分析芯片的結構生成測試向量，輸入測試向量，收集設備的響應結果并與預算的測試向量進行對比[74]，從而篩選出不合格的芯片.但隨著集成電路的規模越來越大，設計越來越復雜，硬件木馬的體量微小，可以長期隱藏在大規模復雜電路中且不易被發現，Alkabani[75]設計了一種對偶電路，可以輔助發現在常規電路中不易發現的小體積木馬.為了降低開銷和提高木馬檢測概率，Chakraborty 等人[76]提出基于簽名的檢測方法，允許用戶輸入自定義密鑰獲取對應簽名，若電路中的模塊和節點被芯片硬件木馬改變將會導致輸出簽名與預期簽名不符.芯片硬件木馬通常僅在特定情況下被觸發，其余時間處于潛伏狀態，因此提升硬件木馬激活率能有效提高邏輯測試能力.文獻[73-76]方法都需要在木馬處于激活狀態下實現，可是由于攻擊者精心設計的觸發條件能逃避常規的硬件檢測，所以硬件木馬難以被觸發，硬件木馬的檢測也十分困難，因此Sakmani 等人[77]設計了一種可插入的虛擬掃描觸發程序，該程序能夠增加木馬的活動，縮短激活時間，提高檢測效率.

側信道分析主要關注的信號信息如圖3 所示.在側信道分析中，側信道信號，如電磁輻射、功耗信息、路徑時間延遲等，會在黃金IC（golden IC）和木馬感染的IC（infected IC）電路中表現出差異，這一現象可用于檢測IC 中是否存在木馬.Shende[78]提出基于側信道的功率分析技術，比較黃金IC 模型和木馬感染IC 模型的平均功率從而區分這2 種模型.Gunti 等人[79]提出了基于有效靜態功率的側信道分析技術，利用功率門控將電路劃分為多個分區以檢測芯片硬件木馬.相比依賴動態功率的檢測技術，基于靜態功率的檢測技術可以更加靈活地檢測潛伏在電路中的木馬[51].Jin 等人[80]通過IC 的路徑延遲參數（發送方和接收方之間的信號延遲）檢測木馬.針對種類繁多的芯片硬件木馬，文獻[81-82]通過分析功率概況和網絡流量數據，實現對多種類型硬件木馬的并行檢測防御.被廣泛應用于IoT 設備的FPGA 也同樣面臨著來自硬件木馬的威脅.Chen 等人[83]提出可以通過收集FPGA 時鐘樹發出的電磁輻射數據來檢測硬件木馬.文獻[84]提出基于強化學習的芯片硬件木馬檢測技術.

Fig.3 Side channel analysis method圖3 側信道分析方法

綜上所述，邏輯測試方法是通過施加隨機測試向量激活木馬，通過比較響應結果和正確結果來判斷IC 中是否含有硬件木馬，因此該方法無法檢測不修改原始電路數據和功能的木馬.而側信道分析方法是當下的研究熱門，其充分利用了硬件木馬在非活動狀態下也會影響側信道信號，即無需激活硬件木馬也可以檢測到硬件木馬，該方法彌補了邏輯測試方法的不足，但無法準確判斷植入木馬的類型[85].

4.2 物理層接口安全風險檢測技術

IoT 設備的接口安全風險檢測是眾多安全測評標準和流程中的重要環節.常規的檢測首先檢查是否有開放的串口、JTAG 編程接口、調試接口等，并評估開放接口風險.如開放串口是否可以Telnet 或者SSH 到系統中，然后用TFTP 將固件導出，開放的JTAG 編程接口也可能導致設備破解風險，如Xbox360破解采用LPC2148 單片機通過JTAG 接口進行破解，微軟公司在其后的版本已經做了修復[40].最終微軟公司提出了安全的JTAG 策略結構，該結構由多個層級組成，每個層級都有對應的安全措施和防護措施，確保JTAG 接口安全，在芯片生命周期的不同階段，安全JTAG 策略可達到的安全能力如圖4 所示.

Fig.4 Security JTAG policy structure圖4 安全JTAG 策略結構

IoT 設備調試接口風險的自動化安全檢測技術，通常首先需要對硬件通信接口識別，其次要連接并驅動這些硬件調試接口，檢查接口數據的交換、傳遞和控制管理過程，采用靜態分析、動態調試、模糊測試等方法進一步對接口驅動或固件開展漏洞檢測；總線安全檢測則嘗試采用硬件通信技術嗅探、獲取或修改數據，檢測是否存在可利用的漏洞.因此，IoT設備在出廠或部署后的接口與總線安全風險檢測需要有專業的硬件測試工具平臺輔助才能得以開展.這項工作頗具挑戰性，不過，當前已經出現了針對硬件安全性評估的測試工具平臺.例如，Hardsploit[86]就可以被用來開展硬件安全評估工作.Hardsploit 擁有可定制的模塊化工具，能夠實現多種數據總線的交互，數據總線的類型包括UART，Parallel，SPI，CAN，以及Modbus 等.另外Xipiter 研發的Shikra 設備[87]，也可以協助用戶連接嵌入式設備，對設備進行調試、位攻擊以及模糊處理等操作.Shikra 采用的FTDI 的FT232 芯片支持Shikra 通過接口（USB）同各種底層數據接口進行交互.相較于在硬件攻擊中使用較為廣泛的Bus Pirate[88]，Shikra 可以更快地從設備中提取固件映像，在使用過程中更加穩定可靠[87].

4.3 通信層無線協議安全風險檢測技術

對IoT 設備無線協議軟硬件模塊的安全風險檢測，常見的研究方案包括被動檢測和主動檢測.

被動檢測需搭建實際網絡環境或仿真實驗環境，隨后對真機采集的數據或仿真數據集進行安全風險分析.被動測試流程如圖5 所示，該過程通常包括信號監聽、信號分析和獲得測試結果過程，其中信號監聽過程接收局域網內的信號報文，隨后將接收到的信號傳輸到信號分析設備實施不同目的的安全分析，最后根據分析側重點的不同可獲得測試結果.不同的研究者分析的目標往往各不相同，常見的安全分析目標包括加密算法密鑰信息、用戶位置、使用信息、行為習慣等.如：對于藍牙協議方面，文獻[89]搭建被動檢測平臺用于分析藍牙是否存在，允許竊聽、數據包注入和設備欺騙的弱點，文獻[90]分析證明了惡意的同址應用程序可以破壞BLE 設備的訪問控制.針對ZigBee 協議，湯永利在文獻[91]中搭建了一套信號捕捉儀以捕捉無線信道上的ZigBee 數據包，針對ZigBee Document 053474r17（2008 版本）[46]采取頻數檢測算法和塊內頻數檢測算法，對從ZigBee 數據包中解析出來的數據進行隨機性檢測，分析判斷傳輸的數據和加密算法的可靠性等；針對Wi-Fi 協議的風險檢測方案中，Liu 等人[29]搭建了真實的硬件環境，使用Airsnort 軟件監視無線網絡中的傳輸數據，利用算法嘗試分析計算密鑰.

Fig.5 Passive testing flow圖5 被動檢測流程

然而被動檢測只能被動地接收既有信息，并不能檢測出潛在或尚未產生的無線協議信息風險，因此Takanen 等[92]進一步研究了主動檢測的方法.主動檢測以測試例為核心，目前比較流行的主動檢測方法是模糊測試（Fuzzing），測試過程如圖6 所示.模糊測試技術利用計算機生成測試樣例，輸入目標程序并監視其執行狀態，以捕獲程序異常行為并發現漏洞.利用該方法進行測試的研究眾多，梁姝瑞[93]研究了被測對象狀態轉移對模糊測試測試效率的影響，以使用ZigBee協議的設備為研究對象，提出了基于有限狀態機的模糊測試測試序列生成算法，但該生成算法存在部分條件限制，并且未進一步給出規范化的標準流程.Takanen[92]使用基于生成和變異策略結合的模糊測試技術對NFC 協議層和應用層測試，發現大量Android NFC堆棧以及Android 瀏覽器漏洞等問題，Wiedermann 等人[94]提出基于模糊測試技術的漏洞挖掘架構，并開發測試工具針對Android NFC API 和NFC APP 進行測試.

Fig.6 Active testing flow圖6 主動檢測流程

除模糊測試外，學者們也嘗試采用中間人攻擊測試方式研究針對無線協議某些特定行為的主動測試方法.Stute[95]發現藍牙配對過程中無法驗證2 個設備是否執行相同的配對方法，因此，可能會導致中間人（MITM）攻擊.同樣是藍牙協議，Zhang 等人[90]對使用藍牙低功耗（BLE）4.2 和5.x 協議的Android 設備進行了測試，發現如果發起者的BLE 編程框架沒有正確處理啟動及管理等步驟，設備的BLE 配對協議會在用戶不知情的情況下運行在一個不安全的模式中，從而導致中間人攻擊.除藍牙設備外，Akter 等人[96]通過對NFC 設備進行測試，發現基于EMV（Europay，MasterCard，and Visa）[97]的非接觸式支付協議中卡認證和交易授權階段分離，攻擊者可以利用該漏洞執行惡意的MITM 攻擊來破壞非接觸式支付的完整性.

4.4 固件層風險檢測分析技術

由于IoT 設備固件程序往往是商業程序，很少公開源代碼或文檔，通常只能通過對固件進行逆向，再結合一些傳統的程序靜態分析技術進行分析，或采用模擬器動態加載固件檢測的方式進行檢測[98].

早期的固件靜態分析常采用從固件二進制文件中手動逆向提取代碼進行人工分析的手段，采用的固件二級制分析輔助工具常用的有Srings[99]，Hexdump[100]，Binwalk[101]等.Costin 等人[102]提出大規模自動化靜態分析固件思路，使用模糊哈希的方式匹配固件中存在的弱密鑰，通過關聯分析從4 種維度查找不同固件鏡像之間的關聯性.自動化固件靜態分析過程如圖7 所示，主要包括固件數據庫、固件分析和報告數據庫收集以及數據包靜態分析這3 個部分.Thomas 等人[103]設計了一種半自動化的靜態分析工具HumIDIFy 來檢測COTS 設備固件的二進制文件內的后門[104]等隱藏功能，該工具使用了一個半監督學習的分類器識別出固件中的二進制文件以及其具有的功能.Shoshitaishvili[105]提出Firmalice 二進制分析框架，該框架使用靜態程序分析生成固件的程序依賴圖，獲取一個從入口點到特權程序點的認證切片，再通過符號執行判斷路徑的約束中是否具有確定性的約束，如果存在，就可以認定為后門.

Fig.7 Firmware static analysis圖7 固件靜態分析

然而靜態分析方面同樣存在無法真實模擬現實程序隨機性和無法獲取模擬現實固件的運行狀況等缺點.固件動態分析可部分彌補這些缺陷.動態分析捕獲程序運行時的真實狀態來檢測可能存在的安全漏洞，且動態分析環境相比靜態分析環境更為復雜，目前大多數研究通過將固件整體加載到仿真軟件，比如QEMU 中，并對其進行模糊測試來實現[106-107]，這種實現方法需要消耗大量內存，性能開銷大.文獻[106]則基于QEMU 設計了增強進程仿真的方法，該方法將模糊處理程序設置為在用戶模式下而不是系統模式下執行，有效減少了仿真過程的內存開銷，如圖8所示.

Fig.8 Firmware dynamic detection process圖8 固件動態檢測流程

固件部分動態仿真技術[108]通過分析固件源代碼，抽取出與檢測目標有關的部分，只對該部分的代碼執行路徑進行仿真分析，進一步減少實驗仿真的復雜度和開銷.文獻[109]針對內存損壞漏洞提出了一些啟發式方法比如段跟蹤，即通過觀察所有內存讀寫來檢測分段錯誤從而檢測非法的內存訪問.為進一步挖掘內存中有關固件的信息，文獻[110]提出一種檢測內存破壞漏洞的動態固件檢測方法，即使用符號執行方法動態運行代碼片段，并執行模糊測試，為了提高檢測效率，改進了程序控制流圖的恢復方法和后向切片方法，在40 秒內完成模糊測試并且發現了35 個內存損壞的零日漏洞.

近2 年，針對硬件與固件之間的耦合性和嵌入式系統的多樣性問題，越來越多的學者[111]研究了固件全仿真，即不需要原始硬件環境的固件程序全系統仿真方法.文獻[112]提出硬件抽象層庫模擬技術，該技術可以使固件在不需要硬件環境支持的條件下使用QEMU 模擬器并進行交互式模糊測試.其他固件相關檢測包括基于手機APP 的固件漏洞檢測方法，即利用手機APP 與設備之間的關聯關系檢測固件程序漏洞，例如文獻[113]，以APP 為入口向設備發送變異數據，通過觀察設備崩潰信息來檢測固件漏洞.另外也可以通過流量分析[114]、物理特征分析[115]等來檢測固件安全漏洞.

4.5 應用與服務安全層風險檢測技術

4.5.1 傳統應用安全漏洞檢測

傳統的應用安全漏洞檢測方法主要包括靜態分析技術和動態分析技術.

基于靜態分析技術的應用安全漏洞檢測方法主要對程序源代碼或字節碼的語法、語義進行分析，生成調用流、數據流、控制流等抽象語法語義結構，在不運行程序的前提下挖掘目標檢測程序中的潛在安全漏洞.基于靜態分析技術的應用安全漏洞檢測方法主要包括基于規則的分析技術[116]、可達路徑分析技術[117]、靜態符號執行技術[118]、靜態污點分析技術[119]等.

靜態分析技術具備檢測速度快的優點，但對于深度安全加固的應用難以逆向獲取其代碼進行分析.基于動態分析技術的應用安全漏洞檢測方法不同于靜態分析技術，其主要對應用程序在運行過程中產生的運行狀態、執行路徑、寄存器狀態進行分析，發現動態調試環境中存在的安全漏洞.基于動態分析技術的應用安全漏洞檢測方法可以對安全加固型應用進行運行態檢測，克服靜態檢測能力的不足，其主要包括模糊測試技術[108]、動態符號執行技術[120]、動態污點分析技術[23,121]等.但動態檢測技術也存在檢測路徑爆炸、檢測時長過長、安全風險觸發條件覆蓋不全面等局限性.

隨著人工智能的興起，應用漏洞分析人員也逐漸結合機器學習和深度學習技術，對應用程序中的漏洞進行挖掘.這些技術手段使得在應用程序數據集中收集特征的分析更加自動化、智能化.目前基于人工智能的應用安全漏洞分析方法主要根據對應用代碼和行為特征建模的不同，分為基于序列表征的漏洞檢測方法[122]、基于抽象語法樹的漏洞檢測方法[123]、基于圖表征的漏洞檢測方法[124]和基于文本表征的檢測方法[125]等.

4.5.2 云服務應用安全風險檢測

現代 IoT 設備制造商正在利用托管的平臺即服務（PaaS）和基礎設施即服務（IaaS）IoT 云，例如AWS IoT，Azure IoT 進行安全方便的 IoT 開發和部署.目前大部分IoT 應用需要與云平臺進行交互，如圖9 所示.因此，除了應用程序本身可能存在安全漏洞之外，在與云平臺進行交互的過程中也存在安全風險.

Fig.9 Intelligent cloud platform workflow圖9 智能云平臺工作流程

根據云平臺提供服務類型的不同可以將平臺劃分為設備接入平臺、服務聯動平臺和語音助手平臺3 類：設備接入平臺可提供接入和管理服務如SmartThing 平臺[126]；服務聯動平臺提供功能的連接功能，根據規則自動執行動作，如IFTTT 平臺[127]；語音助手平臺通過智能音箱接受語音命令并通過語音平臺控制設備聯動等，如Amazon Alexa[128].應用在接入這些平臺時，平臺會對應用進行安全檢查，但是部分平臺在權限管理設計方面存在漏洞[129-130]，最終導致大規模用戶隱私信息泄露.針對平臺問題，一些學者[131]設計了獨立于平臺的應用隱私泄露檢測方法，比如Celik 等人[132]設計了一款面向SmartThings 平臺的靜態污點分析工具SainT，該工具會識別敏感數據源和接收器，然后通過靜態分析追蹤敏感數據流從而判斷是否存在敏感信息通過網絡轉發的情況.文獻[133]則從頻率的角度考慮，設計了一個信息流模型來分析IFTTT 方法完整性或機密性違反的頻率，通過為應用事件打標簽的方式來檢測行為是否違反機密性規定和完整性規定.對于語音平臺，由于缺少源代碼，所以主要采用黑盒測試方法進行測試[25]，例如文獻[134]通過測試發現語音助手無法準確識別某些技能的相似調用語音指令，因此攻擊者可以發布惡意應用來劫持這些調用指令從而執行惡意技能.

4.5.3 IoT 應用環境入侵檢測

面向應用與服務層運行時的 IoT 環境入侵檢測也是一個重要的安全研究領域，然而本節探討的前沿檢測技術，主要面向需對IoT 設備進行安全測試和/或認證的測評單位和研究者，為建立IoT 設備安全風險綜合評估提供新技術、新模式方法參考.各測評單位往往是在設備入市之前進行認證性檢測，因此其檢測周期較短.入侵檢測技術常常需要長時間地在線監測或獲取大量運行數據進行離線分析，不適于普通測評需求場景，但在一些特殊的測評需求驅動下，如高風險產品的入侵行為驗證和高敏感領域的高安全等級測評需求下，也可適時部署實施.下面我們總結面向IoT 設備入侵檢測前沿技術，以作參考.

1980 年，Andeson[135]率先提出了入侵檢測的概念和通過分析計算機審計日志判斷主機文件安全程度的方法，奠定了基于主機的入侵檢測的基礎.隨后，Denning[136]提出了入侵檢測專家系統（IDES），通過監控系統審計日志來檢測系統是否存在安全違規，給之后的入侵檢測提供了通用框架，在通用框架的指導下，入侵檢測技術不斷發展.近年來，機器學習和數據挖掘也被廣泛地用于IoT 設備的入侵檢測技術中.例如，文獻[137]給出了基于機器學習方法檢測IoT 設備和服務行為的異常檢測方法從而判斷運行時的入侵行為；文獻[138]中利用 IoT 應用運行中產生的海量流量信息，設計了一種隨機森林算法來識別 IoT 入侵檢測；文獻[139]采用了K-means 聚類算法基于規則庫特征檢測家居設備中應用程序及服務的異常；文獻[38]給出了大量的基于機器學習、深度學習方面的入侵檢測技術，并設計了包括深度殘差神經網絡、深度卷積網絡和深度圖神經網絡等識別模型，并比較了現階段 IoT 入侵檢測模型的優劣.

5 總結與展望

本文通過對已有研究工作進行梳理，從已有的IoT設備安全法律法規、安全測評技術及認證現狀、IoT安全風險檢測前沿技術等方面詳細介紹IoT 設備安全檢測技術研究成果.最后本文對該領域的發展趨勢做出預測和展望.在IoT 設備安全檢測與評估未來的工作方面，我們提出5 點思考：

5.1 加強我國 IoT 安全專項法律法規建設

世界各國為維護國家安全、保障企業和公民權益，紛紛為“ IoT 安全”立法.然而，我國 IoT 安全保護立法仍存在不足，針對 IoT 安全的法律法規或政策性文件尚為空白，關于 IoT 安全的規定隱含分布在多部法律法規之中，較為分散，缺乏體系，應借鑒國外近年的經驗，加強 IoT 安全專項法律法規建設，加大對IoT 涉及國家安全、社會安全、用戶安全的保護力度，建立完善的保護機制，規范 IoT 市場競爭，監督多方共同創造一個安全高效的IoT 設備發展環境，推動業界安全水平提升.

5.2 推動IoT 設備安全國際互認體系構建

當前，多個國家或組織針對IoT 設備的安全標準、測評與認證已陸續建立相應準則和要求，這些準則和要求之間相似但不同.目前，由于各國認證制度差異，許多國家之間并不認同其他國家的安全準則，這就導致出口的IoT 設備往往需要多次進行安全測評和認證，耗費巨大的人力、物力成本，造成了資源的浪費.為打破技術貿易壁壘，促進市場國際共治，在推進各國認證制度規范化基礎上應逐步建立起國際互認體系，推動各國安全測評認證結果互認，為大量IoT 設備出口提供“一次檢測，一次認證，全球通行”的便利化服務.

5.3 建立體系化IoT 設備分層安全檢測技術能力

第4 節中我們總結分析了當前學術界和業界在IoT 設備物理芯片層、接口層、無線通信層、固件層和應用層安全風險檢測技術方面的研究技術現狀，目前各層安全檢測技術種類繁雜，各有優劣，如何結合 IoT 實際應用場景，優選最為合適的技術簇，構建具有先進性的IoT 設備分層安全風險深度綜合測評技術平臺，實現標準化測量驗證方法，提供體系化分析和安全測試服務,需要各測評單位進行深度思考和布局，以最大限度發現 IoT 終端設備中存在的安全隱患，指導問題修復.

5.4 探索面向IoT 智能環境的安全評估框架

隨著智能模型的飛速發展，IoT 設備融合了越來越多的本地或遠程智能模型，例如人臉識別、物體識別和智能對話等，從而形成了 IoT 智能環境.對于IoT 智能環境，建立有效的安全標準和評估框架需求成為趨勢，而本文研究中討論的許多現有安全標準和評估框架尚無法直接解決這一問題.我們建議開發和測試基于 IoT 的智能環境安全評估框架，應用于IoT 設備安全測試評估與認證項目.

5.5 融合新興技術不斷提升檢測評估技術能力

隨著深度學習、聯邦學習、大模型等新興技術的不斷涌現，IoT 設備各層安全風險的檢測評估方法也在不斷更新換代.深度學習由于人工先驗知識依賴較少，具有出色的可移植性等優勢已逐漸應用于IoT 設備安全風險檢測[140-141].大模型技術也開始被用于安全領域[142-145]，并呈現出了強大的檢測分類、邏輯推理和可解釋性效果.研究人員可針對IoT 設備安全檢測的深度學習或大模型，創新設計更實用、更有效，真正可應用于實際檢測現場工作的檢測方案.

此外，基于聯邦學習的IoT 設備異常檢測方法也已成為一大研究趨勢[146-147]，通過利用分散設備上的數據，可以主動識別IoT 設備中存在的安全威脅，僅通過與聯邦的中央服務器共享學習到的權重，以保持本 IoT 設備上的數據不出本地，最大限度地保護數據隱私.效率更高、魯棒性更強的聯邦學習架構和檢測方案也有望在未來融入 IoT 設備安全檢測平臺.

作者貢獻聲明：張妍提出論文整體思路、理論與實踐技術方法總結，以及負責論文撰寫；黎家通、宋小祎、范鈺婷負責具體技術調研和論文精修；路曄綿完成研究現狀的撰寫及部分論文修訂；張若定負責論文法律法規條文研究和把控論文方向與思路以及審核和修改論文；王子馨負責部分技術調研、論文精修及潤色.