重磅！《物联网操作系统安全白皮书》2022版发布, 51页pdf

近日，中国通信标准化协会网络与信息安全技术工作委员会第28次全会成功举办。会上，由中国通信标准化协会（CCSA）网络与信息安全（TC8）安全基础工作组（WG4）牵头，联合多家具备物联网研究基础与实践落地经验的单位共同撰写的《物联网操作系统安全白皮书》（以下简称“白皮书”）正式发布。

白皮书指出[1]，物联网操作系统是指运行在物联网感知控制域中各类终端上的系统软件，主要实现对物理世界对象的本地化感知、协同和操控，并为物联网其他域提供远程管理和服务接口，是感知控制域中各类终端的主要功能的载体。因此物联网操作系统的稳定和安全是物联网终端以及物联网整体系统的安全基础。目前，物联网操作系统种类繁多，但普遍存在安全能力参差不齐，安全设计缺失或不规范，安全防护能力不足等问题，导致物联网终端设备成为了物联网系统中的安全薄弱环节。在深入分析物联网操作系统所面临的主要安全问题和风险的基础上，本白皮书旨在指出能有效保护物联网操作系统的安全机制、安全体系以及安全技术，推动适合于物联网设备及操作系统的安全技术的研发和应用。希望能够为产业在规划设计物联网操作系统安全能力时提供参考和指引。

1.1. 物联网及物联网操作系统 

1.1.1. 物联网简介及发展趋势 物联网是“通过感知设备，按照既定协议，连接物、人、系统和信息资源， 对 物理和虚拟世界的信息进行处理并做出反应的智能服务系统”。其中，“物”指物 理实体。国际标准ISO/IEC 22417:2017《Internet of things (IoT) - IoT use cases》 中提出物联网的应用场景包括交通、家居、公共建筑、办公、工业、农业、渔业、 穿戴、机车、智慧城市等。全球物联网连接数保持高速增长，2020 年全球物联网总连接数达到131 亿， 预计到2025 年，连接规模将达到246 亿，全球物联网行业正处于高速发展期。我国物联网连接数在全球占比超过30%，产业规模突破1.7 万亿元[1]，呈现出良 好的增长态势。2021 年，工信部发布《物联网新型基础设施建设三年行动计划》，明确提 出“融合应用发展行动”，在社会治理领域，将感知终端纳入公共基础设施建设， 加快构建智慧城市、数字乡村。各地政府将其纳入新阶段发展重点，物联网投资 将持续加大，外部政策为其快速发展注入了新动力。

1.1.2. 物联网操作系统简介及架构 

物联网操作系统是支持物联网技术大规模发展的核心基础软件，包括操作 系统内核、外围组件和服务、物联网安全框架等，以支持构成具有低功耗、安全 通信属性的物联网软件平台。物联网操作系统的内核通常具备任务管理、中断管 理、异常处理、时钟管理、存储管理、同步与通信等功能。物联网操作系统向下 协调和控制各种软件硬件资源，向上提供统一的应用编程接口，降低物联网应用 开发的复杂度、成本和时间。物联网操作系统的架构如图1 所示。由于物联网操作系统具有不同的架构和安全机制，因此在安全性、AI 支持、 实时性、资源要求等方面具有较大的差异。如工业控制的物联网操作系统必须满 足强实时性要求，而用于智能家居终端设备的物联网操作系统的实时性要求则不 高。

1.1.3. 物联网操作系统特点 

近些年，随着设备形态多样化发展，特别是人机交互方式的更迭，传统操作 系统逐步从企业商用操作系统、个人计算机操作系统演进到移动设备操作系统。企业商用机领域的大型机、小型机的操作系统以类UNIX 系统为主，而人机 交互方式以键盘为主。如果对于磁盘I/O 要求较高，那么Linux 是首选服务器操 作系统。个人计算机中微软的Windows 占据主流，苹果的macOS 独树一帜，Linux 各种发行版后来居上。人机交互方式演进为鼠标、键盘为主。图形用户界面友好， 窗口制作优美，操作简单易学。移动设备的操作系统目前以谷歌Android 系统和苹果iOS 系统为主。由于设 备多是便携的小尺寸手持形态，人机交互方式取消了键盘，演进为完全基于触摸 屏的交互设计。相比传统操作系统，物联网操作系统通常具备如下的特性[2]：

1、可裁剪伸缩性：根据不同的硬件能力和应用场景，需要对物联网操作系统进行剪裁与配置，以灵活的配置来满足不同的需求。操作系统要实现上述的灵活配置，需要采用“组件化、模块化”的思想，如可伸缩的开放式架构、组件的模块化设计以及任务调度分层化管理等。

2、低功耗节能性：由于部署的位置、空间、热环境等方面的限制，低功耗成为物联网设备及操作系统的一个非常关键的指标。在物联网操作系统整体架构设计的时候，加入一些休眠模式、节能模式、降频模式等逻辑判断，以支持足够的电源续航能力。 

3、安全性：作为物联网基础软件的操作系统，尤其需要重视信息安全性， 具备防御外部入侵和避免非授权访问的能力。其次需要重视功能安全性，避免因 软件功能缺陷而导致安全风险。 

4、实时性：物联网应用领域中大部分设备都要求实时性，不论是数据采集、 信息交互还是操作控制。实时操作系统（RTOS）是指当外界事件或数据产生时， 能够实时采集并以足够快的速度予以处理，其处理的结果又能在规定的时间之内 来控制生产过程或对处理系统做出快速响应，调度一切可利用的资源完成实时任 务，并控制所有实时任务协调一致运行的操作系统。

5、泛在通信性：由于物联网设备的部署场景千差万别，可能采用的通信制 式五花八门，因此作为物联网基础软件的操作系统，就要求内置各种近距离和远 距离的通信协议，既能支持GPRS/HSPA/4G/5G/NB-IoT 等蜂窝无线通信功能， 也能支持WiFi/ZigBee/NFC/RFID 等近场通信功能。 

6、云端连接性：物联网设备完成数据采集后，海量数据通常需要云端进行 存储与分析。因此，云端连接性是物联网操作系统的基础功能。通过内置云平台 连接中间件，物联网操作系统可以极大的简化物联网应用的开发。

1.1.4. 物联网操作系统发展趋势 

由于物联网应用场景的多样性，使得物联网终端复杂多样，为了满足不同应 用的需求，物联网操作系统产品种类十分丰富。目前物联网操作系统呈现出三种 主要的形态[3]。一是以谷歌Android Wear、苹果watchOS 为代表的操作系统，通 过对智能手机操作系统或PC 操作系统进行裁剪以适配物联网需求，但往往难以 满足物联网级别的功耗和可靠性要求。二是在传统嵌入式RTOS 上增加物联网通 信功能，如FreeRTOS、RT-Thread 等，此类操作系统具有功耗低、可靠性高等特 点，但缺乏良好的应用生态。三是物联网专用操作系统，具备可伸缩、易扩展、 强实时性、高可靠性等特点，可以更好地适配各类物联网的应用需求，如阿里巴 巴AliOS Things、中国移动OneOS 等。物联网操作系统发展成熟仍需要时间，一是由于新型物联网操作系统对主流 应用软件的兼容性问题，二是物联网操作系统作为系统软件，涉及到整个生态的 建设，而生态建设、应用研发适配以及开发者培育都需要时间。

1.2. 典型物联网操作系统安全架构 

安全的物联网操作系统需要从系统设计、实现、使用和管理各个阶段入手， 遵循一套完善的系统安全策略。物联网操作系统内核中存在错误或设计缺陷，应 用部分采取再多缓解措施也难以保障系统的安全性。通过微内核设计来减少内核的复杂度、利用安全核来提供整个物联网操作系统安全性，成为提升物联网操作 系统安全性的一个趋势。当前，物联网操作系统主要分为两大类。一类主要面向资源受限的物联网设 备，系统架构多采用可配置、高度模块化的设计，编译后的内核通常小于10KB， 这类物联网操作系统普遍没有用户空间的概念，功能较为单一，常见的有μC/OS、 FreeRTOS、Contiki、Mbed OS、QNX® Neutrino® RTOS、Zephyr、ThreadX、LiteOS、 AliOS Things 等。另一类则面向资源丰富的物联网设备，多采用UNIX 或类UNIX 内核，除了提供进程调度、进程间通信等基础服务外还提供文件系统、设备驱动、 虚拟内存管理、网络协议栈等复杂的服务，这类物联网操作系统功能繁多，运行 环境复杂，安全问题突出，常见的有Linux、QNX、Android、鸿蒙OS 等。 

1、资源受限型物联网操作系统 

资源受限型物联网操作系统典型架构如图2 所示，主要包括硬件层、内核层、 服务层/框架层、应用层。受限于硬件性能，该类物联网操作系统安全功能较为 薄弱，如何在安全与可用性之间取得平衡是这类物联网操作系统设计的重点。轻 量化的操作系统安全技术是当前的主要方向，例如：Arm 在Armv8-M 中引入了 TrustZone-M 技术，并提供了TF-M 固件安全解决方案；翼辉提供了嵌入式防火 墙，能有效防御常见的网络攻击；OneOS 提供了轻量级TLS，可利用极低的资 源消耗实现数据加密和安全通信服务；LiteOS 提供了LMS（Lite Memory Sanitizer）服务，能够实时检测内存操作的合法性。

2、资源丰富型物联网操作系统 

资源丰富型物联网操作系统典型架构如图3 所示，主要包括硬件资源层、内 核层、系统组件/服务/工具层、文件系统、应用层。这类物联网操作系统多采用 UNIX 或类UNIX 内核。考虑到物联网设备的使用环境、使用方式存在较大差异， 传统计算机操作系统所采用的安全模型、安全机制并不一定适用于物联网操作系 统。因此，物联网操作系统在设计开发时需要结合物联网设备特性选择合适的安全模型和安全机制来保障系统的安全性。例如：传统计算机操作系统善于保护某 一个用户不受其他用户的影响，但对于物联网设备而言，基本以root（超级管理 员用户）身份运行，所以更加关注相同用户的不同进程之间的访问控制，这种情 况下使用类型增强访问控制机制（Type Enforcement Access Control，TEAC）会 更合适。 可选的安全模型及安全机制有：BLP 模型、Bida 模型、Clark-Wilson 模型、 Chinese Wall 模型等；基于硬件的内存保护机制、运行域保护机制、I/O 保护机 制；基于软件的标识与鉴别机制、访问控制机制、最小特权管理机制、可信通路 机制、隐蔽通道的分析和处理、安全审计机制等。这些机制现在已经有了很多成 熟的技术实现。以访问控制为例，Linux 提供了LSM（Linux 安全模块）框架， 可以很方便的实现各种访问控制模型及策略；SELinux 提供了基于角色、类型增 强、多级安全的访问控制机制；简化的强制访问控制内核（Simplified Mandatory Access Control Kernel，SMACK）提供了类型增强访问控制机制；Tomoyo 提供 了基于路径的访问控制机制等。

专知便捷查看

便捷下载，请关注专知公众号（点击上方蓝色专知关注）

• 后台回复“IOT51” 就可以获取《重磅！《物联网操作系统安全白皮书》2022版发布, 51页pdf》专知下载链接

                       

专知，专业可信的人工智能知识分发 ，让认知协作更快更好！欢迎注册登录专知www.zhuanzhi.ai，获取100000+AI(AI与军事、医药、公安等)主题干货知识资料！

欢迎微信扫一扫加入专知人工智能知识星球群，获取最新AI专业干货知识教程资料和与专家交流咨询！

点击“ 阅读原文 ”，了解使用 专知 ，查看获取100000+AI主题知识资料