物联网快速发展为人们的生活带来诸多便利，但同时随之也带了诸多安全隐患^[1].综合考虑安全威胁发生的概率、危害的程度及其补救措施的复杂程度等方面，运用模糊综合评价法构建了一个安全分析的模型，实现了对物联网系统^[2]定量的安全分析和评估物联网安全威胁源分析.

物联网的安全威胁来源主要包括

智能终端w₁、通信网络w₂、APPw₃、云端w₄四种攻击.其中，每种攻击类型下包括不同的攻击面，不同的攻击面包括不同的攻击点：

1) 智能终端下存在7个攻击面，分别是：

① 设备的存储w₁₁, 该攻击面下存在如下攻击点：用户名明文存储w₁₁₁，密码明文存储w₁₁₂，不安全的密钥存储w₁₁₃

② 设备的Web接口w₁₂，该攻击面下存在如下攻击点：SQL注入w₁₂, XSSw₁₂₂₂(跨站脚本攻击)，CSRFw₁₂₃(跨站与请求伪站)，弱口令w₁₂₄, 用户名暴力枚举w₁₂₅，已知的默认认证w₁₂₆

③ 设备的固件w₁₃，该攻击面下存在如下攻击点：敏感信息泄露w₁₃₁、后门账户w₁₃₂、固件降级w₁₃₃

④ 设备的网络服务w₁₄，该攻击面下存在如下攻击点：未加密服务w₁₄₁、不安全的固件更新w₁₄₂、载体验证缺失w₁₄₃、缺少信息完整性检查w₁₄₄

⑤ 本地的数据存储w₁₅，该攻击面下存在如下攻击点：数据未加密w₁₅₁、利用已经泄露的密钥加密w₁₅₂、缺乏数据完整性检测w₁₅₃、用静态的密钥加密w₁₅₄

⑥ 硬件w₁₆，该攻击面下存在如下攻击点：设备伪造w₁₆₁、验证缺陷w₁₆₂

⑦ 更新机制w₁₇，该攻击面下存在如下攻击点：更新过程没有加密w₁₇₁、更新不需要签名w₁₇₂、更新位置可以重写w₁₇₃、恶意更新w₁₇₄、更新没有验证w₁₇₅

2) 通信网络下存在2个攻击面，分别是：

① 认证过程泄漏w₂₁, 该攻击面下存在如下攻击点：cookie泄漏攻击w₂₁₁、session泄漏攻击w₂₁₂

② 未加密认证w₂₂，该攻击面下存在如下攻击点：未加密的设备与设备的认证w₂₂₁、未加密的设备与终端之间的认证w₂₂₂、未加密的设备与云端的认证w₂₂₃、未加密的终端与云端的认证w₂₂₄、缺少动态认证w₂₂₅

3) APP下存在2个攻击面，分别是：

① 手机端w₃₁，该攻击面下存在如下攻击点：完全信任云端和设备w₃₁₁、已知的默认账户w₃₁₂、不安全的数据存储w₃₁₃；

② 反汇编破译w₃₂，该攻击面下存在如下攻击点：没有加壳w₃₂₁、未很好的混淆w₃₂₂.

4) 云端存在2个攻击面，分别是：

① 身份认证安全w₄₁，该攻击面下存在如下攻击点：SQL注入w₄₁₁、XSS w₄₁₂(跨站脚本攻击)、CSRF w₄₁₃(跨站与请求伪造)；

② 设计缺陷w₄₂，该攻击面下存在如下攻击点：用户名暴力枚举w₄₂₁、弱口令w₄₂₂、账户泄露w₄₂₃、已知的默认账户w₄₂₄.

1 物联网系统风险评估分析

风险评估分析主要有2种方法：定性方法(专家调查法)和定量方法(模糊综合分析法、层次分析法)，量化的物联网系统安全威胁更加易于管理人员对安全的分析.

1.1 建立层次分析模型

1) 主要使用层次分析法^[3]讨论了基于物联网系统的安全威胁的识别，其中层次分析法的主要步骤之一就是构建多层次评估模型.按照特定属性以及类型，将目标指标的因数集划分为k个子集，或者说影响因素集W的k个指标，并记为

W={W₁, W₂, …, W_k}

其中$\mathop \cup \limits_{i = 0}^k {W_i} = W,{W_i} \cap {W_j} = \emptyset ,i \ne j.$

2) 对于每一个一级指标，如果包含至少2个下级指标，则可以继续将其按照某种属性或类型进行划分，如将W₁继续划分为n个子集，记为

W₁={W₁₁, W₁₂, W₁₃, …, W_1n}

其中$\mathop \cup \limits_{i = 0}^n {W_{1i}} = {W_1},{W_{1i}} \cap {W_{1j}} = \emptyset ,i \ne j.$

结合表格1，将目标指标因素集W共分为攻击类型、攻击面、攻击点3层.

$\begin{array}{l} 第1层:w = \left\{ {{w_1},{w_2},{w_3},{w_4}} \right\}\\ 第2层:{w_1} = \left\{ {{w_{11}},{w_{12}},{w_{13}},{w_{14}},{w_{15}},{w_{16}},{w_{17}}} \right\};\\ \quad \quad \quad {w_2} = \left\{ {{w_{21}},{w_{22}}} \right\}\\ \quad \quad \quad {w_3} = \left\{ {{w_{31}},{w_{32}}} \right\};\\ \quad \quad \quad {w_4} = \left\{ {{w_{41}},{w_{42}}} \right\}\\ 第3层:{w_{11}} = \left\{ {{w_{111}},{w_{112}},{w_{113}}} \right\};\\ \quad \quad \quad {w_{12}} = \left\{ {{w_{121}},{w_{122}},{w_{123}},{w_{124}},{w_{125}},{w_{126}}} \right\};\\ \quad \quad \quad {w_{13}} = \left\{ {{w_{131}},{w_{132}},{w_{133}}} \right\};\\ \quad \quad \quad {w_{14}} = \left\{ {{w_{141}},{w_{142}},{w_{143}},{w_{144}}} \right\};\\ \quad \quad \quad {w_{15}} = \left\{ {{w_{151}},{w_{152}},{w_{153}},{w_{154}}} \right\};\\ \quad \quad \quad {w_{16}} = \left\{ {{w_{161}},{w_{162}}} \right\}\\ \quad \quad \quad {w_{17}} = \left\{ {{w_{171}},{w_{172}},{w_{173}},{w_{174}},{w_{175}}} \right\};\\ \quad \quad \quad {w_{21}} = \left\{ {{w_{211}},{w_{212}}} \right\}\\ \quad \quad \quad {w_{22}} = \left\{ {{w_{221}},{w_{222}},{w_{223}},{w_{224}},{w_{225}}} \right\}\\ \quad \quad \quad {w_{31}} = \left\{ {{w_{311}},{w_{312}},{w_{313}}} \right\};\\ \quad \quad \quad {w_{32}} = \left\{ {{w_{321}},{w_{322}}} \right\};\\ \quad \quad \quad {w_{41}} = \left\{ {{w_{411}},{w_{412}},{w_{413}}} \right\}\\ \quad \quad \quad {w_{42}} = \left\{ {{w_{421}},{w_{422}},{w_{423}},{w_{424}}} \right\}\\ \end{array}$

1) 构建权重集α

权重可以理解为每个风险指标对上一级指标的相对影响程度，由于指标集中，各指标的重要程度不同，所以层次分析法中的另一个重要内容就是构建权重集，权重集的确定方法有很多，常用的方法主要有：层次分析法(AHP)、专家调查法(Delphi)^[4].

2) 权重α的确定

专家调查法又称为Delphi法，特别适用于客观资料或者数据缺失情况下的长期预测或者其他方法难以应对的技术预测，主要采取CR校验法 以及加权平均法来保证数据的合法性.

表 1为对于w₁₁打分的结果，具体过程如下.

权重T=危害程度×发生概率×(1-补救复杂程度/100)；

接下来以第3层w₁₁为例，根据公式T可得

T₁₁=(15.5, 6.9, 17.0)

对其作归一化处理后得到

r=(0.391 4, 0.175 1, 0.431 5)

通过公式β_ij=r_i/r_j,

得到矩阵

$\mathit{\boldsymbol{\beta }} = \left[ {\begin{array}{*{20}{c}} {1.000}&{2.2353}&{{\rm{0}}{\rm{.911 7}}}\\ {{\rm{0}}{\rm{.445 1}}}&{{\rm{1}}{\rm{.000 0}}}&{{\rm{0}}{\rm{.405 8}}}\\ {{\rm{1}}{\rm{.096 8}}}&{{\rm{2}}{\rm{.464 3}}}&{{\rm{1}}{\rm{.000 0}}} \end{array}} \right]{\rm{ }}$

采用10/10~18/2标度法有

并对矩阵β中的元素作就近选取，得到判断矩阵α：

$\mathit{\boldsymbol{\alpha }} = \left[ {\begin{array}{*{20}{l}} {10/10}&{14/6}&{10/10}\\ {6/14}&{10/10}&{6/14}\\ {10/10}&{14/6}&{10/10} \end{array}} \right]$

对矩阵作一致性检验：

主要采用CR校验法，实现对矩阵一致性的检验，公式为

CR=CI/RI

其中：CR表示一致性比率，CI表示一致性指标，RI表示随即一致性指标.

① 求取判断矩阵α的最大特征值和对应的特征向量p；

② 求取CI=(λ_max -n)/(n-1)；其中n为矩阵α的阶数；

③ 求取CR=CI/RI；其中RI可查表得到或另行计算.

现在，对判断矩阵αCR检验.经运算求得λ_max=3.000 0，对应的归一化特征向量：

$\begin{array}{l} \mathit{\boldsymbol{p}} = 0.676\quad 70.290\quad 00.6767\\ \quad {\rm{CI = (}}{{\rm{ \mathsf{ λ} }}_{{\rm{max}}}}{\rm{ - 3)/}}\left( {{\rm{3 - 1}}} \right){\rm{ = 0}}\\ \quad {\rm{CR = CI/RI = 0/0}}{\rm{.26 = 0}} \end{array}$

根据CR=0<0.1，所以判断矩阵A通过一致性检验，故可将特征向量P归一化后得到的向量P₁₁，作为权向量，即得第3层w₁₁的权向量为

w₁₁=(0.676 7,0.290 0,0.676 7)

同理,

w₁₂=(0.256 7,0.223 0,0.327 8,0.599 1,0.574 4,0.296 6)

w₁₃=(0.445 1,0.847 5,0.289 5)

w₁₄=(0.465 1,0.464 9,0.206 3,0.724 6)

w₁₅=(0.197 2,0.190 7,0.440 2,0.759 2,0.384 4)

w₁₆=(0.474 1,0.880 5)

w₁₇=(0.061 1,0.589 7,0.564 8,0.343 2,0.460 1)

w₂₁=(0.774 0,0.633 2)

w₂₂=(0.549 9,0.420 8,0.475 7,0.184 1,0.519 8)

w₃₁=(0.290 0,0.676 7,0.687 9)

w₃₂=(0.774 0,0.633 2)

w₄₁=(0.562 1,0.459 2,0.687 9)

w₄₂=(0.654 1,0.654 1,0.339 6,0.169 8)

第2层：

$\begin{array}{l} {\mathit{\boldsymbol{w}}_1} = \left( {0.573{\rm{ }}1,0.454{\rm{ }}7,0.384{\rm{ }}6,0.042{\rm{ }}2,{\rm{ }}0.332{\rm{ }}8,0.095{\rm{ }}4,0.441{\rm{ }}8} \right)\\ \quad \quad \quad \quad \quad \quad \quad {\mathit{\boldsymbol{w}}_2} = \left( {0.138{\rm{ }}7,0.990{\rm{ }}3} \right)\\ \quad \quad \quad \quad \quad \quad \quad {\mathit{\boldsymbol{w}}_3} = \left( {0.993{\rm{ }}9,0.110{\rm{ }}4} \right)\\ \quad \quad \quad \quad \quad \quad \quad {\mathit{\boldsymbol{w}}_4} = \left( {0.707{\rm{ }}1,0.707{\rm{ }}1} \right) \end{array}$

第1层：

w=(0.356 7,0.794 4,0.259 9,0.417 2)

1.2 建立评语集V

评语集是用以确定指标因素集中每个指标状态

的集合，代表不同安全威胁的危害程度.在对该物联网系统的安全风险评估分析中，V通常被划分为5个等级V={极低，低，中等，高，极高}.

1.3 建立隶属度矩阵

隶属度矩阵是用来描述各个指标对于评语集各个等级隶属度的矩阵，是基础的评价结果.

$\mathit{\boldsymbol{\delta }} = \left[ \begin{array}{l} {\delta _{11}}&{\delta _{12}}&{\delta _{13}}& \ldots &{\delta _{1k}}\\ {\delta _{21}}&{\delta _{22}}&{\delta _{23}}& \ldots &{\delta _{2k}}\\ \vdots & & & &\vdots \\ {\delta _{n1}}&{\delta _{n2}}&{\delta _{n3}}& \ldots &{\delta _{nk}} \end{array} \right]$

其中δ_ij为第i个指标关于第j个评语等级的隶属度.对于大多数的风险评估分析问题，指标因素往往很难量化，可以采用专家调查法由统计手段获得其隶属度.表 5给出了结构因素指标集的专家调查结果.

1.4 多层次综合评判

多层次综合评判^[5-7]的数学模型为：T=αδ，其中α为权重矩阵，δ为隶属矩阵.

采用三级模糊综合评判模型.

1) 第1级模糊综合评判(以w₁₁为例作具体阐述说明)

针对w₁₁的模糊综合评判如下：

$\begin{array}{l} \quad \quad \quad \quad {\mathit{\boldsymbol{T}}_{11}} = {\mathit{\boldsymbol{w}}_{11}}{\mathit{\boldsymbol{\delta }}_{11}} = \\ \quad \quad {\left( {0.6767,0.2900,0.6767} \right)_{1 \times 3}} = \\ \quad \quad \left[ {\begin{array}{*{20}{c}} {{\rm{0}}{\rm{.1}}}&{{\rm{0}}{\rm{.3}}}&{{\rm{0}}{\rm{.2}}}&{{\rm{0}}{\rm{.3}}}&{{\rm{0}}{\rm{.1}}}\\ {\rm{0}}&{\rm{0}}&{{\rm{0}}{\rm{.1}}}&{{\rm{0}}{\rm{.6}}}&{{\rm{0}}{\rm{.3}}}\\ {\rm{0}}&{{\rm{0}}{\rm{.1}}}&{{\rm{0}}{\rm{.3}}}&{{\rm{0}}{\rm{.4}}}&{{\rm{0}}{\rm{.2}}} \end{array}} \right] = \\ \left( {0.0677,0.2707,0.3673,0.6477,0.2900} \right) \end{array}$

同理,可得

T₁₂=(0.083 7,0.025 1,0.519 0,0.812 6,0.647 3)

T₁₃=(0.073 5,0.102 4,0.418 8,0.445 7,0.541 7)

T₁₄=(0.305 0,0.206 7,0.646 0,0.299 7,0.403 4)

T₁₅=(0.197 2,0.190 7,0.440 2,0.759 2,0.384 4)

T₁₆=(0.182 9,0.182 9,0.494 4,0.406 4,0.081 1)

T₁₇=(0.220 4,0.478 2,0.607 4,0.533 1,0.179 7)

T₂₁=(0.394 0,0.358 8,0.422 2,0.154 8,0.077 4)

T₂₂=(0.400 1,0.511 7,0.889 5,0.348 9,0.042 1)

T₃₁=(0.067 7,0.135 3,0.328 7,1.015 0,0.096 7)

T₃₂=(0.295 5,0.577 0,0.394 0,0.140 7,0)

T₄₁=(0.114 7,0.183 5,0.479 4,0.479 6,0.452 0)

T₄₂=(0.050 9,0.150 3,0.383 0,0.707 6,0.528 5)

2) 第2级模糊评判

$\begin{array}{l} \quad \quad \quad \quad \quad \quad {\mathit{\boldsymbol{T}}_1} = {\mathit{\boldsymbol{w}}_1}{\mathit{\boldsymbol{\delta }}_1} = \\ \quad \quad \quad (0.573{\rm{ }}1,0.454{\rm{ }}7,0.384{\rm{ }}6,0.042{\rm{ }}2,\\ \quad \quad \quad \quad \quad 0.332{\rm{ }}8,0.095{\rm{ }}4,0.441{\rm{ }}8) \times \\ \left[ {\begin{array}{*{20}{l}} {0.067{\rm{ }}7}&{0.270{\rm{ }}7}&{0.367{\rm{ }}3}&{0.647{\rm{ }}7}&{0.290{\rm{ }}0}\\ {0.083{\rm{ }}7}&{0.205{\rm{ }}1}&{0.519{\rm{ }}0}&{0.812{\rm{ }}6}&{0.647{\rm{ }}3}\\ {0.073{\rm{ }}5}&{0.102{\rm{ }}4}&{0.418{\rm{ }}8}&{0.445{\rm{ }}7}&{0.541{\rm{ }}7}\\ {0.305{\rm{ }}0}&{0.206{\rm{ }}7}&{0.646{\rm{ }}0}&{0.299{\rm{ }}7}&{0.403{\rm{ }}4}\\ {0.197{\rm{ }}2}&{0.190{\rm{ }}7}&{0.440{\rm{ }}2}&{0.759{\rm{ }}2}&{0.384{\rm{ }}4}\\ {0.182{\rm{ }}9}&{0.182{\rm{ }}9}&{0.494{\rm{ }}4}&{0.406{\rm{ }}4}&{0.088{\rm{ }}1}\\ {0.220{\rm{ }}4}&{0.478{\rm{ }}2}&{0.607{\rm{ }}4}&{0.533{\rm{ }}1}&{0.179{\rm{ }}7} \end{array}} \right]\\ \quad \left( {0.298{\rm{ }}4,0.588{\rm{ }}7,1.096{\rm{ }}8,1.451{\rm{ }}7,0.901{\rm{ }}6} \right) \end{array}$

同理

$\begin{array}{l} {\mathit{\boldsymbol{T}}_2} = \left( {0.450{\rm{ }}9,0.556{\rm{ }}5,0.939{\rm{ }}4,0.367{\rm{ }}0,0.052{\rm{ }}0} \right)\\ {\mathit{\boldsymbol{T}}_3} = \left( {0.099{\rm{ }}9,0.198{\rm{ }}2,0.370{\rm{ }}2,1.024{\rm{ }}3,0.096{\rm{ }}1} \right)\\ {\mathit{\boldsymbol{T}}_4} = \left( {0.117{\rm{ }}1,0.236{\rm{ }}0,0.609{\rm{ }}8,0.836{\rm{ }}5,0.691{\rm{ }}4} \right) \end{array}$

3) 第3级模糊评判：

$\mathit{\boldsymbol{T}} = \left( {0.539{\rm{ }}5,0.802{\rm{ }}0,1.488{\rm{ }}1,1.425{\rm{ }}8,0.676{\rm{ }}3} \right)$

2 结束语

研究成果如下.

1) 建立了完整的一套物联网系统风险识别流程，并且系统地分析了物联网系统可能遭受到的安全威胁，提出了基于物联网系统的安全威胁指标.

2) 运用模糊综合评价法，建立了完整的针对物联网系统的安全评估流程.

3) 结合物联网系统遭遇安全威胁的发生概率，危害程度，补救措施的对应关系，定量分析了物联网系统安全，使得对物联网系统安全有一个更直观的认识.

4) 根据最终的模糊评价集，采用最大隶属度法处理评价的结果，最终的评判结果为：中；即针对该系统，依据物联网信息系统风险评估三级模型，评价得出它的风险程度为：中.