IoTCPS的安全体系结构及关键技术

基金项目：国家重点基础研究发展(“973”)规划(2011CB302903)；江苏省高校自然科学研究重点项目(10KJA510035)

    物联网和信息物理融合系统作为下一代网络通信的核心技术，正逐渐成为业界关注的焦点。根据国际电信联盟(ITU)和美国总统科学技术顾问委员会(PCAST)的定义，物联网(IoT)是通过信息传感设备，按照约定的协议，把任何物品与互联网相连接，进行信息交换和通信，以实现智能化识别、定位、跟踪、监控和管理的泛在网络[1]。信息物理融合系统(CPS)是一个综合了计算、通信和物理环境的多维复杂系统，通过通信、计算机和消费电子(3C)技术的有机融合和深度协作，实现工程系统中的实时感知、动态控制和信息服务[2]。IoT和CPS将地理分布的异构嵌入式设备通过高速稳定的网络连接起来，实现信息交换、资源共享和协同控制，具有广阔的市场前景和巨大的经济效益，是未来网络演进的必然趋势。

    作为泛在网络，IoT与CPS具有相同的内涵和外延。IoT和CPS均利用短距离无线通信技术将附着在物品上的感知设备互连，将人与人的交互(H2H)扩展到物与物的互动(T2T)。CPS在继承IoT无处不在通信模式的基础上，更强调物体间的感知互动，强调物理世界与信息系统间的循环反馈。CPS在感知物理世界之后，能够通过计算、通信和控制对物理世界作出调整，也能够根据感知信息调节系统自身的状态。IoT和CPS是相容的概念。CPS是IoT的理论核心和技术内涵，而IoT是CPS初级阶段的外在表现形式。随着技术的进步，IoT和CPS必将趋于统一。

    与互联网不同，IoT/CPS大多应用于国民经济的关键领域，要求承载网络具备电信级的服务质量(QoS)，对网络的安全可信、可控可管都提出了很高的要求[3]。目前业界已针对IoT/CPS的安全协议、算法等方面开展了大量的研究，并建立了相应的IoT/CPS演示系统。然而这些演示系统受到网络规模、连通性等因素的影响，受到攻击的种类和数量都很有限，潜在的安全问题尚未充分暴露，一旦大规模投入使用，当前看似安全的网络体系结构将面临巨大的威胁。因此，在IoT/CPS建设之初就必须设计严格规范的安全体系结构。本文将在分析和总结现有研究成果的基础上，构建一种IoT/CPS安全体系结构，探索隐私保护、安全控制、跨网认证等安全关键技术，以提高IoT/CPS的安全保障能力。

1 IoT/CPS安全体系结构

1.1 网络模型
    IoT/CPS是由感知、控制和决策3个模块构成的分布式系统。系统通过网络协调各模块的操作时序，从而实现自我感知、自我判断、自我调节和自我控制。IoT/CPS的系统模型如图1所示。系统模型包括物理层、网络层、协同处理层、应用层。

    物理层由感知子系统和控制子系统构成，主要负责从物理世界采集原始信息，并根据系统指令改造物理世界。典型的物理层设备包括RFID装置、各类传感器、图像采集装置、执行器单元以及全球定位系统(GPS)。

    网络层保证感知数据在异构网络中的可靠传输，其功能相当于TCP/IP结构中的网络层和传输层。构成该层的要素包括网络基础设施、通信协议以及通信协议间的协调机制。

    协同处理层由多个具有不同功能的智能处理平台组成，并采用网格或云的方式组织这些平台的计算能力。协同处理层根据应用需求将原始感知数据处理成不同的格式，从而实现同一感知数据在多个应用系统间的共享，同时根据感知数据和来自应用层的用户命令智能决策、调整控制子系统内部的预设规则，改变控制子系统的运行状态。

    应用层面向用户提供个性化业务、身份认证、隐私保护和人机交互接口，面向协同处理层提供用户操作指令。通过应用层提供的接口，用户可以使用电视、个人电脑、移动设备等多终端设备访问IoT/CPS。
为表述方便，在讨论物理层中的感知子系统相关的问题时本文将使用术语“感知层”。

1.2 IoT/CPS的安全威胁
    IoT/CPS的安全威胁主要来自3个方面：

    (1)IoT/CPS的感知层由无线传感器网络(WSN)构成，其节点的计算、通信、存储能力有限，无法直接使用跳频通信、公钥密码等传统安全机制。在IoT/CPS网络环境下，来自外部网络的攻击加剧了感知层的安全问题。

    (2)由于IoT/CPS采用下一代网络作为核心承载网络，网络规模的增长和分布式的信息处理环境使得网络更容易受到拒绝服务/分布式拒绝服务(DoS/DDoS)攻击。同时异构网络之间的数据交换将带来全新的安全问题，如网间认证、安全协议的无缝衔接等。

    
    (3)由于IoT/CPS将网络特性引入控制系统，攻击者可以通过阻塞、哄骗、拒绝服务等手段使控制命令延迟或失真，导致系统无法进入稳定状态。发生在IoT/CPS网络各个逻辑层的安全威胁如图2所示。

    其中，固有的安全威胁[4-5]主要有：
    (1)被动攻击
    攻击者使用密码学工具分析网络中的信息，或者分析用户的行为模式。典型的被动攻击如窃听、流量分析、节点类型分析等。

    (2)节点控制
    通过节点控制，入侵者掌握了网内节点的共享密钥或是网关节点与远程信息处理平台共享密钥，入侵者能够通过控制传感器节点获取传感网与该节点交互的所有信息，还能在网络上散布错误信息。

    (3)节点捕获
    与节点控制不同，节点捕获并不掌握节点的密钥。这种攻击只能通过阻断节点破坏网络的连通性，或是通过鉴别传感器类型和推测网络的运行模式获得网络隐私。

    (4)拒绝服务
    拒绝服务有两种方式，一种是占用系统资源，导致其他节点停止工作，如网络层的阻塞攻击；另一种是强迫节点持续工作，导致该节点提前失效，如感知层的剥夺睡眠攻击。

    (5)认证攻击
    认证攻击是通过伪造身份，非法接入网络，或是恶意提高节点的声誉，达到散布虚假信息、扰乱网络正常运行目的的行为。常见的认证攻击包括针对网络层的中间人攻击、异步攻击、串谋攻击和针对感知层的Hello洪泛攻击等。

    (6)路由攻击
    利用路由攻击，攻击者通过重放、修改、伪造路由信息扰乱正常的路由行为。常见的路由攻击如重放攻击、选择转发攻击、Sybil攻击、Sinkhole攻击和Wormhole攻击。

    (7)隐私攻击
    利用隐私攻击，攻击者通过分析数据隐含的语义，获取用户的身份、偏好、行为习惯等隐私信息。典型的隐私攻击可能发生在感知层的网内数据处理、协同处理层的数据挖掘和应用层的用户认证等过程中。

    此外，IoT/CPS的网络特性还引入了新的安全威胁[6-7]：
    (1)时钟同步攻击
    对于IoT/CPS这样严格时序的系统，攻击者通过散布虚假时钟消息，破坏系统的统一时钟。

    (2)谐振攻击
    攻击者通过捕获传感器或控制器，强迫物理系统在指定频率附近产生谐振。

    (3)针对控制系统的攻击
    攻击者干扰控制系统对网络状态的估计，伪造或重放控制命令。针对控制系统的攻击包括控制命令伪造攻击、感知数据篡改攻击和控制网络DoS攻击。

1.3 安全结构
    目前关于IoT/CPS的安全研究可分为信息安全和控制安全两大类。信息安全主要解决在大规模、高混杂、协同自治的网络环境下信息的安全采集、处理和共享。其研究热点集中于提升现有安全机制的等级、用户隐私保护、海量加密数据的高效处理等方面；控制安全主要解决在开放互连、松散耦合的网络化系统结构下的安全控制问题，其研究的热点集中于克服攻击对控制系统估计和控制算法的影响。

    图3所示为本文提出的一种IoT/CPS安全体系结构。在信息领域，我们采用分层的网络结构，从每一个逻辑层次入手，为同一个安全问题设置多重安全机制，从而实现系统的深度防御；在控制领域，由于尚未形成成熟的理论分析模型，目前只能借用传统的时延、干扰和故障模型研究控制领域的安全威胁，并使用容错控制、分布式估计、鲁棒估计等方法实现安全控制。

1.3.1 感知层的安全结构
    IoT/CPS的感知层是一个由无线传感器网络构成的封闭系统，该层与外部网络的所有通信都必须通过网关节点，因此感知层安全结构的设计只需考虑传感器网络本身的安全问题。感知层的节点硬件结构简单，计算、通信存储能力弱，无法满足传统保密技术的需求。降低密码协议的开销是感知层安全的重要问题。在IoT/CPS环境下，感知层更容易受到外部网络的攻击，例如外部访问可能直接针对传感网内部节点展开DoS攻击，进而导致整个网络的瘫痪。建立入侵检测和入侵恢复机制，提高系统的鲁棒性，是感知安全的另一重要问题。入侵者可能通过控制网内节点、散布恶意信息扰乱网络正常运行。建立信誉模型，对可疑节点进行行为评估，降低恶意行为的影响是感知层安全的一项重要任务。此外，感知层安全设计还需要考虑建立感知节点与外部网络的互信机制，保障感知信息的安全传输。

    感知层的安全机制包括：轻量级的密码算法与协议、可设定安全等级的密码技术、传感器网络的密钥协商、节点的身份认证和数据完整性验证、安全路由、入侵检测和异态检测、节点信誉评价。

1.3.2 网络层的安全结构
    网络层安全结构的设计必须兼顾高效性、特异性和兼容性。在IoT/CPS中，感知数据和控制指令都具有时效性，在设计密码协议时可以考虑适当降低密码的安全等级以获得更高的处理效率。IoT/CPS由大量异构网络构成，这些网络性能各不相同，对网络攻击的防御能力也存在着巨大的差异。相对于通用安全结构，针对网络特异性设计专用安全协议更为合适。此外，安全结构的设计还必须考虑到安全协议的一致性与兼容性，实现异构网络的平滑过渡、无缝衔接。

    网络层的安全结构可以分为两个子层：点对点安全子层和端到端安全子层。其中，点对点安全子层保证数据在逐跳传输过程中的安全性，对应的安全机制包括：节点间的相互认证、逐跳加密、跨网认证。端到端子层主要实现端到端的机密性并保护网络可用性。安全机制包括：端到端的认证和密钥协商、密钥管理和密码算法选取、拒绝服务和分布式拒绝服务攻击的检测与防御。另外，根据网络通信模式的不同，还应设计针对单播、广播、组播的专用安全机制。

1.3.3 协同处理层的安全结构
    协同处理层实现海量数据的高效处理以及网络行为的智能决策，其最大的特点是“智能”和“协同”。“智能”的核心是信息的自动处理，只有自动处理技术才能实现对海量数据的分类、过滤、识别和处理。然而智能处理技术对恶意信息的检测能力有限，提高恶意信息的识别能力是本层安全结构设计的一个重要挑战；“协同”的核心是异构平台的协作计算，在协作的过程中系统可能泄露数据所有者的隐私，实现信息内容与信息来源的分离，是本层安全结构设计的另一个重要挑战。此外，根据数据的时效性、来源的可靠程度建立数据的可信度量化机制，实现加密数据的高效挖掘等，也都是本层安全机制所必须解决的问题。

    协同处理层的安全机制包括：恶意代码和垃圾信息的检测和过滤、安全多方计算和安全云计算、计算平台的访问授权和灾难备份、数据的可信度量化、隐私保护和安全数据挖掘。

1.3.4 应用层的安全结构
    应用层安全结构的设计必须遵循差异化服务的原则。基于IoT/CPS的应用系统种类繁多，安全需求各不相同，同一安全服务对于不同用户涵义也可能完全不同。例如，用户隐私保护服务对于移动用户而言可能是用户位置信息的保密，对于医疗系统可能是病历信息与病人身份的分离，对于在线选举系统则可能是实现用户匿名。因此根据用户需求提供具有针对性的安全服务，是应用层安全结构设计的核心理念。

    应用层面临的安全挑战主要有：

    (1)感知数据的分级访问
    在IoT/CPS系统环境下，多个应用系统共享同一感知数据，而不同应用对感知数据的精度需求不同。以道路监控信息为例，交通调度系统只需要了解某一特定路段车辆的拥堵的大致情况，但交通事故处理系统则需要现场的录像以便确定事故发生的基本过程，而刑侦机关则可能需要更高分辨率的现场图片以便准确获得车牌号等信息。只提供一种精度的信息，将增加隐私泄露的风险。如何针对不同应用提供适宜精度的信息，是应用层安全的重要挑战。

    (2)用户认证过程中的隐私保护
    在很多应用场景中，系统的认证过程要求用户提交个人信息，如何防止对这些个人信息的非法访问，有效保护用户的隐私，是应用层安全技术所必须解决的安全问题。

    应用层的安全机制主要包括：数据库的访问控制、用户隐私保护、计算机取证等。

1.3.5 控制系统的安全结构
    IoT/CPS控制系统的安全研究处于起步阶段，针对IoT/CPS的攻击模式、作为范围和危害程度尚未形成严格规范的描述。目前控制系统的安全技术包括：健壮网络控制、鲁棒估计、分步式估计、容错控制。

2 IoT/CPS安全关键技术
    在IoT/CPS体系结构中，有些安全问题在新的网络环境下并没有发生本质的变化，解决此类问题只需提升现有技术的安全等级；另外一些问题(如控制系统、协同处理平台的安全)对于安全研究而言是全新的，解决这类问题需要全新的安全技术。关于传统的安全技术，如加密、认证、入侵检测和安全路由，文献[4, 8-11]作出了充分的讨论，本文不再赘述。下面针对隐私保护、安全控制、跨网认证等IoT/CPS特有的安全技术展开讨论。

2.1 大规模实体身份标识和认证技术
    IoT/CPS系统功能的实现依赖于高层应用对末梢网络实体的实时感知和精确控制，这就要求二者之间必须建立互信机制。可以使用双向认证技术来实现这一机制。但是在IoT/CPS网络环境下，外部网络与末梢网络节点间的双向认证存在两个问题：认证过程中必须充分地考虑末梢网络资源的有限性，认证机制的计算和通信开销必须尽可能小；对外部网络而言，其连接的末梢网络数量巨大，结构不尽相同，必须建立一个高效的识别机制，以区分这些网络及其内部节点，并赋予唯一的身份标识。

    文献[12]提出了一种树形的身份标识和寻址结构，并在此基础上设计了轻量级认证方案。身份标识和寻址结构包括身份标识(ID)、位置地址(LOC)和交换标签(Tag)3类标识体系。节点的身份标识由节点与其他网络实体的社会组织关系决定；位置地址由节点在网络中的位置和网络的拓扑结构决定；而交换标签，其结构类似于异步传输模式(ATM)的虚路径标识符/虚通道标识(VPI/VCI)，为通信双方提供面向连接的服务。高层应用访问末梢节点的过程如图4所示。高层应用以末梢节点的身份标识为目标发起呼叫，标识服务器将身份标识映射为位置地址，同时认证高层应用的合法性，如果认证成功则将位置地址和连接口令发送至位置服务器发起路由查询，最后获得高层应用于末梢节点之间的交换标签，建立数据通道。图4中，高层用户与末梢节点间会话的建立必须通过身份标识和位置地址的双重认证。

    为了保证IoT/CPS网络的运行效率和可扩展性，认证采用分段加密口令实现。节点在接入IoT/CPS时获得自身的ID/LOC分量和对应的密钥，通过RSA加密算法,节点生成口令密文，再与其祖先节点的口令密文分量级联构成完整的口令密文序列。

2.2 安全控制技术
    IoT/CPS将控制系统引入信息网络的同时也带来了新的安全问题，目前关于IoT/CPS控制系统安全的研究尚未形成成熟的研究模型和安全策略。现有的研究主要集中在攻击行为模式分析和鲁棒网络控制系统(RNCS)构建两个方面。文献[6]将DoS攻击类比于网络拥塞产生的丢包，并用Bernoulli和Gilbert-Elliot丢包模型分析控制系统遭受DoS攻击时的性能；同时使用测量噪声来模拟篡改攻击，并提出使用MinMax滤波器补偿篡改攻击造成的影响。文献[6]将受到攻击的IoT/CPS控制系统表示为Kalman滤波器的形式。文献[13]在此基础上设计了一种考虑IoT/CPS通信限制的分布式Kalman滤波器，实现多个控制器对网络状态的协同估计。文献[14]讨论了容错控制(FTC)问题，指出在设计阶段考虑节点冗余，可增强网络的容错性能，将攻击危害降到最低。文献[15]提出了一种控制系统异态检测技术的设想，指出通过建立系统输出对控制命令的反馈模型，异态检测机制可以产生控制命令的估计，并根据控制命令的观察值与估计值的距离判断系统是否受到篡改攻击。

2.3 隐私保护技术
    隐私保护是IoT/CPS安全的一个重要问题。在IoT/CPS“无处不在”的网络环境下，用户在享受个性化服务的同时也可能泄露自身的隐私信息；另一方面IoT/CPS的任务通常由多个节点协作完成，协作过程中节点的输出也可能造成隐私泄露。因此，如何在保持用户隐私机密性的同时不降低数据分析处理的效率是必须解决的安全问题。

    以往关于IoT/CPS隐私保护的研究集中于无线多媒体传感网(WMSN)视频隐私数据的加密，通过多媒体信息的隐藏、加密和多径传输，保障数据的机密性。文献[16]总结了WMSN vision-rich的一些成果，包括NeST[17]、Ubisense[18]等支持隐私保护的无线视频监控系统。文献[19]在总结现有IoT/CPS隐私保护技术的基础上，给出了两种技术路线：用户匿名和安全多方计算(SMC)。

    用户匿名是指利用数据变换，随机化等手段实现用户信息的隐藏。文献[20]提出了一种经典的k-匿名算法，当数据包含有k个以上用户的隐私信息时，该算法保证任意一个用户的隐私信息都是不可区分的。k-匿名算法可以有效抵御身份重构攻击，目前被广泛地应用于Datafly、μ-Argus、k-Similar等实际隐私保护系统。

    安全多方计算是指各实体均以私有数据参与协作计算，当计算结束时，各方只能得到正确的最终结果，而不能得到他人的隐私数据。安全多方计算存在两种算法原型：安全累加协议和隐私同态。安全累加协议是指网络中的个用户在协作完成累加运算的过程中，保持自身数据的机密性；隐私同态是满足同态性质的一类加密算法。

    传统安全多方计算方案的运算效率低，同时要求参与计算的资源可计算、可通信，这一点大大限制了安全多方计算在IoT/CPS隐私保护领域的应用。文献[21]提出了一种基于“理想格”的同态加密算法，该算法可以使用电路实现，具有良好的可行性和较高的运算效率。

3 结束语
    安全性是IoT/CPS发展过程中不容忽视的问题，系统安全与否将最终决定用户对IoT/CPS的认可程度。IoT/CPS独特的开放性和泛在性为系统安全带来了新的挑战。本文在分析系统的安全需求和威胁模型的基础上，初步建立了IoT/CPS的安全体系结构，并在此结构的基础上针对隐私保护、安全控制、跨网认证等IoT/CPS特有的安全技术展开了初步的探讨。值得关注的是：IoT/CPS作为一个整体，各逻辑层安全机制的简单相加并不能实现系统的深度防御，因此构建控制与信息相结合的安全体系，并实现个层次简单安全技术的无缝衔接，是IoT/CPS安全研究发展的重要方向。

4 参考文献
[1] ITU Internet Report 2005: The Internet of Things [R/OL]. [2005-11-17]. http://www.itu.int/osg/spu/publications/internetofthings/.
[2] OHN H, MARBURGER J H, KVAMME E F, et al. Leadership Under Challenge: Information Technology R&D in a Competitive World [R/OL]. [2005-11-17]. An Assessment of the Federal Networking and Information Technology R&D Program.2007-08. http://ostp.gov/pdf/nitrd_review.pdf.
[3] 蒋林涛. 单一IP技术很难满足物联网的需求 [C]//2000年中国通信产业发展形势报告会, 北京. 2010.
[4] KARLOF C, WAGNER D. Secure Routing in Wireless Sensor Networks: Attacks and Countermeasures [C]//Proceedings of the 1st International Workshop on Sensor Network Protocols and Applications (SNPA'03), May 11, 2003, Berkeley, CA, USA. Los Alamitos, CA, USA: IEEE Computer Society, 2003:113-127.
[5] STALLINGS W. Cryptography and Network Security: Principles and Practice [M]. 4th ed. Boston, MA, USA: Prentice Hall, 2006.
[6] CARDENAS A A, AMIN S, SASTRY S. Secure Control: Towards Survivable Cyber-Physical Systems [C]//Proceedings of the 28th International Conference on Distributed Computing Systems (ICDCS’08), Jun 17-20, 2008, Beijing, China. Piscataway, NJ, USA: IEEE, 2008: 495-500.
[7] ABDELZAHER T. Research Challenges in Distributed Cyber-Physical Systems [C]//Proceedings of the IEEE/IFIP International Conference on Embedded and Ubiquitous Computing(EUC’08):Vol 1, Dec 17-20,2008, Shanghai, China. Piscataway, NJ, USA: IEEE, 2008:5.
[8] DJENOURI D, KHELLADI L, BADACHE A N. A Survey of Security Issues in Mobile Ad Hoc and Sensor Networks [J]. IEEE Communications Surveys & Tutorials, 2005, 7(4): 2-28.
[9] WANG Yong, ATTEBURY G, RAMAMURTHY B. A Survey of Security Issues in Wireless Sensor Networks [J]. IEEE Communications Surveys & Tutorials, 2006, 8(2): 2-23.
[10] PERRIG A, STANKOVIC J, WAGNER D. Security in Wireless Sensor Networks [J]. Communications of the ACM, 2004, 47(6): 53-57.
[11] YANG Hao, LUO Haiyun, YE Fan, et al. Security in Mobile Ad Hoc Networks: Challenges and Solutions [J]. IEEE Wireless Communications, 2004, 11(1): 38-47.
[12] ZHANG Jinxin, LIANG Mangui. A new architecture for converged Internet of things [C]//Proceedings of the 2010 International Conference on Internet Technology and Applications (iTAP’10), Aug 20-22, 2010, Wuhan, China. Piscataway, NJ, USA: IEEE, 2010:4p.
[13] OLFATI-SABER R. Distributed Kalman Filter with Embedded Consensus Filter [C]//Proceedings of the 44th IEEE Conference on Decision and Controland 2005 European Control Conference (CDC-ECC’05), Dec 11, 2005, Seville, Spain. Los Alamitos: IEEE Computer Society, 2005:8179-8184.
[14] BLANKE M, KINNAERT M, LUNZE M, et al. Diagnosis and Fault-Tolerant Control [M]. New York, NY, USA: Springer Verlag, 2003.
[15] CARDENAS A A, AMIN S, SASTRY S S. Research Challenges for the Security of Control Systems [C]//Proceedings of the 3rd USENIX Workshop on Hot Topics in Security (HotSec'08), Jul 29, 2008, San Jose, CA, USA. Berkeley, CA, USA: USENIX Association, 2008:6p.
[16] LUO Hong, LIU Yonghe, Das S K. Routing Correlated Data in Wireless Sensor Networks: A Survey [J]. IEEE Network, 2007, 21(6): 40-47.
[17] KUNDUR D, LUH W, OKORAFOR U N, et al. Security and Privacy for Distributed Multimedia Sensor Networks [J]. Proceedings of the IEEE, 2008, 96(1): 112-130.
[18] AKKAYA K, YOUNIS M. A Survey on Routing Protocols for Wireless Sensor Networks [J]. Ad Hoc Networks, 2005, 3(3): 325-349.
[19] OLESHCHUK V. Internet of Things and Privacy Preserving Technologies [C]//Proceedings of the 1st International Conference on Wireless Communication, Vehicular Technology, Information Theory and Aerospace & Electronic Systems Technology(Wireless VITAE’09), May 17-20,2009, Aalborg, Denmark. Piscataway, NJ, USA: IEEE, 2009: 336-340.
[20] SWEENEY L. K-anonymity: A Model for Protecting Privacy [J]. International Journal of Uncertainty, Fuzziness, and Knowledge-based Systems, 2002,10(5): 557-570.
[21] GENTRY C. Fully Homomorphic Encryption Using Ideal Lattices [C]//Proceedings of the 41st Annual ACM Symposium on Theory of Computing(STOC’09), May 31 - Jun 2, 2009, Bethesda, MD, USA. New York, NY, USA: ACM, 2009:169-178.

收稿日期：2010-11-05

[摘要] 物联网(IoT)和信息物理融合系统(CPS)作为下一代网络的核心技术，被业界广泛关注。与传统网络不同，IoT/CPS异构融合、协同自治、开放互连的网络特性带来了巨大的系统安全方面的挑战。挑战包括安全协议的无缝衔接、用户隐私保护等。研发新的安全模型、关键安全技术和方法是IoT/CPS发展中的重点。文章基于IoT/CPS安全需求和威胁模型，提出了一种层次化的安全体系结构，并针对隐私保护、跨网认证和安全控制等IoT/CPS的关键安全技术展开讨论。

[关键词] 物联网；信息物理融合系统；安全体系结构；隐私保护；安全控制；跨网认证

[Abstract] Internet of Things (IoT) and Cyber-Physical Systems (CPS) are core technologies of next generation networks, and are the focus of research in both academia and industry. IoT/CPS has unique characteristics including heterogeneous integration, collaborative autonomy, and open interconnection that raise a number of issues for system security. These issues include seamless connection between security protocols, and preservation of user privacy. Developing novel security models, key technologies, and approaches is therefore critical in the development of IoT/CPS. This paper proposes an hierarchical security architecture based on threat analysis and security requirements and discusses key technologies associated with privacy preservation, secure control, and cross-network authentication.

[Keywords] Internet of things; cyber-physical systems; security architecture; privacy preservation; secure control; cross-network authentication