在最新版的软件评测师教程中,物联网软件系统测试作为新技术进行了新增,在考试大纲中作为上午场考试的范围。为了应对今后的考试,我们把相应的知识点进行一个总结学习,并在文章末尾配备对应的习题。
一、概念
物联网(The Internet of Things,IoT):是指能够让所有的被独立寻址的普通的物理对象实现互联互通的网络,是一个在互联网、传统电信网等基础上的信息承载体。它具有三个典型的特征:普适服务智能化、自治终端互联化以及普通对象设备化。
物联网的起源是传媒领域,这也是信息科技产业的第三次革命。感知层、网络传输层以及应用层是物联网应用的三项关键技术。从通信对象和过程来看,物联网的核心是物与物、人与物之间的信息交互。这种信息交互具有整体感知、可靠传输、智能处理的基本特征。
二、物联网的安全架构
物联网的安全架构分为如下四层:
1.设备层
设备层是指在部署物联网的解决方案时所使用到的硬件,即“物”的实体。设备层涉及的保护措施主要包括:物理安全、芯片安全以及安全引导。物联网安全架构的设备层具有以下两项原则:
(1)处理复杂的、安全性要求高的任务的前提条件是设备智能化。
(2)边缘处理应具有安全优势。边缘处理是指这些智能化的设备能够在本地处理数据,而不需要将数据上传到云端。
2.通信层
通信层是指安全发送/接收数据的媒介,即物联网解决方案中的连接网络。通信层主要涉及的保护措施包括:数据加密、访问控制等。敏感数据在物理层、网络层、应用层之间进行传输时,不安全的通信信道很容易遭到攻击。物联网安全架构的通信层具有以下两项原则:
(1)启动与云端的连接安全保障。当防火墙端口向网络打开的瞬间,设备就会面临着从网络来的巨大风险。另一方面,在大多数情况下,由于需要启动与云端的连接,促进双向通信,让设备被远程控制也十分必要。这样启动和云端的连接安全更加需要保障。
(2)信息的安全保障。物联网设备的通信安全,无论信号是从设备端上传还是下载到设备端,其安全性都值得重视。通常在物联网的设备中,消息的传递及访问权限的设置在通信层上有着强大的作用。每个消息都可以根据合适的安全策略进行处理,可以实现控制消息流的安全传输。
3.云平台层
云平台层是指物联网解决方案的后端,主要用于对接收到的数据进行分析和处理。云平台层涉及的保护措施主要有:数字证书、完整性校验。物联网安全架构的云平台层具有的原则为:
设备需要具备识别、认证和加密的功能。在访问云端服务时,数字证书的使用不仅可以验证事务,还能在身份认证发生之前将设备到云端的通道进行加密。
4.全生存周期管理层
全生存周期管理层是指保证从设备制造、安装到物品处置的整个过程中都有足够高的安全级别,是一个整体性的层级。整个生存周期中主要包括的环节有:设计、策略执行、定期审核、供应商控制等。物联网安全架构的全生存周期管理层需要的安全原则是:
远程控制和更新的安全保障。这项原则的关键是保证设备禁止其他设备的连接,即使该设备可以进行双向连接并能得到正确的保护。在这种情况下,应该仍然使用消息交换机作为通信的通道并采取正确的措施。
三、物联网测试中面临的挑战
1.软硬件协同网络挑战。物联网是一种结构性的网络, 其中各种软硬件紧密耦合,不仅仅是软件的应用,传感器、通信网关等设备也发挥着重要的作用。与通用系统的测试相比,只有传统的功能、性能测试不足以完成整个系统的验证,所以物联网的测试会更加烦琐。
2.模块交互强连接挑战。由于物联网会涉及不同的软硬件组件之间的体系结构,因此,测试必须接近各种实际的情况。当不同的模块之间进行强连接交互,相互融合时,安全性、兼容性等问题都是测试过程中会遇到的挑战。
3.实时数据测试挑战。因为监管测试和试点测试都具有强制性,所以得到实时的数据在测试过程中是非常困难的。测试人员获得监管点也是非常困难的,因此,物联网测试过程中的实时数据测试对测试团队来说也是一大挑战。
4.网络可用性测试挑战。由于物联网中网络连接有着重要的作用。我们需要在不同的网络环境下进行测试,主要目标是在网络中更快地传输数据。这样我们就需要通过改变网络负载、连接和稳定性等网络可用性指标进行测试,而且网络是一个开放的环境,很难判断网络使用场景带来的复杂性。
四、物联网的测试类型
1.可用性测试。物联网中设备众多,应用程序也多。测试人员需要对物联网设备及其应用程序的每一个功能、数据处理、消息传递等方面进行测试。另一方面,物联网还应时刻保持互联相通。建立设备的连接,数据的传输以及消息任务的传递都应该是流畅的。最关键的是不管什么时候都不应该有数据丢失。
2.安全测试。物联网是以数据为中心的,所有设备的连接和操作都基于可用的数据,当数据在设备之间进行交换时,数据就很容易在交换过程中被截取,所以在测试过程中就需要检查数据从一个设备传输到另一个设备时是否被保护或加密。除此之外,物联网的安全还包括非法访问之类的访问控制安全测试。
3.性能测试。物联网性能测试通过各种自动化的测试工具模拟各种正常的、异常的、峰值的条件对物联网应用的性能指标进行测试。
4.兼容性测试。由于物联网系统的架构十分复杂,因此,很有必要进行兼容性测试。物联网兼容性测试的内容主要包括:操作系统、浏览器、设备、通信模式等的各种版本。
5.监管测试。物联网的监管测试是指物联网系统测试过程中需要通过多个监管合规的检查点。虽然有的产品通过了所有的测试步骤,但是在最终的合规性检查中却失败了,所以在测试周期刚开始时就需要满足监管的要求。
五、物联网渗透测试技术
1.概念:物联网渗透测试是指为了发现系统最脆弱的环节,对目标系统的安全性做更深入的探测,通过模拟黑客可能使用的漏洞发现技术和真实的攻击技术进行测试。
2.测试步骤
(1)威胁建模(固件、嵌入式网络、移动应用)。威胁建模是分析应用程序安全性的一种方法,通过辨别目标中的漏洞进而优化系统安全,然后界定减轻或者是防范系统威胁发生的方法的过程。
(2)漏洞利用(固件、嵌入式网络、移动应用)。漏洞利用是指测试者根据具体的漏洞实施一次漏洞攻击的过程,其中,漏洞攻击程序是利用漏洞实施攻击的一种具体体现。
(3)攻击技术(物联网设备、无线电)。物联网的攻击主要有硬件接口、暴力破解、云端攻击、通讯方式、软件缺陷、管理缺陷六种攻击方式。物联网设备的硬件攻击方法包括:信息搜集与分析、设备的外部分析与内部分析、通信接口识别、采用硬件通信技术获取数据、基于硬件漏洞利用方法的软件漏洞利用等。
3.物联网渗透测试流程
(1)信息搜集:对于物联网来说,初始阶段的信息搜集非常关键,通过探知物联网的感知层、网络层和应用层的相关信息进行信息搜集。
(2)进行分析:分析阶段则是对收集到的信息进行分类、组织、分析进而识别出目标的攻击路径,并且尝试获得目标的访问权限。
(3)针对性开发:开发阶段则是针对已经分析出来的可攻击路径模拟真实的攻击,在感知层通过非法读取节点信息、嗅探节点间的信息路由、伪造克隆破坏节点数据等方式进行攻击。在网络层则是对信号重放、信号伪造或者信号劫持等进行干扰和攻击目标。在应用层则是对Web应用程序、软件缓冲区以及密码等进行攻击。
(4)生成报告:一个成功的渗透测试能够发现漏洞,并提供日志报告,以便提高未来的物联网的安全性。
基于以上的知识点,结合可能出现的题目考察形式,给大家出几道练习题加以巩固。
【习题1】以下属于物联网软件系统测试的测试类型的是( )
①可用性测试
②性能测试
③安全测试
④兼容性测试
⑤监管测试
A、①②③④
B、①②③④⑤
C、①②③⑤
D、①②④⑤
解析:本题考查物联网软件系统测试的测试类型。
①②③④⑤都是物联网软件系统测试的测试类型。
故正确答案为:B
【习题2】以下属于物联网的安全架构中通信层要遵从的原则的是( )
A、边缘处理应具有安全优势
B、远程控制和更新的安全保障
C、设备需要具备识别、认证和加密的功能
D、启动与云端的连接安全保障
解析:本题考查物联网的安全架构的基础知识。
通信层是指安全发送/接收数据的媒介,即物联网解决方案中的连接网络。物联网安全架构的通信层具有以下两项原则:
(1)启动与云端的连接安全保障。
(2)信息的安全保障。
故正确答案为:D
作者唯一官方个人微信公众号(昊洋与你一起成长):HYJY20180101
写于2021年8月26日
作者:昊洋讲师
版权所有,侵权必究
