[发明专利]一种可穿戴设备风险评估和安全认证的方法

说明书

本发明公布了一种可穿戴设备风险评估和安全认证的方法，一种可穿戴设备风险评估和安全认证的方法，包括以下步骤：漏洞识别，对可穿戴环境进行分析，根据已有的安全漏洞建立安全风险数据库；分析环境，包括理解业务、监管环境以及分析每种环境中需要的安全级别，建立风险概要，设置每个获取风险概要的上下文中评估目标必须达到的相应的安全级别；安全评估，提供不同的测试结果来作为认证的基准；安全认证段，完成可穿戴设备的安全认证并生产多维安全标签。本发明提出的方法可以为可穿戴领域中的安全方面提供可伸缩的测试方法,在应用中能满足可穿戴市场的业务需求并能以用户理解的方式传达结果。

技术领域

本发明涉及穿戴设备领域，尤其涉及一种可穿戴设备风险评估和安全认证的方法。

背景技术

如今，安全问题是采用大规模可穿戴部署的最大障碍之一。可穿戴设备制造商正与标准化组织合作，打造下一代更安全、更标准化的智能穿戴物^]，但安全方面的认证仍是一个悬而未决的问题。一个合适的安全认证计划将有助于评估和比较不同的安全技术，以便为最终用户提供一个更加协调的可穿戴安全环境。事实上，欧洲网络安全组织第一工作组正致力于标准化、认证、标记和供应链管理，为安全标准和认证的发展制定路线图。然而，可穿戴安全的适当风险评估和认证方法必须克服这种模式固有的各方面的障碍。一方面，设备和产品高度的多样性和异质性与安全方面的客观需求相冲突。另一方面，由于典型可穿戴环境的动态性，认证方法必须考虑到产品在这些变化的条件下运行的各种情况。因此，需要创建自我评估方案并改进自动化环境的测试方法，以确保产品具有适合于使用环境的最低安全级别。此外，该方法必须满足可穿戴市场的业务需求并能以用户理解的方式传达结果。

发明内容

本发明的目的在于，为大型可穿戴项目提供对设备安全风险与用户信任度的测试和认证的技术解决方案，设计一种可穿戴设备风险评估和安全认证的方法。

本发明的发明目的是通过以下技术方案实现的：一种可穿戴设备风险评估和安全认证的方法，包括以下步骤：

S1:漏洞识别，对可穿戴环境进行分析，根据已有的安全漏洞建立安全风险数据库；

S2:分析环境，包括理解业务、监管环境以及分析每种环境中需要的安全级别，建立风险概要，设置每个获取风险概要的上下文中评估目标必须达到的相应的安全级别；

S3:安全评估，提供不同的测试结果来作为认证的基准；

S4:安全认证，完成可穿戴设备的安全认证并生产多维安全标签。

进一步的，所述的漏洞包括oneM2M标准漏洞与通用漏洞。

进一步的，所述的通用漏洞包括缺乏身份验证、缺乏保密性、缺乏授权、DOS攻击、缺乏完整性、重放攻击、不安全的密码和容错能力不足。

进一步的，所述安全风险数据库包括oneM2M标准漏洞与通用漏洞进行映射并分组为更普遍的适用于可穿戴设备的安全风险。

进一步的，所述安全评估包括以下步骤：

S11:风险识别，使用漏洞识别阶段识别的通用漏洞作为输入，根据评估目标从通用漏洞中选择将被测试的漏洞；

S12:风险估计，每个漏洞分配一个风险标记，利用安全测试阶段获得的默认值和测试结果通过CVSS机制来评估安全风险漏洞的风险等级；

S13:风险评估：将风险估计的结果与分析环境阶段所考虑的安全等级进行比较。

进一步的，所述安全测试的主要目的是测试可穿戴设备的风险等级，包括以下步骤：

S21:测试设计，设计一个测试套件来获得安全性度量，并在风险评估中使用这个测试套件来测试每个漏洞的风险等级；