Abstract The last years have elevated the importance of cyber–physical systems like IoT applications, smart cars, or industrial control systems, and, therefore, these systems have also come into the focus of attackers. In contrast to software products running on PCs or smartphones, updating and maintaining cyber–physical systems presents a major challenge. This challenge, combined with the often decades-long lifetime of cyber–physical systems, and with their deployment in often safety-critical contexts, makes it particularly important to consider their security already at design time. When aiming to obtain a provably secure design, model-driven security approaches are key, as they allow to identify and mitigate threats in early phases of the development. As attacks may exploit both code-level as well as physical vulnerabilities, such approaches must consider not just the cyber layer but the physical layer as well. To find out which model-driven security approaches for cyber–physical systems exist considering both layers, we conducted a systematic literature review. From a set of 1160 initial papers, we extracted 69 relevant publications describing 17 candidate approaches. We found seven approaches specifically developed for cyber–physical systems. We provide a comprehensive description of these approaches, discuss them in particular detail, and determine their limitations. We found out that model-driven security is a relevant research area but most approaches focus only on specific security properties and even for CPS-specific approaches the platform is only rarely taken into account.

中文翻译：

---

网络物理系统模型驱动安全工程的系统文献综述

摘要 近年来，物联网应用、智能汽车或工业控制系统等网络物理系统的重要性不断提高，因此，这些系统也成为攻击者关注的焦点。与在 PC 或智能手机上运行的软件产品相比，更新和维护网络物理系统是一项重大挑战。这一挑战，再加上网络物理系统通常长达数十年的生命周期，以及它们在通常对安全至关重要的环境中的部署，使得在设计时考虑它们的安全性变得尤为重要。当旨在获得可证明的安全设计时，模型驱动的安全方法是关键，因为它们允许在开发的早期阶段识别和减轻威胁。由于攻击可能会利用代码级和物理漏洞，这种方法不仅必须考虑网络层，还必须考虑物理层。为了找出考虑到这两层的网络物理系统存在哪些模型驱动的安全方法，我们进行了系统的文献回顾。从 1160 篇初始论文中，我们提取了 69 篇相关出版物，描述了 17 种候选方法。我们发现了七种专门为网络物理系统开发的方法。我们对这些方法进行了全面的描述，特别详细地讨论了它们，并确定了它们的局限性。我们发现模型驱动的安全是一个相关的研究领域，但大多数方法只关注特定的安全属性，甚至对于 CPS 特定的方法，平台也很少被考虑在内。为了找出考虑到这两层的网络物理系统存在哪些模型驱动的安全方法，我们进行了系统的文献回顾。从 1160 篇初始论文中，我们提取了 69 篇相关出版物，描述了 17 种候选方法。我们发现了七种专门为网络物理系统开发的方法。我们对这些方法进行了全面的描述，特别详细地讨论了它们，并确定了它们的局限性。我们发现模型驱动的安全是一个相关的研究领域，但大多数方法只关注特定的安全属性，甚至对于 CPS 特定的方法，平台也很少被考虑在内。为了找出考虑到这两层的网络物理系统存在哪些模型驱动的安全方法，我们进行了系统的文献回顾。从 1160 篇初始论文中，我们提取了 69 篇相关出版物，描述了 17 种候选方法。我们发现了七种专门为网络物理系统开发的方法。我们对这些方法进行了全面的描述，特别详细地讨论了它们，并确定了它们的局限性。我们发现模型驱动的安全是一个相关的研究领域，但大多数方法只关注特定的安全属性，甚至对于 CPS 特定的方法，平台也很少被考虑在内。我们提取了 69 篇相关出版物，描述了 17 种候选方法。我们发现了七种专门为网络物理系统开发的方法。我们对这些方法进行了全面的描述，特别详细地讨论了它们，并确定了它们的局限性。我们发现模型驱动的安全是一个相关的研究领域，但大多数方法只关注特定的安全属性，甚至对于 CPS 特定的方法，平台也很少被考虑在内。我们提取了 69 篇相关出版物，描述了 17 种候选方法。我们发现了七种专门为网络物理系统开发的方法。我们对这些方法进行了全面的描述，特别详细地讨论了它们，并确定了它们的局限性。我们发现模型驱动的安全是一个相关的研究领域，但大多数方法只关注特定的安全属性，甚至对于 CPS 特定的方法，平台也很少被考虑在内。