物联网安全

物联网安全
物联网的概念和体系结构
物联网（IoT,Internet of Things）概念是1999年提出的，目前还没有权威的物联网定义。

目前认可度比较高的物联网定义是：利用无线射频识别（RFID,Radio Frequency Identification Devices）、二维码、传感器、激光扫描器等各种感知技术和设备，将网络和所有物体相连接，全面获取真实世界的各种信息，完成人与物、物与物之间的信息交互，以实现对现实世界物体的智能化识别、跟踪定位和管理控制
从技术上讲，物联网是互联网的延伸和发展，不是全新凭空而出的。

物联网是一个基于感知技术，融合了各类应用的服务型网络系统。

可以利用现有的各类网，通过自组网能力，无缝连接融合形成物联网。

物联网的体系结构包含3个层次，如图1所示，下层是感知真实世界的感知层，中层是完成数据传输的网络层，上层是面向用户的应用层。

图1 物联网体系结构。

物联网安全特征
与传统网络相比，物联网发展带来的安全问题将更为突出，要强化安全意识，把安全放在首位，超前研究物联网产业发展可能带来的安全问题。

物联网安全除了要解决传统信息的问题之外，还需要客服成本、复杂性等新的挑战。

物联网安全面临的新挑战主要包括需求与技术的矛盾，安全复杂性进一步加大，信息技术发展本身带来的问题，以及物联网系统攻击的复杂性和动态性仍较难把握等方面。

总的来说，物联网安全的主要特点是1个方面即大众化、轻量级、飞对称和复杂性。

（1）大众化
物联网时代，当每个人习惯于使用网络处理生活中的所有事物的时候，当你习惯于网上购物、网上办公的时候，信息安全就与你的生活紧密的结合在一起
了，不再是可有可与。

物联网时代如果出现了安全问题，那每个人都将面临重大损失。

只有当安全与每个恩的利益相关的时候，所有人才会重视安全，也就是所谓的“大众化”。

（2）轻量级
物联网中需要解决的安全威胁数量庞大，并且与恩门的生活密切相关。

物联网安全必须是轻量级、低成本的安全解决方案。

只有这种轻量级的思路，普通大众才可能接受。

轻量级解决方案正是物联网安全的一大难点，安全措施的效果必须要好，同时要低成本，这样的需求才可能催生出一系列的安全新技术。

（3）非对称
物联网中，各个网络边缘的感知节点能力较弱，但是其数量庞大，而网络中心的信息处理系统的计算处理能强，整个网络呈现出非对称的特点。

物联网安全在面向这种非对称网络的时候，需要将能力弱的感知节点安全处理能力与网络中心强的处理能力结合起来，采用高效的安全管理措施，使其形成综合能力，从而能够整体上发挥出安全设备的效能。

（4）复杂性
物联网安全十分复杂，从目前可认知的观点出发可以知道，物联网安全面临的威胁，要解决的安全问题，所采用的安全技术，不但数量上比互联网大很多，而且还可能出现互联网所没有的新问题和新技术。

物联网安全涉及到信息感知、信息传输和信息处理等多个方面，并且更加强调用户隐私。

物联网安全各个层面的安全技术都需要综合考虑，系统的复杂性是一大挑战，同时也将呈现大量的商机。

物联网安全性分析
物联网除了传统网络安全威胁之外，还存在着一些特殊安全问题。

这是由于物联网是由大量机器构成，减少人对设备的有效监控，并且数量庞大、设备集群度高，结合图2物联网信息流图，额联网特有的安全威胁主要有以下几个方面。

图2 物联网信息流图
（1）节点攻击
由于物联网的应用可以取代人来完成一些复杂、危险和机械的工作。

所
以物联网机器/感知节点多数部署在无人监控的场景中。

那么，攻击者就可以轻
易的接触到这些设备，甚至通过本地操作更换机器的软硬件，从而对他们造成破坏；另一方面，攻击者可以冒充合法节点或者越权享受服务，因此，物联网中有可能存在大量的损坏节点和恶意节点。

（2）重放攻击
在物联网标签体系中无法证明此信息已传递给服务器，攻击者可以获得已认证的身份，再次获得相应的服务。

（3）拒绝服务攻击
一方面，物联网ONS以DNS技术为基础，ONS同样也继承了DNS的安全隐患，例如ONS漏洞导致的拒绝服务攻击，利用ONS服务作为中间的攻击放大器去攻击其他节点或主机；另一方面，由于物联网中节点数量庞大，且以集群方式存在，因此会导致在数据传播时，由于大量机器的数据发送使网络拥堵，产生拒绝服务攻击。

攻击者广播hello信息，并利用通信机制中优先策略、虚假路由等协议漏洞同样可以产生拒绝服务攻击。

（4）篡改或泄露标识数据
攻击者一方面可以通过破坏标签数据，使得物品服务补课使用；另一方面窃取或者伪造标识数据，获得相关服务或者进一步攻击做准备。

（5）权限提升攻击
攻击者通过协议漏洞或其它脆弱性使得某物品获取高级别服务，甚至控制物联网其它节点的运行。

（6）业务安全
传统的认证是区分不同层次的，网络层的认证就负责网络层的身份鉴别，业务层的认证就负责业务层的身份鉴别，两者独立存在。

但是在物联网中，大多数情况下，机器都是拥有专门的用途，因此，其业务应用与网络通信紧紧地绑在一起。

由于网络层的认证是不可缺少的，那么其业务层的认证就不再是必需的了，而是可以根据业务由谁来提供和业务的安全敏感程度来设计。

例如，当物联网的业务由运营商提供时，那么就可以充分利用网络层认证的结果而不需要进行业务层的认证；当物联网的业务由第三方提供也无法从网络运营商处获得密钥等安全参数时，它就可以发起独立的业务认证二不用考虑网络层的认证；或者当业务是敏感业务时，一般业务提供者会不信任网络层的安全级别，而使用更够级别的安全保护，那么就不再需要业务层的认证了。

（7）隐私安全
在未来的物联网中，每个人及没见物品都将随时随地的连接在网络上，随时随地的感知，在这种环境中如何确保信息的安全性和隐私性，防止个人信息、业务信息和财务信息丢失和被他人使用，将是物联网推进过程中需要突破的重大障碍之一。

物联网安全属性包括机密性、完整性、Accountability、可用性，表1 给出了物联网节点、重放攻击、拒绝服务攻击、篡改或泄露标识数据、权限提升攻击、业务安全等特有安全威胁的安全属性分析表
物联网安全威胁分析
物联网各个层次都面临安全威胁，现分别从感知层、网络层和应用层对其面临的威胁进行分析
1）感知层安全威胁
如果感知节点所感知的信息部采取安全防护或者安全防护的强度不够，则很可能这些信息被第三方非法获取，这种信息泄密某些时候可能造成很大的危害。

由于安全防护措施的成本因素或者使用便利性等因素，很可能某些感知节点不会或者采取很简单的信息安全防护措施，这样将导致大量的信息被公开传输，其结果很可能在意想不到的时候引起严重后果。

感知层普遍的安全威胁是某些普通节点被攻击者控制之后，其与关健节点交互的所有信息都将被攻击者获取。

攻击者的目的除了窃取信息外，还可能通过其控制的感知节点发憷错误的信息，从而影响系统的正常运行。

感知层安全措施必须能够判断和阻断恶意节点，并且还需要在阻断恶意节点后，保证感知层的连通性。

2）网络层的安全威胁
物联网网络层的网络环境与目前的互联网网络环境一样，也存在安全挑战，兵器而由于其中涉及到大量易购网络的互联互通，跨网络安全域的安全认证等方面会更哈严重。

网络层和可能面临非侵权节点非法接入的问题，如果网络层不采取网络接入措施，就很可能被非法接入，其结果可能是网络层负担加重或者传输错误信息。

互联网或者下一代网络将是物联网网络层的核心载体，互联网遇到的各种攻击仍然存在，甚至更多，需要有更好的安全防护措施和抗毁容灾机制。

物联网终端设备的防护能力也有很大差别，传统互联网安全方案难以满足需求，并且也和难采用通用的安全方案解决所有问题，必须针对具体需求制定多种安全方案。

3）应用层安全威胁
物联网应用层涉及到方方面面的应用，只能化是重要特征。

只能化应用能够很好的处理海量数据，满足使用需求，但如果智能化应用一旦攻击者被利用，将造成更严重的后果。

应用层的安全问题是综合性的，需要结合具体的应用展开应对。

物联网安全技术体系
1、横向防御体系
物联网横向防御体系如图3所示，包括物理安全、安全计算环境、安全区域边界、安全通信网络、安全管理中心、应急响应恢复与处置六个方面。

其
中“一个中心”管理下的“三重保护”是核心，物理安全是基础，应急响应处置与恢复是保障。

安全计算环境子系统主要实现计算环境内部的安全保护；安全区域边界子系统主要实现出/入区域边界的数据流向控制；安全通信子系统主要实现网络传输和交换的数据信息的保密性和完整性的安全保护；系统管理子系统主要实现系统资源的配置、管理和运行控制；安全管理子系统主要实现系统主体、客体的统一标记和主体的授权管理，以及系统安全策略和分布式安全机制的统一管理；安全审计子系统主要实现分布式系统各个组成部分的安全审计策略机制的集中管理。

安全体系中的安全技术范围涵盖以下内容；
物理安全主要包括物理访问控制，环境安全（监控、报警系统、防雷、防火、防水、防潮、静电消除器等装置）、电磁屏蔽安全、EPC设备安全。

安全计算坏境主要包括感知节点身份鉴别、自主/强制/角色访问控制、授权管理（PKI/PMI系统）、感知节点安全防护（恶意节点、节点失效识别）、标签数据源可信、数据保密性和完整性、EPC业务认证、系统安全审计。

安全区域边界主要包括节点控制（网络访问控制、节点设备认证）、信息安全交换（数据机密性与完整性、指令数据与内容数据分离、数据单向传输）、节点完整性（防护非法外联入侵行为、恶意代码防范）、边界审计。

安全通信网络主要包括链路安全（物理专用或逻辑隔离）传输安全（加密控制、消息摘要或数字签名）。

安全管理中心主要包括业务与系统管理（业务准入介入与控制、用户管理、资源管理、EPCIS管理）安全监测系统（入侵检测、违规检查、EPC数字取证）、安全管理（EPC策略管理、审计管理、授权管理、异常与报警管理）应急响应恢复与处置主要包括容灾备份、故障恢复、安全事件处理与分析、应急机制。

图 3 EPC安全体系结构
2、纵深防御体系
物联网可以依据保护对象的重要成都以及防范范围，将整个保护对象从网络空间划分为若干个层次，不同层次采取不同的安全技术。

目前，物联网体系以互联网为基础，因此，可以将保护范围划分为：边界防护、区域防护、节点防护、核心防护*应用防护或内核防护），从而实现如图3所示的纵深防御。

物联网边界防护包括两个层面：1）物联网边界可以指单个应用的边界，即核心处理层与各个感知节点之间的边界，例如智能家居中控制中心与居家的洗衣机或路途中汽车之间的边界，也可理解是传感网与互联网之间的边界；其次，物联网边界也可以指不同边界之间的边界，例如，感知电力与感知工业之间的业务应用之间的边界；2）防护是比边界更小的范围，特指单个业务应用内的区域，例如安全管理中心区域；节点防护一般具体到一台服务器或感知节点的防护，其保护系统的健壮性，消除系统的安全漏洞等；核心防护可以针对某一个具体的安全技术，也可以是具体的节点或用户，也可以是操作系统的内核防护，它抗攻击强度最大，能够保证核心的安全。

物联网安全技术
1、物联网安全技术框架
物联网主要包括访问控制、入侵检测等40多种安全技术。

如表2所示
表2 物联网安全技术2、可信接入技术
可信接入技术是通过不同可信计算机平台之间通信网络工程中基于可信计算技术的相互认证操作，确保系统各可信平台之间的通信关系满足特定的安全策略。

每个可信计算机平台在启动时都将进行硬件检查和操作系统版本检测。

以确定设备是某个安全区域的内部设备，操作系统是可信操作系统。

在用户登陆并执行具体的安全程序之后，可信认证将据此确定用户所属的安全区域，并在用户与外界进行通信网络连接时，将相关的信息发送给对方。

在通信网络连接的另一端，系统将根据这些信息决定通信网络连接是否允许、确定通信网络连接的流向控制，并可以再介入端根据这些信息标识通信网络连接相关的主体与客体。

可信接入可以用于安全管理中心与安全计算环境之间的连接，实现安全管理中心到安全计算环境的可信安全策略管理机制的单向信息流向；可信接入也可以用于安全审计/检测中心与安全计算环境之间的连接，实现安全计算环境中的可信审计/检测机制到安全审计/检测中心的单向信息流向。

这样，安全计算环境中的用户将无法攻击安全管理中心，也无法从审计/检测中心窃取信息。

可信接入机制也可以用于运行于节点和安全服务器之间的连接，节点连接到服务器上之后，根据节点的状态，安全服务器可以为节点的连接赋予适合的安全标识，使其能够被纳入适合的应用策略域。

物联网安全要求接入的节点具有一定的安全保障措施，因此要求终端节点对物联网平台来说是可信的，且不同业务平台之间的互联安全可靠。

物联网通过平台验证和加密信息通信节点之间、不同业务平台之间的可信互联、由于物体标签携带的数据量小，不可直接实现节点与物联网平台的可信接入，但可以通过专用于安全的EPCIS安全服务器实现可信接入，这种连接方式如图4所示
图4 节点可信接入
结束语
物联网安全和互联网安全一样，永远都会是一个被广泛关注的话题。

由于物联网连接和处理的对象主要是机器或物，以及相关的数据，其“所有权”特性导致物联网信息安全要求比以处理“文本”为主的互联网更高。

主要介绍物联网的概念并通过对物联网进行安全性分析，明确物联网安全雪球，分析物联网的安全威胁以及物联网安全结构和技术体系，下一步研究方向将对其他安全技术进行深入研究，并抽象出物联网安全基础设施框架以扩展新的
安全需求。