《物聯(lián)網(wǎng)技術(shù)概論》課件第5章_第1頁
《物聯(lián)網(wǎng)技術(shù)概論》課件第5章_第2頁
《物聯(lián)網(wǎng)技術(shù)概論》課件第5章_第3頁
《物聯(lián)網(wǎng)技術(shù)概論》課件第5章_第4頁
《物聯(lián)網(wǎng)技術(shù)概論》課件第5章_第5頁
已閱讀5頁,還剩117頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

第5章物聯(lián)網(wǎng)安全5.1物聯(lián)網(wǎng)安全概述5.2物聯(lián)網(wǎng)分層安全體系5.3物聯(lián)網(wǎng)面臨的其他安全風(fēng)險(xiǎn)本章小結(jié)

5.1物聯(lián)網(wǎng)安全概述

5.1.1物聯(lián)網(wǎng)安全的特點(diǎn)

與互聯(lián)網(wǎng)不同,物聯(lián)網(wǎng)的特點(diǎn)在于無處不在的數(shù)據(jù)感知、以無線為主的信息傳輸和智能化的信息處理。從物聯(lián)網(wǎng)的整個(gè)信息處理過程來看,感知信息經(jīng)過采集、匯聚、融合、傳輸、決策與控制等過程,體現(xiàn)了與傳統(tǒng)的網(wǎng)絡(luò)安全不同的特點(diǎn)。

物聯(lián)網(wǎng)的安全特征體現(xiàn)了感知信息的多樣性、網(wǎng)絡(luò)環(huán)境的異構(gòu)性和應(yīng)用需求的復(fù)雜性,呈現(xiàn)出網(wǎng)絡(luò)的規(guī)模大、數(shù)據(jù)的處理量大及決策控制復(fù)雜等特點(diǎn),這對(duì)物聯(lián)網(wǎng)安全提出了新的挑戰(zhàn)。物聯(lián)網(wǎng)除了面對(duì)傳統(tǒng)TCP/IP網(wǎng)絡(luò)、無線網(wǎng)絡(luò)和移動(dòng)通信網(wǎng)絡(luò)等傳統(tǒng)網(wǎng)絡(luò)安全問題之外,還存在著大量自身的特殊安全問題。具體地講,物聯(lián)網(wǎng)的安全主要有以下特點(diǎn):

(1)物聯(lián)網(wǎng)的設(shè)備、節(jié)點(diǎn)等無人看管,容易受到操縱和破壞。物聯(lián)網(wǎng)的許多應(yīng)用中,設(shè)備代替人完成一些復(fù)雜、危險(xiǎn)和機(jī)械的工作,物聯(lián)網(wǎng)中設(shè)備、節(jié)點(diǎn)的工作環(huán)境大都是無人監(jiān)控。因此攻擊者很容易接觸到這些設(shè)備,從而對(duì)設(shè)備或嵌入其中的傳感器節(jié)點(diǎn)進(jìn)行破壞。攻擊者甚至可以通過更換設(shè)備的軟硬件,對(duì)它們進(jìn)行非法操控。例如,在遠(yuǎn)程輸電過程中,電力企業(yè)可以使用物聯(lián)網(wǎng)來遠(yuǎn)程操控一些變電設(shè)備。由于缺乏看管,攻擊者可輕易地使用非法裝置來干擾這些變電設(shè)備上的傳感器。如果變電設(shè)備的某些重要參數(shù)被篡改,后果將會(huì)極其嚴(yán)重。

(2)信息傳輸主要靠無線通信方式,信號(hào)容易被竊取和干擾。物聯(lián)網(wǎng)在信息傳輸中多使用無線傳輸方式,暴露在外的無線信號(hào)很容易成為攻擊者竊取和干擾的對(duì)象,這會(huì)對(duì)物聯(lián)網(wǎng)的信息安全產(chǎn)生嚴(yán)重的影響。例如,攻擊者可以通過竊取感知節(jié)點(diǎn)發(fā)射的信號(hào),來獲取所需要的信息,甚至是用戶的機(jī)密信息并據(jù)此來偽造身份認(rèn)證,其后果不堪設(shè)想。同時(shí),攻擊者也可以在物聯(lián)網(wǎng)無線信號(hào)覆蓋的區(qū)域內(nèi),通過發(fā)射無線電信號(hào)來進(jìn)行干擾,從而使無線通信網(wǎng)絡(luò)不能正常工作,甚至癱瘓。例如,在物流運(yùn)輸過程中,嵌入在物品中的標(biāo)簽或讀/寫設(shè)備的信號(hào)受到惡意干擾,很容易造成一些物品的丟失。

(3)出于低成本的考慮,傳感器節(jié)點(diǎn)通常是資源受限的。物聯(lián)網(wǎng)的許多應(yīng)用通過部署大量的廉價(jià)傳感器覆蓋特定區(qū)域。廉價(jià)的傳感器一般體積較小,使用能量有限的電池供電,其能量、處理能力、存儲(chǔ)空間、傳輸距離、無線電頻率和帶寬都受到限制,因此傳感器節(jié)點(diǎn)無法使用較復(fù)雜的安全協(xié)議,因而這些傳感器節(jié)點(diǎn)或設(shè)備也就無法擁有較強(qiáng)的安全保護(hù)能力。攻擊者針對(duì)傳感器節(jié)點(diǎn)的這一弱點(diǎn),可以通過采用連續(xù)通信的方式使節(jié)點(diǎn)的資源耗盡。

(4)物聯(lián)網(wǎng)中物品的信息能夠被自動(dòng)地獲取和傳送。物聯(lián)網(wǎng)通過對(duì)物品的感知實(shí)現(xiàn)物物相聯(lián),如通過RFID(射頻識(shí)別)、傳感器、二維識(shí)別碼和GPS定位等技術(shù)能夠隨時(shí)隨地且自動(dòng)地獲取物品的信息。同樣這種信息也能被攻擊者獲取,在物品的使用者沒有察覺的情況下,物品的使用者將會(huì)不受控制地被掃描、定位及追蹤。這無疑對(duì)個(gè)人的隱私構(gòu)成了極大的威脅。

物聯(lián)網(wǎng)安全的總體需求是物理安全、信息采集的安全、信息傳輸?shù)陌踩托畔⑻幚淼陌踩?,而最終目標(biāo)要確保信息的機(jī)密性、完整性、真實(shí)性和網(wǎng)絡(luò)的容錯(cuò)性。一方面,物聯(lián)網(wǎng)的安全性要求物聯(lián)網(wǎng)中的設(shè)備自己必須是安全可靠的,不僅要可靠地完成設(shè)計(jì)規(guī)定的功能,更不能發(fā)生故障危害到人員或者其他設(shè)備的安全;另一方面,它們必須有能力防護(hù)自己,在遭受黑客攻擊和外力破壞的時(shí)候仍然能夠正常工作。

物聯(lián)網(wǎng)的信息安全建設(shè)是一個(gè)復(fù)雜的系統(tǒng)工程,需要從政策引導(dǎo)、標(biāo)準(zhǔn)制定、技術(shù)研發(fā)等多個(gè)方面向前推進(jìn),提出堅(jiān)實(shí)的信息安全保障手段,保障物聯(lián)網(wǎng)健康、快速地發(fā)展。5.1.2物聯(lián)網(wǎng)安全的特殊性

1.?RFID系統(tǒng)安全問題

RFID作為一種非接觸式的自動(dòng)識(shí)別技術(shù),通過射頻信號(hào)自動(dòng)識(shí)別目標(biāo)對(duì)象并獲取相關(guān)數(shù)據(jù),可識(shí)別高速運(yùn)動(dòng)物體并可同時(shí)識(shí)別多個(gè)標(biāo)簽。識(shí)別工作無需人工干預(yù),操作也非常方便。但是,RFID技術(shù)的應(yīng)用也面臨一個(gè)不可忽視的安全問題,RFID標(biāo)簽、網(wǎng)絡(luò)和數(shù)據(jù)等各個(gè)環(huán)節(jié)都存在安全隱患。例如,消費(fèi)物品的RFID標(biāo)簽可能被用于追蹤及侵犯人們的位置隱私,貼有標(biāo)簽的商品可能被商業(yè)間諜充分利用,隱私侵犯者通過重寫標(biāo)簽可以篡改物品信息等。雖然與計(jì)算機(jī)和網(wǎng)絡(luò)的安全問題類似,但RFID技術(shù)的安全問題要嚴(yán)峻得多,主要表現(xiàn)在以下幾個(gè)方面:

(1)各組件的安全脆弱性。在RFID系統(tǒng)中,數(shù)據(jù)隨時(shí)受到攻擊,不管是在傳輸中還是已經(jīng)保存在標(biāo)簽、閱讀器或在后端系統(tǒng)中。

(2)數(shù)據(jù)的脆弱性。一方面每個(gè)標(biāo)簽擁有一個(gè)IC,即一個(gè)帶存儲(chǔ)器的微芯片,攻擊者可以通過閱讀器或其他手段讀取標(biāo)簽中的數(shù)據(jù),在讀/寫標(biāo)簽的情況下,甚至可能改寫或刪除標(biāo)簽中的內(nèi)容;另一方面,閱讀器在收到數(shù)據(jù)以后,要進(jìn)行一些相關(guān)的處理,在處理過程中,數(shù)據(jù)安全可能會(huì)受到類似計(jì)算機(jī)安全脆弱的問題。

(3)通信的脆弱性。標(biāo)簽和閱讀器互相傳送數(shù)據(jù)通過無線電波進(jìn)行,在這種交換中,攻擊者可能截取數(shù)據(jù)或者阻塞、欺騙數(shù)據(jù)通信,甚至采用非法標(biāo)簽發(fā)送數(shù)據(jù)。

RFID系統(tǒng)的主要安全攻擊可簡單地分為主動(dòng)攻擊和被動(dòng)攻擊兩種類型。主動(dòng)攻擊包括以下三種:

(1)利用獲得的RFID標(biāo)簽實(shí)體,通過物理手段在實(shí)驗(yàn)室環(huán)境中去除芯封裝。使用微探針獲取敏感信號(hào),進(jìn)而進(jìn)行目標(biāo)RFID標(biāo)簽重構(gòu)的復(fù)雜攻擊。

(2)通過軟件并利用微處理器的通用通信接口,從而掃描RFID標(biāo)簽和響應(yīng)閱讀器的探詢,尋求安全協(xié)議、加密算法及它們實(shí)現(xiàn)的弱點(diǎn),進(jìn)而刪除RFID標(biāo)簽內(nèi)容或篡改可重寫RFID標(biāo)簽內(nèi)容的攻擊。

(3)通過干擾廣播、阻塞信道或其他手段,產(chǎn)生異常的應(yīng)用環(huán)境,使合法處理器產(chǎn)生故障,拒絕服務(wù)的攻擊等。被動(dòng)攻擊主要包括以下兩個(gè)方面:

(1)通過采用竊聽技術(shù),分析微處理器正常工作過程中產(chǎn)生的各種電磁特征,以獲得RFID標(biāo)簽和閱讀器之間或其他RFID通信設(shè)備之間的通信數(shù)據(jù)。

(2)通過閱讀器等竊聽設(shè)備,跟蹤商品流通動(dòng)態(tài)等。

主動(dòng)攻擊和被動(dòng)攻擊都使RFID應(yīng)用系統(tǒng)承受巨大的安全風(fēng)險(xiǎn)。主動(dòng)攻擊通過物理或軟件方法篡改標(biāo)簽內(nèi)容,以及通過刪除標(biāo)簽內(nèi)容、干擾廣播及阻塞信道等方法來擾亂合法處理器的正常工作,這是影響RFID應(yīng)用系統(tǒng)正常使用的重要安全要素。盡管被動(dòng)攻擊不改變RFID標(biāo)簽的內(nèi)容,也不影響RFID應(yīng)用系統(tǒng)的正常工作,但它是獲取RFID信息、個(gè)人隱私和物品流通信息的重要手段,這也是RFID應(yīng)用系統(tǒng)的重要安全隱患。

2.感知網(wǎng)絡(luò)的傳輸與信息安全

物聯(lián)網(wǎng)在很多場合都需要無線傳輸,對(duì)這種暴露在公開場所之中的信號(hào),如果沒有合適適的保護(hù)機(jī)制,很容易被竊取,也更容易被干擾。在這個(gè)過程中,它所面臨的安全風(fēng)險(xiǎn)與RFID并沒有本質(zhì)區(qū)別。此外,感知節(jié)點(diǎn)呈現(xiàn)多源異構(gòu)性,感知節(jié)點(diǎn)通常情況下功能簡單、攜帶能量少,使得它們無法擁有復(fù)雜的安全保護(hù)能力;感知網(wǎng)絡(luò)多種多樣,從溫度測量到水文監(jiān)控、從道路導(dǎo)航到自動(dòng)控制,它們的數(shù)據(jù)傳輸和消息沒有特定的標(biāo)準(zhǔn),因此沒辦法提供統(tǒng)一的安全保護(hù)體系。

1)傳感器節(jié)點(diǎn)被俘獲

無線傳感器網(wǎng)絡(luò)(簡稱為傳感器網(wǎng)絡(luò))在部署時(shí),節(jié)點(diǎn)數(shù)目成千上萬,管理者很難對(duì)每個(gè)節(jié)點(diǎn)進(jìn)行有效的監(jiān)控和保護(hù),因而每個(gè)節(jié)點(diǎn)都是一個(gè)潛在的被攻擊點(diǎn),都能被攻擊者進(jìn)行物理和邏輯攻擊。此外,傳感器網(wǎng)絡(luò)通常都部署在無人維護(hù)的野外環(huán)境中,這更加方便攻擊者在俘獲傳感器節(jié)點(diǎn)后,可以通過傳感器的編程接口(JTAG接口),修改或獲取傳感器節(jié)點(diǎn)中的敏感信息或代碼,依據(jù)相關(guān)研究的分析,攻擊者可利用簡單的工具(計(jì)算機(jī)、UISP自由軟件)在不到一分鐘的時(shí)間內(nèi)可以把EEPROM、Flash和SRAM中所有的信息傳輸?shù)接?jì)算機(jī),通過匯編軟件可以很方便地把獲取的信息轉(zhuǎn)換成匯編文件格式,從而分析出傳感器節(jié)點(diǎn)所存儲(chǔ)的程序代碼、路由協(xié)議及密鑰等機(jī)密信息,同時(shí)還可以修改程序代碼,并加載到傳感器節(jié)點(diǎn)。很顯然,目前通用的傳感器節(jié)點(diǎn)具有很大的安全漏洞,攻擊者通過此漏洞,可方便地獲取傳感器節(jié)點(diǎn)中的機(jī)密信息、修改傳感器節(jié)點(diǎn)中的程序代碼,如Sybil攻擊使得傳感器節(jié)點(diǎn)具有多個(gè)ID,從而以多個(gè)身份在傳感器網(wǎng)絡(luò)中進(jìn)行通信。另外,攻擊者還可以通過獲取存儲(chǔ)在傳感器節(jié)點(diǎn)中的密鑰、代碼等信息,從而偽造或偽裝成合法節(jié)點(diǎn)加入傳感器網(wǎng)絡(luò)。一旦控制傳感器網(wǎng)絡(luò)中的一部分節(jié)點(diǎn),攻擊者就可發(fā)動(dòng)很多種攻擊,如監(jiān)聽傳感器網(wǎng)絡(luò)中傳輸?shù)男畔ⅲ騻鞲衅骶W(wǎng)絡(luò)中發(fā)布錯(cuò)誤或虛假的路由信息、傳送虛假的傳感信息,進(jìn)行拒絕服務(wù)攻擊等。針對(duì)傳感器節(jié)點(diǎn)被攻擊者俘獲后可能產(chǎn)生嚴(yán)重的后果,同時(shí)又因?yàn)閭鞲衅鞴?jié)點(diǎn)容易被物理操縱是傳感器網(wǎng)絡(luò)不可回避的安全問題,所以必須通過其他的相關(guān)技術(shù)方案提高傳感器網(wǎng)絡(luò)的安全性能。

2)信息竊聽

根據(jù)無線傳感器網(wǎng)絡(luò)的傳感信道經(jīng)由無線傳播網(wǎng)絡(luò)隨機(jī)部署的特點(diǎn),網(wǎng)絡(luò)攻擊者很容易通過節(jié)點(diǎn)之間的傳輸而獲得敏感或者私有的信息,如在通過無線傳感器網(wǎng)絡(luò)監(jiān)控室內(nèi)溫度和燈光的應(yīng)用中,部署在室外的無線接收器可以獲取室內(nèi)傳感器發(fā)送過來的溫度和燈光信息;同樣,攻擊者通過監(jiān)聽室內(nèi)和室外節(jié)點(diǎn)問的信息傳輸,也可以獲知室內(nèi)信息,從而知道房屋主人的生活習(xí)性。目前,信息傳輸主要面臨的威脅有以下幾種:

(1)中斷。路由協(xié)議分組,特別是路由發(fā)現(xiàn)和更新消息時(shí),會(huì)被惡意節(jié)點(diǎn)中斷和阻塞。攻擊者可以有選擇地過濾控制消息和路由更新消息,并中斷路由協(xié)議的正常工作。

(2)攔截。路由協(xié)議傳輸?shù)男畔?,如“保持有效”等命令和“是否在線”等查詢,會(huì)被攻擊者中途攔截,并重定向到其他節(jié)點(diǎn),從而擾亂網(wǎng)絡(luò)的正常通信。

(3)篡改。攻擊者通過篡改路由協(xié)議分組,破壞分組中信息的完整性,并建立錯(cuò)誤的路由,造成合法的節(jié)點(diǎn)被排斥在網(wǎng)絡(luò)之外。

(4)偽造。無線傳感器網(wǎng)絡(luò)內(nèi)部的惡意節(jié)點(diǎn)可能偽造虛假的路由信息,并把這些信息插入到正常的協(xié)議分組中,對(duì)網(wǎng)絡(luò)造成破壞。顯然,如果對(duì)傳輸信息加密可以解決敏感信息被竊聽的問題,但需要一個(gè)靈活強(qiáng)健的密鑰管理方案,密鑰管理方案必須容易部署且適合傳感器節(jié)點(diǎn)資源有限的特點(diǎn);另外,密鑰管理方案還必須保證部分節(jié)點(diǎn)在被俘獲后,不破壞整個(gè)網(wǎng)絡(luò)的安全。由于傳感器節(jié)點(diǎn)的內(nèi)存資源有限,使得在傳感器網(wǎng)絡(luò)中實(shí)現(xiàn)大多數(shù)節(jié)點(diǎn)之間端到端的安全不切實(shí)際。

3)信息私密性

無線傳感器網(wǎng)絡(luò)主要是用于收集監(jiān)測對(duì)象的信息,網(wǎng)絡(luò)攻擊者可以通過竊聽、加入偽造的非法節(jié)點(diǎn)等方式獲取這些敏感信息,如果攻擊者知道怎樣從多路信息中獲取有限信息的相關(guān)算法,就可通過大量獲取的信息導(dǎo)出有效信息。攻擊者通過遠(yuǎn)程監(jiān)聽無線傳感器網(wǎng)絡(luò),從而獲得大量的信息,并根據(jù)特定算法分析其中的私密問題。因此,攻擊者無需使用物理接觸傳感器節(jié)點(diǎn)這種高風(fēng)險(xiǎn)的方式,使用遠(yuǎn)程監(jiān)聽這種方式單個(gè)攻擊者就可同時(shí)獲取多個(gè)節(jié)點(diǎn)傳輸信息的信息竊聽方式。

3.核心網(wǎng)絡(luò)的傳輸與信息安全

相對(duì)于感知網(wǎng)絡(luò),核心網(wǎng)絡(luò)具有相對(duì)完整的安全保護(hù)能力,但是由于物聯(lián)網(wǎng)中節(jié)點(diǎn)數(shù)量龐大且以集群方式存在,因此在數(shù)據(jù)傳播時(shí),大量機(jī)器發(fā)送的數(shù)據(jù)使網(wǎng)絡(luò)擁塞,從而產(chǎn)生拒絕服務(wù)攻擊(DoS)。

DoS主要用于破壞網(wǎng)絡(luò)的可用性,減少、降低網(wǎng)絡(luò)或系統(tǒng)執(zhí)行某一功能的能力,如試圖中斷、顛覆或毀壞傳感器網(wǎng)絡(luò),另外還包括硬件失敗、軟件Bug、資源耗盡、環(huán)境條件等。這里主要考慮協(xié)議和設(shè)計(jì)層面的漏洞,很難確定一個(gè)錯(cuò)誤(或一系列錯(cuò)誤)是否是DoS所造成的。特別是在大規(guī)模的網(wǎng)絡(luò)中,此時(shí)的傳感器網(wǎng)絡(luò)本身具有比較高的單個(gè)節(jié)點(diǎn)失效率。DoS可以發(fā)生在物理層,如信道阻塞,這可能包括在網(wǎng)絡(luò)中惡意干擾網(wǎng)絡(luò)協(xié)議的傳送或者物理損害傳感器節(jié)點(diǎn)。攻擊者還可以發(fā)起快速消耗傳感器節(jié)點(diǎn)能量的攻擊,例如,向目標(biāo)節(jié)點(diǎn)連續(xù)發(fā)送大量無用信息,目標(biāo)節(jié)點(diǎn)消耗能量處理這些信息,并把這些信息傳送給其他節(jié)點(diǎn)。如果攻擊者捕獲傳感器節(jié)點(diǎn),那么還可偽造或偽裝成合法節(jié)點(diǎn)發(fā)起這些DoS,例如,它可以產(chǎn)生循環(huán)路由,從而耗盡這個(gè)循環(huán)中節(jié)點(diǎn)的能量。

4.物聯(lián)網(wǎng)業(yè)務(wù)的安全

由于物聯(lián)網(wǎng)設(shè)備可能是先部署后連接網(wǎng)絡(luò),而物聯(lián)網(wǎng)節(jié)點(diǎn)又無人看守,因此如何對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行遠(yuǎn)程簽約信息和業(yè)務(wù)信息配置就成了難題。另外,龐大且多樣化的物聯(lián)網(wǎng)平臺(tái)必然需要一個(gè)強(qiáng)大而統(tǒng)一的安全管理平臺(tái),否則獨(dú)立的平臺(tái)會(huì)被各式各樣的物聯(lián)網(wǎng)應(yīng)用淹沒,這使得如何對(duì)物聯(lián)網(wǎng)機(jī)器的日志等安全信息進(jìn)行管理成為了新的問題,并且可能割裂網(wǎng)絡(luò)與業(yè)務(wù)平臺(tái)之間的信任關(guān)系,從而導(dǎo)致新一輪的安全問題。

5.加密機(jī)制安全問題

信息在物聯(lián)網(wǎng)中以數(shù)字信封的方式傳送,以保證信息傳輸?shù)臋C(jī)密性和完整性。信息發(fā)送者使用對(duì)稱算法及對(duì)稱密鑰加密待傳輸?shù)男畔?,再使用接收者的公鑰加密對(duì)稱密鑰信息,拼裝后發(fā)送。數(shù)字信封的加密可采用節(jié)點(diǎn)到節(jié)點(diǎn)加密(即逐跳加密)或端到端加密兩種方式。如果采用逐跳加密,則數(shù)字信封的加密頭在每跳節(jié)點(diǎn)需替換信封加密頭,直至傳送至終點(diǎn)。但是,由于逐跳加密方式在各節(jié)點(diǎn)都存在將加密消息解密的風(fēng)險(xiǎn),因此逐跳加密對(duì)傳輸路徑中各傳送節(jié)點(diǎn)的可信任度要求很高。對(duì)于端到端的加密方式,它可以根據(jù)業(yè)務(wù)類型選擇不同的安全策略,從而為高安全要求的業(yè)務(wù)提供高安全等級(jí)的保護(hù)措施。不過,其弊端是加密不能對(duì)消息的目的地址進(jìn)行保護(hù),因?yàn)槊恳粋€(gè)消息所經(jīng)過的節(jié)點(diǎn)都以此目的地址確定如何傳輸消息。這導(dǎo)致端到端的加密方式不能掩蓋被傳輸消息的源點(diǎn)與終點(diǎn),并容易受到對(duì)通信業(yè)務(wù)的進(jìn)一步分析而發(fā)起的惡意攻擊。

6.隱私安全問題

射頻識(shí)別技術(shù)所具有的無線通信特點(diǎn)和物聯(lián)網(wǎng)便捷的信息獲取能力,導(dǎo)致信息安全措施不到位或者數(shù)據(jù)管理存在漏洞時(shí),物聯(lián)網(wǎng)就能使我們所生活的世界“無所遁形”,即可能面臨黑客、病毒的襲擊等威脅;嵌入射頻識(shí)別標(biāo)簽的物品還可能不受控制地被跟蹤、被定位和被識(shí)讀,這勢必帶來對(duì)物品持有者個(gè)人隱私的侵犯或企業(yè)機(jī)密泄漏等問題,從而破壞信息被合法有序使用的要求,可能導(dǎo)致人們的生活、工作完全崩潰,社會(huì)秩序混亂,甚至直接威脅到人類的生命安全。發(fā)展物聯(lián)網(wǎng)還會(huì)對(duì)現(xiàn)有的一些法律法規(guī)政策形成挑戰(zhàn),如信息采集的合法性問題、公民隱私權(quán)問題等。5.1.3物聯(lián)網(wǎng)安全的關(guān)鍵技術(shù)

1.密鑰管理機(jī)制

密鑰系統(tǒng)是安全的基礎(chǔ),是實(shí)現(xiàn)感知信息隱私保護(hù)的手段之一,了解密鑰管理機(jī)制的原理是應(yīng)用其解決物聯(lián)網(wǎng)安全問題的前提。密鑰管理機(jī)制要求其具備以下一些特性:

(1)可擴(kuò)展性:隨傳感器網(wǎng)絡(luò)節(jié)點(diǎn)規(guī)的擴(kuò)大,密鑰協(xié)商過程所需的計(jì)算、存儲(chǔ)和通信開銷都隨之增大,密鑰管理機(jī)制必須適應(yīng)不同規(guī)模的傳感器網(wǎng)絡(luò)。

(2)有效性:由于傳感器節(jié)點(diǎn)的存儲(chǔ)、處理和通信能力嚴(yán)格受限,在設(shè)計(jì)傳感器網(wǎng)絡(luò)密鑰管理機(jī)制時(shí)應(yīng)考慮以下幾個(gè)方面:①存儲(chǔ)復(fù)雜度,用于保存通信密鑰的存儲(chǔ)空間使用情況。

②計(jì)算復(fù)雜度,為生成通信密鑰而必須進(jìn)行的計(jì)算量的情況。

③通信復(fù)雜度,在通信密鑰協(xié)商過程中必須傳送的信息量的情況。

(3)密鑰連接:密鑰連接是指節(jié)點(diǎn)之間直接建立通信密鑰的概率。保持足夠高的密鑰連接概率是傳感器網(wǎng)絡(luò)發(fā)揮其功能的必要條件。由于傳感器節(jié)點(diǎn)不可能與距離較遠(yuǎn)的其他節(jié)點(diǎn)直接通信,因此無需保證節(jié)點(diǎn)與其他所有節(jié)點(diǎn)保持安全連接,僅需確保相鄰節(jié)點(diǎn)之間保持較高的密鑰連接。

(4)抗毀性:抗毀性是指密鑰管理機(jī)制抵御節(jié)點(diǎn)受損的能力。抗毀性可表示為當(dāng)部分節(jié)點(diǎn)受損后,未受損節(jié)點(diǎn)的密鑰被暴露的概率??箽栽胶茫溌返氖軗p程度越低。

密鑰管理機(jī)制依賴基本的密碼機(jī)制,可分為以下三類:①采用對(duì)稱密碼技術(shù)的機(jī)制;②采用非對(duì)稱密碼技術(shù)的機(jī)制;③采用對(duì)稱、非對(duì)稱技術(shù)結(jié)合的機(jī)制。不同的機(jī)制適用于不同的應(yīng)用需求。對(duì)稱密碼技術(shù)的機(jī)制適用于對(duì)安全級(jí)別要求較低的傳感器網(wǎng)絡(luò),如安全級(jí)別在三級(jí)以下的傳感器網(wǎng)絡(luò)宜采用基于對(duì)稱密碼技術(shù)的機(jī)制。對(duì)于安全級(jí)別要求較高的傳感器網(wǎng)絡(luò),則采用基于非對(duì)稱密碼技術(shù)的機(jī)制。一個(gè)密鑰從產(chǎn)生到銷毀必須經(jīng)歷一系列的狀態(tài),這些狀態(tài)確定其生存周期,如圖5-1所示,其三種主要的狀態(tài)分別為:①待激活狀態(tài)。在待激活狀態(tài),密鑰已產(chǎn)生好但并未激活來使用;②激活狀態(tài)。在激活狀態(tài),密鑰用于按密碼術(shù)處理信息;③次激活狀態(tài)。若已知某個(gè)密鑰已被泄露,應(yīng)立即變?yōu)楸緺顟B(tài),此時(shí)密鑰將只用于解密或驗(yàn)證。密鑰在由一種狀態(tài)向另一種狀態(tài)變化時(shí),經(jīng)歷如圖5-1所示的轉(zhuǎn)移過程:“產(chǎn)生”是指產(chǎn)生密鑰的過程,應(yīng)根據(jù)指定的密鑰產(chǎn)生規(guī)則進(jìn)行;“激活”是使密鑰生效,以便進(jìn)行密碼運(yùn)算;“次激活”是限制密鑰的使用,在密鑰已過期或已被撤銷的情況下執(zhí)行該過程;“再激活”是使一個(gè)次激活密鑰可重新用于密碼運(yùn)算;“銷毀”是終止密鑰的生存期,該過程不可逆,包括密鑰的邏輯銷毀,也可能包括物理銷毀。傳感器網(wǎng)絡(luò)密鑰管理機(jī)制涉及不同類型的密鑰:密鑰材料、共享密鑰(包括直接密鑰和路徑密鑰)、會(huì)話密鑰。每種密鑰從建立到撤銷的整個(gè)有效期之內(nèi)可能處在多個(gè)不同階段,需根據(jù)具體應(yīng)用需求對(duì)密鑰進(jìn)行維護(hù)和更新。圖5-1密鑰的生存周期不同的密鑰類型生存期的長短不同,在同一個(gè)密鑰材料的有效期內(nèi),共享密鑰可能撤銷和更新多次;在同一個(gè)共享密鑰的有效期內(nèi),會(huì)話密鑰可能撤銷和更新多次。會(huì)話密鑰在通信雙方節(jié)點(diǎn)通信完成后即被銷毀。會(huì)話密鑰的泄露不能影響到共享密鑰的安全。若某個(gè)共享密鑰泄露,則可信第三方將其撤銷,并與相關(guān)節(jié)點(diǎn)交互,分發(fā)更新的密鑰。共享密鑰的泄露并不說明密鑰材料的泄露。但是,若某個(gè)密鑰材料泄露,則相應(yīng)的共享密鑰必須撤銷,并在密鑰材料更新后重新建立共享密鑰。由于互聯(lián)網(wǎng)不存在計(jì)算資源的限制,非對(duì)稱和對(duì)稱密鑰系統(tǒng)都可以適用,互聯(lián)網(wǎng)面臨的安全問題主要來源于其最初的開放式管理模式的設(shè)計(jì),它是一種沒有嚴(yán)格管理中心的網(wǎng)絡(luò)。移動(dòng)通信網(wǎng)是一種相對(duì)集中管理的網(wǎng)絡(luò),而無線傳感器網(wǎng)絡(luò)和感知節(jié)點(diǎn)由于受計(jì)算資源的限制,對(duì)密鑰系統(tǒng)提出了更多的要求。因此,物聯(lián)網(wǎng)密鑰管理系統(tǒng)面臨兩個(gè)主要問題:一是如何構(gòu)建一個(gè)貫穿多個(gè)網(wǎng)絡(luò)的統(tǒng)一密鑰管理系統(tǒng),并與物聯(lián)網(wǎng)的體系結(jié)構(gòu)相適應(yīng);二是如何解決傳感器網(wǎng)絡(luò)的密鑰管理問題,如密鑰的分配、更新、組播等問題。實(shí)現(xiàn)統(tǒng)一的密鑰管理系統(tǒng)可以采用兩種方式:一是以互聯(lián)網(wǎng)為中心的集中式管理方式,由互聯(lián)網(wǎng)的密鑰分配中心負(fù)責(zé)整個(gè)物聯(lián)網(wǎng)的密鑰管理,一旦傳感器網(wǎng)絡(luò)接入互聯(lián)網(wǎng),通過密鑰中心與傳感器網(wǎng)絡(luò)匯聚節(jié)點(diǎn)進(jìn)行交互,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中節(jié)點(diǎn)的密鑰管理;二是以各自網(wǎng)絡(luò)為中心的分布式管理方式,在此模式下,互聯(lián)網(wǎng)和移動(dòng)通信網(wǎng)比較容易解決,但在傳感器網(wǎng)絡(luò)環(huán)境中對(duì)匯聚點(diǎn)的要求比較高,盡管可以在傳感器網(wǎng)絡(luò)中采用簇頭選擇的方法,推選簇頭,形成層次式網(wǎng)絡(luò)結(jié)構(gòu),每個(gè)節(jié)點(diǎn)與相應(yīng)的簇頭通信,簇頭之間及簇頭與匯聚節(jié)點(diǎn)之間進(jìn)行密鑰的協(xié)商,但是對(duì)多跳通信的邊緣節(jié)點(diǎn)以及由于簇頭選擇算法和簇頭本身的能量消耗而言,使傳感器網(wǎng)絡(luò)的密鑰管理成為解決問題的關(guān)鍵。無線傳感器網(wǎng)絡(luò)密鑰管理系統(tǒng)的設(shè)計(jì)在很大程度上受限于其自身的特征,因此在設(shè)計(jì)需求上與有線網(wǎng)絡(luò)和傳統(tǒng)的資源不受限制的無線網(wǎng)絡(luò)有所不同,需特別充分考慮到無線傳感器網(wǎng)絡(luò)的傳感器節(jié)點(diǎn)的限制和網(wǎng)絡(luò)組網(wǎng)、路由的特征。它的安全需求主要體現(xiàn)在以下五個(gè)方面:

(1)密鑰生成或更新算法的安全:利用該算法生成的密鑰應(yīng)具備一定的安全強(qiáng)度,不能被網(wǎng)絡(luò)攻擊者輕易破解或者花很小的代價(jià)破解,即是加密后保障數(shù)據(jù)包的機(jī)密性。

(2)前向私密:對(duì)中途退出無線傳感器網(wǎng)絡(luò)或者被俘獲的惡意節(jié)點(diǎn),在周期更新的密鑰或者撤銷后無法再利用先前所獲知的密鑰信息生成合法的密鑰繼續(xù)參與網(wǎng)絡(luò)通信,即無法參加與報(bào)文解密或者生成有效的可認(rèn)證的報(bào)文。

(3)后向私密和可擴(kuò)展:新加入無線傳感器網(wǎng)絡(luò)的合法節(jié)點(diǎn)可利用新分發(fā)或者周期更新的密鑰參與網(wǎng)絡(luò)的正常通信,即進(jìn)行報(bào)文的加解密和認(rèn)證行為等,而且能保障網(wǎng)絡(luò)可擴(kuò)展,即允許大量新節(jié)點(diǎn)加入。

(4)抗同謀攻擊:在無線傳感器網(wǎng)絡(luò)中,若干節(jié)點(diǎn)被俘獲后,其所掌握的密鑰信息可能造成網(wǎng)絡(luò)局部范圍泄密,但不應(yīng)對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行造成破壞性或損毀性的后果,即密鑰系統(tǒng)要具有抗同謀攻擊。

(5)源端認(rèn)證和新鮮:源端認(rèn)證要求發(fā)送方身份可認(rèn)證和消息可認(rèn)證,即任何一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包都能通過認(rèn)證和追蹤尋找到其發(fā)送源,且不可否認(rèn)?!靶迈r”則保證合法的節(jié)點(diǎn)在一定的時(shí)延許可內(nèi)能收到所需的信息。“新鮮”除和密鑰管理方案緊密相關(guān)外,與無線傳感器網(wǎng)絡(luò)的時(shí)間同步技術(shù)和路由算法也有很大的關(guān)聯(lián)。

2.數(shù)據(jù)處理與隱私

物聯(lián)網(wǎng)的數(shù)據(jù)經(jīng)過信息感知、獲取、匯聚、融合、傳輸、存儲(chǔ)、挖掘、決策和控制等處理流程,而末端的感知網(wǎng)絡(luò)幾乎涉及上述信息處理的全過程,只是由于傳感器節(jié)點(diǎn)與匯聚點(diǎn)的資源限制,在信息的挖掘和決策方面不占據(jù)主要的位置。物聯(lián)網(wǎng)應(yīng)用不僅面臨信息采集的安全,也要考慮到信息傳送的私密,要求信息不能篡改,也不被非授權(quán)用戶使用,同時(shí),還應(yīng)考慮到網(wǎng)絡(luò)可靠、可信和安全。物聯(lián)網(wǎng)能否大規(guī)模推廣應(yīng)用,很大程度上取決于其是否能保障用戶數(shù)據(jù)和隱私的安全。就傳感器網(wǎng)絡(luò)而言,在信息的感知采集階段應(yīng)進(jìn)行相關(guān)的安全處理,如對(duì)RFID標(biāo)簽采集的信息進(jìn)行輕量級(jí)的加密處理后,再傳送到匯聚節(jié)點(diǎn)。這里應(yīng)關(guān)注的是對(duì)光學(xué)標(biāo)簽的信息采集處理與安全,作為感知端的物體身份標(biāo)識(shí),光學(xué)標(biāo)簽顯示獨(dú)特的優(yōu)勢,而虛擬光學(xué)的加密解密技術(shù)為基于光學(xué)標(biāo)簽的身份標(biāo)識(shí)提供手段,基于軟件的虛擬光學(xué)密碼系統(tǒng)由于可以在光波的多個(gè)維度進(jìn)行信息的加密處理,具有比一般傳統(tǒng)的對(duì)稱加密系統(tǒng)更高的安全性,數(shù)學(xué)模型的建立和軟件技術(shù)的發(fā)展極大地推動(dòng)該領(lǐng)域的研究和應(yīng)用推廣。數(shù)據(jù)處理過程涉及基于位置的服務(wù)與在信息處理過程中的隱私保護(hù)問題。

ACM于2008年成立SIGSPATIAL,致力于空間信息理論與應(yīng)用研究?;谖恢玫姆?wù)是物聯(lián)網(wǎng)提供的基本功能,也是定位、電子地圖、基于位置的數(shù)據(jù)挖掘和發(fā)現(xiàn)、自適應(yīng)表達(dá)等技術(shù)的融合。定位技術(shù)目前主要有GPS定位、基于手機(jī)的定位、無線傳感器網(wǎng)絡(luò)定位等。

無線傳感器網(wǎng)絡(luò)的定位主要是利用射頻識(shí)別、藍(lán)牙及ZigBee技術(shù)等?;谖恢玫姆?wù)面臨嚴(yán)峻的隱私保護(hù)問題,這既是安全問題,也是法律問題。歐洲通過《隱私與電子通信法》,對(duì)隱私保護(hù)問題給出明確的法律規(guī)定?;谖恢梅?wù)的隱私內(nèi)容涉及兩個(gè)方面:一是位置隱私;二是查詢隱私。位置隱私的位置是指用戶過去或現(xiàn)在的位置,而查詢隱私是指對(duì)敏感信息的查詢與挖掘,如某用戶經(jīng)常查詢某區(qū)域的餐館或醫(yī)院,可以分析該用戶的居住位置、收入狀況、生活行為、健康狀況等敏感信息,這容易泄露個(gè)人隱私信息,查詢隱私是數(shù)據(jù)處理過程中的隱私保護(hù)問題。所以,出現(xiàn)了一個(gè)困難的選擇:一方面希望提供盡可能精確的位置服務(wù);另一方面又希望個(gè)人的隱私得到保護(hù)。這需要在技術(shù)上給以保證。目前的隱私保護(hù)方法主要有位置偽裝、時(shí)空匿名、空間加密等。

3.安全路由協(xié)議

物聯(lián)網(wǎng)的路由跨越多類網(wǎng)絡(luò),有基于IP地址的互聯(lián)網(wǎng)路由協(xié)議、有基于標(biāo)識(shí)的移動(dòng)通信網(wǎng)和無線傳感器網(wǎng)絡(luò)的路由算法。因此物聯(lián)網(wǎng)至少解決兩個(gè)問題:一是多網(wǎng)融合的路由問題;二是無線傳感器網(wǎng)絡(luò)的路由問題。前者可以考慮將身份標(biāo)識(shí)映射成類似的IP地址,實(shí)現(xiàn)基于地址的統(tǒng)一路由體系;后者由于傳感器網(wǎng)絡(luò)計(jì)算資源的局限性和易受到攻擊的特點(diǎn),設(shè)計(jì)抗攻擊的安全路由算法。目前,國內(nèi)外學(xué)者提出多種無線傳感器網(wǎng)絡(luò)路由協(xié)議,這些路由協(xié)議最初的設(shè)計(jì)目標(biāo)通常是以最小的通信、計(jì)算、存儲(chǔ)開銷完成節(jié)點(diǎn)間數(shù)據(jù)傳輸,但是這些路由協(xié)議大都沒有考慮到安全問題。實(shí)際上,由于無線傳感器節(jié)點(diǎn)的電量、計(jì)算能力、存儲(chǔ)容量有限以及部署野外等特點(diǎn),使它極易受到各類攻擊。無線傳感器網(wǎng)絡(luò)路由協(xié)議常受到的攻擊主要有以下幾類:虛假路由信息攻擊、選擇轉(zhuǎn)發(fā)攻擊、污水池攻擊、女巫攻擊、蟲洞攻擊、Hello洪泛攻擊、確認(rèn)攻擊等。針對(duì)無線傳感器網(wǎng)絡(luò)中數(shù)據(jù)傳送的特點(diǎn),目前已有許多較為有效的路由技術(shù)。按路由算法的實(shí)現(xiàn)方法劃分,有洪泛式路由,如Gossiping等;以數(shù)據(jù)為中心的路由,如DirectedDiffusion、SPIN等;層次式路由,如LE、ACH、TEEN等;基于位置信息的路由,如GPSR、GEAR等。

4.認(rèn)證與訪問控制

認(rèn)證指使用者采用某種方式“證明”身份,網(wǎng)絡(luò)中的認(rèn)證主要包括身份認(rèn)證和消息認(rèn)證。身份認(rèn)證可以使通信雙方確信對(duì)方的身份并交換會(huì)話密鑰。保密性和及時(shí)性是認(rèn)證的密鑰交換中兩個(gè)重要的問題。為了防止假冒和會(huì)話密鑰泄密,用戶標(biāo)識(shí)和會(huì)話密鑰必須以密文的形式傳送,這就必須事先已有能用于這一目的的主密鑰或公鑰。因?yàn)榭赡艽嬖谙⒅胤?,所以及時(shí)性非常重要,在最壞的情況下,攻擊者可以利用重放攻擊威脅會(huì)話密鑰或者成功假冒另一方。消息認(rèn)證主要是指接收方希望能保證其接收的消息確實(shí)來自真正的發(fā)送方。有時(shí)收發(fā)雙方不同時(shí)在線,例如,在電子郵件系統(tǒng)中,電子郵件消息發(fā)送到接收方的電子郵件,并一直存放在郵箱中直至接收方讀取為止。廣播認(rèn)證是一種特殊的消息認(rèn)證形式,其一方廣播的消息被多方認(rèn)證。傳統(tǒng)的認(rèn)證區(qū)分不同層次,網(wǎng)絡(luò)層的認(rèn)證負(fù)責(zé)網(wǎng)絡(luò)層的身份鑒別,業(yè)務(wù)層的認(rèn)證負(fù)責(zé)業(yè)務(wù)層的身份鑒別,兩者獨(dú)立存在。但是,在物聯(lián)網(wǎng)中,業(yè)務(wù)應(yīng)用與網(wǎng)絡(luò)通信緊密結(jié)合,認(rèn)證有其特殊性。例如,當(dāng)物聯(lián)網(wǎng)的業(yè)務(wù)由運(yùn)營商提供時(shí),那么可以充分利用網(wǎng)絡(luò)層認(rèn)證的結(jié)果而無需進(jìn)行業(yè)務(wù)層認(rèn)證;當(dāng)業(yè)務(wù)是敏感業(yè)務(wù)如金融類業(yè)務(wù)時(shí),一般業(yè)務(wù)提供者不信任網(wǎng)絡(luò)層的安全級(jí)別,而使用更高級(jí)別的安全保護(hù),那么這時(shí)需業(yè)務(wù)層認(rèn)證;當(dāng)業(yè)務(wù)是普通業(yè)務(wù)時(shí),如氣溫采集業(yè)務(wù)等,業(yè)務(wù)提供者認(rèn)為網(wǎng)絡(luò)認(rèn)證已經(jīng)足夠,那么無需業(yè)務(wù)層認(rèn)證。

5.入侵檢測與容侵容錯(cuò)技術(shù)

容侵是指在網(wǎng)絡(luò)中存在惡意入侵的情況下,網(wǎng)絡(luò)仍然能正常地運(yùn)行。無線傳感器網(wǎng)絡(luò)的安全隱患在于網(wǎng)絡(luò)部署區(qū)域的開放特性及無線電網(wǎng)絡(luò)的廣播特性,攻擊者往往利用這兩個(gè)特性,阻礙網(wǎng)絡(luò)中節(jié)點(diǎn)的正常工作,進(jìn)而破壞整個(gè)傳感器網(wǎng)絡(luò)的運(yùn)行,降低網(wǎng)絡(luò)的可用性。無人值守的惡劣環(huán)境導(dǎo)致無線傳感器網(wǎng)絡(luò)缺少傳統(tǒng)網(wǎng)絡(luò)中的物理方面的安全,傳感器節(jié)點(diǎn)很容易被攻擊者俘獲、毀壞或妥協(xié)?,F(xiàn)階段無線傳感器網(wǎng)絡(luò)的容侵技術(shù)主要集中于網(wǎng)絡(luò)的拓?fù)淙萸?、安全路由容侵及?shù)據(jù)傳輸過程中的容侵機(jī)制。無線傳感器網(wǎng)絡(luò)可用性的另一個(gè)要求是網(wǎng)絡(luò)的容錯(cuò)。一般意義上的容錯(cuò)是指在故障存在的情況下系統(tǒng)不失效,仍然能正常工作的特性。無線傳感器網(wǎng)絡(luò)的容錯(cuò)是指當(dāng)部分節(jié)點(diǎn)或鏈路失效后,網(wǎng)絡(luò)能恢復(fù)傳輸數(shù)據(jù)或者網(wǎng)絡(luò)結(jié)構(gòu)自愈,從而盡可能減小節(jié)點(diǎn)或鏈路失效對(duì)無線傳感器網(wǎng)絡(luò)功能的影響。由于傳感器節(jié)點(diǎn)在能量、存儲(chǔ)空間、計(jì)算能力和通信帶寬等諸多方面都受限,而且通常工作在惡劣的環(huán)境中,網(wǎng)絡(luò)的傳感器節(jié)點(diǎn)經(jīng)常出現(xiàn)失效的狀況。因此,容錯(cuò)成為無線傳感器網(wǎng)絡(luò)中一個(gè)重要的設(shè)計(jì)因素,容錯(cuò)技術(shù)也是無線傳感器網(wǎng)絡(luò)研究的一個(gè)重要領(lǐng)域。目前,相關(guān)領(lǐng)域的研究主要集中在以下三個(gè)方面:

(1)網(wǎng)絡(luò)拓?fù)渲械娜蒎e(cuò)。通過對(duì)無線傳感器網(wǎng)絡(luò)設(shè)計(jì)合理的拓?fù)浣Y(jié)構(gòu),保證網(wǎng)絡(luò)出現(xiàn)斷裂的情況下能正常進(jìn)行通信。

(2)網(wǎng)絡(luò)覆蓋中的容錯(cuò)。無線傳感器網(wǎng)絡(luò)的部署階段主要研究在部分節(jié)點(diǎn)、鏈路失效的情況下,如何事先部署或事后移動(dòng)、補(bǔ)充傳感器節(jié)點(diǎn),從而保證對(duì)監(jiān)測區(qū)域的覆蓋和保持網(wǎng)絡(luò)節(jié)點(diǎn)之間的連通。

(3)數(shù)據(jù)檢測中的容錯(cuò)機(jī)制。主要研究在惡劣的網(wǎng)絡(luò)環(huán)境中,當(dāng)一些特定事件發(fā)生時(shí),處于事件發(fā)生區(qū)域的節(jié)點(diǎn)如何能正確獲取數(shù)據(jù)。目前,已有的一種無線傳感器網(wǎng)絡(luò)的容侵框架,其包括以下三個(gè)部分:

(1)判定惡意節(jié)點(diǎn)。其主要任務(wù)是找出網(wǎng)絡(luò)中的攻擊節(jié)點(diǎn)或被妥協(xié)的節(jié)點(diǎn)。一種判定機(jī)制是基站隨機(jī)發(fā)送一個(gè)通過公鑰加密的報(bào)文給節(jié)點(diǎn),為回應(yīng)這個(gè)報(bào)文,節(jié)點(diǎn)必須利用其私鑰對(duì)報(bào)文進(jìn)行解密并回送給基站,如果基站長時(shí)間接收不到節(jié)點(diǎn)的回應(yīng)報(bào)文,則認(rèn)為該節(jié)點(diǎn)可能遭受入侵;另一種判定機(jī)制是利用鄰居節(jié)點(diǎn)的簽名。如果節(jié)點(diǎn)發(fā)送數(shù)據(jù)包給基站,則必須獲得一定數(shù)量的鄰居節(jié)點(diǎn)對(duì)該數(shù)據(jù)包的簽名,當(dāng)數(shù)據(jù)包和簽名到達(dá)基站后,基站通過驗(yàn)證簽名的合法性來判定數(shù)據(jù)包的合法性,進(jìn)而判定節(jié)點(diǎn)為惡意節(jié)點(diǎn)的可能性。

(2)發(fā)現(xiàn)惡意節(jié)點(diǎn)后啟動(dòng)容侵機(jī)制。當(dāng)基站發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的惡意節(jié)點(diǎn)后,則發(fā)送一個(gè)信息包告知惡意節(jié)點(diǎn)周圍的鄰居節(jié)點(diǎn)可能的入侵情況。因?yàn)檫€不能確定節(jié)點(diǎn)是惡意節(jié)點(diǎn),鄰居節(jié)點(diǎn)只是將該節(jié)點(diǎn)的狀態(tài)修改為容侵,即節(jié)點(diǎn)仍然能在鄰居節(jié)點(diǎn)的控制下進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。

(3)通過節(jié)點(diǎn)之間的協(xié)作,對(duì)惡意節(jié)點(diǎn)的處理決定(排除或是恢復(fù)):一定數(shù)量的鄰居節(jié)點(diǎn)產(chǎn)生編造的報(bào)警報(bào)文,并對(duì)報(bào)警報(bào)文進(jìn)行正確的簽名,然后將報(bào)警報(bào)文轉(zhuǎn)發(fā)給惡意節(jié)點(diǎn)。鄰居節(jié)點(diǎn)監(jiān)測惡意節(jié)點(diǎn)對(duì)報(bào)警報(bào)文的處理情況。正常節(jié)點(diǎn)在接收到報(bào)警報(bào)文后,產(chǎn)生正確的簽名,而惡意節(jié)點(diǎn)則可能產(chǎn)生無效的簽名。鄰居節(jié)點(diǎn)根據(jù)接收到惡意節(jié)點(diǎn)的無效簽名的數(shù)量確定節(jié)點(diǎn)是惡意節(jié)點(diǎn)的可能性。通過各個(gè)鄰居節(jié)點(diǎn)對(duì)節(jié)點(diǎn)是惡意節(jié)點(diǎn)信息的判斷,選擇攻擊或放棄。根據(jù)無線傳感器網(wǎng)絡(luò)中不同的入侵情況,可以設(shè)計(jì)出不同的容侵機(jī)制,如無線傳感器網(wǎng)絡(luò)中的拓?fù)淙萸?、路由容侵和?shù)據(jù)傳輸容侵等機(jī)制。

6.決策與控制安全

物聯(lián)網(wǎng)的數(shù)據(jù)是雙向流動(dòng)的信息流,主要表現(xiàn)是:一是從感知端采集物理世界的各種信息,經(jīng)過數(shù)據(jù)的處理,存儲(chǔ)在網(wǎng)絡(luò)的數(shù)據(jù)庫中;二是根據(jù)用戶的需求,進(jìn)行數(shù)據(jù)的挖掘、決策和控制,實(shí)現(xiàn)與物理世界中任何互連物體的互動(dòng)。在數(shù)據(jù)采集處理中討論相關(guān)的隱私等安全問題,而決策控制又涉及另一個(gè)安全問題,如可靠性等。前面討論的認(rèn)證和訪問控制機(jī)制可以對(duì)用戶進(jìn)行認(rèn)證,合法的用戶才能使用相關(guān)的數(shù)據(jù),并對(duì)系統(tǒng)進(jìn)行控制操作,但問題是如何保證決策和控制正確和可靠。在傳統(tǒng)的無線傳感器網(wǎng)絡(luò)中,側(cè)重對(duì)感知端的信息獲取,對(duì)決策控制的安全考慮不多,互聯(lián)網(wǎng)的應(yīng)用也側(cè)重于信息的獲取與挖掘,較少應(yīng)用對(duì)第三方的控制。物聯(lián)網(wǎng)中對(duì)物體的控制是重要的組成部分,需進(jìn)一步更深入研究。

5.2物聯(lián)網(wǎng)分層安全體系

物聯(lián)網(wǎng)會(huì)遇到各式各樣的安全問題,如智能感知節(jié)點(diǎn)的自身安全問題、假冒攻擊、數(shù)據(jù)驅(qū)動(dòng)攻擊、惡意代碼攻擊、拒絕服務(wù)、物聯(lián)網(wǎng)業(yè)務(wù)的安全問題、信息安全問題、傳輸層和應(yīng)用層的安全隱患等。

綜合而言,物聯(lián)網(wǎng)從安全上講涉及信息安全感知、可靠感知數(shù)據(jù)傳輸和安全信息操控。從層面上講,涉及感知層、網(wǎng)絡(luò)層、處理層和應(yīng)用層四個(gè)層面,如圖5-2所示。圖5-2物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全管理層面一般認(rèn)為,物聯(lián)網(wǎng)系統(tǒng)的安全性主要有八個(gè)尺度:讀取控制、隱私保護(hù)、用戶認(rèn)證、不可抵耐性、數(shù)據(jù)保密性、通信層安全、數(shù)據(jù)完整性、隨時(shí)可用性。

以上前四項(xiàng)主要處在物聯(lián)網(wǎng)的應(yīng)用層,后四項(xiàng)主要位于網(wǎng)絡(luò)層和感知層。其中“隱私權(quán)”和“可信度”(數(shù)據(jù)完整性和保密性)問題在物聯(lián)網(wǎng)體系中尤其受關(guān)注。另外,對(duì)于物聯(lián)網(wǎng)的安全,可以參照互聯(lián)網(wǎng)所設(shè)計(jì)的安全防范體系,在感知層、網(wǎng)絡(luò)層和應(yīng)用層分別設(shè)計(jì)相應(yīng)的安全防范體系。物聯(lián)網(wǎng)的安全技術(shù)架構(gòu)如圖5-3所示。圖5-3物聯(lián)網(wǎng)的安全技術(shù)架構(gòu)在感知層中,目前主要的安全技術(shù)包括基本安全框架、密鑰分配、安全路由、入侵檢測和加密技術(shù)等。入侵檢測技術(shù)常常作為信息安全的第二道防線。由于物聯(lián)網(wǎng)節(jié)點(diǎn)資源受限,不可能在每個(gè)節(jié)點(diǎn)上運(yùn)行一個(gè)全功能的入侵檢測系統(tǒng),因此如何在傳感網(wǎng)中合理地分布,有待進(jìn)一步研究。在傳輸層中,物聯(lián)網(wǎng)接入方式主要依靠移動(dòng)通信網(wǎng)絡(luò),主要和移動(dòng)網(wǎng)的安全相關(guān),還與接入設(shè)備、接入方式有關(guān),存在無線竊聽、身份假冒和數(shù)據(jù)篡改等不安全的因素。在應(yīng)用層中,海量數(shù)據(jù)信息處理和業(yè)務(wù)控制策略將在安全性和可靠性方面面臨巨大挑戰(zhàn),特別是業(yè)務(wù)控制、管理和認(rèn)證機(jī)制、中間件以及隱私保護(hù)等安全問題尤為突出。5.2.1感知層的安全問題

感知層處于物聯(lián)網(wǎng)的最底層,是物聯(lián)網(wǎng)的原始數(shù)據(jù)來源地,也是許多物聯(lián)網(wǎng)應(yīng)用層控制硬件實(shí)現(xiàn)端。因此,物聯(lián)網(wǎng)感知層要實(shí)現(xiàn)感知和控制的功能,一旦感知層的節(jié)點(diǎn)受到攻擊,不僅可以破壞數(shù)據(jù)的正確來源,還會(huì)造成控制的失敗,從而破壞物聯(lián)網(wǎng)的正常工作。

物聯(lián)網(wǎng)感知層的典型設(shè)備包括RFID裝置、各類傳感器(如紅外、超聲、溫度、濕度、速度等傳感器)、圖像捕捉裝置(攝像頭)、全球定位系統(tǒng)(GPS)、激光掃描儀等。物聯(lián)網(wǎng)在感知層采集數(shù)據(jù)時(shí),其信息傳輸方式主要采用無線網(wǎng)絡(luò)傳輸,對(duì)這種暴露在公共場所中的信號(hào),如果缺乏有效保護(hù)措施,很容易被非法監(jiān)聽、竊取、干擾;而且在物聯(lián)網(wǎng)的應(yīng)用中,大量使用傳感器來標(biāo)示設(shè)備,由人或計(jì)算機(jī)遠(yuǎn)程控制來完成一些復(fù)雜、危險(xiǎn)或高精度的操作,在此種情況下,物聯(lián)網(wǎng)中的這些設(shè)備大多部署在無人監(jiān)控的地點(diǎn)完成任務(wù),那么攻擊者就會(huì)比較容易地接觸到這些設(shè)備,從而可以對(duì)這些設(shè)備或其承載的傳感器進(jìn)行破壞,甚至通過破譯傳感器通信協(xié)議,對(duì)它們進(jìn)行非法操控。感知節(jié)點(diǎn)的另外一個(gè)問題是功能單一、能量有限、數(shù)據(jù)傳輸和消息也沒有特定的標(biāo)準(zhǔn),這也為提供統(tǒng)一的安全保護(hù)體系帶來了障礙。

在感知層,一般感知信息要通過一個(gè)或多個(gè)與外界網(wǎng)連接的網(wǎng)關(guān)節(jié)點(diǎn)(Sink或Gateway)作為感知層和網(wǎng)絡(luò)層的聯(lián)系渠道,但一旦網(wǎng)關(guān)節(jié)點(diǎn)被破壞,感知層的信息將無法傳遞到網(wǎng)絡(luò)層。感知層的安全問題主要有以下幾個(gè)方面:

(1)傳感器網(wǎng)絡(luò)的普通節(jié)點(diǎn)被敵手捕獲,為入侵者對(duì)物聯(lián)網(wǎng)發(fā)起攻擊提供了可能性。

(2)傳感器網(wǎng)絡(luò)的網(wǎng)關(guān)節(jié)點(diǎn)被敵手控制,安全性全部丟失。

(3)盡管現(xiàn)有的互聯(lián)網(wǎng)具備相對(duì)完整的安全保護(hù)能力,但由于互聯(lián)網(wǎng)中存在著數(shù)量龐大的節(jié)點(diǎn),將會(huì)導(dǎo)致大量的數(shù)據(jù)同時(shí)發(fā)送,使得傳感器節(jié)點(diǎn)(普通節(jié)點(diǎn)或網(wǎng)關(guān)節(jié)點(diǎn))容易受到來自于網(wǎng)絡(luò)的拒絕服務(wù)攻擊(DoS)。

(4)對(duì)接入到物聯(lián)網(wǎng)的超大量傳感器節(jié)點(diǎn)的標(biāo)識(shí)、識(shí)別、認(rèn)證和控制問題。根據(jù)物聯(lián)網(wǎng)本身的特點(diǎn)和上述列舉的物聯(lián)網(wǎng)感知層在安全方面存在的問題,需要采取有效的防護(hù)對(duì)策,主要有以下幾個(gè)方面:

(1)加強(qiáng)對(duì)傳感器網(wǎng)絡(luò)機(jī)密性的安全控制。在傳感器網(wǎng)絡(luò)內(nèi)部,需要有效的密鑰管理機(jī)制,用于保障傳感器網(wǎng)絡(luò)內(nèi)部通信的安全。機(jī)密性需要在通信時(shí)建立一個(gè)臨時(shí)會(huì)話密鑰,確保數(shù)據(jù)安全。例如,在物聯(lián)網(wǎng)構(gòu)建中選擇射頻識(shí)別系統(tǒng),應(yīng)該根據(jù)實(shí)際需求考慮是否選擇有密碼和認(rèn)證功能的系統(tǒng)。

(2)加強(qiáng)節(jié)點(diǎn)認(rèn)證。個(gè)別傳感器網(wǎng)絡(luò)(特別當(dāng)傳感數(shù)據(jù)共享時(shí))需要節(jié)點(diǎn)認(rèn)證,確保非法節(jié)點(diǎn)不能接入。認(rèn)證性可以通過對(duì)稱密碼或非對(duì)稱密碼方案解決。使用對(duì)稱密碼的認(rèn)證方案需要預(yù)置節(jié)點(diǎn)間的共享密鑰,在效率上也比較高,消耗網(wǎng)絡(luò)節(jié)點(diǎn)的資源較少,許多傳感器網(wǎng)絡(luò)都選用此方案;而使用非對(duì)稱密碼技術(shù)的傳感器網(wǎng)絡(luò)一般具有較好的計(jì)算和通信能力,并且對(duì)安全性要求更高。在認(rèn)證的基礎(chǔ)上完成密鑰協(xié)商是建立會(huì)話密鑰的必要步驟。

(3)加強(qiáng)入侵監(jiān)測。一些重要傳感器網(wǎng)絡(luò)需要對(duì)可能被敵手控制的節(jié)點(diǎn)行為進(jìn)行評(píng)估,以降低敵手入侵后的危害。對(duì)于敏感場合,節(jié)點(diǎn)要設(shè)置封鎖或自毀程序,發(fā)現(xiàn)節(jié)點(diǎn)離開特定應(yīng)用和場所,啟動(dòng)封鎖或自毀,使攻擊者無法完成對(duì)節(jié)點(diǎn)的分析。5.2.2網(wǎng)絡(luò)層的安全問題

處于網(wǎng)絡(luò)末端的節(jié)點(diǎn)的傳輸如感知層的問題一樣,節(jié)點(diǎn)功能簡單,能量有限,使得它們無法擁有復(fù)雜的安全保護(hù)能力,這給網(wǎng)絡(luò)層的安全保障帶來困難。

物聯(lián)網(wǎng)的傳輸層主要用于把感知層收集到的信息安全可靠地傳輸?shù)叫畔⑻幚韺?,然后根?jù)不同的應(yīng)用需求進(jìn)行信息處理,而網(wǎng)絡(luò)層是一個(gè)高度異構(gòu)的網(wǎng)絡(luò)。物聯(lián)網(wǎng)的網(wǎng)絡(luò)系統(tǒng)包括四大支撐網(wǎng)絡(luò):短距離無線通信網(wǎng),包括十多種已存在的短距離無線通信(如ZigBee、藍(lán)牙、RFID等)標(biāo)準(zhǔn)網(wǎng)絡(luò)以及組合形成的無線網(wǎng)狀網(wǎng)(MeshNetworks);長距離無線通信網(wǎng),包括GPRS/CDMA、3G、4G網(wǎng)以及真正的長距離GPS衛(wèi)星移動(dòng)通信網(wǎng);短距離有線通信網(wǎng),主要依賴十多種現(xiàn)場總線(如ModBus、DeviceNet等)標(biāo)準(zhǔn)以及PLC電力線載波等網(wǎng)絡(luò);長距離有線通信網(wǎng),包括支持IP協(xié)議的網(wǎng)絡(luò),包括計(jì)算機(jī)網(wǎng)、廣電網(wǎng)和電信網(wǎng)以及國家電網(wǎng)的通信網(wǎng)等。

物聯(lián)網(wǎng)傳輸層的異構(gòu)網(wǎng)絡(luò)信息交換的安全性是其中的脆弱點(diǎn),特別在網(wǎng)絡(luò)認(rèn)證方面,難免存在中間人攻擊和其他類型的攻擊。這些攻擊都需要有更高的安全防護(hù)措施。目前局部的或小規(guī)模的物聯(lián)網(wǎng)示范工程項(xiàng)目尚不存在太多的信息安全問題,一方面,由于這些示范工程一般自成體系,很少與其他網(wǎng)絡(luò)互通,因此受到的攻擊來源少;另一方面,由于示范工程使用規(guī)模有限,潛在的攻擊者也不愿意為此花費(fèi)太大的投入,因此相對(duì)比較安全。但是,一旦這些示范工程將來發(fā)展成為真正物聯(lián)網(wǎng)的一部分,當(dāng)前看似安全的體系可能在將來會(huì)面臨重大安全隱患。如何在物聯(lián)網(wǎng)建立初期就建立嚴(yán)格規(guī)范的信息安全架構(gòu),關(guān)系到這些系統(tǒng)能否在真正物聯(lián)網(wǎng)系統(tǒng)下提供良好的安全措施或能夠?qū)Π踩胧┻M(jìn)行升級(jí),以保障系統(tǒng)的可用性。對(duì)于核心承載網(wǎng)絡(luò)而言,雖然它具有相對(duì)完整的安全保護(hù)能力,但由于物聯(lián)網(wǎng)中節(jié)點(diǎn)數(shù)量龐大,且常以集群方式存在。對(duì)于事件驅(qū)動(dòng)的應(yīng)用,大量數(shù)據(jù)的同時(shí)發(fā)送可以致使網(wǎng)絡(luò)擁塞,產(chǎn)生拒絕服務(wù)攻擊。物聯(lián)網(wǎng)中的感知層所獲取的感知信息,通常由無線網(wǎng)絡(luò)傳輸至系統(tǒng),相比TCP/IP網(wǎng)絡(luò),惡意程序在無線網(wǎng)絡(luò)環(huán)境和傳感器網(wǎng)絡(luò)環(huán)境中有無窮多的入口。對(duì)這種暴露在公開場所之中的信息如果沒做合適保護(hù)的話更容易被入侵,例如,類似于蠕蟲這樣的惡意代碼,一旦入侵成功,其傳播性、隱蔽性、破壞性等更加難以防范,在這樣的環(huán)境中檢測和清除這樣的惡意代碼將很困難,這將直接影響到物聯(lián)網(wǎng)體系的安全。物聯(lián)網(wǎng)建立在互聯(lián)網(wǎng)的基礎(chǔ)上,對(duì)互聯(lián)網(wǎng)的依賴性很高,在互聯(lián)網(wǎng)中存在的危害信息安全的因素在一定程度上同樣也會(huì)造成對(duì)物聯(lián)網(wǎng)的危害。隨著互聯(lián)網(wǎng)的發(fā)展,病毒攻擊、黑客入侵、非法授權(quán)訪問均會(huì)對(duì)互聯(lián)網(wǎng)用戶造成損害。物聯(lián)網(wǎng)中感知層的傳感器設(shè)備數(shù)量龐大,所采集的數(shù)據(jù)格式多種多樣,而且其數(shù)據(jù)信息具有海量、多源和異構(gòu)等特點(diǎn),因此,在傳輸層會(huì)帶來更加復(fù)雜的網(wǎng)絡(luò)安全問題。大量節(jié)點(diǎn)的數(shù)據(jù)傳輸需求會(huì)導(dǎo)致網(wǎng)絡(luò)擁塞,產(chǎn)生拒絕服務(wù)攻擊。此外,現(xiàn)有通信網(wǎng)絡(luò)的安全架構(gòu)都是以人通信的角度設(shè)計(jì)的,對(duì)以物為主體的物聯(lián)網(wǎng)需要建立新的傳輸與應(yīng)用安全架構(gòu)。傳輸層的安全要求有以下幾個(gè)方面:

(1)數(shù)據(jù)機(jī)密性:要保證數(shù)據(jù)在傳輸過程中不泄露內(nèi)容。

(2)數(shù)據(jù)完整性:要保證數(shù)據(jù)在傳輸過程中不被非法篡改,并且被篡改的數(shù)據(jù)容易被檢測出。

(3)數(shù)據(jù)流機(jī)密性:對(duì)數(shù)據(jù)流量進(jìn)行保密,防止數(shù)據(jù)流量信息被非法竊取。

(4)分布式拒絕服務(wù)攻擊(DDoS)的檢測與預(yù)防:DDoS是網(wǎng)絡(luò)中常見的攻擊現(xiàn)象,在物聯(lián)網(wǎng)中要能及時(shí)檢測到DDoS的發(fā)生,并能對(duì)脆弱節(jié)點(diǎn)如網(wǎng)關(guān)的DDoS進(jìn)行防護(hù)。

(5)移動(dòng)網(wǎng)絡(luò)中認(rèn)證與密鑰協(xié)商(AKA)機(jī)制的一致性或兼容性、跨越認(rèn)證和跨網(wǎng)認(rèn)證等,如不同無線網(wǎng)絡(luò)所使用的不同AKA機(jī)制對(duì)跨網(wǎng)認(rèn)證不利。傳輸層的信息安全問題主要有以下幾個(gè)方面:

(1)?DoS和DDoS。

(2)假冒攻擊、中間人攻擊等。

(3)跨異構(gòu)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊。

物聯(lián)網(wǎng)傳輸層的信息安全防護(hù):

傳輸層的安全機(jī)制分為端到端的機(jī)密性和節(jié)點(diǎn)到節(jié)點(diǎn)的機(jī)密性。端到端的機(jī)密性的安全機(jī)制可以保證數(shù)據(jù)完整性,其主要安全機(jī)制包括:端到端的認(rèn)證機(jī)制;端到端的密鑰協(xié)商機(jī)制;端到端的密鑰管理機(jī)制;端到端的機(jī)密性算法選取機(jī)制等。對(duì)于節(jié)點(diǎn)到節(jié)點(diǎn)的安全性機(jī)制主要包括節(jié)點(diǎn)的認(rèn)證和密鑰協(xié)商機(jī)制。對(duì)于跨網(wǎng)絡(luò)的安全形式需要建立不同網(wǎng)絡(luò)環(huán)境的認(rèn)證銜接機(jī)制。此外,網(wǎng)絡(luò)傳輸可以根據(jù)需要分為單播通信、組播通信和廣播通信,針對(duì)不同類型的通信模式要有相應(yīng)的認(rèn)證機(jī)制和機(jī)密性保護(hù)機(jī)制。綜合以上情況,傳輸層的安全架構(gòu)主要包括以下幾個(gè)方面:

(1)節(jié)點(diǎn)認(rèn)證、數(shù)據(jù)機(jī)密性、完整性、數(shù)據(jù)流機(jī)密性、DDoS的檢測與預(yù)防。

(2)移動(dòng)網(wǎng)中AKA機(jī)制的一致性或兼容性、跨域認(rèn)證和跨網(wǎng)認(rèn)證。

(3)密鑰管理、端對(duì)端加密和節(jié)點(diǎn)對(duì)節(jié)點(diǎn)加密、密碼算法和協(xié)議等。

(4)組播和廣播通信的認(rèn)證性、機(jī)密性和完整性機(jī)制等。5.2.3處理層的安全問題

物聯(lián)網(wǎng)的處理層是信息技術(shù)與行業(yè)應(yīng)用緊密結(jié)合的產(chǎn)物,充分體現(xiàn)了物聯(lián)網(wǎng)智能處理的特點(diǎn),涉及業(yè)務(wù)管理、中間件、云計(jì)算、分布式系統(tǒng)、海量信息處理等部分。上述這些支撐平臺(tái)要為上層服務(wù)管理和大規(guī)模行業(yè)應(yīng)用建立起一個(gè)高效、可靠和可信的系統(tǒng),而大規(guī)模、多平臺(tái)、多業(yè)務(wù)類型使物聯(lián)網(wǎng)業(yè)務(wù)層次的安全面臨新的挑戰(zhàn),例如,針對(duì)不同的行業(yè)應(yīng)用建立相應(yīng)的安全策略,還是建立一個(gè)相對(duì)獨(dú)立的安全架構(gòu)。另外考慮到物聯(lián)網(wǎng)涉及多領(lǐng)域多行業(yè),海量數(shù)據(jù)信息處理和業(yè)務(wù)控制策略將在安全性和可靠性方面面臨巨大挑戰(zhàn),特別是業(yè)務(wù)控制、管理和認(rèn)證機(jī)制、中間件以及隱私保護(hù)等安全問題顯得尤為突出。物聯(lián)網(wǎng)處理層的智能信息處理主要包括如何從網(wǎng)絡(luò)中接收信息,并判斷哪些信息是真正有用的信息,哪些是垃圾信息甚至是惡意信息。實(shí)際上,智能處理就是按照一定的規(guī)則、定義或者計(jì)算模型,對(duì)數(shù)據(jù)信息進(jìn)行過濾和判斷的過程,在這個(gè)處理過程中,除病毒、蠕蟲之外,攻擊者還會(huì)利用系統(tǒng)漏洞實(shí)施拒絕服務(wù)攻擊(DoS)、分布式拒絕服務(wù)攻擊(DDoS)、木馬程序、間諜軟件、垃圾郵件以及網(wǎng)絡(luò)釣魚等攻擊。應(yīng)用層的系統(tǒng)本身還可能存在安全漏洞,這些系統(tǒng)安全漏洞是指系統(tǒng)在邏輯設(shè)計(jì)上的缺陷或錯(cuò)誤,這個(gè)缺陷或錯(cuò)誤可以被攻擊者利用,通過植入木馬、病毒等方式來攻擊或控制整個(gè)系統(tǒng),從而竊取重要資料和信息,甚至破壞系統(tǒng)。漏洞會(huì)影響到的范圍很大,包括系統(tǒng)本身及其支撐軟件,網(wǎng)絡(luò)客戶和服務(wù)器軟件,網(wǎng)絡(luò)路由器和安全防火墻等。在這些不同的軟硬件設(shè)備中都可能存在不同的安全漏洞問題,在不同種類的軟、硬件設(shè)備,同種設(shè)備的不同版本之間,由不同設(shè)備構(gòu)成的不同系統(tǒng)之間以及同種系統(tǒng)在不同的設(shè)置條件下,都會(huì)存在各自不同的安全漏洞問題。

1.處理層的安全挑戰(zhàn)和安全需求。

物聯(lián)網(wǎng)處理層的智能技術(shù)需要自動(dòng)處理技術(shù),其目的是使處理過程方便迅速,而非智能的處理手段可能無法應(yīng)對(duì)海量數(shù)據(jù)。但自動(dòng)過程對(duì)惡意數(shù)據(jù)特別是惡意指令信息的判斷能力是有限的,而智能也僅限于按照一定規(guī)則進(jìn)行過濾和判斷,攻擊者很容易避開這些規(guī)則,因此處理層的安全挑戰(zhàn)包括以下幾個(gè)方面:

(1)來自于超大量終端的海量數(shù)據(jù)的識(shí)別和處理。

(2)智能變?yōu)榈湍堋?/p>

(3)自動(dòng)變?yōu)槭Э?可控性是信息安全的重要指標(biāo)之一)。

(4)災(zāi)難控制和恢復(fù)。

(5)非法人為干預(yù)(內(nèi)部攻擊)。

(6)設(shè)備(特別是移動(dòng)設(shè)備)的丟失。物聯(lián)網(wǎng)需要處理的信息是海量的,需要處理的平臺(tái)也是分布式的。當(dāng)不同性質(zhì)的數(shù)據(jù)通過一個(gè)處理平臺(tái)處理時(shí),該平臺(tái)需要多個(gè)功能各異的處理平臺(tái)協(xié)同處理。但首先應(yīng)該知道將哪些數(shù)據(jù)分配到哪些處理平臺(tái),因此數(shù)據(jù)類別分類是必需的。同時(shí),安全的要求使得許多信息都是以加密形式存在的,因此如何快速有效地處理海量加密數(shù)據(jù)是智能處理階段遇到的一個(gè)重大挑戰(zhàn)。計(jì)算技術(shù)的智能處理過程較人類的智力來說還是有本質(zhì)的區(qū)別,但計(jì)算機(jī)的智能判斷在速度上是人類智力判斷所無法比擬的,由此,期望物聯(lián)網(wǎng)環(huán)境的智能處理在智能水平上不斷提高,而且不能用人的智力去代替。也就是說,只要智能處理過程存在,就可能讓攻擊者有機(jī)會(huì)躲過智能處理過程的識(shí)別和過濾,從而達(dá)到攻擊目的。因此,物聯(lián)網(wǎng)的傳輸層需要高智能的處理機(jī)制。如果智能水平很高,那么可以有效識(shí)別并自動(dòng)處理惡意數(shù)據(jù)和指令。但再好的智能也存在失誤的情況,特別在物聯(lián)網(wǎng)環(huán)境中,即使失誤概率非常小,因?yàn)樽詣?dòng)處理過程的數(shù)據(jù)量非常龐大,因此失誤的情況還是很多。在處理發(fā)生失誤而使攻擊者攻擊成功后,如何將攻擊所造成的損失降低到最小,并盡快從災(zāi)難中恢復(fù)到正常工作狀態(tài),是物聯(lián)網(wǎng)智能處理層的另一重要問題,也是一個(gè)重大挑戰(zhàn)。智能處理層雖然使用智能的自動(dòng)處理手段,但還是允許人為干預(yù)的。人為干預(yù)可能發(fā)生在智能處理過程無法做出正確判斷的時(shí)候,也可能發(fā)生在智能處理過程有關(guān)鍵中間結(jié)果或最終結(jié)果的時(shí)候,還可能發(fā)生在其他任何原因而需要人為干預(yù)的時(shí)候。人為干預(yù)的目的是為了處理層更好地工作,但也有例外,那就是實(shí)施人為干預(yù)的人試圖實(shí)施惡意行為。來自于人的惡意行為具有很大的不可預(yù)測性,防范措施除了技術(shù)輔助手段外,更多地需要依靠管理手段。因此,物聯(lián)網(wǎng)的信息保障還需要科學(xué)的管理手段。智能處理平臺(tái)的大小不同,大的可以是高性能工作站,小的可以是移動(dòng)設(shè)備,如手機(jī)等。工作站的威脅是內(nèi)部人員惡意操作,而移動(dòng)設(shè)備的一個(gè)重大威脅是丟失。由于移動(dòng)設(shè)備不僅是信息處理平臺(tái),而且其本身通常攜帶大量重要機(jī)密信息,因此,如何降低作為處理平臺(tái)的移動(dòng)設(shè)備丟失所造成的損失是重要的安全挑戰(zhàn)之一。

2.處理層的安全機(jī)制

處理層的安全機(jī)制主要有以下幾個(gè)方面:

(1)可靠的認(rèn)證機(jī)制和密鑰管理方案。

(2)高強(qiáng)度數(shù)據(jù)機(jī)密性和完整性服務(wù)。

(3)可靠的密鑰管理機(jī)制,包括PKI和對(duì)稱密鑰的有機(jī)結(jié)合機(jī)制。

(4)可靠的高智能處理手段。

(5)入侵檢測和病毒檢測。

(6)惡意指令分析和預(yù)防,訪問控制及災(zāi)難恢復(fù)機(jī)制。

(7)保密日志跟蹤和行為分析,惡意行為模型的建立。

(8)密文查詢、秘密數(shù)據(jù)挖掘、安全多方計(jì)算、安全云計(jì)算技術(shù)等。

(9)移動(dòng)設(shè)備文件(包括秘密文件)的可備份和恢復(fù)。

(10)移動(dòng)設(shè)備識(shí)別、定位和追蹤機(jī)制等。5.2.4應(yīng)用層的安全問題

物聯(lián)網(wǎng)應(yīng)用層是綜合的或有個(gè)體特性的具體應(yīng)用業(yè)務(wù),它所涉及的某些安全問題通過前面幾個(gè)邏輯層的安全解決方案可能仍然無法解決。在這些問題中,隱私保護(hù)就是典型的一種。無論感知層、傳輸層還是處理層,都不涉及隱私保護(hù)的問題,但它卻是一些特殊應(yīng)用場景的實(shí)際需求,即應(yīng)用層的特殊安全需求。物聯(lián)網(wǎng)的數(shù)據(jù)共享有多種情況,涉及不同權(quán)限的數(shù)據(jù)訪問。此外,在應(yīng)用層還將涉及知識(shí)產(chǎn)權(quán)保護(hù)、計(jì)算機(jī)取證、計(jì)算機(jī)數(shù)據(jù)銷毀等安全需求和相應(yīng)技術(shù)。由于物聯(lián)網(wǎng)需要根據(jù)不同應(yīng)用需求對(duì)共享數(shù)據(jù)分配不同的訪問權(quán)限,而且不同權(quán)限訪問同一數(shù)據(jù)可能得到不同的結(jié)果。例如,道路交通監(jiān)控視頻數(shù)據(jù)用于城市規(guī)劃時(shí)只需要很低的分辨率即可,因?yàn)槌鞘幸?guī)劃需要的是交通堵塞的大概情況;而當(dāng)用于交通管制時(shí)就需要清晰一些,因?yàn)樾枰澜煌▽?shí)際情況,以便能及時(shí)發(fā)現(xiàn)哪里發(fā)生了交通事故以及交通事故的基本情況等;當(dāng)用于公安偵查時(shí)可能需要更清晰的圖像,以便能準(zhǔn)確識(shí)別汽車牌照等信息。因此如何以安全方式處理信息是應(yīng)用中的一項(xiàng)挑戰(zhàn)。隨著個(gè)人和商業(yè)信息的網(wǎng)絡(luò)化,越來越多的信息被認(rèn)為是用戶隱私信息。物聯(lián)網(wǎng)實(shí)現(xiàn)對(duì)物體的監(jiān)控,如位置信息、狀態(tài)信息等,而這些信息與人的本身密切相關(guān)。如當(dāng)射頻標(biāo)簽被嵌入人們的日常生活用品中,那么這個(gè)物品可能被不受控制地掃描、定位和追蹤,這就涉及隱私問題,需要利用技術(shù)保障安全與隱私。另外,由物聯(lián)網(wǎng)的應(yīng)用帶來的隱私問題,也會(huì)對(duì)現(xiàn)有的一些法律法規(guī)政策形成挑戰(zhàn),如信息采集的合法性問題、公民隱私權(quán)問題等。例如,如果個(gè)人的信息在任何一個(gè)讀卡器上都能隨意讀出,或者個(gè)人的生活起居信息、生活習(xí)性都可以被全天候監(jiān)視而暴露無遺,這不僅僅需要技術(shù)實(shí)現(xiàn)保障安全,也需要制定法律法規(guī)來保護(hù)物聯(lián)網(wǎng)時(shí)代的安全與隱私問題。一般認(rèn)為需要隱私保護(hù)的應(yīng)用至少包括以下幾種:

(1)移動(dòng)用戶既需要知道(或被合法知道)其位置信息,又不愿意非法用戶獲取該信息。

(2)用戶既需要證明自己合法使用某種業(yè)務(wù),又不想讓他人知道自己在使用某種業(yè)務(wù),如在線游戲。

(3)病人急救時(shí)需要及時(shí)獲得該病人的電子病歷信息,但又要保護(hù)該病歷信息不被非法獲取,包括病歷數(shù)據(jù)管理員。事實(shí)上,電子病歷數(shù)據(jù)庫的管理人員可能有機(jī)會(huì)獲得電子病歷的內(nèi)容,但隱私保護(hù)采用某種管理和技術(shù)手段使病歷內(nèi)容與病人身份信息在電子病歷數(shù)據(jù)庫內(nèi)無關(guān)聯(lián)。

(4)許多業(yè)務(wù)需要匿名性,如網(wǎng)絡(luò)投票。在很多情況下,用戶信息是認(rèn)證過程的必要信息,如何對(duì)這些信息提供隱私保護(hù),是一個(gè)具有挑戰(zhàn)性的問題,但又必須要解決的問題。例如,醫(yī)療病歷的管理系統(tǒng)需要病人的相關(guān)信息來獲取正確的病歷數(shù)據(jù),但又要避免該病歷數(shù)據(jù)跟病人的身份信息相關(guān)聯(lián)。在應(yīng)用過程中,主治醫(yī)生知道病人的病歷數(shù)據(jù),這種情況下對(duì)隱私信息的保護(hù)具有一定困難性,但可以通過密碼技術(shù)掌握醫(yī)生泄露病人病歷信息的證據(jù)。在使用互聯(lián)網(wǎng)的商業(yè)活動(dòng)中,特別是在物聯(lián)網(wǎng)環(huán)境的商業(yè)活動(dòng)中,無論采取了什么技術(shù)措施,都難免惡意行為的發(fā)生。如果能根據(jù)惡意行為所造成后果的嚴(yán)重程度給予相應(yīng)的懲罰,那么就可以減少惡意行為的發(fā)生。在技術(shù)上這需要搜集相關(guān)證據(jù)。因此,計(jì)算機(jī)取證就顯得非常重要,當(dāng)然有一定的技術(shù)難度,主要是因?yàn)橛?jì)算機(jī)平臺(tái)種類太多,包括多種計(jì)算機(jī)操作系統(tǒng)、虛擬操作系統(tǒng)、移動(dòng)設(shè)備操作系統(tǒng)等。與計(jì)算機(jī)取證相對(duì)應(yīng)的是數(shù)據(jù)銷毀。數(shù)據(jù)銷毀的目的是銷毀那些在密碼算法或密碼協(xié)議實(shí)施過程中所產(chǎn)生的臨時(shí)中間變量,一旦密碼算法或密碼協(xié)議實(shí)施完畢,這些中間變量將不再有用。但這些中間變量如果落入攻擊者手里,可能為攻擊者提供重要的參數(shù),從而增大成功攻擊的可能性。因此,這些臨時(shí)中間變量需要及時(shí)安全地從計(jì)算機(jī)內(nèi)存和存儲(chǔ)單元中刪除。計(jì)算機(jī)數(shù)據(jù)銷毀技術(shù)不可避免地會(huì)被計(jì)算機(jī)犯罪提供證據(jù)銷毀工具,從而增大計(jì)算機(jī)取證的難度。因此如何處理好計(jì)算機(jī)取證和計(jì)算機(jī)數(shù)據(jù)銷毀這對(duì)矛盾是一項(xiàng)具有挑戰(zhàn)性的技術(shù)難題,也是物聯(lián)網(wǎng)應(yīng)用中需要解決的問題。

物聯(lián)網(wǎng)的主要市場將是商業(yè)應(yīng)用,在商業(yè)應(yīng)用中存在大量需要保護(hù)的知識(shí)產(chǎn)權(quán)產(chǎn)品,包括電子產(chǎn)品和軟件等。在物聯(lián)網(wǎng)的應(yīng)用中,對(duì)電子產(chǎn)品的知識(shí)產(chǎn)權(quán)保護(hù)將會(huì)提高到一個(gè)新的高度,對(duì)應(yīng)的技術(shù)要求也是一項(xiàng)新的挑戰(zhàn)。應(yīng)用層的安全挑戰(zhàn)和安全需求主要有以下幾個(gè)方面:

(1)如何根據(jù)不同訪問權(quán)限對(duì)同一數(shù)據(jù)庫內(nèi)容進(jìn)行篩選。

(2)如何提供用戶隱私信息保護(hù),同時(shí)又能正確認(rèn)證。

(3)如何解決信息泄露追蹤問題。

(4)如何進(jìn)行計(jì)算機(jī)取證。

(5)如何銷毀計(jì)算機(jī)數(shù)據(jù)。

(6)如何保護(hù)電子產(chǎn)品和軟件的知識(shí)產(chǎn)權(quán)。

基于物聯(lián)網(wǎng)綜合應(yīng)用層的安全挑戰(zhàn)和安全需求,需要以下的安全機(jī)制:

(1)有效的數(shù)據(jù)庫訪問控制和內(nèi)容篩選機(jī)制。

(2)不同場景的隱私信息保護(hù)技術(shù)。

(3)叛逆追蹤和其他信息泄露追蹤機(jī)制。

(4)有效的計(jì)算機(jī)取證技術(shù)。

(5)安全的計(jì)算機(jī)數(shù)據(jù)銷毀技術(shù)。

(6)安全的電子產(chǎn)品和軟件的知識(shí)產(chǎn)權(quán)保護(hù)技術(shù)。

針對(duì)這些安全架構(gòu),需要發(fā)展相關(guān)的密碼技術(shù),包括訪問控制、匿名簽名、匿名認(rèn)證、密文驗(yàn)證(包括同態(tài)加密)、門限密碼、叛逆追蹤、數(shù)字水印和指紋技術(shù)等。

5.3物聯(lián)網(wǎng)面臨的其他安全風(fēng)險(xiǎn)

5.3.1云計(jì)算面臨的安全風(fēng)險(xiǎn)

鑒于云計(jì)算是架構(gòu)在傳統(tǒng)服務(wù)器設(shè)施上的一種服務(wù)的交互和使用模式,因此傳統(tǒng)互聯(lián)網(wǎng)環(huán)境下存在的諸多安全問題都可能在云計(jì)算環(huán)境中出現(xiàn),加之云計(jì)算規(guī)模大、價(jià)格低、資源共享等自身特點(diǎn),可能會(huì)在網(wǎng)絡(luò)上引入新的安全風(fēng)險(xiǎn)或改變原有的安全風(fēng)險(xiǎn)影響程度和范圍。下面針對(duì)云計(jì)算的幾個(gè)特點(diǎn),簡要分析一下云計(jì)算可能面臨的安全風(fēng)險(xiǎn)。

(1)云計(jì)算資源被濫用的風(fēng)險(xiǎn)。如上所述,“云”擁有非常龐大的資源。首先,基礎(chǔ)設(shè)施即服務(wù)(IaaS)供應(yīng)商為方便用戶租用資源,通常其登記程序管理都是不很嚴(yán)格的,目前任何一個(gè)持有有效信用卡的人都可以注冊并能立即使用云計(jì)算服務(wù);其次,由于云計(jì)算資源租用服務(wù)價(jià)格低廉,因此網(wǎng)絡(luò)犯罪分子可以很容易地租用到海量的計(jì)算和帶寬資源進(jìn)行分布式拒絕服務(wù)攻擊(DDoS)或進(jìn)行惡意破解盜取身份。當(dāng)前,企業(yè)甚至網(wǎng)絡(luò)運(yùn)營商所部署的流量清洗系統(tǒng)的規(guī)模,是很難抵御來自云計(jì)算的攻擊的。

(2)對(duì)網(wǎng)絡(luò)違法行為調(diào)查和溯源的風(fēng)險(xiǎn)。首先,由于在云計(jì)算廣泛應(yīng)用的情況下,計(jì)算、存儲(chǔ)、帶寬服務(wù)可在全球跨國獲取,并可使用被盜竊的信用卡支付,因此對(duì)網(wǎng)絡(luò)犯罪行為很難進(jìn)行追查。甚至部分資源可以是第三方普通用戶租用給云計(jì)算服務(wù)商的,溯源尤為困難;同時(shí),不同國家和地域的有關(guān)云計(jì)算服務(wù)提供者的法律法規(guī)不盡相同,對(duì)各種違法行為調(diào)查和溯源的取證需求也各不相同。例如,在某些國家展開調(diào)查時(shí),云計(jì)算服務(wù)商可能有權(quán)拒絕提交所托管的數(shù)據(jù)。因此可以預(yù)期,在云計(jì)算環(huán)境下對(duì)網(wǎng)絡(luò)犯罪行為的調(diào)查和溯源可能會(huì)存在著風(fēng)險(xiǎn)。

(3)安全管理的風(fēng)險(xiǎn)。雖然企業(yè)用戶將數(shù)據(jù)交給云計(jì)算服務(wù)商,但是網(wǎng)絡(luò)信息安全的相關(guān)事宜卻仍然由企業(yè)自身負(fù)責(zé)。一般而言,企業(yè)用戶會(huì)委托第三方安全服務(wù)機(jī)構(gòu)進(jìn)行安全審計(jì)、安全評(píng)估及安全認(rèn)證。但在云計(jì)算環(huán)境下,首先,由于用戶甚至不知道其數(shù)據(jù)存放的地點(diǎn),因此很難實(shí)施安全審計(jì)、評(píng)估及認(rèn)證,云計(jì)算擁有者也可能不會(huì)配合用戶自身發(fā)起的安全審計(jì)與評(píng)估;其次,云計(jì)算擁有者即使委托第三方進(jìn)行相關(guān)安全審計(jì),其結(jié)果也未必能適用于各個(gè)云計(jì)算用戶;同時(shí),云計(jì)算環(huán)境下的用戶信息設(shè)施安全審計(jì)、評(píng)估及認(rèn)證方法,目前也還在研究之中。

(4)數(shù)據(jù)訪問優(yōu)先權(quán)的風(fēng)險(xiǎn)。一般而言,租用云計(jì)算存儲(chǔ)、虛擬機(jī)、平臺(tái)等資源的用戶都希望能保障數(shù)據(jù)的機(jī)密性。但是,在用戶將數(shù)據(jù)交給云計(jì)算服務(wù)提供商后,數(shù)據(jù)實(shí)際的最高權(quán)限屬于云計(jì)算服務(wù)提供商,而不是數(shù)據(jù)的真正擁有者。這樣,如果云計(jì)算服務(wù)提供商內(nèi)部有惡意員工(這種可能通常是存在的),用戶的企業(yè)秘密就很可能被泄露出去。雖然不少云計(jì)算服務(wù)提供商也意識(shí)到了這種風(fēng)險(xiǎn)的存在,并提供了一些管理和技術(shù)手段(如風(fēng)險(xiǎn)提示機(jī)制、同態(tài)加密技術(shù)等)予以防范,但是用戶還是應(yīng)該關(guān)注此類風(fēng)險(xiǎn)。

(5)計(jì)算和存儲(chǔ)共享的風(fēng)險(xiǎn)。在云計(jì)算服務(wù)平臺(tái)上,用戶可能通過虛擬化技術(shù)共享CPU、內(nèi)存、硬盤、網(wǎng)絡(luò)帶寬。如果為此采用加密技術(shù),可能需增加額外的計(jì)算能力和處理時(shí)間,并因此而降低效率,且即使是采用了加密手段,也不能保證萬無一失。在虛擬化技術(shù)下,如果惡意用戶非法取得虛擬機(jī)權(quán)限,就有可能威脅到同一臺(tái)物理服務(wù)器上其他虛擬機(jī)。一般而言,隔離措施是現(xiàn)在最好的手段,但具體隔離技術(shù)的選擇及效果評(píng)估目前仍在進(jìn)一步研究之中。

(6)高可靠性的風(fēng)險(xiǎn)。一般而言,云計(jì)算可能會(huì)采用一些不是最先進(jìn)最強(qiáng)大的服務(wù)器和存儲(chǔ)設(shè)備,而是通過采用虛擬化技術(shù)將計(jì)算和存儲(chǔ)能力分?jǐn)偟胶芏辔锢碓O(shè)備上。即使某一時(shí)刻服務(wù)所在設(shè)備的可靠性達(dá)不到用戶所要求的99.99%,甚至99.999%,云計(jì)算服務(wù)提供商可通過遷移來虛擬資源以保障其高可靠性。但即使采用了技術(shù)/管理措施,也仍然存在著云計(jì)算服務(wù)平臺(tái)高可靠性方面的風(fēng)險(xiǎn)憂慮,用戶應(yīng)當(dāng)充分了解服務(wù)提供者在業(yè)務(wù)可持續(xù)性、數(shù)據(jù)可恢復(fù)性能力及恢復(fù)時(shí)間等方面的真實(shí)水平。

(7)企業(yè)用戶長期發(fā)展方面的風(fēng)險(xiǎn)。在當(dāng)前云計(jì)算環(huán)境下,無論是基礎(chǔ)設(shè)施即服務(wù)(IaaS)、平臺(tái)即服務(wù)(PaaS)或是軟件即服務(wù)(SaaS),都還缺乏服務(wù)整體遷移方面的標(biāo)準(zhǔn)和手段。如果用戶選用了某一家云計(jì)算服務(wù)提供商,最理想的狀態(tài)是雙方共同發(fā)展與共贏。但是,如果云計(jì)算服務(wù)提供商破產(chǎn)或被并購而不能有效提供服務(wù),用戶的業(yè)務(wù)和服務(wù)則有可能會(huì)出現(xiàn)中斷或不穩(wěn)定等風(fēng)險(xiǎn)。

(8)非技術(shù)領(lǐng)先國家面臨的風(fēng)險(xiǎn)。云計(jì)算的主要技術(shù)都是由美國Google、IBM、微軟等公司提出并推動(dòng)的。雖然國外公司在云計(jì)算方面并不封鎖,例如,Google公司還以發(fā)表學(xué)術(shù)論文的形式公開了其云計(jì)算核心技術(shù)(如GFS、MapReduce、BigTable)并在高校開設(shè)了云計(jì)算編程課程,但是對(duì)包括我國在內(nèi)的非技術(shù)領(lǐng)先國家來說,在虛擬化等關(guān)鍵技術(shù)方面并不掌握核心技術(shù)(大多是在一些開源代碼上做一些修改)。因此,與大規(guī)模采用進(jìn)口設(shè)備可能存在的“后門”風(fēng)險(xiǎn)一樣,大規(guī)模部署云計(jì)算同樣也會(huì)存在著類似的安全風(fēng)險(xiǎn)。

(9)其他未知的風(fēng)險(xiǎn)。自2006年推出云計(jì)算概念以來公用云服務(wù)也才剛開始推出。雖然當(dāng)前云計(jì)算服務(wù)并沒有暴露出太多的問題,但是畢竟還沒有經(jīng)受過長時(shí)間的考驗(yàn),因此可能還存在著其他眾多的技術(shù)、管理、法規(guī)上的未知風(fēng)險(xiǎn)。

5.3.2WLAN面臨的安全風(fēng)險(xiǎn)

1.?WLAN的安全現(xiàn)狀

由于無線局域網(wǎng)通過無線電波在空中傳輸數(shù)據(jù),因此在數(shù)據(jù)發(fā)射機(jī)覆蓋區(qū)域內(nèi)的幾乎任何一個(gè)無線局域網(wǎng)用戶都能接觸到這些數(shù)據(jù)。無論接觸數(shù)據(jù)者是在另外一個(gè)房間、另一層樓或是在本建筑之外,無線就意味著會(huì)讓人接觸到數(shù)據(jù)。與此同時(shí),要將無線局域網(wǎng)發(fā)射的數(shù)據(jù)僅僅傳送給一名目標(biāo)接收者是不可能的。而防火墻對(duì)通過無線電波進(jìn)行的網(wǎng)絡(luò)通信起不了作用,任何人在視距范圍之內(nèi)都可以截獲和插入數(shù)據(jù)。

因此,雖然無線網(wǎng)絡(luò)和無線局域網(wǎng)的應(yīng)用擴(kuò)展了網(wǎng)絡(luò)用戶的自由,它安裝時(shí)間短,增加用戶或更改網(wǎng)絡(luò)結(jié)構(gòu)時(shí)靈活、經(jīng)濟(jì),可提供無線覆蓋范圍內(nèi)的全功能漫游服務(wù)。然而,這種自由同時(shí)也對(duì)網(wǎng)絡(luò)安全性帶來了新的挑戰(zhàn)。安全性包括兩個(gè)方面:一個(gè)是訪問控制;另一個(gè)是保密性。訪問控制確保敏感的數(shù)據(jù)僅由獲得授權(quán)的用戶訪問。保密性則確保傳送的數(shù)據(jù)只被目標(biāo)接收者接收和理解。由上述可見,真正需要重視的是數(shù)據(jù)保密性,但訪問控制也不可忽視,如果沒有在安全性方面進(jìn)行精心的建設(shè),部署無線局域網(wǎng)將會(huì)給黑客和網(wǎng)絡(luò)犯罪開啟方便之門。

無線局域網(wǎng)必須考慮的安全威脅有以下幾種:

(1)所有常規(guī)有線網(wǎng)絡(luò)存在的安全威脅和隱患都存在。

(2)外部人員可以通過無線網(wǎng)絡(luò)繞過防火墻,對(duì)公司網(wǎng)絡(luò)進(jìn)行非授權(quán)存取。

(3)無線網(wǎng)絡(luò)傳輸?shù)男畔]有加密或者加密很弱,易被竊取、竄改和插入。

(4)無線網(wǎng)絡(luò)易被拒絕服務(wù)攻擊(DoS)和干擾。

(5)內(nèi)部員工可以設(shè)置無線網(wǎng)卡為P2P模式與外部員工連接。

(6)無線網(wǎng)絡(luò)的安全產(chǎn)品相對(duì)較少,技術(shù)相對(duì)比較新。

2.?WLAN面臨的主要風(fēng)險(xiǎn)

事實(shí)上,無線網(wǎng)絡(luò)受大量安全風(fēng)險(xiǎn)和安全問題的困擾,其中主要包括以下幾個(gè)方面:

(1)來自網(wǎng)絡(luò)用戶的進(jìn)攻。

(2)未認(rèn)證的用戶獲得存取權(quán)。

(3)來自公司的竊聽泄密等。針對(duì)以上威脅問題,常規(guī)的無線網(wǎng)絡(luò)安全技術(shù)有以下幾種:

(1)服務(wù)集標(biāo)識(shí)符(Service

Set

ID,SSID)。通過對(duì)多個(gè)無線接入點(diǎn)AP設(shè)置不同的SSID,并要求無線工作站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接入,并對(duì)資源訪問的權(quán)限進(jìn)行區(qū)別限制。但是這只是一個(gè)簡單的口令,所有使用該網(wǎng)絡(luò)的人都知道該SSID,很容易泄漏,只能提供較低級(jí)別的安全;而且如果配置AP向外廣播其SSID,那么安全程度還將下降,因?yàn)槿魏稳硕伎梢酝ㄟ^工具得到這個(gè)SSID。

(2)介質(zhì)訪問控制(Media

Access

Control,MAC)過濾又稱為物理地址過濾。由于每個(gè)無線工作站的網(wǎng)卡都有唯一的物理地址,因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表,實(shí)現(xiàn)物理地址過濾。這個(gè)方案要求AP中的MAC地址列表必須隨時(shí)更新,可擴(kuò)展性差,無法實(shí)現(xiàn)機(jī)器在不同AP之間的漫游;而且MAC地址在理論上可以偽造,因此這也是較低級(jí)別的授權(quán)認(rèn)證。

(3)連線對(duì)等保密(Wired

Equivalent

Privacy,WEP)。鏈路層采用RC4對(duì)稱加密技術(shù),用戶的加密金鑰必須與AP的密鑰相同時(shí)才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源,從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。WEP提供了40位(有時(shí)也稱為64位)和128位長度的密鑰機(jī)制,但是它仍然存在許多缺陷,例如,一個(gè)服務(wù)區(qū)內(nèi)的所有用戶都共享同一個(gè)密鑰,一個(gè)用戶丟失或者泄漏密鑰將使整個(gè)網(wǎng)絡(luò)不安全。而且由于WEP加密被發(fā)現(xiàn)有安全缺陷,可以在幾個(gè)小時(shí)內(nèi)被破解。

(4)虛擬專用網(wǎng)絡(luò)(Virtual

Private

Network,VPN)。VPN是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性,它不屬于IEEE802.11標(biāo)準(zhǔn)定義;但是用戶可以借助VPN來抵抗無線網(wǎng)絡(luò)的不安全因素,同時(shí)還可以提供基于Radius的用戶認(rèn)證以及計(jì)費(fèi)。

(5)端口訪問控制技術(shù)(IEEE802.1x)。該技術(shù)是用于無線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站與AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于IEEE802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過,則AP為用戶打開這個(gè)邏輯端口,否則不允許用戶上網(wǎng)。

IEEE802.1x除提供端口訪問控制能力之外,還提供基于用戶的認(rèn)證系統(tǒng)及計(jì)費(fèi),特別適合于無線接入解決方案。5.3.3?IPv6面臨的安全風(fēng)險(xiǎn)

1.針對(duì)密碼的攻擊

基于密碼的攻擊很具有生命力,在IPv6環(huán)境下同樣面臨著這樣的威脅。雖然在IPv6環(huán)境下,IPsec是強(qiáng)制實(shí)施的,但是在這種情況下,用戶使用的操作系統(tǒng)與其他訪問控制的共同之處就是基于密碼進(jìn)行訪問控制。對(duì)計(jì)算機(jī)與網(wǎng)絡(luò)資源的訪問都是由用戶名與密碼決定的。對(duì)那些版本較老的操作系統(tǒng),有些組件不是在通過網(wǎng)絡(luò)傳輸標(biāo)識(shí)信息進(jìn)行驗(yàn)證時(shí)而對(duì)該信息加以保護(hù)。這樣竊聽者能夠獲取有效的用戶名與密碼,就擁有了與實(shí)際用戶同樣的權(quán)限。攻擊者就可以進(jìn)入到機(jī)器內(nèi)部進(jìn)行惡意破壞。

2.針對(duì)泄漏密鑰攻擊的分析

在IPv6環(huán)境下,IPsec工作的兩種模式(傳輸模式和隧道模式)都需要密鑰交換這樣的過程,因此對(duì)密鑰的攻擊仍然具有威脅。盡管對(duì)于攻擊者來說確定密鑰是一件艱難而消耗資源的過程,但是這種可能性實(shí)實(shí)在在存在。當(dāng)攻擊者確定密鑰之后,攻擊者使用泄露密鑰便可獲取對(duì)于安全通信的訪問權(quán),而發(fā)送者或接收者卻全然沒有察覺攻擊,使后面所進(jìn)行的數(shù)據(jù)傳輸?shù)仍獾經(jīng)]有抵抗的攻擊。進(jìn)而使攻擊者用泄露密鑰即可解密或修改其他需要的數(shù)據(jù)。同樣攻擊者還會(huì)試圖使用泄露密鑰計(jì)算其他密鑰,從而使其獲取對(duì)其他安全通信的訪問權(quán)。

3.針對(duì)應(yīng)用層服務(wù)攻擊

應(yīng)用程序?qū)庸舻哪繕?biāo)是應(yīng)用程序服務(wù)器,即導(dǎo)致服務(wù)器的操作系統(tǒng)或應(yīng)用程序出錯(cuò)。這會(huì)使攻擊者有能力繞過正常訪問控制。攻擊者利用這一點(diǎn)便可控制應(yīng)用程序、系統(tǒng)或網(wǎng)絡(luò),并可進(jìn)行任意操作:①讀取、添加、刪除或修改數(shù)據(jù)或操作系統(tǒng);②引入病毒,即使用計(jì)算機(jī)與軟件應(yīng)用程序?qū)⒉《緩?fù)制到整個(gè)網(wǎng)絡(luò);③引入竊探器來分析網(wǎng)絡(luò)與獲取信息,并最終使用這些信息導(dǎo)致網(wǎng)絡(luò)停止響應(yīng)或崩潰;④異常關(guān)閉數(shù)據(jù)應(yīng)用程序或操作系統(tǒng);⑤禁用其他安全控制以備日后攻擊。

由于IPsec在網(wǎng)絡(luò)層進(jìn)行數(shù)據(jù)包加密,在網(wǎng)絡(luò)傳輸過程中防火墻無法有效地將加密的、帶有病毒的數(shù)據(jù)包進(jìn)行監(jiān)測,這樣就對(duì)在接收端的主機(jī)或路由器構(gòu)成了威脅。

4.可能發(fā)生的拒絕服務(wù)攻擊

密鑰管理分為手工密鑰管理和自動(dòng)密鑰管理。Internet密鑰管理協(xié)議被定位在應(yīng)用程序的層次,IETF規(guī)定了Internet安全協(xié)議和密鑰管理協(xié)議,(InternetSecurityAssociationandKeyManagementProtocol,ISAKMP)來實(shí)現(xiàn)IPsec的密鑰管理需求,為身份驗(yàn)證的SA設(shè)置以及密鑰交換技術(shù)定義了一個(gè)通用的結(jié)構(gòu),可以使用不同的密鑰交換技術(shù);IETF還設(shè)計(jì)了OAKLEY密鑰確定協(xié)議(KeyDet

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論