馬芳澍/民航空管局電信公司

物聯(lián)網(wǎng)安全綜述

馬芳澍/民航空管局電信公司

目前，物聯(lián)網(wǎng)技術(shù)越來越多的受到了人們的關(guān)注。物聯(lián)網(wǎng)時代的到來甚至被認(rèn)為是繼計算機(jī)和互聯(lián)網(wǎng)之后，信息產(chǎn)業(yè)的第三次飛躍。本文主要從物聯(lián)網(wǎng)的核心結(jié)構(gòu)出發(fā)，并詳細(xì)的分析各個層次的特點(diǎn)、安全挑戰(zhàn)以及相應(yīng)的研究現(xiàn)狀，從而了解目前物聯(lián)網(wǎng)安全研究中存在的挑戰(zhàn)。

物聯(lián)網(wǎng)；物聯(lián)網(wǎng)安全；CPS；EPCGloba

1.引言

目前，學(xué)術(shù)界公認(rèn)“物聯(lián)網(wǎng)（Internet of Things，IOT）[1][2][3]是一個由感知層、傳輸層、處理層和應(yīng)用層共同構(gòu)成的大規(guī)模信息系統(tǒng)”（如圖1所示），其核心結(jié)構(gòu)主要包括：感知層，如智能卡、RFID電子標(biāo)簽、傳感器網(wǎng)絡(luò)等，其主要負(fù)責(zé)對各種信息的采集；傳輸層，如三網(wǎng)融合的計算機(jī)、Internet、無線網(wǎng)絡(luò)、固網(wǎng)等,其主要任務(wù)是負(fù)責(zé)信息交換和通信；處理層，主要任務(wù)是對收集到的信息進(jìn)行處理分析；應(yīng)用層，主要是對智能處理信息的利用，實現(xiàn)用戶定制的智能化應(yīng)用和服務(wù)，從而最終實現(xiàn)物與物、人與物的相聯(lián)，構(gòu)造一個覆蓋世界上萬事萬物的“Internet of things”。

圖1 物聯(lián)網(wǎng)架構(gòu)

相對于傳統(tǒng)的互聯(lián)網(wǎng)，物聯(lián)網(wǎng)其覆蓋范圍更廣，所涉及的安全問題也更為敏感，應(yīng)用環(huán)境也更為復(fù)雜，因此其安全問題勢必會更加的重要和艱難。本文將從物聯(lián)網(wǎng)的幾個核心結(jié)構(gòu)出發(fā)分析各個結(jié)構(gòu)面臨的安全威脅和挑戰(zhàn)。

2.感知層

2.1. 感知層的特點(diǎn)

在物聯(lián)網(wǎng)中，感知層具有以下特點(diǎn)：

（1）不確定性：感知層是一個存在嚴(yán)重不確定性因素的環(huán)境中；

（2）可跟蹤性：當(dāng)感知層主要采用RFID技術(shù)時，嵌入了RFID芯片的物品不僅能方便地被物品主人所感知，同時其他人也能進(jìn)行感知；

（3）分散性：感知層的各種RFID或者設(shè)備具有地理上是分散的；

（4）連接信道開放：感知層中各個設(shè)備之間的連接都是通過無線網(wǎng)進(jìn)行連接，其信道是開放的；

（5）計算處理能力低下：一般感知層的設(shè)備都是小型設(shè)備而且能量供應(yīng)受到嚴(yán)格限制，導(dǎo)致計算處理能力低下；

（6）規(guī)模龐大：為了滿足特定應(yīng)用需求，物聯(lián)網(wǎng)感知層通常需要部署大量的感知設(shè)備。

2.2. 感知層面臨的威脅

（1）安全隱私

RFID標(biāo)簽被嵌入任何物品中，從而導(dǎo)致物品的擁有者不受控制地被掃描、定位和追蹤，因此該物品的擁有者的很多隱私看起來就是公開的隱私，而且對于RFID標(biāo)簽來說其一般對于任何的請求都會給予應(yīng)答，所以就更加容易的被定位和跟蹤。

（2）智能感知節(jié)點(diǎn)的自身安全問題

智能感知節(jié)點(diǎn)的安全問題即物聯(lián)網(wǎng)機(jī)器/感知節(jié)點(diǎn)的本地安全問題，物聯(lián)網(wǎng)機(jī)器/感知節(jié)點(diǎn)多數(shù)部署在無人監(jiān)控的場景中，而且在地理上是分散的。那么攻擊者就可以輕易地接觸到這些設(shè)備，從而對它們造成破壞，甚至通過本地操作更換機(jī)器的軟硬件。

（3）信號容易被干擾

在感知層的網(wǎng)絡(luò)一般都是無線連接，而且信號是公開的，所以其網(wǎng)絡(luò)信號很容易就被入侵者進(jìn)行干擾，從而使得設(shè)備之間無法進(jìn)行正常的通信。

（4）假冒攻擊

由于智能傳感終端、RFID電子標(biāo)簽相對于傳統(tǒng)網(wǎng)絡(luò)而言是“裸露”在攻擊者的眼皮底下的，再加上傳輸平臺是在一定范圍內(nèi)“暴露”在空中的，“竄擾”在傳感網(wǎng)絡(luò)領(lǐng)域顯得非常頻繁、并且容易。所以，傳感器網(wǎng)絡(luò)中的假冒攻擊是一種主動攻擊形式,它極大地威脅著傳感器節(jié)點(diǎn)間的協(xié)同工作。

（5）數(shù)據(jù)驅(qū)動攻擊

數(shù)據(jù)驅(qū)動攻擊是通過向某個程序或應(yīng)用發(fā)送數(shù)據(jù)，以產(chǎn)生非預(yù)期結(jié)果的攻擊，通常為攻擊者提供訪問目標(biāo)系統(tǒng)的權(quán)限。數(shù)據(jù)驅(qū)動攻擊分為緩沖區(qū)溢出攻擊、格式化字符串攻擊、輸入驗證攻擊、同步漏洞攻擊、信任漏洞攻擊等。通常向傳感網(wǎng)絡(luò)中的匯聚節(jié)點(diǎn)實施緩沖區(qū)溢出攻擊是非常容易的。

（6）惡意代碼攻擊

惡意程序在無線網(wǎng)絡(luò)環(huán)境和傳感網(wǎng)絡(luò)環(huán)境中有無窮多的入口。一旦入侵成功，之后通過網(wǎng)絡(luò)傳播就變得非常容易。它的傳播性、隱蔽性、破壞性等相比傳統(tǒng)網(wǎng)絡(luò)而言更加難以防范，如類似于蠕蟲這樣的惡意代碼，本身又不需要寄生文件，在這樣的環(huán)境中檢測和清除這樣的惡意代碼將很困難。

（7）DOS攻擊

這種攻擊方式多數(shù)會發(fā)生在感知層與核心網(wǎng)絡(luò)的銜接之處。由于物聯(lián)網(wǎng)中節(jié)點(diǎn)數(shù)量龐大，且以集群方式存在，因此在數(shù)據(jù)傳播時，大量節(jié)點(diǎn)的數(shù)據(jù)傳輸需求會導(dǎo)致網(wǎng)絡(luò)擁塞，產(chǎn)生拒絕服務(wù)攻擊。

2.3. 現(xiàn)有的解決方案

現(xiàn)在對于感知層面對的這些安全威脅有了相應(yīng)的研究，并提出了一些相應(yīng)的解決方案。但是很多是借鑒了傳統(tǒng)的信息安全的防御策略，主要有：

（1）加密機(jī)制

在感知層的加密機(jī)制上主要有兩種類型：針對隱私加密和針對防惡意跟蹤加密。目前針對隱私加密的研究主要包括：MIT的Sarma等人[4][5]提出基于哈希鎖方法，MIT的S. Weis等人[6]又進(jìn)一步提出了基于隨機(jī)哈希哈希鎖的方法進(jìn)行隱私保護(hù)的方法。德國凱澤斯勞滕大學(xué)的Henrici等人[7]提出基于雜湊的ID變化方法。針對防惡意跟蹤的研究主要包括：瑞士洛桑理工大學(xué)的M. Ohkubo教授[8]提出了基于哈希鏈的方法，A. Machanavajjhala等人[9]提出了一種在不損失統(tǒng)計正確性的情況下，有效防止身份信息泄露的匿名化方法。

（2）認(rèn)證機(jī)制

認(rèn)證機(jī)制是指通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實身份，以及數(shù)據(jù)在傳送過程中是否遭到篡改。從物聯(lián)網(wǎng)的體系結(jié)構(gòu)來看，感知層的認(rèn)證機(jī)制非常有必要。身份認(rèn)證是確保節(jié)點(diǎn)的身份信息，從而可以阻止一些非授權(quán)的用戶竊取通信數(shù)據(jù)。Carlo Maria Medaglia等人[10]提出了在WSN中PKI認(rèn)證方法來使得各個設(shè)備之間建立信任關(guān)系；Divyan M. Konidala等人[11]提出了在EPCGlobal中使用相互認(rèn)證的機(jī)制來使得Reader與Tag進(jìn)行相互認(rèn)證從而來保證二者相互信任的。

（3）訪問控制技術(shù)

訪問控制在物聯(lián)網(wǎng)環(huán)境下被賦予了新的內(nèi)涵，從傳統(tǒng)網(wǎng)絡(luò)中主要給“人”進(jìn)行訪問授權(quán)、變成了給機(jī)器進(jìn)行訪問授權(quán)，有限制的分配、交互共享數(shù)據(jù)，在機(jī)器與機(jī)器之間將變得更加復(fù)雜。Carlo Maria Medaglia等人[10]提出了在WSN中使用一些標(biāo)準(zhǔn)（例如IEEE 802.15.4），在每個節(jié)點(diǎn)上定義一個訪問控制列表（ACL），從而使得每個節(jié)點(diǎn)只能接受其ACL中的節(jié)點(diǎn)的信息而達(dá)到安全目的；Yong Ki Lee等人[12]在分析了現(xiàn)有的很多國際標(biāo)準(zhǔn)和工業(yè)標(biāo)準(zhǔn)都是簡單的采用基于密碼的訪問控制方法的缺點(diǎn)，提出了一種EC-RAC的訪問控制方法，能夠使得設(shè)備間

（4）物理機(jī)制

主要是采用一些物理方法，從而來保證設(shè)備的安全。Christoph P. Mayer等人[13]提出了使用Kill codes、法拉第罩以及使用Blocker Tag等方法從來使得入侵者無法讀取Tag的信息。Olivier Savry等人[14]提出了使用RFID干擾信號使入侵者無法連接到正常的Tag。

2.4. 后續(xù)研究面臨的主要安全挑戰(zhàn)

從上面的分析可知，因為物聯(lián)網(wǎng)的感知層具有的特征導(dǎo)致了其在安全方面面臨著一些全新的威脅。雖然在某些方面的安全可以使用一些傳統(tǒng)的安全防御手段（加密機(jī)制、驗證機(jī)制等），但是這些技術(shù)和方法在物聯(lián)網(wǎng)的感知層這個特定環(huán)境下還是很難實現(xiàn)或者說其實現(xiàn)難度相當(dāng)大。所以在今后對感知層安全的研究中面臨的新挑戰(zhàn)有：

（1）物聯(lián)網(wǎng)感知層設(shè)備的物理安全問題：物聯(lián)網(wǎng)規(guī)模的擴(kuò)大甚至達(dá)到全球性，則會使得設(shè)備的地理分布更為分散則就需要制定一個更為合理的管理規(guī)則，從而使得所有的設(shè)備都能夠正常的運(yùn)行并保證這些設(shè)備的物理安全。

（2）感知層的安全事件發(fā)現(xiàn)：在感知層，物聯(lián)網(wǎng)中感知節(jié)點(diǎn)通常情況下功能簡單（如自動溫度計）、攜帶能量少（使用電池）,使得它們無法擁有復(fù)雜的安全保護(hù)能力,因此要研究針對物聯(lián)網(wǎng)的感知層的網(wǎng)絡(luò)安全事件發(fā)現(xiàn)方法，包括感知層數(shù)據(jù)防篡改、防止惡意追蹤、防止信息竊取等；

（3）感知層的數(shù)據(jù)安全問題：由于現(xiàn)有的加密機(jī)制對于感知層的來說實現(xiàn)上還是有很大的困難，所以在接下來的研究工作中要綜合考慮感知層中各種設(shè)備的特點(diǎn)，而制定一種全新的適用于物聯(lián)網(wǎng)感知層的加密機(jī)制，從而來保證在感知層的信息安全；對于驗證機(jī)制來說，同樣是需要制定一些輕量級的驗證機(jī)制從而減緩設(shè)備的計算和存儲的需要。

（4） 感知層的隱私保護(hù)問題：現(xiàn)有的數(shù)據(jù)隱私保護(hù)方法側(cè)重于永久性的用戶記錄數(shù)據(jù)，并不完全適用于實時性的物聯(lián)網(wǎng)感知層數(shù)據(jù)。例如，基于統(tǒng)計方法的技術(shù)適用于靜態(tài)數(shù)據(jù)，但如何隱藏來自實時傳感器的私人信息流，還需要進(jìn)一步研究。由于單個物體上的嵌入式設(shè)備的計算能力和能量有限，需要“輕量級”解決方案。

（5）感知層的訪問控制問題：物聯(lián)網(wǎng)的感知層涉及大量的底層物理設(shè)備，訪問控制在物聯(lián)網(wǎng)環(huán)境下被賦予了新的內(nèi)涵，從傳統(tǒng)網(wǎng)絡(luò)中主要給“人”進(jìn)行訪問授權(quán)、變成了給機(jī)器進(jìn)行訪問授權(quán)，有限制的分配、交互共享數(shù)據(jù)，在機(jī)器與機(jī)器之間將變得更加復(fù)雜。目前的訪問控制技術(shù)都無法適應(yīng)這種大規(guī)模物理設(shè)備的訪問控制，如何實現(xiàn)有效的訪問控制也是一個難點(diǎn)。

（6）統(tǒng)一協(xié)議有待制定：在物聯(lián)網(wǎng)核心層面是基于TCP／IP協(xié)議，但是在感知層，協(xié)議種類很多，如GPRS、短信、傳感器、TD、SCDMA等，物聯(lián)網(wǎng)需要一個統(tǒng)一的協(xié)議基礎(chǔ)，以解決安全問題。

3.傳輸層

傳輸層是物聯(lián)網(wǎng)的神經(jīng)中樞和大腦——信息的交換和通信。傳輸層包括通信與互聯(lián)網(wǎng)的融合網(wǎng)絡(luò)、網(wǎng)絡(luò)管理中心和信息中心等。傳輸層將感知層獲取的信息進(jìn)行傳遞，類似于人體結(jié)構(gòu)中的神經(jīng)中樞和大腦。

3.1. 傳輸層的特點(diǎn)

（1）以現(xiàn)有的互聯(lián)網(wǎng)或者下一代互聯(lián)網(wǎng)作為通信的載體。在物聯(lián)網(wǎng)的發(fā)展過程中，其信息的傳遞基本上是以互聯(lián)網(wǎng)或者即將到來的下一代互聯(lián)網(wǎng)作為載體。

（2）在物聯(lián)網(wǎng)的傳輸層中，會存在著大量的異構(gòu)網(wǎng)絡(luò)的信息傳遞。在物聯(lián)網(wǎng)的感知層中的組網(wǎng)技術(shù)沒有統(tǒng)一的標(biāo)準(zhǔn)，那么在傳輸層將面臨著對各種類型的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行交換和通信。

3.2. 傳輸層面臨的威脅

公安部的郝文江等人[15]指出，由于物聯(lián)網(wǎng)的傳輸層依賴于傳統(tǒng)的互聯(lián)網(wǎng)，因此物聯(lián)網(wǎng)面臨傳統(tǒng)網(wǎng)絡(luò)的安全問題，例如病毒、木馬、DDOS攻擊、假冒、中間人攻擊、跨異構(gòu)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊等傳統(tǒng)互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全的問題依然存在。

3.3. 現(xiàn)有的解決方案

在對物聯(lián)網(wǎng)的傳輸層的安全技術(shù)的研究目前主要還是對傳統(tǒng)的互聯(lián)網(wǎng)安全的研究，所以主要可以使用的技術(shù)有傳統(tǒng)的認(rèn)證技術(shù)、數(shù)據(jù)加密技術(shù)等。傳輸層的安全機(jī)制可分為端到端機(jī)密性和節(jié)點(diǎn)到節(jié)點(diǎn)機(jī)密性。對于端到端機(jī)密性，需要建立如下安全機(jī)制：端到端認(rèn)證機(jī)制、端到端密鑰協(xié)商機(jī)制、密鑰管理機(jī)制和機(jī)密性算法選取機(jī)制等。在這些安全機(jī)制中，根據(jù)需要可以增加數(shù)據(jù)完整性服務(wù)。對于節(jié)點(diǎn)到節(jié)點(diǎn)機(jī)密性，需要節(jié)點(diǎn)間的認(rèn)證和密鑰協(xié)商協(xié)議，這類協(xié)議要重點(diǎn)考慮效率因素。機(jī)密性算法的選取和數(shù)據(jù)完整性服務(wù)則可以根據(jù)需求選取或省略?？紤]到跨網(wǎng)絡(luò)架構(gòu)的安全需求，需要建立不同網(wǎng)絡(luò)環(huán)境的認(rèn)證銜接機(jī)制。另外，根據(jù)應(yīng)用層的不同需求，網(wǎng)絡(luò)傳輸模式可能區(qū)分為單播通信、組播通信和廣播通信，針對不同類型的通信模式也應(yīng)該有相應(yīng)的認(rèn)證機(jī)制和機(jī)密性保護(hù)機(jī)制。

3.4. 后續(xù)研究面臨的主要安全挑戰(zhàn)

在物聯(lián)網(wǎng)的傳輸層中，信息的傳遞是以現(xiàn)在的互聯(lián)網(wǎng)或者下一代的互聯(lián)網(wǎng)作為傳輸?shù)妮d體，因此當(dāng)傳統(tǒng)互聯(lián)網(wǎng)技術(shù)面臨著新的安全挑戰(zhàn)時，傳輸層同樣需要解決這些問題。在以后傳輸層安全的研究中將面臨的新挑戰(zhàn)有：

（1）跨網(wǎng)攻擊的防范問題：物聯(lián)網(wǎng)的傳輸層要進(jìn)行異構(gòu)網(wǎng)絡(luò)的信息交換，則隨時都會面臨著新的跨網(wǎng)攻擊類型的出現(xiàn)，目前的網(wǎng)絡(luò)安全技術(shù)隊跨網(wǎng)攻擊的研究還遠(yuǎn)遠(yuǎn)不夠，在這方面物聯(lián)網(wǎng)安全將面臨著比較嚴(yán)峻的挑戰(zhàn)。

（2）新型網(wǎng)絡(luò)安全事件分析與發(fā)現(xiàn)方法：在物聯(lián)網(wǎng)的傳輸層，根據(jù)物聯(lián)網(wǎng)中數(shù)據(jù)快速流動以及海量信息等特點(diǎn)，研究與傳統(tǒng)網(wǎng)絡(luò)不同的網(wǎng)絡(luò)安全事件發(fā)現(xiàn)方法，包括新型針對物聯(lián)網(wǎng)的拒絕服務(wù)攻擊、基于通信流量分析的網(wǎng)絡(luò)安全攻擊行為分析與發(fā)現(xiàn)等。

（3）自適應(yīng)的攻擊防范問題：與傳統(tǒng)互聯(lián)網(wǎng)不同，物聯(lián)網(wǎng)所連接的終端設(shè)備性能和對網(wǎng)絡(luò)需求的巨大差異，使得其對網(wǎng)絡(luò)攻擊的防護(hù)能力也會有很大差別，而應(yīng)針對不同網(wǎng)絡(luò)性能和網(wǎng)絡(luò)需求應(yīng)該有不同的防范措施，因此很難設(shè)計通用的物聯(lián)網(wǎng)安全方案，如何實現(xiàn)自適應(yīng)的物聯(lián)網(wǎng)攻擊防范是物聯(lián)網(wǎng)安全研究面臨的挑戰(zhàn)之一。

4.處理層

4.1. 處理層的特點(diǎn)

物聯(lián)網(wǎng)的處理層主要是接收傳輸層的信息以及對這些信息進(jìn)行智能的處理，其主要的特點(diǎn)有：

（1）智能性：智能性是物聯(lián)網(wǎng)處理層最重要的特征；

（2）處理海量數(shù)據(jù)：這也是物聯(lián)網(wǎng)處理層的主要特征，因為物聯(lián)網(wǎng)中設(shè)備的數(shù)量是龐大的，而且數(shù)據(jù)都是由機(jī)器產(chǎn)生，所以處理層將要處理海量的數(shù)據(jù)；

（3）自動性：一般在處理層的處理都是自動處理的；

（4）智能處理設(shè)備多樣性：智能處理平臺的設(shè)備多樣化，規(guī)模大的到高性能工作站，小的可以到移動設(shè)備；

（5）實時性：對于處理層的處理，要求能夠?qū)崟r的處理并且快速的給予回復(fù)。

4.2. 處理層面臨的安全威脅

（1）來自于超大量終端的海量數(shù)據(jù)的識別和處理

物聯(lián)網(wǎng)時代需要處理的信息是海量的，需要處理的平臺也是分布式的。當(dāng)不同性質(zhì)的數(shù)據(jù)通過一個處理平臺處理時，該平臺需要多個功能各異的處理平臺協(xié)同處理。但首先應(yīng)該知道將哪些數(shù)據(jù)分配到哪個處理平臺，因此數(shù)據(jù)類別分類是必須的。同時，安全的要求使得許多信息都是以加密形式存在的，因此如何快速有效地處理海量加密數(shù)據(jù)是智能處理階段遇到的一個重大挑戰(zhàn)。

（2）智能變?yōu)榈湍?/p>

計算技術(shù)的智能處理過程較人類的智力來說還是有本質(zhì)的區(qū)別，但計算機(jī)的智能判斷在速度上是人類智力判斷所無法比擬的，由此，期望物聯(lián)網(wǎng)環(huán)境的智能處理在智能水平上不斷提高，而且不能用人的智力去代替。也就是說，只要智能處理過程存在，就可能讓攻擊者有機(jī)會躲過智能處理過程的識別和過濾，從而達(dá)到攻擊目的。在這種情況下，智能與低能相當(dāng)。因此，物聯(lián)網(wǎng)的處理層需要高智能的處理機(jī)制。

（3）自動變?yōu)槭Э?/p>

處理層為了能夠達(dá)到智能的處理，一般情況下都需要達(dá)到自動控制的狀態(tài)。但是如果在自動控制的過程沒有處理好，那么就有可能會受到入侵者的攻擊，就有可能使得處理平臺由自動控制變成失控狀態(tài)。

（4）災(zāi)難控制和恢復(fù)

如果智能水平很高，那么可以有效識別并自動處理惡意數(shù)據(jù)和指令。但再好的智能也存在失誤的情況，特別在物聯(lián)網(wǎng)環(huán)境中，即使失誤概率非常小，因為自動處理過程的數(shù)據(jù)量非常龐大，因此失誤的情況還是很多。在處理發(fā)生失誤而使攻擊者攻擊成功后，如何將攻擊所造成的損失降低到最小程度，并盡快從災(zāi)難中恢復(fù)到正常工作狀態(tài)，是物聯(lián)網(wǎng)智能處理層的另一重要問題，也是一個重大挑戰(zhàn)，因為在技術(shù)上沒有最好，只有更好。

（5）非法人為干預(yù)

智能處理層雖然使用智能的自動處理手段，但還是允許人為干預(yù)，而且是必須的。人為干預(yù)可能發(fā)生在智能處理過程無法做出正確判斷的時候，也可能發(fā)生在智能處理過程有關(guān)鍵中間結(jié)果或最終結(jié)果的時候，還可能發(fā)生在其他任何原因而需要人為干預(yù)的時候。人為干預(yù)的目的是為了處理層更好地工作，但也有例外，那就是實施人為干預(yù)的人試圖實施惡意行為時。來自于人的惡意行為具有很大的不可預(yù)測性，防范措施除了技術(shù)輔助手段外，更多地需要依靠管理手段。因此，物聯(lián)網(wǎng)處理層的信息保障還需要科學(xué)管理手段。

4.3. 現(xiàn)有的解決方案

由于物聯(lián)網(wǎng)還處于起步階段，特別是關(guān)于處理層安全的相關(guān)研究和成果還很少。下面我們分析和介紹了一些傳統(tǒng)網(wǎng)絡(luò)中的安全問題解決方案，希望我們能從中得到啟發(fā)和靈感。

（1）災(zāi)難備份和災(zāi)難恢復(fù)[17]

災(zāi)難備份是指為了減少災(zāi)難發(fā)生的概率，以及減少災(zāi)難發(fā)生時或發(fā)生后造成的損失而采取的各種防范措施。災(zāi)難恢復(fù)是指計算機(jī)系統(tǒng)災(zāi)難發(fā)生后，在遠(yuǎn)離災(zāi)難現(xiàn)場的地方重新組織系統(tǒng)運(yùn)行和恢復(fù)運(yùn)營的過程。都是降低災(zāi)難發(fā)生的損失、保證計算機(jī)系統(tǒng)連續(xù)運(yùn)行的重要措施。比較有名的災(zāi)備和恢復(fù)系統(tǒng)有IBM的跨域并行系統(tǒng)耦合體技術(shù)（Geographically Dispersed Parallel Sysplex，GDPS），EMC SRDF遠(yuǎn)程數(shù)據(jù)備份系統(tǒng)（Symmetrix Remote Data Facility，SRDF）和CA的BrightStor系統(tǒng)等。

（2）加密機(jī)制

加密是將在傳輸或存儲期間的明文改為密文，避免非授權(quán)的查看或使用，從而實現(xiàn)對隱私數(shù)據(jù)的保護(hù)。傳統(tǒng)網(wǎng)絡(luò)中，在網(wǎng)絡(luò)層的加密機(jī)制是逐跳加密，即信息在發(fā)送過程中，在傳輸過程中是加密的，但是需要不斷地在每個經(jīng)過的節(jié)點(diǎn)上解密和加密，即在每個節(jié)點(diǎn)上都是明文的，具有低時延、高效率、低成本、可擴(kuò)展性好等特點(diǎn)。而業(yè)務(wù)層加密機(jī)制則是端到端的，即信息只在發(fā)送端和接收端才是明文，而在傳輸?shù)倪^程和轉(zhuǎn)發(fā)節(jié)點(diǎn)上都是密文，相對逐跳方式具有更高的安全性。物聯(lián)網(wǎng)中網(wǎng)絡(luò)連接和業(yè)務(wù)使用緊密結(jié)合，那么就面臨到底使用逐跳加密還是端到端加密的選擇。因此，就需要權(quán)衡業(yè)務(wù)的機(jī)密性要求與實時性、擴(kuò)展性等要求之間的關(guān)系來做出具體的決定。

（3）入侵檢測[18]

入侵檢測是指在網(wǎng)絡(luò)中發(fā)現(xiàn)和察覺入侵及入侵企圖，以便采取有效的措施來堵塞漏洞和修復(fù)系統(tǒng)的技術(shù)。其作用包括：識別入侵者；識別入侵行為；檢測和監(jiān)視已成功的安全突破；為對抗入侵及時提供重要信息，阻止事件的發(fā)生和事態(tài)的擴(kuò)大。入侵檢測技術(shù)主要分為異常入侵檢測和誤用入侵檢測等，兩者的不同在于異常入侵檢測是指能夠根據(jù)異常行為和使用計算機(jī)資源情況檢測出來的入侵，試圖用定量方式描述可接受的行為特征，以區(qū)分非正常的、潛在的入侵行為；而誤用入侵檢測則是指利用已知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)攻擊模式來檢測入侵的入侵檢測方法。物聯(lián)網(wǎng)作為一個新興的信息技術(shù)，建立一整套與系統(tǒng)結(jié)構(gòu)相適應(yīng)的且高效的入侵檢測方法，將極大的提高其整體的安全性能。

4.4. 后續(xù)研究面臨的主要安全挑戰(zhàn)

（1）高效數(shù)據(jù)機(jī)密性和完整性保障機(jī)制：物聯(lián)網(wǎng)中處理的是海量實時數(shù)據(jù)，如何在處理層實現(xiàn)高效的加解密算法、可靠的認(rèn)證機(jī)制和密鑰管理機(jī)制等，以確保數(shù)據(jù)的機(jī)密性和完整性，是智能處理階段遇到的一個重大挑戰(zhàn)。

（2）惡意指令分析和預(yù)防：物聯(lián)網(wǎng)中涉及到控制指令，使得其網(wǎng)絡(luò)安全的危害不僅局限于傳統(tǒng)的信息系統(tǒng)，而且向物理世界延伸，因此處理層的惡意指令分析和預(yù)防變得尤為重要，尤其是對特殊的控制指令，需要研究專門的機(jī)制以保證指令的正確性。

（3）高效的災(zāi)難恢復(fù)機(jī)制：在處理發(fā)生失誤而使攻擊者攻擊成功后，如何將攻擊所造成的損失降低到最小程度，并盡快從災(zāi)難中恢復(fù)到正常工作狀態(tài)，是物聯(lián)網(wǎng)智能處理層的另一重要問題，也是一個重大挑戰(zhàn)，尤其針對物聯(lián)網(wǎng)中的移動設(shè)備，需要研究專門的移動設(shè)備識別、定位和追蹤機(jī)制以及移動設(shè)備文件（包括秘密文件）的可備份和恢復(fù)機(jī)制等。

5.應(yīng)用層

5.1. 應(yīng)用層的特點(diǎn)

應(yīng)用層主要是為了利用處理層的智能處理結(jié)果，而實現(xiàn)用戶定制的智能化服務(wù)，其主要特點(diǎn)有：

（1）應(yīng)用層將會有大量的不同需求的用戶進(jìn)行訪問請求：一個應(yīng)用的設(shè)計將會有不同的用戶來進(jìn)行訪問，而不同的用戶將會有著不同的需求。

（2）利用處理層的智能結(jié)果來達(dá)到智能應(yīng)用：應(yīng)用層的最主要的任務(wù)就是要利用處理層的智能結(jié)果，從而實現(xiàn)用戶定制的智能化服務(wù)。

（3）存儲了大量的敏感信息：物聯(lián)網(wǎng)中的信息特別是企業(yè)信息或者私人信息，所以在應(yīng)用層中還是存在著大量敏感的信息。

（4）具有大量的知識產(chǎn)權(quán)：物聯(lián)網(wǎng)的主要市場將是商業(yè)應(yīng)用，在商業(yè)應(yīng)用中存在大量需要保護(hù)的知識產(chǎn)權(quán)產(chǎn)品，包括電子產(chǎn)品和軟件等。

5.2. 應(yīng)用層面臨的安全威脅

（1）如何根據(jù)不同訪問權(quán)限對同一數(shù)據(jù)庫內(nèi)容進(jìn)行篩選

由于對于每一個應(yīng)用有著大量的用戶進(jìn)行訪問，那么就應(yīng)該針對不同權(quán)限的用戶要進(jìn)行不同的訪問控制，其能得到的功能和數(shù)據(jù)也將會有所不同，這是在應(yīng)用層的使用中需要面對的一個安全挑戰(zhàn)。

（2）用戶隱私信息保護(hù)問題

物聯(lián)網(wǎng)應(yīng)用層存儲著大量的用戶隱私信息，而且也極容易被跟蹤，那么要如何對這些隱私信息進(jìn)行保護(hù)，如何使用正確、有效的認(rèn)證機(jī)制來達(dá)到保護(hù)隱私的效果是在應(yīng)用層要解決的問題。

（3）信息泄露追蹤問題

在應(yīng)用層存在著大量處理層的智能處理結(jié)果，很多數(shù)據(jù)都是敏感數(shù)據(jù)，從而就會導(dǎo)致很多入侵者試圖進(jìn)行入侵獲取這些敏感信息。那么，如何才能夠防止這些信息的泄露和被跟蹤的問題也是要面臨的安全挑戰(zhàn)。

（4）如何進(jìn)行計算機(jī)取證

在使用互聯(lián)網(wǎng)的商業(yè)活動中，特別是在物聯(lián)網(wǎng)環(huán)境的商業(yè)活動中，無論采取了什么技術(shù)措施，都難免惡意行為的發(fā)生。如果能根據(jù)惡意行為所造成后果的嚴(yán)重程度給予相應(yīng)的懲罰，那么就可以減少惡意行為的發(fā)生。技術(shù)上，這需要搜集相關(guān)證據(jù)。因此，計算機(jī)取證就顯得非常重要，當(dāng)然這有一定的技術(shù)難度，主要是因為計算機(jī)平臺種類太多，包括多種計算機(jī)操作系統(tǒng)、虛擬操作系統(tǒng)、移動設(shè)備操作系統(tǒng)等。

5.3. 現(xiàn)有的解決方案

對于應(yīng)用層的相關(guān)威脅，現(xiàn)有的解決方案有：

（1）訪問控制技術(shù)

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它可以限制對關(guān)鍵資源的訪問，防止非法用戶的侵入或合法用戶的不慎操作所造成的破壞。Eberhard Grummt等人[19]于2008年的第一屆物聯(lián)網(wǎng)大會（The Internet of Things,IOT）上針對EPCIS協(xié)議不具有訪問限制權(quán)限的問題，設(shè)計了一種專門用于描述大規(guī)模EPCIS事件中訪問權(quán)限的上下文感知策略語言，并提出一種新的基于規(guī)則的訪問協(xié)議，通過定義訪問規(guī)則來限制用戶訪問權(quán)限，加強(qiáng)了信息的安全性。

（2）匿名簽名、匿名認(rèn)證

匿名技術(shù)是一種保護(hù)用戶的身份和位置信息不被泄露的有效解決方案。Joaquin Garcia-Alfaro等人[20]針對現(xiàn)有ONS服務(wù)中隱私泄漏的問題，基于免費(fèi)軟件Tor（The second generation Onion Router）實現(xiàn)了匿名的ONS查詢服務(wù)，并對結(jié)果進(jìn)行了相應(yīng)的分析評估。為解決ONS查詢中的隱私信息泄漏問題提供了一種較好的思路和指導(dǎo)。

5.4. 后續(xù)研究面臨的主要安全挑戰(zhàn)

（1）基于用戶隱私信息保護(hù)的認(rèn)證機(jī)制：不僅僅是在感知層中存在著用戶的隱私信息，在應(yīng)用層同樣存在著用戶的一些隱私信息而且也極容易被跟蹤，那么要如何對這些隱私信息進(jìn)行保護(hù)，如何使用正確、有效的認(rèn)證機(jī)制來達(dá)到保護(hù)隱私的效果是在應(yīng)用層要解決的問題。

（2）有效的防止信息泄露和追蹤手段：在應(yīng)用層存在著大量處理層的智能處理結(jié)果，很多數(shù)據(jù)都是敏感數(shù)據(jù)，從而就會導(dǎo)致很多入侵者試圖進(jìn)行入侵獲取這些敏感信息。因此，如何才能夠防止這些信息的泄露和被跟蹤的問題也是要面臨的安全挑戰(zhàn)。

（3）物聯(lián)網(wǎng)網(wǎng)絡(luò)安全事件的綜合分析與發(fā)現(xiàn)：物聯(lián)網(wǎng)中各種網(wǎng)絡(luò)安全信息數(shù)據(jù)量大，來源復(fù)雜，包括從傳感網(wǎng)、從核心網(wǎng)、Internet以及應(yīng)用層等各個層次發(fā)現(xiàn)的網(wǎng)絡(luò)安全事件，如何對這些不同來源、不同格式的網(wǎng)絡(luò)安全事件進(jìn)行關(guān)聯(lián)分析、數(shù)據(jù)挖掘，實時發(fā)現(xiàn)全網(wǎng)的各種安全事件，特別是重大網(wǎng)絡(luò)安全事件，并對重大網(wǎng)絡(luò)安全事件進(jìn)行追蹤溯源和定位，預(yù)測其發(fā)展趨勢，這些都是需要深入研究的問題。

（4）物聯(lián)網(wǎng)安全監(jiān)控體系架構(gòu)：龐大且多樣化的物聯(lián)網(wǎng)平臺必然需要一個強(qiáng)大而統(tǒng)一的安全管理平臺，否則獨(dú)立的平臺會被各式各樣的物聯(lián)網(wǎng)應(yīng)用所淹沒。物聯(lián)網(wǎng)安全監(jiān)控涉及到感知層、網(wǎng)絡(luò)層以及應(yīng)用層等方面的問題，目前已有的研究都分散在各個研究點(diǎn)分別進(jìn)行物聯(lián)網(wǎng)安全的研究，如何建立統(tǒng)一的、可集成的物聯(lián)網(wǎng)安全監(jiān)控體系架構(gòu)，實現(xiàn)感知層、網(wǎng)絡(luò)層以及應(yīng)用層安全聯(lián)動，同時支持與互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)控的集成和互操作是物聯(lián)網(wǎng)安全研究面臨的主要挑戰(zhàn)問題之一。

6.總結(jié)

本文討論了當(dāng)前物聯(lián)網(wǎng)發(fā)展中面臨的安全問題，通過對物聯(lián)網(wǎng)的核心結(jié)構(gòu)的具體分析，使得讀者能夠真正的了解現(xiàn)在物聯(lián)網(wǎng)面臨的安全挑戰(zhàn)。隨著物聯(lián)網(wǎng)的進(jìn)一步發(fā)展，安全、隱私問題將日益突出，而關(guān)于物聯(lián)網(wǎng)安全的研究還處于起步階段，仍然面臨著很多的安全挑戰(zhàn)。因此，關(guān)于物聯(lián)網(wǎng)的安全研究任重而道遠(yuǎn)。

[1] International Telecommunication Union UIT．N’U Internet Reports 2005：The Internet of Things[R]．2005．

[2] GUSTAVO R G MARIO M O，CARLOS DK．Early infrastructure of all Internet of Things in Spaces for Learning[C]．Eighth IEEE International Conference on Advanced Learning Technologies。2008：381—383．

[3] AMARDEO C，SARMA，J G Identities in the Future Internet of Things[J]．Wireless Pers Commun 2009．49： 353—363．

[4] C. Roberts. Radio frequency identication (RFID). Computers & Security, 25(1):18{26, 2006.

[5] S. Sarma, S. Weis, and D. Engels. RFID systems and security and privacy implications. Cryptographic Hardware and Embedded Systems-CHES 2002.

[6] S. Weis, S. Sarma, R. Rivest, and D. Engels. Security and privacy aspects of low-cost radio frequency identi_cation systems. Security in Pervasive Computing, pages 50-59, 2003.

[7] D. Henrici and P. Muller. Hash-based enhancement of location privacy for radio-frequency identication devices using varying identiers. In Proceedings of the Second IEEE Annual Conference on Pervasive Computing and Communications Workshops, page 149. IEEE Computer Society, 2004.

[8] M. Ohkubo, K. Suzuki, and S. Kinoshita. Hash-chain based forward-secure privacy protection scheme for low-cost RFID. In Proceedings of the SCIS, volume 2004, pages 719-724, 2004.

[9] A. Machanavajjhala, D. Kifer, J. Gehrke, and M. Venkitasubramaniam. ldiversity: Privacy beyond k-anonymity. ACM Transactions on Knowledge Discovery from Data (TKDD), 1(1):3, 2007.

[10] C.M. Medaglia, A. Serbanati, An overview of privacy and security issues in the internet of things, in: Proceedings of TIWDC 2009, Pula, Italy, September 2009.

[11] Divyan M. Konidala, Woan-Sik Kim, and Kwangjo Kim. Security assessment of epcglobal architecture framework. Technical report, Auto-ID Labs, 2007.

[12] Yong Ki Lee, Lejla Batina, and Ingrid Verbauwhede .Privacy Challenges in RFID Systems. The Internet of Things: 20th Tyrrhenian Workshop on Digital Communications.

[13] Christoph P. Mayer. Security and Privacy Challenges in the Internet of Things. WowKiVS 2009. 2009,Volume 17.

[14] Olivier Savry and Franc?ois Vacherand. Security and Privacy Protection of Contactless Devices. The 20th Tyrrhenian Workshop on digital communication. pages 409-419.

[15] 郝文江，武捷，物聯(lián)網(wǎng)技術(shù)安全問題探析，信息網(wǎng)絡(luò)安全，2010.1.

[16] 韓燕波，趙卓峰等，物聯(lián)網(wǎng)與云計算，中國計算機(jī)學(xué)會通訊，第6卷，第2期，2010.2.

[17] 張艷，李舟軍，何德全. 災(zāi)難備份和恢復(fù)技術(shù)的現(xiàn)狀與發(fā)展. 計算機(jī)工程與科學(xué). Vol．27，No．2，2005. 107-110.

[18] 蔣建春 馬恒太 任黨恩 卿斯?jié)h. 網(wǎng)絡(luò)安全入侵檢測:研究綜述[J].軟件學(xué)報.2000年第11期.

[19] Eberhard Grummt and Markus Müller. Fine-grained Access Control for EPC Information Services. In Christian Floerkemeier and Marc Langheinrich, editors, The Internet of Things 2008, volume 4952 of LNCS, pages 35-49. Springer-Verlag Berlin Heidelberg, March 2008.

[20] Garcia-Alfaro, J. Barbeau, M. Kranakis, E. Evaluation of Anonymized ONS Queries. Security of Autonomous and Spontaneous Networks (SETOP 2008), pp. 47-60. Loctudy, France, 2008.