楊悅梅　宋執(zhí)環(huán)

摘 要：隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展，物聯(lián)網(wǎng)在工業(yè)領(lǐng)域的應(yīng)用也日益廣泛，但物聯(lián)網(wǎng)的安全隱患為其在工業(yè)領(lǐng)域的應(yīng)用提出了新的挑戰(zhàn)。通過建立工業(yè)物聯(lián)網(wǎng)的四層體系架構(gòu)，詳細分析了其體系結(jié)構(gòu)中全面感知層、可靠傳輸層、智能處理層、綜合應(yīng)用層存在的安全風(fēng)險，同時對工業(yè)物聯(lián)網(wǎng)安全防護的關(guān)鍵技術(shù)進行了初步探討。

關(guān)鍵詞：工業(yè)物聯(lián)網(wǎng)；安全風(fēng)險；安全防護；感知層

中圖分類號：TP316 文獻標識碼：A 文章編號：2095-1302（2015）03-00-03

0 引 言

物聯(lián)網(wǎng)是在互聯(lián)網(wǎng)的基礎(chǔ)上，通過無線射頻識別（Radio Frequency Identification）技術(shù)、全球定位系統(tǒng)（Global Positioning System）以及紅外感應(yīng)器、激光掃描器等信息傳感設(shè)備，依據(jù)相關(guān)技術(shù)協(xié)議，將任意物品與互聯(lián)網(wǎng)進行聯(lián)接，開展數(shù)據(jù)通信以及信息交換，最終實現(xiàn)智能化識別、定位、跟蹤、監(jiān)管等功能。但物聯(lián)網(wǎng)的安全隱患成為制約物聯(lián)網(wǎng)發(fā)展的一大瓶頸。物聯(lián)網(wǎng)是跟物理世界打交道的，無論是智能交通、智能電網(wǎng)、智能醫(yī)療還是橋梁檢測、災(zāi)害監(jiān)測，一旦出現(xiàn)問題就會涉及實體的損失，這也對物聯(lián)網(wǎng)在工業(yè)項目中的具體應(yīng)用提出了新的挑戰(zhàn)。

從當前技術(shù)發(fā)展和應(yīng)用前景來看，工業(yè)物聯(lián)網(wǎng)的具體應(yīng)用主要集中在以下層面：

（1）制造業(yè)供應(yīng)鏈管理。工業(yè)物聯(lián)網(wǎng)項目通常會應(yīng)用于企業(yè)的原材料采購、庫存管理、下游銷售等環(huán)節(jié)，通過具體的工業(yè)物聯(lián)網(wǎng)技術(shù)完善、優(yōu)化整個供應(yīng)鏈的管理架構(gòu)，提升整體效率，降低生產(chǎn)損耗與管理成本；

（2）生產(chǎn)過程工藝優(yōu)化。通過應(yīng)用工業(yè)物聯(lián)網(wǎng)技術(shù)可以優(yōu)化生產(chǎn)線過程檢測流程、完成生產(chǎn)參數(shù)實時采集和生產(chǎn)設(shè)備實時監(jiān)控，并提升生產(chǎn)材料消耗監(jiān)測水準，實現(xiàn)生產(chǎn)過程的智能監(jiān)控和智能控制，形成智能診斷與智能決策機制，使得企業(yè)智能維護水平不斷提高；

（3）產(chǎn)品設(shè)備監(jiān)控管理。通過傳感器和網(wǎng)絡(luò)對設(shè)備進行在線監(jiān)測和實時監(jiān)控，并提供設(shè)備維護和故障診斷的解決方案；

（4）環(huán)保監(jiān)測及能源管理。物聯(lián)網(wǎng)與環(huán)保設(shè)備的融合實現(xiàn)了對工業(yè)生產(chǎn)過程中產(chǎn)生的各種污染源及污染治理各環(huán)節(jié)關(guān)鍵指標的實時監(jiān)控；

（5）工業(yè)安全生產(chǎn)管理。把感應(yīng)器嵌入和裝配到礦山設(shè)備、油氣管道、礦工設(shè)備中，可以感知危險環(huán)境中工作人員、設(shè)備機器、周邊環(huán)境等方面的安全狀態(tài)信息，將現(xiàn)有的網(wǎng)絡(luò)監(jiān)管平臺提升為系統(tǒng)、開放、多元的綜合網(wǎng)絡(luò)監(jiān)管平臺，實現(xiàn)實時感知、準確辨識、快捷響應(yīng)及有效控制。

1 工業(yè)物聯(lián)網(wǎng)的安全風(fēng)險分析

工業(yè)物聯(lián)網(wǎng)的三個特征是全面感知、可靠傳輸、智能處理，系統(tǒng)通過網(wǎng)絡(luò)通信協(xié)議協(xié)調(diào)各模塊之間的操作時序，從而實現(xiàn)整個系統(tǒng)的自我感知和判斷、自我調(diào)節(jié)和控制等。按各層次結(jié)構(gòu)和業(yè)務(wù)可以將工業(yè)物聯(lián)網(wǎng)分為全面感知層、可靠傳輸層、智能處理層、綜合應(yīng)用層。工業(yè)物聯(lián)網(wǎng)的體系架構(gòu)如圖1所示。

1.1 全面感知層的安全風(fēng)險

全面感知層由感知子系統(tǒng)和控制子系統(tǒng)構(gòu)成，主要通過智能嵌入式芯片負責(zé)從物理世界采集原始信息，并根據(jù)系統(tǒng)指令改造物理世界，實現(xiàn)對物理世界的標識、感知、協(xié)同和互動。典型的設(shè)備包括RFID裝置、各類傳感器、圖像采集裝置、執(zhí)行器單元以及全球定位系統(tǒng)（GPS）。全面感知層可以說是工業(yè)物聯(lián)網(wǎng)中最脆弱的部分，它的架構(gòu)特點是本身組成局部傳感網(wǎng)，并通過網(wǎng)關(guān)節(jié)點與外網(wǎng)連接，因此這一層次可能受到局域網(wǎng)內(nèi)部和通過網(wǎng)關(guān)節(jié)點的外部兩方面威脅，一旦傳感層的節(jié)點（普通節(jié)點或網(wǎng)關(guān)節(jié)點）受來自于網(wǎng)絡(luò)的數(shù)據(jù)攻擊（例如DDoS攻擊）；傳感層的普通節(jié)點就有可能被外部攻擊者屏蔽，嚴重影響傳感層可靠性，繼而導(dǎo)致傳感層的普通節(jié)點被外部攻擊者控制，丟失節(jié)點密鑰；最終傳感層的網(wǎng)關(guān)節(jié)點就會被外部攻擊者完全掌控；導(dǎo)致接入到物聯(lián)網(wǎng)的超大量傳感節(jié)點的標識、識別、認證和控制都會產(chǎn)生問題。

1.2 可靠傳輸層的安全風(fēng)險

可靠傳輸層保證感知數(shù)據(jù)在異構(gòu)網(wǎng)絡(luò)中的可靠傳輸，其功能相當于TCP/IP結(jié)構(gòu)中的網(wǎng)絡(luò)層和傳輸層，包括信息傳輸和識別、數(shù)據(jù)存儲、數(shù)據(jù)壓縮和恢復(fù)。構(gòu)成該層的要素包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、通信協(xié)議以及通信協(xié)議間的協(xié)調(diào)機制。可靠傳輸層的安全主要是傳統(tǒng)互聯(lián)網(wǎng)、移動網(wǎng)、專業(yè)網(wǎng)（如國家電力數(shù)據(jù)網(wǎng)、廣播電視網(wǎng)等）、三網(wǎng)融合通信平臺（跨越單一網(wǎng)絡(luò)架構(gòu)）等基礎(chǔ)性網(wǎng)絡(luò)的安全，其可能受到的安全威脅有：垃圾數(shù)據(jù)傳播（垃圾郵件、病毒等）；假冒攻擊、中間人攻擊等（存在于所有類型的網(wǎng)絡(luò)）；DDoS攻擊（來源于互聯(lián)網(wǎng)，可擴展到移動和無線網(wǎng)）；跨異構(gòu)網(wǎng)絡(luò)的攻擊（互聯(lián)網(wǎng)、移動網(wǎng)等互聯(lián)情況下）；新型針對三網(wǎng)融合通信平臺的攻擊等。

圖1 工業(yè)物聯(lián)網(wǎng)的體系架構(gòu)

1.3 智能處理層的安全風(fēng)險

智能處理層由多個具有不同功能的智能處理平臺組成，并采用網(wǎng)格運算或云計算的方式調(diào)配、組織這些平臺的運算能力。智能處理平臺的處理層會依據(jù)需求將原始感知數(shù)據(jù)以不同的格式進行處理，從而實現(xiàn)同一感知數(shù)據(jù)在不同應(yīng)用系統(tǒng)間的數(shù)據(jù)共享，同時根據(jù)感知數(shù)據(jù)和應(yīng)用層用戶指令進行智能決策、調(diào)控子系統(tǒng)內(nèi)部的預(yù)設(shè)規(guī)則，改變控制子系統(tǒng)的運行狀態(tài)。智能處理層的安全風(fēng)險主要包括數(shù)據(jù)智能處理失控、非法人為干預(yù)（內(nèi)部攻擊）、設(shè)備（特別移動設(shè)備）丟失等，由于將工業(yè)控制系統(tǒng)引入到其中，所面臨的風(fēng)險主要有：智能平臺受到病毒的威脅；阻塞、欺騙、拒絕服務(wù)等使控制命令延遲或失真，導(dǎo)致系統(tǒng)無法進入穩(wěn)定狀態(tài)；自動控制平臺受到攻擊導(dǎo)致失控（可控性是工業(yè)安全重要指標之一）；容災(zāi)性差，災(zāi)難造成的后果無法有效控制和恢復(fù)。

1.4 綜合應(yīng)用層的安全風(fēng)險

綜合應(yīng)用層面向終端用戶提供個性化業(yè)務(wù)，包括身份認證、隱私保護等，同時面向協(xié)同處理層，預(yù)留人機交互接口并提供用戶操作指令，用戶通過這些接口可以使用TV端、PC端、移動端等多終端設(shè)備對網(wǎng)絡(luò)進行訪問。綜合應(yīng)用層具有多樣性和不確定性的特點，不同的工業(yè)現(xiàn)場應(yīng)用環(huán)境對安全有不同的需求，其面臨的威脅也呈現(xiàn)出多樣化：超大量終端、海量數(shù)據(jù)、異構(gòu)網(wǎng)絡(luò)和多樣化系統(tǒng)下的多種不同安全問題，有些安全威脅難以預(yù)測；數(shù)據(jù)共享是物聯(lián)網(wǎng)應(yīng)用層的特征之一，但數(shù)據(jù)共享可能帶來數(shù)據(jù)隱私性、訪問權(quán)限可控性、信息泄露追蹤等方面的問題；應(yīng)用場景的不同將決定對安全需求的不同，例如隱私保護問題就是在特殊應(yīng)用環(huán)境中出現(xiàn)的。

2 工業(yè)物聯(lián)網(wǎng)安全及防護關(guān)鍵技術(shù)

在當前的物聯(lián)網(wǎng)技術(shù)水平下，大多數(shù)工業(yè)物聯(lián)網(wǎng)體系的構(gòu)建都是以現(xiàn)有的移動網(wǎng)絡(luò)為基礎(chǔ)，再將工業(yè)感知網(wǎng)絡(luò)和工業(yè)應(yīng)用平臺整合、聚集而成，因此大部分的移動網(wǎng)絡(luò)安全機制仍然可以適用于此并提供一定程度的安全性保障，如安全認證機制、安全加密機制等。此外，在傳統(tǒng)網(wǎng)絡(luò)體系結(jié)構(gòu)中，網(wǎng)絡(luò)層與業(yè)務(wù)層在安全及防護層面是互相隔斷且獨立的，而工業(yè)物聯(lián)網(wǎng)則因構(gòu)成方式而具備自身的特殊性，故而需要根據(jù)其特征對安全機制進行相應(yīng)的補充和調(diào)整。

2.1 工業(yè)物聯(lián)網(wǎng)中的業(yè)務(wù)認證機制

傳統(tǒng)認證過程中，網(wǎng)絡(luò)層認證和業(yè)務(wù)層認證都只負責(zé)各自層面的身份鑒別，兩者互相獨立；而工業(yè)物聯(lián)網(wǎng)中的設(shè)備一般都擁有特定用途，因此多數(shù)情況下其業(yè)務(wù)層的應(yīng)用與網(wǎng)絡(luò)通信緊密捆綁，基于此，加之網(wǎng)絡(luò)層認證的不可或缺性，則其業(yè)務(wù)層認證機制不再必需，可以根據(jù)業(yè)務(wù)提供方的不同和安全敏感程度的高低來進行設(shè)計。

具體來看，可以通過以下幾種情況為例：（1）工業(yè)物聯(lián)網(wǎng)的業(yè)務(wù)由運營商提供，可以跳過業(yè)務(wù)層認證，只采納網(wǎng)絡(luò)層認證結(jié)果即可；（2）工業(yè)物聯(lián)網(wǎng)的業(yè)務(wù)由第三方提供，且無法通過網(wǎng)絡(luò)運營商獲得安全參數(shù)，可以不考慮網(wǎng)絡(luò)層認證結(jié)果，發(fā)起獨立的業(yè)務(wù)層認證；（3）當工業(yè)物聯(lián)網(wǎng)所涉及的業(yè)務(wù)敏感度較高，如軍事類業(yè)務(wù)等，業(yè)務(wù)提供者一般情況下無法采信網(wǎng)絡(luò)層認證結(jié)果，會使用更高級別的業(yè)務(wù)層認證；（4）當工業(yè)物聯(lián)網(wǎng)涉及普通業(yè)務(wù)，如氣溫采集業(yè)務(wù)等，業(yè)務(wù)提供者認為網(wǎng)絡(luò)認證的結(jié)果可以采信，則無需再進行業(yè)務(wù)層認證。

2.2 工業(yè)物聯(lián)網(wǎng)中的加密機制

傳統(tǒng)的加密機制中，網(wǎng)絡(luò)層采用逐跳加密機制，而業(yè)務(wù)層則采用端到端加密機制，兩者具有很大的區(qū)別；逐跳加密機制可以保證信息在傳輸過程中是加密的，但是需要在途經(jīng)節(jié)點之上不斷地進行解密和加密，即信息在每個節(jié)點上都是明文的；端到端加密機制可以保證信息在傳輸過程和轉(zhuǎn)發(fā)節(jié)點上都是密文，只在發(fā)送端和接收端才是明文。在目前的工業(yè)物聯(lián)網(wǎng)應(yīng)用中，網(wǎng)絡(luò)連接和業(yè)務(wù)使用密切相關(guān)，因而面臨到底是使用逐跳加密機制還是端到端加密機制的選擇。

逐跳加密機制是在網(wǎng)絡(luò)層進行的，因而適用于所有業(yè)務(wù)，不同的業(yè)務(wù)可以通過統(tǒng)一的工業(yè)物聯(lián)網(wǎng)業(yè)務(wù)平臺進行安全管理，從而實現(xiàn)安全機制對業(yè)務(wù)的透明；此外，逐跳加密機制可以只針對有保護需求的鏈接進行信息加密，這就保證了逐跳加密機制的低時延性、低成本性、高效率性和高擴展性等特點。但是，逐跳加密機制需要在各傳送節(jié)點對加密信息進行解密的特性也導(dǎo)致各節(jié)點都有可能泄露加密信息的明文，因而對傳輸路徑中各傳送節(jié)點提出了很高的可信任度要求。

采用端到端加密機制時，一般會根據(jù)所涉及的業(yè)務(wù)類型選擇不同的安全策略，從而為高安全要求的業(yè)務(wù)提供高安全等級的保護。但是，端到端加密機制中每一個消息所經(jīng)過的節(jié)點都要以消息最終目的地址來確定消息的傳輸方式，因而不能對此目的地址進行保護，這就導(dǎo)致端到端加密機制不能掩蓋被傳輸消息的源點與終點，其通信業(yè)務(wù)過程容易受到分析而遭受惡意攻擊。此外，從國家安全的角度來看，端到端加密機制也無法滿足國家合法監(jiān)聽的實際需求。

綜上所述可知，對于安全要求不是很高的普通業(yè)務(wù)，網(wǎng)絡(luò)層逐跳加密機制已經(jīng)能夠提供足夠的安全防護，因而業(yè)務(wù)層端到端加密機制并不是必需的；但是一旦涉及高安全需求的業(yè)務(wù)，仍然首選端到端加密機制。因而，可以依據(jù)工業(yè)物聯(lián)網(wǎng)業(yè)務(wù)項目具體的安全級別需求而選擇相應(yīng)的加密機制。

2.3 大規(guī)模實體身份標識和認證技術(shù)

在實際的工業(yè)物聯(lián)網(wǎng)項目應(yīng)用過程中，通常會采用外部網(wǎng)絡(luò)與末梢網(wǎng)絡(luò)節(jié)點間的雙向認證技術(shù)來實現(xiàn)網(wǎng)絡(luò)與實體之間的互信機制，這部分技術(shù)主要在傳輸層實現(xiàn)，包括安全密碼算法（對稱和公鑰密碼）的設(shè)計、密鑰管理、節(jié)點對節(jié)點機密性、端對端機密性、強認證協(xié)議、密碼算法和密碼協(xié)議標準化等內(nèi)容。但是，在現(xiàn)有的技術(shù)環(huán)境下，雙向認證還必須考慮以下兩個現(xiàn)實問題：（1）末梢網(wǎng)絡(luò)資源通常是非常有限的，認證過程中必須充分地認識到這一點，因而認證機制所涉及的計算量和通信開銷必須盡可能小；（2）對外部網(wǎng)絡(luò)而言，其連接的末梢網(wǎng)絡(luò)數(shù)量巨大，且結(jié)構(gòu)不盡相同，要在如此復(fù)雜的環(huán)境下建立一個高效的識別機制，以區(qū)分這些網(wǎng)絡(luò)及其內(nèi)部節(jié)點，并賦予唯一的身份標識，需要完善的解決方案。

2.4 工業(yè)物聯(lián)網(wǎng)中的網(wǎng)隱私保護技術(shù)

企業(yè)用戶和個人用戶在享受物聯(lián)網(wǎng)個性化服務(wù)的同時，也會因為“無處不在”的網(wǎng)絡(luò)環(huán)境和“無孔不入”的網(wǎng)絡(luò)黑客而面臨自身隱私信息泄露的可能；此外，工業(yè)物聯(lián)網(wǎng)項目任務(wù)通常由多個網(wǎng)絡(luò)節(jié)點協(xié)同完成，協(xié)作過程中節(jié)點的數(shù)據(jù)輸出也會造成隱私泄露。因此，如何兼顧用戶隱私機密性和系統(tǒng)數(shù)據(jù)分析處理效率，是一個亟待解決的問題。

目前在工業(yè)物聯(lián)網(wǎng)應(yīng)用層面，隱私保護技術(shù)主要集中在數(shù)據(jù)發(fā)布、數(shù)據(jù)挖掘以及無線傳感網(wǎng)等領(lǐng)域，具體的隱私保護方法可以分為3類：

（1）匿名化方法：該方法主要通過將敏感信息進行模糊化來保護隱私，即對原始信息的局部或全局敏感數(shù)據(jù)進行修改或隱藏。

（2）加密方法：該方法是基于數(shù)據(jù)加密的保護方法，通過密碼機制實現(xiàn)了原始數(shù)據(jù)對于他方的不可見性，同時還保證了數(shù)據(jù)的無損失性，兼顧了數(shù)據(jù)的機密性和隱私性。目前使用最多的加密方法是同態(tài)加密技術(shù)和安全多方計算SMC。同態(tài)加密技術(shù)最初由Rivest等人于1978年提出，是一種以代數(shù)理論為基礎(chǔ)的加密變換技術(shù)，允許用戶直接對密文進行操作，后期Domingo等人完善并改進了該技術(shù)，該算法的同態(tài)性可以保證用戶對敏感數(shù)據(jù)進行安全操作，避免數(shù)據(jù)信息的泄露。SMC是一種利用加密機制形成交互計算的協(xié)議，可以實現(xiàn)無信息泄露的分布式安全計算，參與該計算的各實體均以私有數(shù)據(jù)參與協(xié)作計算過程，一旦計算完成，各方只能得到正確的數(shù)據(jù)結(jié)果，無法觸及他人隱私數(shù)據(jù)，即兩個或多個站點通過某種協(xié)議完成計算后，任何一方只能得到自己輸入的數(shù)據(jù)和相關(guān)的計算結(jié)果。

（3）路由協(xié)議方法：該方法一般用于無線傳感網(wǎng)中節(jié)點位置的隱私保護，一般基于隨機路由策略，即數(shù)據(jù)包的每次傳輸并不都是從源節(jié)點傳輸至匯聚節(jié)點方向，轉(zhuǎn)發(fā)節(jié)點會以一定的概率將數(shù)據(jù)包向遠離匯聚節(jié)點的方向進行傳輸，同時傳輸路徑也是變化的，每一個數(shù)據(jù)包的傳輸路徑都隨機產(chǎn)生，這就使得攻擊者很難獲取節(jié)點的準確位置信息，從而達成安全防護目標。

2.5 工業(yè)物聯(lián)網(wǎng)中的安全控制技術(shù)

工業(yè)物聯(lián)網(wǎng)技術(shù)和傳統(tǒng)工業(yè)控制系統(tǒng)的結(jié)合，在產(chǎn)生額外效益的同時也帶來了新的安全問題，目前工業(yè)物聯(lián)網(wǎng)控制系統(tǒng)安全尚未形成成熟的研究模型和安全策略，相關(guān)研究還處于初期階段，主要集中在攻擊行為模式分析和魯棒網(wǎng)絡(luò)控制系統(tǒng)構(gòu)建兩個方面。因此，為了得到更具精準性和確定性的安全控制技術(shù)，需要更加細致地分析將物聯(lián)網(wǎng)引入工業(yè)控制系統(tǒng)后所產(chǎn)生的各種影響因素，將其納入安全控制分析模型之中，進行更深入的研究。

3 結(jié) 語

目前物聯(lián)網(wǎng)的安全問題已經(jīng)成為大家關(guān)注的焦點問題，尤其在工業(yè)物聯(lián)網(wǎng)的安全防護和評估的發(fā)展方面，我國尚無系統(tǒng)化的安全防護體系，也缺乏適用于工業(yè)物聯(lián)網(wǎng)在各領(lǐng)域的通用和專用安全標準和規(guī)范。因此建立全面的安全防御體系，并開發(fā)一系列的工業(yè)物聯(lián)網(wǎng)安全防護產(chǎn)品，以及制定針對工業(yè)網(wǎng)聯(lián)網(wǎng)的評估系列標準，不僅保證了人民的日常生活、安全生產(chǎn)活動，而且為社會的穩(wěn)定、基礎(chǔ)設(shè)施和戰(zhàn)略信息的安全提代了保障，對國家安全都具有重要戰(zhàn)略意義。

參考文獻

[1]楊金翠.物聯(lián)網(wǎng)環(huán)境下的控制安全關(guān)鍵技術(shù)研究[D].北京：北京郵電大學(xué)， 2013.

[2]朱云龍.物聯(lián)網(wǎng)應(yīng)用促進工業(yè)化水平持續(xù)提升[J].世界電信，2011（7）：50-53.

[3]宋慧欣.破解“工業(yè)控制系統(tǒng)信息安全”迷局[J].自動化博覽，2012（7）：30-35.

[4]錢萍，吳蒙.物聯(lián)網(wǎng)隱私保護研究與方法綜述[J].計算機應(yīng)用研究，2013（1）：13-20.

[5]周水庚，李豐.面向數(shù)據(jù)庫應(yīng)用的隱私保護研究綜述[J].計算機學(xué)報，2009，32（5）：847-861.

[6]RIVEST R L，ADLEMAN L.On data banks andprivacy homomorphism[C]/ /Foundations of Secure Computation.New York：Academic Press，1978：169-179.

[7]李士寧.工業(yè)物聯(lián)網(wǎng)技術(shù)及應(yīng)用概述[J] .電信網(wǎng)技術(shù)，2014（3）：26-31.

[8]譚建平，柔衛(wèi)國.基于物聯(lián)網(wǎng)的一體化安全防范技術(shù)體系研究[J]. 湖南理工學(xué)院學(xué)報（自然科學(xué)版），2011（12）：46-51.