季承揚(yáng)

摘 要 信息物理系統(tǒng)自提出以來發(fā)展至今，因為其優(yōu)越的性能，吸引了各國各界的關(guān)注與投入，而信息物理系統(tǒng)面臨的安全威脅也成為了其建設(shè)與發(fā)展過程中不可忽視的問題。基于這一背景，文章以信息物理系統(tǒng)的結(jié)構(gòu)為綱，梳理了目前信息物理系統(tǒng)中存在的一些主要的安全威脅，旨在為信息物理系統(tǒng)安全與隱私保護(hù)提供借鑒。文章依照信息物理系統(tǒng)架構(gòu)——感知執(zhí)行層、數(shù)據(jù)傳輸層和應(yīng)用控制層，從3個方面總結(jié)了各部分的常見安全威脅，并就其威脅提出相應(yīng)的解決辦法以及建議。

關(guān)鍵詞 信息物理系統(tǒng)；安全威脅；措施

中圖分類號 TP3 文獻(xiàn)標(biāo)識碼 A 文章編號 1674-6708（2018）205-0111-02

現(xiàn)如今，計算機(jī)和數(shù)據(jù)通信技術(shù)得到了迅速的發(fā)展，這不但使得計算機(jī)、網(wǎng)絡(luò)等產(chǎn)物走進(jìn)了大眾視野，提高了人們的生活質(zhì)量和水平，更是逐漸進(jìn)入生產(chǎn)領(lǐng)域并成為其發(fā)展的重要動力。信息物理系統(tǒng)（cyber-physical systems，CPS）便是在這樣的背景中產(chǎn)生的，雖然現(xiàn)在仍處于起步階段，但以其優(yōu)越的性能引起了各界廣泛的重視。

信息物理系統(tǒng)作為一個具有采集、傳輸、處理數(shù)據(jù)并做出相應(yīng)應(yīng)對措施的復(fù)雜系統(tǒng)，其中應(yīng)用的專業(yè)知識跨越了諸如計算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)等多個領(lǐng)域。也正是因此，信息物理系統(tǒng)得以在生產(chǎn)生活中實現(xiàn)即時感應(yīng)、實時調(diào)控等功能，并在實踐中充分體現(xiàn)出實時性、高效性、自治性等諸多優(yōu)秀特點。鑒于這些特點，信息物理系統(tǒng)已經(jīng)成為學(xué)術(shù)界、工業(yè)界的重要發(fā)展方向之一。

1 信息物理系統(tǒng)概述

1.1 信息物理系統(tǒng)的概念

信息物理系統(tǒng)是計算機(jī)、通信、物理過程的總和，通過互聯(lián)網(wǎng)的連接組成各個自治的系統(tǒng)。信息物理系統(tǒng)主要就是將物理設(shè)備連接到互聯(lián)網(wǎng)上，物理設(shè)備定時的監(jiān)控環(huán)境信息。信息物理系統(tǒng)就是一個具有控制屬性的網(wǎng)絡(luò)，集合了計算、通信與控制的能力。末端物理設(shè)備對環(huán)境的感知和控制會實時將數(shù)據(jù)傳輸給系統(tǒng)進(jìn)行處理，實現(xiàn)現(xiàn)實世界和虛擬世界的相互協(xié)調(diào)和交互。

1.2 信息物理系統(tǒng)結(jié)構(gòu)分析

信息物理系統(tǒng)主要分為3個部分，分別是感知層、網(wǎng)絡(luò)層和控制層，感知層主要是由傳感器、控制器和采集器等設(shè)備組成。感知層中的傳感器作為信息物理系統(tǒng)中的末端設(shè)備，主要采集的是環(huán)境中的具體信息，比如智慧農(nóng)業(yè)系統(tǒng)感知層的傳感器就要測量大棚內(nèi)土壤的ph值，CO2的濃度，大棚的溫度等參數(shù)，或者說遠(yuǎn)程醫(yī)療系統(tǒng)中傳感器需要定時測量病人的血壓、脈搏等生命特征。感知層主要是通過傳感器獲取環(huán)境的信息數(shù)據(jù)，并定時地發(fā)送給服務(wù)器，服務(wù)器接收到數(shù)據(jù)之后進(jìn)行相應(yīng)的處理，再返回給物理末端設(shè)備相應(yīng)的信息，物理末端設(shè)備接收到數(shù)據(jù)之后要進(jìn)行相應(yīng)的變化；數(shù)據(jù)傳輸層主要是連接信息世界和物理世界的橋梁，主要實現(xiàn)的是數(shù)據(jù)傳輸，為系統(tǒng)提供實時的網(wǎng)絡(luò)服務(wù)，保證網(wǎng)絡(luò)分組的實時可靠；應(yīng)用控制層主要是根據(jù)認(rèn)知層的認(rèn)知結(jié)果，根據(jù)物理設(shè)備傳回來的數(shù)據(jù)進(jìn)行相應(yīng)的分析，將相應(yīng)的結(jié)果返回給客戶端以可視化的界面呈現(xiàn)給客戶。

2 信息物理系統(tǒng)存在的威脅

2.1 感知執(zhí)行層安全威脅

感知執(zhí)行層主要由各種物理傳感器等組成，是整個物理信息系統(tǒng)中信息的來源。為了適應(yīng)多變的環(huán)境，網(wǎng)絡(luò)節(jié)點多布置在無人監(jiān)管的環(huán)境中，因此易被攻擊者攻擊。

常見的針對感知執(zhí)行層的攻擊方式有：1）感知數(shù)據(jù)破壞：攻擊者未經(jīng)授權(quán)，對感知層獲取的信息進(jìn)行篡改、增刪或破壞等；2）信息竊聽：攻擊者通過搭線或利用傳輸過程中的電磁泄露獲取信息，造成數(shù)據(jù)隱私泄露等問題；3）節(jié)點捕獲：攻擊者對部分網(wǎng)絡(luò)節(jié)點進(jìn)行控制，可能導(dǎo)致密鑰泄露，危及整個系統(tǒng)的通信安全。

2.2 數(shù)據(jù)傳輸層安全威脅

數(shù)據(jù)傳輸層一般要接入網(wǎng)絡(luò)，而接入網(wǎng)絡(luò)本身就會給整個物理信息系統(tǒng)帶來威脅。一方面，作為鏈接感知層和控制層的數(shù)據(jù)傳輸?shù)耐ǖ?，其中傳輸?shù)男畔⒁壮蔀楣粽叩哪繕?biāo)；另一方面，由于接入網(wǎng)絡(luò)，數(shù)據(jù)傳輸層易受到攻擊。

數(shù)據(jù)傳輸層的主要安全威脅如下：1）拒絕服務(wù)攻擊：攻擊者通過先向服務(wù)器發(fā)送大量請求，使得服務(wù)器緩沖區(qū)爆滿而被迫停止接受新的請求，使系統(tǒng)崩潰從而影響合法用戶的使用；2）選擇性轉(zhuǎn)發(fā)：惡意節(jié)點在接收到數(shù)據(jù)后，不全部轉(zhuǎn)發(fā)所有信息，而是將部分或全部關(guān)鍵信息在轉(zhuǎn)發(fā)過程中丟掉，破壞了數(shù)據(jù)的完整性；3）方向誤導(dǎo)攻擊：惡意節(jié)點在接收到數(shù)據(jù)包后，對其源地址和目的地址進(jìn)行修改，使得數(shù)據(jù)包沿錯誤路徑發(fā)送出去，造成數(shù)據(jù)丟失或網(wǎng)絡(luò)混亂。

2.3 應(yīng)用控制層安全威脅

應(yīng)用控制層中數(shù)據(jù)庫中存放著大量用戶的隱私數(shù)據(jù)，因此在這一層中一旦發(fā)生攻擊就會出現(xiàn)大量隱私泄漏的問題。目前針對應(yīng)用層的主要威脅有：1）用戶隱私泄漏：用戶的所有的數(shù)據(jù)都存儲在應(yīng)用控制層中的數(shù)據(jù)庫中，其中包含用戶的個人資料等隱私的數(shù)據(jù)都存放在數(shù)據(jù)庫中，一旦數(shù)據(jù)庫被攻陷，就會導(dǎo)致用戶的隱私產(chǎn)生泄漏，造成很嚴(yán)重的影響；2）惡意代碼：惡意代碼是指在運行過程中會對系統(tǒng)造成不良影響的代碼庫，攻擊者一般會將這些代碼嵌入到注釋中，腳本一旦在系統(tǒng)中運行，就會對系統(tǒng)造成嚴(yán)重的后果；3）非授權(quán)訪問：對于一個系統(tǒng)來說，會有各種權(quán)限的管理者，比如超級管理員，對該系統(tǒng)有著最高的操作權(quán)限，一般管理員對該系統(tǒng)有部分的操作權(quán)限。非授權(quán)訪問指的就是攻擊者在未經(jīng)授權(quán)的情況下不合理的訪問本系統(tǒng)，攻擊者欺騙系統(tǒng)，進(jìn)入到本系統(tǒng)中對本系統(tǒng)執(zhí)行一些惡意的操作就會對本系統(tǒng)產(chǎn)生嚴(yán)重的影響。

3 防護(hù)措施

3.1 感知執(zhí)行層防護(hù)措施

感知執(zhí)行層主要由各種物理傳感器等組成，因此感知執(zhí)行層的安全主要涉及到各個結(jié)點的物理安全。因此，針對感知執(zhí)行層可能出現(xiàn)的物理攻擊，采取以下幾種安全措施進(jìn)行相應(yīng)的保護(hù)。

感知網(wǎng)絡(luò)層的物理傳感器一般放在無人的區(qū)域，缺少傳統(tǒng)網(wǎng)絡(luò)物理上的安全保障，節(jié)點容易受到攻擊。因此，在這些基礎(chǔ)結(jié)點上設(shè)計的初級階段就要充分考慮到各種應(yīng)用環(huán)境以及攻擊者的攻擊手段，建立有效的容錯機(jī)制，降低出錯率。endprint

對節(jié)點的身份進(jìn)行一定的管理和保護(hù)，對結(jié)點增加認(rèn)證和訪問控制，只有授權(quán)的用戶才能訪問相應(yīng)供應(yīng)結(jié)點的數(shù)據(jù)，這樣的設(shè)計能夠使未被授權(quán)的用戶訪問無法訪問結(jié)點的數(shù)據(jù)，有效地保障了感知網(wǎng)絡(luò)層的數(shù)據(jù)安全。

3.2 數(shù)據(jù)傳輸層防護(hù)措施

在數(shù)據(jù)傳輸層中采取安全措施的目的就是保障信息物理系統(tǒng)通信過程中的安全，主要包括數(shù)據(jù)的完整性、數(shù)據(jù)在傳輸過程中不被惡意篡改，以及用戶隱私不被泄露等。具體措施可以結(jié)合加密機(jī)制、路由機(jī)制等方面進(jìn)行闡述。

點對點加密機(jī)制。點對點加密機(jī)制可以在數(shù)據(jù)跳轉(zhuǎn)的過程中保證數(shù)據(jù)的安全性，由于在該過程中每個節(jié)點都是傳感器設(shè)備，獲取的數(shù)據(jù)都是沒有經(jīng)過處理的數(shù)據(jù)，也就是直接的數(shù)據(jù)，這些數(shù)據(jù)被攻擊者捕獲之后立即就能得到想要的結(jié)果，因此將每個節(jié)點上的數(shù)據(jù)進(jìn)行加密，加密完成之后再進(jìn)行傳輸可以降低被攻擊者解析出來的概率。

安全路由機(jī)制。安全路由機(jī)制就是數(shù)據(jù)在互聯(lián)網(wǎng)傳輸?shù)倪^程中，路由器轉(zhuǎn)發(fā)數(shù)據(jù)分組的時候如果遭遇攻擊，路由器依舊能夠進(jìn)行正確的進(jìn)行路由選擇，能夠在攻擊者破壞路由表的情況下構(gòu)建出新的路由表，做出正確的路由選擇，信息物理系統(tǒng)針對傳輸過程中各種安全威脅，應(yīng)該設(shè)計出更安全算法，建設(shè)更完善的安全路由機(jī)制。

3.3 應(yīng)用控制層防護(hù)措施

應(yīng)用控制層是信息物理系統(tǒng)決策的核心部分，所有的數(shù)據(jù)都是傳到應(yīng)用控制層處理的，因此，必須要對應(yīng)用控制層的數(shù)據(jù)的安全性和隱私性進(jìn)行保護(hù)。針對應(yīng)用控制層的安全措施有以下幾種，主要是加強(qiáng)不同應(yīng)用場景的身份認(rèn)證，在應(yīng)用控制層中，有系統(tǒng)管理員，高級管理員，對于系統(tǒng)，他們的管理權(quán)限不同，攻擊者可以欺騙系統(tǒng)進(jìn)而對系統(tǒng)采取不法的操作，因此加強(qiáng)不同應(yīng)用場景的身份認(rèn)證可以有效地保護(hù)系統(tǒng)使其不受攻擊者侵害。

4 總結(jié)和展望

信息物理系統(tǒng)作為一個新興領(lǐng)域，其發(fā)展和應(yīng)用前景都十分廣闊。信息物理系統(tǒng)通過現(xiàn)有技術(shù)與信息網(wǎng)絡(luò)，傳感器等物硬件設(shè)備的結(jié)合，可以實現(xiàn)實時感知、實時處理、科學(xué)決策和精確執(zhí)行。本文以信息物理系統(tǒng)的基本結(jié)構(gòu)為綱，介紹了信息物理系統(tǒng)當(dāng)下所面臨的安全威脅，并針對每個部分的現(xiàn)狀和具體特點進(jìn)行了安全措施的闡述。意在為解決信息物理系統(tǒng)的安全威脅提供借鑒。信息物理系統(tǒng)的發(fā)展盡管面臨著各方面的問題和挑戰(zhàn)，但若對這些問題處理得當(dāng)，必將為人類社會生產(chǎn)生活、交通、醫(yī)療等方面，提供極大的便利。

參考文獻(xiàn)

[1]王中杰，謝璐璐.信息物理融合系統(tǒng)研究綜述[J].自動化學(xué)報，2011，37（10）：1157-1166.

[2]楊光，耿貴寧，都婧，等.物聯(lián)網(wǎng)安全威脅與措施[J].清華大學(xué)學(xué)報（自然科學(xué)版），2011（10）：1335-1340.endprint