摘 要：隨著5G技術(shù)的提出和發(fā)展，物聯(lián)網(wǎng)將成為5G網(wǎng)絡(luò)技術(shù)下的直接受益者，盡管安全和隱私問(wèn)題愈加嚴(yán)重，但是諸如智慧辦公、智能家居等物聯(lián)網(wǎng)設(shè)備被更多的普通消費(fèi)者和企業(yè)采用。文章針對(duì)物聯(lián)網(wǎng)的大量設(shè)備攻擊、對(duì)數(shù)據(jù)中心和云服務(wù)為目的進(jìn)行的DDos攻擊繼續(xù)快速增長(zhǎng)問(wèn)題，分別從物聯(lián)網(wǎng)的感知層、傳輸層和應(yīng)用層介紹了可能存在的網(wǎng)絡(luò)安全隱患和安全防護(hù)措施，面對(duì)新的挑戰(zhàn)，需要更多的對(duì)物聯(lián)網(wǎng)安全密碼技術(shù)的研究，保證物聯(lián)網(wǎng)安全、高效地應(yīng)用。

關(guān)鍵詞：物聯(lián)網(wǎng);5G網(wǎng)絡(luò);數(shù)據(jù)中心;安全隱患;密碼技術(shù)

物聯(lián)網(wǎng)最早是從射頻識(shí)別和傳感網(wǎng)絡(luò)發(fā)展而來(lái)，是將射頻識(shí)別（Radio Frequency Identification，RFID）信號(hào)進(jìn)行遠(yuǎn)距離識(shí)別和處理的一種技術(shù)。隨著5G技術(shù)的發(fā)展，物聯(lián)網(wǎng)得到了廣泛的關(guān)注。物聯(lián)網(wǎng)需要更高質(zhì)量網(wǎng)絡(luò)的支持，包括更高的傳輸速率、更大的設(shè)備容量、更強(qiáng)的安全性等關(guān)鍵方面的改進(jìn)。5G網(wǎng)絡(luò)能為物聯(lián)網(wǎng)快速發(fā)展提供需要的技術(shù)，物聯(lián)網(wǎng)也將是5G網(wǎng)絡(luò)快速發(fā)展的重要受益者。但是越來(lái)越多的網(wǎng)絡(luò)安全攻擊使得物聯(lián)網(wǎng)變得非常不安全，網(wǎng)絡(luò)聯(lián)機(jī)的設(shè)備越多，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)就會(huì)越大，所以，保證物聯(lián)網(wǎng)安全刻不容緩。

由于物聯(lián)網(wǎng)連接的終端數(shù)將遠(yuǎn)超互聯(lián)網(wǎng)，處理的數(shù)據(jù)會(huì)比互聯(lián)網(wǎng)大很多，所以安全性問(wèn)題將會(huì)更加突出。物聯(lián)網(wǎng)從下到上可分為感知層、傳輸層、應(yīng)用層，需要對(duì)每一個(gè)層次的安全性做不同于傳統(tǒng)互聯(lián)網(wǎng)的區(qū)別對(duì)待，才能應(yīng)對(duì)可能的網(wǎng)絡(luò)安全隱患。物聯(lián)網(wǎng)3層體系結(jié)構(gòu)如圖1所示。物聯(lián)網(wǎng)的基礎(chǔ)是感知層，感知層是將物理世界和信息世界聯(lián)系起來(lái)的重要紐帶，包含大量具有通信、感知、識(shí)別能力的智能物體和感知網(wǎng)絡(luò)，與感知層相關(guān)的安全防護(hù)主要有設(shè)備認(rèn)證系統(tǒng)、固件簽名（Signed Firmware）和安全引導(dǎo)（Secure Boot）密碼的哈希加密與安全存儲(chǔ)等內(nèi)容，主要技術(shù)如射頻識(shí)別技術(shù)（Radio Frequency Identification，RFID）、Zig-Bee技術(shù)、藍(lán)牙技術(shù)和二維碼技術(shù)。傳輸層是物聯(lián)網(wǎng)的神經(jīng)中樞，包括網(wǎng)絡(luò)管理中心、智能處理中心、信息管理中心等，負(fù)責(zé)信息的傳遞和處理，與傳輸層相關(guān)的安全防護(hù)主要有節(jié)點(diǎn)認(rèn)證、安全的傳輸協(xié)議、分布式拒絕服務(wù)攻擊的防護(hù)等內(nèi)容。應(yīng)用層實(shí)現(xiàn)了廣泛的智能化，完成了行業(yè)需求與“社會(huì)分工”的結(jié)合，應(yīng)用層相關(guān)的安全防護(hù)主要有可信任的密鑰管理、安全的云計(jì)算平臺(tái)、建立物聯(lián)網(wǎng)安全認(rèn)證標(biāo)準(zhǔn)等內(nèi)容。本文將從物聯(lián)網(wǎng)3層體系結(jié)構(gòu)探討物聯(lián)網(wǎng)的安全問(wèn)題[1]。

1 感知層面臨的安全威脅和安全防護(hù)

1.1 感知層面臨的安全威脅

感知層信息采集的節(jié)點(diǎn)呈現(xiàn)多源性和異構(gòu)性，無(wú)法擁有比較高的安全防護(hù)等級(jí)。感知層的設(shè)備一般暴露于公共場(chǎng)所，信號(hào)容易被干擾，設(shè)備容易被破壞，數(shù)據(jù)容易被竊取。該層的常見(jiàn)設(shè)備包括圖形圖像設(shè)備（攝像頭）、網(wǎng)絡(luò)定位設(shè)備、掃描設(shè)備、環(huán)境監(jiān)測(cè)設(shè)備、安全生產(chǎn)監(jiān)測(cè)等設(shè)備[2]。對(duì)于感知層的設(shè)備安全，采用以下幾種方式進(jìn)行安全防護(hù)。

圖1 物聯(lián)網(wǎng)3層體系結(jié)構(gòu)

1.2 感知層的安全防護(hù)

首先，需要物聯(lián)網(wǎng)設(shè)備認(rèn)證系統(tǒng)，終端點(diǎn)需要連接到中央MQTT代理，然后發(fā)布數(shù)據(jù)。在加入網(wǎng)絡(luò)時(shí)，需要私鑰為入網(wǎng)終端提供唯一的認(rèn)證，安全的解決辦法是將密碼加密后再存儲(chǔ)進(jìn)數(shù)據(jù)庫(kù)。使用哈希函數(shù)（Hash Function）加密[3-4]，將密碼的哈希值存儲(chǔ)進(jìn)數(shù)據(jù)庫(kù)，用戶登錄設(shè)備終端的時(shí)候，檢驗(yàn)用戶輸入密碼的哈希值是否與數(shù)據(jù)庫(kù)中的哈希值相同。由于哈希函數(shù)是不可逆的，所以即便被攻擊了設(shè)備數(shù)據(jù)庫(kù)，也無(wú)法得到用戶的帳號(hào)和密碼，保證了設(shè)備使用者數(shù)據(jù)的安全性。

其次，對(duì)于入網(wǎng)的設(shè)備必須要求使用簽名固件（Signed Firmware）和安全引導(dǎo)（Secure Boot）。固件簽名能夠保證只有授權(quán)用戶和授權(quán)機(jī)器有權(quán)限在固件上貼上批準(zhǔn)標(biāo)記，使得惡意的固件使用變得困難，以便固件安全這一比較難以防范的安全漏洞得以彌補(bǔ)。使用安全的引導(dǎo)方式引導(dǎo)代碼，確保在設(shè)備上運(yùn)行的任何代碼都是安全的。啟動(dòng)設(shè)備時(shí)，使得運(yùn)行的第一個(gè)代碼通過(guò)電子簽名驗(yàn)證，沒(méi)有惡意代碼侵入。使用具有安全引導(dǎo)的私鑰基礎(chǔ)設(shè)施（Private Key Infrastructure，PKI）作為補(bǔ)救措施，用于簽名代碼密鑰被泄露的情況，也能夠保證設(shè)備能被安全的重新設(shè)置和啟動(dòng)。

最后，設(shè)備在物聯(lián)網(wǎng)中工作了很長(zhǎng)時(shí)間后，會(huì)遇到計(jì)算能力匱乏的設(shè)備，在功率、處理能力和內(nèi)存方面都受到限制，現(xiàn)代密碼計(jì)算需要消耗大量資源，使得這些設(shè)備在物聯(lián)網(wǎng)安全上充滿風(fēng)險(xiǎn)。因此，需要一種比較簡(jiǎn)單、耗費(fèi)資源少而且非常安全的加密方式，如共享密鑰，用其計(jì)算哈希值是一個(gè)經(jīng)濟(jì)有效的安全驗(yàn)證方法。

2 傳輸層面臨的安全威脅和安全防護(hù)

2.1 傳輸層面臨的安全威脅

在現(xiàn)在的發(fā)展中，互聯(lián)網(wǎng)是物聯(lián)網(wǎng)重要的組成部分，不僅出現(xiàn)新的安全威脅，同時(shí)也會(huì)受到來(lái)自于傳統(tǒng)網(wǎng)絡(luò)的安全威脅。物聯(lián)網(wǎng)傳輸層主要通過(guò)移動(dòng)通信網(wǎng)、互聯(lián)網(wǎng)、專業(yè)網(wǎng)（如國(guó)家電力數(shù)據(jù)網(wǎng)、廣播電視網(wǎng)）、小型局域網(wǎng)及三網(wǎng)融合通信平臺(tái)（跨越單一網(wǎng)絡(luò)架構(gòu)）的網(wǎng)絡(luò)對(duì)數(shù)據(jù)進(jìn)行傳輸。在面對(duì)海量數(shù)據(jù)時(shí)，核心網(wǎng)絡(luò)易受到拒絕服務(wù)（Denial of Service，DoS）、分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊以及大量的垃圾郵件、網(wǎng)絡(luò)病毒等威脅。傳輸層可能受到假冒攻擊、異步攻擊、合謀攻擊等威脅以及比較新的針對(duì)三網(wǎng)融合的攻擊、威脅。

2.2 傳輸層的安全防護(hù)

傳輸層安全防護(hù)，可綜合利用端到端機(jī)密性和節(jié)點(diǎn)到節(jié)點(diǎn)機(jī)密性的加密方法進(jìn)行防護(hù)。

端對(duì)端加密可以滿足不同安全等級(jí)的安全需求，但也有缺點(diǎn)，端對(duì)端不能被合法監(jiān)聽(tīng)，無(wú)法隱藏信息的發(fā)送源和目的地，所以，端對(duì)端的機(jī)密性需要密鑰協(xié)商機(jī)制、密鑰管理機(jī)制和機(jī)密性算法加密機(jī)制。節(jié)點(diǎn)對(duì)節(jié)點(diǎn)的機(jī)密性，因?yàn)槊艽a在節(jié)點(diǎn)之間是先解密再加密傳輸?shù)?，所以?duì)節(jié)點(diǎn)的安全要求很高，必須要求節(jié)點(diǎn)認(rèn)證、數(shù)據(jù)完整、數(shù)據(jù)流被加密。安全外殼協(xié)議（Secure Shell Protocol，SSH）是一種在不安全網(wǎng)絡(luò)上提供安全登錄的協(xié)議，提供了對(duì)TCP/IP和X—Windows系統(tǒng)通信的安全轉(zhuǎn)發(fā)支持，針對(duì)DoS和DDoS建立了專門(mén)的防護(hù)措施和災(zāi)難恢復(fù)機(jī)制。

3 應(yīng)用層面臨的安全威脅和安全防護(hù)

3.1 應(yīng)用層面臨的安全威脅

物聯(lián)網(wǎng)應(yīng)用層收集了大量的用戶個(gè)人信息，需要保護(hù)個(gè)人數(shù)據(jù)及隱私，這是應(yīng)用層不同于物聯(lián)網(wǎng)其他各層的特殊需求，在現(xiàn)在試點(diǎn)的智慧城市等項(xiàng)目上，還沒(méi)有統(tǒng)一的行業(yè)標(biāo)準(zhǔn)，因此，迫切需要建立統(tǒng)一規(guī)范的行業(yè)標(biāo)準(zhǔn)[5]。

3.2 應(yīng)用層的安全防護(hù)

建立可信任的密鑰管理方案和認(rèn)證機(jī)制，包括公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）和對(duì)稱密鑰相結(jié)合的方法。建立安全云管理服務(wù)，實(shí)現(xiàn)云模式下，數(shù)據(jù)管理權(quán)和所有權(quán)相分離。建立有效的數(shù)據(jù)取證技術(shù)和數(shù)據(jù)銷毀機(jī)制，使用安全的硬件和軟件知識(shí)產(chǎn)權(quán)保護(hù)技術(shù)[6]。開(kāi)展物聯(lián)網(wǎng)云計(jì)算的標(biāo)準(zhǔn)研究，建立標(biāo)準(zhǔn)化認(rèn)證體系，積極加入國(guó)際物聯(lián)網(wǎng)安全認(rèn)證標(biāo)準(zhǔn)制定工作中。

4 結(jié)語(yǔ)

目前物聯(lián)網(wǎng)已開(kāi)始試點(diǎn)，物聯(lián)網(wǎng)在為人們生活提供便利的同時(shí)，也增加了設(shè)備和個(gè)人數(shù)據(jù)安全性的風(fēng)險(xiǎn)，因此，要增加物聯(lián)網(wǎng)安全重要性的認(rèn)識(shí)，使我國(guó)的物聯(lián)網(wǎng)水平安全水平不斷提高，建成高質(zhì)量的物聯(lián)網(wǎng)。5G聯(lián)網(wǎng)技術(shù)為物聯(lián)網(wǎng)的發(fā)展提供了很強(qiáng)大的技術(shù)支持，同時(shí)高速網(wǎng)絡(luò)和海量數(shù)據(jù)以及新的應(yīng)用方式也給物聯(lián)網(wǎng)安全帶來(lái)了新的挑戰(zhàn)，因此，需要對(duì)物聯(lián)網(wǎng)安全技術(shù)進(jìn)行更多的研究，考慮到對(duì)社會(huì)及個(gè)人帶來(lái)的影響，使得物聯(lián)網(wǎng)能給生活帶來(lái)便捷的同時(shí)，也能夠被安全、高效地應(yīng)用。

基金項(xiàng)目：教育教學(xué)改革研究項(xiàng)目;項(xiàng)目名稱：密碼學(xué)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用研究;項(xiàng)目編號(hào)：2019XJJG-56。教育教學(xué)改革研究項(xiàng)目;項(xiàng)目名稱：面向創(chuàng)新創(chuàng)業(yè)教育融合的一流專業(yè)建設(shè)改革與實(shí)踐研究;項(xiàng)目編號(hào)：2019XJJG-54。中央高?；究蒲袠I(yè)務(wù)費(fèi)項(xiàng)目;項(xiàng)目名稱：譜聚類在復(fù)雜網(wǎng)絡(luò)社區(qū)檢測(cè)中的應(yīng)用研究;項(xiàng)目編號(hào)：31920190029。

作者簡(jiǎn)介：桂春（1981— ），女，甘肅民勤人，副教授，博士;研究方向：復(fù)雜網(wǎng)絡(luò)，機(jī)器學(xué)習(xí)。

[參考文獻(xiàn)]

[1]沈蘇彬，楊震.物聯(lián)網(wǎng)體系結(jié)構(gòu)及其標(biāo)準(zhǔn)化[J].南京郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2015（1）：1-18.

[2]路代安，周驊.基于可信計(jì)算的物聯(lián)網(wǎng)感知層安全機(jī)制[J].電子技術(shù)與軟件工程，2018（7）：218-219.

[3]GUL E，OZTURK S.A novel hash function based fragile watermarking method for image integrity[J].Multimedia Tools and Applications，2019（13）：17701-17718.

[4]陳佳康.密碼學(xué)算法的優(yōu)化與應(yīng)用[D].北京：北京郵電大學(xué)，2013.

[5]李中楠.面向物聯(lián)網(wǎng)應(yīng)用層的安全架構(gòu)研究[D].大連：大連海事大學(xué)，2013.

[6]劉逸凡.淺析電子信息核心技術(shù)以及在物聯(lián)網(wǎng)領(lǐng)域的應(yīng)用[J].通訊世界，2019（2）：24-25.

Research on Security Architecture of Internet of Things

Gui Chun

（School of Mathematics and Computer Science， Northwest MinZu University， Lanzhou 730030， China）

Abstract：With the development of 5G technology， the Internet of Things will become the direct beneficiaries of 5G network technology. Although the security and privacy issues are becoming more and more serious， Internet of Things devices such as intelligent office， smart home and so on are increasingly used by more and more ordinary consumers and enterprises. This paper aimed at the problem that a large number of device attacks on the Internet of Things， DDos attacks on data centers and cloud services continue to grow rapidly， potential network security risks and security protection measures are introduced from the perception layer， transmission layer and application layer of the Internet of Things. Faced with new challenges， more research on secure cryptography technology of the Internet of Things is needed to ensure the security and efficiency of Internet of things applications.

Key words：Internet of Things; 5G network; data center; hidden danger; cryptography