谷呈星，趙訓威，2*

（1.上海電力大學，上海 201306；2.國網(wǎng)信息通信產(chǎn)業(yè)集團有限公司，北京 100032）

在1999 年，Ashton[1]創(chuàng)造了物聯(lián)網(wǎng)這個術語，物聯(lián)網(wǎng)是在互聯(lián)網(wǎng)的基礎上，利用射頻識別、無線通信、傳感器等技術，實現(xiàn)物品自動識別和信息互聯(lián)與共享的網(wǎng)絡。物聯(lián)網(wǎng)改變了從現(xiàn)實世界獲取數(shù)據(jù)的方式，在工業(yè)、農(nóng)業(yè)、醫(yī)療等諸多領域有廣泛應用，物聯(lián)網(wǎng)設備可以在沒有人工干預的情況下收集數(shù)據(jù)、分析數(shù)據(jù)、做出決策并采取行動。根據(jù)我國物聯(lián)網(wǎng)行業(yè)白皮書的估計，到2023 年，中國將有148 億臺物聯(lián)網(wǎng)設備連接到互聯(lián)網(wǎng)。然而，大量的物聯(lián)網(wǎng)設備連接到互聯(lián)網(wǎng)上會產(chǎn)生許多漏洞，而且物聯(lián)網(wǎng)結合了多種易產(chǎn)生安全風險的技術，如無線傳感器網(wǎng)絡、光學網(wǎng)絡、2G/3G 通信網(wǎng)絡等，這會使物聯(lián)網(wǎng)面臨各種各樣的安全威脅。賽門鐵克公司第23 期的互聯(lián)網(wǎng)安全威脅報告中指出，在2017 年物聯(lián)網(wǎng)攻擊事件的總數(shù)增長了600%。復雜的網(wǎng)絡攻擊已經(jīng)給人類社會帶來了災難性的后果，2015 年12 月，烏克蘭電網(wǎng)遭到網(wǎng)絡襲擊，導致140萬人斷電[2]。2010 年，伊朗的核設施感染了一種名為“震網(wǎng)”的病毒，導致軍事裝備被摧毀[3]。因此，研究物聯(lián)網(wǎng)的安全問題具有重要意義。

許多的研究工作分析了物聯(lián)網(wǎng)架構中每一層的安全挑戰(zhàn)、威脅和對策[4-5]。其中，物聯(lián)網(wǎng)架構中通信層的安全問題最復雜，其原因是通信層中有各種通信協(xié)議以及連接到物聯(lián)網(wǎng)的設備數(shù)量大且種類多。本文闡述了物聯(lián)網(wǎng)設備的特點、物聯(lián)網(wǎng)的安全需求和物聯(lián)網(wǎng)的四層架構。概括了四層架構中每一層的安全威脅并提出了一些應對措施，詳細分析了通信層中協(xié)議的安全機制以及局限性，為進一步提升物聯(lián)網(wǎng)安全提供參考。

1 物聯(lián)網(wǎng)概述

1.1 物聯(lián)網(wǎng)設備的特點

物聯(lián)網(wǎng)中含有數(shù)以百億計的通信設備，這些設備具有以下特點。

標識：每個物聯(lián)網(wǎng)設備要有一個標識，例如IPv4/6 地址，用來與其他設備通信。

傳感：各種傳感器用于從物理環(huán)境中收集數(shù)據(jù)。

通信：對象與用戶或?qū)ο笈c對象之間互連使用的方法。

計算：處理獲得的信息，刪除冗余信息。

服務：對象根據(jù)從物理環(huán)境接收的信息向用戶提供服務。

語義：物聯(lián)網(wǎng)中的對象能夠從環(huán)境中獲取正確的信息，并在適當?shù)臅r候?qū)⑦@些信息變成服務。

1.2 物聯(lián)網(wǎng)中的安全要求

在物聯(lián)網(wǎng)的安全機制中，有以下6 個關鍵的安全要求。

身份驗證及授權：互聯(lián)網(wǎng)中存在大量的物聯(lián)網(wǎng)設備，為了能夠發(fā)送和接收數(shù)據(jù)，這些設備需要進行自我認證。用戶在被授予訪問權限后才能對物聯(lián)網(wǎng)設備進行讀寫操作。如果身份驗證和授權受到威脅，那么非法用戶可能會獲得讀取、寫入敏感數(shù)據(jù)的權限。

機密性：要求敏感或機密信息不會泄露給非授權的用戶，通過某些措施來限制非授權用戶對信息的訪問。如果起搏器等醫(yī)療物聯(lián)網(wǎng)設備的敏感信息被非法用戶截獲，就可能會給病人帶來生命危險。

完整性：確保傳遞的數(shù)據(jù)是完整的、準確的，且沒有被篡改的。物聯(lián)網(wǎng)設備是通過處理命令控制的，因此保證命令的完整性是非常重要的。對完整性的威脅可能會帶來災難性的后果。

可用性：保證了系統(tǒng)的正常運行，并按照要求不間斷地提供服務。這一要求對任務關鍵型應用場景至關重要，如智能電網(wǎng)、水系統(tǒng)、電力和安全系統(tǒng)等。

不可否認性：讓用戶承擔責任并防止他們否認自己行為的要求。這一要求與認證相關，關系到啟動和維護通信的信任問題。

訪問控制：規(guī)定了用戶與設備或設備與設備之間的訪問權限，還規(guī)定了授權用戶或設備的權力大小，在必要時刻，將訪問權限的權力降至最小可以降低威脅風險。

1.3 物聯(lián)網(wǎng)的通信架構

許多研究工作提出了物聯(lián)網(wǎng)架構的模型，包括三層、四層、五層模型[6]。本文采用物聯(lián)網(wǎng)架構的四層模型。如圖1 所示給出了物聯(lián)網(wǎng)的四層架構及通信層各子層常用的協(xié)議。

圖1 物聯(lián)網(wǎng)的四層架構及通信層各子層常用的協(xié)議

四層模型分為感知層、通信層、平臺層和應用層。感知層通過各種類型的傳感器收集信息并識別物理世界。感知層的技術主要有射頻識別、NFC、傳感器等。通信層是支持事物之間無線或有線連接的基礎設施，提供無處不在的信息訪問、數(shù)據(jù)傳輸，承擔著各層之間信息的交換，主要的技術是基于IP 協(xié)議的無線通信技術。平臺層的作用是增強其他各層的運行能力，提供存儲和計算服務。這一層的主要技術是云/邊緣計算。應用層中有根據(jù)用戶需求和行業(yè)規(guī)范開發(fā)的應用程序。

物聯(lián)網(wǎng)與傳統(tǒng)的通信在安全方面有較大差異，物聯(lián)網(wǎng)設備采用內(nèi)置安全模式、輕量級算法，具有成本低、資源受限、設備異構性大、功能優(yōu)先于安全的特點。因此，電氣與電子工程師協(xié)會和互聯(lián)網(wǎng)工程任務組設計了新的通信和安全協(xié)議，協(xié)議的設計符合低功耗傳感裝置和低速率無線通信的要求。通信層由物理（PHY）層、媒體訪問控制（MAC）層、適配層、網(wǎng)絡層、應用層五個子層構成。PHY 層和MAC 層可用IEEE802.15.4 協(xié)議，適配層采用低速無線個域網(wǎng)標準（6LoWPAN），網(wǎng)絡層采用低功耗有損網(wǎng)絡路由協(xié)議（RPL），應用層采用受限應用協(xié)議（CoAP）。

2 物聯(lián)網(wǎng)的安全威脅及應對措施

2.1 感知層

感知層有大量的物聯(lián)網(wǎng)設備，易受到地震、臺風、洪水等自然災害的威脅，也易受到火災、化學事故等環(huán)境的威脅，還易受到人類的蓄意破壞，如竊聽、設備篡改和濫用等。應對災害和環(huán)境威脅有一些措施，比如將傳感器放到安全的位置，設計減災程序和恢復機制，提高傳感器的抗破壞能力等。應對人為威脅的措施主要是建立用戶認證系統(tǒng)、物理訪問控制機制和信任框架。確保只有合法的用戶和對象才能訪問物理設備及其信息。

2.2 通信層

目前，針對通信層的攻擊主要有干擾攻擊、選擇性轉發(fā)攻擊、天坑攻擊、蠕蟲攻擊、女巫攻擊、流量分析攻擊和中間人攻擊等。有效的應對措施有端到端加密，保護路由安全以及使用入侵檢測和安全防御系統(tǒng)（IDPS）等。詳細的通信層協(xié)議的安全機制見第3 節(jié)。

2.3 平臺層

平臺層需要處理大量的數(shù)據(jù)，在數(shù)據(jù)庫安全方面最容易受到威脅。未經(jīng)授權的訪問、惡意內(nèi)部人員的攻擊、不安全的軟件等是平臺層面臨的主要威脅。為了應對這些威脅，平臺層可以采用以下措施：第一，建立遠程認證系統(tǒng)、訪問控制機制和信任框架，確保只有合法的用戶和對象才能使用系統(tǒng)存儲的服務和數(shù)據(jù)。第二，運用安全編程技術、防火墻和IDPS 系統(tǒng)，防止數(shù)據(jù)丟失或泄露。最后，為了防止內(nèi)部人員的惡意攻擊，可以建立嚴格的管理和安全規(guī)則以及提高整個信息安全和管理流程的透明度。

2.4 應用層

應用層會根據(jù)用戶的需求提供服務。社會工程技術攻擊、緩沖區(qū)溢出攻擊和后門攻擊是應用層的主要威脅。大力宣傳和教育，提高用戶的安全意識是應對社會工程技術攻擊的有效手段。安全編程是應對緩沖區(qū)溢出攻擊和后門攻擊的主要措施，增強操作系統(tǒng)的安全性也是提高應用層安全性的方法。

3 通信層協(xié)議的安全分析

物聯(lián)網(wǎng)協(xié)議集成了重要的安全機制來滿足前面提到的安全要求。本文討論了IEEE 802.15.4 協(xié)議、6LoWPAN協(xié)議、RPL 協(xié)議、CoAP 協(xié)議的安全機制和局限性。

3.1 IEEE 802.15.4 協(xié)議

IEEE 802.15.4 協(xié)議負責管理PHY 和MAC 子層的通信，控制PHY 和MAC 子層上信息的傳輸。在PHY 子層，它負責監(jiān)督無線電頻率、管理信號和確定通信信道。它在MAC 子層上提供安全機制，且具有處理數(shù)據(jù)、節(jié)點關聯(lián)、包驗證等功能。

首先，IEEE 802.15.4 中安全服務是非強制性的。幀控制字段中的安全啟用位（SEB）決定了是否啟用安全服務。身份驗證安全報頭（ASH）字段決定了需要使用的安全模式的類型。其次，雖然IEEE 802.15.4 協(xié)議提供的安全機制在MAC 子層，但是這些安全機制對物聯(lián)網(wǎng)通信協(xié)議棧的安全也非常重要。比如，只要求信息加密的應用程序可以用計數(shù)器安全模式（AES-CTR）加密。需要數(shù)據(jù)完整性和不可否認性的應用程序可以用加密區(qū)塊鏈（AESCBC）安全模式加密。最后，IEEE 802.15.4 協(xié)議設計了應對重放攻擊的方案，并且還帶有訪問控制表（access control list，ACL），支持訪問控制功能。

盡管IEEE 802.15.4 協(xié)議包含了重要的安全機制，但它也有一些局限性。它不能保證確認消息（ACK）的完整性和不可否認性，這使攻擊者偽造確認消息并執(zhí)行各種DoS 攻擊成為可能。ACL 不能有效地管理采用了相同加密的密鑰記錄，這會導致在使用流密碼加密時，如果發(fā)送者多次使用同一個密鑰加解密，攻擊者不需要知道密鑰就能成功破解密文。除此之外，在某些情況下，如ACL數(shù)據(jù)被擦除，密鑰也可能會被重新使用。

3.2 6LoWPAN 協(xié)議

因為物聯(lián)網(wǎng)設備的數(shù)量已經(jīng)達到了百億級別，所以需要采用IPv6 地址作為標識地址。低功率無線個人區(qū)域網(wǎng)（WPANs）中IEEE 802.15.4 最大物理層數(shù)據(jù)報文長度為127 個字節(jié)，而IPv6 要求數(shù)據(jù)報文長度最小為1280字節(jié)。因此，制定了6LoWPAN 協(xié)議，作為適配層用于解決IEEE 802.15.4 和IPv6 協(xié)議之間的互連問題，它用到了分組與重裝、報頭壓縮等技術。

由于物聯(lián)網(wǎng)設備資源的限制，6LoWPAN 標準沒有安全機制，解決資源受限情況下的安全問題有如下方案：第一，為6LoWPAN 適配層設計壓縮安全報頭，這個安全報頭與IPSec 的現(xiàn)有封裝安全有效載荷（ESP）和認證頭（AH）的作用相同。第二，在6LoWPAN 分片報頭中添加時間戳和隨機數(shù)字段，這可以抵抗碎片化攻擊。第三，通過使用密鑰來提高6LoWPAN 協(xié)議安全性，并且要定期更新密鑰以滿足機密性、完整性和不可否認性的要求。密鑰可以采用IKEv2 協(xié)議，該協(xié)議適合在資源受限的物聯(lián)網(wǎng)設備中使用。在6LoWPAN 協(xié)議中增加安全機制是未來的一個研究方向。

3.3 RPL 協(xié)議

RPL 是適合低功耗有損網(wǎng)絡的距離矢量路由協(xié)議，它采用ICMPv6 交換路由信息，支持IPv6。路由網(wǎng)絡拓撲支持單到單、單到多、多到多等網(wǎng)絡結構。RPL 會構建一個以根節(jié)點為導向的有向無環(huán)圖（DODAG），根節(jié)點通過廣播方式完成與其余節(jié)點的信息交互。

RPL 有非安全、預安裝、身份驗證3 種安全模式。在非安全模式下，RPL 使用無安全機制的控制報文。在預安裝安全模式下，節(jié)點使用預安裝密鑰來滿足機密性，完整性和不可否認性的要求，帶有安裝密鑰的節(jié)點可以作為主機或路由器加入網(wǎng)絡。在身份驗證安全模式下，節(jié)點使用預安裝密鑰僅能以主機的身份加入網(wǎng)絡。節(jié)點如果要以路由器的身份加入網(wǎng)絡，節(jié)點必須從密鑰認證機構處獲取第二個密鑰。密鑰認證機構在確認請求者可以作為路由器后才向請求者提供第二個密鑰。

RPL 路由協(xié)議的局限性有2 點：第一，RPL 定義的安全密鑰只支持對稱加密，不支持非對稱加密。第二，RPL路由協(xié)議易受網(wǎng)絡攻擊、不能防范尋址攻擊、難以抵抗復合攻擊。

3.4 CoAP 協(xié)議

CoAP 協(xié)議可視為HTTP 協(xié)議的輕量級版本，功率受限的物聯(lián)網(wǎng)設備可以利用該協(xié)議完成應用層上的通信。CoAP 由消息層和請求/響應層組成。消息層負責控制UDP 協(xié)議上的通信，請求/響應協(xié)議負責發(fā)送相應的消息，通過維護特定的代碼來管理和避免消息丟失。

CoAP 協(xié)議使用DTLS 協(xié)議做傳輸層來保證安全性，DTLS 在UDP 之上。CoAP 涉及4 種安全模式：無安全模式、預共享密鑰模式、原始公鑰模式和認證模式。無安全模式不包含任何安全機制。預共享密鑰模式使用對稱加密技術，每個設備要有預編程的對稱密鑰。原始公鑰模式在不能使用公鑰技術的設備上建立非對稱加密，每個設備需要一對預編程私鑰和公鑰。認證模式下，通信的雙方需要信任中心構造的X.509 證書完成認證。

CoAP 的安全取決于DTLS 協(xié)議。然而DTLS 協(xié)議在物聯(lián)網(wǎng)環(huán)境中存在一些問題，比如，DTLS 將握手消息分片傳輸?shù)牟僮骺赡軙е聰?shù)據(jù)包的重傳，進而引發(fā)一些其他問題。此外，使用DTLS 傳輸消息的過程成本很高，不適合在CoAP 代理中使用。因此，CoAP 應該使用新的安全解決方案，而不是利用DTLS 協(xié)議。

4 結束語

針對物聯(lián)網(wǎng)的安全問題，本文介紹了物聯(lián)網(wǎng)設備的特性、物聯(lián)網(wǎng)的安全要求以及物聯(lián)網(wǎng)的四層架構，然后簡要概括感知層、通信層、平臺層、應用層的功能，分析了每一層面臨的安全威脅并提出了一些應對措施，最后分析了通信子層中IEEE 802.15.4 協(xié)議、6LoWPAN 協(xié)議、RPL協(xié)議、CoAP 協(xié)議的安全機制以及協(xié)議的局限性，為進一步增強物聯(lián)網(wǎng)的安全性提供了參考。