物聯網安全性分析及其關鍵技術

張 娟，陳 虎，孫 梅

（淮北師范大學 計算機科學與技術學院，安徽 淮北 235000）

物聯網安全性分析及其關鍵技術

張 娟，陳 虎，孫 梅

（淮北師范大學 計算機科學與技術學院，安徽 淮北 235000）

文中對物聯網的概念及其關鍵技術進行了簡單介紹，從物聯網體系架構的基礎上分析了物聯網基于感知層、傳輸層、應用層的安全性需求，并討論了物聯網的安全性問題.物聯網的最終目的是為了給人們提供各種真正的實際應用，在這樣一個前提下本文對物聯網的安全關鍵技術進行了闡述.

物聯網；物聯網安全；安全技術

1 物聯網概述

1.1 物聯網的概念.物聯網(The Internet of things)的概念可以從狹義和廣義兩個方面去理解.狹義上，物聯網就是物與物通過傳感器相連的網絡.廣義上，物聯網等同于“未來的互聯網”或者“泛在網絡”，能夠使物與物、人與物、人與現實環境在任何時間、任何地點通過任何網絡實現信息的交換[1].

1.2 物聯網的體系架構.在物聯網的體系架構中，包括三個層次如圖1所示[2].最底層是感知層，主要利用各種傳感器設備、RFID、手機、PDA以及視頻采集設備等機器終端，完成對底層信息的全面感知和采集功能，以滿足各種不同類型應用的需求；第二層是傳輸網絡層，在現有的互聯網和通信網（包含有線通信和無限通信技術）等網絡的基礎上建立起來，也包括為各種行業終端提供通信能力的通信模塊，最終實現數據的匯聚和傳輸功能.最上層是應用層，物聯網的最終目標是提供豐富的應用，即通過對調用數據的處理和解決方案來管理和控制手機、PC等終端設備，或者結合其他領域的相關技術，實現人們所需要的各種應用服務，或者實現行業智能化.

圖1 物聯網體系架構圖

1.3 物聯網相關技術.感知層的相關技術包括傳感網技術、射頻識別、全球定位系統、激光掃描、紅外感應、視頻、條形碼等，起主要功能是通過這些技術來完成基本信息的采集.傳輸網絡層主要負責信息的傳輸和接入網絡的選擇，主要技術包括廣域通信技術、網絡融合技術、資源尋址技術以及智能管道技術.物聯網提供千差萬別的應用和服務，應用層主要負責對海量的數據完成智能處理，所用到的主要技術包括智能信號處理技術、數據挖掘技術、視頻分析技術、云計算技術，以及物聯網相關軟件和中間件技術[3].

2 物聯網的安全需求

2.1 感知層安全需求分析.感知層的主要任務是通過傳感網中的各種傳感器節點或其他采集信息的技術，全面的感知信息，并將所感知到的信息傳送到其上層進行處理.而傳感器節點或者其他信息采集設備受到其自身性能的制約，安全保護機制較差，比如傳感網中常用的一些傳感器，視頻圖像信息收集的攝像頭等節點，通常都是無人看守的，處于一種非常脆弱的安全環境.并且傳感器網絡自身尚未完全實現標準化，信息在傳輸過程中沒有一種標準傳輸協議的規范，無法保證安全完善的保護體系.在信息進入網絡層之前，必須要通過一個或多個感知節點與外界連接，以實現內部節點的通信，此時也會遭受來自網絡的攻擊，由此可以看出，感知層的安全主要取決于傳感網自身的安全性[4-5].

2.2 傳輸網絡層安全需求分析.傳輸網絡層的作用是對感知層采集的信息進行傳遞和處理，信息在傳輸過程中會通過互聯網，那么互聯網本身所存在的安全問題勢必會影響到物聯網，比如傳輸過程中可能信息可能被截獲、竊聽、篡改等.另外由于物聯網本身所特有的一些特點，還會存在更多的安全問題.

隨著物聯網技術的發展，其在各領域各行業的應用節省了資源、給人們的工作生活帶來很多便利，越來越多的人加入到物聯網有關技術的研究學習中，越來越多的通信終端在不斷的接入到物聯網中，而現有的通信網絡，不論是其帶寬，還是處理數據的速度等承載能力都是有限的，這種發展過程中的不協調將會使得通信網絡中出現更多的安全威脅.比如大量終端接入造成網絡擁塞，從引起網絡攻擊者對服務器進行拒絕服務攻擊；對于大量網絡終端的群體接入也給傳統的一對一的接入認證技術帶來了很大的挑戰；通常情況下，由于物聯網設備傳輸的數據量小，不會采用較為嚴密的加密算法對數據進行保護，那么可能導致數據在傳輸的過程中遭到攻擊和破壞；同時感知層和傳輸網絡層的融合也會帶來相應的一些安全問題[6].

2.3 應用層安全需求分析.應用層主要對接收到的信息進行智能處理處理.要對信息的可用性進行判斷，處理的數據有一般性數據和操作指令，因此，必須要特別警惕，識別有用信息，并能有效防范惡意信息和指令帶來的威脅.在實際應用中，物聯網所感知的信息必須與具體行業技術結合才能實現其功能，這種結合在很多時候信息的交流都以無線的方式進行傳輸，一些特殊行業應用中大多數相關設備都處于無人值守的狀態，那么此時物聯網應用層所面臨的的不僅僅是傳統通信網絡中的安全威脅，在安全性方面還有其自身的特殊需求，比如無線傳輸的信息很容易被竊取或惡意跟蹤；而物聯網中的信息通常很多都是用戶的隱私信息，對于這類信息的外泄和惡意跟蹤可能會對用戶造成各種困擾甚至傷害.

3 物聯網安全關鍵技術

3.1 密鑰管理機制.物聯網的安全問題主要體現為通信網絡的安全和被傳輸信息的安全性，互聯網作為物聯網的主要傳輸平臺，在密鑰管理方面存在比較成熟的技術，可以使用對稱的或者非對稱的密鑰管理系統.但物聯網中的信息，大都是由有各種感知節點采集而來，感知節點本身的性能、計算、存儲能力都很有限，信息更加容易被竊取或者破壞，攻擊者很有可能從一個受害節點獲得相關信息，推導出其他節點的密鑰信息，因此物聯網密鑰管理機制必須要構建出一個標準的密鑰管理系統，能使其所涉及到的相關網絡很好的處理密鑰被竊取的問題，同時也能為物聯網中密鑰的分配、使用提供更強有力的保證，這是保障物聯網信息安全的第一步.

3.2 數據處理與隱私性.物聯網中需要被處理的信息量是非常大的，海量的信息中必然會存在或多或少的無用數據或者冗余信息，此時為了避免對帶寬造成浪費可以考慮數據融合的方式對數據進行處理，拋棄不必要的信息，同時接收終端也要采取相應的措施對接收的數據進行驗證，以避免有害的數據被傳遞或融合.對于物聯網中的數據采用云計算、模式識別等技術進行智能處理是一種有效的數據融合和存儲的方法.傳統的Internet中存在個人隱私保護的問題，個人信息可能通過網絡被傳播甚至買賣，這個問題在物聯網中更加突出.物聯網的很多數據都關系到用戶的隱私問題，比如一些采用射頻技術所存儲的信息可能是用戶的個人愛好、習慣、位置等隱私，這樣的信息被竊取的可能性更大，因為在物聯網中，即使不接入互聯網，也能通過其他的一些手段獲得，比如通過掃面電子標簽的方式.因此對于物聯網中數據的隱私性，要通過對感知數據加密、授權等方式來保證其安全性[7].

3.3 安全路由.物聯網自身的特殊架構使其對于路由安全的要求相對較高，物聯網跨越多種類別、不同層次結構的網絡，其中一類是基于IP地址進行路由選擇的互聯網；一類是基于標識進行路由選擇的傳感網.傳感網絡中的節點存在自組性、隨機性強，拓撲結構變化快，無線傳輸數據量大的特性，使攻擊者更容易利用路由信息或者節點的插入等方法對物聯網發動攻擊.因此物聯網中的路由選擇至少要解決兩個問題，一個是傳感網的安全路由問題，另外一個是多網融合的路由問題.當前實現安全路由的基本手段有兩類,一類是利用密鑰系統建立起來的安全通信環境來交換路由信息，另一類是利用冗余路由傳遞數據包[12].

3.4 認證與訪問控制

物聯網中大量終端節點的接入問題，以及海量信息傳輸過程中面臨的安全問題，可以通過認證和訪問控制結合的方式提供保障.認證不僅對發送者的身份合法性進行確定，還可以保證信息的完整性，即身份認證和消息認證.身份認證保證了發送者身份的合法性；而消息認證可以保證信息在發送期間未被篡改.無論消息認證還是身份認證都用到了數字簽名技術，其關鍵的參數是完成數字簽名時所有到的密鑰對，認證技術中關鍵要解決的就是密鑰在傳輸過程中的保密性和及時性問題.通過認證技術來保證物聯網中實體接入的問題.訪問控制包括物理訪問控制和網絡訪問控制，是通過設置權限來保障物理終端或者信息不被非法實體訪問，比如物聯網的感知層所感知的信息保證不會被非授權的實體讀取或者破壞.當然要想實現有效的訪問控制，首先身份的合法性認證是前提[8-9].

3.5 入侵檢測與容侵容錯技術.任何試圖破換信息系統的完整性、保密性或有效性的活動都被稱為入侵行為，入侵檢測是指通過對網絡上的一些關鍵點收集信息并進行分析，從而發現網絡或者系統中是否存在違反安全策略的行為，或者存在對闖入系統的企圖.物聯網中的節點分布廣泛，而且安全性都相對比較薄弱，因此采用分布式入侵檢測機制是比較適合的.分布式入侵檢測通過設置自治Agent：入侵檢測Agent(IDA)、通信服務Agent(TSA)和狀態檢查Agent(SDA)來實現對網絡數據的入侵檢測[10].

容侵就是指在網絡中存在惡意入侵的情況下，網絡仍然能夠正常地運行.現階段物聯網的容侵容錯技術主要體現為無線傳感器網絡的容侵容錯技術.容侵技術是對于網絡的拓撲結構、路由信息的安全性以及數據傳輸過程中的容侵機制.容錯性指的是當網絡中的節點或者鏈路出現故障時，網絡能夠具有較強的自我恢復能力，盡可能減小因局部節點或鏈路失效對網絡功能的影響.

4 結束語

物聯網是一門新興的學科，與其相關的核心技術大多處于發展階段，其安全性及安全關鍵技術更是處于探索的階段.物聯網由傳統通信網絡和傳感網構成，所面臨的安全挑戰除了通信網絡和傳感網各自的安全問題外，更重要的還有多網融合所帶來的新的安全需求.面對這些嚴峻的挑戰，我們要努力在現有的網絡安全機制基礎上，通過技術研發和自主創新，以及法律、政策、管理等多種非技術手段找到一種符合物聯網的特殊安全需求的更完善的安全體系.

〔1〕張飛舟，等.物聯網技術導論[M].北京:電子工業出版社，2011.42-60.

〔2〕楊剛，等.物聯網理論與技術[M].北京：科學出版社，2010.60-80.

〔3〕沈蘇彬，等.物聯網的體系結構與相關技術研究[J].南京郵電大學學報，2009，6(29):1-11.

〔4〕唐琳.物聯網體系結構與組成模型研究[J].赤峰學院學報，2013,1(29):26-28.

〔5〕馬衛.物聯網安全關鍵技術研究[J].電腦知識與技術，2012,1(9):29-31.

〔6〕韓偉.物聯網應用發展與人身安全[J].赤峰學院學報，2012,1(28):111-112.

〔7〕劉波.物聯網安全問題分析及安全模型研究[J].計算機與數字工程，2012,11(40):21-24.

〔8〕楊明勝.物聯網安全問題技術分析[J].計算機光盤軟件與應用，2012（5）:102-103.

〔9〕鄭昌興.物聯網安全問題及對策探討[J].計算機安全，2012（5）:70-75.

〔10〕馬恒太，等.基于Agent的分布式入侵檢測系統模型[J].軟件學報，2000,11(10):1312-1319.

〔11〕楊庚，等.物聯網安全特征與關鍵技術[J].南京郵電大學學報，2012,1(28):20-29.

〔12〕于海斌，等.智能無線傳感器系統[M].北京:科學出版社，2006.37-58.

TP393.08

A

1673-260 X（2013）10-0022-02

安徽省自然科學基金項目資助（1208085MF108）