物聯(lián)網(wǎng)的安全分析

谷呈星，趙訓威，2*

（1.上海電力大學，上海 201306；2.國網(wǎng)信息通信產(chǎn)業(yè)集團有限公司，北京 100032）

在1999 年，Ashton[1]創(chuàng)造了物聯(lián)網(wǎng)這個術(shù)語，物聯(lián)網(wǎng)是在互聯(lián)網(wǎng)的基礎(chǔ)上，利用射頻識別、無線通信、傳感器等技術(shù)，實現(xiàn)物品自動識別和信息互聯(lián)與共享的網(wǎng)絡(luò)。物聯(lián)網(wǎng)改變了從現(xiàn)實世界獲取數(shù)據(jù)的方式，在工業(yè)、農(nóng)業(yè)、醫(yī)療等諸多領(lǐng)域有廣泛應(yīng)用，物聯(lián)網(wǎng)設(shè)備可以在沒有人工干預(yù)的情況下收集數(shù)據(jù)、分析數(shù)據(jù)、做出決策并采取行動。根據(jù)我國物聯(lián)網(wǎng)行業(yè)白皮書的估計，到2023 年，中國將有148 億臺物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng)。然而，大量的物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng)上會產(chǎn)生許多漏洞，而且物聯(lián)網(wǎng)結(jié)合了多種易產(chǎn)生安全風險的技術(shù)，如無線傳感器網(wǎng)絡(luò)、光學網(wǎng)絡(luò)、2G/3G 通信網(wǎng)絡(luò)等，這會使物聯(lián)網(wǎng)面臨各種各樣的安全威脅。賽門鐵克公司第23 期的互聯(lián)網(wǎng)安全威脅報告中指出，在2017 年物聯(lián)網(wǎng)攻擊事件的總數(shù)增長了600%。復(fù)雜的網(wǎng)絡(luò)攻擊已經(jīng)給人類社會帶來了災(zāi)難性的后果，2015 年12 月，烏克蘭電網(wǎng)遭到網(wǎng)絡(luò)襲擊，導(dǎo)致140萬人斷電[2]。2010 年，伊朗的核設(shè)施感染了一種名為“震網(wǎng)”的病毒，導(dǎo)致軍事裝備被摧毀[3]。因此，研究物聯(lián)網(wǎng)的安全問題具有重要意義。

許多的研究工作分析了物聯(lián)網(wǎng)架構(gòu)中每一層的安全挑戰(zhàn)、威脅和對策[4-5]。其中，物聯(lián)網(wǎng)架構(gòu)中通信層的安全問題最復(fù)雜，其原因是通信層中有各種通信協(xié)議以及連接到物聯(lián)網(wǎng)的設(shè)備數(shù)量大且種類多。本文闡述了物聯(lián)網(wǎng)設(shè)備的特點、物聯(lián)網(wǎng)的安全需求和物聯(lián)網(wǎng)的四層架構(gòu)。概括了四層架構(gòu)中每一層的安全威脅并提出了一些應(yīng)對措施，詳細分析了通信層中協(xié)議的安全機制以及局限性，為進一步提升物聯(lián)網(wǎng)安全提供參考。

1 物聯(lián)網(wǎng)概述

1.1 物聯(lián)網(wǎng)設(shè)備的特點

物聯(lián)網(wǎng)中含有數(shù)以百億計的通信設(shè)備，這些設(shè)備具有以下特點。

標識：每個物聯(lián)網(wǎng)設(shè)備要有一個標識，例如IPv4/6 地址，用來與其他設(shè)備通信。

傳感：各種傳感器用于從物理環(huán)境中收集數(shù)據(jù)。

通信：對象與用戶或?qū)ο笈c對象之間互連使用的方法。

計算：處理獲得的信息，刪除冗余信息。

服務(wù)：對象根據(jù)從物理環(huán)境接收的信息向用戶提供服務(wù)。

語義：物聯(lián)網(wǎng)中的對象能夠從環(huán)境中獲取正確的信息，并在適當?shù)臅r候?qū)⑦@些信息變成服務(wù)。

1.2 物聯(lián)網(wǎng)中的安全要求

在物聯(lián)網(wǎng)的安全機制中，有以下6 個關(guān)鍵的安全要求。

身份驗證及授權(quán)：互聯(lián)網(wǎng)中存在大量的物聯(lián)網(wǎng)設(shè)備，為了能夠發(fā)送和接收數(shù)據(jù)，這些設(shè)備需要進行自我認證。用戶在被授予訪問權(quán)限后才能對物聯(lián)網(wǎng)設(shè)備進行讀寫操作。如果身份驗證和授權(quán)受到威脅，那么非法用戶可能會獲得讀取、寫入敏感數(shù)據(jù)的權(quán)限。

機密性：要求敏感或機密信息不會泄露給非授權(quán)的用戶，通過某些措施來限制非授權(quán)用戶對信息的訪問。如果起搏器等醫(yī)療物聯(lián)網(wǎng)設(shè)備的敏感信息被非法用戶截獲，就可能會給病人帶來生命危險。

完整性：確保傳遞的數(shù)據(jù)是完整的、準確的，且沒有被篡改的。物聯(lián)網(wǎng)設(shè)備是通過處理命令控制的，因此保證命令的完整性是非常重要的。對完整性的威脅可能會帶來災(zāi)難性的后果。

可用性：保證了系統(tǒng)的正常運行，并按照要求不間斷地提供服務(wù)。這一要求對任務(wù)關(guān)鍵型應(yīng)用場景至關(guān)重要，如智能電網(wǎng)、水系統(tǒng)、電力和安全系統(tǒng)等。

不可否認性：讓用戶承擔責任并防止他們否認自己行為的要求。這一要求與認證相關(guān)，關(guān)系到啟動和維護通信的信任問題。

訪問控制：規(guī)定了用戶與設(shè)備或設(shè)備與設(shè)備之間的訪問權(quán)限，還規(guī)定了授權(quán)用戶或設(shè)備的權(quán)力大小，在必要時刻，將訪問權(quán)限的權(quán)力降至最小可以降低威脅風險。

1.3 物聯(lián)網(wǎng)的通信架構(gòu)

許多研究工作提出了物聯(lián)網(wǎng)架構(gòu)的模型，包括三層、四層、五層模型[6]。本文采用物聯(lián)網(wǎng)架構(gòu)的四層模型。如圖1 所示給出了物聯(lián)網(wǎng)的四層架構(gòu)及通信層各子層常用的協(xié)議。

圖1 物聯(lián)網(wǎng)的四層架構(gòu)及通信層各子層常用的協(xié)議

四層模型分為感知層、通信層、平臺層和應(yīng)用層。感知層通過各種類型的傳感器收集信息并識別物理世界。感知層的技術(shù)主要有射頻識別、NFC、傳感器等。通信層是支持事物之間無線或有線連接的基礎(chǔ)設(shè)施，提供無處不在的信息訪問、數(shù)據(jù)傳輸，承擔著各層之間信息的交換，主要的技術(shù)是基于IP 協(xié)議的無線通信技術(shù)。平臺層的作用是增強其他各層的運行能力，提供存儲和計算服務(wù)。這一層的主要技術(shù)是云/邊緣計算。應(yīng)用層中有根據(jù)用戶需求和行業(yè)規(guī)范開發(fā)的應(yīng)用程序。

物聯(lián)網(wǎng)與傳統(tǒng)的通信在安全方面有較大差異，物聯(lián)網(wǎng)設(shè)備采用內(nèi)置安全模式、輕量級算法，具有成本低、資源受限、設(shè)備異構(gòu)性大、功能優(yōu)先于安全的特點。因此，電氣與電子工程師協(xié)會和互聯(lián)網(wǎng)工程任務(wù)組設(shè)計了新的通信和安全協(xié)議，協(xié)議的設(shè)計符合低功耗傳感裝置和低速率無線通信的要求。通信層由物理（PHY）層、媒體訪問控制（MAC）層、適配層、網(wǎng)絡(luò)層、應(yīng)用層五個子層構(gòu)成。PHY 層和MAC 層可用IEEE802.15.4 協(xié)議，適配層采用低速無線個域網(wǎng)標準（6LoWPAN），網(wǎng)絡(luò)層采用低功耗有損網(wǎng)絡(luò)路由協(xié)議（RPL），應(yīng)用層采用受限應(yīng)用協(xié)議（CoAP）。

2 物聯(lián)網(wǎng)的安全威脅及應(yīng)對措施

2.1 感知層

感知層有大量的物聯(lián)網(wǎng)設(shè)備，易受到地震、臺風、洪水等自然災(zāi)害的威脅，也易受到火災(zāi)、化學事故等環(huán)境的威脅，還易受到人類的蓄意破壞，如竊聽、設(shè)備篡改和濫用等。應(yīng)對災(zāi)害和環(huán)境威脅有一些措施，比如將傳感器放到安全的位置，設(shè)計減災(zāi)程序和恢復(fù)機制，提高傳感器的抗破壞能力等。應(yīng)對人為威脅的措施主要是建立用戶認證系統(tǒng)、物理訪問控制機制和信任框架。確保只有合法的用戶和對象才能訪問物理設(shè)備及其信息。

2.2 通信層

目前，針對通信層的攻擊主要有干擾攻擊、選擇性轉(zhuǎn)發(fā)攻擊、天坑攻擊、蠕蟲攻擊、女巫攻擊、流量分析攻擊和中間人攻擊等。有效的應(yīng)對措施有端到端加密，保護路由安全以及使用入侵檢測和安全防御系統(tǒng)（IDPS）等。詳細的通信層協(xié)議的安全機制見第3 節(jié)。

2.3 平臺層

平臺層需要處理大量的數(shù)據(jù)，在數(shù)據(jù)庫安全方面最容易受到威脅。未經(jīng)授權(quán)的訪問、惡意內(nèi)部人員的攻擊、不安全的軟件等是平臺層面臨的主要威脅。為了應(yīng)對這些威脅，平臺層可以采用以下措施：第一，建立遠程認證系統(tǒng)、訪問控制機制和信任框架，確保只有合法的用戶和對象才能使用系統(tǒng)存儲的服務(wù)和數(shù)據(jù)。第二，運用安全編程技術(shù)、防火墻和IDPS 系統(tǒng)，防止數(shù)據(jù)丟失或泄露。最后，為了防止內(nèi)部人員的惡意攻擊，可以建立嚴格的管理和安全規(guī)則以及提高整個信息安全和管理流程的透明度。

2.4 應(yīng)用層

應(yīng)用層會根據(jù)用戶的需求提供服務(wù)。社會工程技術(shù)攻擊、緩沖區(qū)溢出攻擊和后門攻擊是應(yīng)用層的主要威脅。大力宣傳和教育，提高用戶的安全意識是應(yīng)對社會工程技術(shù)攻擊的有效手段。安全編程是應(yīng)對緩沖區(qū)溢出攻擊和后門攻擊的主要措施，增強操作系統(tǒng)的安全性也是提高應(yīng)用層安全性的方法。

3 通信層協(xié)議的安全分析

物聯(lián)網(wǎng)協(xié)議集成了重要的安全機制來滿足前面提到的安全要求。本文討論了IEEE 802.15.4 協(xié)議、6LoWPAN協(xié)議、RPL 協(xié)議、CoAP 協(xié)議的安全機制和局限性。

3.1 IEEE 802.15.4 協(xié)議

IEEE 802.15.4 協(xié)議負責管理PHY 和MAC 子層的通信，控制PHY 和MAC 子層上信息的傳輸。在PHY 子層，它負責監(jiān)督無線電頻率、管理信號和確定通信信道。它在MAC 子層上提供安全機制，且具有處理數(shù)據(jù)、節(jié)點關(guān)聯(lián)、包驗證等功能。

首先，IEEE 802.15.4 中安全服務(wù)是非強制性的。幀控制字段中的安全啟用位（SEB）決定了是否啟用安全服務(wù)。身份驗證安全報頭（ASH）字段決定了需要使用的安全模式的類型。其次，雖然IEEE 802.15.4 協(xié)議提供的安全機制在MAC 子層，但是這些安全機制對物聯(lián)網(wǎng)通信協(xié)議棧的安全也非常重要。比如，只要求信息加密的應(yīng)用程序可以用計數(shù)器安全模式（AES-CTR）加密。需要數(shù)據(jù)完整性和不可否認性的應(yīng)用程序可以用加密區(qū)塊鏈（AESCBC）安全模式加密。最后，IEEE 802.15.4 協(xié)議設(shè)計了應(yīng)對重放攻擊的方案，并且還帶有訪問控制表（access control list，ACL），支持訪問控制功能。

盡管IEEE 802.15.4 協(xié)議包含了重要的安全機制，但它也有一些局限性。它不能保證確認消息（ACK）的完整性和不可否認性，這使攻擊者偽造確認消息并執(zhí)行各種DoS 攻擊成為可能。ACL 不能有效地管理采用了相同加密的密鑰記錄，這會導(dǎo)致在使用流密碼加密時，如果發(fā)送者多次使用同一個密鑰加解密，攻擊者不需要知道密鑰就能成功破解密文。除此之外，在某些情況下，如ACL數(shù)據(jù)被擦除，密鑰也可能會被重新使用。

3.2 6LoWPAN 協(xié)議

因為物聯(lián)網(wǎng)設(shè)備的數(shù)量已經(jīng)達到了百億級別，所以需要采用IPv6 地址作為標識地址。低功率無線個人區(qū)域網(wǎng)（WPANs）中IEEE 802.15.4 最大物理層數(shù)據(jù)報文長度為127 個字節(jié)，而IPv6 要求數(shù)據(jù)報文長度最小為1280字節(jié)。因此，制定了6LoWPAN 協(xié)議，作為適配層用于解決IEEE 802.15.4 和IPv6 協(xié)議之間的互連問題，它用到了分組與重裝、報頭壓縮等技術(shù)。

由于物聯(lián)網(wǎng)設(shè)備資源的限制，6LoWPAN 標準沒有安全機制，解決資源受限情況下的安全問題有如下方案：第一，為6LoWPAN 適配層設(shè)計壓縮安全報頭，這個安全報頭與IPSec 的現(xiàn)有封裝安全有效載荷（ESP）和認證頭（AH）的作用相同。第二，在6LoWPAN 分片報頭中添加時間戳和隨機數(shù)字段，這可以抵抗碎片化攻擊。第三，通過使用密鑰來提高6LoWPAN 協(xié)議安全性，并且要定期更新密鑰以滿足機密性、完整性和不可否認性的要求。密鑰可以采用IKEv2 協(xié)議，該協(xié)議適合在資源受限的物聯(lián)網(wǎng)設(shè)備中使用。在6LoWPAN 協(xié)議中增加安全機制是未來的一個研究方向。

3.3 RPL 協(xié)議

RPL 是適合低功耗有損網(wǎng)絡(luò)的距離矢量路由協(xié)議，它采用ICMPv6 交換路由信息，支持IPv6。路由網(wǎng)絡(luò)拓撲支持單到單、單到多、多到多等網(wǎng)絡(luò)結(jié)構(gòu)。RPL 會構(gòu)建一個以根節(jié)點為導(dǎo)向的有向無環(huán)圖（DODAG），根節(jié)點通過廣播方式完成與其余節(jié)點的信息交互。

RPL 有非安全、預(yù)安裝、身份驗證3 種安全模式。在非安全模式下，RPL 使用無安全機制的控制報文。在預(yù)安裝安全模式下，節(jié)點使用預(yù)安裝密鑰來滿足機密性，完整性和不可否認性的要求，帶有安裝密鑰的節(jié)點可以作為主機或路由器加入網(wǎng)絡(luò)。在身份驗證安全模式下，節(jié)點使用預(yù)安裝密鑰僅能以主機的身份加入網(wǎng)絡(luò)。節(jié)點如果要以路由器的身份加入網(wǎng)絡(luò)，節(jié)點必須從密鑰認證機構(gòu)處獲取第二個密鑰。密鑰認證機構(gòu)在確認請求者可以作為路由器后才向請求者提供第二個密鑰。

RPL 路由協(xié)議的局限性有2 點：第一，RPL 定義的安全密鑰只支持對稱加密，不支持非對稱加密。第二，RPL路由協(xié)議易受網(wǎng)絡(luò)攻擊、不能防范尋址攻擊、難以抵抗復(fù)合攻擊。

3.4 CoAP 協(xié)議

CoAP 協(xié)議可視為HTTP 協(xié)議的輕量級版本，功率受限的物聯(lián)網(wǎng)設(shè)備可以利用該協(xié)議完成應(yīng)用層上的通信。CoAP 由消息層和請求/響應(yīng)層組成。消息層負責控制UDP 協(xié)議上的通信，請求/響應(yīng)協(xié)議負責發(fā)送相應(yīng)的消息，通過維護特定的代碼來管理和避免消息丟失。

CoAP 協(xié)議使用DTLS 協(xié)議做傳輸層來保證安全性，DTLS 在UDP 之上。CoAP 涉及4 種安全模式：無安全模式、預(yù)共享密鑰模式、原始公鑰模式和認證模式。無安全模式不包含任何安全機制。預(yù)共享密鑰模式使用對稱加密技術(shù)，每個設(shè)備要有預(yù)編程的對稱密鑰。原始公鑰模式在不能使用公鑰技術(shù)的設(shè)備上建立非對稱加密，每個設(shè)備需要一對預(yù)編程私鑰和公鑰。認證模式下，通信的雙方需要信任中心構(gòu)造的X.509 證書完成認證。

CoAP 的安全取決于DTLS 協(xié)議。然而DTLS 協(xié)議在物聯(lián)網(wǎng)環(huán)境中存在一些問題，比如，DTLS 將握手消息分片傳輸?shù)牟僮骺赡軙?dǎo)致數(shù)據(jù)包的重傳，進而引發(fā)一些其他問題。此外，使用DTLS 傳輸消息的過程成本很高，不適合在CoAP 代理中使用。因此，CoAP 應(yīng)該使用新的安全解決方案，而不是利用DTLS 協(xié)議。

4 結(jié)束語

針對物聯(lián)網(wǎng)的安全問題，本文介紹了物聯(lián)網(wǎng)設(shè)備的特性、物聯(lián)網(wǎng)的安全要求以及物聯(lián)網(wǎng)的四層架構(gòu)，然后簡要概括感知層、通信層、平臺層、應(yīng)用層的功能，分析了每一層面臨的安全威脅并提出了一些應(yīng)對措施，最后分析了通信子層中IEEE 802.15.4 協(xié)議、6LoWPAN 協(xié)議、RPL協(xié)議、CoAP 協(xié)議的安全機制以及協(xié)議的局限性，為進一步增強物聯(lián)網(wǎng)的安全性提供了參考。