云計算技術條件下的物聯(lián)網(wǎng)安全策略

孟 玉，王 麗，譚 斐

（棗莊職業(yè)學院，山東 棗莊 277100）

0 引 言

早在2009年，物聯(lián)網(wǎng)就作為國家五大新興戰(zhàn)略性產(chǎn)業(yè)之一而備受關注。經(jīng)過多年發(fā)展，物聯(lián)網(wǎng)技術已經(jīng)愈發(fā)成熟，在為行業(yè)發(fā)展提供助力的同時，也暴露出了一定的安全問題。隨著物聯(lián)網(wǎng)技術的進一步發(fā)展，其與云計算相結(jié)合屬于大勢所趨，云計算可以為物聯(lián)網(wǎng)提供更加可靠的架構(gòu)，推動物聯(lián)網(wǎng)的規(guī)模進一步擴大。云計算平臺是物聯(lián)網(wǎng)進行數(shù)據(jù)交換與共享的重要平臺，云計算平臺的安全性對物聯(lián)網(wǎng)的安全性具有直接影響?；谀壳按嬖诘母鞣N安全隱患，對云計算條件下的物聯(lián)網(wǎng)安全策略展開研究具有重要的現(xiàn)實意義。

1 物聯(lián)網(wǎng)與云計算概述

云計算由分布式計算、網(wǎng)格計算、并行計算等發(fā)展而來，利用云計算技術可以實現(xiàn)海量信息的計算、存儲[1]。根據(jù)服務方式的不同，可以將云計算分為3種，即公有云、私有云與混合云[2]。物聯(lián)網(wǎng)指的是基于約定的協(xié)議，將信息傳感設備與互聯(lián)網(wǎng)連接，實現(xiàn)各個傳感器設備之間的信息交換，從而對網(wǎng)絡進行一系列智能化監(jiān)控與管理操作[3,4]。物聯(lián)網(wǎng)可以實現(xiàn)“萬物互聯(lián)”，即將世界萬物通過網(wǎng)絡進行連接，從而進行數(shù)據(jù)、信息共享與交換[5]。物聯(lián)網(wǎng)技術的實現(xiàn)依賴基礎設施與高端技術的支撐，其核心在于智能化與便利性。云計算具有成本低、計算快、效率高、操作簡單以及可擴展性強等特點，以云計算技術為核心構(gòu)建物聯(lián)網(wǎng)平臺，能夠在提高計算效率的同時降低儲存成本，以更少的成本獲得更高的利潤。

以物聯(lián)網(wǎng)的本質(zhì)屬性與應用特征為標準，云計算條件下的物聯(lián)網(wǎng)體系結(jié)構(gòu)可以分成感知層、網(wǎng)絡層與應用層，如圖1所示。

圖1 云計算條件下的物聯(lián)網(wǎng)體系結(jié)構(gòu)

其中，感知層為最底層，屬于物聯(lián)網(wǎng)的基礎組成，通常包括射頻識別技術（Radio Frequency Identification，RFID）、閱讀器、傳感器、條形碼以及智能卡等信息感知設備，可以對物理世界中的各種數(shù)據(jù)、信息、事件進行感知與控制[6]。網(wǎng)絡層為中間層，通常建立在現(xiàn)有互聯(lián)網(wǎng)和通信網(wǎng)的基礎上，包括各種核心網(wǎng)、有線網(wǎng)、無線網(wǎng)以及接入網(wǎng)，可以將感知層采集到的數(shù)據(jù)與信息進行控制和雙向傳遞。應用層為遠程終端層，可以實現(xiàn)與各行業(yè)系統(tǒng)的結(jié)合，分析、處理感知數(shù)據(jù)，為用戶提供所需服務，實現(xiàn)物物互聯(lián)的應用方案。

2 云計算在物聯(lián)網(wǎng)中應用的重要性

隨著物聯(lián)網(wǎng)的不斷發(fā)展，其與云計算的融合已經(jīng)成為行業(yè)主要發(fā)展趨勢。相較于傳統(tǒng)的互聯(lián)網(wǎng)數(shù)據(jù)中心，云計算平臺不僅在資源使用率上具有顯著優(yōu)勢，而且還可以有效降低運營成本，創(chuàng)造更大的利潤空間。云計算技術的應用能夠有效滿足物聯(lián)網(wǎng)的發(fā)展要求，可以對多模式、多位置、多源頭的數(shù)據(jù)、信息進行有效管控，為數(shù)據(jù)安全性提供重要保障[7]。與傳統(tǒng)計算模式相比，云計算在儲存、計算、分析等方面具有非常明顯的優(yōu)勢，將其應用于物聯(lián)網(wǎng)中，在數(shù)據(jù)計算、信息存儲等方面均能滿足物聯(lián)網(wǎng)發(fā)展的需求。

3 云計算技術條件下的物聯(lián)網(wǎng)面臨的常見安全威脅

在物聯(lián)網(wǎng)技術發(fā)展中，安全問題始終是首要難題。云計算屬于開放性平臺，基于云計算平臺建設物聯(lián)網(wǎng)，就意味著物聯(lián)網(wǎng)也同樣繼承了云計算平臺面臨的安全問題。根據(jù)物聯(lián)網(wǎng)的結(jié)構(gòu)體系，其安全威脅主要體現(xiàn)在感知層、網(wǎng)絡層、應用層上，具體分析如下。

3.1 感知層的安全威脅

物聯(lián)網(wǎng)體系中感知層處在底層，作用是信息感知。在物聯(lián)網(wǎng)安全中，感知層安全是重中之重。因為感知層節(jié)點數(shù)量較多，且相對而言硬件結(jié)構(gòu)比較簡單，所以更容易受到攻擊，普通加密技術的安全防護效果十分有限。以現(xiàn)階段的實際情況來看，物聯(lián)網(wǎng)感知層的常見安全威脅包括以下幾種。

（1）本地安全。物聯(lián)網(wǎng)經(jīng)常被應用在一些復雜、危險的工作場景中代替人工，其感知節(jié)點通常處于無人看管的狀態(tài)下，這就意味著攻擊者可以輕易對節(jié)點進行破壞，帶來安全威脅。

（2）能量耗盡。能量耗盡指利用協(xié)議漏洞，以持續(xù)不間斷通信的方式耗盡節(jié)點能量資源。因為感知層節(jié)點功能相對而言較為簡單且能量較少，所以攻擊者常通過這種方式對物聯(lián)網(wǎng)進行攻擊。

（3）隱私保護。物聯(lián)網(wǎng)強調(diào)“萬物互聯(lián)”，即每個人、每件物品均與網(wǎng)絡連接，隨時被感知層所感知，個人信息、業(yè)務數(shù)據(jù)存在丟失、被篡改或盜用等安全問題。

（4）跨網(wǎng)認證。在物聯(lián)網(wǎng)的體系結(jié)構(gòu)中存在很多異構(gòu)網(wǎng)絡，異構(gòu)網(wǎng)絡通信功能的實現(xiàn)需要進行跨網(wǎng)認證，而跨網(wǎng)認證的過程中就可能面臨異步攻擊、合謀攻擊、拒絕服務（Denial of Service，DoS）攻擊等問題。

3.2 網(wǎng)絡層的安全威脅

在感知層感知到數(shù)據(jù)與信息后，由網(wǎng)絡層對其進行控制。作為一個多網(wǎng)絡疊加的開放性網(wǎng)絡，網(wǎng)絡層的數(shù)據(jù)傳輸信息的規(guī)模十分龐大，其面臨的常見安全威脅體現(xiàn)在以下幾方面。

（1）分布式拒絕服務攻擊。在一小段時間內(nèi)同時發(fā)布海量請求，讓請求覆蓋網(wǎng)絡，占盡網(wǎng)絡資源，以此來降低常規(guī)流量速度，甚至使其完全中斷。

（2）跨異構(gòu)網(wǎng)絡的攻擊。攻擊者通常會取得某一網(wǎng)絡的合法身份，之后在通過其他異構(gòu)網(wǎng)絡實施攻擊行為，此種攻擊后果比較嚴重，會直接導致網(wǎng)絡癱瘓。

（3）偽造網(wǎng)絡消息和中間人攻擊。攻擊者通過偽造網(wǎng)絡消息來發(fā)送錯誤的信令指示，讓設備斷開連接或者作出其他不正確的響應。中間人攻擊會讓網(wǎng)絡與設備斷開連接或偽造錯誤的請求，給網(wǎng)絡帶來安全威脅。

3.3 應用層的安全威脅

應用層也稱功能層，由于結(jié)構(gòu)復雜、數(shù)據(jù)龐大且不確定因素眾多，因此面臨著較多的安全威脅。

（1）數(shù)據(jù)的隱私問題。物聯(lián)網(wǎng)實現(xiàn)了萬物互聯(lián)，當用戶將數(shù)據(jù)、信息上傳到云端后，會隨機儲存到服務器上，而且這些被上傳的信息、數(shù)據(jù)還要經(jīng)過云計算平臺的分析、處理，這就意味著云計算平臺具有優(yōu)先訪問這些數(shù)據(jù)或信息的權(quán)限，存在一定的安全隱患。

（2）虛擬化引發(fā)的安全隱患。利用云計算平臺，基于虛擬化技術可以實現(xiàn)多用戶資源共享，虛擬化使數(shù)據(jù)變得“透明”，其他非法用戶可以進行訪問，由此也會產(chǎn)生安全問題。

4 云計算技術條件下的物聯(lián)網(wǎng)安全策略

4.1 感知層的安全策略

首先，合理選擇安全路由協(xié)議。在條件允許的情況下，盡可能使用Hash函數(shù)中的RFID安全協(xié)議，從根本上提高感知層的可靠性與安全性。其次，采用更有效的防御與入侵檢測技術。在云計算條件下，普通的密碼機制已經(jīng)無法滿足物聯(lián)網(wǎng)的安全需求，對此可以采用入侵檢測技術。通過該技術可以隔離異常入侵行為，包括未授權(quán)的訪問行為、違規(guī)的安全行為以及異常操作。最后，采用密鑰管理，結(jié)合密鑰掛鏈與加密算法可以實現(xiàn)對分層傳感器的有效安全管理，進一步提升物聯(lián)網(wǎng)的安全性能。

4.2 網(wǎng)絡層的安全策略

首先，建立完善的認證機制，包括身份認證機制與消息認證機制。認證機制本質(zhì)上就是通過某種方式對訪問者身份進行確認，是雙方可以交換會話密鑰的重要前提，有效的認證機制可以為網(wǎng)絡層信息交換的保密性與及時性提供保障。保密性指通過加密的方式進行會話傳送，以避免會話密鑰泄露，而及時性可以避免消息重放的問題。其次，構(gòu)建完善的訪問控制機制。訪問控制機制指的是用戶合法使用資源的認證，現(xiàn)階段最常見的訪問控制機制為基于角色的訪問控制。在基于角色的訪問控制中，每名用戶都有自身的角色，只有通過認證后用戶才能獲得相應的資源訪問權(quán)限，相同角色具有相同的訪問權(quán)限。最后，合理選擇加密技術。在信息安全技術中，加密控制是核心所在，對物聯(lián)網(wǎng)安全具有至關重要的影響。采用加密技術可以通過密碼算法讓明文變成密文，將密文傳送到合法接收端，再通過正確的解密算法對密文進行還原得到明文。

4.3 應用層的安全策略

首先，加強數(shù)據(jù)完整性與機密性防護。通常情況下，用戶會通過加密手段進行隱私保護，但是傳統(tǒng)的數(shù)據(jù)加密方式已經(jīng)略顯滯后，對此可以應用新型的同態(tài)加密等方法進行有效加密。其次，采用有效的數(shù)據(jù)隔離技術。基于云計算的物聯(lián)網(wǎng)平臺中，不同虛擬機之間可能會出現(xiàn)非法訪問，導致安全隱患。為了避免這一問題，需要采取有效的數(shù)據(jù)隔離技術，對每一位用戶的數(shù)據(jù)進行有效隔離。最后，提高數(shù)據(jù)存儲的安全性。一方面，要建設具有高度安全性的物聯(lián)網(wǎng)環(huán)境；另一方面，要對用戶上傳的數(shù)據(jù)進行備份。需要注意的是，在建設數(shù)據(jù)備份系統(tǒng)時，應充分考慮設備的高擴展性和數(shù)據(jù)的兼容性。

5 結(jié) 論

云計算技術條件下的物聯(lián)網(wǎng)擁有更加廣闊的發(fā)展空間，技術水平、運作效率以及運行成本均可以實現(xiàn)更優(yōu)?；谠朴嬎慵夹g建設物聯(lián)網(wǎng)，可以滿足物聯(lián)網(wǎng)技術的發(fā)展需求，充分體現(xiàn)物聯(lián)網(wǎng)技術在不同領域的應用優(yōu)勢。由于基于云計算平臺的物聯(lián)網(wǎng)尚缺乏統(tǒng)一標準的架構(gòu)，因此未來還需要深入探索物聯(lián)網(wǎng)架構(gòu)的安全運行機制，在發(fā)揮云計算技術高效率、低成本優(yōu)勢的同時，進一步提升物聯(lián)網(wǎng)的安全等級，為用戶提供更好的應用體驗。