王慧 曾紹平

摘 要：本文通過物聯(lián)網(wǎng)存在的安全風(fēng)險(xiǎn)，從感知層、網(wǎng)絡(luò)層、應(yīng)用層三個(gè)技術(shù)層面，分析了物聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊技術(shù)及相應(yīng)的安全防護(hù)技術(shù)。

關(guān)鍵詞：物聯(lián)網(wǎng)；網(wǎng)絡(luò)攻擊；安全防護(hù)

隨著物聯(lián)網(wǎng)在國家基礎(chǔ)設(shè)施、經(jīng)濟(jì)活動(dòng)、以及智能家居、交通、醫(yī)療等社會(huì)活動(dòng)方面的廣泛應(yīng)用，物聯(lián)網(wǎng)的安全問題已不僅僅局限于網(wǎng)絡(luò)攻防等技術(shù)領(lǐng)域范疇，而是已成為影響人們?nèi)粘Ｉ詈蜕鐣?huì)穩(wěn)定的重要因素。

1 物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析

從信息安全和隱私保護(hù)的角度講，物聯(lián)網(wǎng)各種智能終端的廣泛聯(lián)網(wǎng)，極易遭受網(wǎng)絡(luò)攻擊，增加了用戶關(guān)鍵信息的暴露危險(xiǎn)，也加大了物聯(lián)網(wǎng)系統(tǒng)與網(wǎng)絡(luò)的信息安全防護(hù)難度。

2 物聯(lián)網(wǎng)攻擊技術(shù)及安全防護(hù)體系

2.1 感知層安全問題

⑴物理安全與信息采集安全。感知層是物聯(lián)網(wǎng)的網(wǎng)絡(luò)基礎(chǔ)，由具體的感知設(shè)備組成，感知層安全問題主要是指感知節(jié)點(diǎn)的物理安全與信息采集安全。

⑵典型攻擊技術(shù)。針對(duì)感知層的攻擊主要來自節(jié)點(diǎn)的信號(hào)干擾或者信號(hào)竊取，典型的攻擊技術(shù)主要有阻塞攻擊、偽裝攻擊、重放攻擊及中間人攻擊等。

2.2 網(wǎng)絡(luò)層安全問題

網(wǎng)絡(luò)層主要實(shí)現(xiàn)物聯(lián)網(wǎng)信息的轉(zhuǎn)發(fā)和傳送，包括網(wǎng)絡(luò)拓?fù)浣M成、網(wǎng)絡(luò)路由協(xié)議等。利用路由協(xié)議與網(wǎng)絡(luò)拓?fù)涞拇嗳跣?，可?duì)網(wǎng)絡(luò)層實(shí)施攻擊。

⑴物聯(lián)網(wǎng)接入安全。物聯(lián)網(wǎng)為實(shí)現(xiàn)不同類型傳感器信息的快速傳遞與共享，采用了移動(dòng)互聯(lián)網(wǎng)、有線網(wǎng)、Wi-Fi、WiMAX等多種網(wǎng)絡(luò)接入技術(shù)。網(wǎng)絡(luò)接入層的異構(gòu)性，使得如何為終端提供位置管理以保證異構(gòu)網(wǎng)絡(luò)間節(jié)點(diǎn)漫游和服務(wù)的無縫聯(lián)接時(shí)，出現(xiàn)了不同網(wǎng)絡(luò)間通信時(shí)安全認(rèn)證、訪問控制等安全問題。

跨異構(gòu)網(wǎng)絡(luò)攻擊，就是針對(duì)上述物聯(lián)網(wǎng)實(shí)現(xiàn)多種傳統(tǒng)網(wǎng)絡(luò)融合時(shí)，由于沒有統(tǒng)一的跨異構(gòu)網(wǎng)絡(luò)安全體系標(biāo)準(zhǔn)，利用不同網(wǎng)絡(luò)間標(biāo)準(zhǔn)、協(xié)議的差異性，專門實(shí)施的身份假冒、惡意代碼攻擊、偽裝欺騙等網(wǎng)絡(luò)攻擊技術(shù)。

⑵信息傳輸安全。物聯(lián)網(wǎng)信息傳輸主要依賴于傳統(tǒng)網(wǎng)絡(luò)技術(shù)，網(wǎng)絡(luò)層典型的攻擊技術(shù)主要包括鄰居發(fā)現(xiàn)協(xié)議攻擊、蟲洞攻擊、黑洞攻擊等。

鄰居發(fā)現(xiàn)協(xié)議攻擊。利用IPv6中鄰居發(fā)現(xiàn)協(xié)議（Neighbor Discovery Protocol），使得目標(biāo)攻擊節(jié)點(diǎn)能夠?yàn)槠涮峁┞酚蛇B接，導(dǎo)致目標(biāo)節(jié)點(diǎn)無法獲得正確的網(wǎng)絡(luò)拓?fù)涓兄?，達(dá)到目標(biāo)節(jié)點(diǎn)過載或阻斷網(wǎng)絡(luò)的目的。如Hello洪泛攻擊。

2.3 應(yīng)用層安全問題

應(yīng)用層主要是指建立在物聯(lián)網(wǎng)服務(wù)與支撐數(shù)據(jù)上的各種應(yīng)用平臺(tái)，如云計(jì)算、分布式系統(tǒng)、海量信息處理等，但是，這些支撐平臺(tái)要建立起一個(gè)高效、可靠和可信的應(yīng)用服務(wù)，需要建立相應(yīng)的安全策略或相對(duì)獨(dú)立的安全架構(gòu)。典型的攻擊技術(shù)包括軟件漏洞攻擊、病毒攻擊、拒絕服務(wù)流攻擊。

3 物聯(lián)網(wǎng)安全防護(hù)的關(guān)鍵技術(shù)

物聯(lián)網(wǎng)安全防護(hù)，既有傳統(tǒng)信息安全的各項(xiàng)技術(shù)需求，又包含了物聯(lián)網(wǎng)自身的特殊技術(shù)規(guī)范，特別是物物相連的節(jié)點(diǎn)安全。

3.1 節(jié)點(diǎn)認(rèn)證機(jī)制技術(shù)

節(jié)點(diǎn)認(rèn)證機(jī)制是指感知層節(jié)點(diǎn)與用戶之間信息傳送時(shí)雙方進(jìn)行身份認(rèn)證，確保非法節(jié)點(diǎn)節(jié)點(diǎn)及非法用戶不能接入物聯(lián)網(wǎng)，確保信息傳遞安全。通過加密技術(shù)和密鑰分配，保證節(jié)點(diǎn)和用戶身份信息的合法性及數(shù)據(jù)的保密性，從而防止在傳遞過程中數(shù)據(jù)被竊取甚至篡改。

物聯(lián)網(wǎng)主要采用對(duì)稱密碼或非對(duì)稱密碼進(jìn)行節(jié)點(diǎn)認(rèn)證。對(duì)稱密碼技術(shù)，需要預(yù)置節(jié)點(diǎn)間的共享密鑰，效率高，消耗資源較少；采用非對(duì)稱密碼技術(shù)的傳感，通常對(duì)安全性要求更高，對(duì)自身網(wǎng)絡(luò)性能也同樣要求很高。在二者基礎(chǔ)上發(fā)展的PKI技術(shù)，由公開密鑰密碼技術(shù)、數(shù)字證書、證書認(rèn)證中心等組成，確保了信息的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性，是物聯(lián)網(wǎng)環(huán)境下保障信息安全的重要方案。

3.2 入侵檢測技術(shù)

入侵檢測技術(shù)，能夠及時(shí)發(fā)現(xiàn)并報(bào)告物聯(lián)網(wǎng)中未授權(quán)或異常的現(xiàn)象，檢測物聯(lián)網(wǎng)中違反安全策略的各種行為。

信息收集是入侵檢測的第一步，由放置在不同網(wǎng)段的傳感器來收集，包括日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行等情況。信息分析是入侵檢測的第二步，上述信息被送到檢測引擎，通過模式匹配、統(tǒng)計(jì)分析和完整性分析等方法進(jìn)行非法入侵告警。結(jié)果處理是入侵檢測的第三步，按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性等。

3.3 訪問控制技術(shù)

訪問控制在物聯(lián)網(wǎng)環(huán)境下被賦予了新的內(nèi)涵，從TCP/IP網(wǎng)絡(luò)中主要給“人”進(jìn)行訪問授權(quán)、變成了給機(jī)器進(jìn)行訪問授權(quán)，有限制的分配、交互共享數(shù)據(jù)，在機(jī)器與機(jī)器之間將變得更加復(fù)雜。

訪問控制技術(shù)用于解決誰能夠以何種方式訪問哪些系統(tǒng)資源的問題。適當(dāng)?shù)脑L問控制能夠阻止未經(jīng)允許的用戶有意或無意獲取數(shù)據(jù)。其手段包括用戶識(shí)別代碼、口令、登錄控制、資源授權(quán)、授權(quán)核查、日志和審計(jì)等。

[參考文獻(xiàn)]

[1]劉宴兵，胡文平.物聯(lián)網(wǎng)安全模型與關(guān)鍵技術(shù).數(shù)字通信，2010.8.

[2]臧勁松.物聯(lián)網(wǎng)安全性能分析.計(jì)算機(jī)安全，2010.6.

[3]葉青.物聯(lián)網(wǎng)安全問題技術(shù)分析.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010.10.

[4]劉件，候毅.物聯(lián)網(wǎng)時(shí)代的信息安全防護(hù)研究.微計(jì)算機(jī)應(yīng)用，2011.1.