文/姚文學

物聯(lián)網安全綜述

文/姚文學

一、引言

圖1：紅色為美國遭受攻擊斷網的區(qū)域

2016年10月21日，美國DNS服務提供商Dyn遭受大規(guī)模攻擊，導致諸多網站停止服務。據統(tǒng)計，這次攻擊使得美國幾乎半個互聯(lián)網癱瘓。而且，這斷斷續(xù)續(xù)長達6個小時的攻擊，毫不夸張的說，此次損失為天文數字。（圖1）

此次事件的元兇是惡意軟件“Mirai”源代碼，黑客使用Mirai與物聯(lián)網相結合，通過互聯(lián)網搜索物聯(lián)網設備，當掃描到物聯(lián)網設備（包括網絡攝像頭，智能開關等）后就嘗試使用默認密碼登陸，（一般是admin/admin，admin/123456之類的弱密碼，Mirai病毒自帶60個通用密碼）。一旦登陸成功，這臺設備就成為“肉雞”，開始被黑客操控攻擊其他網絡設備，由此造成了有史以來最大的DDoS攻擊。

由于物聯(lián)網設備容易妥協(xié)、很難修補的特點，物聯(lián)網將來會成為完美的僵尸網絡。隨著物聯(lián)網的發(fā)展，智能硬件大約都可能成為網絡攻擊的入口。而其規(guī)模龐大，安全性能上的缺失都將助長網絡攻擊的囂張氣焰。

二、物聯(lián)網架構

（一）物聯(lián)網的定義

物聯(lián)網是通過射頻識別（RFID）、紅外感應器、全球定位系統(tǒng)、激光掃描器等信息傳感設備，按約定的協(xié)議把任意物品與互聯(lián)網連接起來，進行信息交換和通信，以實現(xiàn)智能化識別、定位、跟蹤、監(jiān)控和管理的一種網絡。物聯(lián)網就是“物與物相連的互聯(lián)網”，其包含兩層含義：第一，物聯(lián)網是在互聯(lián)網的基礎上延伸和擴展的網絡，其核心仍然是互聯(lián)網；第二，物聯(lián)網的用戶端延伸和擴展到任何物品之間進行信息交換和數據通信。

物聯(lián)網的常見定義有兩個，分別來自于Gartner和HavardBusinessReview:

1.物聯(lián)網是物體的互聯(lián)網絡，這些物體可以通過內嵌技術進行感知和通信，了解外部環(huán)境狀態(tài)或彼此的狀態(tài)。（Gartner）

2.物聯(lián)網是一互聯(lián)的智能設備，它們能進行編排組合，產生新的應用、可靠性、可用性、或新的系統(tǒng)。（HarvardBusinessReview）

（二）物聯(lián)網的架構

物聯(lián)網是傳統(tǒng)網絡的延伸和擴展，將網絡用戶端延伸和擴展到物與物之間，是一種新型的信息傳輸和交換形式。物聯(lián)網是一個由感知層、網絡層和應用層共同組成的大規(guī)模信息系統(tǒng)，其核心結構主要包括：

1.感知層，如智能卡、RFID電子標簽、傳感器網絡等，其主要功能是采集各種基礎的數據信息；

2.網絡層，如局域網、互聯(lián)網、無線網絡等,其主要功能是實現(xiàn)數據信息的交換與通信；

3.應用層，主要負責物聯(lián)數據的分析處理和控制決策，以便實現(xiàn)智能化的應用和服務，從而最終實現(xiàn)人與物、物與物的聯(lián)通。

物聯(lián)網的體系結構如附圖所示。就其體系結構來看，物聯(lián)網體現(xiàn)的是融合的思想，跨越在有線網絡和無線網絡的基礎介質之上。（圖2）

（三）物聯(lián)網的安全現(xiàn)狀

物聯(lián)網是繼互聯(lián)網和移動計算之后的新趨勢，是計算的未來。在物聯(lián)網蓬勃發(fā)展的同時，其背后隱藏的安全問題也逐漸凸顯出來。除了要應對傳統(tǒng)IP網絡已知的安全問題之外，物聯(lián)網還存在著大量自身獨有的安全問題。同互聯(lián)網一樣，物聯(lián)網同樣面臨著網絡管理與控制等一系列問題，如果這些問題不能得到很好的解決，將會在很大程度上制約物聯(lián)網的進一步發(fā)展。網絡的安全隱患是客觀存在的，而物聯(lián)網又是隨機分布在由傳感器組成的網絡和無處不在的無線網絡之中，為各種網絡攻擊提供了非常廣闊的空間，其安全隱患更加突出。

圖2：物聯(lián)網的體系構

三、物聯(lián)網安全問題淺析

（一）感知層安全問題

感知層的任務是全面感知外界信息，或者說是原始信息收集器。該層的典型設備包括RFID裝置、各類傳感器（如紅外、超聲、溫度、濕度、速度等）、圖像捕捉裝置（攝像頭）、全球定位系統(tǒng)（GPS）、激光掃描儀等。可能遇到的安全問題包括：

1.由于感知節(jié)點監(jiān)測網絡的不同內容、提供各種不同格式的事件數據來表征網絡系統(tǒng)當前的狀態(tài)。然而，這些傳感智能節(jié)點又容易受侵。

2.標簽信息的截獲和對這些信息的破解。這些信息可以通過無線網絡平臺傳輸，這會給信息的安全代理影響。

3.傳感網的節(jié)點受來自于網絡的DoS攻擊。因為傳感網通常要接入其他外在網絡（包括互聯(lián)網），所以就難免受到來自外部網絡的攻擊。主要攻擊除了非法訪問外，拒絕服務（DoS）攻擊也最為常見。傳感網節(jié)點的資源（計算和通信能力）有限，對抗DoS攻擊的能力比較脆弱，在互聯(lián)網環(huán)境里并不嚴重的DoS攻擊行為，在物聯(lián)網中就可能造成傳感網癱瘓。

（二）傳輸層安全問題

物聯(lián)網的傳輸層主要用于把感知層收集到的信息安全可靠地傳輸到信息處理層，然后進行信息處理。在信息傳輸中，可能經過一個或多個不同架構的網絡進行信息交接。在物聯(lián)網環(huán)境中這一現(xiàn)象更突出，可能產生信息安全隱患?；ヂ?lián)網的安全問題都可能傳導到物聯(lián)網的傳輸層，甚至產生更嚴重的問題。物聯(lián)網傳輸層將會遇到以下安全問題：

1.DoS攻擊、DDoS攻擊。由于物聯(lián)網中節(jié)點數量龐大，而且以集群方式存在，會產生大量的數據需要傳播，這些巨量的數據會使網絡擁塞，以至于產生拒絕服務攻擊；

2.假冒攻擊、中間人攻擊等；

3.跨異構網絡的網絡攻擊。

（三）應用層安全問題

應用層對接收的信息加以處理。它需要判斷哪些信息是有用的信息，哪些是垃圾信息甚至是惡意信息。處理的數據既有一般性數據，也有操作指令。特別值得警惕的是錯誤指令（如指令發(fā)出者的操作失誤、網絡傳輸錯誤、得到惡意修改等），或者是攻擊者的惡意指令。如何識別有用的信息，又如何甄別并有效防范惡意信息和指令帶來的威脅是物聯(lián)網應用層的主要安全問題。這些問題包括：

1.由于超大量終端提供了海量的數據，來不及識別和處理；

2.智能設備的智能失效，導致效率嚴重下降；

3.自動處理失控；

4.無法實現(xiàn)災難控制并從災難中恢復；

5.非法人為干預造成故障；

6.設備從網絡中邏輯丟失。

四、解決方案探討

（一）感知層安全措施

RFID的嵌入以及各傳感器節(jié)點的安全性略低，因此，對物聯(lián)網的芯片、節(jié)點可以采取一些物理安全機制來實現(xiàn)其安全保障性能。

物理方法主要有靜電屏蔽、阻塞標簽、選擇性鎖定等方法。

1.靜電屏蔽機制通過使用靜電屏蔽技術將標簽屏蔽，使標簽無法被激活，這能避免標簽在不必要或被攻擊者利用的的情況下被閱讀及進行通信。

2.阻塞標簽使用標簽隔離機制來中斷讀寫器與全部或指定標簽的通信，阻塞標簽能夠同時模擬多種標簽，消費者可以使用阻塞標簽有選擇地中斷讀寫器與某些標簽之間的無線通信。

3.選擇性鎖定方法使用一個被稱為“鎖定者”的特殊標簽來模擬無窮的標簽的一個部分，這一方法可以阻止不在被允許范圍內的閱讀器讀取某個標簽的信息，與靜電屏蔽技術類似。

這幾種方法能夠在一定程度上使RFID的標簽安全性得到保障，同時各傳輸節(jié)點也可以利用類似的物理性質的方法進行保護。

（二）傳輸層的安全措施

完善傳輸級的安全技術保障信息在傳輸時的安全，可以通過數據加密技術來實現(xiàn)。加密的作用在于阻止攻擊者對截獲的信息進行破譯。另外，加密能夠降低所傳輸的信息被盜竊的風險。密匙作為物聯(lián)網安全技術的基礎，它就像一把大門的鑰匙一樣，在網絡安全中起著決定性作用。

但是適用于物聯(lián)網的信息加密方案應能保證以下兩點：一是能適應感知節(jié)點有限的資源。二是能夠保證攻擊者無法或很難從已獲取的節(jié)點信息中推導出其他節(jié)點的信息。滿足了這兩點，物聯(lián)網在傳輸過程中的安全性才能夠得到一定的保障。此外，應加強傳輸層的跨域認證和跨網認證的研究。通過認證，進行通信的雙方能夠確認對方的真實身份。由于物聯(lián)網主要是人與物、物與物之間的無線通信，相比于傳統(tǒng)網絡，物聯(lián)網環(huán)境下的訪問控制機制要復雜的多。由于物聯(lián)網要實現(xiàn)“無處不在的感知”、“物物互聯(lián)”的功能，在其應用中要用到大量的傳感器節(jié)點且種類各異，因此，在加密方式和認證方式上存在很大的挑戰(zhàn)性。

物聯(lián)網密鑰管理系統(tǒng)面臨兩個主要問題：一是如何構建一個貫穿多個網絡的統(tǒng)一密鑰管理系統(tǒng)，并與物聯(lián)網的體系結構相適應；二是如何解決傳感網的密鑰管理問題，如密鑰的分配、更新、組播等問題。

實現(xiàn)統(tǒng)一的密鑰管理系統(tǒng)可以采用兩種方式：一是以互聯(lián)網為中心的集中式管理方式。二是以各自網絡為中心的分布式管理方式。

無線傳感器網絡的密鑰管理系統(tǒng)的設計在很大程度上受到其自身特征的限制，因此在設計需求上與有線網絡和傳統(tǒng)的資源不受限制的無線網絡有所不同，特別要充分考慮到無線傳感器網絡傳感節(jié)點的限制和網絡組網與路由的特征。它的安全需求主要體現(xiàn)在：

1.密鑰生成或更新算法的安全性：利用該算法生成的密鑰應具備一定的安全強度，不能被網絡攻擊者輕易破解或者花很小的代價破解。也即是加密后保障數據包的機密性。

2.前向私密性：對中途退出傳感器網絡或者被俘獲的惡意節(jié)點，在周期性的密鑰更新或者撤銷后無法再利用先前所獲知的密鑰信息生成合法的密鑰繼續(xù)參與網絡通信，即無法參加與報文解密或者生成有效的可認證的報文。

3.后向私密性和可擴展性：新加入傳感器網絡的合法節(jié)點可利用新分發(fā)或者周期性更新的密鑰參與網絡的正常通信，即進行報文的加解密和認證行為等。而且能夠保障網絡是可擴展的，即允許大量新節(jié)點的加入。

4.抗同謀攻擊：在傳感器網絡中，若干節(jié)點被俘獲后，其所掌握的密鑰信息可能會造成網絡局部范圍的泄密，但不應對整個網絡的運行造成破壞性或損毀性的后果即密鑰系統(tǒng)要具有抗同謀攻擊。

5.源端認證性和新鮮性：源端認證要求發(fā)送方身份的可認證性和消息的可認證性，即任何一個網絡數據包都能通過認證和追蹤尋找到其發(fā)送源，且是不可否認的。新鮮性則保證合法的節(jié)點在一定的延遲許可內能收到所需要的信息。新鮮性除了和密鑰管理方案緊密相關外，與傳感器網絡的時間同步技術和路由算法也有很大的關聯(lián)。

根據這些要求，在密鑰管理系統(tǒng)的實現(xiàn)方法中，人們提出了基于對稱密鑰系統(tǒng)的方法和基于非對稱密鑰系統(tǒng)的方法。在基于對稱密鑰的管理系統(tǒng)方面，從分配方式上也可分為以下三類：基于密鑰分配中心方式、預分配方式和基于分組分簇方式。與非對稱密鑰系統(tǒng)相比，對稱密鑰系統(tǒng)在計算復雜度方面具有優(yōu)勢，但在密鑰管理和安全性方面卻有不足。特別是在物聯(lián)網環(huán)境下，如何實現(xiàn)與其他網絡的密鑰管理系統(tǒng)的融合是值得探討的問題。為此，人們將非對稱密鑰系統(tǒng)也應用于無線傳感器網絡。

近幾年作為非對稱密鑰系統(tǒng)的基于身份標識的加密算法（identity—basedencryption，IBE）引起了人們的關注。該算法的主要思想是加密的公鑰不需要從公鑰證書中獲得，而是直接使用標識用戶身份的字符串。其中比較優(yōu)秀的是由Boneh等提出的IBE算法實現(xiàn)。

（三）應用層安全措施

應用層處理傳輸來的海量感知數據，進行存儲、計算，對于這一層的網絡防護，可以遵循以下幾條原則。

1.隱私原則：允許用戶本著自愿的原則，根據個人需要，與移動通信運營商、物聯(lián)網服務提供商協(xié)商設計個人信息的使用范圍以及進行必要的協(xié)議簽訂，使終端用戶的安全和隱私得到保障。

2.身份匿名：將個人敏感信息用匿名編碼代替或者進行加密，防止攻擊者直接使用竊取的個人數據信息。

3.數據混淆：利用“騙”的方法，即采用必要的算法，對涉及的個人資料與別的信息進行置換和混淆，避免被攻擊者直接竊取和使用。

4.加強數據庫的訪問控制策略：應根據安全級別或身份限制其權限和操作，可以采用身份驗證的方法進行實現(xiàn)。

五、糧食物聯(lián)網安全要點

在智能糧庫中涉及到大量的物聯(lián)網設備，在出入庫、智能倉儲、糧情監(jiān)控、智能安防等多個環(huán)節(jié)都涉及到物聯(lián)網安全問題。根據筆者的實踐經驗，糧食物聯(lián)網安全關鍵點如下：

（一）物聯(lián)設備采用標準化協(xié)議連接。通過協(xié)議標準化，可以實現(xiàn)針對協(xié)議內容的加密傳輸和處理，避免出現(xiàn)數據泄露或身份冒充等情況。我們推薦采用標準的MQTT協(xié)議，這個協(xié)議在網絡層、傳輸層、應用層都提供了較好的安全機制。同時，通過協(xié)議的標準化，可以實現(xiàn)設備的廠商無關性，避免廠商設備安全引發(fā)的連鎖問題。

（二）智能物聯(lián)設備，包括智能門窗、熏蒸等有處理能力的物聯(lián)設備，必須對管理口令進行強制檢查，確保不會因為弱口令被攻破?？梢圆捎迷频慕y(tǒng)一配置管理工具，實現(xiàn)對多個智能設備的口令記錄和保護。

（三）物聯(lián)設備和應用層之間，必須設置二次校驗機制，確保在一端被控制的情況下，另一端不會由于簡單的信任機制也被攻破。同樣，物聯(lián)設備之間的連接也需要設置二次校驗，以防止同謀攻擊。

（四）物聯(lián)設備的軟件需要定期檢查、升級和打補丁，以免由于軟件漏洞導致系統(tǒng)風險。由于很多物聯(lián)設備的軟件都是來自開源社區(qū)，因此在系統(tǒng)上線時，以及運維過程中，需要對軟件進行掃描和監(jiān)控，及時進行補丁和升級。

作者單位：怡和祥云（北京）科技有限公司