摘 要：隨著5G技術(shù)的提出和發(fā)展，物聯(lián)網(wǎng)將成為5G網(wǎng)絡(luò)技術(shù)下的直接受益者，盡管安全和隱私問題愈加嚴重，但是諸如智慧辦公、智能家居等物聯(lián)網(wǎng)設(shè)備被更多的普通消費者和企業(yè)采用。文章針對物聯(lián)網(wǎng)的大量設(shè)備攻擊、對數(shù)據(jù)中心和云服務(wù)為目的進行的DDos攻擊繼續(xù)快速增長問題，分別從物聯(lián)網(wǎng)的感知層、傳輸層和應(yīng)用層介紹了可能存在的網(wǎng)絡(luò)安全隱患和安全防護措施，面對新的挑戰(zhàn)，需要更多的對物聯(lián)網(wǎng)安全密碼技術(shù)的研究，保證物聯(lián)網(wǎng)安全、高效地應(yīng)用。

關(guān)鍵詞：物聯(lián)網(wǎng);5G網(wǎng)絡(luò);數(shù)據(jù)中心;安全隱患;密碼技術(shù)

物聯(lián)網(wǎng)最早是從射頻識別和傳感網(wǎng)絡(luò)發(fā)展而來，是將射頻識別（Radio Frequency Identification，RFID）信號進行遠距離識別和處理的一種技術(shù)。隨著5G技術(shù)的發(fā)展，物聯(lián)網(wǎng)得到了廣泛的關(guān)注。物聯(lián)網(wǎng)需要更高質(zhì)量網(wǎng)絡(luò)的支持，包括更高的傳輸速率、更大的設(shè)備容量、更強的安全性等關(guān)鍵方面的改進。5G網(wǎng)絡(luò)能為物聯(lián)網(wǎng)快速發(fā)展提供需要的技術(shù)，物聯(lián)網(wǎng)也將是5G網(wǎng)絡(luò)快速發(fā)展的重要受益者。但是越來越多的網(wǎng)絡(luò)安全攻擊使得物聯(lián)網(wǎng)變得非常不安全，網(wǎng)絡(luò)聯(lián)機的設(shè)備越多，網(wǎng)絡(luò)安全風(fēng)險就會越大，所以，保證物聯(lián)網(wǎng)安全刻不容緩。

由于物聯(lián)網(wǎng)連接的終端數(shù)將遠超互聯(lián)網(wǎng)，處理的數(shù)據(jù)會比互聯(lián)網(wǎng)大很多，所以安全性問題將會更加突出。物聯(lián)網(wǎng)從下到上可分為感知層、傳輸層、應(yīng)用層，需要對每一個層次的安全性做不同于傳統(tǒng)互聯(lián)網(wǎng)的區(qū)別對待，才能應(yīng)對可能的網(wǎng)絡(luò)安全隱患。物聯(lián)網(wǎng)3層體系結(jié)構(gòu)如圖1所示。物聯(lián)網(wǎng)的基礎(chǔ)是感知層，感知層是將物理世界和信息世界聯(lián)系起來的重要紐帶，包含大量具有通信、感知、識別能力的智能物體和感知網(wǎng)絡(luò)，與感知層相關(guān)的安全防護主要有設(shè)備認證系統(tǒng)、固件簽名（Signed Firmware）和安全引導(dǎo)（Secure Boot）密碼的哈希加密與安全存儲等內(nèi)容，主要技術(shù)如射頻識別技術(shù)（Radio Frequency Identification，RFID）、Zig-Bee技術(shù)、藍牙技術(shù)和二維碼技術(shù)。傳輸層是物聯(lián)網(wǎng)的神經(jīng)中樞，包括網(wǎng)絡(luò)管理中心、智能處理中心、信息管理中心等，負責信息的傳遞和處理，與傳輸層相關(guān)的安全防護主要有節(jié)點認證、安全的傳輸協(xié)議、分布式拒絕服務(wù)攻擊的防護等內(nèi)容。應(yīng)用層實現(xiàn)了廣泛的智能化，完成了行業(yè)需求與“社會分工”的結(jié)合，應(yīng)用層相關(guān)的安全防護主要有可信任的密鑰管理、安全的云計算平臺、建立物聯(lián)網(wǎng)安全認證標準等內(nèi)容。本文將從物聯(lián)網(wǎng)3層體系結(jié)構(gòu)探討物聯(lián)網(wǎng)的安全問題[1]。

1 感知層面臨的安全威脅和安全防護

1.1 感知層面臨的安全威脅

感知層信息采集的節(jié)點呈現(xiàn)多源性和異構(gòu)性，無法擁有比較高的安全防護等級。感知層的設(shè)備一般暴露于公共場所，信號容易被干擾，設(shè)備容易被破壞，數(shù)據(jù)容易被竊取。該層的常見設(shè)備包括圖形圖像設(shè)備（攝像頭）、網(wǎng)絡(luò)定位設(shè)備、掃描設(shè)備、環(huán)境監(jiān)測設(shè)備、安全生產(chǎn)監(jiān)測等設(shè)備[2]。對于感知層的設(shè)備安全，采用以下幾種方式進行安全防護。

圖1 物聯(lián)網(wǎng)3層體系結(jié)構(gòu)

1.2 感知層的安全防護

首先，需要物聯(lián)網(wǎng)設(shè)備認證系統(tǒng)，終端點需要連接到中央MQTT代理，然后發(fā)布數(shù)據(jù)。在加入網(wǎng)絡(luò)時，需要私鑰為入網(wǎng)終端提供唯一的認證，安全的解決辦法是將密碼加密后再存儲進數(shù)據(jù)庫。使用哈希函數(shù)（Hash Function）加密[3-4]，將密碼的哈希值存儲進數(shù)據(jù)庫，用戶登錄設(shè)備終端的時候，檢驗用戶輸入密碼的哈希值是否與數(shù)據(jù)庫中的哈希值相同。由于哈希函數(shù)是不可逆的，所以即便被攻擊了設(shè)備數(shù)據(jù)庫，也無法得到用戶的帳號和密碼，保證了設(shè)備使用者數(shù)據(jù)的安全性。

其次，對于入網(wǎng)的設(shè)備必須要求使用簽名固件（Signed Firmware）和安全引導(dǎo)（Secure Boot）。固件簽名能夠保證只有授權(quán)用戶和授權(quán)機器有權(quán)限在固件上貼上批準標記，使得惡意的固件使用變得困難，以便固件安全這一比較難以防范的安全漏洞得以彌補。使用安全的引導(dǎo)方式引導(dǎo)代碼，確保在設(shè)備上運行的任何代碼都是安全的。啟動設(shè)備時，使得運行的第一個代碼通過電子簽名驗證，沒有惡意代碼侵入。使用具有安全引導(dǎo)的私鑰基礎(chǔ)設(shè)施（Private Key Infrastructure，PKI）作為補救措施，用于簽名代碼密鑰被泄露的情況，也能夠保證設(shè)備能被安全的重新設(shè)置和啟動。

最后，設(shè)備在物聯(lián)網(wǎng)中工作了很長時間后，會遇到計算能力匱乏的設(shè)備，在功率、處理能力和內(nèi)存方面都受到限制，現(xiàn)代密碼計算需要消耗大量資源，使得這些設(shè)備在物聯(lián)網(wǎng)安全上充滿風(fēng)險。因此，需要一種比較簡單、耗費資源少而且非常安全的加密方式，如共享密鑰，用其計算哈希值是一個經(jīng)濟有效的安全驗證方法。

2 傳輸層面臨的安全威脅和安全防護

2.1 傳輸層面臨的安全威脅

在現(xiàn)在的發(fā)展中，互聯(lián)網(wǎng)是物聯(lián)網(wǎng)重要的組成部分，不僅出現(xiàn)新的安全威脅，同時也會受到來自于傳統(tǒng)網(wǎng)絡(luò)的安全威脅。物聯(lián)網(wǎng)傳輸層主要通過移動通信網(wǎng)、互聯(lián)網(wǎng)、專業(yè)網(wǎng)（如國家電力數(shù)據(jù)網(wǎng)、廣播電視網(wǎng)）、小型局域網(wǎng)及三網(wǎng)融合通信平臺（跨越單一網(wǎng)絡(luò)架構(gòu)）的網(wǎng)絡(luò)對數(shù)據(jù)進行傳輸。在面對海量數(shù)據(jù)時，核心網(wǎng)絡(luò)易受到拒絕服務(wù)（Denial of Service，DoS）、分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊以及大量的垃圾郵件、網(wǎng)絡(luò)病毒等威脅。傳輸層可能受到假冒攻擊、異步攻擊、合謀攻擊等威脅以及比較新的針對三網(wǎng)融合的攻擊、威脅。

2.2 傳輸層的安全防護

傳輸層安全防護，可綜合利用端到端機密性和節(jié)點到節(jié)點機密性的加密方法進行防護。

端對端加密可以滿足不同安全等級的安全需求，但也有缺點，端對端不能被合法監(jiān)聽，無法隱藏信息的發(fā)送源和目的地，所以，端對端的機密性需要密鑰協(xié)商機制、密鑰管理機制和機密性算法加密機制。節(jié)點對節(jié)點的機密性，因為密碼在節(jié)點之間是先解密再加密傳輸?shù)?，所以對?jié)點的安全要求很高，必須要求節(jié)點認證、數(shù)據(jù)完整、數(shù)據(jù)流被加密。安全外殼協(xié)議（Secure Shell Protocol，SSH）是一種在不安全網(wǎng)絡(luò)上提供安全登錄的協(xié)議，提供了對TCP/IP和X—Windows系統(tǒng)通信的安全轉(zhuǎn)發(fā)支持，針對DoS和DDoS建立了專門的防護措施和災(zāi)難恢復(fù)機制。

3 應(yīng)用層面臨的安全威脅和安全防護

3.1 應(yīng)用層面臨的安全威脅

物聯(lián)網(wǎng)應(yīng)用層收集了大量的用戶個人信息，需要保護個人數(shù)據(jù)及隱私，這是應(yīng)用層不同于物聯(lián)網(wǎng)其他各層的特殊需求，在現(xiàn)在試點的智慧城市等項目上，還沒有統(tǒng)一的行業(yè)標準，因此，迫切需要建立統(tǒng)一規(guī)范的行業(yè)標準[5]。

3.2 應(yīng)用層的安全防護

建立可信任的密鑰管理方案和認證機制，包括公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）和對稱密鑰相結(jié)合的方法。建立安全云管理服務(wù)，實現(xiàn)云模式下，數(shù)據(jù)管理權(quán)和所有權(quán)相分離。建立有效的數(shù)據(jù)取證技術(shù)和數(shù)據(jù)銷毀機制，使用安全的硬件和軟件知識產(chǎn)權(quán)保護技術(shù)[6]。開展物聯(lián)網(wǎng)云計算的標準研究，建立標準化認證體系，積極加入國際物聯(lián)網(wǎng)安全認證標準制定工作中。

4 結(jié)語

目前物聯(lián)網(wǎng)已開始試點，物聯(lián)網(wǎng)在為人們生活提供便利的同時，也增加了設(shè)備和個人數(shù)據(jù)安全性的風(fēng)險，因此，要增加物聯(lián)網(wǎng)安全重要性的認識，使我國的物聯(lián)網(wǎng)水平安全水平不斷提高，建成高質(zhì)量的物聯(lián)網(wǎng)。5G聯(lián)網(wǎng)技術(shù)為物聯(lián)網(wǎng)的發(fā)展提供了很強大的技術(shù)支持，同時高速網(wǎng)絡(luò)和海量數(shù)據(jù)以及新的應(yīng)用方式也給物聯(lián)網(wǎng)安全帶來了新的挑戰(zhàn)，因此，需要對物聯(lián)網(wǎng)安全技術(shù)進行更多的研究，考慮到對社會及個人帶來的影響，使得物聯(lián)網(wǎng)能給生活帶來便捷的同時，也能夠被安全、高效地應(yīng)用。

基金項目：教育教學(xué)改革研究項目;項目名稱：密碼學(xué)技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用研究;項目編號：2019XJJG-56。教育教學(xué)改革研究項目;項目名稱：面向創(chuàng)新創(chuàng)業(yè)教育融合的一流專業(yè)建設(shè)改革與實踐研究;項目編號：2019XJJG-54。中央高?；究蒲袠I(yè)務(wù)費項目;項目名稱：譜聚類在復(fù)雜網(wǎng)絡(luò)社區(qū)檢測中的應(yīng)用研究;項目編號：31920190029。

作者簡介：桂春（1981— ），女，甘肅民勤人，副教授，博士;研究方向：復(fù)雜網(wǎng)絡(luò)，機器學(xué)習(xí)。

[參考文獻]

[1]沈蘇彬，楊震.物聯(lián)網(wǎng)體系結(jié)構(gòu)及其標準化[J].南京郵電大學(xué)學(xué)報（自然科學(xué)版），2015（1）：1-18.

[2]路代安，周驊.基于可信計算的物聯(lián)網(wǎng)感知層安全機制[J].電子技術(shù)與軟件工程，2018（7）：218-219.

[3]GUL E，OZTURK S.A novel hash function based fragile watermarking method for image integrity[J].Multimedia Tools and Applications，2019（13）：17701-17718.

[4]陳佳康.密碼學(xué)算法的優(yōu)化與應(yīng)用[D].北京：北京郵電大學(xué)，2013.

[5]李中楠.面向物聯(lián)網(wǎng)應(yīng)用層的安全架構(gòu)研究[D].大連：大連海事大學(xué)，2013.

[6]劉逸凡.淺析電子信息核心技術(shù)以及在物聯(lián)網(wǎng)領(lǐng)域的應(yīng)用[J].通訊世界，2019（2）：24-25.

Research on Security Architecture of Internet of Things

Gui Chun

（School of Mathematics and Computer Science， Northwest MinZu University， Lanzhou 730030， China）

Abstract：With the development of 5G technology， the Internet of Things will become the direct beneficiaries of 5G network technology. Although the security and privacy issues are becoming more and more serious， Internet of Things devices such as intelligent office， smart home and so on are increasingly used by more and more ordinary consumers and enterprises. This paper aimed at the problem that a large number of device attacks on the Internet of Things， DDos attacks on data centers and cloud services continue to grow rapidly， potential network security risks and security protection measures are introduced from the perception layer， transmission layer and application layer of the Internet of Things. Faced with new challenges， more research on secure cryptography technology of the Internet of Things is needed to ensure the security and efficiency of Internet of things applications.

Key words：Internet of Things; 5G network; data center; hidden danger; cryptography