物聯(lián)網(wǎng)系統(tǒng)安全威脅的應(yīng)對(duì)措施

王嘉威

（哈爾濱商業(yè)大學(xué) 黑龍江省哈爾濱市 150000）

在最近幾年中，隨著我國(guó)社會(huì)經(jīng)濟(jì)的不斷快速發(fā)展，科學(xué)技術(shù)水平的不斷提高，出現(xiàn)了物聯(lián)網(wǎng)技術(shù)。通過(guò)運(yùn)用物聯(lián)網(wǎng)技術(shù)，有助于信息傳遞與傳輸速度的提高。在當(dāng)前信息化時(shí)代中，人們常常會(huì)在網(wǎng)絡(luò)中儲(chǔ)存很多個(gè)人信息，不過(guò)當(dāng)惡意攻擊者對(duì)物聯(lián)網(wǎng)系統(tǒng)進(jìn)行攻擊時(shí)，常常會(huì)泄露個(gè)人重要信息，嚴(yán)重威脅物聯(lián)網(wǎng)系統(tǒng)的安全。基于此，本文對(duì)物聯(lián)網(wǎng)系統(tǒng)安全威脅進(jìn)行深入研究，具有重要意義。

1 相關(guān)理論基礎(chǔ)概述

1.1 物聯(lián)網(wǎng)的定義

物聯(lián)網(wǎng)是由信息讀寫器、信息掃描傳感系統(tǒng)等進(jìn)行構(gòu)成的，通過(guò)有效接收、傳遞與處理數(shù)據(jù)信息，可以有效連接虛擬與現(xiàn)實(shí)，能夠促使現(xiàn)實(shí)物體工作變得更為智能化，能夠智能化識(shí)別、定位、跟蹤、管理、控制現(xiàn)實(shí)物體，能夠促使現(xiàn)實(shí)物體與人類之間進(jìn)行智能化溝通。

1.2 物聯(lián)網(wǎng)結(jié)構(gòu)體系

物聯(lián)網(wǎng)結(jié)構(gòu)體系一共包括四塊內(nèi)容，即：公共技術(shù)層、應(yīng)用程序?qū)?、網(wǎng)絡(luò)層、感知層。

（1）感知層，包括讀寫器、傳感器等，通過(guò)感知層能夠?qū)ΜF(xiàn)實(shí)中的數(shù)據(jù)信息進(jìn)行感知，能夠有效收集現(xiàn)實(shí)中的數(shù)據(jù)信息；

（2）網(wǎng)絡(luò)層，能夠有效轉(zhuǎn)化由感知層收集到的數(shù)據(jù)信息，將其變?yōu)閿?shù)字化信息，同時(shí)將其傳遞給遠(yuǎn)端接收器；

（3）應(yīng)用程序，主要對(duì)網(wǎng)絡(luò)層傳輸?shù)臄?shù)據(jù)信息進(jìn)行接收，智能化儲(chǔ)存、處理這些數(shù)據(jù)信息；

（4）公共技術(shù)層，能夠有效聯(lián)合應(yīng)用程序?qū)?、網(wǎng)絡(luò)層、感知層這三個(gè)技術(shù)層，對(duì)其進(jìn)行統(tǒng)籌應(yīng)用與管理，最終實(shí)現(xiàn)物理網(wǎng)智能化的目的。

2 物聯(lián)網(wǎng)安全威脅分析

2.1 Dos攻擊

針對(duì)網(wǎng)絡(luò)系統(tǒng)資源與網(wǎng)絡(luò)帶寬，Dos 通過(guò)利用多種途徑對(duì)其進(jìn)行消耗與攻擊，促使網(wǎng)絡(luò)系統(tǒng)無(wú)法正常運(yùn)轉(zhuǎn)，完全處于癱瘓狀態(tài)，對(duì)特定企業(yè)的活動(dòng)進(jìn)行干擾，能夠促使更多的應(yīng)用、設(shè)備、基礎(chǔ)設(shè)施發(fā)展成為新的攻擊對(duì)象，最終正常用戶訪問(wèn)服務(wù)會(huì)遭受到拒絕。

2.2 數(shù)據(jù)信息的保護(hù)

現(xiàn)實(shí)世界是物聯(lián)網(wǎng)系統(tǒng)傳感器信息收集的主要源頭，只有在經(jīng)過(guò)加密安全認(rèn)證的安全環(huán)境中，才能夠儲(chǔ)存、傳輸、處理、管理、控制數(shù)據(jù)信息。為保證計(jì)算機(jī)網(wǎng)絡(luò)的安全，需要采用多種不同的防護(hù)技術(shù)。在物聯(lián)網(wǎng)系統(tǒng)中，物、人通過(guò)傳感器、網(wǎng)絡(luò)系統(tǒng)得以相連，極易出現(xiàn)個(gè)人隱私泄露問(wèn)題。對(duì)于商家來(lái)說(shuō)，個(gè)人隱私信息具有極大的誘惑力，能夠?yàn)樯碳覄?chuàng)造出非常可觀的經(jīng)濟(jì)收益，不過(guò)這也造成物聯(lián)網(wǎng)系統(tǒng)安全威脅風(fēng)險(xiǎn)的增加。

2.3 擴(kuò)大物聯(lián)網(wǎng)系統(tǒng)被攻擊范圍

在當(dāng)前物聯(lián)網(wǎng)發(fā)展環(huán)境中，很多不同種類的傳感器均處于在線狀態(tài)，相應(yīng)地，當(dāng)前全球IT 基礎(chǔ)設(shè)施也變得越來(lái)越為健全與完善，在當(dāng)前互聯(lián)網(wǎng)時(shí)代中，針對(duì)物聯(lián)網(wǎng)安全系統(tǒng)，很多不同地區(qū)的惡意攻擊者均在嘗試各種不同手段將其予以破解。為對(duì)物聯(lián)網(wǎng)系統(tǒng)實(shí)時(shí)連接要求進(jìn)行滿足，大部分物聯(lián)網(wǎng)設(shè)備必須要全天24h 處于在線狀態(tài)，所以物聯(lián)網(wǎng)設(shè)備極易遭受到惡意攻擊。當(dāng)前RFID 技術(shù)被廣泛應(yīng)用于物聯(lián)網(wǎng)系統(tǒng)中，與傳統(tǒng)的TCP/IP 網(wǎng)絡(luò)協(xié)議相比，RFID 技術(shù)還不夠成熟與完善，造成非法入侵者通過(guò)一些手段來(lái)竊取信息。

3 物聯(lián)網(wǎng)系統(tǒng)安全威脅的應(yīng)對(duì)措施

3.1 對(duì)感知層的安全性進(jìn)行提高

安全認(rèn)證技術(shù)包括兩大部分，分別為信息認(rèn)證、實(shí)體認(rèn)證。第一，信息認(rèn)證，為避免出現(xiàn)惡意攻擊者對(duì)信息來(lái)源端身份進(jìn)行修改與偽造，對(duì)數(shù)據(jù)信息的完整性進(jìn)行嚴(yán)格核實(shí)，檢驗(yàn)信息來(lái)源端的身份。第二，實(shí)體認(rèn)證，能夠有效避免惡意攻擊者將非法節(jié)點(diǎn)加入到物聯(lián)網(wǎng)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備中。針對(duì)物聯(lián)網(wǎng)系統(tǒng)，它能夠在多個(gè)方面進(jìn)行運(yùn)用，通過(guò)采用多種不同的控制技術(shù)，包括權(quán)限訪問(wèn)配置、多級(jí)權(quán)限認(rèn)證等，能夠?qū)ξ锫?lián)網(wǎng)在多個(gè)不同方面的安全性進(jìn)行有效提高，包括數(shù)據(jù)共享、用戶權(quán)限管理、數(shù)據(jù)訪問(wèn)等。

在實(shí)際中，為對(duì)感知層的安全性進(jìn)行提高，可以從以下幾點(diǎn)著手進(jìn)行，即：

（1）為對(duì)物聯(lián)網(wǎng)系統(tǒng)安全性進(jìn)行有效提高，避免出現(xiàn)非法篡改數(shù)據(jù)信息現(xiàn)象，一定要合法驗(yàn)證物聯(lián)網(wǎng)系統(tǒng)中的數(shù)據(jù)信息，另外還應(yīng)實(shí)施一些安全技術(shù)措施，包括IPSec 安全協(xié)議、固件簽名、增加軟件簽名等。

（2）選用Azure 技術(shù)來(lái)驗(yàn)證傳感器、重要物聯(lián)網(wǎng)設(shè)備的的身份。

（3）對(duì)于各種不同的網(wǎng)絡(luò)傳輸部分，應(yīng)對(duì)其制定具有針對(duì)性的密鑰方案，即便物聯(lián)網(wǎng)系統(tǒng)被惡意攻擊，在這種情況下，如果網(wǎng)絡(luò)傳輸部分未遭受到惡意攻擊，它還是能夠繼續(xù)正常工作的。

3.2 對(duì)數(shù)據(jù)加密技術(shù)進(jìn)行充分利用

為保證物聯(lián)網(wǎng)系統(tǒng)中信息的安全，一定要對(duì)數(shù)據(jù)加密技術(shù)進(jìn)行充分利用。在傳輸數(shù)據(jù)信息過(guò)程中，為避免出現(xiàn)重要信息被竊取現(xiàn)象，可以對(duì)信息數(shù)據(jù)的編碼復(fù)雜程度進(jìn)行提高。在過(guò)去，主要選用端與端之間的數(shù)據(jù)加密技術(shù)，因?yàn)閭鹘y(tǒng)數(shù)據(jù)加密技術(shù)存在很多缺陷，如容易被截取、儲(chǔ)存空間不大、功能單一等，所以傳統(tǒng)數(shù)據(jù)加密技術(shù)的安全保護(hù)作用并不顯著。在當(dāng)前物聯(lián)網(wǎng)系統(tǒng)感知層中安裝的傳感器，因?yàn)樯形粗贫ǔ鼋y(tǒng)一的信息數(shù)據(jù)傳輸、采集標(biāo)準(zhǔn)，所以物聯(lián)網(wǎng)系統(tǒng)安全體系尚不完善與健全。針對(duì)端與端之間的加密方式，盡管它具有可操作性，物聯(lián)網(wǎng)系統(tǒng)在運(yùn)行過(guò)程中，卻常常會(huì)出現(xiàn)多種問(wèn)題，如不能夠及時(shí)響應(yīng)信息等，導(dǎo)致物聯(lián)網(wǎng)系統(tǒng)運(yùn)行效率的降低。針對(duì)以上問(wèn)題，為對(duì)其進(jìn)行有效解決，我國(guó)在最近幾年時(shí)間中對(duì)物聯(lián)網(wǎng)系統(tǒng)進(jìn)行了不斷完善與改進(jìn)，為提高物聯(lián)網(wǎng)系統(tǒng)的安全性，對(duì)物聯(lián)網(wǎng)系統(tǒng)重要節(jié)點(diǎn)進(jìn)行數(shù)據(jù)加密處理，將安全芯片置于物聯(lián)網(wǎng)設(shè)備中。在無(wú)線傳感器數(shù)據(jù)信息存儲(chǔ)與數(shù)據(jù)通信中采用數(shù)據(jù)加密技術(shù)，能夠?qū)σ虮I取、竊聽數(shù)據(jù)信息帶來(lái)的損失進(jìn)行有效降低。為避免出現(xiàn)非法修改無(wú)線鏈路中數(shù)據(jù)信息現(xiàn)象、應(yīng)對(duì)無(wú)線傳感器系統(tǒng)中所有類型的設(shè)備實(shí)施數(shù)據(jù)加密技術(shù)。通過(guò)實(shí)施密鑰管理技術(shù)、安全認(rèn)證技術(shù)等，能夠促使物聯(lián)網(wǎng)系統(tǒng)中無(wú)線傳感器系統(tǒng)中的信息數(shù)據(jù)變得更為安全與完整。與國(guó)際互聯(lián)網(wǎng)系統(tǒng)相比，物聯(lián)網(wǎng)系統(tǒng)的感知設(shè)備在大多數(shù)情況下均為無(wú)人值守的在線狀態(tài)，物聯(lián)網(wǎng)系統(tǒng)功能不夠多元化，運(yùn)算水平與信號(hào)處理技術(shù)水平比較低，所以對(duì)于物聯(lián)網(wǎng)系統(tǒng)來(lái)說(shuō)，國(guó)際互聯(lián)網(wǎng)系統(tǒng)并不是對(duì)其完全適合的。與此同時(shí)，因?yàn)楦鞔笊a(chǎn)商選用不同的應(yīng)用軟件與設(shè)備，造成廠商不能夠有效防護(hù)物聯(lián)網(wǎng)系統(tǒng)的安全。物聯(lián)網(wǎng)系統(tǒng)安全問(wèn)題具有多維度、多層次特征，針對(duì)各種物聯(lián)網(wǎng)安全威脅，傳統(tǒng)安全防御技術(shù)無(wú)法對(duì)其進(jìn)行有有效處理。因此，根據(jù)物聯(lián)網(wǎng)系統(tǒng)的自身特點(diǎn)，應(yīng)對(duì)物聯(lián)網(wǎng)系統(tǒng)安全防御機(jī)制進(jìn)行重新設(shè)計(jì)。在本文中提出了一種新的物聯(lián)網(wǎng)系統(tǒng)安全防御機(jī)制，即基于SDN 的異構(gòu)型物聯(lián)網(wǎng)安全機(jī)制，通過(guò)運(yùn)用SDN 技術(shù)，能夠?qū)ξ锫?lián)網(wǎng)開放問(wèn)題、維護(hù)控制問(wèn)題、管理問(wèn)題進(jìn)行有效解決，同時(shí)能夠?qū)W(wǎng)絡(luò)控制、數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)發(fā)進(jìn)行分離，能夠?qū)⒏哔|(zhì)量的安全服務(wù)提供給物聯(lián)網(wǎng)系統(tǒng)用戶，能夠統(tǒng)一集中調(diào)度物聯(lián)網(wǎng)系統(tǒng)中的數(shù)據(jù)信息安全資源，能夠?qū)ξ锫?lián)網(wǎng)系統(tǒng)安全措施進(jìn)行靈活配置。

4 基于SDN技術(shù)的異構(gòu)型物聯(lián)網(wǎng)安全防御機(jī)制

通過(guò)利用SDN 技術(shù)，能夠有效分開網(wǎng)絡(luò)設(shè)備控制層面、數(shù)據(jù)層面，能夠有效管控網(wǎng)絡(luò)與網(wǎng)絡(luò)流量，有助于網(wǎng)絡(luò)運(yùn)維的簡(jiǎn)化與網(wǎng)絡(luò)利用率的提高，能夠充分發(fā)揮出網(wǎng)絡(luò)的使用價(jià)值，另外，還能夠?qū)崿F(xiàn)數(shù)據(jù)中心對(duì)網(wǎng)絡(luò)資源的自動(dòng)化設(shè)置，有效轉(zhuǎn)換分布式控制模式，使其變?yōu)榧锌刂颇Ｊ健；赟DN 技術(shù)的異構(gòu)型物聯(lián)網(wǎng)安全防御機(jī)制，具有很多優(yōu)勢(shì)特點(diǎn)，例如，分布式信息數(shù)據(jù)處理中心能夠高效傳輸處理海量數(shù)據(jù)，可以集中分配調(diào)度物聯(lián)網(wǎng)系統(tǒng)中資源，能夠統(tǒng)一處理物聯(lián)網(wǎng)系統(tǒng)中的數(shù)據(jù)，并以此作為重要依據(jù)，制定相應(yīng)有效的決策。在基于SDN 技術(shù)的異構(gòu)型物聯(lián)網(wǎng)安全防御機(jī)制中，包括應(yīng)用層信息網(wǎng)絡(luò)安全服務(wù)、SDN 控制器、云計(jì)算平臺(tái)、OpenFlow 技術(shù)等，進(jìn)而促使安全監(jiān)控管理平臺(tái)的形成，能夠?qū)ξ锫?lián)網(wǎng)系統(tǒng)的運(yùn)行情況進(jìn)行實(shí)時(shí)監(jiān)控，可以對(duì)異常安全情況進(jìn)行及時(shí)發(fā)現(xiàn)，能夠?qū)Π踩到y(tǒng)資源進(jìn)行統(tǒng)一集中分配，可以主動(dòng)防御物聯(lián)網(wǎng)系統(tǒng)中的安全威脅。

4.1 OpenFlow安全設(shè)備

針對(duì)OpenFlow 安全設(shè)備，它的內(nèi)部包括多種不同的群組表與流量表，所以能夠?qū)?shù)據(jù)進(jìn)行多種不同的操作，包括查詢數(shù)據(jù)包、轉(zhuǎn)發(fā)數(shù)據(jù)包等，能夠向感知層中的傳感器提供接口，進(jìn)而可以將網(wǎng)絡(luò)層接入到感知層，另外，還能夠?qū)ι蠈覵DN 控制器管理規(guī)劃系統(tǒng)的數(shù)據(jù)流量路徑給予大力支持，能夠?qū)ξ锫?lián)網(wǎng)系統(tǒng)中的數(shù)據(jù)流規(guī)則進(jìn)行隨時(shí)修改，可以高效處理數(shù)據(jù)信息流量。針對(duì)異構(gòu)型物聯(lián)網(wǎng)中的各種物聯(lián)網(wǎng)，通過(guò)利用OpenFlow 安全設(shè)備技術(shù)能夠促使它們之間互相聯(lián)通。不同種類的物聯(lián)網(wǎng)系統(tǒng)中感知設(shè)備所采集的信息數(shù)據(jù)是存在一定的區(qū)別的，而通過(guò)利用OpenFlow 安全設(shè)備技術(shù)，則能夠?qū)ζ鋮^(qū)別進(jìn)行有效消除，能夠有效簡(jiǎn)化數(shù)據(jù)信息通信管理與物聯(lián)網(wǎng)系統(tǒng)構(gòu)架。

4.2 SDN控制器、服務(wù)器與安全控制器

SDN 控制器是一種軟件系統(tǒng)，能夠統(tǒng)一管理控制網(wǎng)絡(luò)，進(jìn)而可以自動(dòng)化控制管理網(wǎng)絡(luò)系統(tǒng)。在異構(gòu)型物聯(lián)網(wǎng)系統(tǒng)中，能夠管理網(wǎng)絡(luò)與申請(qǐng)集成業(yè)務(wù)，而通過(guò)采用基于軟件系統(tǒng)的網(wǎng)絡(luò)控制技術(shù)，能夠?yàn)槠鋷?lái)極大的方便。針對(duì)網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)流量，通過(guò)利用SDN 控制器，能夠?qū)ζ溥M(jìn)行智能化管理。因?yàn)镾DN 控制器主要選用OpenFlow 等協(xié)議，所以服務(wù)器能夠?qū)?shù)據(jù)包的具體發(fā)送地址及時(shí)告知給交換機(jī)。網(wǎng)絡(luò)安全管理模塊是由網(wǎng)絡(luò)安全處理控制器、安全策略管理服務(wù)器等構(gòu)成的，將網(wǎng)絡(luò)安全管理模塊置于控制層中，能夠有效執(zhí)行安全服務(wù)工作，能夠?qū)W(wǎng)絡(luò)的安全運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)檢測(cè)，將用戶指令、網(wǎng)絡(luò)系統(tǒng)狀態(tài)作為重要依據(jù)，實(shí)施相應(yīng)合理、有效的物聯(lián)網(wǎng)安全措施。針對(duì)上層應(yīng)用服務(wù)的安全措施，安全策略管理服務(wù)器可以對(duì)其進(jìn)行儲(chǔ)存，能夠查詢網(wǎng)絡(luò)安全處理控制器信息。根據(jù)用戶申請(qǐng)的業(yè)務(wù)，能夠?qū)ι蠈討?yīng)用服務(wù)中的有關(guān)安全服務(wù)進(jìn)行查詢與訂閱。

4.3 基于應(yīng)用層的網(wǎng)絡(luò)安全服務(wù)

在基于SDN 控制層的網(wǎng)絡(luò)安全系統(tǒng)模塊中運(yùn)行各種不同的應(yīng)用層網(wǎng)絡(luò)安全服務(wù)，可以實(shí)時(shí)監(jiān)控流量，能夠有效消除異常情況。針對(duì)基于應(yīng)用層的網(wǎng)絡(luò)安全服務(wù)，它的具體工作過(guò)程為：深入分析收集到的數(shù)據(jù)，通過(guò)運(yùn)用SDN 控制器來(lái)收集全網(wǎng)流量數(shù)據(jù)，對(duì)數(shù)據(jù)信息收集分析服務(wù)，能夠?qū)崟r(shí)統(tǒng)計(jì)、檢測(cè)數(shù)據(jù)信息。在各周期時(shí)隙中，向網(wǎng)絡(luò)安全服務(wù)異常檢測(cè)功能模塊發(fā)送數(shù)據(jù)信息分析結(jié)果，對(duì)突發(fā)的物聯(lián)網(wǎng)系統(tǒng)攻擊行為進(jìn)行嚴(yán)格檢測(cè)，針對(duì)惡意攻擊軟件庫(kù)與計(jì)算機(jī)病毒特征庫(kù)，異常檢測(cè)功能模塊接收的數(shù)據(jù)信息與它們進(jìn)行比較分析，便可以判斷出接收的數(shù)據(jù)信息的安全情況，并以此為依據(jù)，最終產(chǎn)生數(shù)據(jù)信息安全報(bào)告書。一旦發(fā)現(xiàn)物聯(lián)網(wǎng)系統(tǒng)中存在攻擊行為，應(yīng)向安全服務(wù)異常清除服務(wù)功能模塊發(fā)送該情況，通過(guò)利用模塊來(lái)有效處理攻擊行為。根據(jù)上一環(huán)節(jié)提供的安全異常檢測(cè)結(jié)果，安全服務(wù)異常清除服務(wù)功能模塊制定相應(yīng)有效的信息安全配置措施，通過(guò)使用SDN 控制器來(lái)調(diào)整OpenFlow 安全設(shè)備中的流量控制規(guī)則，對(duì)不安全的信息數(shù)據(jù)進(jìn)行及時(shí)消除。針對(duì)端到端異構(gòu)型物聯(lián)網(wǎng)系統(tǒng)，它采用了SDN 技術(shù)、OpenFlow 技術(shù)，能夠?qū)Ψ峙湎到y(tǒng)安全資源進(jìn)行集中分配與統(tǒng)一控制，通過(guò)建立健全異構(gòu)型物聯(lián)網(wǎng)安全防御結(jié)構(gòu)，可以有效阻隔與消除物聯(lián)網(wǎng)系統(tǒng)中的不安全信息。

5 小結(jié)

綜上所述，為有效保護(hù)物聯(lián)網(wǎng)系統(tǒng)的安全，提高物聯(lián)網(wǎng)系統(tǒng)的安全防御性能，一定要采取有效措施來(lái)應(yīng)對(duì)與處理物聯(lián)網(wǎng)系統(tǒng)安全威脅。本文首先論述了物聯(lián)網(wǎng)的定義與物聯(lián)網(wǎng)結(jié)構(gòu)體系，分析了物聯(lián)網(wǎng)中常見(jiàn)的安全威脅，然后闡述了物聯(lián)網(wǎng)系統(tǒng)安全威脅的應(yīng)對(duì)措施，包括對(duì)感知層的安全性進(jìn)行提高、對(duì)數(shù)據(jù)加密技術(shù)進(jìn)行充分利用等，最后提出了基于SDN 技術(shù)的異構(gòu)型物聯(lián)網(wǎng)安全防御機(jī)制，以期對(duì)物聯(lián)網(wǎng)系統(tǒng)安全性的保護(hù)起到一定的借鑒作用。