物聯(lián)網(wǎng)安全隱患及對(duì)策研究

王亞東

摘要：隨著物聯(lián)網(wǎng)技術(shù)的普及，其已廣泛應(yīng)用到人們?nèi)粘Ｉ钪械姆椒矫婷?，尤其在工業(yè)、物流、軍事、經(jīng)濟(jì)等領(lǐng)域。但在應(yīng)用過程中也存在一定的安全隱患，安全問題開始受到廣泛的關(guān)注。由于目前物聯(lián)網(wǎng)技術(shù)尚在發(fā)展過程中，這些安全問題不僅影響著用戶的使用，也嚴(yán)重制約著物聯(lián)網(wǎng)的進(jìn)一步發(fā)展。本文首先提出物聯(lián)網(wǎng)安全的含義并分析相關(guān)特點(diǎn)，總結(jié)了物聯(lián)網(wǎng)安全隱患的常見類型，然后對(duì)威脅網(wǎng)絡(luò)安全的因素進(jìn)行了分析，并提出了相應(yīng)的解決策略。

關(guān)鍵詞：物聯(lián)網(wǎng)網(wǎng)絡(luò)安全安全管理

Research on Hidden Dangers and Countermeasures of Internet of Things

WANG Yadong

（Heilongjiang Institute of Technology， College of Computer Science and Technology，Harbin，Heilongjiang Province， 150001 China）

Abstract： With the popularization of Internet of Things technology， it has been widely used in all aspects of people's daily life， especially in the fields of industry， logistics， military， economy and so on. However， there are also certain security risks in the application process， and security issues have begun to receive widespread attention. As the Internet of things technology is still developing， these security issues not only affect the use of users， but also seriously affect the further development of the Internet of things. This paper first puts forward the meaning of Internet of things security and analyzes the relevant characteristics， summarizes the common types of Internet of things security risks， then analyzes the factors threatening network security， and puts forward the corresponding solutions.

Key Words： Internet of things; Network security; Safety; Administration

物聯(lián)網(wǎng)是物物互聯(lián)的網(wǎng)絡(luò)，又稱為泛在網(wǎng)，即無所不在的網(wǎng)絡(luò)，把傳感器接入到互聯(lián)網(wǎng)中，物聯(lián)網(wǎng)是在IP互聯(lián)的基礎(chǔ)上又融入了各種信息采集傳感器，從而形成萬物互聯(lián)。物聯(lián)網(wǎng)的核心依然是現(xiàn)在的基于IP地址的互聯(lián)網(wǎng)，是其延伸。其終端延伸到了任何物與物之間，可以進(jìn)行信息交換和通信。物聯(lián)網(wǎng)可以通過RFID識(shí)別、紅外感應(yīng)器、各種傳感器等信息識(shí)別和采集設(shè)備，把任意位置的任意設(shè)備或物品進(jìn)行互聯(lián)，進(jìn)行信息的采集、傳輸、交換和存儲(chǔ)，以實(shí)現(xiàn)對(duì)物品的智能化識(shí)別、定位、跟蹤、監(jiān)控和管理的一種網(wǎng)絡(luò)[1]。與此同時(shí)，物聯(lián)網(wǎng)技術(shù)應(yīng)用中的網(wǎng)絡(luò)安全問題也逐漸成為了人們看重的關(guān)鍵點(diǎn)[2]。本文首先提出物聯(lián)網(wǎng)安全的含義并分析相關(guān)特點(diǎn)，總結(jié)了物聯(lián)網(wǎng)安全隱患的常見類型，然后對(duì)威脅網(wǎng)絡(luò)安全的因素進(jìn)行了分析，并提出了相應(yīng)的解決策略。

1? 物聯(lián)網(wǎng)安全問題

物聯(lián)網(wǎng)的體系結(jié)構(gòu)從下至上依次分為感知層、網(wǎng)絡(luò)層、應(yīng)用層。物聯(lián)網(wǎng)安全包含五要素，即數(shù)據(jù)保密性（非授權(quán)用戶無權(quán)訪問）、完整性約束（信息不能被篡改或破壞）、可用性（在授權(quán)允許的情況下可以被正常使用）、可控性（數(shù)據(jù)的所有者可以對(duì)數(shù)據(jù)進(jìn)行相應(yīng)的權(quán)限控制管理）和不可否認(rèn)性（數(shù)據(jù)應(yīng)具有數(shù)字簽名之類的屬性，防止抵賴不承認(rèn)）。感知網(wǎng)絡(luò)傳輸中的感知節(jié)點(diǎn)功能簡(jiǎn)單，能量有限，無法擁有復(fù)雜的安全保護(hù)能力，信息可能被中途截取，造成個(gè)人隱私和設(shè)備數(shù)據(jù)泄露。

1.1 感知層的安全問題

1.1.1 傳感層的數(shù)據(jù)傳輸介質(zhì)安全問題

通過物聯(lián)網(wǎng)的感知層中的各類數(shù)據(jù)采集設(shè)備，用戶可以獲取海量數(shù)據(jù)。數(shù)據(jù)的獲取主要通過各類數(shù)據(jù)傳感器。采集回來的數(shù)據(jù)在傳送過程中必然會(huì)通過傳輸介質(zhì)進(jìn)行傳輸，除了傳統(tǒng)的互聯(lián)網(wǎng)的各種傳輸協(xié)議，物聯(lián)網(wǎng)又有了相應(yīng)的擴(kuò)展，主要使用無線網(wǎng)絡(luò)（藍(lán)牙、WiFi、Zigbee等）進(jìn)行數(shù)據(jù)傳輸，而無線介質(zhì)的非導(dǎo)向性的特點(diǎn)就決定了信號(hào)缺乏有效保護(hù)措施，很容易被非法監(jiān)聽、竊取、干擾[3]。

1.1.2 數(shù)據(jù)采集設(shè)備的安全問題

在物聯(lián)網(wǎng)的實(shí)際應(yīng)用中，比如森林防火，海量的溫濕度傳感器和火焰?zhèn)鞲衅鞣植荚诒O(jiān)控區(qū)域內(nèi)，通過無線傳輸介質(zhì)進(jìn)行互聯(lián)，來完成數(shù)據(jù)采集等工作。在此種情況下，各種傳感器和無線傳輸設(shè)備以及必要的控制設(shè)備都會(huì)分散部署到無人的地點(diǎn)，這些物理設(shè)備很容易被惡意攻擊者接觸到，從而導(dǎo)致這些物理設(shè)備出現(xiàn)故障或損壞，更有甚者可能被非法操控。

1.1.3 Zigbee的安全問題

無線傳感網(wǎng)是物聯(lián)網(wǎng)中的重要組成部分，通常指的是用Zigbee網(wǎng)絡(luò)來實(shí)現(xiàn)進(jìn)行各類傳感器采集數(shù)據(jù)的傳輸通信。對(duì)于Zigbee網(wǎng)絡(luò)而言，其安全性存在先天的缺陷，Zigbee采用了對(duì)稱型加密技術(shù)，必須具備相同的秘鑰，難以實(shí)現(xiàn)數(shù)字簽名的認(rèn)證。B22B7373-4DEC-4753-A110-A474BB5AF2DF

1.2 網(wǎng)絡(luò)層的安全問題

1.2.1 IP協(xié)議的安全問題

由于基于TCP/IP協(xié)議的網(wǎng)絡(luò)沒有把安全作為主要目標(biāo)，TCP/IP協(xié)議中的安全隱患在物聯(lián)網(wǎng)中依然存在，由于IP協(xié)議在傳輸過程中使用明文進(jìn)行數(shù)據(jù)傳輸，沒有進(jìn)行數(shù)據(jù)加密 ，非法用戶可以在捕獲回來的IP包中提取出IP報(bào)文。路由器僅僅根據(jù)IP包中的目的IP地址來確定該IP分組從哪一個(gè)端口發(fā)送，不關(guān)心該IP分組的源IP地址。所以非法用戶僅僅通過修改捕獲回來的IP包中源IP地址，就可以達(dá)到IP欺騙的目的。IP欺騙攻擊具有很大的危害，是拒絕服務(wù)攻擊的主要手段之一，能夠達(dá)到防追蹤的目的。由于互聯(lián)網(wǎng)中不同網(wǎng)絡(luò)的MTU（最大傳輸單元）不同，IP包在不同網(wǎng)絡(luò)間進(jìn)行轉(zhuǎn)發(fā)時(shí)，路由器可能對(duì)IP包進(jìn)行分片處理，非法用戶會(huì)利用IP碎片的這個(gè)功能，將IP包切分為非常小的碎片，并且這些小的碎片只有到目的地才會(huì)重組，會(huì)消耗大量的資源。如果非法用戶人為地漏發(fā)某一個(gè)碎片，會(huì)導(dǎo)致接收方無法整合，最終導(dǎo)致數(shù)據(jù)傳輸失敗。

1.2.2 TCP協(xié)議的安全問題

（1）SYN泛洪攻擊。

TCP連接建立時(shí)需要進(jìn)行三次握手，來達(dá)到收發(fā)雙方彼此發(fā)送序號(hào)同步的目的，客戶端向服務(wù)器發(fā)出的第一條消息稱之為SYN消息，非法用戶會(huì)給目標(biāo)主機(jī)批量發(fā)送第一次的SYN消息，而對(duì)服務(wù)器返回的ACK消息進(jìn)行忽略。采用這樣的方法，非法用戶就可實(shí)現(xiàn)對(duì)特定服務(wù)器主機(jī)進(jìn)行拒絕服務(wù)攻擊。而服務(wù)器的主機(jī)在每一次收到SYN消息后都會(huì)消耗一定的資源來存儲(chǔ)這些TCP連接的相關(guān)信息，如果非法用戶所發(fā)送的次數(shù)足夠多，那么服務(wù)器主機(jī)的資源就會(huì)被逐步消耗掉，當(dāng)正常用戶對(duì)服務(wù)器進(jìn)行訪問時(shí)，則不能為其提供服務(wù)。

（2）ACK引起的連接重置。

在TCP連接正常建立的情況下，通信雙方任何一端再次收到ACK確認(rèn)消息，都會(huì)認(rèn)為是連接故障，會(huì)發(fā)起連接重置請(qǐng)求即RET消息，基于這樣的邏輯，如果非法用戶不斷地產(chǎn)生偽造的包含特定IP地址的ACK確認(rèn)消息，就會(huì)導(dǎo)致特定IP地址所對(duì)應(yīng)的服務(wù)器處理這些非法請(qǐng)求，從而消耗資源，影響正常用戶的訪問。

2物聯(lián)網(wǎng)安全架構(gòu)

整個(gè)信息化產(chǎn)業(yè)界應(yīng)高度重視數(shù)據(jù)安全，隨著可穿戴設(shè)備、無人駕駛、遠(yuǎn)程醫(yī)療、工業(yè)物聯(lián)網(wǎng)等物聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展，物聯(lián)網(wǎng)系統(tǒng)中交互的數(shù)據(jù)具有隱私的屬性日益強(qiáng)烈，隱私即為數(shù)據(jù)所有者不愿意被披露的敏感信息，包括敏感數(shù)據(jù)以及數(shù)據(jù)所表征的特性[4]，甚至關(guān)乎用戶生命安全與企業(yè)的商業(yè)機(jī)密，需要終端、網(wǎng)絡(luò)、云平臺(tái)多個(gè)環(huán)節(jié)都做好數(shù)據(jù)安全保障。

從物聯(lián)網(wǎng)的體系結(jié)構(gòu)出發(fā)，要構(gòu)建滿足特定應(yīng)用場(chǎng)景和安全需求的、具有全方位一體化的系統(tǒng)化安全架構(gòu)提上了日程，建立云平臺(tái)的安全運(yùn)營、保證通信傳輸層的安全可靠、采集端的設(shè)備認(rèn)證安全的三位一體的物聯(lián)網(wǎng)安全框架。全面涵蓋云平臺(tái)管理、數(shù)據(jù)信息安全、隱私保護(hù)、端到端安全管控等，構(gòu)建全方位一體化的物聯(lián)網(wǎng)安全體系。

物聯(lián)網(wǎng)安全體系主要包含三方面內(nèi)容：針對(duì)采集層的物聯(lián)網(wǎng)終端防御技術(shù)、針對(duì)傳輸層的物聯(lián)網(wǎng)網(wǎng)絡(luò)保護(hù)技術(shù)、針對(duì)應(yīng)用層的物聯(lián)網(wǎng)云平臺(tái)安全防護(hù)技術(shù)。

2.1物聯(lián)網(wǎng)終端防御

物聯(lián)網(wǎng)在許多行業(yè)中有廣泛的應(yīng)用，由于應(yīng)用場(chǎng)景不同、需求不同、目的不同，使用的數(shù)據(jù)采集技術(shù)各不相同，終端設(shè)備所具備的計(jì)算資源和存儲(chǔ)能力及環(huán)境制約也各不相同。

對(duì)于軟硬件資源有限、使用場(chǎng)景約束嚴(yán)格的弱終端設(shè)備，需要滿足基本的安全防護(hù)，如身份認(rèn)證，認(rèn)證包括節(jié)點(diǎn)間認(rèn)證、用戶與節(jié)點(diǎn)認(rèn)證和用戶與用戶間認(rèn)證[5]、數(shù)據(jù)加密傳輸?shù)?。?duì)于性能、資源較豐富的強(qiáng)終端，提供更高級(jí)別的安全防護(hù)，如數(shù)字簽名、證書管理、防病毒、入侵檢測(cè)等。對(duì)于時(shí)間要求比較嚴(yán)格的應(yīng)對(duì)及時(shí)響應(yīng)場(chǎng)景下的終端，過多的安全防護(hù)會(huì)影響業(yè)務(wù)體驗(yàn)，需要定制更加高效可靠、兼顧安全和效率的羽量級(jí)算法。

2.2物聯(lián)網(wǎng)網(wǎng)絡(luò)防御

在網(wǎng)絡(luò)的數(shù)據(jù)傳輸過程中，對(duì)惡意數(shù)據(jù)進(jìn)行鑒別，并做出預(yù)判和處理，進(jìn)而進(jìn)行預(yù)警和隔離是網(wǎng)絡(luò)安全防護(hù)的目標(biāo)。因此，可以充分利用ISP（互聯(lián)網(wǎng)信息服務(wù)提供商）的網(wǎng)絡(luò)接入能力，在網(wǎng)絡(luò)側(cè)提供安全監(jiān)控服務(wù)，提供基于網(wǎng)絡(luò)側(cè)的異常行為檢測(cè)，采用人工智能、機(jī)器學(xué)習(xí)技術(shù)對(duì)海量數(shù)據(jù)流量通過匹配規(guī)則、模式識(shí)別等檢測(cè)方法進(jìn)行異常分析處理，進(jìn)而提前預(yù)處理網(wǎng)絡(luò)威脅與攻擊。還可以結(jié)合云計(jì)算、大數(shù)據(jù)技術(shù)進(jìn)行數(shù)據(jù)聯(lián)合分析，形成更為完整的基于時(shí)間線的非法攻擊特征庫和行為模型庫，提供更好的預(yù)判和預(yù)警服務(wù)。

2.3物聯(lián)網(wǎng)云端防御

物聯(lián)網(wǎng)的絕大多數(shù)應(yīng)用場(chǎng)景都采用云部署的方式，云平臺(tái)在數(shù)據(jù)安全、分布式存儲(chǔ)、加工等過程中應(yīng)有必要的安全機(jī)制與隱私保護(hù)措施。云平臺(tái)本身具有一定的保護(hù)措施，如通過數(shù)據(jù)的異地備份、病毒防火墻、入侵檢測(cè)等來抵抗傳統(tǒng)攻擊。研究侵入的信息，按照研究結(jié)果來修補(bǔ)漏洞[6]，同時(shí)結(jié)合用戶端，可以在物聯(lián)網(wǎng)平臺(tái)端和云端組建端云協(xié)同的防護(hù)體系，在云端對(duì)于終端的安全狀態(tài)進(jìn)行感知、監(jiān)測(cè)和升級(jí)，進(jìn)一步豐富整個(gè)系統(tǒng)的安全防護(hù)手段。

2.4? 規(guī)則制度建設(shè)

建立完善并可迭代的信息安全管理操作規(guī)范制度，核心是制定運(yùn)維人員日常操作規(guī)范手冊(cè)和規(guī)章制度，建立完整的安全運(yùn)維系統(tǒng)和應(yīng)急機(jī)制處理機(jī)制，從而提高物聯(lián)網(wǎng)體系的有制可依、有規(guī)可守、有序可循，做到事前防范、事中監(jiān)控、事后處置的可迭代的安全閉環(huán)管理。

2.5 法律手段

強(qiáng)化法律規(guī)范，做好管理工作[7]，物聯(lián)網(wǎng)系統(tǒng)的安全管理離不開法律的保障[8]。然而，我國物聯(lián)網(wǎng)信息安全保護(hù)立法仍然存在不足，首先是法規(guī)分散、不成體系。我國關(guān)于信息安全的規(guī)定分布在多部法律法規(guī)之中，至今沒有一部專門針對(duì)物聯(lián)網(wǎng)信息安全問題的基本法，沒有形成一個(gè)完整的法律體系。

物聯(lián)網(wǎng)產(chǎn)業(yè)的高速發(fā)展離不開安全防護(hù)，安全問題是端到端的全生命周期的體系化工程，需要整個(gè)產(chǎn)業(yè)鏈共同推動(dòng)物聯(lián)網(wǎng)安全架構(gòu)的指定和完善，同時(shí)加快相關(guān)國家標(biāo)準(zhǔn)的制定工作，為產(chǎn)業(yè)健康發(fā)展提供戰(zhàn)略指引。

此外，需要ISP和云服務(wù)商、傳感器硬件及嵌入式芯片廠家共同指定統(tǒng)一的安全標(biāo)準(zhǔn)，做到核心技術(shù)、加密算法的自主可控和統(tǒng)一。

3 結(jié)語

綜上所述，物聯(lián)網(wǎng)技術(shù)是一種結(jié)合了傳統(tǒng)互聯(lián)網(wǎng)與傳感器網(wǎng)絡(luò)的新技術(shù)。在各行業(yè)中，尤其是工業(yè)互聯(lián)網(wǎng)和智能家居中廣泛使用。但其仍處于發(fā)展階段，面臨著從感知層、網(wǎng)絡(luò)層、應(yīng)用層三方面的安全隱患，應(yīng)設(shè)計(jì)包含物聯(lián)網(wǎng)終端防護(hù)、網(wǎng)絡(luò)防護(hù)、云平臺(tái)防護(hù)和制度建設(shè)一體的物聯(lián)網(wǎng)安全框架，為物聯(lián)網(wǎng)的發(fā)展提供良好的保障。

參考文獻(xiàn)

[1] 郭健.人工智能和物聯(lián)網(wǎng)應(yīng)用的網(wǎng)絡(luò)安全管理方法 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（12）：171-172.

[2] 劉小銘，許旭江.物聯(lián)網(wǎng)環(huán)境下網(wǎng)絡(luò)安全技術(shù)的研究與應(yīng)用 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（12）：163-164.

[3] 王德.威脅網(wǎng)絡(luò)安全的因素及防范對(duì)策研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（12）：162-163.

[4] 葉常青.基于物聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)安全問題及應(yīng)對(duì)措施[J].信息技術(shù)，2021（32）：14-16.

[5] 陳養(yǎng)平.基于物聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)安全相關(guān)問題與應(yīng)對(duì)之策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（10）：11-12.

[6] 李書強(qiáng)，周鳳敏，宋祥吉，等.基于物聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)安全問題及應(yīng)對(duì)策略探究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（2）：168-169 .

[7] 常俊杰.基于物聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)安全問題及應(yīng)對(duì)策略[J].科技創(chuàng)新導(dǎo)報(bào)，2020（6）：129-130.

[8] 蔡澤利.物聯(lián)網(wǎng)環(huán)境下信息安全問題與對(duì)策[J].科技資訊，2018（4）：67-69.B22B7373-4DEC-4753-A110-A474BB5AF2DF