文/姚文學(xué)

物聯(lián)網(wǎng)安全綜述

文/姚文學(xué)

一、引言

圖1：紅色為美國遭受攻擊斷網(wǎng)的區(qū)域

2016年10月21日，美國DNS服務(wù)提供商Dyn遭受大規(guī)模攻擊，導(dǎo)致諸多網(wǎng)站停止服務(wù)。據(jù)統(tǒng)計(jì)，這次攻擊使得美國幾乎半個(gè)互聯(lián)網(wǎng)癱瘓。而且，這斷斷續(xù)續(xù)長達(dá)6個(gè)小時(shí)的攻擊，毫不夸張的說，此次損失為天文數(shù)字。（圖1）

此次事件的元兇是惡意軟件“Mirai”源代碼，黑客使用Mirai與物聯(lián)網(wǎng)相結(jié)合，通過互聯(lián)網(wǎng)搜索物聯(lián)網(wǎng)設(shè)備，當(dāng)掃描到物聯(lián)網(wǎng)設(shè)備（包括網(wǎng)絡(luò)攝像頭，智能開關(guān)等）后就嘗試使用默認(rèn)密碼登陸，（一般是admin/admin，admin/123456之類的弱密碼，Mirai病毒自帶60個(gè)通用密碼）。一旦登陸成功，這臺設(shè)備就成為“肉雞”，開始被黑客操控攻擊其他網(wǎng)絡(luò)設(shè)備，由此造成了有史以來最大的DDoS攻擊。

由于物聯(lián)網(wǎng)設(shè)備容易妥協(xié)、很難修補(bǔ)的特點(diǎn)，物聯(lián)網(wǎng)將來會成為完美的僵尸網(wǎng)絡(luò)。隨著物聯(lián)網(wǎng)的發(fā)展，智能硬件大約都可能成為網(wǎng)絡(luò)攻擊的入口。而其規(guī)模龐大，安全性能上的缺失都將助長網(wǎng)絡(luò)攻擊的囂張氣焰。

二、物聯(lián)網(wǎng)架構(gòu)

（一）物聯(lián)網(wǎng)的定義

物聯(lián)網(wǎng)是通過射頻識別（RFID）、紅外感應(yīng)器、全球定位系統(tǒng)、激光掃描器等信息傳感設(shè)備，按約定的協(xié)議把任意物品與互聯(lián)網(wǎng)連接起來，進(jìn)行信息交換和通信，以實(shí)現(xiàn)智能化識別、定位、跟蹤、監(jiān)控和管理的一種網(wǎng)絡(luò)。物聯(lián)網(wǎng)就是“物與物相連的互聯(lián)網(wǎng)”，其包含兩層含義：第一，物聯(lián)網(wǎng)是在互聯(lián)網(wǎng)的基礎(chǔ)上延伸和擴(kuò)展的網(wǎng)絡(luò)，其核心仍然是互聯(lián)網(wǎng)；第二，物聯(lián)網(wǎng)的用戶端延伸和擴(kuò)展到任何物品之間進(jìn)行信息交換和數(shù)據(jù)通信。

物聯(lián)網(wǎng)的常見定義有兩個(gè)，分別來自于Gartner和HavardBusinessReview:

1.物聯(lián)網(wǎng)是物體的互聯(lián)網(wǎng)絡(luò)，這些物體可以通過內(nèi)嵌技術(shù)進(jìn)行感知和通信，了解外部環(huán)境狀態(tài)或彼此的狀態(tài)。（Gartner）

2.物聯(lián)網(wǎng)是一互聯(lián)的智能設(shè)備，它們能進(jìn)行編排組合，產(chǎn)生新的應(yīng)用、可靠性、可用性、或新的系統(tǒng)。（HarvardBusinessReview）

（二）物聯(lián)網(wǎng)的架構(gòu)

物聯(lián)網(wǎng)是傳統(tǒng)網(wǎng)絡(luò)的延伸和擴(kuò)展，將網(wǎng)絡(luò)用戶端延伸和擴(kuò)展到物與物之間，是一種新型的信息傳輸和交換形式。物聯(lián)網(wǎng)是一個(gè)由感知層、網(wǎng)絡(luò)層和應(yīng)用層共同組成的大規(guī)模信息系統(tǒng)，其核心結(jié)構(gòu)主要包括：

1.感知層，如智能卡、RFID電子標(biāo)簽、傳感器網(wǎng)絡(luò)等，其主要功能是采集各種基礎(chǔ)的數(shù)據(jù)信息；

2.網(wǎng)絡(luò)層，如局域網(wǎng)、互聯(lián)網(wǎng)、無線網(wǎng)絡(luò)等,其主要功能是實(shí)現(xiàn)數(shù)據(jù)信息的交換與通信；

3.應(yīng)用層，主要負(fù)責(zé)物聯(lián)數(shù)據(jù)的分析處理和控制決策，以便實(shí)現(xiàn)智能化的應(yīng)用和服務(wù)，從而最終實(shí)現(xiàn)人與物、物與物的聯(lián)通。

物聯(lián)網(wǎng)的體系結(jié)構(gòu)如附圖所示。就其體系結(jié)構(gòu)來看，物聯(lián)網(wǎng)體現(xiàn)的是融合的思想，跨越在有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的基礎(chǔ)介質(zhì)之上。（圖2）

（三）物聯(lián)網(wǎng)的安全現(xiàn)狀

物聯(lián)網(wǎng)是繼互聯(lián)網(wǎng)和移動計(jì)算之后的新趨勢，是計(jì)算的未來。在物聯(lián)網(wǎng)蓬勃發(fā)展的同時(shí)，其背后隱藏的安全問題也逐漸凸顯出來。除了要應(yīng)對傳統(tǒng)IP網(wǎng)絡(luò)已知的安全問題之外，物聯(lián)網(wǎng)還存在著大量自身獨(dú)有的安全問題。同互聯(lián)網(wǎng)一樣，物聯(lián)網(wǎng)同樣面臨著網(wǎng)絡(luò)管理與控制等一系列問題，如果這些問題不能得到很好的解決，將會在很大程度上制約物聯(lián)網(wǎng)的進(jìn)一步發(fā)展。網(wǎng)絡(luò)的安全隱患是客觀存在的，而物聯(lián)網(wǎng)又是隨機(jī)分布在由傳感器組成的網(wǎng)絡(luò)和無處不在的無線網(wǎng)絡(luò)之中，為各種網(wǎng)絡(luò)攻擊提供了非常廣闊的空間，其安全隱患更加突出。

圖2：物聯(lián)網(wǎng)的體系構(gòu)

三、物聯(lián)網(wǎng)安全問題淺析

（一）感知層安全問題

感知層的任務(wù)是全面感知外界信息，或者說是原始信息收集器。該層的典型設(shè)備包括RFID裝置、各類傳感器（如紅外、超聲、溫度、濕度、速度等）、圖像捕捉裝置（攝像頭）、全球定位系統(tǒng)（GPS）、激光掃描儀等。可能遇到的安全問題包括：

1.由于感知節(jié)點(diǎn)監(jiān)測網(wǎng)絡(luò)的不同內(nèi)容、提供各種不同格式的事件數(shù)據(jù)來表征網(wǎng)絡(luò)系統(tǒng)當(dāng)前的狀態(tài)。然而，這些傳感智能節(jié)點(diǎn)又容易受侵。

2.標(biāo)簽信息的截獲和對這些信息的破解。這些信息可以通過無線網(wǎng)絡(luò)平臺傳輸，這會給信息的安全代理影響。

3.傳感網(wǎng)的節(jié)點(diǎn)受來自于網(wǎng)絡(luò)的DoS攻擊。因?yàn)閭鞲芯W(wǎng)通常要接入其他外在網(wǎng)絡(luò)（包括互聯(lián)網(wǎng)），所以就難免受到來自外部網(wǎng)絡(luò)的攻擊。主要攻擊除了非法訪問外，拒絕服務(wù)（DoS）攻擊也最為常見。傳感網(wǎng)節(jié)點(diǎn)的資源（計(jì)算和通信能力）有限，對抗DoS攻擊的能力比較脆弱，在互聯(lián)網(wǎng)環(huán)境里并不嚴(yán)重的DoS攻擊行為，在物聯(lián)網(wǎng)中就可能造成傳感網(wǎng)癱瘓。

（二）傳輸層安全問題

物聯(lián)網(wǎng)的傳輸層主要用于把感知層收集到的信息安全可靠地傳輸?shù)叫畔⑻幚韺?，然后進(jìn)行信息處理。在信息傳輸中，可能經(jīng)過一個(gè)或多個(gè)不同架構(gòu)的網(wǎng)絡(luò)進(jìn)行信息交接。在物聯(lián)網(wǎng)環(huán)境中這一現(xiàn)象更突出，可能產(chǎn)生信息安全隱患。互聯(lián)網(wǎng)的安全問題都可能傳導(dǎo)到物聯(lián)網(wǎng)的傳輸層，甚至產(chǎn)生更嚴(yán)重的問題。物聯(lián)網(wǎng)傳輸層將會遇到以下安全問題：

1.DoS攻擊、DDoS攻擊。由于物聯(lián)網(wǎng)中節(jié)點(diǎn)數(shù)量龐大，而且以集群方式存在，會產(chǎn)生大量的數(shù)據(jù)需要傳播，這些巨量的數(shù)據(jù)會使網(wǎng)絡(luò)擁塞，以至于產(chǎn)生拒絕服務(wù)攻擊；

2.假冒攻擊、中間人攻擊等；

3.跨異構(gòu)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊。

（三）應(yīng)用層安全問題

應(yīng)用層對接收的信息加以處理。它需要判斷哪些信息是有用的信息，哪些是垃圾信息甚至是惡意信息。處理的數(shù)據(jù)既有一般性數(shù)據(jù)，也有操作指令。特別值得警惕的是錯(cuò)誤指令（如指令發(fā)出者的操作失誤、網(wǎng)絡(luò)傳輸錯(cuò)誤、得到惡意修改等），或者是攻擊者的惡意指令。如何識別有用的信息，又如何甄別并有效防范惡意信息和指令帶來的威脅是物聯(lián)網(wǎng)應(yīng)用層的主要安全問題。這些問題包括：

1.由于超大量終端提供了海量的數(shù)據(jù)，來不及識別和處理；

2.智能設(shè)備的智能失效，導(dǎo)致效率嚴(yán)重下降；

3.自動處理失控；

4.無法實(shí)現(xiàn)災(zāi)難控制并從災(zāi)難中恢復(fù)；

5.非法人為干預(yù)造成故障；

6.設(shè)備從網(wǎng)絡(luò)中邏輯丟失。

四、解決方案探討

（一）感知層安全措施

RFID的嵌入以及各傳感器節(jié)點(diǎn)的安全性略低，因此，對物聯(lián)網(wǎng)的芯片、節(jié)點(diǎn)可以采取一些物理安全機(jī)制來實(shí)現(xiàn)其安全保障性能。

物理方法主要有靜電屏蔽、阻塞標(biāo)簽、選擇性鎖定等方法。

1.靜電屏蔽機(jī)制通過使用靜電屏蔽技術(shù)將標(biāo)簽屏蔽，使標(biāo)簽無法被激活，這能避免標(biāo)簽在不必要或被攻擊者利用的的情況下被閱讀及進(jìn)行通信。

2.阻塞標(biāo)簽使用標(biāo)簽隔離機(jī)制來中斷讀寫器與全部或指定標(biāo)簽的通信，阻塞標(biāo)簽?zāi)軌蛲瑫r(shí)模擬多種標(biāo)簽，消費(fèi)者可以使用阻塞標(biāo)簽有選擇地中斷讀寫器與某些標(biāo)簽之間的無線通信。

3.選擇性鎖定方法使用一個(gè)被稱為“鎖定者”的特殊標(biāo)簽來模擬無窮的標(biāo)簽的一個(gè)部分，這一方法可以阻止不在被允許范圍內(nèi)的閱讀器讀取某個(gè)標(biāo)簽的信息，與靜電屏蔽技術(shù)類似。

這幾種方法能夠在一定程度上使RFID的標(biāo)簽安全性得到保障，同時(shí)各傳輸節(jié)點(diǎn)也可以利用類似的物理性質(zhì)的方法進(jìn)行保護(hù)。

（二）傳輸層的安全措施

完善傳輸級的安全技術(shù)保障信息在傳輸時(shí)的安全，可以通過數(shù)據(jù)加密技術(shù)來實(shí)現(xiàn)。加密的作用在于阻止攻擊者對截獲的信息進(jìn)行破譯。另外，加密能夠降低所傳輸?shù)男畔⒈槐I竊的風(fēng)險(xiǎn)。密匙作為物聯(lián)網(wǎng)安全技術(shù)的基礎(chǔ)，它就像一把大門的鑰匙一樣，在網(wǎng)絡(luò)安全中起著決定性作用。

但是適用于物聯(lián)網(wǎng)的信息加密方案應(yīng)能保證以下兩點(diǎn)：一是能適應(yīng)感知節(jié)點(diǎn)有限的資源。二是能夠保證攻擊者無法或很難從已獲取的節(jié)點(diǎn)信息中推導(dǎo)出其他節(jié)點(diǎn)的信息。滿足了這兩點(diǎn)，物聯(lián)網(wǎng)在傳輸過程中的安全性才能夠得到一定的保障。此外，應(yīng)加強(qiáng)傳輸層的跨域認(rèn)證和跨網(wǎng)認(rèn)證的研究。通過認(rèn)證，進(jìn)行通信的雙方能夠確認(rèn)對方的真實(shí)身份。由于物聯(lián)網(wǎng)主要是人與物、物與物之間的無線通信，相比于傳統(tǒng)網(wǎng)絡(luò)，物聯(lián)網(wǎng)環(huán)境下的訪問控制機(jī)制要復(fù)雜的多。由于物聯(lián)網(wǎng)要實(shí)現(xiàn)“無處不在的感知”、“物物互聯(lián)”的功能，在其應(yīng)用中要用到大量的傳感器節(jié)點(diǎn)且種類各異，因此，在加密方式和認(rèn)證方式上存在很大的挑戰(zhàn)性。

物聯(lián)網(wǎng)密鑰管理系統(tǒng)面臨兩個(gè)主要問題：一是如何構(gòu)建一個(gè)貫穿多個(gè)網(wǎng)絡(luò)的統(tǒng)一密鑰管理系統(tǒng)，并與物聯(lián)網(wǎng)的體系結(jié)構(gòu)相適應(yīng)；二是如何解決傳感網(wǎng)的密鑰管理問題，如密鑰的分配、更新、組播等問題。

實(shí)現(xiàn)統(tǒng)一的密鑰管理系統(tǒng)可以采用兩種方式：一是以互聯(lián)網(wǎng)為中心的集中式管理方式。二是以各自網(wǎng)絡(luò)為中心的分布式管理方式。

無線傳感器網(wǎng)絡(luò)的密鑰管理系統(tǒng)的設(shè)計(jì)在很大程度上受到其自身特征的限制，因此在設(shè)計(jì)需求上與有線網(wǎng)絡(luò)和傳統(tǒng)的資源不受限制的無線網(wǎng)絡(luò)有所不同，特別要充分考慮到無線傳感器網(wǎng)絡(luò)傳感節(jié)點(diǎn)的限制和網(wǎng)絡(luò)組網(wǎng)與路由的特征。它的安全需求主要體現(xiàn)在：

1.密鑰生成或更新算法的安全性：利用該算法生成的密鑰應(yīng)具備一定的安全強(qiáng)度，不能被網(wǎng)絡(luò)攻擊者輕易破解或者花很小的代價(jià)破解。也即是加密后保障數(shù)據(jù)包的機(jī)密性。

2.前向私密性：對中途退出傳感器網(wǎng)絡(luò)或者被俘獲的惡意節(jié)點(diǎn)，在周期性的密鑰更新或者撤銷后無法再利用先前所獲知的密鑰信息生成合法的密鑰繼續(xù)參與網(wǎng)絡(luò)通信，即無法參加與報(bào)文解密或者生成有效的可認(rèn)證的報(bào)文。

3.后向私密性和可擴(kuò)展性：新加入傳感器網(wǎng)絡(luò)的合法節(jié)點(diǎn)可利用新分發(fā)或者周期性更新的密鑰參與網(wǎng)絡(luò)的正常通信，即進(jìn)行報(bào)文的加解密和認(rèn)證行為等。而且能夠保障網(wǎng)絡(luò)是可擴(kuò)展的，即允許大量新節(jié)點(diǎn)的加入。

4.抗同謀攻擊：在傳感器網(wǎng)絡(luò)中，若干節(jié)點(diǎn)被俘獲后，其所掌握的密鑰信息可能會造成網(wǎng)絡(luò)局部范圍的泄密，但不應(yīng)對整個(gè)網(wǎng)絡(luò)的運(yùn)行造成破壞性或損毀性的后果即密鑰系統(tǒng)要具有抗同謀攻擊。

5.源端認(rèn)證性和新鮮性：源端認(rèn)證要求發(fā)送方身份的可認(rèn)證性和消息的可認(rèn)證性，即任何一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包都能通過認(rèn)證和追蹤尋找到其發(fā)送源，且是不可否認(rèn)的。新鮮性則保證合法的節(jié)點(diǎn)在一定的延遲許可內(nèi)能收到所需要的信息。新鮮性除了和密鑰管理方案緊密相關(guān)外，與傳感器網(wǎng)絡(luò)的時(shí)間同步技術(shù)和路由算法也有很大的關(guān)聯(lián)。

根據(jù)這些要求，在密鑰管理系統(tǒng)的實(shí)現(xiàn)方法中，人們提出了基于對稱密鑰系統(tǒng)的方法和基于非對稱密鑰系統(tǒng)的方法。在基于對稱密鑰的管理系統(tǒng)方面，從分配方式上也可分為以下三類：基于密鑰分配中心方式、預(yù)分配方式和基于分組分簇方式。與非對稱密鑰系統(tǒng)相比，對稱密鑰系統(tǒng)在計(jì)算復(fù)雜度方面具有優(yōu)勢，但在密鑰管理和安全性方面卻有不足。特別是在物聯(lián)網(wǎng)環(huán)境下，如何實(shí)現(xiàn)與其他網(wǎng)絡(luò)的密鑰管理系統(tǒng)的融合是值得探討的問題。為此，人們將非對稱密鑰系統(tǒng)也應(yīng)用于無線傳感器網(wǎng)絡(luò)。

近幾年作為非對稱密鑰系統(tǒng)的基于身份標(biāo)識的加密算法（identity—basedencryption，IBE）引起了人們的關(guān)注。該算法的主要思想是加密的公鑰不需要從公鑰證書中獲得，而是直接使用標(biāo)識用戶身份的字符串。其中比較優(yōu)秀的是由Boneh等提出的IBE算法實(shí)現(xiàn)。

（三）應(yīng)用層安全措施

應(yīng)用層處理傳輸來的海量感知數(shù)據(jù)，進(jìn)行存儲、計(jì)算，對于這一層的網(wǎng)絡(luò)防護(hù)，可以遵循以下幾條原則。

1.隱私原則：允許用戶本著自愿的原則，根據(jù)個(gè)人需要，與移動通信運(yùn)營商、物聯(lián)網(wǎng)服務(wù)提供商協(xié)商設(shè)計(jì)個(gè)人信息的使用范圍以及進(jìn)行必要的協(xié)議簽訂，使終端用戶的安全和隱私得到保障。

2.身份匿名：將個(gè)人敏感信息用匿名編碼代替或者進(jìn)行加密，防止攻擊者直接使用竊取的個(gè)人數(shù)據(jù)信息。

3.數(shù)據(jù)混淆：利用“騙”的方法，即采用必要的算法，對涉及的個(gè)人資料與別的信息進(jìn)行置換和混淆，避免被攻擊者直接竊取和使用。

4.加強(qiáng)數(shù)據(jù)庫的訪問控制策略：應(yīng)根據(jù)安全級別或身份限制其權(quán)限和操作，可以采用身份驗(yàn)證的方法進(jìn)行實(shí)現(xiàn)。

五、糧食物聯(lián)網(wǎng)安全要點(diǎn)

在智能糧庫中涉及到大量的物聯(lián)網(wǎng)設(shè)備，在出入庫、智能倉儲、糧情監(jiān)控、智能安防等多個(gè)環(huán)節(jié)都涉及到物聯(lián)網(wǎng)安全問題。根據(jù)筆者的實(shí)踐經(jīng)驗(yàn)，糧食物聯(lián)網(wǎng)安全關(guān)鍵點(diǎn)如下：

（一）物聯(lián)設(shè)備采用標(biāo)準(zhǔn)化協(xié)議連接。通過協(xié)議標(biāo)準(zhǔn)化，可以實(shí)現(xiàn)針對協(xié)議內(nèi)容的加密傳輸和處理，避免出現(xiàn)數(shù)據(jù)泄露或身份冒充等情況。我們推薦采用標(biāo)準(zhǔn)的MQTT協(xié)議，這個(gè)協(xié)議在網(wǎng)絡(luò)層、傳輸層、應(yīng)用層都提供了較好的安全機(jī)制。同時(shí)，通過協(xié)議的標(biāo)準(zhǔn)化，可以實(shí)現(xiàn)設(shè)備的廠商無關(guān)性，避免廠商設(shè)備安全引發(fā)的連鎖問題。

（二）智能物聯(lián)設(shè)備，包括智能門窗、熏蒸等有處理能力的物聯(lián)設(shè)備，必須對管理口令進(jìn)行強(qiáng)制檢查，確保不會因?yàn)槿蹩诹畋还テ??？梢圆捎迷频慕y(tǒng)一配置管理工具，實(shí)現(xiàn)對多個(gè)智能設(shè)備的口令記錄和保護(hù)。

（三）物聯(lián)設(shè)備和應(yīng)用層之間，必須設(shè)置二次校驗(yàn)機(jī)制，確保在一端被控制的情況下，另一端不會由于簡單的信任機(jī)制也被攻破。同樣，物聯(lián)設(shè)備之間的連接也需要設(shè)置二次校驗(yàn)，以防止同謀攻擊。

（四）物聯(lián)設(shè)備的軟件需要定期檢查、升級和打補(bǔ)丁，以免由于軟件漏洞導(dǎo)致系統(tǒng)風(fēng)險(xiǎn)。由于很多物聯(lián)設(shè)備的軟件都是來自開源社區(qū)，因此在系統(tǒng)上線時(shí)，以及運(yùn)維過程中，需要對軟件進(jìn)行掃描和監(jiān)控，及時(shí)進(jìn)行補(bǔ)丁和升級。

作者單位：怡和祥云（北京）科技有限公司