王田，李洋，賈維嘉，王國軍，彭紹亮

?

傳感云安全研究進(jìn)展

王田1，李洋1，賈維嘉2,3，王國軍4，彭紹亮5

（1. 華僑大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，福建 廈門 361021；2. 澳門大學(xué)數(shù)據(jù)科學(xué)中心，澳門 999078；3. 上海交通大學(xué)電子信息與電氣工程學(xué)院，上海 200240；4. 廣州大學(xué)計(jì)算機(jī)科學(xué)與教育軟件學(xué)院，廣東 廣州 510006；5. 國防科技大學(xué)計(jì)算機(jī)學(xué)院，湖南 長沙 410073）

通過調(diào)研大量的國內(nèi)外傳感云安全的相關(guān)文獻(xiàn)發(fā)現(xiàn)，現(xiàn)有的傳感云系統(tǒng)存在一系列嚴(yán)重的安全問題，如不同服務(wù)提供商的信譽(yù)問題、物理節(jié)點(diǎn)耦合漏洞、數(shù)據(jù)權(quán)限管理漏洞等，嚴(yán)重地阻礙了傳感云系統(tǒng)的進(jìn)一步發(fā)展。分析了傳感云系統(tǒng)存在的安全問題，對比了現(xiàn)有的傳感云安全技術(shù)，討論總結(jié)了不同種類解決方案的優(yōu)缺點(diǎn)，提出了未來傳感云發(fā)展面臨的安全挑戰(zhàn)。最后，設(shè)計(jì)了基于霧計(jì)算框架下傳感云安全的實(shí)現(xiàn)方案，為傳感云的安全研究帶來新的思路。

云計(jì)算；無線傳感網(wǎng)；傳感云；安全；霧計(jì)算

1 引言

近年來，隨著無線傳感器網(wǎng)絡(luò)（WSN, wireless sensor network）的發(fā)展和云計(jì)算的廣泛應(yīng)用，傳感云（sensor-cloud）的誕生成為物聯(lián)網(wǎng)發(fā)展的必然趨勢。傳感云由無線傳感器網(wǎng)絡(luò)和云計(jì)算組合而成，不僅繼承了WSN無處不在的物理感知能力，還具有云計(jì)算強(qiáng)大的計(jì)算和存儲能力，因此其應(yīng)用領(lǐng)域也更加多樣廣泛。然而，安全問題是當(dāng)前傳感云系統(tǒng)面臨的關(guān)鍵問題。一方面，網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展，為不法分子提供了良好的生存環(huán)境；另一方面，傳感云體系特性如物理層傳感器易獲取、物理通信暴露、中間層虛擬化、數(shù)據(jù)遠(yuǎn)程外部存儲等，使傳感云系統(tǒng)存在不同的類型的安全漏洞，加重保護(hù)難度，因此，對傳感云安全研究是極其必要的。

本文首先介紹了傳感云的概念及實(shí)現(xiàn)框架，并強(qiáng)調(diào)了傳感云安全研究的必要性。其次，根據(jù)傳感云運(yùn)行過程中數(shù)據(jù)動態(tài)，分析了傳感云中存在的安全問題和5類安全保護(hù)技術(shù)。接著，對比了目前傳感云的安全相關(guān)研究，從工業(yè)傳感云平臺安全機(jī)制到學(xué)術(shù)傳感云安全文獻(xiàn)，并總結(jié)了未來傳感云安全的研究方向。最后，結(jié)合目前新興的霧計(jì)算概念，為解決傳感云安全問題提供了新思路。

1.1 傳感云體系結(jié)構(gòu)

傳感云是傳感器網(wǎng)絡(luò)和云計(jì)算結(jié)合的產(chǎn)物[1]。無線傳感器網(wǎng)絡(luò)被廣泛地應(yīng)用在各個領(lǐng)域，如民用、國防軍事、環(huán)境監(jiān)測和建筑體監(jiān)測等[2~5]，由于其在計(jì)算、存儲、能量等諸多方面的限制，如何有效管理大規(guī)模無線傳感器網(wǎng)絡(luò)以充分發(fā)揮性能是一個亟待解決的問題。云計(jì)算的出現(xiàn)和發(fā)展為傳感云的誕生提供了有利條件。云計(jì)算不僅可以滿足傳感器網(wǎng)絡(luò)在數(shù)據(jù)處理和存儲等方面的需求[6,7]，而且拓展了傳感器網(wǎng)絡(luò)的應(yīng)用空間。在傳感云系統(tǒng)中，傳感網(wǎng)在底層收集用戶需要的數(shù)據(jù)，并上傳到云端，云服務(wù)器對數(shù)據(jù)進(jìn)行加工處理并提供給用戶。傳感層對用戶而言是透明的，用戶不需要知道數(shù)據(jù)從何而來，只要按需獲取云平臺提供的服務(wù)即可?？傊?，傳感云繼承了云計(jì)算的運(yùn)作模式，它將傳感器網(wǎng)絡(luò)與云計(jì)算進(jìn)行整合，共享兩者的資源，為用戶提供遠(yuǎn)程的、高時效的按需服務(wù)。

文獻(xiàn)[6]提出了一種抽象傳感云的體系結(jié)構(gòu)，如圖1所示，它從下往上依次包含物理傳感層、虛擬傳感層和用戶層。物理傳感層由傳感器節(jié)點(diǎn)組成，主要負(fù)責(zé)收集數(shù)據(jù)并與上層云端對接。在此層中，每個傳感器節(jié)點(diǎn)有各自的控制與數(shù)據(jù)收集機(jī)制，不同的應(yīng)用中的傳感器節(jié)點(diǎn)具有不同的功能。例如，森林監(jiān)測中的傳感器節(jié)點(diǎn)只用于監(jiān)測溫度、濕度等必要信息；而目標(biāo)跟蹤中的傳感器節(jié)點(diǎn)則要求實(shí)時返回目標(biāo)的地理位置、移動軌跡等信息。虛擬傳感層由虛擬傳感器節(jié)點(diǎn)和云服務(wù)器組成，主要負(fù)責(zé)數(shù)據(jù)處理和對物理節(jié)點(diǎn)層調(diào)度管理，同時，虛擬傳感層可為用戶提供可視的、便捷的、安全的服務(wù)。由此實(shí)現(xiàn)物理節(jié)點(diǎn)對用戶的透明化，用戶不需要擔(dān)心傳感節(jié)點(diǎn)的具體位置和實(shí)時狀態(tài)[8]。最上層為用戶層，不同的用戶可以通過虛擬傳感層訪問傳感層收集到的數(shù)據(jù)。由于資源共享于云端，當(dāng)用戶獲得相應(yīng)的權(quán)限，便可訪問其他用戶資源。用戶層面向用戶提供一些遠(yuǎn)程需求服務(wù)并兼容不同的平臺系統(tǒng)，如某些用戶向傳感云請求服務(wù)，這些服務(wù)可能來自不同的網(wǎng)絡(luò)（3G、4G、Wi-Fi）、不同的終端（手機(jī)、平板、電腦）或不同的操作系統(tǒng)[9]（Windows、Linux、Mac）。

圖1 傳感云體系結(jié)構(gòu)

1.2 國內(nèi)外傳感云研究現(xiàn)狀

本文通過對傳感云及其安全問題的大量調(diào)研發(fā)現(xiàn)，傳感云目前處于發(fā)展起步階段，僅有少量國外文獻(xiàn)進(jìn)行過研究，國內(nèi)相關(guān)研究則較少，關(guān)于傳感云安全的研究更少。圖2(a)為近年來Google上有關(guān)傳感網(wǎng)安全和云計(jì)算安全的搜索量趨勢。從圖2(a)中可以看到，在2011年，兩者的搜索熱度有所下滑，但在2012年~2015年，兩者已經(jīng)恢復(fù)并保持了較高的關(guān)注熱度。圖2(b)為國內(nèi)外已發(fā)表的相關(guān)文獻(xiàn)數(shù)量趨勢，其中，實(shí)線為國內(nèi)科技期刊數(shù)據(jù)庫檢索的文獻(xiàn)趨勢，虛線為Google學(xué)術(shù)檢索的文獻(xiàn)趨勢。從圖2(b)中可以看出，有關(guān)安全的研究論文數(shù)量均處于逐步上升的趨勢，特別是國外關(guān)于“傳感云安全”的科研論文量（對應(yīng)的傳感云安全曲線），近年來保持了較快的增長速度。此外，從國內(nèi)外文獻(xiàn)數(shù)量對比可知，目前國內(nèi)相關(guān)安全的文獻(xiàn)相比于國外少了很多，特別是在“傳感云安全”研究方向，其論文數(shù)量更少。

圖2 WSN與云計(jì)算安全研究趨勢

在此背景下，本文梳理了傳感云中存在的安全威脅，整理了傳感云安全的研究現(xiàn)狀，探討了傳感云系統(tǒng)安全應(yīng)有的需求，對目前已有的方法分類分析，并展望了未來的研究方向和提出了基于霧計(jì)算框架的傳感云安全新思路。

1.3 傳感云應(yīng)用背景

1.3.1 智能醫(yī)療領(lǐng)域

在智能醫(yī)療應(yīng)用中[10]，人體健康數(shù)據(jù)，如體溫、血壓、脈搏及醫(yī)療圖像等數(shù)據(jù)被不同種類的傳感器實(shí)時監(jiān)測并通過網(wǎng)關(guān)上傳到云端，遠(yuǎn)程的醫(yī)務(wù)人員通過從云服務(wù)器獲取數(shù)據(jù)來診斷和治療病人。一方面，健康信息需要被周期性地采集，記錄相關(guān)數(shù)據(jù)的最大值、最小值或平均值，并將其與正常數(shù)值進(jìn)行比較。另一方面，對于有相同疾病癥狀的病人，則需要收集來自同一地理區(qū)域，不同獨(dú)立個體的健康數(shù)據(jù)，然后通過大量復(fù)雜的統(tǒng)計(jì)計(jì)算和多項(xiàng)式分析，如人口方差、歐幾里得距離、樣本偏差等，對其特征和病原細(xì)菌的進(jìn)化狀態(tài)進(jìn)行學(xué)習(xí)。這種情況下，傳統(tǒng)的無線傳感網(wǎng)絡(luò)則無法滿足其大數(shù)據(jù)量的存儲和計(jì)算的要求，因此，將數(shù)據(jù)傳給云服務(wù)器存儲和協(xié)助處理可以滿足應(yīng)用的需要。

1.3.2 車載網(wǎng)

車載網(wǎng)則是利用定位設(shè)備來提供基于位置的增值服務(wù)[11]。當(dāng)車載網(wǎng)用戶接近某一特定位置并按照喜好和需要請求附近餐廳、影院、商城等服務(wù)信息時，傳統(tǒng)的傳感網(wǎng)絡(luò)無法長時間執(zhí)行復(fù)雜的數(shù)據(jù)匹配算法，而基于定位的云服務(wù)器則可快速根據(jù)用戶搜索標(biāo)準(zhǔn)比較附近商家的信息，并將合適的范圍結(jié)果返回給用戶。

1.3.3 智能電網(wǎng)

在智能電網(wǎng)應(yīng)用中[12]，由于智能儀表在存儲和計(jì)算能力的限制，智能電網(wǎng)則需要借助云服務(wù)器的存儲和計(jì)算能力，利用外部計(jì)算確定區(qū)域是否處于用電高峰期（總用電量高于用電門限），或從空間和時間的角度聚合和分析用戶的實(shí)時用電量，對應(yīng)每隔一個周期動態(tài)地給用戶充電。

1.4 傳感云安全必要性

隨著網(wǎng)絡(luò)基礎(chǔ)設(shè)施的完善、技術(shù)的提升，傳感云系統(tǒng)被廣泛應(yīng)用于各個領(lǐng)域，不僅用戶需求呈現(xiàn)多樣化，對安全的要求也越來越高。傳感云系統(tǒng)雖然具備傳感網(wǎng)和云計(jì)算的強(qiáng)大能力，但是同樣面臨著兩者自身存在的安全問題，甚至衍生出新的安全問題。上述3個典型的傳感云應(yīng)用，雖然為用戶提供了極大的便利，但同時也給用戶帶來了一定的安全威脅。在智能醫(yī)療領(lǐng)域，病人的病例信息存儲在外部云服務(wù)器中，當(dāng)云服務(wù)器被攻擊，病人的醫(yī)療信息則會被泄露。在車載網(wǎng)應(yīng)用中，云服務(wù)器雖然提供了便捷的信息服務(wù)，但是會將用戶的位置及個人喜好暴露給服務(wù)提供商；提供商可對數(shù)據(jù)進(jìn)行挖掘和商業(yè)開發(fā)利用。在智能電網(wǎng)應(yīng)用中，用戶實(shí)時用電量暴露了用戶生活習(xí)慣，這類數(shù)據(jù)如果被惡意竊取會對用戶造成極大的安全隱患，例如，小偷了解用戶生活習(xí)慣，對住戶進(jìn)行蹲點(diǎn)偷盜。因此，無論是哪類傳感云安全威脅，都會給用戶造成極大困擾，有的甚至威脅到用戶自身的安全。傳感云安全問題不可忽視且亟待解決。

2 傳感云安全問題

本文給出了基于數(shù)據(jù)分類的傳感云安全問題及傳感網(wǎng)和云計(jì)算結(jié)合衍生出的新的安全問題，即虛擬化安全問題。

2.1 基于數(shù)據(jù)分類的安全問題

本節(jié)根據(jù)傳感云中數(shù)據(jù)的流向?qū)鞲性瓢踩珕栴}分為4個階段：數(shù)據(jù)產(chǎn)生階段、數(shù)據(jù)傳輸階段、數(shù)據(jù)管理階段和數(shù)據(jù)服務(wù)階段。

文獻(xiàn)[13]提出了一個詳細(xì)的傳感云實(shí)現(xiàn)框架，如圖3所示。在數(shù)據(jù)產(chǎn)生階段，物理層通過傳感器節(jié)點(diǎn)獲取感知數(shù)據(jù)。在數(shù)據(jù)傳輸階段，物理層內(nèi)部將數(shù)據(jù)匯總到基站，然后基站將感知數(shù)據(jù)上傳到云端。在數(shù)據(jù)管理階段，云服務(wù)器對數(shù)據(jù)處理和存儲。最后在數(shù)據(jù)服務(wù)階段，數(shù)據(jù)通過虛擬傳感層可視化地將數(shù)據(jù)提供給用戶。接下來將分條闡述每個階段的安全問題。

圖3 傳感云實(shí)現(xiàn)框架

2.1.1 數(shù)據(jù)產(chǎn)生階段

傳感云系統(tǒng)數(shù)據(jù)由傳感器節(jié)點(diǎn)感知而來，傳感器節(jié)點(diǎn)的工作環(huán)境特性導(dǎo)致傳感云系統(tǒng)存在物理安全問題[14]。

由于傳感云底層網(wǎng)絡(luò)分布在無人看管的環(huán)境中，物理節(jié)點(diǎn)暴露在外面，極易被捕獲和破壞，這為攻擊者提供了便利的物理攻擊條件。傳感云中典型的物理攻擊包括物理干涉、感知節(jié)點(diǎn)捕獲、偽設(shè)備攻擊等。物理干涉指攻擊者故意干擾物理設(shè)備運(yùn)行，如斷電、重啟等，導(dǎo)致設(shè)備無法正常運(yùn)行[15]。物理威脅造成認(rèn)證密鑰、通信密鑰等身份認(rèn)證防護(hù)措施失效。偽設(shè)備攻擊則是攻擊者獲取認(rèn)證密鑰后放置可進(jìn)行身份認(rèn)證的攻擊節(jié)點(diǎn)，竊取機(jī)密數(shù)據(jù)或干擾正常節(jié)點(diǎn)通信。這些攻擊對底層感知數(shù)據(jù)的完整性、可用性有著致命的破壞，且對數(shù)據(jù)感知之后的階段也有著不可忽視的影響。

2.1.2 數(shù)據(jù)傳輸階段

傳感云數(shù)據(jù)傳輸有2個階段：節(jié)點(diǎn)間數(shù)據(jù)的傳輸和基站與云端的傳輸，這2個階段都面臨著通信安全問題[16,17]。

通信安全可以防止數(shù)據(jù)在上傳過程被監(jiān)聽和泄露，保護(hù)數(shù)據(jù)不被篡改或破壞。傳感云中通信安全威脅既存在于傳感網(wǎng)底層點(diǎn)對點(diǎn)通信，也存在于基站與云端的無線或有線通信。典型的攻擊有阻塞攻擊、時序攻擊、轉(zhuǎn)發(fā)攻擊和路由攻擊。阻塞攻擊主要是惡意設(shè)備頻繁廣播信號，占用通信信道且增加了數(shù)據(jù)傳播沖突的概率。在時序攻擊中，攻擊者通過分析加解密算法來獲取密鑰，并預(yù)測獲取所有密鑰的時間和解密數(shù)據(jù)分組需要的密鑰數(shù)量。轉(zhuǎn)發(fā)攻擊主要發(fā)生在認(rèn)證階段，破壞證書的有效性。路由攻擊則是攻擊者惡意地制造路由環(huán)，導(dǎo)致有效數(shù)據(jù)無法正常傳輸?shù)交尽?/p>

2.1.3 數(shù)據(jù)管理階段

當(dāng)數(shù)據(jù)上傳到云端后，數(shù)據(jù)的管理安全存在3類問題：敏感數(shù)據(jù)定義[18]、數(shù)據(jù)共享安全[19]、數(shù)據(jù)存儲安全[20]。

1)敏感數(shù)據(jù)定義

傳感云應(yīng)用過程中，數(shù)據(jù)的種類繁多，其機(jī)密性程度也有所差異。數(shù)據(jù)的來源不同、產(chǎn)生時間不同、地點(diǎn)不同等因素均會影響數(shù)據(jù)的機(jī)密性。例如，當(dāng)一個定位傳感器監(jiān)測到特定對象的移動軌跡時，則被當(dāng)作敏感數(shù)據(jù)，而普通監(jiān)測數(shù)據(jù)則會被一起上傳，加重系統(tǒng)的處理負(fù)擔(dān)，但也存在所有的監(jiān)測數(shù)據(jù)都是高度敏感的，如個人醫(yī)療監(jiān)測設(shè)備產(chǎn)生的生理數(shù)據(jù)。因此，傳感云系統(tǒng)如何劃分敏感數(shù)據(jù)、潛在敏感數(shù)據(jù)及普通數(shù)據(jù)影響了數(shù)據(jù)的機(jī)密性安全。另一方面，為了減少系統(tǒng)負(fù)擔(dān)或提供準(zhǔn)確的服務(wù)，具有相關(guān)性的數(shù)據(jù)會被組合存儲，那么對于組合后的數(shù)據(jù)也存在敏感定義的問題。

2) 數(shù)據(jù)共享安全

傳感云為多用戶提供了一個高效的、低成本的、可擴(kuò)展性強(qiáng)的資源共享平臺，但同時也給安全帶來了巨大挑戰(zhàn)。共享系統(tǒng)一方面為數(shù)據(jù)安全風(fēng)險(xiǎn)的快速延伸提供了便利條件，另一方面多用戶共享的特征為惡意用戶攻擊其他用戶或自私用戶惡意搶占資源提供了機(jī)會，例如，常見的安全威脅有：側(cè)信道攻擊者訪問運(yùn)行在同一服務(wù)器上其他用戶的隱私數(shù)據(jù)；搶占攻擊者大量的占用資源導(dǎo)致其他用戶無法正常獲取服務(wù)[24]。

3)數(shù)據(jù)存儲安全

傳感云中的數(shù)據(jù)存儲在云端增加了數(shù)據(jù)保護(hù)的難度。對用戶而言，數(shù)據(jù)存儲在外部設(shè)備，增加了數(shù)據(jù)被篡改或泄露的風(fēng)險(xiǎn)。對傳感云管理者而言，既要確保數(shù)據(jù)所有者的一般權(quán)限，又要保護(hù)數(shù)據(jù)不被惡意用戶非法訪問或竊取。除此之外，設(shè)置較高靈活度且明確的安全保障機(jī)制，提供更加透明的數(shù)據(jù)存儲模塊，實(shí)現(xiàn)合理數(shù)據(jù)利用和存儲是必要的。

2.1.4 數(shù)據(jù)服務(wù)階段

在數(shù)據(jù)服務(wù)階段，主要存在訪問安全和差異性安全。

1) 訪問安全

雖然云計(jì)算和傳感網(wǎng)的結(jié)合為用戶提供數(shù)據(jù)共享和按需服務(wù)的平臺，但是隱私數(shù)據(jù)的機(jī)密性受到挑戰(zhàn)。在傳感云應(yīng)用過程中，不同等級用戶，可訪問的數(shù)據(jù)權(quán)限不同，且同一等級的用戶訪問數(shù)據(jù)的權(quán)限也有所差異。例如，醫(yī)療傳感云應(yīng)用中，醫(yī)生可以訪問部分病人的病理信息，而病人只能查看與自身相關(guān)的醫(yī)療數(shù)據(jù)，且不同醫(yī)生可查看的病人信息的數(shù)量和對象也不完全一致。因此，在確保用戶服務(wù)質(zhì)量的基礎(chǔ)上，如何制定基于角色的數(shù)據(jù)訪問方案是傳感云系統(tǒng)必須解決的安全問題。

2) 差異性安全

由于傳感云服務(wù)內(nèi)容的差異性和用戶群體的差異性，服務(wù)安全的需求也不盡相同，單純地設(shè)置統(tǒng)一的安全配置不僅會導(dǎo)致資源的浪費(fèi)，也難以滿足所有用戶的需要。因此，需要根據(jù)服務(wù)模式、服務(wù)內(nèi)容等設(shè)計(jì)個性化、多層次的安全保障機(jī)制。在設(shè)計(jì)過程中，綜合考慮服務(wù)特性、復(fù)雜度、可擴(kuò)展性等因素，設(shè)計(jì)具有較高靈活度的安全模塊的傳感云系統(tǒng)是未來發(fā)展的趨勢。

2.2 基于虛擬化的安全問題

虛擬傳感層安全是由傳感云系統(tǒng)衍生出的新的安全問題。相較于傳感網(wǎng)和云計(jì)算，傳感云衍生出了虛擬傳感層。本節(jié)根據(jù)虛擬傳感層的特點(diǎn)，提出了幾個傳感云系統(tǒng)中新的安全問題。

虛擬傳感層是處于傳感網(wǎng)和云計(jì)算的中間層，為用戶提供可視服務(wù)。虛擬傳感層有3個特性：虛擬性、異構(gòu)性和實(shí)時性。虛擬性是指虛擬傳感層，是由非硬件設(shè)施構(gòu)造出的中間層，如文獻(xiàn)[21]中虛擬感知服務(wù)層。異構(gòu)性則指虛擬傳感層可以連接不同類型的傳感網(wǎng)和云服務(wù)器，且可以為不同類型的終端用戶（如手機(jī)、平板或電腦等）提供服務(wù)。實(shí)時性體現(xiàn)在為用戶請求服務(wù)時，虛擬傳感層是精準(zhǔn)實(shí)時的獲取用戶所需數(shù)據(jù)，然后進(jìn)行加工處理后提供給用戶。因此，從這3個特性中，本文提煉出了3類安全問題：軟設(shè)施安全問題[22]、對象可信問題[23]和數(shù)據(jù)共享安全問題。

1)軟設(shè)施安全問題

軟設(shè)施安全問題主要包括系統(tǒng)安全和邏輯安全。系統(tǒng)安全主要體現(xiàn)在傳感網(wǎng)服務(wù)商、云服務(wù)提供商等管理者和用戶等第三方在使用傳感云系統(tǒng)時，無法對系統(tǒng)造成安全威脅，或在攻擊者惡意破壞系統(tǒng)時，如何保障虛擬層能正常運(yùn)行。邏輯安全則指感知數(shù)據(jù)轉(zhuǎn)化為服務(wù)的過程中，數(shù)據(jù)源與虛擬節(jié)點(diǎn)和服務(wù)對象的邏輯正確性不受外界干擾。例如，當(dāng)惡意用戶通過了身份認(rèn)證，通過獲取服務(wù)的渠道對系統(tǒng)發(fā)起攻擊時，其他用戶的服務(wù)不受其干擾。

2) 對象可信問題

傳感云是一個具有綜合性功能的系統(tǒng)，包含不同種類的傳感網(wǎng)和云服務(wù)，因此，經(jīng)常采用多個不同感知服務(wù)提供商和云服務(wù)提供商。如果不對服務(wù)商的可信問題進(jìn)行估算和管理，當(dāng)可信度較差的服務(wù)提供商被選用時，不僅會降低傳感云的服務(wù)質(zhì)量，如時延高、可用性差等，而且存在提供商利用其特權(quán)竊取用戶的隱私信息的風(fēng)險(xiǎn)。另一方面，用戶間的數(shù)據(jù)共享和傳輸依賴于用戶的訪問控制協(xié)議，為防止數(shù)據(jù)被篡改和泄露，用戶間的可信關(guān)系需要定義和管理。此外，服務(wù)提供商對第三方軟件的安全性難以實(shí)現(xiàn)完全認(rèn)證，為防止惡意代碼對系統(tǒng)的影響，建立相應(yīng)的第三方軟件可信性分析也是必不可少的。

3 傳感云安全技術(shù)

通過對傳感云安全問題的分析，本節(jié)給出保護(hù)傳感云安全的5個關(guān)鍵技術(shù)：認(rèn)證機(jī)制、加密機(jī)制、訪問控制機(jī)制、預(yù)防和探測機(jī)制及可信計(jì)算與評估機(jī)制，分別從概念、原理和研究現(xiàn)狀進(jìn)行討論。

3.1 認(rèn)證機(jī)制

認(rèn)證機(jī)制是對傳感云系統(tǒng)中各個對象身份進(jìn)行驗(yàn)證，只有身份合法的對象才能正常工作，該機(jī)制保護(hù)系統(tǒng)受到偽節(jié)點(diǎn)、偽服務(wù)器、非法用戶等安全威脅。

在傳感層，物理節(jié)點(diǎn)都需要在網(wǎng)絡(luò)中進(jìn)行注冊，并有唯一的標(biāo)識對其進(jìn)行身份認(rèn)證。當(dāng)有節(jié)點(diǎn)失效或新的節(jié)點(diǎn)加入網(wǎng)絡(luò)時，都能夠被虛擬傳感層監(jiān)控到。如果出現(xiàn)節(jié)點(diǎn)被捕獲控制做出異常行為或偽節(jié)點(diǎn)加入網(wǎng)絡(luò)、制造網(wǎng)絡(luò)阻塞等非法行為，虛擬傳感層能夠及時定位和解決這類異常節(jié)點(diǎn)。在虛擬傳感層，虛擬傳感器節(jié)點(diǎn)的生命周期從用戶請求生成的模板開始到用戶撤銷服務(wù)后結(jié)束。在工作期間，虛擬節(jié)點(diǎn)是用戶和物理節(jié)點(diǎn)銜接的橋梁，安全認(rèn)證機(jī)制是保障數(shù)據(jù)安全和服務(wù)安全的基礎(chǔ)。在用戶層，安全認(rèn)證機(jī)制則主要指用戶身份認(rèn)證。不同用戶訪問的數(shù)據(jù)不同，根據(jù)用戶身份，訪問數(shù)據(jù)的權(quán)限也不同。有了多層次認(rèn)證機(jī)制，可以在實(shí)現(xiàn)高服務(wù)質(zhì)量的同時確保數(shù)據(jù)安全。

雖然目前認(rèn)證手段種類繁多，如靜態(tài)密碼、短信密碼、雙因素認(rèn)證等，但并不是所有的認(rèn)證方法均適用于傳感云系統(tǒng)。文獻(xiàn)[25]認(rèn)為傳感云系統(tǒng)中的傳感層比傳統(tǒng)網(wǎng)絡(luò)更易被攻擊，提出一種改進(jìn)的相互認(rèn)證密鑰協(xié)議，可防止離線密碼猜測攻擊。

3.2 加密機(jī)制

加密機(jī)制是以某種特殊的算法改變原有的信息數(shù)據(jù)，使未授權(quán)的用戶即使獲得了已加密的信息，也無法了解信息的內(nèi)容。只有在輸入相應(yīng)的密鑰之后才能顯示出本來的內(nèi)容，是數(shù)據(jù)安全中至關(guān)重要的方法[26,27]。

加密建立在對信息進(jìn)行數(shù)據(jù)編碼和解碼的基礎(chǔ)上。目前，加密分為對稱加密和非對稱加密，在對稱加密中，雙方采用共同的公鑰和密鑰，公鑰用于加密數(shù)據(jù)，私鑰用于解碼加密后的數(shù)據(jù)；在非對稱加密中，雙方具有相同的公鑰，但是私鑰不同，只有私鑰正確才能解碼加密后的數(shù)據(jù)。

文獻(xiàn)[28]基于云計(jì)算環(huán)境中數(shù)據(jù)流模型，提出了一種數(shù)據(jù)流安全框架，如圖4所示。數(shù)據(jù)流動在傳感云的3個層次中，且每層數(shù)據(jù)操作都不一樣。在感知層，主要實(shí)現(xiàn)物理世界感知和數(shù)據(jù)收集，然后將收集到的大量數(shù)據(jù)進(jìn)行聚合、壓縮和過濾后傳給網(wǎng)關(guān)。為了保證數(shù)據(jù)傳輸?shù)囊恢滦?，網(wǎng)關(guān)對數(shù)據(jù)進(jìn)行散列加密后，上傳給云服務(wù)器。一些安全需求較強(qiáng)的應(yīng)用會將數(shù)據(jù)分開存儲，部分?jǐn)?shù)據(jù)保存在本地并加密，其他上傳到云服務(wù)器。存儲在云服務(wù)器端的數(shù)據(jù)，將會被管理者使用和監(jiān)控。當(dāng)用戶需要服務(wù)時，會將對應(yīng)的數(shù)據(jù)提供給用戶。文獻(xiàn)[29]提出數(shù)據(jù)隱私保護(hù)和審計(jì)隱私性保護(hù)。數(shù)據(jù)隱私性保護(hù)指用戶數(shù)據(jù)的隱私保護(hù)，如用戶信息、數(shù)據(jù)的查看、操作等信息。審計(jì)隱私性保護(hù)則是一些重要的數(shù)據(jù)聚合結(jié)果，如靜態(tài)數(shù)據(jù)計(jì)算、多項(xiàng)式方程輸出等。

圖4 基于云環(huán)境的數(shù)據(jù)流安全框架

3.3 訪問控制機(jī)制

訪問控制機(jī)制是指主體訪問客體的權(quán)限以及使用傳感云系統(tǒng)和系統(tǒng)資源的過程。

訪問控制機(jī)制主要實(shí)現(xiàn)3種功能：1) 防止非法對象訪問受保護(hù)的網(wǎng)絡(luò)資源；2) 允許合法用戶訪問受保護(hù)的網(wǎng)絡(luò)資源；3) 防止合法用戶對受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)訪問。訪問控制可分為2類：自主訪問控制和強(qiáng)制訪問控制。自主訪問控制是指用戶有權(quán)對自身創(chuàng)建的訪問對象，如文件、數(shù)據(jù)等進(jìn)行訪問，并可將這些對象的訪問權(quán)限授予其他用戶。強(qiáng)制訪問控制，則是由系統(tǒng)對用戶所創(chuàng)建的對象進(jìn)行統(tǒng)一的強(qiáng)制性管理，按照規(guī)定決定各類用戶可獲得的訪問權(quán)限。

常見的實(shí)現(xiàn)策略有基于對象的訪問控制模型（OBAC）、基于任務(wù)的訪問控制模型（TBAC）和基于角色的訪問控制模型（RBAC）。其中，RBAC模型在傳感云安全保護(hù)中最為常見，如文獻(xiàn)[30]和文獻(xiàn)[31]。

3.4 預(yù)防和探測機(jī)制

預(yù)防和探測機(jī)制是指傳感云系統(tǒng)設(shè)計(jì)一系列規(guī)則和特征點(diǎn)對系統(tǒng)中對象合法性進(jìn)行定義。

當(dāng)前攻擊手段主要有被動攻擊和主動攻擊2類，被動攻擊主要是對用戶或節(jié)點(diǎn)信息進(jìn)行收集而不是訪問，如信道監(jiān)聽、非法復(fù)制文件等，從而造成感知數(shù)據(jù)和用戶信息的泄露。這類攻擊數(shù)據(jù)所有者無法感知到，因此很難探測，重點(diǎn)在于如何預(yù)防此類攻擊。主動攻擊則側(cè)重于對數(shù)據(jù)進(jìn)行篡改、偽造和中斷系統(tǒng)。篡改通過修改感知層數(shù)據(jù)、替換虛擬傳感層中軟件服務(wù)中的程序、修改審計(jì)結(jié)果等操作破壞了傳感云系統(tǒng)的完整性。偽造通過在感知層放置偽物理節(jié)點(diǎn)、傳輸信道中插入偽寫數(shù)據(jù)、虛擬傳感層寫入偽代碼等操作破壞傳感云系統(tǒng)服務(wù)的真實(shí)性。中斷系統(tǒng)的典型的攻擊如拒絕服務(wù)攻擊，會造成傳感云系統(tǒng)無法正常工作。當(dāng)系統(tǒng)被攻擊時，傳感云系統(tǒng)則需要對攻擊進(jìn)行探測和定位，并設(shè)置補(bǔ)救措施來保護(hù)數(shù)據(jù)和系統(tǒng)。因此，對于傳感云安全而言，預(yù)防和探測機(jī)制是必不可少的。

在目前已有的傳感云安全研究中，主要從預(yù)防的角度來保護(hù)傳感云安全，且預(yù)防的機(jī)制還不夠完善。本文認(rèn)為，傳感網(wǎng)和云計(jì)算個體的探測和防御研究可以作為研究傳感云安全的參考。如文獻(xiàn)[32,33]對傳感器網(wǎng)絡(luò)中入侵探測系統(tǒng)的研究，本文認(rèn)為入侵監(jiān)測系統(tǒng)是工具、方法和資源的結(jié)合，然后去鑒定、評估和報(bào)道入侵。一些防止入侵的方法（如加密）是保護(hù)系統(tǒng)的第一道防線。入侵檢測系統(tǒng)是在第一道防線失敗后保護(hù)系統(tǒng)的第二道防線，等同于小偷被發(fā)現(xiàn)后的警報(bào)作用，且入侵監(jiān)測系統(tǒng)需具有常態(tài)變量計(jì)算為異?，F(xiàn)象的低錯誤率和異?，F(xiàn)象計(jì)算百分比的高正確率。文獻(xiàn)[34,35]探索了云計(jì)算中最新發(fā)展入侵探測保護(hù)系統(tǒng)（IDPS）和警報(bào)管理技術(shù)，并提供了一種易于理解的入侵分類和可審查的解決方法。

3.5 可信計(jì)算與評估機(jī)制

可信計(jì)算與評估是指通過一定的方式計(jì)算對象的可信度，進(jìn)而評估該對象工作的模式和范圍。

在傳感云系統(tǒng)底層，不同類型的傳感網(wǎng)來自不同的傳感網(wǎng)提供商，提供商的可信度均有所差異，如何對提供商的信譽(yù)進(jìn)行評估是確保傳感云安全的基礎(chǔ)。傳感云中的云服務(wù)器提供商的評估和選擇也面臨同樣的問題。另一方面，在傳感云工作期間，對于微小模塊的可信計(jì)算和評估同樣不可或缺。例如，傳感云底層物理節(jié)點(diǎn)是否可信，影響了數(shù)據(jù)的完整性、可用性和有效性等方面。當(dāng)前關(guān)于可信計(jì)算和評估的研究存在一個關(guān)鍵問題，那就是可信評估標(biāo)準(zhǔn)不一致，導(dǎo)致評價體系可用性差。在復(fù)雜的傳感云系統(tǒng)中，設(shè)計(jì)一套實(shí)用有效的可信計(jì)算與評估方案來抵御惡意攻擊很有必要。

4 已有的解決方案

目前，已有的安全解決方案可以從產(chǎn)業(yè)傳感云和研究傳感云這2個方面分析。產(chǎn)業(yè)傳感云，如目前已有的傳感云系統(tǒng)，Xively[36]、SensorCloud[37]、SensaTrack[38]、NimBits[39]和ThingSpeak[40]等。研究傳感云則是有關(guān)傳感云安全解決思路的研究文獻(xiàn)。

4.1 已有的傳感云系統(tǒng)

Xively平臺（原名Cosm和Pachube）是納斯達(dá)克公司的一部分，為全球性公司提供遠(yuǎn)程訪問和合作產(chǎn)品，提供鏈接產(chǎn)品管理的解決方案。通過Xively云平臺，可將設(shè)備、數(shù)據(jù)、用戶連接在一起，從而實(shí)現(xiàn)與物理世界的交互。Xively平臺有5個關(guān)鍵特點(diǎn)：1) 為所有類型的設(shè)備（如工業(yè)、環(huán)境等）提供靈活、安全的連接方案，無論是小型傳感器（煙霧探測器等）還是大型集裝箱；2) 提供大量的工具完成綜合的數(shù)據(jù)管理，提高服務(wù)質(zhì)量；3) 提供預(yù)配置權(quán)限和包括平臺在內(nèi)的組織層次結(jié)構(gòu)，對用戶、設(shè)備、數(shù)據(jù)可見性等進(jìn)行安全管理；4) 提供特定的安全專家來防范設(shè)備克隆、DDoS攻擊和未授權(quán)的訪問或控制；5) 確保用戶產(chǎn)品及數(shù)據(jù)的安全存儲，完善連接設(shè)備自身存在的安全漏洞。

SensorCloud平臺是一個獨(dú)特的傳感器數(shù)據(jù)存儲、可視化和遠(yuǎn)程管理平臺。利用強(qiáng)大的云計(jì)算技術(shù)提供良好的數(shù)據(jù)可伸縮性、快速可視化和用戶編程分析功能。該平臺主要有4個特點(diǎn)：1) 安全性，所有數(shù)據(jù)和事務(wù)發(fā)生在傳輸層安全性（TLS），該平臺建立在Amazon Web服務(wù)，提供了一個世界級安全和信任的平臺；2) 為任何設(shè)備和應(yīng)用提供了穩(wěn)定的開源數(shù)據(jù)API；3) 提供警報(bào)功能，允許用戶為監(jiān)測數(shù)據(jù)溢出和感興趣事件創(chuàng)建自定義郵件和短信提醒；4) 實(shí)時連接，允許自身設(shè)備與WSDA網(wǎng)關(guān)和對應(yīng)的傳感器相連。

Nimbits平臺是一個開源且免費(fèi)物聯(lián)網(wǎng)平臺。在該云平臺上，可以搭建自己的服務(wù)器并擴(kuò)大到任何尺寸。Nimbits服務(wù)器是一個Web服務(wù)器，提供了讀寫數(shù)據(jù)、創(chuàng)建對象、觸發(fā)器和訂閱的API，旨在幫助用戶設(shè)備可互相連接和交互。該平臺主要有3個特性：1) 觸發(fā)器，當(dāng)新的數(shù)據(jù)被記錄時，可以觸發(fā)一個基于數(shù)據(jù)點(diǎn)的事件，該事件可觸發(fā)Web鉤、計(jì)算、E-mail和其他基于事件描述的事件；2) 數(shù)據(jù)點(diǎn)，Nimbits中的數(shù)據(jù)點(diǎn)類似于數(shù)據(jù)的桶或主題，包含了由數(shù)字、文本或GPS坐標(biāo)組成系列時間戳值，所有數(shù)據(jù)以樹結(jié)構(gòu)存儲在Nimbits中來簡化檢索；3) Java/Android Client，為用戶提供搭建客戶端、服務(wù)器或安卓APP的庫。

ThingSpeak平臺是一個物聯(lián)網(wǎng)平臺，可以收集傳感器數(shù)據(jù)并存儲在云端并發(fā)展成物聯(lián)網(wǎng)應(yīng)用程序。該平臺有5個特性：1) 靈活數(shù)據(jù)傳輸信道，既可以為用戶創(chuàng)建隱私信道收集數(shù)據(jù)，用戶也可以通過公用信道讀取數(shù)據(jù)；2) REST和MQTT API，REST API可以申請創(chuàng)建或更新ThingSpeak信道和圖表，MQTT API可以更新信道；3) Matlab分析和可視化，使用Matlab分析軟件分析數(shù)據(jù)，且可以把數(shù)據(jù)寫入通道或創(chuàng)建可視化；4) 提供使用應(yīng)用來轉(zhuǎn)換、虛擬化數(shù)據(jù)或觸發(fā)動作；5) 事件調(diào)度，提供基于時間控制的事件調(diào)度策略。

Arrayent平臺為消費(fèi)者提供傳感云PaaS服務(wù)，主要有以下3個特性：1) 鏈接云服務(wù)，以最少的開發(fā)快速鏈接產(chǎn)品；2) 洞察服務(wù)，從用戶和產(chǎn)品使用數(shù)據(jù)中獲取關(guān)鍵信息；3) EcoAdaptor 服務(wù)，通過產(chǎn)品和服務(wù)間的云集成和互操作性提高產(chǎn)品的價值。該平臺主要有3個優(yōu)勢：1) 鏈接云是專為消費(fèi)產(chǎn)品制造商搭建的架構(gòu)，具有高度安全性和伸縮性；2) 根據(jù)對數(shù)據(jù)的分析來理解消費(fèi)者行為，為用戶提供安全的數(shù)據(jù)訪問和兼容主流的數(shù)據(jù)分析環(huán)境；3) 以安全和可擴(kuò)展的方式加快第三方認(rèn)證過程且降低了制造商對數(shù)據(jù)的占用時間。

Digi平臺是一種機(jī)器對機(jī)器（M2M）的通信平臺，主要提供的服務(wù)有以下3點(diǎn)：1) 遠(yuǎn)程管理服務(wù)，簡化設(shè)備部署和管理設(shè)備以滿足性能義務(wù)和安全性要求；2) 設(shè)備云服務(wù)，從邊緣設(shè)備和平臺訪問和整合數(shù)據(jù)；3) 無線設(shè)計(jì)服務(wù)，提供無線連接技術(shù)和資源。該平臺使用戶搭建無線產(chǎn)品盡可能簡單和安全，且采用嚴(yán)格安全兼容的規(guī)定保護(hù)野外的產(chǎn)品和網(wǎng)絡(luò)。

YeeLink平臺提供高并發(fā)接入服務(wù)器和云存儲方案，能夠同時完成海量的傳感器數(shù)據(jù)接入和存儲任務(wù)，確保數(shù)據(jù)能夠安全保存在互聯(lián)網(wǎng)上；提供先進(jìn)的鑒權(quán)系統(tǒng)和安全機(jī)制，能夠確保數(shù)據(jù)只在用戶允許的范圍內(nèi)共享。

表1 產(chǎn)業(yè)傳感云安全對比

表1對這些平臺采用的安全機(jī)制進(jìn)行對比分析，共給出了7類安全指標(biāo)：通信安全、物理安全、訪問安全、存儲安全、可信安全、服務(wù)安全、共享安全。根據(jù)傳感云的3層體系結(jié)構(gòu)，這些安全指標(biāo)可以分為3個部分。物理層的安全指標(biāo)有物理安全和通信安全，物理安全是保障物理節(jié)點(diǎn)不受破壞和偽節(jié)點(diǎn)替換，通信安全則是保護(hù)數(shù)據(jù)在傳播和上傳過程中不受監(jiān)聽和篡改。虛擬傳感層的安全指標(biāo)有可信安全和共享安全，可信安全是指確保所有的傳感器節(jié)點(diǎn)、虛擬節(jié)點(diǎn)、云服務(wù)是合法的，共享安全則是確保用戶間的數(shù)據(jù)是合法且獨(dú)立的。云服務(wù)層則包含訪問安全、存儲安全和服務(wù)安全，訪問安全則是確保用戶在不同身份時，訪問數(shù)據(jù)權(quán)限合法，存儲安全是感知數(shù)據(jù)安全和用戶數(shù)據(jù)安全，服務(wù)安全則指服務(wù)的可靠性。從表1可知，物理安全、通信安全和共享安全是傳感云平臺的關(guān)注重點(diǎn)，而訪問安全和服務(wù)安全的實(shí)現(xiàn)度則較低，這2類安全指標(biāo)均在云服務(wù)層。由于傳感云系統(tǒng)應(yīng)用領(lǐng)域的不同，不同的傳感云系統(tǒng)的安全需求有所差異，因此，實(shí)現(xiàn)統(tǒng)一的云服務(wù)層安全難度較大。

4.2 傳感云安全相關(guān)研究

根據(jù)研究解決的不同安全問題，本文將目前對傳感云安全的研究分為5個方向：基于數(shù)據(jù)的傳感云安全研究、基于服務(wù)的傳感云安全研究、基于信任的傳感云安全研究、基于虛擬化傳感云安全研究和基于惡意使用系統(tǒng)的安全研究?；跀?shù)據(jù)的傳感云安全研究主要解決傳感云中數(shù)據(jù)安全存儲、數(shù)據(jù)安全訪問和數(shù)據(jù)安全傳輸問題。基于信任的傳感云安全研究主要解決傳感云中物理節(jié)點(diǎn)妥協(xié)攻擊、偽基站、偽服務(wù)器攻擊的安全問題?；谔摂M化的傳感云安全研究主要解決虛擬化帶來安全問題研究，如虛擬層軟設(shè)計(jì)攻擊、用戶惡意操作攻擊。下面，將根據(jù)相關(guān)文獻(xiàn)做詳細(xì)介紹。

4.2.1 基于數(shù)據(jù)的傳感云安全

文獻(xiàn)[41]在基于醫(yī)療傳感云的數(shù)據(jù)管理中，提出了一個創(chuàng)新的框架來實(shí)現(xiàn)有效的、彈性的安全機(jī)制，確保數(shù)據(jù)的機(jī)密性、完整性和良好的訪問控制。作者認(rèn)為基于屬性的加密機(jī)制（ABE）有2個弊端。雖然ABE不需要存儲服務(wù)器就可以對數(shù)據(jù)加密，但是在ABE加密策略中，密文可以被任何持有密碼的人解密并訪問數(shù)據(jù)，這樣導(dǎo)致當(dāng)訪問策略改變時，本身無權(quán)訪問數(shù)據(jù)的人卻可以訪問數(shù)據(jù)。另一方面，ABE是由密鑰和訪問結(jié)構(gòu)管理組成，問題是訪問結(jié)構(gòu)由誰設(shè)計(jì)，密鑰由誰產(chǎn)生和分配。通過ABE在醫(yī)療傳感云存在的問題，作者提出使用對稱密碼學(xué)和ABE共同加密數(shù)據(jù)。首先，隨機(jī)產(chǎn)生一個對稱密鑰（RSK）對文件進(jìn)行加密，接著，使用ABE對RSK進(jìn)行加密，然后，加密的文件和加密的RSK上傳到云服務(wù)器存儲，為認(rèn)證的用戶提供數(shù)據(jù)分享。圖5是文獻(xiàn)[41]中給出的醫(yī)療傳感云安全案例。

文獻(xiàn)[42]研究了傳感云在智能網(wǎng)關(guān)應(yīng)用中的大數(shù)據(jù)信息管理問題，并提出了建設(shè)異構(gòu)云計(jì)算中心來提供不同種類的云服務(wù)，信息管理和大數(shù)據(jù)分析。在智能網(wǎng)關(guān)的安全方面，采用基于身份的加密和基于身份的簽名方案來保護(hù)數(shù)據(jù)安全。圖6為基于身份的加密方法的框架。

圖5 醫(yī)療傳感云安全案例

圖6 基于身份的加密方法的框架

在基于身份的加密方案中，可信的第三方擁有私鑰生存器（PKG），首先，生成主密鑰和公共參數(shù)，需要告知每個相關(guān)的團(tuán)體。PKG采用提取算法根據(jù)身份信息rec、密鑰和公共信息，提取出身份為rec對應(yīng)的私鑰。發(fā)送方將信息、接受者rec和公共信息發(fā)送給接收方。當(dāng)接收方收到私鑰時，才能對密文進(jìn)行解密。密鑰生成器PKG根據(jù)安全參數(shù)生成主密鑰和公鑰參數(shù)，然后采用提取算法計(jì)算身份rec對應(yīng)的私鑰。簽名者用私鑰和公共參數(shù)對信息進(jìn)行簽名。檢驗(yàn)者根據(jù)身份rec和公共參數(shù)對簽名進(jìn)行檢驗(yàn)是否有效。

4.2.2 基于服務(wù)的傳感云安全

文獻(xiàn)[43]采用基于傳感云多層認(rèn)證機(jī)制為多用戶提供安全的服務(wù)，認(rèn)為不同終端設(shè)備的認(rèn)證是其訪問公共網(wǎng)絡(luò)的基本要求。大部分已經(jīng)出現(xiàn)的認(rèn)證方案不適用于傳感云，因?yàn)楣?jié)點(diǎn)和用戶規(guī)模較大，且傳統(tǒng)的認(rèn)證方法對時延要求較高的應(yīng)用服務(wù)的影響較大。另一方面，由于云計(jì)算為用戶提供計(jì)算和存儲功能，因此，認(rèn)證的解決方案有必要涵蓋整個系統(tǒng)。作者提出了多層認(rèn)證機(jī)制則是在文獻(xiàn)[44]的基礎(chǔ)上的一個加強(qiáng)版本，響應(yīng)者和終端用戶均通過云服務(wù)器進(jìn)行認(rèn)證，其中用到了公鑰密碼學(xué)算法——橢圓曲線數(shù)字簽名算法和橢圓曲線赫爾曼密鑰交換算法，整個安全機(jī)制有3個階段。在初始化階段，主要實(shí)現(xiàn)密鑰生成和分配。在注冊階段，用戶發(fā)送請求信息給云服務(wù)器進(jìn)行注冊，請求信息包含注冊信息和用戶ID對應(yīng)的公鑰加密信息。在認(rèn)證階段，首先，用戶發(fā)送含有ID索引的散列值、證書CertU和時間戳TU給云服務(wù)器。如果云服務(wù)器驗(yàn)證成功，則將云服務(wù)器身份、時間戳和MAC地址發(fā)送給傳感網(wǎng)網(wǎng)關(guān)。如果網(wǎng)關(guān)認(rèn)證成功，則將網(wǎng)關(guān)本身身份、時間戳和MAC地址發(fā)送給確切的傳感器節(jié)點(diǎn)。如果傳感器節(jié)點(diǎn)認(rèn)證成功，則按原路返回用戶需要的信息，如圖7所示。

文獻(xiàn)[45]主要通過認(rèn)證和訪問控制來實(shí)現(xiàn)安全可靠的傳感云服務(wù)，采用基于身份的加密認(rèn)證來簡化密鑰分配和認(rèn)證過程?；谏矸莸募用苁褂锚?dú)特的公鑰識別認(rèn)證和簽名驗(yàn)證，大大降低了密鑰管理的復(fù)雜性。同時，有3點(diǎn)需要注意：1) 用戶的身份是唯一的；2) 當(dāng)一個身份產(chǎn)生時，對應(yīng)分配一個虛擬傳感器節(jié)點(diǎn)和虛擬傳感器節(jié)點(diǎn)組；3) 用戶層和虛擬傳感層各有一個密鑰生成器（PKG）。該安全方法主要由2個部分組成，密鑰的生成及基于身份的加密和數(shù)字簽名。

圖7 基于身份的簽名方案

4.2.3 基于信任的傳感云安全

目前，關(guān)于傳感云可信計(jì)算和評估的研究主要有傳感網(wǎng)和云服務(wù)提供商的可信評估和計(jì)算；傳感網(wǎng)底層節(jié)點(diǎn)的可信評估與計(jì)算[46]。

文獻(xiàn)[47]提出了一種有效的分布式可信模型（EDTM）來抵制傳感云底層網(wǎng)絡(luò)的普遍攻擊，其基本結(jié)構(gòu)如圖8所示。EDTM包括2個主要的組件，單信任模型和多信任模型，包括以下6個部分：直接信任模塊、推薦信任模塊、間接信任模塊、集成信任模塊、傳播信任模塊和更新信任模塊。當(dāng)一個主觀節(jié)點(diǎn)想獲取一個目標(biāo)節(jié)點(diǎn)的信任值時，它首先檢查記錄鄰居節(jié)點(diǎn)的列表。如果對象節(jié)點(diǎn)的ID在鄰居節(jié)點(diǎn)列表中，觸發(fā)單信任模型。在單信任模型中，如果信任計(jì)算完全基于目標(biāo)節(jié)點(diǎn)和主觀節(jié)點(diǎn)的經(jīng)驗(yàn)，這個模型被稱為直接信任模型。否則，推薦信任模塊建立。在多信任模型中，當(dāng)主觀節(jié)點(diǎn)接收到其他節(jié)點(diǎn)的推薦信任時，間接信任模型建立。在當(dāng)前信任模型中，直接信任和推薦信任總是用來評估傳感器節(jié)點(diǎn)的可信度。直接信任的計(jì)算是基于2個鄰居節(jié)點(diǎn)之間的通信行為。然而，由于惡意攻擊，只使用直接的信任評估傳感器節(jié)點(diǎn)并不準(zhǔn)確。因此，其他傳感器節(jié)點(diǎn)的推薦改善信任評估的準(zhǔn)確度。此外，如果2個鄰居節(jié)點(diǎn)之間的通信數(shù)據(jù)分組的數(shù)量太小，它很難決定目標(biāo)節(jié)點(diǎn)的好壞。因此，在單信任模型中，作者定義一個通信數(shù)據(jù)分組閾值。如果目標(biāo)節(jié)點(diǎn)和主觀節(jié)點(diǎn)之間的通信數(shù)據(jù)分組高于閾值，計(jì)算直接信任即可。否則，需要推薦信任來對目標(biāo)節(jié)點(diǎn)進(jìn)行信任評估。

圖8 分布式信任框架

在多信任模型中，節(jié)點(diǎn)首先需要選擇一組推薦節(jié)點(diǎn)。然后，基于推薦信任模型和傳播信任計(jì)算模型來計(jì)算間接信任。

文獻(xiàn)[59]中，作者認(rèn)為對云服務(wù)商（CPS）和傳感網(wǎng)提供商（SNP）基于認(rèn)證的可信信譽(yù)的計(jì)算和管理存在2個重要的漏洞。一方面，惡意攻擊者可以扮演真實(shí)的云服務(wù)提供商與傳感云系統(tǒng)進(jìn)行通信，或假冒傳感網(wǎng)提供商與云服務(wù)商進(jìn)行通信，造成系統(tǒng)無法從假冒的提供商獲取任何有用信息，同時，真實(shí)的提供商的可信度和信譽(yù)值被影響了。另一方面，沒有可信和信譽(yù)計(jì)算、管理，低信譽(yù)的服務(wù)提供商無法被識別，造成系統(tǒng)漏洞。為了解決這2個問題，作者分析了CPS和SNP的認(rèn)證問題，并提出了一種適用于傳感云的創(chuàng)新可信認(rèn)證和信譽(yù)計(jì)算管理方案。該方案可實(shí)現(xiàn)對云服務(wù)提供商和傳感網(wǎng)服務(wù)提供商的可信認(rèn)證，幫助傳感云系統(tǒng)選擇真實(shí)可信的CSP和SNP。

文獻(xiàn)[60]提出了一種基于簇的可信擴(kuò)散和能量有效的計(jì)算方案。本文認(rèn)為能量是傳感云系統(tǒng)不可忽視的部分，單一考慮安全而忽視能量的可信方案無法被應(yīng)用到實(shí)際中，因此，他們將可信管理和最大化能量效率融為一體。不僅如此，該方法還考慮了移動元素可能給傳感云系統(tǒng)帶來的安全威脅，并設(shè)計(jì)對應(yīng)的安全機(jī)制來保護(hù)系統(tǒng)。

4.2.4 基于虛擬化傳感云安全研究

傳感云安全系統(tǒng)中，虛擬化對安全帶來新的挑戰(zhàn)，在文獻(xiàn)[61,62]中，采用虛擬化工具跟蹤數(shù)據(jù)的傳播路徑和實(shí)現(xiàn)點(diǎn)對點(diǎn)的通信，從軟設(shè)施的角度，對傳感云的系統(tǒng)安全建設(shè)提供了一種新思路。文獻(xiàn)[63]利用云計(jì)算的軟件定義層，提出了一種事件響應(yīng)的虛擬云計(jì)算結(jié)構(gòu)，如圖9所示。相較于傳統(tǒng)的云計(jì)算，該結(jié)構(gòu)既支持在軟件定義層實(shí)現(xiàn)數(shù)據(jù)處理，也支持在近端網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)處理，這種機(jī)制增強(qiáng)了實(shí)時類應(yīng)用的可靠性和安全性。這種思路借鑒了霧計(jì)算的思想來協(xié)助云層管理傳感云系統(tǒng)虛擬層，降低了傳感云系統(tǒng)對云層的依賴性，為傳感云系統(tǒng)防御來自云端的攻擊提供了新思路。

圖9 虛擬云計(jì)算系統(tǒng)原型

4.2.5 基于惡意使用系統(tǒng)的安全研究

加強(qiáng)安全認(rèn)證機(jī)制和提高系統(tǒng)健壯性是目前解決惡意使用系統(tǒng)問題的主要研究方向。

文獻(xiàn)[64]提出了結(jié)合可信技術(shù)的SDN架構(gòu)的方案。該方案在沒有任何可信第三方信任域間，設(shè)計(jì)了一種自治系統(tǒng)的身份認(rèn)證協(xié)議。通過禁止謂詞邏輯和網(wǎng)絡(luò)交互協(xié)議AVISPA安全分析工具，保證了協(xié)議的安全性，還可以提供完整的安全測試。文獻(xiàn)[65]提出了一種附加加密信道和認(rèn)證算法來保護(hù)無人機(jī)安全，該加密方法為保護(hù)合法用信息提供新思路。另一方面，文獻(xiàn)[66]提出一種BFT容錯云，BFT容錯云是在云計(jì)算環(huán)境下構(gòu)建的一種強(qiáng)大系統(tǒng)容錯框架。當(dāng)資源提供者出現(xiàn)故障時，包括任意的行為失誤，系統(tǒng)都能正常運(yùn)行。文獻(xiàn)[67]在駕駛輔助系統(tǒng)絕對安全的背景下，提出能容忍任何子系統(tǒng)出現(xiàn)故障的啟發(fā)式任務(wù)分配和其搭建的軟件容錯框架，可以較好地實(shí)現(xiàn)系統(tǒng)的容錯功能，提高了傳感云系統(tǒng)在車載網(wǎng)領(lǐng)域的實(shí)現(xiàn)安全性。

4.3 分析比較

由于目前傳感云安全研究的目的不盡相同，如基于穿戴設(shè)備傳感云安全、基于智能醫(yī)療的傳感云安全、基于軍事服務(wù)的傳感云等，安全需求多種多樣。本文對各類安全方法進(jìn)行了分析比較對比。其中，表2為基于數(shù)據(jù)的傳感云安全方法比較，表3為基于服務(wù)的傳感云安全方法比較。

表2 基于數(shù)據(jù)的傳感云安全方法比較

表3 基于服務(wù)的傳感云安全方法比較

綜合表2中的對比可以看出，目前，基于數(shù)據(jù)的傳感云安全方法存在以下2個問題。1) 大部分方法雖然考慮了數(shù)據(jù)的機(jī)密性，并在數(shù)據(jù)完整性、隱私性、審計(jì)安全、訪問控制和存儲研究方面有部分涉獵，卻都不夠完善。這說明目前對傳感云安全的研究還處于起步階段，還有很多安全威脅及系統(tǒng)漏洞有待研究和解決。2) 很少有研究對數(shù)據(jù)的真實(shí)性進(jìn)行考量。該問題可以通過底層物理節(jié)點(diǎn)的身份認(rèn)證和虛擬傳感層對物理節(jié)點(diǎn)的監(jiān)控來確定數(shù)據(jù)來源和數(shù)據(jù)真實(shí)性，如果在監(jiān)測期間內(nèi)，節(jié)點(diǎn)身份確定，且無異常行為，則可以確定當(dāng)前節(jié)點(diǎn)上傳數(shù)據(jù)的真實(shí)性。反之，則需要進(jìn)一步驗(yàn)證。

綜合表3中的對比可以看出，大部分基于服務(wù)傳感云安全均采用認(rèn)證機(jī)制來確認(rèn)身份是否合法，并通過權(quán)限管理來控制用戶能夠訪問數(shù)據(jù)的廣度和深度，部分采用加密機(jī)制對數(shù)據(jù)進(jìn)行加密，并對計(jì)算結(jié)果進(jìn)行驗(yàn)證后才提供給用戶。小部分方法采用簽名機(jī)制，可能由于簽名方法主要功能在實(shí)現(xiàn)文件共享時，所有者可以采用簽名的機(jī)制確保自身。

而在傳感云系統(tǒng)中，用戶只擁有自身的隱私數(shù)據(jù)，且該數(shù)據(jù)無法與其他用戶共享，同時底層的感知數(shù)據(jù)不歸用戶所有，因此，基于簽名機(jī)制的方法對傳感云安全不是很適用。

表4對比了可信計(jì)算和評估的傳感云安全方法，主要從研究的信任對象和攻擊類型這2個方面比較。CSP、SNP分別指云服務(wù)提供商和傳感網(wǎng)服務(wù)提供商。DOS、BMA、OOA、SA、COA、CA分別指否認(rèn)服務(wù)攻擊、差評攻擊、on-off攻擊、女巫攻擊、合謀攻擊和偽造攻擊。從表4可以看出，目前對傳感云底層網(wǎng)絡(luò)中節(jié)點(diǎn)的可信度研究較多，小部分研究云服務(wù)商和傳感網(wǎng)服務(wù)商的信譽(yù)度。在防御的攻擊類型方面，研究方向較為分散，沒有一種全面的方法。因此，未來傳感云安全在可信計(jì)算和評估方向還需要繼續(xù)深化、規(guī)范、統(tǒng)一。

表4 基于可信計(jì)算和評估的傳感云安全方法對比

基于以上文獻(xiàn)對傳感云安全的研究，從廣度來講，有2個研究方向：基于數(shù)據(jù)的傳感云安全研究和基于服務(wù)的傳感云安全研究，本文在后面章節(jié)對傳感云安全未來的研究做了更詳細(xì)的分析和討論。從深度來探討，目前已有的傳感云安全方法，大部分是提出了一個安全框架，講解了框架能夠?qū)崿F(xiàn)的功能，但是很少研究詳細(xì)說明框架中每一層如何實(shí)現(xiàn)，并提出一種擴(kuò)展性和兼容性良好的解決方案。因此，根據(jù)以上2點(diǎn)分析及第1節(jié)對傳感云安全的調(diào)查可知，目前傳感云安全處于一個起步階段，只有設(shè)計(jì)出一個完善并詳細(xì)的傳感云安全系統(tǒng)，才能實(shí)現(xiàn)快速發(fā)展并應(yīng)用到更多的領(lǐng)域。

5 未來的研究方向

根據(jù)傳感云的安全需求，目前已有的解決方法還不夠完善，均是針對傳感云中部分安全問題提出的解決方案，如基于數(shù)據(jù)隱私保護(hù)安全框架、基于訪問控制安全機(jī)制等。對于傳感云系統(tǒng)整體安全問題，還有許多亟待解決的安全問題。本文將尚未被廣泛討論和研究的安全問題或解決方案作為未來的研究方向，具體有以下5點(diǎn)。

5.1 基于虛擬化建設(shè)的傳感云安全

基于虛擬化建設(shè)的傳感云安全是從管理的角度保護(hù)傳感云系統(tǒng)。一方面，雖然傳感云系統(tǒng)是傳感網(wǎng)和云計(jì)算的結(jié)合的產(chǎn)物，但其本身與后兩者相比具有一定的差異性，例如，傳感云系統(tǒng)衍生的虛擬傳感層中虛擬節(jié)點(diǎn)與物理節(jié)點(diǎn)的邏輯關(guān)系，因此，傳統(tǒng)的橋接傳感網(wǎng)和云計(jì)算的建設(shè)模式并不完全適用于傳感云系統(tǒng)，有必要設(shè)計(jì)一套適應(yīng)傳感云系統(tǒng)特性和安全需求的軟件設(shè)施，如虛擬層管理系統(tǒng)、開發(fā)工具等，為保護(hù)傳感云系統(tǒng)安全提供有效的解決方法。這也是未來值得研究的新方向。

5.2 基于可信計(jì)算和評估傳感云安全

分布式協(xié)作和信息共享是傳感云系統(tǒng)必要的操作，為了實(shí)現(xiàn)對物理環(huán)境的有效監(jiān)測并將數(shù)據(jù)加工為有效服務(wù)，所有參與者應(yīng)該是可信的。然而傳感云底層網(wǎng)絡(luò)常工作在無人看管的環(huán)境，導(dǎo)致系統(tǒng)安全受到威脅，易受到節(jié)點(diǎn)捕獲攻擊、干擾攻擊、偽節(jié)點(diǎn)攻擊等，對數(shù)據(jù)的完整性、機(jī)密性和可用性有著極大的影響。當(dāng)前關(guān)于可信的研究還不夠全面，無法采用到實(shí)際應(yīng)用中，因此，傳感云安全的可信計(jì)算和評估依舊是未來研究的熱點(diǎn)問題。第6節(jié)將給出基于霧計(jì)算框架的可信計(jì)算與評估的解決方法。

5.3 基于低耦合的傳感云安全

目前，已有關(guān)于傳感云安全的研究主要集中于數(shù)據(jù)的安全隱私性保護(hù)和傳感云服務(wù)安全，并沒有考慮到傳感云為多用戶提供服務(wù)時，當(dāng)多用戶同時進(jìn)行操作時，會產(chǎn)生不安全因素。這種不安全因素如下。首先，多用戶使用不同的虛擬傳感節(jié)點(diǎn)，公用部分相同的物理傳感器節(jié)點(diǎn)，造成當(dāng)傳感器節(jié)點(diǎn)同時接收到不同命令時，出現(xiàn)沖突；其次，多用戶獲取服務(wù)時共用同一個虛擬傳感節(jié)點(diǎn)，從而共用所有的物理傳感器節(jié)點(diǎn)，導(dǎo)致用戶對服務(wù)的反饋命令出現(xiàn)完成耦合。因此，設(shè)計(jì)一個低耦合的傳感云安全框架，要盡量避免耦合的狀況發(fā)生，并在耦合發(fā)生時，盡量減少耦合帶來的不安全因素。

5.4 基于容錯性的傳感云安全

傳感云中的故障和錯誤主要有3個源頭：底層物理監(jiān)測錯誤，虛擬傳感層聚合或計(jì)算錯誤及用戶服務(wù)錯誤，這三者既可以是遞進(jìn)的關(guān)系也可以獨(dú)立存在。對于底層物理監(jiān)測錯誤，可能由于物理節(jié)點(diǎn)故障或能量耗盡而失效或節(jié)點(diǎn)被攻擊者捕獲后，惡意提供錯誤信息，該問題可通過虛擬傳感層對物理節(jié)點(diǎn)的監(jiān)控和管理來判斷物理節(jié)點(diǎn)的狀態(tài)和異常行為，進(jìn)而設(shè)計(jì)補(bǔ)救機(jī)制。對于虛擬傳感層聚合或計(jì)算錯誤，可能由于攻擊者對云服務(wù)器進(jìn)行入侵，改變云服務(wù)器的計(jì)算和存儲模式，進(jìn)而偽造虛假計(jì)算結(jié)果提供給用戶，該問題需要對所有的云服務(wù)器提供商進(jìn)行認(rèn)證，且對云服務(wù)器的計(jì)算結(jié)果進(jìn)行安全審計(jì)以實(shí)現(xiàn)防御和容錯的目的。對于用戶服務(wù)錯誤，可能由于用戶請求出現(xiàn)耦合，導(dǎo)致服務(wù)資源提供出現(xiàn)沖突，該問題可以通過設(shè)計(jì)低耦合安全機(jī)制來減少用戶需求耦合的可能性，并在出現(xiàn)耦合時，提供改善的方案。

5.5 基于數(shù)據(jù)存儲和恢復(fù)傳感云安全

在云端環(huán)境中，被上傳的數(shù)據(jù)不在其所有者的直接掌控之下，因此，必須加以檢測來保證只有授權(quán)用戶才能訪問這些敏感數(shù)據(jù)，而包括云服務(wù)提供商在內(nèi)的其他人不應(yīng)該在未授權(quán)情況下獲得任何有關(guān)數(shù)據(jù)信息。數(shù)據(jù)所有者必須掌握全部的存儲數(shù)據(jù)的訪問權(quán)和云服務(wù)，理論上杜絕了任何數(shù)據(jù)泄露給其他人的可能性。上傳至云端的數(shù)據(jù)必須被正確和可信地存儲，這也就意味著它不能被非法或不正當(dāng)修改，故意刪除或偽造。通常它還結(jié)合一些審計(jì)手段，以便所有者可以在任何不正當(dāng)操作發(fā)生時及時檢測到。數(shù)據(jù)可用性代表合法用戶只要愿意就可以訪問所需數(shù)據(jù)。同時保證數(shù)據(jù)在任何情況下都可以按用戶要求的標(biāo)準(zhǔn)提供并可用，這意味著在發(fā)生災(zāi)難性事件時，有相對應(yīng)的措施用來進(jìn)行數(shù)據(jù)恢復(fù)。

6 基于霧計(jì)算框架的傳感云安全

霧計(jì)算（fog computing）模式是云計(jì)算模式的延伸，在2011年由思科（Cisco）首次提出[71]。相比云計(jì)算模式而言，霧計(jì)算的特點(diǎn)是霧層更貼近末端節(jié)點(diǎn)、具有一定的本地計(jì)算存儲能力、更廣的地理分布和移動性支持[72]，因此，能更好地直接管理和控制傳感器網(wǎng)絡(luò)中節(jié)點(diǎn)，并作為聯(lián)系底層和云層服務(wù)的橋梁和紐帶，該新型計(jì)算模式正好可以彌補(bǔ)云計(jì)算模式中部分安全漏洞。

本文提出了一個基于霧計(jì)算的傳感云系統(tǒng)框架，如圖10所示。最上層為云計(jì)算層，提供強(qiáng)大的計(jì)算服務(wù)和存儲服務(wù)。第二層是由少量移動節(jié)點(diǎn)組成的霧節(jié)點(diǎn)層，霧節(jié)點(diǎn)層作為聯(lián)系傳感器網(wǎng)絡(luò)與云端網(wǎng)絡(luò)的紐帶，主要進(jìn)行移動節(jié)點(diǎn)之間的協(xié)作與配合、橋接傳感器網(wǎng)絡(luò)與云、管理機(jī)密性數(shù)據(jù)的存儲。一些本地化的、實(shí)時性要求高的計(jì)算任務(wù)將放在霧節(jié)點(diǎn)層處理，同時霧節(jié)點(diǎn)也能存儲少量數(shù)據(jù)[73]。霧節(jié)點(diǎn)之間構(gòu)成一個虛擬的網(wǎng)絡(luò)，相互之間的通信可以是直接的，也可以是借助普通傳感器節(jié)點(diǎn)間接信息傳遞。底層為傳感網(wǎng)絡(luò)層，提供感知數(shù)據(jù)。且該模式基于傳統(tǒng)的、固定節(jié)點(diǎn)組成的傳感網(wǎng)，引入的少量移動式節(jié)點(diǎn)不會造成太大的成本開銷。

安全方法新思路如下。

相比于第2節(jié)提到的傳感云系統(tǒng)，基于霧計(jì)算框架的傳感云系統(tǒng)中，有了本地移動節(jié)點(diǎn)，更好地管理、分配、調(diào)控底層的物理節(jié)點(diǎn)，同時，為傳感云安全提供了新的解決思路，本文主要從以下幾點(diǎn)討論。

6.1 入侵探測與防御安全

本文認(rèn)為可以利用霧計(jì)算框架來優(yōu)化傳感云系統(tǒng)的入侵探測和防御機(jī)制。在典型的基于霧計(jì)算框架的傳感云系統(tǒng)中，霧層節(jié)點(diǎn)本身就具備一定的計(jì)算、存儲、移動能力，而且接近傳感器網(wǎng)絡(luò)層，能夠更好地直接管理和控制傳感器網(wǎng)絡(luò)中的傳感器節(jié)點(diǎn)。因此，入侵探測和防御機(jī)制所需要的計(jì)算和存儲資源完全可以由霧層節(jié)點(diǎn)來提供從而避免了數(shù)據(jù)要直接和云端交互產(chǎn)生的高時延問題。當(dāng)計(jì)算需要更多的資源時，霧層節(jié)點(diǎn)也可以將大部分需要計(jì)算的數(shù)據(jù)上傳到云端進(jìn)行計(jì)算同時對病毒入侵進(jìn)行先期的基本控制處理。這樣做的好處是系統(tǒng)不必因?yàn)榈却?jì)算結(jié)果而延誤補(bǔ)救時機(jī)。同時，由于霧層節(jié)點(diǎn)并非是將全部的計(jì)算數(shù)據(jù)上傳云端，因此，增加了數(shù)據(jù)的私密性保護(hù)，降低了數(shù)據(jù)被攻擊者破解和篡改的可能性。

圖10 基于霧計(jì)算框架的傳感云

6.2 耦合安全

本文參閱了大量文獻(xiàn)，發(fā)現(xiàn)物理節(jié)點(diǎn)的耦合和操作系統(tǒng)中資源耦合有異曲同工之處。不同種類的傳感器節(jié)點(diǎn)可以比作不同類型的資源，統(tǒng)計(jì)其數(shù)量，按一定規(guī)則分配可提高物理節(jié)點(diǎn)的利用率。虛擬節(jié)點(diǎn)類似于進(jìn)程，一個虛擬節(jié)點(diǎn)的構(gòu)建需要若干物理節(jié)點(diǎn)資源，且虛擬節(jié)點(diǎn)間的關(guān)系可分為3種：獨(dú)立、包含和互斥，如圖11所示。不同填充形狀的傳感器節(jié)點(diǎn)代表不同類型的傳感器節(jié)點(diǎn)，構(gòu)成3個虛擬節(jié)點(diǎn)A、B、C。節(jié)點(diǎn)A和B間的關(guān)系為互斥，因?yàn)樗鼈兇嬖诠补?jié)點(diǎn)，但是也存在不同節(jié)點(diǎn)。A和C之間為包含關(guān)系，因?yàn)闃?gòu)建成A的節(jié)點(diǎn)可以構(gòu)建C節(jié)點(diǎn)。B和C為獨(dú)立關(guān)系，兩者互不影響。

圖11 虛擬傳感器節(jié)點(diǎn)間的關(guān)系

通過應(yīng)用該模板，物理節(jié)點(diǎn)間的資源和命令耦合則可采用進(jìn)程調(diào)度算法進(jìn)行處理，主要遵循3個原則：1) 避免造成系統(tǒng)死鎖；2) 服務(wù)命令執(zhí)行順序按照優(yōu)先級算法設(shè)計(jì)執(zhí)行；3) 保護(hù)用戶隱私性數(shù)據(jù)。以上原則為本文對解決耦合安全的算法的設(shè)想，由于傳感網(wǎng)的計(jì)算和能量有限，該設(shè)想需要霧層執(zhí)行此算法，對虛擬傳感層發(fā)出命令進(jìn)行解析、應(yīng)用算法模板、將解析后的命令發(fā)給傳感層執(zhí)行。

6.3 可信計(jì)算與評估

對目前有關(guān)傳感云可信計(jì)算和評估的方法進(jìn)行了總結(jié)，主要有3個問題：1) 研究的對象不夠全面，還沒出現(xiàn)對CSP、SNP和傳感器節(jié)點(diǎn)同時評估的方法；2) 抵御對象不夠全面，從表4可看出，普遍攻擊的種類多、方式多樣化，而目前的研究均只針對部分攻擊；3) 信任的參考值不一致，不同的方法，有不同的信任考量標(biāo)準(zhǔn)，擴(kuò)展性差，移植性差。另一方面，由于傳感云底層網(wǎng)絡(luò)有限的能量和通信能力，目前已有的傳感云系統(tǒng)的可信計(jì)算和評估在方法設(shè)計(jì)上有諸多限制，如底層傳感器節(jié)點(diǎn)的認(rèn)證方法不可太復(fù)雜，可信評估計(jì)算不能太頻繁，當(dāng)云服務(wù)器參與可信評估時，通信量不能太大等，這些限制降低了可信計(jì)算和評估的準(zhǔn)確度。

本文認(rèn)為霧計(jì)算的加入可輔助傳感云系統(tǒng)設(shè)計(jì)一套完善的可信計(jì)算和評估模型。霧層介于傳感層和云層之間，可充當(dāng)于中間管理層，提供各項(xiàng)參數(shù)收集，輔助計(jì)算等服務(wù)，為傳感層和云層交互提供良性接口。

6.4 數(shù)據(jù)云存儲安全

本文提出一個基于霧計(jì)算思想的安全云存儲三級結(jié)構(gòu)，來解決云存儲中的私密性問題。其基本思想為利用糾刪碼技術(shù)將文件分塊之后，將小部分存儲在絕對安全的本機(jī)，再存儲多一些的數(shù)據(jù)在相對安全的霧服務(wù)器中，最后大部分?jǐn)?shù)據(jù)存儲于云端。存儲于本機(jī)的數(shù)據(jù)可以用來和霧服務(wù)器中數(shù)據(jù)結(jié)合還原部分關(guān)鍵數(shù)據(jù)，這部分關(guān)鍵數(shù)據(jù)又可以用來和云服務(wù)器中的數(shù)據(jù)結(jié)合來還原原始數(shù)據(jù)。值得注意的是，無論是云服務(wù)器中還是霧服務(wù)器中存儲的數(shù)據(jù)，如果被惡意外來者獲取了，都無法還原出原始數(shù)據(jù)。這種技術(shù)可以解決傳統(tǒng)加密技術(shù)無法解決的很多問題，尤其是對于傳感云服務(wù)內(nèi)部攻擊。

7 結(jié)束語

傳感云系統(tǒng)是一個新的研究熱點(diǎn)。傳統(tǒng)的傳感網(wǎng)在云計(jì)算的協(xié)助下通過實(shí)時感知物理世界并將數(shù)據(jù)上傳到云端，為身處各地的用戶提供便利的服務(wù)。然而，由于數(shù)據(jù)被上傳到云平臺，感知數(shù)據(jù)和用戶信息被暴露給第三方，造成數(shù)據(jù)的隱私性泄露，機(jī)密性和完整性無法得到保障等安全問題。這些安全威脅嚴(yán)重阻礙傳感云發(fā)展。雖然目前有部分國內(nèi)外學(xué)者對傳感云的安全問題進(jìn)行了研究并提出了對應(yīng)的解決方案，但是均不夠全面和完善。本文首先給出了3種傳感云實(shí)現(xiàn)框架，并結(jié)合幾個典型的傳感云應(yīng)用，強(qiáng)調(diào)了傳感云安全的重要性。然后對傳感云面臨的傳統(tǒng)安全威脅和衍生的潛在安全威脅進(jìn)行了探討和總結(jié)?；诎踩{的總結(jié)，本文提出了傳感云發(fā)展中需要具備的安全需求。接著，對目前已有的傳感云安全研究進(jìn)行歸類，對于每類方法，結(jié)合典型文獻(xiàn)的實(shí)現(xiàn)細(xì)節(jié)，對現(xiàn)有方法進(jìn)行分析、對比和總結(jié)，探討了未來傳感云需要研究的方向。最后，提出了基于霧計(jì)算框架下的傳感云安全研究。

[1] 林闖, 蘇文博, 孟坤, 等. 云計(jì)算安全: 架構(gòu), 機(jī)制與模型評價[J]. 計(jì)算機(jī)學(xué)報(bào), 2013, 36(9): 1765-1784.

LIN C, SU W B, MENG K, et al. Cloud computing security: infrastructure, mechanism and model evaluation[J]. Chinese Journal of Computers, 2013, 36(9):1765-1784.

[2] 王國軍, 王田, 賈維嘉. 無線傳感器網(wǎng)絡(luò)中一種基于行進(jìn)啟發(fā)的地理位置路由[J]. 傳感技術(shù)學(xué)報(bào), 2007, 20(2): 382-386.

WANG G J, WANG T, JIA W J. A travel-based position route in wireless sensor networks[J]. Journal of Sensor Technology, 2007, 20(2): 382-286.

[3] WANG T, PENG Z, LIANG J B, et al. Following targets for mobile tracking in wireless sensor networks[J]. ACM Transactions on Sensor Networks, 2016, 12(4):1-24.

[4] 張希偉, 戴海鵬, 徐力杰, 等. 無線傳感器網(wǎng)絡(luò)中移動協(xié)助的數(shù)據(jù)收集策略[J]. 軟件學(xué)報(bào), 2013, 24(2): 198-214.

ZHANG X W, DAI H P, XU L J, et al. Mobility assisted data collection strategy in wireless sensor network[J]. Journal of Software, 2013, 24(2): 198-214.

[5] 俞姝穎, 吳小兵, 陳貴海, 等. 無線傳感器網(wǎng)絡(luò)在橋梁健康監(jiān)測中的應(yīng)用[J]. 軟件學(xué)報(bào), 2015, 26(6): 1486-1498.

YU S Y, WU X B, CHEN G H, et al. Application of wireless sensor networks in bridge health monitoring[J]. Journal of Software, 2015, 26(6): 1486-1498.

[6] DASH S K, SAHOO J P, MOHAPATRA S, et al. Sensor-cloud: assimilation of wireless sensor network and the cloud[C]//International Conference on Computer Science and Information Technology. 2012: 455-464.

[7] 劉正偉, 文中領(lǐng), 張海濤. 云計(jì)算和云數(shù)據(jù)管理技術(shù)[J]. 計(jì)算機(jī)研究與發(fā)展, 2012, 49(1): 26-31.

LIU Z W, WEN Z L, ZHANG H T. Cloud computing and cloud data management technology[J]. Computer Research and Development, 2012, 49(1): 26-31.

[8] WANG T, LI Y, WANG G J, CAO J N, et al. Sustainable and efficient data collection from WSNs to cloud[J]. IEEE Transactions on Sustainable Computing, 2017, PP(99):1-12.

[9] 曾建電, 王田, 賈維嘉, 等. 傳感云研究綜述[J]. 計(jì)算機(jī)研究與發(fā)展, 2017, 54(5):925-939.

ZENG J D, WANG T, JIA W J, et al. Survey of sensor cloud[J].Computer Research and Development, 2017, 54(5):925-939.

[10] MISRA S, BERA S, MONDAL A, et al. Optimal gateway selection in sensor-cloud framework for health monitoring[J]. IET Wireless Sensor Systems, 2014, 4(2): 61-68.

[11] GERLA M, LEE E K, PAU G, et al. Internet of vehicles: from intelligent grid to autonomous cars and vehicular clouds[C]//2014 IEEE World Forum on Internet of Things (WF-IoT). 2014: 241-246.

[12] SIMMHAN Y, AMAN S, KUMBHARE A, et al. Cloud-based software platform for big data analytics in smart grids[J]. Computing in Science & Engineering, 2013, 15(4): 38-47.

[13] YURIYAMA M, KUSHIDA T. Sensor-cloud infrastructure-physical sensor management with virtualized sensors on cloud computing[C]//13th International Conference on Network-Based Information Systems (NBiS).2010: 1-8.

[14] GE Y, ZHANG X, HAN B. Complex IoT control system modeling from perspectives of environment perception and information security[J]. Mobile Networks & Applications, 2017, 22(3):1-9.

[15] DIPIETRO R, GUARINO S, VERDE N V, et al. Security in wireless ad hoc networks-a survey[J]. Computer Communications, 2014, 51: 1-20.

[16] WANG T, PENG Z, WEN S, et al. Reliable wireless connections for fast-moving rail users based on a chained fog structure[J].Information Sciences, 2017, 379:160-176.

[17] WANG T, LI Y, WANG G J, et al. Sustainable and efficient data collection from WSN to cloud[J].IEEE Transactions on Sustainable Computing, 2017, PP(99):1-12.

[18] CHEN M, MA Y, LI Y, et al. Wearable 2.0: enabling human-cloud integration in next generation healthcare systems[J]. IEEE Communications Magazine, 2017, 55(1):54-61.

[19] MAN H A, YUEN T H, LIU J K, et al. A general framework for secure sharing of personal health records in cloud system[J]. Journal of Computer & System Sciences, 2017.

[20] CAI H, XU B, JIANG L, et al. IoT-based big data storage systems in cloud computing: Perspectives and challenges[J]. IEEE Internet of Things Journal, 2017, 4(1): 75-87.

[21] LIU J, SHEN S, YUE G, et al. A stochastic evolutionary coalition game model of secure and dependable virtual service in Sensor-Cloud[J]. Applied Soft Computing, 2015, 30(C):123-135.

[22] GARGEES R, MORAGO B, PELAPUR R, et al. Incident-supporting visual cloud computing utilizing software-defined networking[J]. IEEE Transactions on Circuits and Systems for Video Technology, 2017, 27(1): 182-197.

[23] WANG T, LI Y, CHEN Y, et al. Fog-based evaluation approach for trustworthy communication in sensor-cloud system[J]. IEEE Communications Letters, 2017, 21(11): 2532-2535.

[24] WINKLER T, RINNER B. Security and privacy protection in visual sensor networks: a survey[J]. ACM Computing Surveys (CSUR), 2014, 47(1): 2.

[25] HE D, KUMAR N. A secure temporal credential-based mutual authentication and key agreement scheme with pseudo identity for wireless sensor networks[J].Information Sciences, 2015, 321: 263-277.

[26] SAJID A, ABBAS H, SALEEM K. Cloud-assisted IoT-based SCADA systems security: a review of the state of the art and future challenges[J]. IEEE Access, 2016, 4: 1375-1384.

[27] MARTIN K, WANG W. Aya: an efficient access-controlled storage and processing for cloud-based sensed data[C]//12th International Computer Conference on Wavelet Active Media Technology and Information Processing (ICCWAMTIP). 2015: 130-134.

[28] SAHA S. Secure sensor data management model in a sensor-cloud integration environment[C]//Applications and Innovations in Mobile Computing (AIMoC). 2015: 158-163.

[29] ZHOU J, CAO Z, DONG X, et al. Security and privacy in cloud-assisted wireless wearable communications: challenges, solutions, and future directions[J]. IEEE Wireless Communications, 2015, 22(2): 136-144.

[30] HENZE M, HERMERSCHMIDT L, KERPEN D, et al. A comprehensive approach to privacy in the cloud-based internet of things[J]. Future Generation Computer Systems, 2016, 56: 701-718.

[31] BRUNEO D, DISTEFANO S, LONGO F, et al. IoT-cloud authorization and delegation mechanisms for ubiquitous sensing and actuation[C]//2016 IEEE 3rd World Forum on Internet of Things (WF-IoT). 2016: 222-227.

[32] BUTUN I, MORGERA S D, SANKAR R. A survey of intrusion detection systems in wireless sensor networks[J]. IEEE Communications Surveys & Tutorials, 2014, 16(1): 266-282.

[33] ALRAJEH N A, KHAN S, SHAMS B. Intrusion detection systems in wireless sensor networks: a review[J]. International Journal of Distributed Sensor Networks, 2013, 9(5): 167575.

[34] SMIRNOV A V, BORISENKO K A, SHOROV A V, et al. Network traffic processing module for infrastructure attacks detection in cloud computing platforms[C]//2016 XIX IEEE International Conference on Soft Computing and Measurements (SCM). 2016: 199-202.

[35] PATEL A, TAGHAVI M, BAKHTIYARI K, et al. An intrusion detection and prevention system in cloud computing: a systematic review[J]. Journal of Network and Computer Applications, 2013, 36(1): 25-41.

[36] SINHA N, PUJITHA K E, ALEX J S R. Xively based sensing and monitoring system for IoT[C]//International Conference on Computer Communication and Informatics (ICCCI). 2015: 1-6.

[37] RAY P P. A survey of IoT cloud platforms[J]. Future Computing and Informatics Journal, 2016, 1(1-2): 35-46.

[38] SUHAIL S, HONG C S, AHMAD Z U, et al. Introducing secure provenance in IoT: requirements and challenges[C]//International Workshop on Secure Internet of Things (SIoT). 2016: 39-46.

[39] DOUKAS C, MAGLOGIANNIS I. Bringing IoT and cloud computing towards pervasive healthcare[C]//Sixth International Conference on Innovative Mobile and Internet Services in Ubiquitous Computing (IMIS). 2012: 922-926.

[40] PASHA S. ThingSpeak based sensing and monitoring system for IoT with Matlab Analysis[J]. International Journal of New Technology and Research (IJNTR), 2016, 2(6): 19-23.

[41] LOUNIS A, HADJIDJ A, BOUABDALLAH A, et al. Secure and scalable cloud-based architecture for e-health wireless sensor networks[C]//21st International Conference on Computer Communications and Networks (ICCCN). 2012: 1-7.

[42] BAEK J, VU Q H, LIU J K, et al. A secure cloud computing based framework for big data information management of smart grid[J]. IEEE Transactions on Cloud Computing, 2015, 3(2): 233-244.

[43] BUTUN I, EROL-KANTARCI M, KANTARCI B, et al. Cloud-centric multi-level authentication as a service for secure public safety device networks[J]. IEEE Communications Magazine, 2016, 54(4): 47-53.

[44] BUTUN I, WANG Y, LEE Y, et al. Intrusion prevention with two-level user authentication in heterogeneous wireless sensor networks[J]. International Journal of Security and Networks, 2012, 7(2): 107-121.

[45] BANAIE F, SENO S A H. A cloud-based architecture for secure and reliable service provisioning in wireless sensor network[C]//2014 4th International Conference on Computer and Knowledge Engineering (ICCKE).2014: 96-101.

[46] GOVINDAN K, MOHAPATRA P. Trust computations and trust dynamics in mobile ad hoc networks: a survey[J]. IEEE Communications Surveys & Tutorials, 2012, 14(2): 279-298.

[47] JIANG J, HAN G, WANG F, et al. An efficient distributed trust model for wireless sensor networks[J]. IEEE Transactions on Parallel & Distributed Systems, 2014, 26(5): 1.

[48] SAHA S, DAS R, DATTA S, et al. A cloud security framework for a data centric WSN application[C]//The 17th International Conference on Distributed Computing and Networking. 2016: 39.

[49] LOUNIS A, HADJIDJ A, BOUABDALLAH A, et al. Healing on the cloud: secure cloud architecture for medical wireless sensor networks[J]. Future Generation Computer Systems, 2016, 55: 266-277.

[50] ALBUQUERQUE S L, GONDIM P R L. Security in cloud-computing- based mobile health[J]. IT Professional, 2016, 18(3): 37-44.

[51] SHAH S H, KHAN F K, ALI W, et al. A new framework to integrate wireless sensor networks with cloud computing[C]//Aerospace Conference. 2013: 1-6.

[52] ZHU C, WANG H, LIU X, et al. A novel sensory data processing framework to integrate sensor networks with mobile cloud[J]. IEEE Systems Journal, 2016, 10(3): 1125-1136.

[53] PONMAGAL R S, DINESH N, RAJARAM U. Design and development of secure cloud architecture for sensor services[C]//International Conference on Distributed Computing and Internet Technology. 2015: 339-344.

[54] GUAN Z, YANG T, DU X, et al. Secure data access for wireless body sensor networks[C]//Wireless Communications and Networking Conference (WCNC). 2016: 1-6.

[55] HENZE M, HUMMEN R, MATZUTT R, et al. The sensorcloud protocol: securely outsourcing sensor data to the cloud[J]. arXiv preprint arXiv:1607.03239, 2016.

[56] GRANJAL J, MONTEIRO E, SILVA J S. Security in the integration of low-power wireless sensor networks with the internet: a survey[J]. Ad Hoc Networks, 2015, 24: 264-287.

[57] YUEN T H, ZHANG Y, YIU S M, et al. Identity-based encryption with post-challenge auxiliary inputs for secure cloud applications and sensor networks[C]//European Symposium on Research in Computer Security. 2014: 130-147.

[58] MISRA S, SINGH A, CHATTERJEE S, et al. Mils-cloud: a sensor-cloud-based architecture for the integration of military tri-services operations and decision making[J]. IEEE Systems Journal, 2016, 10(2): 628-636.

[59] ZHU C, NICANFAR H, LEUNG V C M, et al. An authenticated trust and reputation calculation and management system for cloud and sensor networks integration[J]. IEEE Transactions on Information Forensics & Security, 2015, 10(1):118-131.

[60] WHITEHEAD J R. Cluster-based trust proliferation and energy efficient data collection in unattended wireless sensor networks with mobile sinks[D]. Chattanooga: University of Tennessee. 2016.

[61] LUCA G D, CHEN Y. Visual IoT robotics programming language in pi-calculus[C]//International Symposium on Autonomous Decentralized System. 2017:23-30.

[62] LOMOTEY R K, PRY J C, CHAI C. Traceability and visual analytics for the Internet-of-Things (IoT) architecture[J]. World Wide Web-internet & Web Information Systems, 2017(4):1-26.

[63] GARGEES R, MORAGO B, PELAPUR R, et al. Incident-supporting visual cloud computing utilizing software-defined networking[J]. IEEE Transactions on Circuits and Systems for Video Technology, 2017, 27(1): 182-197.

[64] ZHOU R, LAI Y, LIU Z, et al. A security authentication protocol for trusted domains in an autonomous decentralized system[J]. International Journal of Distributed Sensor Networks, 2016, 12(3): 5327949.

[65] YOON K, PARK D, YIM Y, et al. Security authentication system using encrypted channel on UAV network[C]//IEEE International Conference on Robotic Computing (IRC).2017: 393-398.

[66] ZHANG Y, LYU M R. QoS-aware byzantine fault tolerance[M]. QoS Prediction in Cloud and Service Computing. Singapore: Springor, 2017: 105-120.

[67] BHAT A, SAMII S, RAJKUMAR R. Practical task allocation for software fault-tolerance and its implementation in embedded automotive systems[C]//Real-Time and Embedded Technology and Applications Symposium (RTAS).2017: 87-98.

[68] ZHANG T, YAN L, YANG Y. Trust evaluation method for clustered wireless sensor networks based on cloud model[J]. Wireless Networks, 2016: 1-21.

[69] SUN D, ZHAO H, CHENG S. A novel membership cloud model-based trust evaluation model for vehicular ad hoc network of T-CPS[J]. Security and Communication Networks, 2016, 9(18): 5710-5723.

[70] LI X, HE J, ZHAO B, et al. A method for trust quantification in cloud computing environments[J]. International Journal of Distributed Sensor Networks, 2016, 12(2): 5052614.

[71] BONOMI F, MILITO R, ZHU J, et al. Fog computing and its role in the Internet of things[C]//Proceedings of the First Edition of the MCC Workshop on Mobile Cloud Computing. 2012: 13-16.

[72] TIAN W, ZHOU J Y, WANG G J, et al. Three-layer privacy preserving cloud storage scheme based on computational intelligence in fog computing[J]. IEEEE Transactions on Emerging Topics in Computational Intelligence, 2018, 2(1): 3-12.

[73] GARCIA LOPEZ P, MONTRESOR A, EPEMA D, et al. Edge-centric computing: vision and challenges[J]. ACM SIGCOMM Computer Communication Review, 2015, 45(5): 37-42.

Research progress of sensor-cloud security

WANG Tian1, LI Yang1, JIA Weijia2,3, WANG Guojun4, PENG Shaoliang5

1. Department of Computer Science and Technology, Huaqiao University, Xiamen 361021, China 2. Data Science Center, University of Macau, Macao 999078, China 3. Department of Electronic Information and Electrical Engineering College, Shanghai Jiaotong University, Shanghai 200240, China 4. Department of Computer Science and Educational Software, Guangzhou University, Guangzhou 510006, China 5. Department of Computer, National University of Defense Technology, Changsha 410073, China

Through consulting lots of domestic and international literatures about sensor-cloud security, a series of security problems are found, such as reputation problem of service provider, the coupling problem of physical nodes, the leak of authority management, et al, which seriously hinders the further development of sensor-cloud. The secure problems occurring in sensor-cloud were analyzed, the current secure technologies were contrasted , similarities and differences of various types solutions were discussed and summarized. After that, several future challenges of sensor-cloud security were concluded. Finally, a fog-based structure was proposed to solve the security problems, which would bring new ideas to the sensor-cloud security research.

cloud computing, wireless sensor network, sensor-cloud, security, fog computing

TP393

A

10.11959/j.issn.1000-436x.2018035

2017-01-08；

2017-12-02

王田，cs_tianwang@163.com

國家重點(diǎn)基礎(chǔ)研究發(fā)展計(jì)劃（“973”計(jì)劃）基金資助項(xiàng)目（No.2015CB352401）；國家自然科學(xué)基金資助項(xiàng)目（No.61772148, No.61672441, No.U1405254）；華僑大學(xué)研究生科研創(chuàng)新培育基金資助項(xiàng)目（No.1511414005）

The National Basic Research Program of China (973 Program) (No.2015CB352401), The National Natural Science Foundation of China (No.61772148, No.61672441, No.U1405254), The Foster Project for Graduate Student in Research and Innovation of Huaqiao University (No.1511414005)

王田（1982-），男，湖南汨羅人，博士，華僑大學(xué)教授，主要研究方向?yàn)槲锫?lián)網(wǎng)及其安全問題、云計(jì)算技術(shù)、社交網(wǎng)絡(luò)、軟件安全、大數(shù)據(jù)處理等。

李洋（1991-），女，湖北黃石人，華僑大學(xué)碩士生，主要研究方向?yàn)閭鞲性瓢踩?、霧計(jì)算、物聯(lián)網(wǎng)等。

賈維嘉（1957-），男，中國香港人，博士，上海交通大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)橄乱淮鸁o線通信、協(xié)議、異構(gòu)網(wǎng)絡(luò)等。

王國軍（1970-），男，湖南長沙人，博士，廣州大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)榫W(wǎng)絡(luò)和信息安全、物聯(lián)網(wǎng)和云計(jì)算等。

彭紹亮（1979-），男，湖南長沙人，博士，國防科技大學(xué)教授，主要研究方向?yàn)榉植际较到y(tǒng)、計(jì)算機(jī)性能和無線網(wǎng)絡(luò)等。