王亞東

摘要：隨著物聯(lián)網(wǎng)技術(shù)的普及，其已廣泛應(yīng)用到人們?nèi)粘Ｉ钪械姆椒矫婷?，尤其在工業(yè)、物流、軍事、經(jīng)濟等領(lǐng)域。但在應(yīng)用過程中也存在一定的安全隱患，安全問題開始受到廣泛的關(guān)注。由于目前物聯(lián)網(wǎng)技術(shù)尚在發(fā)展過程中，這些安全問題不僅影響著用戶的使用，也嚴重制約著物聯(lián)網(wǎng)的進一步發(fā)展。本文首先提出物聯(lián)網(wǎng)安全的含義并分析相關(guān)特點，總結(jié)了物聯(lián)網(wǎng)安全隱患的常見類型，然后對威脅網(wǎng)絡(luò)安全的因素進行了分析，并提出了相應(yīng)的解決策略。

關(guān)鍵詞：物聯(lián)網(wǎng)網(wǎng)絡(luò)安全安全管理

Research on Hidden Dangers and Countermeasures of Internet of Things

WANG Yadong

（Heilongjiang Institute of Technology， College of Computer Science and Technology，Harbin，Heilongjiang Province， 150001 China）

Abstract： With the popularization of Internet of Things technology， it has been widely used in all aspects of people's daily life， especially in the fields of industry， logistics， military， economy and so on. However， there are also certain security risks in the application process， and security issues have begun to receive widespread attention. As the Internet of things technology is still developing， these security issues not only affect the use of users， but also seriously affect the further development of the Internet of things. This paper first puts forward the meaning of Internet of things security and analyzes the relevant characteristics， summarizes the common types of Internet of things security risks， then analyzes the factors threatening network security， and puts forward the corresponding solutions.

Key Words： Internet of things; Network security; Safety; Administration

物聯(lián)網(wǎng)是物物互聯(lián)的網(wǎng)絡(luò)，又稱為泛在網(wǎng)，即無所不在的網(wǎng)絡(luò)，把傳感器接入到互聯(lián)網(wǎng)中，物聯(lián)網(wǎng)是在IP互聯(lián)的基礎(chǔ)上又融入了各種信息采集傳感器，從而形成萬物互聯(lián)。物聯(lián)網(wǎng)的核心依然是現(xiàn)在的基于IP地址的互聯(lián)網(wǎng)，是其延伸。其終端延伸到了任何物與物之間，可以進行信息交換和通信。物聯(lián)網(wǎng)可以通過RFID識別、紅外感應(yīng)器、各種傳感器等信息識別和采集設(shè)備，把任意位置的任意設(shè)備或物品進行互聯(lián)，進行信息的采集、傳輸、交換和存儲，以實現(xiàn)對物品的智能化識別、定位、跟蹤、監(jiān)控和管理的一種網(wǎng)絡(luò)[1]。與此同時，物聯(lián)網(wǎng)技術(shù)應(yīng)用中的網(wǎng)絡(luò)安全問題也逐漸成為了人們看重的關(guān)鍵點[2]。本文首先提出物聯(lián)網(wǎng)安全的含義并分析相關(guān)特點，總結(jié)了物聯(lián)網(wǎng)安全隱患的常見類型，然后對威脅網(wǎng)絡(luò)安全的因素進行了分析，并提出了相應(yīng)的解決策略。

1? 物聯(lián)網(wǎng)安全問題

物聯(lián)網(wǎng)的體系結(jié)構(gòu)從下至上依次分為感知層、網(wǎng)絡(luò)層、應(yīng)用層。物聯(lián)網(wǎng)安全包含五要素，即數(shù)據(jù)保密性（非授權(quán)用戶無權(quán)訪問）、完整性約束（信息不能被篡改或破壞）、可用性（在授權(quán)允許的情況下可以被正常使用）、可控性（數(shù)據(jù)的所有者可以對數(shù)據(jù)進行相應(yīng)的權(quán)限控制管理）和不可否認性（數(shù)據(jù)應(yīng)具有數(shù)字簽名之類的屬性，防止抵賴不承認）。感知網(wǎng)絡(luò)傳輸中的感知節(jié)點功能簡單，能量有限，無法擁有復(fù)雜的安全保護能力，信息可能被中途截取，造成個人隱私和設(shè)備數(shù)據(jù)泄露。

1.1 感知層的安全問題

1.1.1 傳感層的數(shù)據(jù)傳輸介質(zhì)安全問題

通過物聯(lián)網(wǎng)的感知層中的各類數(shù)據(jù)采集設(shè)備，用戶可以獲取海量數(shù)據(jù)。數(shù)據(jù)的獲取主要通過各類數(shù)據(jù)傳感器。采集回來的數(shù)據(jù)在傳送過程中必然會通過傳輸介質(zhì)進行傳輸，除了傳統(tǒng)的互聯(lián)網(wǎng)的各種傳輸協(xié)議，物聯(lián)網(wǎng)又有了相應(yīng)的擴展，主要使用無線網(wǎng)絡(luò)（藍牙、WiFi、Zigbee等）進行數(shù)據(jù)傳輸，而無線介質(zhì)的非導(dǎo)向性的特點就決定了信號缺乏有效保護措施，很容易被非法監(jiān)聽、竊取、干擾[3]。

1.1.2 數(shù)據(jù)采集設(shè)備的安全問題

在物聯(lián)網(wǎng)的實際應(yīng)用中，比如森林防火，海量的溫濕度傳感器和火焰?zhèn)鞲衅鞣植荚诒O(jiān)控區(qū)域內(nèi)，通過無線傳輸介質(zhì)進行互聯(lián)，來完成數(shù)據(jù)采集等工作。在此種情況下，各種傳感器和無線傳輸設(shè)備以及必要的控制設(shè)備都會分散部署到無人的地點，這些物理設(shè)備很容易被惡意攻擊者接觸到，從而導(dǎo)致這些物理設(shè)備出現(xiàn)故障或損壞，更有甚者可能被非法操控。

1.1.3 Zigbee的安全問題

無線傳感網(wǎng)是物聯(lián)網(wǎng)中的重要組成部分，通常指的是用Zigbee網(wǎng)絡(luò)來實現(xiàn)進行各類傳感器采集數(shù)據(jù)的傳輸通信。對于Zigbee網(wǎng)絡(luò)而言，其安全性存在先天的缺陷，Zigbee采用了對稱型加密技術(shù)，必須具備相同的秘鑰，難以實現(xiàn)數(shù)字簽名的認證。B22B7373-4DEC-4753-A110-A474BB5AF2DF

1.2 網(wǎng)絡(luò)層的安全問題

1.2.1 IP協(xié)議的安全問題

由于基于TCP/IP協(xié)議的網(wǎng)絡(luò)沒有把安全作為主要目標，TCP/IP協(xié)議中的安全隱患在物聯(lián)網(wǎng)中依然存在，由于IP協(xié)議在傳輸過程中使用明文進行數(shù)據(jù)傳輸，沒有進行數(shù)據(jù)加密 ，非法用戶可以在捕獲回來的IP包中提取出IP報文。路由器僅僅根據(jù)IP包中的目的IP地址來確定該IP分組從哪一個端口發(fā)送，不關(guān)心該IP分組的源IP地址。所以非法用戶僅僅通過修改捕獲回來的IP包中源IP地址，就可以達到IP欺騙的目的。IP欺騙攻擊具有很大的危害，是拒絕服務(wù)攻擊的主要手段之一，能夠達到防追蹤的目的。由于互聯(lián)網(wǎng)中不同網(wǎng)絡(luò)的MTU（最大傳輸單元）不同，IP包在不同網(wǎng)絡(luò)間進行轉(zhuǎn)發(fā)時，路由器可能對IP包進行分片處理，非法用戶會利用IP碎片的這個功能，將IP包切分為非常小的碎片，并且這些小的碎片只有到目的地才會重組，會消耗大量的資源。如果非法用戶人為地漏發(fā)某一個碎片，會導(dǎo)致接收方無法整合，最終導(dǎo)致數(shù)據(jù)傳輸失敗。

1.2.2 TCP協(xié)議的安全問題

（1）SYN泛洪攻擊。

TCP連接建立時需要進行三次握手，來達到收發(fā)雙方彼此發(fā)送序號同步的目的，客戶端向服務(wù)器發(fā)出的第一條消息稱之為SYN消息，非法用戶會給目標主機批量發(fā)送第一次的SYN消息，而對服務(wù)器返回的ACK消息進行忽略。采用這樣的方法，非法用戶就可實現(xiàn)對特定服務(wù)器主機進行拒絕服務(wù)攻擊。而服務(wù)器的主機在每一次收到SYN消息后都會消耗一定的資源來存儲這些TCP連接的相關(guān)信息，如果非法用戶所發(fā)送的次數(shù)足夠多，那么服務(wù)器主機的資源就會被逐步消耗掉，當正常用戶對服務(wù)器進行訪問時，則不能為其提供服務(wù)。

（2）ACK引起的連接重置。

在TCP連接正常建立的情況下，通信雙方任何一端再次收到ACK確認消息，都會認為是連接故障，會發(fā)起連接重置請求即RET消息，基于這樣的邏輯，如果非法用戶不斷地產(chǎn)生偽造的包含特定IP地址的ACK確認消息，就會導(dǎo)致特定IP地址所對應(yīng)的服務(wù)器處理這些非法請求，從而消耗資源，影響正常用戶的訪問。

2物聯(lián)網(wǎng)安全架構(gòu)

整個信息化產(chǎn)業(yè)界應(yīng)高度重視數(shù)據(jù)安全，隨著可穿戴設(shè)備、無人駕駛、遠程醫(yī)療、工業(yè)物聯(lián)網(wǎng)等物聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展，物聯(lián)網(wǎng)系統(tǒng)中交互的數(shù)據(jù)具有隱私的屬性日益強烈，隱私即為數(shù)據(jù)所有者不愿意被披露的敏感信息，包括敏感數(shù)據(jù)以及數(shù)據(jù)所表征的特性[4]，甚至關(guān)乎用戶生命安全與企業(yè)的商業(yè)機密，需要終端、網(wǎng)絡(luò)、云平臺多個環(huán)節(jié)都做好數(shù)據(jù)安全保障。

從物聯(lián)網(wǎng)的體系結(jié)構(gòu)出發(fā)，要構(gòu)建滿足特定應(yīng)用場景和安全需求的、具有全方位一體化的系統(tǒng)化安全架構(gòu)提上了日程，建立云平臺的安全運營、保證通信傳輸層的安全可靠、采集端的設(shè)備認證安全的三位一體的物聯(lián)網(wǎng)安全框架。全面涵蓋云平臺管理、數(shù)據(jù)信息安全、隱私保護、端到端安全管控等，構(gòu)建全方位一體化的物聯(lián)網(wǎng)安全體系。

物聯(lián)網(wǎng)安全體系主要包含三方面內(nèi)容：針對采集層的物聯(lián)網(wǎng)終端防御技術(shù)、針對傳輸層的物聯(lián)網(wǎng)網(wǎng)絡(luò)保護技術(shù)、針對應(yīng)用層的物聯(lián)網(wǎng)云平臺安全防護技術(shù)。

2.1物聯(lián)網(wǎng)終端防御

物聯(lián)網(wǎng)在許多行業(yè)中有廣泛的應(yīng)用，由于應(yīng)用場景不同、需求不同、目的不同，使用的數(shù)據(jù)采集技術(shù)各不相同，終端設(shè)備所具備的計算資源和存儲能力及環(huán)境制約也各不相同。

對于軟硬件資源有限、使用場景約束嚴格的弱終端設(shè)備，需要滿足基本的安全防護，如身份認證，認證包括節(jié)點間認證、用戶與節(jié)點認證和用戶與用戶間認證[5]、數(shù)據(jù)加密傳輸?shù)?。對于性能、資源較豐富的強終端，提供更高級別的安全防護，如數(shù)字簽名、證書管理、防病毒、入侵檢測等。對于時間要求比較嚴格的應(yīng)對及時響應(yīng)場景下的終端，過多的安全防護會影響業(yè)務(wù)體驗，需要定制更加高效可靠、兼顧安全和效率的羽量級算法。

2.2物聯(lián)網(wǎng)網(wǎng)絡(luò)防御

在網(wǎng)絡(luò)的數(shù)據(jù)傳輸過程中，對惡意數(shù)據(jù)進行鑒別，并做出預(yù)判和處理，進而進行預(yù)警和隔離是網(wǎng)絡(luò)安全防護的目標。因此，可以充分利用ISP（互聯(lián)網(wǎng)信息服務(wù)提供商）的網(wǎng)絡(luò)接入能力，在網(wǎng)絡(luò)側(cè)提供安全監(jiān)控服務(wù)，提供基于網(wǎng)絡(luò)側(cè)的異常行為檢測，采用人工智能、機器學(xué)習(xí)技術(shù)對海量數(shù)據(jù)流量通過匹配規(guī)則、模式識別等檢測方法進行異常分析處理，進而提前預(yù)處理網(wǎng)絡(luò)威脅與攻擊。還可以結(jié)合云計算、大數(shù)據(jù)技術(shù)進行數(shù)據(jù)聯(lián)合分析，形成更為完整的基于時間線的非法攻擊特征庫和行為模型庫，提供更好的預(yù)判和預(yù)警服務(wù)。

2.3物聯(lián)網(wǎng)云端防御

物聯(lián)網(wǎng)的絕大多數(shù)應(yīng)用場景都采用云部署的方式，云平臺在數(shù)據(jù)安全、分布式存儲、加工等過程中應(yīng)有必要的安全機制與隱私保護措施。云平臺本身具有一定的保護措施，如通過數(shù)據(jù)的異地備份、病毒防火墻、入侵檢測等來抵抗傳統(tǒng)攻擊。研究侵入的信息，按照研究結(jié)果來修補漏洞[6]，同時結(jié)合用戶端，可以在物聯(lián)網(wǎng)平臺端和云端組建端云協(xié)同的防護體系，在云端對于終端的安全狀態(tài)進行感知、監(jiān)測和升級，進一步豐富整個系統(tǒng)的安全防護手段。

2.4? 規(guī)則制度建設(shè)

建立完善并可迭代的信息安全管理操作規(guī)范制度，核心是制定運維人員日常操作規(guī)范手冊和規(guī)章制度，建立完整的安全運維系統(tǒng)和應(yīng)急機制處理機制，從而提高物聯(lián)網(wǎng)體系的有制可依、有規(guī)可守、有序可循，做到事前防范、事中監(jiān)控、事后處置的可迭代的安全閉環(huán)管理。

2.5 法律手段

強化法律規(guī)范，做好管理工作[7]，物聯(lián)網(wǎng)系統(tǒng)的安全管理離不開法律的保障[8]。然而，我國物聯(lián)網(wǎng)信息安全保護立法仍然存在不足，首先是法規(guī)分散、不成體系。我國關(guān)于信息安全的規(guī)定分布在多部法律法規(guī)之中，至今沒有一部專門針對物聯(lián)網(wǎng)信息安全問題的基本法，沒有形成一個完整的法律體系。

物聯(lián)網(wǎng)產(chǎn)業(yè)的高速發(fā)展離不開安全防護，安全問題是端到端的全生命周期的體系化工程，需要整個產(chǎn)業(yè)鏈共同推動物聯(lián)網(wǎng)安全架構(gòu)的指定和完善，同時加快相關(guān)國家標準的制定工作，為產(chǎn)業(yè)健康發(fā)展提供戰(zhàn)略指引。

此外，需要ISP和云服務(wù)商、傳感器硬件及嵌入式芯片廠家共同指定統(tǒng)一的安全標準，做到核心技術(shù)、加密算法的自主可控和統(tǒng)一。

3 結(jié)語

綜上所述，物聯(lián)網(wǎng)技術(shù)是一種結(jié)合了傳統(tǒng)互聯(lián)網(wǎng)與傳感器網(wǎng)絡(luò)的新技術(shù)。在各行業(yè)中，尤其是工業(yè)互聯(lián)網(wǎng)和智能家居中廣泛使用。但其仍處于發(fā)展階段，面臨著從感知層、網(wǎng)絡(luò)層、應(yīng)用層三方面的安全隱患，應(yīng)設(shè)計包含物聯(lián)網(wǎng)終端防護、網(wǎng)絡(luò)防護、云平臺防護和制度建設(shè)一體的物聯(lián)網(wǎng)安全框架，為物聯(lián)網(wǎng)的發(fā)展提供良好的保障。

參考文獻

[1] 郭健.人工智能和物聯(lián)網(wǎng)應(yīng)用的網(wǎng)絡(luò)安全管理方法 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（12）：171-172.

[2] 劉小銘，許旭江.物聯(lián)網(wǎng)環(huán)境下網(wǎng)絡(luò)安全技術(shù)的研究與應(yīng)用 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（12）：163-164.

[3] 王德.威脅網(wǎng)絡(luò)安全的因素及防范對策研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（12）：162-163.

[4] 葉常青.基于物聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)安全問題及應(yīng)對措施[J].信息技術(shù)，2021（32）：14-16.

[5] 陳養(yǎng)平.基于物聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)安全相關(guān)問題與應(yīng)對之策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（10）：11-12.

[6] 李書強，周鳳敏，宋祥吉，等.基于物聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)安全問題及應(yīng)對策略探究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（2）：168-169 .

[7] ?？〗?基于物聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)安全問題及應(yīng)對策略[J].科技創(chuàng)新導(dǎo)報，2020（6）：129-130.

[8] 蔡澤利.物聯(lián)網(wǎng)環(huán)境下信息安全問題與對策[J].科技資訊，2018（4）：67-69.B22B7373-4DEC-4753-A110-A474BB5AF2DF