物聯網安全問題研究及解決措施

賈保先 謝圣獻 李俊青 賈仰理

(聊城大學計算機學院，山東 聊城 252059)

0 引言

物聯網是繼計算機、互聯網之后世界信息產業發展的第三次浪潮，受到各國學術界、企業和政府的高度重視。物聯網在軍事、金融、航空航天、交通、國家電網、醫療等領域的應用日趨廣泛。這些領域涉及國防安全、軍事，國家的政治、經濟(金融)，已成為敵對勢力、不法分子的攻擊目標。因此，物聯網系統的安全、可靠性等要求特別高，一旦系統安全發生漏洞，所造成的國家安全、經濟損失等將不堪設想。在物聯網的規模不斷擴大、復雜程度不斷增加的情況下，保障各種攸關生命、安全的物聯網系統的安全性、可靠性，防止災難的發生是物聯網應用領域面臨的主要挑戰之一。

1 物聯網面臨的安全威脅

物聯網是一個由感知層、網絡層和應用層共同組成的大規模系統，其核心與基礎仍是互聯網。物聯網除了互聯網自身安全外，它還具有自身特有的安全需要。

①物聯網訪問控制機制亟待加強。物聯網資源發現服務有助于收集分布于成千上萬的組織機構或不同地理位置上的資源信息和狀態數據;物聯網中海量的分布式資源亟待有效的資源優化與調度算法，以保證高效的資源發現和定位;訪問控制機制的缺失將會導致物聯網關鍵資源訪問權限的大量泛濫。2009年發布的《歐盟物聯網研究戰略路線圖》強調，物聯網資源的發現和訪問控制是物聯網安全的關鍵支撐技術。加強物聯網資源優化調度和訪問控制的研發工作是當務之急。

②物聯網軟件安全形式化驗證十分迫切。物聯網在航空航天、軍事過程控制、智能交通控制、醫療等安全攸關領域的應用日趨廣泛，其行為必須具備可預測性和自適應性，其操作必須具有可靠性和可驗證性。而軟件是物聯網系統的靈魂和中樞神經，這也是“智慧地球”等概念由作為軟件和IT服務商的IBM提出的原因［1］。

物聯網中間件在物聯網軟件中占有重要地位。物聯網可以劃分成感知層、網絡層和應用層，各層都需要軟件(中間件)的支撐。物聯網軟件產品涉及基礎軟件支撐軟件和應用軟件，物聯網軟件服務包括咨詢規劃系統集成、系統運維等各種業態。物聯網軟件構成了一個完整的產業生態鏈條，是物聯網產業的重要組成部分，軟件的安全性能至關重要。因此，對物聯網軟件安全問題與對策進行研究，對推動物聯網產業的成長、發展和壯大具有重要意義。

③物聯網射頻識別系統(RFID)自身安全亟待完善。RFID是一種非接觸式的自動識別技術，其通過射頻信號自動識別目標對象并獲取相關數據，在物聯網中應用廣泛。但在實際應用環境中，RFID尚存在諸多安全隱患，增強RFID的安全性能夠進一步擴大其使用范圍。RFID系統安全問題主要反映在兩個方面:第一是RFID標簽和后端系統之間的通信是非接觸和無線的，它們之間的通信內容很容易泄露;第二是標簽的成本會直接影響標簽本身性能，因此很難實現對安全威脅的高效防護。

2 安全解決措施

2.1 訪問控制研究對策

作為物聯網的核心技術，云計算(cloud computation)也面臨諸多安全問題，例如云計算也無法避免可能在軟件中出現諸如漏洞、病毒、攻擊及信息泄露等目前信息系統中普遍存在的、共性的信息安全問題。傳統的信息安全技術將會繼續應用在云計算中心以及端設備的安全管理上［2］。文獻［3］介紹了云服務主要面臨的問題，并對云服務安全問題進行了分析。本文主要從訪問控制方面展開研究工作，找出解決措施。云服務主要威脅如圖1所示。

圖1 云服務主要威脅Fig.1 The main threats to cloud services

訪問控制在物聯網環境下被賦予了新的內涵:將IP網絡中給“人”進行訪問授權轉變成了給機器進行訪問授權;有限制地分配、交互共享收據;機器與機器之間變得更加復雜［4］。

通過以下技術措施可以較好地解決物聯網訪問控制問題:①通過身份驗證機制與細粒度的訪問控制機制的整合，可以為物聯網資源提供有效的權限保護;②通過資源發現機制與優化算法的整合，可以為物聯網安全提供有效的算法保證;③通過跨域授權，可以解決不同主體的授權。

基于角色的訪問控制(role-based access control，RBAC)通過角色作為用戶和權限之間的中介，有效地實現對權限管理數據的層次抽象。將RBAC機制引入跨域授權管理系統，可以實現一種安全有效的模型訪問控制體制。同時，其本體是共享概念模型的形式化規范說明，是一種能在語義和知識層次上描述信息系統的概念模型的建模工具，這使企業內部帶有語義信息的互操作變得簡單的同時，也為解決跨域安全互操作提供了一個新的方法［5］。

2.2 物聯網形式化驗證對策

對物聯網感知層、網絡層和應用層的軟件技術的研究，重點是對物聯網節點軟件(閉環式RFID系統軟件、RFID中間件、嵌入式系統軟件等)、物聯網系統軟件(數據庫軟件、操作系統軟件等)、物聯網支撐軟件(網絡及通信管理軟件、智能計算及控制軟件、支持多物聯網應用中間件/平臺軟件、開發環境與開發工具、隱私保護與信息安全軟件等)和物聯網應用軟件(嵌入式應用軟件、網絡集成軟件、系統應用軟件等)分層進行研究分析，從而解決物聯網安全問題，提高物聯網軟件的性能及使用壽命。

2.3 RFID安全研究對策

RFID系統本身包括標簽、讀寫器以及標簽與讀寫器之間的射頻通信信道，涉及到的安全問題主要包括:①標簽本身的訪問缺陷，任何用戶(授權以及未授權的)都可以通過合法的閱讀器讀取RFID標簽，而且標簽的可重寫性使得標簽中數據的安全性、有效性和完整性都得不到保證;②移動RFID的安全，主要存在假冒和非授權服務訪問問題。

RFID是物聯網的關鍵技術，其保護不僅涉及技術問題，還涉及法律等方面的問題。具體對策如下。

①工信部2011年3月公布的《衛星移動通信系統終端地球站管理辦法》已于2011年6月1日正式施行，其中對物聯網行業安全制定了防范措施，從機制上確保了我國物聯網安全，規范了物聯網市場競爭，但在法律層面的約束還是空白，因此制定相關的物聯網隱私法律法規，明確將隱私權作為獨立民事權利對物聯網安全至關重要［6］。此外，還需要從完善國家信息安全組織體系、建立國家信息安全技術保障體系等多方面進行全面規劃和不斷完善，加緊制定出臺個人隱私保護法、數據庫保護法、數字媒體法、數字簽名認證法、計算機犯罪法及計算機安全監督法等可以保證信息空間正常運作的配套法規。

②除了立法外，還要提高行業個人自律以及防范意識能力，注意對個人信息的保護，避免泄露;同時物聯網網絡主體在道德意識、道德行為方面，自覺按照網絡道德規范約束自己。只有法律和道德二者互相配合、互相補充，形成良好的互動，才能確保物聯網有序發展［7］。

③標準制定。物聯網剛剛起步，在國際上誰掌握了標準，誰就掌握了話語權。如果過分依賴別人的標準，勢必會在我國經濟、國防等領域埋下重大隱患。

3 結束語

物聯網的推廣將成為下一個經濟發展的助力器，但同時也帶來了諸多安全、隱私、資源保護、訪問控制等問題。物聯網的發展與應用是一個龐大的工程，既需要技術支持，又需要相應的法律、制度配套。只有技術成熟、法律完善、行業自律完善，才能為物聯網的快速發展和應用提供一個健康的環境，物聯網安全的研究任重而道遠。

［1］物聯網的未來之路:物聯網圖強軟件先行［EB/OL］.［2010－07－02］.http://www.sdetn.gov.cn/dzxxc/jsdt/webinfo/2010/04/1270687339252615.htm.

［2］李德毅.云計算——物聯網的基石［EB/OL］.［2011－03－02］.http://www.huawei.com/cn/about-huawei/publications/communicate.

［3］Chen Danwei，Huang Xiuli，Ren Xunyi.Acess control of cloud services based on UCON［C］∥Proceedings of the 1st International Conference on Cloud Computing，2009:559 －564.

［4］李向軍.物聯網安全及解決措施［J］.農業網絡信息，2010(12):5－7.

［5］李瑞軒，趙戰西，文坤梅，等.基于本體的多域訪問控制策略集成研究［J］.小型微型計算機系統，2007(9):1710－1714.

［6］聶學武，張永勝.物聯網安全問題及對策研究［J］.計算機安全，2010(4):4－6.

［7］劉澤喜.物聯網倫理問題探析［D］.武漢:武漢科技大學，2010.