物聯網的安全問題與防護措施

張偉 中國移動通信集團安徽有限公司蚌埠分公司網絡部

物聯網的安全問題與防護措施

張偉 中國移動通信集團安徽有限公司蚌埠分公司網絡部

隨著信息技術的快速發展，物聯網已經成為時代的大趨勢，越來越多的個體將被接入物聯網的體系內，因為物聯網讓個體間的聯系更加的緊密，所以任何一個針對個體的網絡攻擊都有可能蔓延到更廣的范圍內，攻擊帶來的損害程度也將遠比對于單獨PC端、移動端的攻擊大很多。因為從物聯網的普及程度來看，一旦出現安全性問題，將會對人們的生產生活造成巨大的損失。本文分析了物聯網在應用時出現的普遍問題，同時針對這些問題，提出了切實可行的安全防護措施。

物聯網 安全 問題 措施

物聯網概念自提出以來，便受到各界的廣泛關注，物聯網技術是信息產業的又一次浪潮。目前，物聯網已經在智慧電力、智能家居、醫療健康、環境監測等領域得到了初步應用，正改變著人類的生活和工作方式。

然而，大部分物聯網設備在設計之初主要應用在專網、或者不聯網的領域，并沒有將互聯網作為應用場景。比如安防攝像頭，最初都是通過硬盤來存儲數據，其產品特性也主要考慮編解碼、清晰度等特性。但隨著攝像頭數量增多，越來越多設備需要遠程控制能力，也因此開始連接互聯網。此時，缺少安全防護的問題開始大規模暴露。以內置密碼來說，暴露在互聯網上的設備很多都未對內置初始密碼進行修改，一旦成千上萬的這種設備被人操控，就能有針對性地發動DDoS攻擊。近期，物聯網設備遭惡意軟件感染發起的DDos攻擊占據新聞頭條。10月21日導致“半個美國互聯網”癱瘓的Ddos攻擊就顯示了由大量的物聯網設備組成的僵尸網絡發起Ddos攻擊的破壞力，黑客操控感染了惡意軟件Mirai的物聯網設備發起了DDOS攻擊。據事后分析，造成如此嚴重后果的只是10萬個被黑的IoT設備。無獨有偶，11月初有黑客對一個非洲國家利比里亞的互聯網發起大規模DDoS攻擊，企圖關閉整個國家的互聯網。這次攻擊的頻率超過了500Gbps，但只持續了很短的一段時間。

1 物聯網概述

1.1 物聯網概念

1999年美國麻省理工學院（MIT）首次提出了物聯網（The Internet of Things，IoT）的概念。國際電信聯盟（ITU）2005年度報告中提到：物聯網將實現任何時間、任何地點、任何人、任何物體之間的信息通信。物聯網有3大特征：一是全面感知，即通過RFID（Radio Frequency Identification）和傳感器等傳感設備隨時隨地獲取物體的相關數據和位置信息；二是可靠傳輸，即通過將物體接入網絡，利用通信網絡，將物體的信息進行可靠的傳輸；三是智能處理，即利用各種智能計算技術，對感知到的海量數據和信息進行分析和處理，實現智能化的決策和控制。

1.2 物聯網體系架構

到目前為止，國際上還沒有制定出物聯網框架體系架構標準。現在被業界廣泛認可的是ITU-T建議的三層架構，包括應用層、網絡層、感知層，物聯網架構如圖所示。

物聯網各層的主要任務和功能如下：

感知層：完成節點數據收集、物體感知和控制。感知層包含兩個部分：感知節點和感知層網絡。感知節點用來采集數據和實現對物體的控制，感知層網絡將感知節點采集的數據傳送至網關或將指令發送到感知節點控制器。

網絡層：把感知層采集的數據傳輸至處理層，處理層再對數據進行加工處理，處理層采用數據挖掘技術對數據進行分類、聚合和處理。

應用層：根據具體行業和用戶需求，實現具體的物聯網服務。目前物聯網提供的服務有：智慧農業、智慧城市、環境監測、工業控制等。

2 物聯網的安全性問題分析

物聯網的核心技術主要有三個特點：可跟蹤、可監控、可連接。因此，物聯網所面臨的安全性威脅也主要是這三方面的，具體來講，主要包括感知、傳輸和應用三個層面。由于網絡環境紛繁復雜，所以從感知方面來講，在接觸這些信息的時候，物聯網就面臨著多重威脅；其次是傳輸，感知節點在傳輸的過程中是暴露在整個錯綜復雜的網絡環境之下的，這時候最容易受到不良信息的攻擊；最后是應用方面，隨著物聯網在各行各業的應用越來越廣泛，運營的過程中，稍有不慎，就會出現多種多樣的安全性問題。

從一定層面上來講，物聯網在應用過程中可能面臨以下幾種安全性問題：如隱私泄漏，這是一個非常普遍的現象，因為射頻識別技術的廣泛應用，它就有更多地可能被惡意擴大傳播范圍，通過網絡輸出到更多人的視線之內，給人們正常的生產生活造成很大困擾；再如拒絕服務現象，這也是一個很常見的問題，當信息從感知層傳輸到輸出層時，由于信息量的龐大或者使用人群較多，極有可能造成網絡擁堵的現象，產生變相拒絕服務的情況，這也會給人們的生活造成一定的麻煩；除此之外，在物聯網領域，還充斥著惡意代碼攻擊、偽造信息等各種安全威脅。

2.1 感知層的安全威脅

感知層面臨的威脅主要有針對無線傳感網絡WSN的安全威脅和針對射頻識別（RFID）的安全威脅。

2.1.1 針對WSN的安全威脅

WSN的安全威脅主要是傳感節點的數據采集和傳輸安全。由于傳感節點大多部署在無人監控的環境，無線本身存在開放性，因此無線傳輸易受到外界干擾和非法用戶攻擊。

竊聽攻擊：通過非法手段，竊聽RFID閱讀器和RFID標簽之間通信數據；

節點捕獲：統計這非法獲得身份信息、控制節點，造成數據泄露；

重放攻擊：采用非法技術獲取網絡信息，不斷的重發此類信息，造成網絡故障。

路由信息虛假：惡意篡改路由信息，造成虛假錯誤信息傳送，浪費網絡資源。

拒絕服務：網關節點收到DoS攻擊，會不斷消耗網絡資源，最終造成網絡癱瘓。

2.1.2 針對RFID的安全威脅

RFID的安全威脅主要指在RFID閱讀器和標簽進行通信時遭到的攻擊，此類攻擊通常會導致用戶隱私泄露。此外，還由于RFID標簽是可擦寫的，因此RFID標簽數據的安全性和有效性將得不到保證。

克隆攻擊：偽造或者復制與原目標相同的RFID標簽；

欺騙攻擊：假冒合法的RFID標簽，獲得訪問權限后進行攻擊；

非法授權：在未授權的情況下非法督促RFID標簽數據；

拒絕服務：持續向RFID標簽發送惡意請求信息，是標簽合法請求無法響應。

假冒攻擊：攻擊者冒充合法的RFID閱讀器竊取RFID標簽數據。

2.2 網絡層安全威脅

網絡層主要負責將傳感層采集的數據傳送到處理層，以便處理層對數據進行智能分析和決策。由于物聯網設備通常采用無線技術，而無線數據容易被竊聽、修改、插入、刪除和重傳。

流量分析：監聽網絡流量，分析相關參數；

偽裝攻擊：惡意節點通過偽裝成正常節點吸引數據包，以此進行數據篡改或毀壞數據；

黑洞攻擊：將所有可能的流量引導到一個節點，消耗網絡資源和節點能量；

Hello泛洪：惡意節點用異常高的發射功率傳輸消息，使其他節點相信他們是鄰居，從而造成誤導，生成虛假路由；

灰洞攻擊：將數據包吸引到被俘獲的節點，并選擇性的丟棄數據包，造成某區域數據丟失，或者數據被篡改。

2.3 應用層安全威脅

應用層的安全威脅主要包括數據處理和業務控制、管理和認證機制、個人隱私保護等。由于傳感節點大都處于無人值守的狀態，所以面臨節點業務配置的問題。在物聯網具體應用中，傳感節點會收集用戶大量隱私數據，用戶的這些隱私數據極易遭到泄露。

3 物聯網安全性問題的防護措施

基于物聯網設備目前面臨的安全風險及由此造成的破壞力，有必要引起人們的重視和警惕。物聯網節點分布廣、數量多、環境復雜，安全性相對脆弱。物聯網設備通常是內存較小的計算裝置，存儲空間普遍不足以安裝常規IT安全設備，物聯網設備的安全性也很難得到準確而可靠地評估。同樣，即使發現了安全漏洞，也無法用常規方式解決。而且，由于物聯網設備通常都是無人值守的，攻擊者就可以輕易地接觸到這些設備，從而對它們造成破壞。針對物聯網設備的特性和面臨的安全威脅，本文提出以下幾個應對措施：

3.1 通過技術完善物聯網設備的安全性

設備制造商應提升物理網設備的安全性，應支持物聯網設備的在線自動補丁更新，及時修復設備漏洞和缺陷；物聯網設備之間的通信應采用加密方式傳輸和身份驗證，防止通信流量被竊聽和冒名訪問；設備在入網時應強制修改默認密碼，避免設備使用默認密碼聯網導致弱口令，從而被利用入侵；使用安全的遠程管理方式，避免使用telnet，http等不安全的遠程管理方式。

3.2 加強對物聯網的安全監管

物聯網的安全監管必不可少，尤其對安監、物流、公共交通、電力和供熱行業等特殊行業，所有使用物聯網技術的設備都必須受到保護。要構建物聯網的安全防護和監控平臺，能夠實時感知物聯網設備的安全態勢，及時發現被入侵和感染惡意程序的物聯網設備。

3.3 構建開放合作的物聯網安全平臺

物聯網設備制造商，通信運營商、客戶和安全行業應建立某種形式的合作機制和開放平臺，通過云服務、大數據平臺等技術建立更加安全、更加開放的智能硬件生態圈。通過多方協作，避免各自為陣，單打獨斗，共同面對物聯網面臨的安全威脅。

3.4 安全管理機制和法律法規的完善

對于物聯網這種新興的產物，在我國還沒有統一標準和針對性的安全管理機制，物聯網的安全，涉及技術、管理與法規等問題，需要國家層面進行協調完善。如何協同各部門和各地區的優勢，共同推動物聯網跨界融合發展仍有不少工作需要做。要強化安全標準的研制、驗證和實施，建立健全物聯網安全防護制度，確保工業、能源、電力、交通等涉及公共安全和基礎設施的物聯網應用的安全可控。

總的來說，物聯網安全問題的解決需要根據物聯網自身的特點以及它在各個領域的應用情況，推行因地制宜的解決方案。任何事物都有其兩面性。物聯網技術在給人們帶來經濟發展和生活便利的同時，又帶來一些信息安全和隱私泄露等方面的問題。相信在不遠的將來，問題將會得到解決，“感知中國”將不再是夢想。