物聯網安全綜述

文/姚文學

物聯網安全綜述

文/姚文學

一、引言

圖1：紅色為美國遭受攻擊斷網的區域

2016年10月21日，美國DNS服務提供商Dyn遭受大規模攻擊，導致諸多網站停止服務。據統計，這次攻擊使得美國幾乎半個互聯網癱瘓。而且，這斷斷續續長達6個小時的攻擊，毫不夸張的說，此次損失為天文數字。（圖1）

此次事件的元兇是惡意軟件“Mirai”源代碼，黑客使用Mirai與物聯網相結合，通過互聯網搜索物聯網設備，當掃描到物聯網設備（包括網絡攝像頭，智能開關等）后就嘗試使用默認密碼登陸，（一般是admin/admin，admin/123456之類的弱密碼，Mirai病毒自帶60個通用密碼）。一旦登陸成功，這臺設備就成為“肉雞”，開始被黑客操控攻擊其他網絡設備，由此造成了有史以來最大的DDoS攻擊。

由于物聯網設備容易妥協、很難修補的特點，物聯網將來會成為完美的僵尸網絡。隨著物聯網的發展，智能硬件大約都可能成為網絡攻擊的入口。而其規模龐大，安全性能上的缺失都將助長網絡攻擊的囂張氣焰。

二、物聯網架構

（一）物聯網的定義

物聯網是通過射頻識別（RFID）、紅外感應器、全球定位系統、激光掃描器等信息傳感設備，按約定的協議把任意物品與互聯網連接起來，進行信息交換和通信，以實現智能化識別、定位、跟蹤、監控和管理的一種網絡。物聯網就是“物與物相連的互聯網”，其包含兩層含義：第一，物聯網是在互聯網的基礎上延伸和擴展的網絡，其核心仍然是互聯網；第二，物聯網的用戶端延伸和擴展到任何物品之間進行信息交換和數據通信。

物聯網的常見定義有兩個，分別來自于Gartner和HavardBusinessReview:

1.物聯網是物體的互聯網絡，這些物體可以通過內嵌技術進行感知和通信，了解外部環境狀態或彼此的狀態。（Gartner）

2.物聯網是一互聯的智能設備，它們能進行編排組合，產生新的應用、可靠性、可用性、或新的系統。（HarvardBusinessReview）

（二）物聯網的架構

物聯網是傳統網絡的延伸和擴展，將網絡用戶端延伸和擴展到物與物之間，是一種新型的信息傳輸和交換形式。物聯網是一個由感知層、網絡層和應用層共同組成的大規模信息系統，其核心結構主要包括：

1.感知層，如智能卡、RFID電子標簽、傳感器網絡等，其主要功能是采集各種基礎的數據信息；

2.網絡層，如局域網、互聯網、無線網絡等,其主要功能是實現數據信息的交換與通信；

3.應用層，主要負責物聯數據的分析處理和控制決策，以便實現智能化的應用和服務，從而最終實現人與物、物與物的聯通。

物聯網的體系結構如附圖所示。就其體系結構來看，物聯網體現的是融合的思想，跨越在有線網絡和無線網絡的基礎介質之上。（圖2）

（三）物聯網的安全現狀

物聯網是繼互聯網和移動計算之后的新趨勢，是計算的未來。在物聯網蓬勃發展的同時，其背后隱藏的安全問題也逐漸凸顯出來。除了要應對傳統IP網絡已知的安全問題之外，物聯網還存在著大量自身獨有的安全問題。同互聯網一樣，物聯網同樣面臨著網絡管理與控制等一系列問題，如果這些問題不能得到很好的解決，將會在很大程度上制約物聯網的進一步發展。網絡的安全隱患是客觀存在的，而物聯網又是隨機分布在由傳感器組成的網絡和無處不在的無線網絡之中，為各種網絡攻擊提供了非常廣闊的空間，其安全隱患更加突出。

圖2：物聯網的體系構

三、物聯網安全問題淺析

（一）感知層安全問題

感知層的任務是全面感知外界信息，或者說是原始信息收集器。該層的典型設備包括RFID裝置、各類傳感器（如紅外、超聲、溫度、濕度、速度等）、圖像捕捉裝置（攝像頭）、全球定位系統（GPS）、激光掃描儀等。可能遇到的安全問題包括：

1.由于感知節點監測網絡的不同內容、提供各種不同格式的事件數據來表征網絡系統當前的狀態。然而，這些傳感智能節點又容易受侵。

2.標簽信息的截獲和對這些信息的破解。這些信息可以通過無線網絡平臺傳輸，這會給信息的安全代理影響。

3.傳感網的節點受來自于網絡的DoS攻擊。因為傳感網通常要接入其他外在網絡（包括互聯網），所以就難免受到來自外部網絡的攻擊。主要攻擊除了非法訪問外，拒絕服務（DoS）攻擊也最為常見。傳感網節點的資源（計算和通信能力）有限，對抗DoS攻擊的能力比較脆弱，在互聯網環境里并不嚴重的DoS攻擊行為，在物聯網中就可能造成傳感網癱瘓。

（二）傳輸層安全問題

物聯網的傳輸層主要用于把感知層收集到的信息安全可靠地傳輸到信息處理層，然后進行信息處理。在信息傳輸中，可能經過一個或多個不同架構的網絡進行信息交接。在物聯網環境中這一現象更突出，可能產生信息安全隱患。互聯網的安全問題都可能傳導到物聯網的傳輸層，甚至產生更嚴重的問題。物聯網傳輸層將會遇到以下安全問題：

1.DoS攻擊、DDoS攻擊。由于物聯網中節點數量龐大，而且以集群方式存在，會產生大量的數據需要傳播，這些巨量的數據會使網絡擁塞，以至于產生拒絕服務攻擊；

2.假冒攻擊、中間人攻擊等；

3.跨異構網絡的網絡攻擊。

（三）應用層安全問題

應用層對接收的信息加以處理。它需要判斷哪些信息是有用的信息，哪些是垃圾信息甚至是惡意信息。處理的數據既有一般性數據，也有操作指令。特別值得警惕的是錯誤指令（如指令發出者的操作失誤、網絡傳輸錯誤、得到惡意修改等），或者是攻擊者的惡意指令。如何識別有用的信息，又如何甄別并有效防范惡意信息和指令帶來的威脅是物聯網應用層的主要安全問題。這些問題包括：

1.由于超大量終端提供了海量的數據，來不及識別和處理；

2.智能設備的智能失效，導致效率嚴重下降；

3.自動處理失控；

4.無法實現災難控制并從災難中恢復；

5.非法人為干預造成故障；

6.設備從網絡中邏輯丟失。

四、解決方案探討

（一）感知層安全措施

RFID的嵌入以及各傳感器節點的安全性略低，因此，對物聯網的芯片、節點可以采取一些物理安全機制來實現其安全保障性能。

物理方法主要有靜電屏蔽、阻塞標簽、選擇性鎖定等方法。

1.靜電屏蔽機制通過使用靜電屏蔽技術將標簽屏蔽，使標簽無法被激活，這能避免標簽在不必要或被攻擊者利用的的情況下被閱讀及進行通信。

2.阻塞標簽使用標簽隔離機制來中斷讀寫器與全部或指定標簽的通信，阻塞標簽能夠同時模擬多種標簽，消費者可以使用阻塞標簽有選擇地中斷讀寫器與某些標簽之間的無線通信。

3.選擇性鎖定方法使用一個被稱為“鎖定者”的特殊標簽來模擬無窮的標簽的一個部分，這一方法可以阻止不在被允許范圍內的閱讀器讀取某個標簽的信息，與靜電屏蔽技術類似。

這幾種方法能夠在一定程度上使RFID的標簽安全性得到保障，同時各傳輸節點也可以利用類似的物理性質的方法進行保護。

（二）傳輸層的安全措施

完善傳輸級的安全技術保障信息在傳輸時的安全，可以通過數據加密技術來實現。加密的作用在于阻止攻擊者對截獲的信息進行破譯。另外，加密能夠降低所傳輸的信息被盜竊的風險。密匙作為物聯網安全技術的基礎，它就像一把大門的鑰匙一樣，在網絡安全中起著決定性作用。

但是適用于物聯網的信息加密方案應能保證以下兩點：一是能適應感知節點有限的資源。二是能夠保證攻擊者無法或很難從已獲取的節點信息中推導出其他節點的信息。滿足了這兩點，物聯網在傳輸過程中的安全性才能夠得到一定的保障。此外，應加強傳輸層的跨域認證和跨網認證的研究。通過認證，進行通信的雙方能夠確認對方的真實身份。由于物聯網主要是人與物、物與物之間的無線通信，相比于傳統網絡，物聯網環境下的訪問控制機制要復雜的多。由于物聯網要實現“無處不在的感知”、“物物互聯”的功能，在其應用中要用到大量的傳感器節點且種類各異，因此，在加密方式和認證方式上存在很大的挑戰性。

物聯網密鑰管理系統面臨兩個主要問題：一是如何構建一個貫穿多個網絡的統一密鑰管理系統，并與物聯網的體系結構相適應；二是如何解決傳感網的密鑰管理問題，如密鑰的分配、更新、組播等問題。

實現統一的密鑰管理系統可以采用兩種方式：一是以互聯網為中心的集中式管理方式。二是以各自網絡為中心的分布式管理方式。

無線傳感器網絡的密鑰管理系統的設計在很大程度上受到其自身特征的限制，因此在設計需求上與有線網絡和傳統的資源不受限制的無線網絡有所不同，特別要充分考慮到無線傳感器網絡傳感節點的限制和網絡組網與路由的特征。它的安全需求主要體現在：

1.密鑰生成或更新算法的安全性：利用該算法生成的密鑰應具備一定的安全強度，不能被網絡攻擊者輕易破解或者花很小的代價破解。也即是加密后保障數據包的機密性。

2.前向私密性：對中途退出傳感器網絡或者被俘獲的惡意節點，在周期性的密鑰更新或者撤銷后無法再利用先前所獲知的密鑰信息生成合法的密鑰繼續參與網絡通信，即無法參加與報文解密或者生成有效的可認證的報文。

3.后向私密性和可擴展性：新加入傳感器網絡的合法節點可利用新分發或者周期性更新的密鑰參與網絡的正常通信，即進行報文的加解密和認證行為等。而且能夠保障網絡是可擴展的，即允許大量新節點的加入。

4.抗同謀攻擊：在傳感器網絡中，若干節點被俘獲后，其所掌握的密鑰信息可能會造成網絡局部范圍的泄密，但不應對整個網絡的運行造成破壞性或損毀性的后果即密鑰系統要具有抗同謀攻擊。

5.源端認證性和新鮮性：源端認證要求發送方身份的可認證性和消息的可認證性，即任何一個網絡數據包都能通過認證和追蹤尋找到其發送源，且是不可否認的。新鮮性則保證合法的節點在一定的延遲許可內能收到所需要的信息。新鮮性除了和密鑰管理方案緊密相關外，與傳感器網絡的時間同步技術和路由算法也有很大的關聯。

根據這些要求，在密鑰管理系統的實現方法中，人們提出了基于對稱密鑰系統的方法和基于非對稱密鑰系統的方法。在基于對稱密鑰的管理系統方面，從分配方式上也可分為以下三類：基于密鑰分配中心方式、預分配方式和基于分組分簇方式。與非對稱密鑰系統相比，對稱密鑰系統在計算復雜度方面具有優勢，但在密鑰管理和安全性方面卻有不足。特別是在物聯網環境下，如何實現與其他網絡的密鑰管理系統的融合是值得探討的問題。為此，人們將非對稱密鑰系統也應用于無線傳感器網絡。

近幾年作為非對稱密鑰系統的基于身份標識的加密算法（identity—basedencryption，IBE）引起了人們的關注。該算法的主要思想是加密的公鑰不需要從公鑰證書中獲得，而是直接使用標識用戶身份的字符串。其中比較優秀的是由Boneh等提出的IBE算法實現。

（三）應用層安全措施

應用層處理傳輸來的海量感知數據，進行存儲、計算，對于這一層的網絡防護，可以遵循以下幾條原則。

1.隱私原則：允許用戶本著自愿的原則，根據個人需要，與移動通信運營商、物聯網服務提供商協商設計個人信息的使用范圍以及進行必要的協議簽訂，使終端用戶的安全和隱私得到保障。

2.身份匿名：將個人敏感信息用匿名編碼代替或者進行加密，防止攻擊者直接使用竊取的個人數據信息。

3.數據混淆：利用“騙”的方法，即采用必要的算法，對涉及的個人資料與別的信息進行置換和混淆，避免被攻擊者直接竊取和使用。

4.加強數據庫的訪問控制策略：應根據安全級別或身份限制其權限和操作，可以采用身份驗證的方法進行實現。

五、糧食物聯網安全要點

在智能糧庫中涉及到大量的物聯網設備，在出入庫、智能倉儲、糧情監控、智能安防等多個環節都涉及到物聯網安全問題。根據筆者的實踐經驗，糧食物聯網安全關鍵點如下：

（一）物聯設備采用標準化協議連接。通過協議標準化，可以實現針對協議內容的加密傳輸和處理，避免出現數據泄露或身份冒充等情況。我們推薦采用標準的MQTT協議，這個協議在網絡層、傳輸層、應用層都提供了較好的安全機制。同時，通過協議的標準化，可以實現設備的廠商無關性，避免廠商設備安全引發的連鎖問題。

（二）智能物聯設備，包括智能門窗、熏蒸等有處理能力的物聯設備，必須對管理口令進行強制檢查，確保不會因為弱口令被攻破。可以采用云的統一配置管理工具，實現對多個智能設備的口令記錄和保護。

（三）物聯設備和應用層之間，必須設置二次校驗機制，確保在一端被控制的情況下，另一端不會由于簡單的信任機制也被攻破。同樣，物聯設備之間的連接也需要設置二次校驗，以防止同謀攻擊。

（四）物聯設備的軟件需要定期檢查、升級和打補丁，以免由于軟件漏洞導致系統風險。由于很多物聯設備的軟件都是來自開源社區，因此在系統上線時，以及運維過程中，需要對軟件進行掃描和監控，及時進行補丁和升級。

作者單位：怡和祥云（北京）科技有限公司