中高速?gòu)V域融合物聯(lián)網(wǎng)安全技術(shù)研究

文海 孫長(zhǎng)征

摘 要：為滿足大規(guī)模部署、多業(yè)務(wù)融合、低成本剛需、高時(shí)效反應(yīng)、低功耗要求等應(yīng)用需求，文中提出了中高速?gòu)V域融合物聯(lián)網(wǎng)技術(shù)。通過(guò)對(duì)比傳統(tǒng)物聯(lián)網(wǎng)技術(shù)，重點(diǎn)分析了感知層的安全問(wèn)題，并結(jié)合終端設(shè)備輕量級(jí)、低功耗的特性，從加解密算法、終端設(shè)備加固、整體安全防護(hù)等三個(gè)方面，給出了安全技術(shù)解決方案。結(jié)果表明：相對(duì)于現(xiàn)有傳統(tǒng)物聯(lián)網(wǎng)技術(shù)，中高速?gòu)V域融合物聯(lián)網(wǎng)技術(shù)具有更高的安全性。

關(guān)鍵詞：通信技術(shù)；中高速?gòu)V域融合物聯(lián)網(wǎng)；感知層；安全方案；終端設(shè)備；輕量級(jí)系統(tǒng)

中圖分類號(hào)：TP393；TN923；TN918 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-1302（2018）04-00-03

0 引 言

物聯(lián)網(wǎng)是當(dāng)今世界新一輪經(jīng)濟(jì)和科技發(fā)展的戰(zhàn)略制高點(diǎn)，其通信技術(shù)主要是無(wú)線通信，可按傳輸距離分為兩類[1]：一類是短距離局域網(wǎng)技術(shù)，以ZigBee，WiFi，BlueTooth，Spider，6LoWPAN，Z-wave等為代表，適用于小規(guī)模應(yīng)用；另一類是長(zhǎng)距離廣域網(wǎng)技術(shù)[2，3]，適用于大規(guī)模應(yīng)用，以LoRa，SigFox，NB-IoT，GPRS/2G/3G/4G等為代表。在廣域網(wǎng)技術(shù)中，目前應(yīng)用最成熟的是LoRa和SigFox，它們均工作在免授權(quán)頻段，無(wú)需定期向運(yùn)營(yíng)商付費(fèi)，但通信速率較低，不足40 kbit/s。隨著物聯(lián)網(wǎng)行業(yè)應(yīng)用日益普及，現(xiàn)有通信技術(shù)很難同時(shí)滿足大規(guī)模部署、多業(yè)務(wù)融合、低成本剛需、高時(shí)效反應(yīng)、低功耗要求等眾多應(yīng)用需求。為此，文中提出了中高速?gòu)V域融合物聯(lián)網(wǎng)技術(shù)，即WF-IoT。當(dāng)前，在智慧照明領(lǐng)域WF-IoT已形成了完整的產(chǎn)業(yè)生態(tài)。為更好地推動(dòng)WF-IoT在其他行業(yè)領(lǐng)域的應(yīng)用，需要對(duì)WF-IoT的安全問(wèn)題及安全技術(shù)進(jìn)行研究。

1 WF-IoT概述

WF-IoT是一種基于RFID的低功耗廣域網(wǎng)通信技術(shù)[4]，是在Air Lamp商用物聯(lián)網(wǎng)照明組網(wǎng)控制協(xié)議基礎(chǔ)上發(fā)展成熟的超遠(yuǎn)距離無(wú)線傳輸方案。該方案為用戶提供了一種可實(shí)現(xiàn)遠(yuǎn)距離、大容量、中高速、免付費(fèi)、低功耗等功能的物聯(lián)網(wǎng)系統(tǒng)。

2015年6月，經(jīng)國(guó)家低碳產(chǎn)業(yè)投資中心授權(quán)，由西安優(yōu)勢(shì)物聯(lián)網(wǎng)科技有限公司發(fā)起并成立了開(kāi)放的、非盈利的綠色照明產(chǎn)業(yè)投資聯(lián)盟。在兩年多時(shí)間內(nèi)，該聯(lián)盟已發(fā)展成員單位近百家，包含了從終端硬件生產(chǎn)商、芯片制造商、模塊網(wǎng)關(guān)生產(chǎn)商到軟件廠商、系統(tǒng)集成商等諸多單位。這種技術(shù)的開(kāi)放性、競(jìng)爭(zhēng)與合作的充分性使WF-IoT得到了快速發(fā)展，目前已形成了完整的產(chǎn)業(yè)生態(tài)。

WF-IoT網(wǎng)絡(luò)主要包括終端（內(nèi)置WF-IoT模塊）、網(wǎng)關(guān)（有時(shí)稱基站）、服務(wù)器和云等，應(yīng)用數(shù)據(jù)為雙向傳輸，其網(wǎng)絡(luò)架構(gòu)如圖1所示。

WF-IoT采用網(wǎng)狀自由組網(wǎng)方式，單個(gè)網(wǎng)關(guān)可接入65 000多個(gè)節(jié)點(diǎn)，滿足大規(guī)模部署需求；工作在國(guó)家標(biāo)準(zhǔn)預(yù)留的780MHz和2.4 GHz射頻識(shí)別頻段[5]，既符合國(guó)家無(wú)線電委員會(huì)的規(guī)定，又無(wú)需支付額外費(fèi)用，滿足了低成本要求；通信速率高達(dá)1 Mbit/s，既可承載多個(gè)業(yè)務(wù)應(yīng)用，又能以中高速率實(shí)現(xiàn)數(shù)據(jù)傳輸，業(yè)務(wù)反應(yīng)時(shí)間更短；終端設(shè)備搭載輕量級(jí)、低功耗系統(tǒng)，采取單芯片集成和低功耗技術(shù)，設(shè)備更節(jié)能、可靠，壽命更長(zhǎng)。

2 WF-IoT面臨的主要安全問(wèn)題

WF-IoT與傳統(tǒng)物聯(lián)網(wǎng)一樣，分為感知層、傳輸層和應(yīng)用層等三個(gè)邏輯層次[6，7]。其中，應(yīng)用層從底層采集數(shù)據(jù)，形成與業(yè)務(wù)需求相適應(yīng)的、實(shí)時(shí)更新的動(dòng)態(tài)數(shù)據(jù)資源庫(kù)，為各類業(yè)務(wù)提供統(tǒng)一的信息資源支撐，最終實(shí)現(xiàn)物聯(lián)網(wǎng)在各行業(yè)領(lǐng)域的應(yīng)用；傳輸層主要完成接入和傳輸功能，是信息交換和信息傳遞的數(shù)據(jù)通路；感知層由各種具有感知能力的設(shè)備組成，主要感知和采集物理世界的事件和數(shù)據(jù)。因此WF-IoT和傳統(tǒng)物聯(lián)網(wǎng)一樣會(huì)面臨安全問(wèn)題，主要問(wèn)題見(jiàn)表1所列。

從表1可以看出，雖然WF-IoT面臨的安全問(wèn)題與傳統(tǒng)物聯(lián)網(wǎng)差異不大，但WF-IoT屬于低功耗物聯(lián)網(wǎng)，在具體安全方面與傳統(tǒng)物聯(lián)網(wǎng)[8]存在較大差別。例如，傳統(tǒng)物聯(lián)網(wǎng)設(shè)備搭載的系統(tǒng)一般具有較強(qiáng)的運(yùn)算能力，功耗高，使用復(fù)雜的網(wǎng)絡(luò)傳輸協(xié)議和更嚴(yán)密的安全加固方案；而WF-IoT設(shè)備具有運(yùn)算能力弱、功耗低等特點(diǎn)，其嵌入式系統(tǒng)也更加輕量，更容易被攻擊者掌握系統(tǒng)的完整信息，同類安全問(wèn)題更容易對(duì)WF-IoT造成威脅，甚至簡(jiǎn)單的資源消耗都可能導(dǎo)致拒絕服務(wù)。此外，在實(shí)際部署中，WF-IoT的終端數(shù)量相比傳統(tǒng)物聯(lián)網(wǎng)更多，任何細(xì)微的危險(xiǎn)或隱患都可能造成較大的安全事故。

鑒于WF-IoT終端設(shè)備為輕量級(jí)、低功耗系統(tǒng)，傳統(tǒng)的大型系統(tǒng)所具有的安全問(wèn)題和人機(jī)交互涉及的安全問(wèn)題范圍將極大地縮小，主要安全問(wèn)題均集中在感知層的終端上[9，10]。同時(shí)，WF-IoT一般會(huì)部署海量終端，一旦感知層終端出現(xiàn)安全問(wèn)題，就會(huì)迅速擴(kuò)大到整個(gè)網(wǎng)絡(luò)。圖2描述了WF-IoT感知層面臨的主要安全問(wèn)題。

3 WF-IoT的安全技術(shù)策略

相對(duì)于傳統(tǒng)物聯(lián)網(wǎng)來(lái)說(shuō)，解決WF-IoT面臨的安全問(wèn)題，需要在低運(yùn)算能力的條件下完成。因此，圍繞感知層終端設(shè)備，應(yīng)用輕量級(jí)安全技術(shù)就變得十分重要。

3.1 應(yīng)用輕量級(jí)加解密技術(shù)

由于WF-IoT系統(tǒng)的輕量級(jí)、低功耗特點(diǎn)，導(dǎo)致終端設(shè)備的運(yùn)算能力較弱，在通信過(guò)程中很難在安全性和性能間找到平衡。所以在身份認(rèn)證和數(shù)據(jù)校驗(yàn)方面可能存在較大的安全隱患，很可能被攻擊者利用，如偽造終端設(shè)備和網(wǎng)關(guān)通信，發(fā)送虛假消息、截獲敏感信息等。由此可以看出，在實(shí)際應(yīng)用中，安全的數(shù)據(jù)加密作用顯著。為適應(yīng)物聯(lián)網(wǎng)的發(fā)展，目前已有密碼學(xué)者提出了很多輕量級(jí)分組密碼算法[11]。其中，比較知名的輕量級(jí)分組加密算法有LBlock，PRESENT，HIGHT，CGEN，MIBS等。WF-IoT采用了面向硬件的HIGHT加解密算法。該算法的分組長(zhǎng)度為64 B，密鑰長(zhǎng)度為128 B，支持32輪中間迭代結(jié)構(gòu)，是一種成熟的、超輕量級(jí)的密碼算法。

3.2 終端設(shè)備的安全加固策略

終端設(shè)備的安全加固對(duì)于提高物聯(lián)網(wǎng)感知層安全水平具有重要意義。在WF-IoT中，主要從終端設(shè)備固件的自身安全、終端設(shè)備與網(wǎng)關(guān)的通信安全和具體業(yè)務(wù)的機(jī)制安全等三個(gè)方面，提出了終端設(shè)備的安全加固策略。

3.2.1 終端設(shè)備固件的自身安全策略

目前，為使終端設(shè)備固件更加輕量化，絕大多數(shù)物聯(lián)網(wǎng)終端設(shè)備的本地應(yīng)用存在信息泄露和易受攻擊等風(fēng)險(xiǎn)。如數(shù)據(jù)處理、存儲(chǔ)等過(guò)程未加密，終端使用明文固件等。

為提高固件的自身安全水平，在WF-IoT終端設(shè)備的開(kāi)發(fā)中主要采取了堅(jiān)持最小化原則，不附加其他協(xié)議；在芯片開(kāi)發(fā)時(shí)，避免固件代碼植入、任意代碼執(zhí)行等；采用安全的加密算法；在設(shè)備更新升級(jí)時(shí)，強(qiáng)制進(jìn)行固件更新檢查與固件完整性檢查；在軟件開(kāi)發(fā)過(guò)程中，針對(duì)設(shè)備綁定漏洞、敏感信息泄露等安全問(wèn)題采取防范措施；保護(hù)好硬件開(kāi)發(fā)過(guò)程中的調(diào)試端口等策略。

3.2.2 終端設(shè)備與網(wǎng)關(guān)的通信安全策略

目前，傳統(tǒng)物聯(lián)網(wǎng)終端設(shè)備與網(wǎng)關(guān)通信時(shí)，傳輸層大多采用不穩(wěn)定的UDP協(xié)議，應(yīng)用層采用HTTP，XMPP，MQTT，CoAP等通用協(xié)議，易被監(jiān)聽(tīng)、劫持，存在較大的安全隱患。

為確保終端設(shè)備與網(wǎng)關(guān)的通信安全，WF-IoT在傳輸層和應(yīng)用層采用專用協(xié)議。該協(xié)議是在Air Lamp組網(wǎng)控制協(xié)議基礎(chǔ)上增加加解密處理而發(fā)展起來(lái)的專用協(xié)議。

3.2.3 具體業(yè)務(wù)的機(jī)制安全策略

由于WF-IoT具有覆蓋廣、連接多、速率高、免付費(fèi)、功耗低等特點(diǎn)，可滿足對(duì)大容量、深覆蓋、低功耗、安全性和經(jīng)濟(jì)性有要求的應(yīng)用，適用于靜態(tài)、動(dòng)態(tài)、固定、移動(dòng)、實(shí)時(shí)傳輸數(shù)據(jù)等場(chǎng)景，可處理自主異常報(bào)警、自主周期報(bào)告、遠(yuǎn)程控制指令、數(shù)據(jù)遠(yuǎn)程同步等四類業(yè)務(wù)。其中，自主異常報(bào)警和周期報(bào)告業(yè)務(wù)中，漏報(bào)和誤報(bào)是最大的安全問(wèn)題；遠(yuǎn)程控制指令業(yè)務(wù)可能存在惡意指令的風(fēng)險(xiǎn)；數(shù)據(jù)遠(yuǎn)程同步業(yè)務(wù)需要確保同步的加密認(rèn)證。

為此，在業(yè)務(wù)安全方面，制定了合理的心跳控制策略，以確認(rèn)終端設(shè)備的狀態(tài)是否良好；建立了完善的設(shè)備故障排查機(jī)制，以降低漏報(bào)和誤報(bào)率；此外，還制定了合理的指令控制策略，以抵御一定程度上的惡意操控等。

3.3 整體的安全防護(hù)策略

目前，WF-IoT還未發(fā)展成熟，安全建設(shè)尚在起步階段，感知層終端設(shè)備的安全不能與其他層次割裂開(kāi)，需要考慮整體的安全防護(hù)策略。如增加固件的完整性驗(yàn)證機(jī)制，保證終端設(shè)備的正常升級(jí)，同時(shí)防止攻擊者偽造終端設(shè)備的行為；建立終端訪問(wèn)的身份安全認(rèn)證機(jī)制，防止攻擊者的惡意連接或操作，在一定程度上抵御來(lái)自網(wǎng)絡(luò)的拒絕服務(wù)攻擊；制定終端運(yùn)維策略，其應(yīng)用場(chǎng)景需考慮無(wú)人值守、能力受限等因素，設(shè)計(jì)和實(shí)現(xiàn)對(duì)終端設(shè)備的態(tài)勢(shì)感知系統(tǒng)，掌控終端設(shè)備的固件信息、運(yùn)行狀態(tài)等。

4 結(jié) 語(yǔ)

通過(guò)分析WF-IoT和傳統(tǒng)物聯(lián)網(wǎng)面臨的主要安全問(wèn)題，重點(diǎn)研究了WF-IoT感知層的安全問(wèn)題，并針對(duì)所面臨的安全問(wèn)題，從應(yīng)用輕量級(jí)加解密算法、終端設(shè)備的安全加固、整體安全防護(hù)策略三個(gè)方面，提出了輕量級(jí)安全技術(shù)策略的解決方案，使WF-IoT相比現(xiàn)有傳統(tǒng)物聯(lián)網(wǎng)技術(shù)具有更高的安全性，滿足更多的物聯(lián)網(wǎng)應(yīng)用需求。

參考文獻(xiàn)

[1]東輝，唐景然，于東興.物聯(lián)網(wǎng)通信技術(shù)的發(fā)展現(xiàn)狀及趨勢(shì)綜述[J].通信技術(shù)，2014，47（11）：1233- 1239.

[2]李俊畫.淺析物聯(lián)網(wǎng)通信技術(shù)[J].現(xiàn)代傳輸，2017（5）：57-60.

[3]楊旻.NB-IoT低速率窄帶物聯(lián)網(wǎng)通信技術(shù)現(xiàn)狀研究及發(fā)展趨勢(shì)分析[J].華東科技（學(xué)術(shù)版），2017（5）： 22-22.

[4]鄭寧，楊曦，吳雙力.低功耗廣域網(wǎng)絡(luò)技術(shù)綜述[J].信息通信技術(shù)，2017，11（1）：47-54.

[5]齊曰霞，韓正之.2.4 GHz頻段無(wú)線技術(shù)標(biāo)準(zhǔn)[J].現(xiàn)代電子技術(shù)，2011，34（9）：35-37.

[6]彭勇，謝豐，郭曉靜，等.物聯(lián)網(wǎng)安全問(wèn)題對(duì)策研究[J].信息網(wǎng)絡(luò)安全，2011（10）：4-6.

[7]文海，楊蓬正，李青鈺.試驗(yàn)部隊(duì)科研固定資產(chǎn)管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].兵器裝備工程學(xué)報(bào)，2017，38（3）：93-97.

[8]李云飛.淺析物聯(lián)網(wǎng)射頻識(shí)別技術(shù)安全問(wèn)題及對(duì)策[J]. 計(jì)算機(jī)光盤軟件與應(yīng)用，2011（22）：134.

[9]王素蘋.物聯(lián)網(wǎng)感知層安全性研究綜述[J].傳感器與微系統(tǒng)，2015，34（6）：6-9.

[10]雷吉成.物聯(lián)網(wǎng)安全技術(shù)[M].北京：電子工業(yè)出版社，2012：34-35.

[11]汪亞.適用于RFID的輕量級(jí)密碼算法研究綜述[J]. 計(jì)算機(jī)應(yīng)用與軟件，2017，34（1）：9-14.