物聯(lián)網(wǎng)的安全分析

谷呈星，趙訓(xùn)威，2*

（1.上海電力大學(xué)，上海 201306；2.國(guó)網(wǎng)信息通信產(chǎn)業(yè)集團(tuán)有限公司，北京 100032）

在1999 年，Ashton[1]創(chuàng)造了物聯(lián)網(wǎng)這個(gè)術(shù)語(yǔ)，物聯(lián)網(wǎng)是在互聯(lián)網(wǎng)的基礎(chǔ)上，利用射頻識(shí)別、無(wú)線通信、傳感器等技術(shù)，實(shí)現(xiàn)物品自動(dòng)識(shí)別和信息互聯(lián)與共享的網(wǎng)絡(luò)。物聯(lián)網(wǎng)改變了從現(xiàn)實(shí)世界獲取數(shù)據(jù)的方式，在工業(yè)、農(nóng)業(yè)、醫(yī)療等諸多領(lǐng)域有廣泛應(yīng)用，物聯(lián)網(wǎng)設(shè)備可以在沒(méi)有人工干預(yù)的情況下收集數(shù)據(jù)、分析數(shù)據(jù)、做出決策并采取行動(dòng)。根據(jù)我國(guó)物聯(lián)網(wǎng)行業(yè)白皮書(shū)的估計(jì)，到2023 年，中國(guó)將有148 億臺(tái)物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng)。然而，大量的物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng)上會(huì)產(chǎn)生許多漏洞，而且物聯(lián)網(wǎng)結(jié)合了多種易產(chǎn)生安全風(fēng)險(xiǎn)的技術(shù)，如無(wú)線傳感器網(wǎng)絡(luò)、光學(xué)網(wǎng)絡(luò)、2G/3G 通信網(wǎng)絡(luò)等，這會(huì)使物聯(lián)網(wǎng)面臨各種各樣的安全威脅。賽門鐵克公司第23 期的互聯(lián)網(wǎng)安全威脅報(bào)告中指出，在2017 年物聯(lián)網(wǎng)攻擊事件的總數(shù)增長(zhǎng)了600%。復(fù)雜的網(wǎng)絡(luò)攻擊已經(jīng)給人類社會(huì)帶來(lái)了災(zāi)難性的后果，2015 年12 月，烏克蘭電網(wǎng)遭到網(wǎng)絡(luò)襲擊，導(dǎo)致140萬(wàn)人斷電[2]。2010 年，伊朗的核設(shè)施感染了一種名為“震網(wǎng)”的病毒，導(dǎo)致軍事裝備被摧毀[3]。因此，研究物聯(lián)網(wǎng)的安全問(wèn)題具有重要意義。

許多的研究工作分析了物聯(lián)網(wǎng)架構(gòu)中每一層的安全挑戰(zhàn)、威脅和對(duì)策[4-5]。其中，物聯(lián)網(wǎng)架構(gòu)中通信層的安全問(wèn)題最復(fù)雜，其原因是通信層中有各種通信協(xié)議以及連接到物聯(lián)網(wǎng)的設(shè)備數(shù)量大且種類多。本文闡述了物聯(lián)網(wǎng)設(shè)備的特點(diǎn)、物聯(lián)網(wǎng)的安全需求和物聯(lián)網(wǎng)的四層架構(gòu)。概括了四層架構(gòu)中每一層的安全威脅并提出了一些應(yīng)對(duì)措施，詳細(xì)分析了通信層中協(xié)議的安全機(jī)制以及局限性，為進(jìn)一步提升物聯(lián)網(wǎng)安全提供參考。

1 物聯(lián)網(wǎng)概述

1.1 物聯(lián)網(wǎng)設(shè)備的特點(diǎn)

物聯(lián)網(wǎng)中含有數(shù)以百億計(jì)的通信設(shè)備，這些設(shè)備具有以下特點(diǎn)。

標(biāo)識(shí)：每個(gè)物聯(lián)網(wǎng)設(shè)備要有一個(gè)標(biāo)識(shí)，例如IPv4/6 地址，用來(lái)與其他設(shè)備通信。

傳感：各種傳感器用于從物理環(huán)境中收集數(shù)據(jù)。

通信：對(duì)象與用戶或?qū)ο笈c對(duì)象之間互連使用的方法。

計(jì)算：處理獲得的信息，刪除冗余信息。

服務(wù)：對(duì)象根據(jù)從物理環(huán)境接收的信息向用戶提供服務(wù)。

語(yǔ)義：物聯(lián)網(wǎng)中的對(duì)象能夠從環(huán)境中獲取正確的信息，并在適當(dāng)?shù)臅r(shí)候?qū)⑦@些信息變成服務(wù)。

1.2 物聯(lián)網(wǎng)中的安全要求

在物聯(lián)網(wǎng)的安全機(jī)制中，有以下6 個(gè)關(guān)鍵的安全要求。

身份驗(yàn)證及授權(quán)：互聯(lián)網(wǎng)中存在大量的物聯(lián)網(wǎng)設(shè)備，為了能夠發(fā)送和接收數(shù)據(jù)，這些設(shè)備需要進(jìn)行自我認(rèn)證。用戶在被授予訪問(wèn)權(quán)限后才能對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行讀寫操作。如果身份驗(yàn)證和授權(quán)受到威脅，那么非法用戶可能會(huì)獲得讀取、寫入敏感數(shù)據(jù)的權(quán)限。

機(jī)密性：要求敏感或機(jī)密信息不會(huì)泄露給非授權(quán)的用戶，通過(guò)某些措施來(lái)限制非授權(quán)用戶對(duì)信息的訪問(wèn)。如果起搏器等醫(yī)療物聯(lián)網(wǎng)設(shè)備的敏感信息被非法用戶截獲，就可能會(huì)給病人帶來(lái)生命危險(xiǎn)。

完整性：確保傳遞的數(shù)據(jù)是完整的、準(zhǔn)確的，且沒(méi)有被篡改的。物聯(lián)網(wǎng)設(shè)備是通過(guò)處理命令控制的，因此保證命令的完整性是非常重要的。對(duì)完整性的威脅可能會(huì)帶來(lái)災(zāi)難性的后果。

可用性：保證了系統(tǒng)的正常運(yùn)行，并按照要求不間斷地提供服務(wù)。這一要求對(duì)任務(wù)關(guān)鍵型應(yīng)用場(chǎng)景至關(guān)重要，如智能電網(wǎng)、水系統(tǒng)、電力和安全系統(tǒng)等。

不可否認(rèn)性：讓用戶承擔(dān)責(zé)任并防止他們否認(rèn)自己行為的要求。這一要求與認(rèn)證相關(guān)，關(guān)系到啟動(dòng)和維護(hù)通信的信任問(wèn)題。

訪問(wèn)控制：規(guī)定了用戶與設(shè)備或設(shè)備與設(shè)備之間的訪問(wèn)權(quán)限，還規(guī)定了授權(quán)用戶或設(shè)備的權(quán)力大小，在必要時(shí)刻，將訪問(wèn)權(quán)限的權(quán)力降至最小可以降低威脅風(fēng)險(xiǎn)。

1.3 物聯(lián)網(wǎng)的通信架構(gòu)

許多研究工作提出了物聯(lián)網(wǎng)架構(gòu)的模型，包括三層、四層、五層模型[6]。本文采用物聯(lián)網(wǎng)架構(gòu)的四層模型。如圖1 所示給出了物聯(lián)網(wǎng)的四層架構(gòu)及通信層各子層常用的協(xié)議。

圖1 物聯(lián)網(wǎng)的四層架構(gòu)及通信層各子層常用的協(xié)議

四層模型分為感知層、通信層、平臺(tái)層和應(yīng)用層。感知層通過(guò)各種類型的傳感器收集信息并識(shí)別物理世界。感知層的技術(shù)主要有射頻識(shí)別、NFC、傳感器等。通信層是支持事物之間無(wú)線或有線連接的基礎(chǔ)設(shè)施，提供無(wú)處不在的信息訪問(wèn)、數(shù)據(jù)傳輸，承擔(dān)著各層之間信息的交換，主要的技術(shù)是基于IP 協(xié)議的無(wú)線通信技術(shù)。平臺(tái)層的作用是增強(qiáng)其他各層的運(yùn)行能力，提供存儲(chǔ)和計(jì)算服務(wù)。這一層的主要技術(shù)是云/邊緣計(jì)算。應(yīng)用層中有根據(jù)用戶需求和行業(yè)規(guī)范開(kāi)發(fā)的應(yīng)用程序。

物聯(lián)網(wǎng)與傳統(tǒng)的通信在安全方面有較大差異，物聯(lián)網(wǎng)設(shè)備采用內(nèi)置安全模式、輕量級(jí)算法，具有成本低、資源受限、設(shè)備異構(gòu)性大、功能優(yōu)先于安全的特點(diǎn)。因此，電氣與電子工程師協(xié)會(huì)和互聯(lián)網(wǎng)工程任務(wù)組設(shè)計(jì)了新的通信和安全協(xié)議，協(xié)議的設(shè)計(jì)符合低功耗傳感裝置和低速率無(wú)線通信的要求。通信層由物理（PHY）層、媒體訪問(wèn)控制（MAC）層、適配層、網(wǎng)絡(luò)層、應(yīng)用層五個(gè)子層構(gòu)成。PHY 層和MAC 層可用IEEE802.15.4 協(xié)議，適配層采用低速無(wú)線個(gè)域網(wǎng)標(biāo)準(zhǔn)（6LoWPAN），網(wǎng)絡(luò)層采用低功耗有損網(wǎng)絡(luò)路由協(xié)議（RPL），應(yīng)用層采用受限應(yīng)用協(xié)議（CoAP）。

2 物聯(lián)網(wǎng)的安全威脅及應(yīng)對(duì)措施

2.1 感知層

感知層有大量的物聯(lián)網(wǎng)設(shè)備，易受到地震、臺(tái)風(fēng)、洪水等自然災(zāi)害的威脅，也易受到火災(zāi)、化學(xué)事故等環(huán)境的威脅，還易受到人類的蓄意破壞，如竊聽(tīng)、設(shè)備篡改和濫用等。應(yīng)對(duì)災(zāi)害和環(huán)境威脅有一些措施，比如將傳感器放到安全的位置，設(shè)計(jì)減災(zāi)程序和恢復(fù)機(jī)制，提高傳感器的抗破壞能力等。應(yīng)對(duì)人為威脅的措施主要是建立用戶認(rèn)證系統(tǒng)、物理訪問(wèn)控制機(jī)制和信任框架。確保只有合法的用戶和對(duì)象才能訪問(wèn)物理設(shè)備及其信息。

2.2 通信層

目前，針對(duì)通信層的攻擊主要有干擾攻擊、選擇性轉(zhuǎn)發(fā)攻擊、天坑攻擊、蠕蟲(chóng)攻擊、女巫攻擊、流量分析攻擊和中間人攻擊等。有效的應(yīng)對(duì)措施有端到端加密，保護(hù)路由安全以及使用入侵檢測(cè)和安全防御系統(tǒng)（IDPS）等。詳細(xì)的通信層協(xié)議的安全機(jī)制見(jiàn)第3 節(jié)。

2.3 平臺(tái)層

平臺(tái)層需要處理大量的數(shù)據(jù)，在數(shù)據(jù)庫(kù)安全方面最容易受到威脅。未經(jīng)授權(quán)的訪問(wèn)、惡意內(nèi)部人員的攻擊、不安全的軟件等是平臺(tái)層面臨的主要威脅。為了應(yīng)對(duì)這些威脅，平臺(tái)層可以采用以下措施：第一，建立遠(yuǎn)程認(rèn)證系統(tǒng)、訪問(wèn)控制機(jī)制和信任框架，確保只有合法的用戶和對(duì)象才能使用系統(tǒng)存儲(chǔ)的服務(wù)和數(shù)據(jù)。第二，運(yùn)用安全編程技術(shù)、防火墻和IDPS 系統(tǒng)，防止數(shù)據(jù)丟失或泄露。最后，為了防止內(nèi)部人員的惡意攻擊，可以建立嚴(yán)格的管理和安全規(guī)則以及提高整個(gè)信息安全和管理流程的透明度。

2.4 應(yīng)用層

應(yīng)用層會(huì)根據(jù)用戶的需求提供服務(wù)。社會(huì)工程技術(shù)攻擊、緩沖區(qū)溢出攻擊和后門攻擊是應(yīng)用層的主要威脅。大力宣傳和教育，提高用戶的安全意識(shí)是應(yīng)對(duì)社會(huì)工程技術(shù)攻擊的有效手段。安全編程是應(yīng)對(duì)緩沖區(qū)溢出攻擊和后門攻擊的主要措施，增強(qiáng)操作系統(tǒng)的安全性也是提高應(yīng)用層安全性的方法。

3 通信層協(xié)議的安全分析

物聯(lián)網(wǎng)協(xié)議集成了重要的安全機(jī)制來(lái)滿足前面提到的安全要求。本文討論了IEEE 802.15.4 協(xié)議、6LoWPAN協(xié)議、RPL 協(xié)議、CoAP 協(xié)議的安全機(jī)制和局限性。

3.1 IEEE 802.15.4 協(xié)議

IEEE 802.15.4 協(xié)議負(fù)責(zé)管理PHY 和MAC 子層的通信，控制PHY 和MAC 子層上信息的傳輸。在PHY 子層，它負(fù)責(zé)監(jiān)督無(wú)線電頻率、管理信號(hào)和確定通信信道。它在MAC 子層上提供安全機(jī)制，且具有處理數(shù)據(jù)、節(jié)點(diǎn)關(guān)聯(lián)、包驗(yàn)證等功能。

首先，IEEE 802.15.4 中安全服務(wù)是非強(qiáng)制性的。幀控制字段中的安全啟用位（SEB）決定了是否啟用安全服務(wù)。身份驗(yàn)證安全報(bào)頭（ASH）字段決定了需要使用的安全模式的類型。其次，雖然IEEE 802.15.4 協(xié)議提供的安全機(jī)制在MAC 子層，但是這些安全機(jī)制對(duì)物聯(lián)網(wǎng)通信協(xié)議棧的安全也非常重要。比如，只要求信息加密的應(yīng)用程序可以用計(jì)數(shù)器安全模式（AES-CTR）加密。需要數(shù)據(jù)完整性和不可否認(rèn)性的應(yīng)用程序可以用加密區(qū)塊鏈（AESCBC）安全模式加密。最后，IEEE 802.15.4 協(xié)議設(shè)計(jì)了應(yīng)對(duì)重放攻擊的方案，并且還帶有訪問(wèn)控制表（access control list，ACL），支持訪問(wèn)控制功能。

盡管IEEE 802.15.4 協(xié)議包含了重要的安全機(jī)制，但它也有一些局限性。它不能保證確認(rèn)消息（ACK）的完整性和不可否認(rèn)性，這使攻擊者偽造確認(rèn)消息并執(zhí)行各種DoS 攻擊成為可能。ACL 不能有效地管理采用了相同加密的密鑰記錄，這會(huì)導(dǎo)致在使用流密碼加密時(shí)，如果發(fā)送者多次使用同一個(gè)密鑰加解密，攻擊者不需要知道密鑰就能成功破解密文。除此之外，在某些情況下，如ACL數(shù)據(jù)被擦除，密鑰也可能會(huì)被重新使用。

3.2 6LoWPAN 協(xié)議

因?yàn)槲锫?lián)網(wǎng)設(shè)備的數(shù)量已經(jīng)達(dá)到了百億級(jí)別，所以需要采用IPv6 地址作為標(biāo)識(shí)地址。低功率無(wú)線個(gè)人區(qū)域網(wǎng)（WPANs）中IEEE 802.15.4 最大物理層數(shù)據(jù)報(bào)文長(zhǎng)度為127 個(gè)字節(jié)，而IPv6 要求數(shù)據(jù)報(bào)文長(zhǎng)度最小為1280字節(jié)。因此，制定了6LoWPAN 協(xié)議，作為適配層用于解決IEEE 802.15.4 和IPv6 協(xié)議之間的互連問(wèn)題，它用到了分組與重裝、報(bào)頭壓縮等技術(shù)。

由于物聯(lián)網(wǎng)設(shè)備資源的限制，6LoWPAN 標(biāo)準(zhǔn)沒(méi)有安全機(jī)制，解決資源受限情況下的安全問(wèn)題有如下方案：第一，為6LoWPAN 適配層設(shè)計(jì)壓縮安全報(bào)頭，這個(gè)安全報(bào)頭與IPSec 的現(xiàn)有封裝安全有效載荷（ESP）和認(rèn)證頭（AH）的作用相同。第二，在6LoWPAN 分片報(bào)頭中添加時(shí)間戳和隨機(jī)數(shù)字段，這可以抵抗碎片化攻擊。第三，通過(guò)使用密鑰來(lái)提高6LoWPAN 協(xié)議安全性，并且要定期更新密鑰以滿足機(jī)密性、完整性和不可否認(rèn)性的要求。密鑰可以采用IKEv2 協(xié)議，該協(xié)議適合在資源受限的物聯(lián)網(wǎng)設(shè)備中使用。在6LoWPAN 協(xié)議中增加安全機(jī)制是未來(lái)的一個(gè)研究方向。

3.3 RPL 協(xié)議

RPL 是適合低功耗有損網(wǎng)絡(luò)的距離矢量路由協(xié)議，它采用ICMPv6 交換路由信息，支持IPv6。路由網(wǎng)絡(luò)拓?fù)渲С謫蔚絾?、單到多、多到多等網(wǎng)絡(luò)結(jié)構(gòu)。RPL 會(huì)構(gòu)建一個(gè)以根節(jié)點(diǎn)為導(dǎo)向的有向無(wú)環(huán)圖（DODAG），根節(jié)點(diǎn)通過(guò)廣播方式完成與其余節(jié)點(diǎn)的信息交互。

RPL 有非安全、預(yù)安裝、身份驗(yàn)證3 種安全模式。在非安全模式下，RPL 使用無(wú)安全機(jī)制的控制報(bào)文。在預(yù)安裝安全模式下，節(jié)點(diǎn)使用預(yù)安裝密鑰來(lái)滿足機(jī)密性，完整性和不可否認(rèn)性的要求，帶有安裝密鑰的節(jié)點(diǎn)可以作為主機(jī)或路由器加入網(wǎng)絡(luò)。在身份驗(yàn)證安全模式下，節(jié)點(diǎn)使用預(yù)安裝密鑰僅能以主機(jī)的身份加入網(wǎng)絡(luò)。節(jié)點(diǎn)如果要以路由器的身份加入網(wǎng)絡(luò)，節(jié)點(diǎn)必須從密鑰認(rèn)證機(jī)構(gòu)處獲取第二個(gè)密鑰。密鑰認(rèn)證機(jī)構(gòu)在確認(rèn)請(qǐng)求者可以作為路由器后才向請(qǐng)求者提供第二個(gè)密鑰。

RPL 路由協(xié)議的局限性有2 點(diǎn)：第一，RPL 定義的安全密鑰只支持對(duì)稱加密，不支持非對(duì)稱加密。第二，RPL路由協(xié)議易受網(wǎng)絡(luò)攻擊、不能防范尋址攻擊、難以抵抗復(fù)合攻擊。

3.4 CoAP 協(xié)議

CoAP 協(xié)議可視為HTTP 協(xié)議的輕量級(jí)版本，功率受限的物聯(lián)網(wǎng)設(shè)備可以利用該協(xié)議完成應(yīng)用層上的通信。CoAP 由消息層和請(qǐng)求/響應(yīng)層組成。消息層負(fù)責(zé)控制UDP 協(xié)議上的通信，請(qǐng)求/響應(yīng)協(xié)議負(fù)責(zé)發(fā)送相應(yīng)的消息，通過(guò)維護(hù)特定的代碼來(lái)管理和避免消息丟失。

CoAP 協(xié)議使用DTLS 協(xié)議做傳輸層來(lái)保證安全性，DTLS 在UDP 之上。CoAP 涉及4 種安全模式：無(wú)安全模式、預(yù)共享密鑰模式、原始公鑰模式和認(rèn)證模式。無(wú)安全模式不包含任何安全機(jī)制。預(yù)共享密鑰模式使用對(duì)稱加密技術(shù)，每個(gè)設(shè)備要有預(yù)編程的對(duì)稱密鑰。原始公鑰模式在不能使用公鑰技術(shù)的設(shè)備上建立非對(duì)稱加密，每個(gè)設(shè)備需要一對(duì)預(yù)編程私鑰和公鑰。認(rèn)證模式下，通信的雙方需要信任中心構(gòu)造的X.509 證書(shū)完成認(rèn)證。

CoAP 的安全取決于DTLS 協(xié)議。然而DTLS 協(xié)議在物聯(lián)網(wǎng)環(huán)境中存在一些問(wèn)題，比如，DTLS 將握手消息分片傳輸?shù)牟僮骺赡軙?huì)導(dǎo)致數(shù)據(jù)包的重傳，進(jìn)而引發(fā)一些其他問(wèn)題。此外，使用DTLS 傳輸消息的過(guò)程成本很高，不適合在CoAP 代理中使用。因此，CoAP 應(yīng)該使用新的安全解決方案，而不是利用DTLS 協(xié)議。

4 結(jié)束語(yǔ)

針對(duì)物聯(lián)網(wǎng)的安全問(wèn)題，本文介紹了物聯(lián)網(wǎng)設(shè)備的特性、物聯(lián)網(wǎng)的安全要求以及物聯(lián)網(wǎng)的四層架構(gòu)，然后簡(jiǎn)要概括感知層、通信層、平臺(tái)層、應(yīng)用層的功能，分析了每一層面臨的安全威脅并提出了一些應(yīng)對(duì)措施，最后分析了通信子層中IEEE 802.15.4 協(xié)議、6LoWPAN 協(xié)議、RPL協(xié)議、CoAP 協(xié)議的安全機(jī)制以及協(xié)議的局限性，為進(jìn)一步增強(qiáng)物聯(lián)網(wǎng)的安全性提供了參考。