文/姚文学

物联网安全综述

文/姚文学

一、引言

图1：红色为美国遭受攻击断网的区域

2016年10月21日，美国DNS服务提供商Dyn遭受大规模攻击，导致诸多网站停止服务。据统计，这次攻击使得美国几乎半个互联网瘫痪。而且，这断断续续长达6个小时的攻击，毫不夸张的说，此次损失为天文数字。（图1）

此次事件的元凶是恶意软件“Mirai”源代码，黑客使用Mirai与物联网相结合，通过互联网搜索物联网设备，当扫描到物联网设备（包括网络摄像头，智能开关等）后就尝试使用默认密码登陆，（一般是admin/admin，admin/123456之类的弱密码，Mirai病毒自带60个通用密码）。一旦登陆成功，这台设备就成为“肉鸡”，开始被黑客操控攻击其他网络设备，由此造成了有史以来最大的DDoS攻击。

由于物联网设备容易妥协、很难修补的特点，物联网将来会成为完美的僵尸网络。随着物联网的发展，智能硬件大约都可能成为网络攻击的入口。而其规模庞大，安全性能上的缺失都将助长网络攻击的嚣张气焰。

二、物联网架构

（一）物联网的定义

物联网是通过射频识别（RFID）、红外感应器、全球定位系统、激光扫描器等信息传感设备，按约定的协议把任意物品与互联网连接起来，进行信息交换和通信，以实现智能化识别、定位、跟踪、监控和管理的一种网络。物联网就是“物与物相连的互联网”，其包含两层含义：第一，物联网是在互联网的基础上延伸和扩展的网络，其核心仍然是互联网；第二，物联网的用户端延伸和扩展到任何物品之间进行信息交换和数据通信。

物联网的常见定义有两个，分别来自于Gartner和HavardBusinessReview:

1.物联网是物体的互联网络，这些物体可以通过内嵌技术进行感知和通信，了解外部环境状态或彼此的状态。（Gartner）

2.物联网是一互联的智能设备，它们能进行编排组合，产生新的应用、可靠性、可用性、或新的系统。（HarvardBusinessReview）

（二）物联网的架构

物联网是传统网络的延伸和扩展，将网络用户端延伸和扩展到物与物之间，是一种新型的信息传输和交换形式。物联网是一个由感知层、网络层和应用层共同组成的大规模信息系统，其核心结构主要包括：

1.感知层，如智能卡、RFID电子标签、传感器网络等，其主要功能是采集各种基础的数据信息；

2.网络层，如局域网、互联网、无线网络等,其主要功能是实现数据信息的交换与通信；

3.应用层，主要负责物联数据的分析处理和控制决策，以便实现智能化的应用和服务，从而最终实现人与物、物与物的联通。

物联网的体系结构如附图所示。就其体系结构来看，物联网体现的是融合的思想，跨越在有线网络和无线网络的基础介质之上。（图2）

（三）物联网的安全现状

物联网是继互联网和移动计算之后的新趋势，是计算的未来。在物联网蓬勃发展的同时，其背后隐藏的安全问题也逐渐凸显出来。除了要应对传统IP网络已知的安全问题之外，物联网还存在着大量自身独有的安全问题。同互联网一样，物联网同样面临着网络管理与控制等一系列问题，如果这些问题不能得到很好的解决，将会在很大程度上制约物联网的进一步发展。网络的安全隐患是客观存在的，而物联网又是随机分布在由传感器组成的网络和无处不在的无线网络之中，为各种网络攻击提供了非常广阔的空间，其安全隐患更加突出。

图2：物联网的体系构

三、物联网安全问题浅析

（一）感知层安全问题

感知层的任务是全面感知外界信息，或者说是原始信息收集器。该层的典型设备包括RFID装置、各类传感器（如红外、超声、温度、湿度、速度等）、图像捕捉装置（摄像头）、全球定位系统（GPS）、激光扫描仪等。可能遇到的安全问题包括：

1.由于感知节点监测网络的不同内容、提供各种不同格式的事件数据来表征网络系统当前的状态。然而，这些传感智能节点又容易受侵。

2.标签信息的截获和对这些信息的破解。这些信息可以通过无线网络平台传输，这会给信息的安全代理影响。

3.传感网的节点受来自于网络的DoS攻击。因为传感网通常要接入其他外在网络（包括互联网），所以就难免受到来自外部网络的攻击。主要攻击除了非法访问外，拒绝服务（DoS）攻击也最为常见。传感网节点的资源（计算和通信能力）有限，对抗DoS攻击的能力比较脆弱，在互联网环境里并不严重的DoS攻击行为，在物联网中就可能造成传感网瘫痪。

（二）传输层安全问题

物联网的传输层主要用于把感知层收集到的信息安全可靠地传输到信息处理层，然后进行信息处理。在信息传输中，可能经过一个或多个不同架构的网络进行信息交接。在物联网环境中这一现象更突出，可能产生信息安全隐患。互联网的安全问题都可能传导到物联网的传输层，甚至产生更严重的问题。物联网传输层将会遇到以下安全问题：

1.DoS攻击、DDoS攻击。由于物联网中节点数量庞大，而且以集群方式存在，会产生大量的数据需要传播，这些巨量的数据会使网络拥塞，以至于产生拒绝服务攻击；

2.假冒攻击、中间人攻击等；

3.跨异构网络的网络攻击。

（三）应用层安全问题

应用层对接收的信息加以处理。它需要判断哪些信息是有用的信息，哪些是垃圾信息甚至是恶意信息。处理的数据既有一般性数据，也有操作指令。特别值得警惕的是错误指令（如指令发出者的操作失误、网络传输错误、得到恶意修改等），或者是攻击者的恶意指令。如何识别有用的信息，又如何甄别并有效防范恶意信息和指令带来的威胁是物联网应用层的主要安全问题。这些问题包括：

1.由于超大量终端提供了海量的数据，来不及识别和处理；

2.智能设备的智能失效，导致效率严重下降；

3.自动处理失控；

4.无法实现灾难控制并从灾难中恢复；

5.非法人为干预造成故障；

6.设备从网络中逻辑丢失。

四、解决方案探讨

（一）感知层安全措施

RFID的嵌入以及各传感器节点的安全性略低，因此，对物联网的芯片、节点可以采取一些物理安全机制来实现其安全保障性能。

物理方法主要有静电屏蔽、阻塞标签、选择性锁定等方法。

1.静电屏蔽机制通过使用静电屏蔽技术将标签屏蔽，使标签无法被激活，这能避免标签在不必要或被攻击者利用的的情况下被阅读及进行通信。

2.阻塞标签使用标签隔离机制来中断读写器与全部或指定标签的通信，阻塞标签能够同时模拟多种标签，消费者可以使用阻塞标签有选择地中断读写器与某些标签之间的无线通信。

3.选择性锁定方法使用一个被称为“锁定者”的特殊标签来模拟无穷的标签的一个部分，这一方法可以阻止不在被允许范围内的阅读器读取某个标签的信息，与静电屏蔽技术类似。

这几种方法能够在一定程度上使RFID的标签安全性得到保障，同时各传输节点也可以利用类似的物理性质的方法进行保护。

（二）传输层的安全措施

完善传输级的安全技术保障信息在传输时的安全，可以通过数据加密技术来实现。加密的作用在于阻止攻击者对截获的信息进行破译。另外，加密能够降低所传输的信息被盗窃的风险。密匙作为物联网安全技术的基础，它就像一把大门的钥匙一样，在网络安全中起着决定性作用。

但是适用于物联网的信息加密方案应能保证以下两点：一是能适应感知节点有限的资源。二是能够保证攻击者无法或很难从已获取的节点信息中推导出其他节点的信息。满足了这两点，物联网在传输过程中的安全性才能够得到一定的保障。此外，应加强传输层的跨域认证和跨网认证的研究。通过认证，进行通信的双方能够确认对方的真实身份。由于物联网主要是人与物、物与物之间的无线通信，相比于传统网络，物联网环境下的访问控制机制要复杂的多。由于物联网要实现“无处不在的感知”、“物物互联”的功能，在其应用中要用到大量的传感器节点且种类各异，因此，在加密方式和认证方式上存在很大的挑战性。

物联网密钥管理系统面临两个主要问题：一是如何构建一个贯穿多个网络的统一密钥管理系统，并与物联网的体系结构相适应；二是如何解决传感网的密钥管理问题，如密钥的分配、更新、组播等问题。

实现统一的密钥管理系统可以采用两种方式：一是以互联网为中心的集中式管理方式。二是以各自网络为中心的分布式管理方式。

无线传感器网络的密钥管理系统的设计在很大程度上受到其自身特征的限制，因此在设计需求上与有线网络和传统的资源不受限制的无线网络有所不同，特别要充分考虑到无线传感器网络传感节点的限制和网络组网与路由的特征。它的安全需求主要体现在：

1.密钥生成或更新算法的安全性：利用该算法生成的密钥应具备一定的安全强度，不能被网络攻击者轻易破解或者花很小的代价破解。也即是加密后保障数据包的机密性。

2.前向私密性：对中途退出传感器网络或者被俘获的恶意节点，在周期性的密钥更新或者撤销后无法再利用先前所获知的密钥信息生成合法的密钥继续参与网络通信，即无法参加与报文解密或者生成有效的可认证的报文。

3.后向私密性和可扩展性：新加入传感器网络的合法节点可利用新分发或者周期性更新的密钥参与网络的正常通信，即进行报文的加解密和认证行为等。而且能够保障网络是可扩展的，即允许大量新节点的加入。

4.抗同谋攻击：在传感器网络中，若干节点被俘获后，其所掌握的密钥信息可能会造成网络局部范围的泄密，但不应对整个网络的运行造成破坏性或损毁性的后果即密钥系统要具有抗同谋攻击。

5.源端认证性和新鲜性：源端认证要求发送方身份的可认证性和消息的可认证性，即任何一个网络数据包都能通过认证和追踪寻找到其发送源，且是不可否认的。新鲜性则保证合法的节点在一定的延迟许可内能收到所需要的信息。新鲜性除了和密钥管理方案紧密相关外，与传感器网络的时间同步技术和路由算法也有很大的关联。

根据这些要求，在密钥管理系统的实现方法中，人们提出了基于对称密钥系统的方法和基于非对称密钥系统的方法。在基于对称密钥的管理系统方面，从分配方式上也可分为以下三类：基于密钥分配中心方式、预分配方式和基于分组分簇方式。与非对称密钥系统相比，对称密钥系统在计算复杂度方面具有优势，但在密钥管理和安全性方面却有不足。特别是在物联网环境下，如何实现与其他网络的密钥管理系统的融合是值得探讨的问题。为此，人们将非对称密钥系统也应用于无线传感器网络。

近几年作为非对称密钥系统的基于身份标识的加密算法（identity—basedencryption，IBE）引起了人们的关注。该算法的主要思想是加密的公钥不需要从公钥证书中获得，而是直接使用标识用户身份的字符串。其中比较优秀的是由Boneh等提出的IBE算法实现。

（三）应用层安全措施

应用层处理传输来的海量感知数据，进行存储、计算，对于这一层的网络防护，可以遵循以下几条原则。

1.隐私原则：允许用户本着自愿的原则，根据个人需要，与移动通信运营商、物联网服务提供商协商设计个人信息的使用范围以及进行必要的协议签订，使终端用户的安全和隐私得到保障。

2.身份匿名：将个人敏感信息用匿名编码代替或者进行加密，防止攻击者直接使用窃取的个人数据信息。

3.数据混淆：利用“骗”的方法，即采用必要的算法，对涉及的个人资料与别的信息进行置换和混淆，避免被攻击者直接窃取和使用。

4.加强数据库的访问控制策略：应根据安全级别或身份限制其权限和操作，可以采用身份验证的方法进行实现。

五、粮食物联网安全要点

在智能粮库中涉及到大量的物联网设备，在出入库、智能仓储、粮情监控、智能安防等多个环节都涉及到物联网安全问题。根据笔者的实践经验，粮食物联网安全关键点如下：

（一）物联设备采用标准化协议连接。通过协议标准化，可以实现针对协议内容的加密传输和处理，避免出现数据泄露或身份冒充等情况。我们推荐采用标准的MQTT协议，这个协议在网络层、传输层、应用层都提供了较好的安全机制。同时，通过协议的标准化，可以实现设备的厂商无关性，避免厂商设备安全引发的连锁问题。

（二）智能物联设备，包括智能门窗、熏蒸等有处理能力的物联设备，必须对管理口令进行强制检查，确保不会因为弱口令被攻破。可以采用云的统一配置管理工具，实现对多个智能设备的口令记录和保护。

（三）物联设备和应用层之间，必须设置二次校验机制，确保在一端被控制的情况下，另一端不会由于简单的信任机制也被攻破。同样，物联设备之间的连接也需要设置二次校验，以防止同谋攻击。

（四）物联设备的软件需要定期检查、升级和打补丁，以免由于软件漏洞导致系统风险。由于很多物联设备的软件都是来自开源社区，因此在系统上线时，以及运维过程中，需要对软件进行扫描和监控，及时进行补丁和升级。

作者单位：怡和祥云（北京）科技有限公司