物聯(lián)網(wǎng)信息安全技術(shù)

1、物聯(lián)網(wǎng)信息安全技術(shù)引言伴隨著 RFID 在上海世博會(huì)、物流、圖書館、軍事等領(lǐng)域應(yīng)用的逐漸增多，物聯(lián) 網(wǎng)安全問(wèn)題越來(lái)越受到關(guān)注。物聯(lián)網(wǎng)和互聯(lián)網(wǎng)一樣，都是一把“雙刃劍” 。物聯(lián) 網(wǎng)是一種虛擬網(wǎng)絡(luò)與現(xiàn)實(shí)世界實(shí)時(shí)交互的新型系統(tǒng)， 其特點(diǎn)是無(wú)處不在的數(shù)據(jù)感 知、以無(wú)線為主的信息傳輸、智能化的信息處理。物聯(lián)網(wǎng)技術(shù)的推廣和運(yùn)用，一 方面將顯著提高經(jīng)濟(jì)和社會(huì)運(yùn)行效率，但由于物聯(lián)網(wǎng)在很多場(chǎng)合都需要無(wú)線傳 輸，這種暴露在公開場(chǎng)所之中的信號(hào)很容易被竊取， 也更容易被干擾， 這將直接 影響到物聯(lián)網(wǎng)體系的安全。 物聯(lián)網(wǎng)規(guī)模很大， 與人類社會(huì)的聯(lián)系十分緊密， 一旦 受到病毒攻擊，很可能出現(xiàn)世界范圍內(nèi)的工廠停產(chǎn)、商店停業(yè)、

2、交通癱瘓，讓人 類社會(huì)陷入一片混亂， 影響巨大； 另一方面物聯(lián)網(wǎng)對(duì)國(guó)家和企業(yè)、 公民的信息安 全和隱私保護(hù)問(wèn)題提出了嚴(yán)峻的挑戰(zhàn)， 在未來(lái)的物聯(lián)網(wǎng)中， 每個(gè)人擁有的每件物 品都將隨時(shí)隨地連接在這個(gè)網(wǎng)絡(luò)上， 隨時(shí)隨地被感知。 在這種環(huán)境中， 如何確保 信息的安全性和隱私性， 防止個(gè)人信息、 業(yè)務(wù)信息和財(cái)產(chǎn)丟失或被他人盜用， 將 是物聯(lián)網(wǎng)推進(jìn)過(guò)程中需要突破的重大障礙之一。 本文通過(guò)對(duì)物聯(lián)網(wǎng)進(jìn)行安全性分析， 提出一種物聯(lián)網(wǎng)安全技術(shù)體系， 該體系從橫 向和縱向兩個(gè)方面提升物聯(lián)網(wǎng)防護(hù)水平。第二節(jié)概述物聯(lián)網(wǎng)網(wǎng)絡(luò)體系結(jié)構(gòu)及特 點(diǎn)，并分析物聯(lián)網(wǎng)可能存在的安全威脅； 第三節(jié)提出物聯(lián)網(wǎng)安全技術(shù)體系； 第四 節(jié)對(duì)本文

3、進(jìn)行總結(jié)。1 物聯(lián)網(wǎng)安全威脅分析1.1 物聯(lián)網(wǎng)簡(jiǎn)介物聯(lián)網(wǎng)通信主要步驟包括三部分： 1)先對(duì)物體屬性進(jìn)行標(biāo)識(shí)，屬性包括靜態(tài)和動(dòng)態(tài)兩種，靜態(tài)屬性可以直接存儲(chǔ) 在標(biāo)簽中，動(dòng)態(tài)屬性需要由傳感器實(shí)施探測(cè)，閱讀器通過(guò)無(wú)線傳輸讀取 RFID 標(biāo) 簽信息，并將其傳輸至 EPC 中間件。2) EPC中間件過(guò)濾、整合閱讀器送來(lái)的標(biāo)簽，詢問(wèn)ONS查找服務(wù)，獲得一個(gè)或 多個(gè)含有物品信息的主機(jī)的URL地址，以獲取EPCIS服務(wù)器上更多的物品相關(guān) 信息；3)EPCIS解析ONS決定其提供哪些物品信息。1.2 物聯(lián)網(wǎng)安全性分析 物聯(lián)網(wǎng)除了傳統(tǒng)網(wǎng)絡(luò)安全威脅之外， 還存在著一些特殊安全問(wèn)題。 這是由于物聯(lián) 網(wǎng)是由大量的機(jī)器構(gòu)成

4、， 缺少人對(duì)設(shè)備的有效監(jiān)控， 并且數(shù)量龐大、 設(shè)備集群度 高，結(jié)合圖 1 物聯(lián)網(wǎng)信息流圖， 物聯(lián)網(wǎng)特有的安全威脅主要有以下幾個(gè)方面。 節(jié) 點(diǎn)攻擊：由于物聯(lián)網(wǎng)的應(yīng)用可以取代人來(lái)完成一些復(fù)雜、 危險(xiǎn)和機(jī)械的工作。 所 以物聯(lián)網(wǎng)機(jī)器 /感知節(jié)點(diǎn)多數(shù)部署在無(wú)人監(jiān)控的場(chǎng)景中。那么，攻擊者就可以輕 易地接觸到這些設(shè)備， 甚至通過(guò)本地操作更換機(jī)器的軟硬件， 從而對(duì)他們?cè)斐善?壞；另一方面，攻擊者可以冒充合法節(jié)點(diǎn)或者越權(quán)享受服務(wù)，因此，物聯(lián)網(wǎng)中有 可能存在大量的損壞節(jié)點(diǎn)和惡意節(jié)點(diǎn)。 重放攻擊：在物聯(lián)網(wǎng)標(biāo)簽體系中無(wú)法證明 此信息已傳遞給閱讀器，攻擊者可以獲得已認(rèn)證的身份，再次獲得相應(yīng)服務(wù)。 拒絕服務(wù)攻擊： 一方

5、面，物聯(lián)網(wǎng) ONS 以 DNS 技術(shù)為基礎(chǔ)， ONS 同樣也繼承了 DNS 的安全隱患， 例如ONS漏洞導(dǎo)致的拒絕服務(wù)攻擊、利用ONS服務(wù)作為中間的攻擊放大器去攻 擊其它節(jié)點(diǎn)或主機(jī)； 另一方面，由于物聯(lián)網(wǎng)中節(jié)點(diǎn)數(shù)量龐大， 且以集群方式存在， 因此會(huì)導(dǎo)致在數(shù)據(jù)傳播時(shí)， 由于大量機(jī)器的數(shù)據(jù)發(fā)送使網(wǎng)絡(luò)擁塞， 產(chǎn)生拒絕服務(wù) 攻擊。攻擊者利用廣播 Hello 信息，并利用通信機(jī)制中優(yōu)先級(jí)策略、虛假路由等 協(xié)議漏洞同樣可以產(chǎn)生拒絕服務(wù)攻擊。 篡改或泄漏標(biāo)識(shí)數(shù)據(jù)： 攻擊者一方面可以 通過(guò)破壞標(biāo)簽數(shù)據(jù)，使得物品服務(wù)不可使用。另一方面竊取或者偽造標(biāo)識(shí)數(shù)據(jù)， 獲得相關(guān)服務(wù)或者為進(jìn)一步攻擊做準(zhǔn)備。 權(quán)限 提升攻擊：

6、 攻擊者通過(guò)協(xié)議漏洞或其它脆弱性使得某物品獲取高級(jí)別服務(wù)， 甚至 控制物聯(lián)網(wǎng)其他節(jié)點(diǎn)的運(yùn)行。 業(yè)務(wù)安全： 傳統(tǒng)的認(rèn)證是區(qū)分不同層次的， 網(wǎng)絡(luò)層 的認(rèn)證就負(fù)責(zé)網(wǎng)絡(luò)層的身份鑒別， 業(yè)務(wù)層的認(rèn)證就負(fù)責(zé)業(yè)務(wù)層的身份鑒別， 兩者 獨(dú)立存在。但是在物聯(lián)網(wǎng)中，大多數(shù)情況下，機(jī)器都是擁有專門的用途，因此， 其業(yè)務(wù)應(yīng)用與網(wǎng)絡(luò)通信緊緊地綁在一起。 由于網(wǎng)絡(luò)層的認(rèn)證是不可缺少的， 那么 其業(yè)務(wù)層的認(rèn)證機(jī)制就不再是必需的， 而是可以根據(jù)業(yè)務(wù)由誰(shuí)來(lái)提供和業(yè)務(wù)的安 全敏感程度來(lái)設(shè)計(jì)。 例如，當(dāng)物聯(lián)網(wǎng)的業(yè)務(wù)由運(yùn)營(yíng)商提供時(shí)， 那么就可以充分利 用網(wǎng)絡(luò)層認(rèn)證的結(jié)果而不需要進(jìn)行業(yè)務(wù)層的認(rèn)證； 當(dāng)物聯(lián)網(wǎng)的業(yè)務(wù)由第三方提供 也無(wú)法從

7、網(wǎng)絡(luò)運(yùn)營(yíng)商處獲得密鑰等安全參數(shù)時(shí)， 它就可以發(fā)起獨(dú)立的業(yè)務(wù)認(rèn)證而 不用考慮網(wǎng)絡(luò)層的認(rèn)證； 或者當(dāng)業(yè)務(wù)是敏感業(yè)務(wù)時(shí)， 一般業(yè)務(wù)提供者會(huì)不信任網(wǎng) 絡(luò)層的安全級(jí)別， 而使用更高級(jí)別的安全保護(hù)， 那么這個(gè)時(shí)候就需要做業(yè)務(wù)層的 認(rèn)證；而當(dāng)業(yè)務(wù)是普通業(yè)務(wù)時(shí)， 如氣溫采集業(yè)務(wù)等， 業(yè)務(wù)提供者認(rèn)為網(wǎng)絡(luò)認(rèn)證已 經(jīng)足夠，那么就不再需要業(yè)務(wù)層的認(rèn)證 2 。 隱私安全：在未來(lái)的物聯(lián)網(wǎng)中，每個(gè)人及每件物品都將 隨時(shí)隨地連接在這個(gè)網(wǎng)絡(luò)上， 隨時(shí)隨地被感知， 在這種環(huán)境中如何確保信息的安 全性和隱私性， 防止個(gè)人信息、 業(yè)務(wù)信息和財(cái)產(chǎn)丟失或被他人盜用， 將是物聯(lián)網(wǎng) 推進(jìn)過(guò)程中需要突破的重大障礙之一。物聯(lián)網(wǎng)安全屬性包括機(jī)密性

8、、完整性、 Accountability 、可用性，表 1 給出物聯(lián)網(wǎng) 節(jié)點(diǎn)、重放攻擊、拒絕服務(wù)攻擊、篡改或泄漏標(biāo)識(shí)數(shù)據(jù)、權(quán)限提升攻擊、業(yè)務(wù)安 全等特有安全威脅的安全屬性分析表。2 物聯(lián)網(wǎng)安全技術(shù)體系2.1 橫向防御體系物聯(lián)網(wǎng)橫向體系如圖 2 所示，包括物理安全、安全計(jì)算環(huán)境、安全區(qū)域邊界、安 全通信網(wǎng)絡(luò)、安全管理中心、應(yīng)急響應(yīng)恢復(fù)與處置六個(gè)方面 4 ，5，其中 “一個(gè) 中心”管理下的“三重保護(hù)”是核心，物理安全是基礎(chǔ)，應(yīng)急響應(yīng)處置與恢復(fù)是 保障。安全計(jì)算環(huán)境子系統(tǒng)主要實(shí)現(xiàn)計(jì)算環(huán)境內(nèi)部的安全保護(hù)； 安全區(qū)域邊界子 系統(tǒng)主要實(shí)現(xiàn)出 /入?yún)^(qū)域邊界的數(shù)據(jù)流向控制；安全通信子系統(tǒng)主要實(shí)現(xiàn)網(wǎng)絡(luò)傳 輸和交

9、換的數(shù)據(jù)信息的保密性和完整性的安全保護(hù)； 系統(tǒng)管理子系統(tǒng)主要實(shí)現(xiàn)系 統(tǒng)資源的配置、管理和運(yùn)行控制； 安全管理子系統(tǒng)主要實(shí)現(xiàn)標(biāo)記和主體的授權(quán)管 理，以及系統(tǒng)安全策略和分布式安全機(jī)制的統(tǒng)一管理； 安全審計(jì)子系統(tǒng)主要實(shí)現(xiàn) 分布在系統(tǒng)各個(gè)組成部分的安全審計(jì)策略和機(jī)制的集中管理。 安全體系中的安全 技術(shù)范圍涵蓋以下內(nèi)容：物理安全主要包括物理訪問(wèn)控制、環(huán)境安全（監(jiān)控、報(bào)警系統(tǒng)、防雷、防火、 防水、防潮、靜電消除器等裝置） 、電磁屏蔽安全、 EPC 設(shè)備安全。安全計(jì)算環(huán) 境主要包括感知節(jié)點(diǎn)身份鑒別、自主 /強(qiáng)制 /角色訪問(wèn)控制、授權(quán)管理（ PKI/PMI 系統(tǒng)）、感知節(jié)點(diǎn)安全防護(hù)（惡意節(jié)點(diǎn)、節(jié)點(diǎn)失效識(shí)別）

10、、標(biāo)簽數(shù)據(jù)源可信、數(shù)據(jù) 保密性和完整性、 EPC 業(yè)務(wù)認(rèn)證、系統(tǒng)安全審計(jì)。 安全區(qū)域邊界主要包括節(jié)點(diǎn)控制（網(wǎng)絡(luò)訪問(wèn)控制、節(jié)點(diǎn)設(shè)備認(rèn)證） 、信息安全交 換（數(shù)據(jù)機(jī)密性與完整性、指令數(shù)據(jù)與內(nèi)容數(shù)據(jù)分離、數(shù)據(jù)單向傳輸） 、節(jié)點(diǎn)完 整性（防護(hù)非法外聯(lián)、入侵行為、惡意代碼防范） 、邊界審計(jì)。安全通信網(wǎng)絡(luò)主要包括鏈路安全（物理專用或邏輯隔離） 、傳輸安全（加密控制、消息摘要或數(shù) 字簽名）。安全管理中心主要包括業(yè)務(wù)與系統(tǒng)管理（業(yè)務(wù)準(zhǔn)入接入與控制、用戶 管理、資源配置、EPCIS管理）、安全檢測(cè)系統(tǒng)（入侵檢測(cè)、違規(guī)檢查、EPC數(shù)字取證）、安全管理（EPC策略管理、審計(jì)管理、授權(quán)管理、異常與報(bào)警管理）。 應(yīng)急響

11、應(yīng)恢復(fù)與處置主要包括容災(zāi)備份、 故障恢復(fù)、 安全事件處理與分析、 應(yīng)急 機(jī)制。2.2 縱深防御體系 物聯(lián)網(wǎng)可以依據(jù)保護(hù)對(duì)象的重要程度以及防范范圍， 將整個(gè)保護(hù)對(duì)象從網(wǎng)絡(luò)空間 劃分為若干層次， 不同層次采取不同的安全技術(shù)。 目前，物聯(lián)網(wǎng)體系以互聯(lián)網(wǎng)為 基礎(chǔ)，因此，可以將保護(hù)范圍劃分為：邊界防護(hù)、區(qū)域防護(hù)、節(jié)點(diǎn)防護(hù)、核心防 護(hù)（應(yīng)用防護(hù)或內(nèi)核防護(hù)） ，從而實(shí)現(xiàn)縱深防御。 物聯(lián)網(wǎng)邊界防護(hù)包括兩個(gè)層面：1）物聯(lián)網(wǎng)邊界可以指單個(gè)應(yīng)用的邊界，即核心處理層與各個(gè)感知節(jié)點(diǎn)之間的邊 界，例如智能家居中控制中心與居室的洗衣機(jī)或路途中汽車之間的邊界， 也可理 解是傳感網(wǎng)與互聯(lián)網(wǎng)之間的邊界； 其次，物聯(lián)網(wǎng)邊界也可以指

12、不同應(yīng)用之間的邊 界，例如感知電力與感知工業(yè)之間的業(yè)務(wù)應(yīng)用之間的邊界。2）防護(hù)是比邊界更小的范圍，特指單個(gè)業(yè)務(wù)應(yīng)用內(nèi)的區(qū)域，例如安全管理中心 區(qū)域；節(jié)點(diǎn)防護(hù)一般具體到一臺(tái)服務(wù)器或感知節(jié)點(diǎn)的防護(hù)， 其保護(hù)系統(tǒng)的健壯性， 消除系統(tǒng)的安全漏洞等； 核心防護(hù)可以是針對(duì)某一個(gè)具體的安全技術(shù)， 也可以是 具體的節(jié)點(diǎn)或用戶， 也可以是操作系統(tǒng)的內(nèi)核防護(hù)， 它抗攻擊強(qiáng)度最大， 能夠保 證核心的安全。2.3 物聯(lián)網(wǎng)安全技術(shù)2.3.1 物聯(lián)網(wǎng)安全技術(shù)框架物聯(lián)網(wǎng)主要包括訪問(wèn)控制、 入侵檢測(cè)等 40多種安全技術(shù)，如表2所示。 2.3.2 可 信接入技術(shù)由表 2 可知，物聯(lián)網(wǎng)涉及的安全技術(shù)種類繁多， 本文僅討論可信接入

13、 技術(shù)。可信接入技術(shù)是通過(guò)不同可信計(jì)算機(jī)平臺(tái)之間通信網(wǎng)絡(luò)過(guò)程中基于可信計(jì)算 技術(shù)的相互認(rèn)證操作， 確保系統(tǒng)各可信平臺(tái)之間的通信網(wǎng)絡(luò)關(guān)系滿足特定的安全 策略。每個(gè)可信計(jì)算機(jī)平臺(tái)在啟動(dòng)時(shí)都將進(jìn)行硬件檢查和操作系統(tǒng)版本檢查， 以 確定設(shè)備是某個(gè)安全區(qū)域的內(nèi)部設(shè)備， 操作系統(tǒng)是可信操作系統(tǒng)。 在用戶登錄并 執(zhí)行具體的安全程序之后， 可信認(rèn)證將據(jù)此確定用戶所屬的安全域， 并在用戶與 外界進(jìn)行通信網(wǎng)絡(luò)連接時(shí)， 將相關(guān)的信息發(fā)送給對(duì)方。 在通信網(wǎng)絡(luò)連接的另一端， 系統(tǒng)將根據(jù)這些信息決定通信網(wǎng)絡(luò)連接是否允許、確定通信網(wǎng)絡(luò)連接的流向控 制，并可以在接入端根據(jù)這些信息標(biāo)識(shí)通信網(wǎng)絡(luò)連接相關(guān)的主體與客體。 可信接入可

14、以用于安全管理中心與安全計(jì)算環(huán)境之間的連接， 實(shí)現(xiàn)安全管理中心 到安全計(jì)算環(huán)境的可信安全策略管理機(jī)制的單向信息流動(dòng)； 可信接入也可以用于 安全審計(jì) /監(jiān)測(cè)中心與安全計(jì)算環(huán)境之間的連接，實(shí)現(xiàn)安全計(jì)算環(huán)境中的可信審 計(jì) /監(jiān)測(cè)機(jī)制到安全審計(jì) /監(jiān)測(cè)中心的單向信息流動(dòng)。這樣，安全計(jì)算環(huán)境中的用 戶將無(wú)法攻擊安全管理中心，也無(wú)法從審計(jì) /監(jiān)測(cè)中心竊取信息?？尚沤尤霗C(jī)制 也可以用于運(yùn)行于節(jié)點(diǎn)和安全服務(wù)器之間的連接， 節(jié)點(diǎn)連接到服務(wù)器上之后， 根 據(jù)節(jié)點(diǎn)的狀態(tài)， 安全服務(wù)器可以為節(jié)點(diǎn)的連接賦予適合的安全標(biāo)識(shí)， 使其能夠被 納入適合的應(yīng)用策略域。物聯(lián)網(wǎng)安全要求接入的節(jié)點(diǎn)具有一定的安全保障措施， 因此要求終端節(jié)點(diǎn)對(duì)物聯(lián)網(wǎng)平臺(tái)來(lái)說(shuō)是可信的， 且不同業(yè)務(wù)平臺(tái)之間的互聯(lián)安全 可靠。物聯(lián)網(wǎng)通過(guò)平臺(tái)驗(yàn)證和加密信道通信實(shí)現(xiàn)節(jié)點(diǎn)之間、 不同業(yè)務(wù)平臺(tái)之間的 可信互聯(lián)。 由于物體標(biāo)簽攜帶數(shù)據(jù)量小， 不可直接實(shí)現(xiàn)節(jié)點(diǎn)與物聯(lián)網(wǎng)平臺(tái)的可信接入，但可以通過(guò)專用于安全的 EPCIS 安全服務(wù)器實(shí)現(xiàn)可信接入3 結(jié)束語(yǔ)物聯(lián)網(wǎng)安全和互聯(lián)網(wǎng)安全一樣，永遠(yuǎn)都會(huì)是一個(gè)被廣泛關(guān)注的話題。由于物 聯(lián)網(wǎng)連接和處理的對(duì)象主要是機(jī)器或物，以及相關(guān)的數(shù)據(jù)，其“所有權(quán)”特性導(dǎo) 致物聯(lián)網(wǎng)信息安全要求比以處理 “文本” 為主的互聯(lián)網(wǎng)要高。 本文首先通過(guò)對(duì)物 聯(lián)網(wǎng)進(jìn)行安