物聯(lián)網(wǎng)技術與應用第七章

物聯(lián)網(wǎng)技術與應用第七章物聯(lián)網(wǎng)安全7.1物聯(lián)網(wǎng)安全概述7.2RFID安全技術物聯(lián)網(wǎng)面臨的安全問題及安全機制目錄Contents無線傳感器網(wǎng)絡安全本章學習重點（1）物聯(lián)網(wǎng)安全的研究現(xiàn)狀、安全需求、關鍵技術及研究重點。（2）物聯(lián)網(wǎng)的安全體系架構。（3）RFID技術、無線傳感器網(wǎng)絡和物聯(lián)網(wǎng)所面臨的安全威脅及安全防御機制。本章學習重點物聯(lián)網(wǎng)在給人們的生活帶來方便和快捷的同時，也會給人們帶來種種安全隱患。2014年，研究人員演示了如何在15s的時間內(nèi)入侵家中的恒溫控制器，通過對恒溫控制器數(shù)據(jù)的收集，入侵者就可以了解到家中什么時候有人，他們的日程安排是什么等信息。許多智能電視帶有攝像頭，即便電視沒有打開，入侵智能電視的攻擊者也可以使用攝像頭來監(jiān)視你和你的家人。攻擊者在獲取對于智能家庭中的燈光系統(tǒng)的訪問后，除了可以控制家庭中的燈光外，還可以訪問家庭的電力，從而增加家庭的電力消耗，導致產(chǎn)生巨額的電費賬單。種種安全問題提示人們，在享受物聯(lián)網(wǎng)帶來的便利的同時，也要關注物聯(lián)網(wǎng)的安全問題，保證物聯(lián)網(wǎng)安全已經(jīng)成為推動物聯(lián)網(wǎng)健康發(fā)展的重要前提。7.1物聯(lián)網(wǎng)安全概述信息與網(wǎng)絡安全的目標是要達到被保護信息的機密性、完整性和可用性。在互聯(lián)網(wǎng)的早期階段，人們更關注基礎理論和應用研究，隨著網(wǎng)絡和服務規(guī)模的不斷增大，安全問題日益凸顯，引起了人們的高度重視，相繼出現(xiàn)了一些安全技術，如入侵檢測系統(tǒng)、防火墻、PKI（公鑰基礎設施）等。目前，物聯(lián)網(wǎng)的研究與應用處于初級階段，很多的理論與關鍵技術有待突破，特別是與互聯(lián)網(wǎng)和移動通信網(wǎng)相比，還沒有展示出令人信服的實際應用，物聯(lián)網(wǎng)安全問題需要進一步地深入研究。7.1物聯(lián)網(wǎng)安全概述物聯(lián)網(wǎng)安全的研究現(xiàn)狀7物聯(lián)網(wǎng)作為互聯(lián)網(wǎng)的延伸，被稱為世界信息產(chǎn)業(yè)的第三次浪潮。2017年，物聯(lián)網(wǎng)進入規(guī)模商用元年。物聯(lián)網(wǎng)產(chǎn)業(yè)由政府推動走向市場主導，大量新興的物聯(lián)網(wǎng)技術應用會走進我們的生活。而隨著物聯(lián)網(wǎng)產(chǎn)業(yè)市場的擴大，物聯(lián)網(wǎng)安全問題越發(fā)凸顯，成為制約物聯(lián)網(wǎng)大規(guī)模應用的重要因素。目前，國內(nèi)外一些企業(yè)已經(jīng)意識到安全在物聯(lián)網(wǎng)發(fā)展中的重要作用，并針對物聯(lián)網(wǎng)各層次結構開展了安全技術和產(chǎn)品的研究。出于對物聯(lián)網(wǎng)安全的重視，2016年信息安全行業(yè)領軍企業(yè)綠盟科技發(fā)布《物聯(lián)網(wǎng)安全白皮書》，從物聯(lián)網(wǎng)安全的體系架構、需求及對策、安全技術等相關方面著手，展開描述了物聯(lián)網(wǎng)安全的三大細分領域，并總結了物聯(lián)網(wǎng)安全的六大研究點。綠盟科技認為，物聯(lián)網(wǎng)安全產(chǎn)品的核心在于技術，物聯(lián)網(wǎng)的安全其實是互聯(lián)網(wǎng)安全的延伸，我們可以利用互聯(lián)網(wǎng)已有的安全技術，結合物聯(lián)網(wǎng)安全的實際需要改進已有技術，并將改進后的技術應用到物聯(lián)網(wǎng)中，從而解決物聯(lián)網(wǎng)的安全問題。7.1物聯(lián)網(wǎng)安全概述白皮書指出，物聯(lián)網(wǎng)安全研究可以從工控安全、智能汽車安全和智能家居安全3個領域切入。比如，攻擊者可以利用網(wǎng)絡攻破一些智能家用產(chǎn)品的安全防線，像侵占智能設備（恒溫控制器、智能電視、攝像頭），從而獲取用戶隱私信息，帶來安全隱患；再比如，攻擊者可以攻破智能汽車系統(tǒng)，嚴重時可能會威脅人們的生命安全。另外，白皮書給出了物聯(lián)網(wǎng)安全的6個關注點，即物聯(lián)網(wǎng)安全網(wǎng)關、應用層的物聯(lián)網(wǎng)安全服務、漏洞挖掘研究、物聯(lián)網(wǎng)僵尸網(wǎng)絡研究、區(qū)塊鏈技術和物聯(lián)網(wǎng)設備安全設計，為信息安全行業(yè)廠商進軍物聯(lián)網(wǎng)萬億級藍海提供了指導方向。白皮書指出，目前物聯(lián)網(wǎng)設備制造商沒有強大的安全背景，也缺乏標準來說明一個產(chǎn)品是否是安全的。很多安全問題來自于不安全的設計。綠盟科技建議，信息安全廠商要做到三點：一是提供安全的開發(fā)規(guī)范，提高產(chǎn)品的安全性；二是將安全模塊內(nèi)置于物聯(lián)網(wǎng)產(chǎn)品中，對設備提供更好的安全防護；三是對出廠設備進行安全檢測，及時發(fā)現(xiàn)設備中的漏洞并協(xié)助廠商進行修復。7.1物聯(lián)網(wǎng)安全概述在2017世界移動通信大會期間，華為與西班牙網(wǎng)絡安全局、聯(lián)合發(fā)布了名為《共建可信可管的物聯(lián)網(wǎng)世界》的白皮書。該白皮書分析了物聯(lián)網(wǎng)安全技術的發(fā)展現(xiàn)狀，總結了物聯(lián)網(wǎng)安全實踐，提出了物聯(lián)網(wǎng)需要通過多重的端到端安全防御機制來確保安全。白皮書還倡導，物聯(lián)網(wǎng)的安全需要各國政府、國際組織和行業(yè)共同建設，在政策引導、法律頒布、標準制定、技術創(chuàng)新和產(chǎn)業(yè)生態(tài)等方面加大投入，促進物聯(lián)網(wǎng)產(chǎn)業(yè)的健康發(fā)展。此外，西班牙網(wǎng)絡安全局還提出了一系列國內(nèi)和國際層面的網(wǎng)絡安全倡議。該白皮書的發(fā)布將推動物聯(lián)網(wǎng)安全政策的執(zhí)行，引導企業(yè)實施安全策略，推動所有相關方共建可信可管的物聯(lián)網(wǎng)世界。7.1物聯(lián)網(wǎng)安全概述目前，ARM和賽門鐵克公司在感知層安全方面的實力比較強。據(jù)了解，ARM公司推出了兩款基于ARMv8-M架構的低成本32位MCUCortex-M23和Cortex-M33芯片，它們將得到市場認可的安全技術拓展到要求最為苛刻的物聯(lián)網(wǎng)終端節(jié)點；另外，賽門鐵克擬通過在物聯(lián)網(wǎng)終端中植入基于半輕量級EC密碼的根證書，以及物聯(lián)網(wǎng)終端設備的全球唯一標識和認證技術，實現(xiàn)對物聯(lián)網(wǎng)設備的安全認證。目前，Sigfox和LoRa公司在傳輸層安全方面的實力比較強。從近幾年的市場發(fā)展狀況來看，低功耗廣域網(wǎng)（LPWAN）作為面向物聯(lián)網(wǎng)應用而設計的專用網(wǎng)絡受到了市場的喜愛。Sigfox和LoRa公司在這個領域持續(xù)領跑市場，已經(jīng)在多個國家和地區(qū)部署。當然，低功耗廣域網(wǎng)作為新興事物在安全方面必然要受到行業(yè)質(zhì)疑。據(jù)了解，Sigfox和LoRa公司也投入了巨大的金錢和精力來保障安全，特別是LoRa以生態(tài)系統(tǒng)的形式做安全防護，推動其網(wǎng)絡安全部署。在國內(nèi)，華為以不同的形式來推動網(wǎng)絡基礎設施的建設。其主要是聯(lián)合多家國際大企業(yè)通過3GPP國際組織推動NB-IoT技術，NB-IoT可以使用移動通信的核心基礎設施（如基站），通過很小的改造和升級，服務于物聯(lián)網(wǎng)數(shù)據(jù)傳輸業(yè)務。雖然NB-IoT標準已于2016年6月份發(fā)布，但由于受多項標準和許可審批等方面的限制，到目前為止，NB-IoT網(wǎng)絡的實際部署和應用進展緩慢。7.1物聯(lián)網(wǎng)安全概述由于物聯(lián)網(wǎng)的應用領域非常廣泛，而這些應用在應用層又沒有統(tǒng)一的安全平臺和標準，因此，各物聯(lián)網(wǎng)企業(yè)在應用層方面的研究也各有特點。應用層是物聯(lián)網(wǎng)三層結構中的最頂層，主要對感知層所采集數(shù)據(jù)進行計算、處理和知識挖掘，從而實現(xiàn)對物理世界進行實時控制、精確管理和科學決策。物聯(lián)網(wǎng)的處理應用層主要是云計算平臺及其服務，包括大數(shù)據(jù)處理。因此物聯(lián)網(wǎng)處理應用層的安全就是處理平臺本身的安全和其所提供的服務的安全。在這方面，幾乎每個物聯(lián)網(wǎng)處理平臺都有自己的特色。7.1物聯(lián)網(wǎng)安全概述物聯(lián)網(wǎng)是一個復雜多樣、跨度大的系統(tǒng)，在安全防護方面要進行體系化治理，就需要具備整體解決方案能力的公司。目前，國際上許多安全公司聲稱自己提供這方面的服務。例如，賽門鐵克聲稱提供物聯(lián)網(wǎng)安全整體解決方案，也發(fā)布了一些研究報告；Amazon以AWSIoT解決方案云平臺作為物聯(lián)網(wǎng)整體解決方案，Intel旗下風河公司也提供物聯(lián)網(wǎng)安全解決方案。國內(nèi)為物聯(lián)網(wǎng)提供整體安全解決方案的企業(yè)還不多。在這方面，匡恩網(wǎng)絡則走在了技術創(chuàng)新前沿。據(jù)了解，匡恩網(wǎng)絡集結了一批信息安全領域的尖端人才和專家，以其在工業(yè)領域的安全防護領先技術為基礎，針對物聯(lián)網(wǎng)的感知層安全研發(fā)了物聯(lián)網(wǎng)安全網(wǎng)關，可有效解決感知層安全問題；針對物聯(lián)網(wǎng)的傳輸層安全研發(fā)了安全交換機，以加強網(wǎng)絡傳輸層的安全保護；針對處理應用層研發(fā)了工業(yè)大數(shù)據(jù)態(tài)勢感知平臺等。這些產(chǎn)品之間相互配合，從整體上提供工業(yè)物聯(lián)網(wǎng)系統(tǒng)全產(chǎn)業(yè)鏈的安全服務，并逐步將其解決方案應用于其他物聯(lián)網(wǎng)行業(yè)。7.1物聯(lián)網(wǎng)安全概述物聯(lián)網(wǎng)的安全需求7物聯(lián)網(wǎng)系統(tǒng)的安全和一般IT系統(tǒng)的安全基本一樣，主要有8個尺度：讀取控制隱私保護用戶認證不可抵賴性數(shù)據(jù)保密性通信層安全數(shù)據(jù)完整性隨時可用性前4項主要處在物聯(lián)網(wǎng)三層架構的應用層，后4項主要位于傳輸層和感知層。其中，隱私權和可信度（數(shù)據(jù)完整性和數(shù)據(jù)保密性）問題在物聯(lián)網(wǎng)體系中尤其受關注。7.1物聯(lián)網(wǎng)安全概述物聯(lián)網(wǎng)的安全需求7物聯(lián)網(wǎng)系統(tǒng)的安全和一般IT系統(tǒng)的安全基本一樣，主要有8個尺度：讀取控制隱私保護用戶認證不可抵賴性數(shù)據(jù)保密性通信層安全數(shù)據(jù)完整性隨時可用性前4項主要處在物聯(lián)網(wǎng)三層架構的應用層，后4項主要位于傳輸層和感知層。其中，隱私權和可信度（數(shù)據(jù)完整性和數(shù)據(jù)保密性）問題在物聯(lián)網(wǎng)體系中尤其受關注。相較于傳統(tǒng)網(wǎng)絡，物聯(lián)網(wǎng)的感知節(jié)點大都部署在無人監(jiān)控的環(huán)境，具有能力脆弱、資源受限等特點，并且由于物聯(lián)網(wǎng)是在現(xiàn)有的網(wǎng)絡基礎上擴展了感知網(wǎng)絡和應用平臺，傳統(tǒng)網(wǎng)絡安全措施不足以提供可靠的安全保障，從而使得物聯(lián)網(wǎng)的安全問題具有特殊性。7.1物聯(lián)網(wǎng)安全概述1從物聯(lián)網(wǎng)的構成要素分析物聯(lián)網(wǎng)的構成要素包括傳感器、傳輸系統(tǒng)（泛在網(wǎng)）及處理系統(tǒng)，因此物聯(lián)網(wǎng)的安全形態(tài)表現(xiàn)在這3個要素上。就物理安全而言，主要表現(xiàn)在傳感器的安全方面，包括對傳感器的干擾、屏蔽、信號截獲等。就運行安全而言，則存在于各個要素中，即涉及傳感器、傳輸系統(tǒng)及處理系統(tǒng)的正常運行，這方面與傳統(tǒng)的信息安全基本相同。數(shù)據(jù)安全也是存在于各個要素中，要求在傳感器、傳輸系統(tǒng)、處理系統(tǒng)中的信息不會出現(xiàn)被竊取、被篡改、被偽造、被抵賴等。傳感器與無線傳感器網(wǎng)絡所面臨的問題比傳統(tǒng)的信息安全更為復雜，因為傳感器與無線傳感器網(wǎng)絡可能會因為能量受限的問題而不能運行過于復雜的保護體系。7.1物聯(lián)網(wǎng)安全概述2從物聯(lián)網(wǎng)的保護要素分析物聯(lián)網(wǎng)的保護要素是可用性、機密性、可鑒別性與可控性。其中，可用性是從體系上來保障物聯(lián)網(wǎng)的健壯性、可生存性；機密性是要構建整體的加密體系來保護物聯(lián)網(wǎng)的數(shù)據(jù)隱私；可鑒別性是要構建完整的信任體系來保證所有的行為、來源、數(shù)據(jù)的完整性等都是真實可信的；可控性是物聯(lián)網(wǎng)最為特殊的地方，是要采取措施來保證物聯(lián)網(wǎng)不會因為錯誤而帶來控制方面的災難，包括控制判斷的冗余性、控制命令傳輸渠道的可生存性、控制結果的風險評估能力等。7.1物聯(lián)網(wǎng)安全概述3從物聯(lián)網(wǎng)安全的機密性、完整性和可用性分析信息隱私是物聯(lián)網(wǎng)信息機密性的直接體現(xiàn)，如感知終端的位置信息是物聯(lián)網(wǎng)的重要信息資源之一，也是需要保護的敏感信息。另外，在數(shù)據(jù)處理過程中同樣存在隱私保護問題，如基于數(shù)據(jù)挖掘的行為分析等，要建立訪問控制機制，控制物聯(lián)網(wǎng)中信息采集、傳遞和查詢等操作，確保不會由于個人隱私或機構秘密的泄露而對個人或機構造成傷害。信息的加密是實現(xiàn)機密性的重要手段，由于物聯(lián)網(wǎng)的多源異構性，使密鑰管理顯得更為困難，特別是對感知網(wǎng)絡的密鑰管理是制約物聯(lián)網(wǎng)信息機密性的瓶頸。物聯(lián)網(wǎng)的信息完整性和可用性貫穿物聯(lián)網(wǎng)數(shù)據(jù)流的全過程，網(wǎng)絡入侵、拒絕攻擊服務、女巫攻擊、路由攻擊等都會使信息的完整性和可用性受到破壞。同時，物聯(lián)網(wǎng)的感知互動過程也要求網(wǎng)絡具有高度的穩(wěn)定性和可靠性。物聯(lián)網(wǎng)與許多應用領域的物理設備相關聯(lián)，要保證網(wǎng)絡的穩(wěn)定可靠，如在倉儲物流應用領域，物聯(lián)網(wǎng)必須是穩(wěn)定的；要保證網(wǎng)絡的連通性，不能出現(xiàn)互聯(lián)網(wǎng)中電子郵件時常丟失等問題，不然無法準確檢測進庫和出庫的物品。7.1物聯(lián)網(wǎng)安全概述4從物聯(lián)網(wǎng)面臨的安全問題分析從物聯(lián)網(wǎng)的信息處理過程來看，感知信息經(jīng)過采集、匯聚、融合、傳輸、決策與控制等過程，整個信息處理的過程體現(xiàn)了物聯(lián)網(wǎng)安全的特征與要求，也揭示了其所面臨的安全問題。（1）感知網(wǎng)絡的信息采集、傳輸與信息安全問題感知節(jié)點呈現(xiàn)多源異構性，通常情況下感知節(jié)點功能簡單（如自動溫度計）、攜帶能量少（使用電池），使得它們無法擁有復雜的安全保護能力，而感知網(wǎng)絡多種多樣，從溫度測量到水文監(jiān)控，從道路導航到自動控制，它們的數(shù)據(jù)傳輸和消息也沒有特定的標準，所以無法提供統(tǒng)一的安全保護體系，因此要根據(jù)具體的應用去制定相應的標準。7.1物聯(lián)網(wǎng)安全概述（2）核心網(wǎng)絡的傳輸與信息安全問題核心網(wǎng)絡具有相對完整的安全保護能力，但是由于物聯(lián)網(wǎng)中節(jié)點數(shù)量龐大，且以集群方式存在，因此會導致在數(shù)據(jù)傳播時，由于大量機器的數(shù)據(jù)發(fā)送使網(wǎng)絡擁塞，產(chǎn)生拒絕服務攻擊。此外，現(xiàn)有通信網(wǎng)絡的安全架構都是從人通信的角度設計的，對以物為主體的物聯(lián)網(wǎng)，要建立適合于感知信息傳輸與應用的安全架構。（3）物聯(lián)網(wǎng)業(yè)務的安全問題支撐物聯(lián)網(wǎng)業(yè)務的平臺有著不同的安全策略，如云計算、分布式系統(tǒng)、海量信息處理等，這些支撐平臺要為上層服務管理和大規(guī)模行業(yè)應用建立起一個高效、可靠和可信的系統(tǒng)，而大規(guī)模、多平臺、多業(yè)務類型使物聯(lián)網(wǎng)業(yè)務層次的安全面臨新的挑戰(zhàn)，是針對不同的行業(yè)應用建立相應的安全策略，還是建立一個相對獨立的安全架構，這都是需要研究和討論的問題。總之，物聯(lián)網(wǎng)安全的總體需求就是物理安全、信息采集安全、信息傳輸安全和信息處理安全的綜合，安全的最終目標是確保信息的機密性、完整性、真實性和網(wǎng)絡的容錯性。7.1物聯(lián)網(wǎng)安全概述物聯(lián)網(wǎng)的安全體系架構71物聯(lián)網(wǎng)的安全層次模型物聯(lián)網(wǎng)的3個特征分別是全面感知、可靠傳遞和智能處理，因此在分析物聯(lián)網(wǎng)的安全性時，也相應地將其分為3個邏輯層，即感知層、網(wǎng)絡層和應用層。除此之外，在物聯(lián)網(wǎng)的綜合應用方面還應該有一個處理層，它主要完成對采集數(shù)據(jù)的智能處理，并保證數(shù)據(jù)的完整性、有效性和安全性。在某些框架中，處理層與應用層可能被作為統(tǒng)一邏輯層進行處理，但從信息安全的角度考慮，將處理層和應用層獨立出來更容易建立安全架構。結合物聯(lián)網(wǎng)的安全需求、分布式連接和管理（DCM）模式，給出物聯(lián)網(wǎng)的安全層次模型。物聯(lián)網(wǎng)安全層次模型7.1物聯(lián)網(wǎng)安全概述感知層通過各種傳感器節(jié)點獲取各類數(shù)據(jù)，包括物體屬性、環(huán)境狀態(tài)、行為狀態(tài)等動態(tài)和靜態(tài)信息，通過傳感器網(wǎng)絡、射頻讀寫器、GPS、圖像捕捉裝置（如攝像頭）等網(wǎng)絡和設備實現(xiàn)數(shù)據(jù)在感知層的匯聚和傳輸；網(wǎng)絡層主要通過移動通信網(wǎng)、無線網(wǎng)絡、互聯(lián)網(wǎng)等網(wǎng)絡基礎設施，實現(xiàn)對感知層信息的接入和傳輸；處理層是為上層應用服務建立起一個高效、可靠的支撐技術平臺，通過并行數(shù)據(jù)挖掘處理等過程，為應用提供服務，屏蔽底層的網(wǎng)絡、信息的異構性；應用層是根據(jù)用戶的需求，建立相應的業(yè)務模型，運行相應的應用系統(tǒng)。在各個層次中，安全和管理貫穿于其中。7.1物聯(lián)網(wǎng)安全概述2物聯(lián)網(wǎng)的安全技術架構以密碼技術為核心的基礎信息安全平臺及基礎設施建設是物聯(lián)網(wǎng)安全，特別是數(shù)據(jù)隱私保護的基礎，安全平臺同時包括安全事件應急響應中心、數(shù)據(jù)備份和災難恢復設施、安全管理等。物聯(lián)網(wǎng)安全技術架構7.1物聯(lián)網(wǎng)安全概述安全防御技術主要是為了保證信息的安全而采用的一些方法。在物理安全和信息采集安全方面，主要采用針對信息安全基礎核心的安全技術，如密碼技術、高速密碼芯片、PKI（公鑰基礎設施）、信息系統(tǒng)平臺安全等，以保證信息采集過程中節(jié)點不被控制和破壞，信息不被偽造和攻擊。在網(wǎng)絡與信息系統(tǒng)安全方面，主要采用針對網(wǎng)絡環(huán)境的安全技術，如虛擬專用網(wǎng)、安全路由、防火墻、安全域策略等，實現(xiàn)網(wǎng)絡互連過程的安全，旨在確保通信的機密性、完整性和可用性。在信息處理安全方面，主要采用針對信息安全防御的關鍵技術，如攻擊監(jiān)測、內(nèi)容分析、病毒防治、訪問控制、應急反應、戰(zhàn)略預警等，以保證信息的安全處理和存儲。在信息應用安全方面，主要采用針對應用環(huán)境的安全技術，如可信終端、身份認證、訪問控制、安全審計等，以實現(xiàn)應用系統(tǒng)安全運行和信息保護。7.1物聯(lián)網(wǎng)安全概述物聯(lián)網(wǎng)安全的關鍵技術7作為一種多網(wǎng)絡融合的網(wǎng)絡，物聯(lián)網(wǎng)安全涉及各個網(wǎng)絡的不同層次，在這些獨立的網(wǎng)絡中已實際應用了多種安全技術，物聯(lián)網(wǎng)中涉及安全的關鍵技術主要包括密鑰管理機制數(shù)據(jù)處理與隱私性安全路由協(xié)議認證與訪問控制入侵檢測與容侵容錯技術決策與控制安全7.1物聯(lián)網(wǎng)安全概述1密鑰管理機制密鑰作為物聯(lián)網(wǎng)安全技術的基礎，它就像一把大門的鑰匙一樣，在網(wǎng)絡安全中起著決定性作用。對于互聯(lián)網(wǎng)，由于不存在計算機資源的限制，非對稱和對稱密鑰系統(tǒng)都可以適用，移動通信網(wǎng)是一種相對集中式管理的網(wǎng)絡，而無線傳感器網(wǎng)絡和感知節(jié)點由于計算資源的限制，對密鑰系統(tǒng)提出了更多的要求。一是如何構建一個貫穿多個網(wǎng)絡的統(tǒng)一密鑰管理系統(tǒng)，并與物聯(lián)網(wǎng)的體系結構相適應；二是如何解決無線傳感器網(wǎng)絡中的密鑰管理問題，如密鑰的分配、更新、組播等問題。物聯(lián)網(wǎng)密鑰管理系統(tǒng)面臨兩個主要問題：7.1物聯(lián)網(wǎng)安全概述一種是以互聯(lián)網(wǎng)為中心的集中式管理方法；一種是以各自網(wǎng)絡為中心的分布式管理方法；實現(xiàn)統(tǒng)一的密鑰管理系統(tǒng)可以采用兩種方法：在后一種模式下，互聯(lián)網(wǎng)和移動通信網(wǎng)比較容易實現(xiàn)對密鑰進行管理，但在無線傳感器網(wǎng)絡環(huán)境中對匯聚節(jié)點的要求就比較高了。盡管可以在無線傳感器網(wǎng)絡中采用簇頭選擇方法，推選簇頭，形成層次式網(wǎng)絡結構，每個節(jié)點與相應的簇頭通信，簇頭間以及簇頭與匯聚節(jié)點之間進行密鑰的協(xié)商，但對多跳通信的邊緣節(jié)點，以及由于簇頭選擇算法和簇頭本身的能量消耗，使無線傳感器網(wǎng)絡的密鑰管理成為解決問題的關鍵。7.1物聯(lián)網(wǎng)安全概述2數(shù)據(jù)處理與隱私性物聯(lián)網(wǎng)的數(shù)據(jù)要經(jīng)過信息感知、獲取、匯聚、融合、傳輸、存儲、挖掘、決策和控制等處理流程，而末端的感知網(wǎng)絡幾乎要涉及上述信息處理的全過程，只是由于傳感節(jié)點與匯聚節(jié)點的資源限制，在信息的挖掘和決策方面不占據(jù)主要的位置。物聯(lián)網(wǎng)應用不僅面臨信息采集的安全性，也要考慮到信息傳送的私密性，要求信息不能被篡改和非授權用戶使用，同時，還要考慮到網(wǎng)絡的可靠、可信和安全。物聯(lián)網(wǎng)能否大規(guī)模推廣應用，很大程度上取決于其是否能夠保障用戶數(shù)據(jù)和隱私的安全。7.1物聯(lián)網(wǎng)安全概述就無線傳感器網(wǎng)絡而言，在信息的感知采集階段就要進行相關的安全處理，如對RFID采集的信息進行輕量級的加密處理后，再傳送到匯聚節(jié)點。這里要關注的是對光學標簽的信息采集處理與安全，作為感知端的物體身份標識，光學標簽顯示了獨特的優(yōu)勢，而虛擬光學的加密解密技術為基于光學標簽的身份標識提供了手段，基于軟件的虛擬光學密碼系統(tǒng)由于可以在光波的多個維度進行信息的加密處理，比一般傳統(tǒng)的對稱加密系統(tǒng)具有更高的安全性，數(shù)學模型的建立和軟件技術的發(fā)展極大地推動了該領域的研究和應用推廣。7.1物聯(lián)網(wǎng)安全概述數(shù)據(jù)處理過程中涉及基于位置的服務和在信息處理過程中的隱私保護問題。ACM（國際計算機學會）于2008年成立了SIGSPATIAL（空間信息專業(yè)委員會），致力于空間信息理論與應用研究?；谖恢玫姆帐俏锫?lián)網(wǎng)提供的基本功能，是定位、電子地圖、基于位置的數(shù)據(jù)挖掘和發(fā)現(xiàn)、自適應表達等技術的融合。定位技術目前主要有GPS定位、基于手機的定位、無線傳感器網(wǎng)絡定位等。無線傳感器網(wǎng)絡的定位主要是射頻識別、藍牙及ZigBee等?；谖恢玫姆彰媾R嚴峻的隱私保護問題，這既是安全問題，也是法律問題。歐洲通過了《隱私與電子通信法》，對隱私保護問題給出了明確的法律規(guī)定。7.1物聯(lián)網(wǎng)安全概述基于位置服務中的隱私內(nèi)容涉及兩個方面：一是位置隱私，二是查詢隱私。位置隱私中的位置指用戶過去或現(xiàn)在的位置，查詢隱私指敏感信息的查詢與挖掘，如某用戶經(jīng)常查詢某區(qū)域的餐館或醫(yī)院，可以分析該用戶的居住位置、收入狀況、生活行為、健康狀況等敏感信息，造成個人隱私信息的泄露。查詢隱私就是數(shù)據(jù)處理過程中的隱私保護問題。所以，我們面臨一個困難的選擇，一方面希望提供盡可能精確的位置服務，另一方面又希望個人的隱私得到保護，這就需要在技術上給予保證。目前的隱私保護方法主要有位置偽裝、時空匿名、空間加密等。7.1物聯(lián)網(wǎng)安全概述3安全路由協(xié)議物聯(lián)網(wǎng)的路由要跨越多類網(wǎng)絡，有基于IP地址的互聯(lián)網(wǎng)路由協(xié)議、有基于標識的移動通信網(wǎng)和無線傳感器網(wǎng)絡的路由算法，因此至少要解決兩個問題：一是多網(wǎng)融合的路由問題；二是無線傳感器網(wǎng)絡的路由問題。前者可以考慮將身份標識映射成類似的IP地址，實現(xiàn)基于地址的統(tǒng)一路由體系；后者是由于無線傳感器網(wǎng)絡的計算資源的局限性和易受到攻擊的特點，要設計抗攻擊的安全路由算法。7.1物聯(lián)網(wǎng)安全概述目前，國內(nèi)外學者提出了多種無線傳感器網(wǎng)絡路由協(xié)議，這些路由協(xié)議最初的設計目標通常是以最小的通信、計算和存儲開銷完成節(jié)點間的數(shù)據(jù)傳輸，但是這些路由協(xié)議大都沒有考慮到安全問題。實際上由于無線傳感器節(jié)點電量有限、計算能力有限、存儲容量有限、部署在野外等特點，使得它極易受到各類攻擊。無線傳感器網(wǎng)絡路由協(xié)議常受到的攻擊主要有虛假路由信息攻擊選擇性轉發(fā)攻擊污水池攻擊女巫攻擊蟲洞攻擊Hello泛洪攻擊確認攻擊7.1物聯(lián)網(wǎng)安全概述4認證與訪問控制1）認證認證是指使用者采用某種方式來證明自己確實是自己宣稱的某人。網(wǎng)絡中的認證主要包括身份認證和消息認證。身份認證可以使通信雙方確信對方的身份并交換會話密鑰。保密性和及時性是認證的密鑰交換中兩個重要的問題。為了防止假冒和會話密鑰的泄露，用戶標識和會話密鑰這樣的重要信息必須以密文的形式傳送，這就需要事先已有能用于這一目的的主密鑰或公鑰。因為可能存在消息重放，所以及時性非常重要，在最壞的情況下，攻擊者可以利用重放攻擊威脅會話密鑰或者成功假冒另一方。消息認證中主要是接收方希望能夠保證其接收的消息確實來自真正的發(fā)送方。有時收發(fā)雙方不同時在線，例如在電子郵件系統(tǒng)中，電子郵件消息發(fā)送到接收方的電子郵件中，并一直存放在郵箱中直至接收方讀取為止。廣播認證是一種特殊的消息認證形式，在廣播認證中一方廣播的消息被多方認證。7.1物聯(lián)網(wǎng)安全概述傳統(tǒng)的認證是區(qū)分不同層次的，網(wǎng)絡層的認證負責網(wǎng)絡層的身份鑒別，業(yè)務層的認證負責業(yè)務層的身份鑒別，兩者獨立存在。但是在物聯(lián)網(wǎng)中，業(yè)務應用與網(wǎng)絡通信緊緊地綁在一起，認證有其特殊性。例如，當物聯(lián)網(wǎng)的業(yè)務由運營商提供時，那么就可以充分利用網(wǎng)絡層認證的結果而不需要進行業(yè)務層的認證；當業(yè)務是敏感業(yè)務如金融類業(yè)務時，一般業(yè)務提供者會不信任網(wǎng)絡層的安全級別，而使用更高級別的安全保護，那么這個時候就需要做業(yè)務層的認證；當業(yè)務是普通業(yè)務時，如氣溫采集業(yè)務等，業(yè)務提供者認為網(wǎng)絡認證已經(jīng)足夠，那么就不再需要業(yè)務層的認證。7.1物聯(lián)網(wǎng)安全概述在物聯(lián)網(wǎng)的認證過程中，無線傳感器網(wǎng)絡的認證機制是重要的研究部分，無線傳感器網(wǎng)絡中的認證技術主要包括基于輕量級公鑰的認證技術預共享密鑰的認證技術隨機密鑰預分布的認證技術利用輔助信息的認證基于單向散列函數(shù)的認證7.1物聯(lián)網(wǎng)安全概述（1）基于輕量級公鑰算法的認證技術鑒于經(jīng)典的公鑰算法需要高計算量，在資源有限的無線傳感器網(wǎng)絡中不具有可操作性，當前有一些研究正致力于對公鑰算法進行優(yōu)化設計，使其能適應于無線傳感器網(wǎng)絡，但在能耗和資源方面還存在很大的改進空間，如基于RSA公鑰算法的TinyPK認證方案，以及基于身份標識的認證算法等。（2）基于預共享密鑰的認證技術SNEP方案中提出兩種配置方法：一是節(jié)點之間的共享密鑰，二是每個節(jié)點和基站之間的共享密鑰。這類方案使用每對節(jié)點之間共享一個主密鑰，可以在任何一對節(jié)點之間建立安全通信。缺點表現(xiàn)為擴展性和抗捕獲能力較差，任意一節(jié)點被俘獲后就會暴露密鑰信息，進而導致全網(wǎng)絡癱瘓。（3）基于單向散列函數(shù)的認證方法該類方法主要用在廣播認證中，由單向散列函數(shù)生成一個密鑰鏈，利用單向散列函數(shù)的不可逆性，保證密鑰不可預測。通過某種方式依次公布密鑰鏈中的密鑰，可以對消息進行認證。目前基于單向散列函數(shù)的廣播認證方法主要是對μTESLA協(xié)議的改進。μTESLA協(xié)議以TESLA協(xié)議為基礎，對密鑰更新過程、初始認證過程進行了改進，使其能夠在無線傳感器網(wǎng)絡有效實施。7.1物聯(lián)網(wǎng)安全概述2）訪問控制訪問控制是對用戶合法使用資源的認證和控制，目前信息系統(tǒng)的訪問控制主要是基于角色的訪問控制機制（RBAC）及其擴展模型。RBAC機制主要由Sandhu于1996年提出的基本模型RBAC96構成，一個用戶先由系統(tǒng)分配一個角色，如管理員、普通用戶等，登錄系統(tǒng)后，根據(jù)用戶的角色所設置的訪問策略實現(xiàn)對資源的訪問，顯然，同樣的角色可以訪問同樣的資源。RBAC機制是基于互聯(lián)網(wǎng)的OA系統(tǒng)、銀行系統(tǒng)、網(wǎng)上商店等系統(tǒng)的訪問控制方法，是基于用戶的。對物聯(lián)網(wǎng)而言，末端是感知網(wǎng)絡，可能是一個感知節(jié)點或一個物體，采用用戶角色的形式進行資源的控制顯得不夠靈活，一是本身基于角色的訪問控制在分布式的網(wǎng)絡環(huán)境中已呈現(xiàn)出不相適應的地方，如對具有時間約束資源的訪問控制，訪問控制的多層次適應性等方面需要進一步探討；二是節(jié)點不是用戶，是各類傳感器或其他設備，且種類繁多，基于角色的訪問控制機制中角色類型無法一一對應這些節(jié)點，因此，使RBAC機制難以實現(xiàn)；三是物聯(lián)網(wǎng)表現(xiàn)的是信息的感知互動過程，包含了信息的處理、決策和控制等過程，特別是反向控制是物物互連的特征之一，資源的訪問呈現(xiàn)動態(tài)性和多層次性，而RBAC機制中一旦用戶被指定為某種角色，他的可訪問資源就相對固定了。所以，尋求新的訪問控制機制是物聯(lián)網(wǎng)，也是互聯(lián)網(wǎng)值得研究的問題。7.1物聯(lián)網(wǎng)安全概述5入侵檢測與容侵容錯技術容侵是指在網(wǎng)絡中存在惡意入侵的情況下，網(wǎng)絡仍然能夠正常地運行。無線傳感器網(wǎng)絡的安全隱患在于網(wǎng)絡部署區(qū)域的開放特性及無線電網(wǎng)絡的廣播特性，攻擊者往往利用這兩個特性，通過阻礙網(wǎng)絡中節(jié)點的正常工作，進而破壞整個無線傳感器網(wǎng)絡的運行，降低網(wǎng)絡的可用性。無人值守的惡劣環(huán)境導致無線傳感器網(wǎng)絡缺少傳統(tǒng)網(wǎng)絡中的物理上的安全，傳感器節(jié)點很容易被攻擊者俘獲、毀壞或妥協(xié)?，F(xiàn)階段無線傳感器網(wǎng)絡的容侵技術主要集中于網(wǎng)絡的拓撲容侵、安全路由容侵及數(shù)據(jù)傳輸過程中的容侵機制。7.1物聯(lián)網(wǎng)安全概述無線傳感器網(wǎng)絡可用性的另一個要求是網(wǎng)絡的容錯性。一般意義上的容錯性是指在故障存在的情況下系統(tǒng)不失效、仍然能夠正常工作的特性。無線傳感器網(wǎng)絡的容錯性指的是當部分節(jié)點或鏈路失效后，網(wǎng)絡能夠進行傳輸數(shù)據(jù)的恢復或者網(wǎng)絡結構自愈，從而盡可能減小節(jié)點或鏈路失效對無線傳感器網(wǎng)絡功能的影響。由于傳感器節(jié)點在能量、存儲空間、計算能力和通信帶寬等諸多方面都受限，而且通常工作在惡劣的環(huán)境中，網(wǎng)絡中的傳感器節(jié)點經(jīng)常會出現(xiàn)失效的狀況。因此，容錯性成為無線傳感器網(wǎng)絡中一個重要的設計因素，容錯技術也是無線傳感器網(wǎng)絡研究的一個重要領域。7.1物聯(lián)網(wǎng)安全概述提示目前，無線傳感器網(wǎng)絡容錯技術領域的研究主要集中在3個方面。（1）網(wǎng)絡拓撲中的容錯。通過對無線傳感器網(wǎng)絡設計合理的拓撲結構，保證網(wǎng)絡在出現(xiàn)斷裂的情況下，也能正常進行通信。（2）網(wǎng)絡覆蓋中的容錯。在無線傳感器網(wǎng)絡的部署階段，主要研究在部分節(jié)點、鏈路失效的情況下，如何事先部署或事后移動、補充傳感器節(jié)點，從而保證對監(jiān)測區(qū)域的覆蓋和保持網(wǎng)絡節(jié)點之間的連通。（3）數(shù)據(jù)檢測中的容錯機制。主要研究在惡劣的網(wǎng)絡環(huán)境中，當一些特定事件發(fā)生時，處于事件發(fā)生區(qū)域的節(jié)點如何能夠正確獲取到數(shù)據(jù)。7.1物聯(lián)網(wǎng)安全概述6決策與控制安全物聯(lián)網(wǎng)的數(shù)據(jù)是一個雙向流動的信息流，一是從感知端采集物理世界的各種信息，經(jīng)過數(shù)據(jù)的處理，存儲在網(wǎng)絡的數(shù)據(jù)庫中；二是根據(jù)用戶的需求，進行數(shù)據(jù)的挖掘、決策和控制，實現(xiàn)與物理世界中任何互連物體的互動。在數(shù)據(jù)采集處理中我們討論了相關的隱私性等安全問題，而決策控制又將涉及另一個安全問題，如可靠性等。前面討論的認證和訪問控制機制可以對用戶進行認證，使合法的用戶才能使用相關的數(shù)據(jù)，并對系統(tǒng)進行控制操作。但問題是如何保證決策和控制的正確性和可靠性。在傳統(tǒng)的無線傳感器網(wǎng)絡中由于側重對感知端的信息獲取，對決策控制的安全考慮不多，互聯(lián)網(wǎng)的應用也是側重于信息的獲取與挖掘，較少應用對第三方的控制。而物聯(lián)網(wǎng)中對物體的控制將是重要的組成部分，需要進一步更深入地研究。7.1物聯(lián)網(wǎng)安全概述物聯(lián)網(wǎng)安全的研究重點7綠盟科技2016年發(fā)布的《物聯(lián)網(wǎng)安全白皮書》指出了物聯(lián)網(wǎng)安全的6大研究重點。物聯(lián)網(wǎng)安全網(wǎng)關應用層的物聯(lián)網(wǎng)安全服務漏洞挖掘研究物聯(lián)網(wǎng)僵尸網(wǎng)絡研究區(qū)塊鏈技術物聯(lián)網(wǎng)設備安全設計7.1物聯(lián)網(wǎng)安全概述1物聯(lián)網(wǎng)安全網(wǎng)關物聯(lián)網(wǎng)網(wǎng)關，作為一個新的名詞，在未來的物聯(lián)網(wǎng)中將會扮演非常重要的角色，它將成為連接感知網(wǎng)絡與傳統(tǒng)通信網(wǎng)絡的紐帶。作為網(wǎng)關設備，物聯(lián)網(wǎng)網(wǎng)關可以實現(xiàn)感知網(wǎng)絡與通信網(wǎng)絡，以及不同類型感知網(wǎng)絡之間的協(xié)議轉換，既可以實現(xiàn)廣域互聯(lián)，也可以實現(xiàn)局域互聯(lián)。此外，物聯(lián)網(wǎng)網(wǎng)關還需要具備設備管理功能，運營商通過物聯(lián)網(wǎng)網(wǎng)關設備可以管理底層的各感知節(jié)點，了解各節(jié)點的相關信息，并實現(xiàn)遠程控制。物聯(lián)網(wǎng)設備缺乏認證和授權標準，有些甚至沒有相關設計，對于連接到公網(wǎng)的設備，這將導致可通過公網(wǎng)直接對其進行訪問。另外，也很難保證設備的認證和授權實現(xiàn)沒有問題，且所有設備都進行完備的認證未必現(xiàn)實（設備的功耗等），這時可考慮額外加一層認證環(huán)節(jié)，只有認證通過，才能夠對其進行訪問。可結合大數(shù)據(jù)分析提供自適應訪問控制和細粒度訪問控制。7.1物聯(lián)網(wǎng)安全概述知識庫自適應訪問控制：研究安全設備按需編排模型，對于設備的異常行為進行安全防護，限制惡意用戶對于物聯(lián)網(wǎng)設備的訪問。細粒度訪問控制：研究基于屬性的訪問控制模型，使設備根據(jù)其屬性按需細粒度訪問內(nèi)部網(wǎng)絡的資源。7.1物聯(lián)網(wǎng)安全概述未來物聯(lián)網(wǎng)網(wǎng)關可以發(fā)展成富應用平臺，就像當下的手機一樣。一是對于用戶體驗和交互性來說，擁有本地接口和數(shù)據(jù)存儲是非常有用的；二是即使與互聯(lián)網(wǎng)的連接中斷，這些應用也需要持續(xù)工作。物理網(wǎng)關對于嵌入式設備可以提供有用的安全保護。低功耗操作和受限的軟件支持意味著頻繁的固件更新代價太高甚至不可能實現(xiàn)。反而，網(wǎng)關可以主動更新軟件（高級防火墻）以保護嵌入式設備免受攻擊。實現(xiàn)這些特性需要重新思考運行在網(wǎng)關上的操作系統(tǒng)和其機制。軟件定義邊界可以被用來隱藏服務器和服務器與設備的交互，從而最大化地保障安全和運行時間。同時，安全網(wǎng)關還可與云端通信，實現(xiàn)對于設備的OTA升級，可以定期對內(nèi)網(wǎng)設備狀態(tài)進行檢測，并將檢測結果上傳到云端進行分析等。但是，也應意識到安全網(wǎng)關的局限性，安全網(wǎng)關更適用于對于固定場所中外部與內(nèi)部連接之間的防護，如家庭、企業(yè)等，對于一些需要移動的設備的安全，如智能手環(huán)等，或者內(nèi)部使用無線通信的環(huán)境，則可能需要使用其他的方式來解決。7.1物聯(lián)網(wǎng)安全概述2應用層的物聯(lián)網(wǎng)安全服務應用層的物聯(lián)網(wǎng)安全服務主要包含兩個方面：一是大數(shù)據(jù)分析驅動的安全，二是對于已有的安全能力的集成。感知層由于設備性能所限，并不具備分析海量數(shù)據(jù)的能力，也不具備關聯(lián)多種數(shù)據(jù)發(fā)現(xiàn)異常的能力，一種自然的思路是在感知層與網(wǎng)絡層的連接處提供一個安全網(wǎng)關，安全網(wǎng)關負責采集數(shù)據(jù)，如流量數(shù)據(jù)、設備狀態(tài)等，這些數(shù)據(jù)上傳到應用層，利用應用層的數(shù)據(jù)分析能力進行分析，根據(jù)分析結果下發(fā)相應指令。傳統(tǒng)Web安全中的安全能力，如URL信譽服務、IP信譽服務等，同樣可以集成到物聯(lián)網(wǎng)環(huán)境中，可作為安全服務模塊，由用戶自行選擇。7.1物聯(lián)網(wǎng)安全概述3漏洞挖掘研究物聯(lián)網(wǎng)漏洞挖掘主要關注兩個方面：一是網(wǎng)絡協(xié)議的漏洞挖掘，二是嵌入式操作系統(tǒng)的漏洞挖掘。它們分別對應網(wǎng)絡層和感知層。應用層大多采用云平臺，屬于云安全的范疇，可應用已有的云安全防護措施。在現(xiàn)代的汽車、工控等物聯(lián)網(wǎng)行業(yè)，各種網(wǎng)絡協(xié)議被廣泛使用，這些網(wǎng)絡協(xié)議帶來了大量的安全問題。需要利用一些漏洞挖掘技術對物聯(lián)網(wǎng)中的協(xié)議進行漏洞挖掘，先于攻擊者發(fā)現(xiàn)并及時修補漏洞，有效減少來自黑客的威脅，提升系統(tǒng)的安全性。物聯(lián)網(wǎng)設備多使用嵌入式操作系統(tǒng)，如果這些嵌入式操作系統(tǒng)遭受了攻擊，將會對整個設備造成很大的影響。對嵌入式操作系統(tǒng)的漏洞挖掘也是一個重要的物聯(lián)網(wǎng)安全研究方向。7.1物聯(lián)網(wǎng)安全概述4物聯(lián)網(wǎng)僵尸網(wǎng)絡研究2016年最為有名的物聯(lián)網(wǎng)僵尸網(wǎng)絡Mirai，通過感染網(wǎng)絡攝像頭等物聯(lián)網(wǎng)設備進行傳播，發(fā)動了大規(guī)模的DDoS攻擊。它對BrianKrebs個人網(wǎng)站和法國網(wǎng)絡服務商OVH發(fā)動了DDoS攻擊。對于美國Dyn公司的攻擊，Mirai也貢獻了部分流量。對于物聯(lián)網(wǎng)僵尸網(wǎng)絡的研究，包括傳播機理、檢測、防護和清除方法等。7.1物聯(lián)網(wǎng)安全概述5區(qū)塊鏈技術區(qū)塊鏈解決的核心問題是在信息不對稱、不確定的環(huán)境下，如何建立滿足經(jīng)濟活動賴以發(fā)生、發(fā)展的“信任”生態(tài)體系。在物聯(lián)網(wǎng)環(huán)境中，所有日常家居物件都能自發(fā)、自動地與其他物件或外界世界進行互動，但是必須解決物聯(lián)網(wǎng)設備之間的信任問題。在傳統(tǒng)的中心化系統(tǒng)中，信任機制比較容易建立，存在一個可信的第三方來管理所有的設備的身份信息。但是物聯(lián)網(wǎng)環(huán)境中設備眾多，未來可能會達到百億級別，這會對可信第三方造成很大的壓力。區(qū)塊鏈系統(tǒng)網(wǎng)絡是典型的P2P網(wǎng)絡，具有分布式異構特征，而物聯(lián)網(wǎng)天然具備分布式特征，網(wǎng)中的每一個設備都能管理自己在交互作用中的角色、行為和規(guī)則，對建立區(qū)塊鏈系統(tǒng)的共識機制具有重要的支持作用。7.1物聯(lián)網(wǎng)安全概述6物聯(lián)網(wǎng)設備安全設計物聯(lián)網(wǎng)設備制造商并沒有很強的安全背景，也缺乏標準來說明一個產(chǎn)品是否安全。很多安全問題來自于不安全的設計。信息安全廠商可以做三點：一是提供安全的開發(fā)規(guī)范，進行安全開發(fā)培訓，指導物聯(lián)網(wǎng)領域的開發(fā)人員進行安全開發(fā)，提高產(chǎn)品的安全性；二是將安全模塊內(nèi)置于物聯(lián)網(wǎng)產(chǎn)品中，比如工控領域對于實時性的要求很高，而且一旦部署可能很多年都不會對其進行替換，這時的安全可能更偏重于安全評估和檢測，如果將安全模塊融入設備的制造過程，將能顯著降低安全模塊的開銷，對設備提供更好的安全防護；三是對出廠設備進行安全檢測，及時發(fā)現(xiàn)設備中的漏洞并協(xié)助生產(chǎn)廠商進行修復。7.2RFID安全技術

RFID系統(tǒng)的安全問題及安全需求71RFID系統(tǒng)的安全問題RFID系統(tǒng)同傳統(tǒng)的Internet一樣，容易受到各種攻擊，這主要是由于標簽和讀寫器之間的通信是通過電磁波的形式實現(xiàn)的，其過程中沒有任何物理或者可視的接觸，這種非接觸和無線通信存在嚴重安全隱患。例如，在RFID系統(tǒng)應用過程中，攻擊者通過向RFID系統(tǒng)提供不能辨認的虛假信息欺騙系統(tǒng)或發(fā)送大量的錯誤信息，導致RFID系統(tǒng)拒絕服務或中斷正常通信；攻擊者通過向標簽數(shù)據(jù)儲存區(qū)寫入非法命令，并將命令以數(shù)據(jù)形式傳輸?shù)胶笈_服務器，導致系統(tǒng)被非法訪問和控制；攻擊者通過截取并記錄標簽返回到讀寫器的部分數(shù)據(jù)信息，再重新發(fā)送給讀寫器，導致讀寫器與攻擊者建立通信。同時，由于RFID標簽的成本和功耗受限，這都極大地限制了系統(tǒng)的處理運算能力和安全算法實現(xiàn)能力，進一步增加了系統(tǒng)的安全隱患。7.2RFID安全技術1）RFID標識自身訪問的安全性問題由于標簽成本、工藝和功耗受限，其本身并不包含完善的安全模塊，使之很難具備足以自身保證安全的能力，這樣就很容易被攻擊者操控，其數(shù)據(jù)大多采用簡單的加密機制進行傳輸，很容易被復制、篡改甚至刪除。特別是對于無源標簽，由于缺乏自身能量供應系統(tǒng)，標簽芯片很容易受到“耗盡”攻擊。未授權用戶可以通過合法的讀寫器直接與RFID標簽進行通信。這樣，就可以很容易地獲取RFID標識中的數(shù)據(jù)并能夠修改。此外，標簽的一致開放性對于個人隱私、企業(yè)利益和公共安全都形成了風險，容易造成隱私泄露。7.2RFID安全技術2）通信信道的安全性問題由于RFID使用的是無線通信信道，這就容易遭受攻擊。攻擊者可以非法截取通信數(shù)據(jù)；可以通過發(fā)射干擾信號來堵塞通信鏈路，使得讀寫器過載，無法接收正常的標簽數(shù)據(jù)，制造拒絕服務攻擊；可以冒名頂替向RFID發(fā)送數(shù)據(jù)，篡改或偽造數(shù)據(jù)。RFID系統(tǒng)的通信鏈路包括前端標簽到讀寫器的空中接口無線鏈路和后端讀寫器到后臺系統(tǒng)的計算機網(wǎng)絡。在前端空中接口鏈路中，由于無線傳輸信號本身具有開放性，使得數(shù)據(jù)安全性十分脆弱，給非法用戶的非法操作帶來了方便，攻擊者可以利用非法的讀寫器攔截數(shù)據(jù)；可以阻塞通信信道進行DOS攻擊；可以假冒用戶身份篡改、刪除標簽數(shù)據(jù)等。該環(huán)節(jié)是RFID系統(tǒng)安全研究的重點。在后端通信鏈路中，系統(tǒng)面臨著傳統(tǒng)計算機網(wǎng)絡普遍存在的安全問題，屬于傳統(tǒng)信息安全的范疇，具有相對成熟的安全機制，可以認為具有較好的安全性。7.2RFID安全技術3）RFID讀寫器的安全性問題由于RFID讀寫器自身可以被偽造；RFID讀寫器與主機之間的通信可以采用傳統(tǒng)的攻擊方法截獲，所以RFID讀寫器自然也是攻擊者要攻擊的對象。由此可見，RFID所遇到的安全問題要比通常的計算機網(wǎng)絡安全問題復雜得多。4）物理破壞物理破壞是指針對RFID設備的損壞和攻擊。攻擊者一般會毀壞附在物品上的標簽，或使用一些屏蔽措施如“法拉第籠”使RFID的標簽失效。對于這些破壞性的攻擊，主要考慮使用監(jiān)控設備進行監(jiān)視、將標簽隱藏在產(chǎn)品中等傳統(tǒng)方法。另外，“KILL”命令和“RFIDZapper”的惡意使用或者誤用也會使RFID的標簽永久失效。為了降低惡意使用或者誤用“KILL”命令帶來的風險，在Class-1Gen-2EPC標準中，“KILL”命令的使用必須要有一個32位的密碼認證。7.2RFID安全技術5）“中間人”攻擊攻擊者將一個設備秘密地放置在合法的RFID標簽和讀寫器之間。該設備可以攔截甚至修改合法標簽與讀寫器之間發(fā)射的無線電信號。目前在技術上一般利用往返時延及信號強度等指標來檢測標簽和讀寫器之間的距離，以此來檢測是否存在“中間人”攻擊。比較著名的有Hancke&Kuhn提出基于超寬帶脈沖通信的距離限協(xié)議。之后，Reid等人研究了基于超寬帶脈沖通信的距離限協(xié)議的缺陷，然后提出了另一種基于XOR操作的距離限協(xié)議。6）對中間件的攻擊緩沖器溢出和惡意代碼植入是常見的對中間件的攻擊。緩沖器溢出使程序隨意執(zhí)行代碼，從而危及中間件后臺系統(tǒng)安全。惡意代碼植入是入侵者先制作惡意鏈接，欺騙用戶點擊，激活時這些腳本將執(zhí)行攻擊。7）隱私保護相關問題隱私問題主要是指跟蹤定位問題，即攻擊者通過標簽的響應信息來追蹤定位標簽。要想達到反追蹤的目的，首先應該做到ID匿名。其次，我們還應考慮前向安全性。前向安全性是指如果一個攻擊者獲取了該標簽當前發(fā)出的信息，那么攻擊者用該信息仍然不能夠確定該標簽以前的歷史信息。這樣，就能有效防止攻擊者對標簽進行追蹤定位。7.1物聯(lián)網(wǎng)安全概述不可追蹤性可區(qū)分性前向安全性后向安全性同步性2RFID系統(tǒng)的安全需求根據(jù)前面對現(xiàn)存RFID安全問題的分類和分析，著重針對隱私保護和數(shù)據(jù)通信中存在的安全問題提出了RFID系統(tǒng)應滿足的安全要求，包括不可追蹤性、可區(qū)分性、前向安全性、后向安全性和同步性5個方面。7.2RFID安全技術1）不可追蹤性為了有效保護標簽持有者的隱私和合法利益，必須保證標簽輸出的信息不僅可以區(qū)分，而且攻擊者不能從雙方通信的信息中得到區(qū)分標簽的信息，更不能從此次通信的信息中得出目標標簽下次通信的信息特點，對標簽進行跟蹤。否則會將持有者的安全、隱私、個人行蹤都暴露給攻擊者。因此，通信的協(xié)議的設計必須要保證標簽的不可追蹤性。2）可區(qū)分性對于大量使用標簽的RFID系統(tǒng)，對于讀寫器來說不同標簽在同一時刻的輸出應該具有可區(qū)分性；對于攻擊者來說標簽的輸出要保證不可區(qū)分性。這主要是針對攻擊者有可能利用標簽的輸出信息，通過分析、綜合后，對目的標簽進行跟蹤，進行下一步的不法活動。因此，在標簽的認證過程中要保證標簽是可區(qū)分的，但是對于攻擊者來說標簽的輸出信息要保證不可區(qū)分性，這樣才能保證整個RFID系統(tǒng)的安全性。7.2RFID安全技術3）前向安全性前向安全性是指即使攻擊者獲得了某次通信過程中的全部信息，也不能利用截獲的信息來獲得關于目標標簽以前的信息，比如在何時、何地認證的，標簽所處的環(huán)境信息等。對于供應鏈系統(tǒng)的RFID系統(tǒng)來說，前向安全性是很重要的需求，可以保護商業(yè)機密，對于目標標簽整個生產(chǎn)、銷售等各個環(huán)節(jié)都有很好的保護。4）后向安全性后向安全性是指即使攻擊者獲得了認證過程中的所有信息，且攻擊者有強大的攻擊能力，也不能從這些信息中來破解標簽以后的認證消息、標簽的具體位置。相對來說，前向安全性更加重要一點，但是后向安全性也能確保整個RFID系統(tǒng)具有更好的安全性。7.2RFID安全技術5）同步性對于需要對共享信息進行更新的系統(tǒng)來說，攻擊者如果在某次認證過程中阻塞、篡改了更新消息，就會在后端數(shù)據(jù)庫和標簽的共享信息中出現(xiàn)不同步狀態(tài)，秘密信息不相同。這樣在下次認證時，對于目標標簽就會拒絕認證。因此，對于上述系統(tǒng)中的安全隱患，在構建認證協(xié)議的時候要考慮到。實際上，由于RFID系統(tǒng)的計算能力有限，除了需要考慮上述安全性需求外，算法的復雜度和系統(tǒng)的開銷、成本等方面也必須予以考慮。如果盲目追求安全保密性，而導致系統(tǒng)開銷和成本急劇上升，其應用場合必然受到限制，結果也沒有太大的實際意義。因此，需要在系統(tǒng)安全性和系統(tǒng)性能及成本之間進行權衡，找到一個可以接受的平衡點。7.2RFID安全技術

RFID系統(tǒng)的安全解決方案71RFID系統(tǒng)解決方案的基本特征一種比較完善的RFID系統(tǒng)安全解決方案應該具備機密性完整性可用性真實性隱私性7.2RFID安全技術1）機密性RFID標簽不應當向未被授權的讀寫器泄露任何信息。在許多應用中，RFID標簽中所包含的信息關系重大，因而一個完備的RFID安全方案必須能夠保證標簽中的信息只能被授權的讀寫器所訪問。事實上，目前情況下射頻標簽和讀寫器之間的通信大多數(shù)是不受保護的，因而未采用安全機制的射頻標簽會向鄰近的讀寫器泄露標簽內(nèi)容。由于缺乏支持點對點加密和PKI密鑰交換的功能，在RFID系統(tǒng)應用過程中，攻擊者能夠獲取并利用射頻標簽上的內(nèi)容。同時由于讀寫器到射頻標簽的前向信道具有較大的覆蓋范圍，因而它比從射頻標簽到讀寫器的后向信道更加不安全。攻擊者可以通過采用竊聽技術，分析微處理器正常工作時產(chǎn)生的電磁特征，來獲得射頻標簽和讀寫器之間或其他RFID通信設備之間的通信數(shù)據(jù)。7.2RFID安全技術2）完整性在通信過程中，數(shù)據(jù)完整性能夠保證接收者收到的信息在傳輸過程中沒有被攻擊者篡改或替換。在基于公鑰的密碼體制中，數(shù)據(jù)完整性一般是通過數(shù)字簽名來完成的，但資源有限的RFID系統(tǒng)難以采用這種代價昂貴的密碼算法。在RFID系統(tǒng)中，通常使用消息認證碼來進行數(shù)據(jù)完整性的檢驗，它使用的是一種帶有共享密鑰的散列算法，即將共享密鑰和待檢驗的消息連接在一起進行散列運算，對數(shù)據(jù)的任何細微改動都會對消息認證碼的值產(chǎn)生較大影響。事實上，在讀寫器和射頻標簽的通信過程中，傳輸信息的完整性無法得到保障。如果不采用訪問控制機制，可寫的射頻讀寫標簽有可能被攻擊者所控制，攻擊者利用軟件、微處理器的接口，通過掃描射頻讀寫標簽和響應讀寫器的探尋，尋求安全協(xié)議、加密算法及其實現(xiàn)機制上的漏洞，進而刪除RFID射頻標簽內(nèi)容或篡改可重寫射頻標簽內(nèi)容。在通信接口處使用校驗和的方法也僅僅能夠檢測隨機錯誤的發(fā)生。7.2RFID安全技術3）可用性RFID系統(tǒng)的安全解決方案所提供的各種服務能夠被授權的用戶使用，并能有效防止非法攻擊者企圖中斷RFID服務的惡意攻擊。一個合理的安全方案應該具有節(jié)能的特點，各種安全協(xié)議和算法的設計不應太復雜，并盡可能避開公鑰運算，計算開銷、存儲容量和通信能力也應當充分考慮RFID系統(tǒng)資源有限的特點，從而使得能量消耗最小化。同時安全性設計方案不應當限制RFID系統(tǒng)的可用性，并能夠有效防止攻擊者對射頻標簽資源的惡意消耗。事實上，由于無線通信本身固有的脆弱性，大多數(shù)RFID系統(tǒng)極易受到攻擊者的破壞。攻擊者可以通過頻率干擾的手段，產(chǎn)生異常的應用環(huán)境，使合法處理器產(chǎn)生故障進而在上層服務實現(xiàn)拒絕服務攻擊，也可以使用阻塞信道的方法來中斷讀寫器與所有或特定標簽的通信。7.2RFID安全技術4）真實性射頻標簽的身份認證在RFID系統(tǒng)的許多應用中是非常重要的。攻擊者可以從獲取的射頻標簽實體，通過武力手段在實驗室環(huán)境下去除封裝，使用微探針獲取敏感信息，進而重構目標射頻標簽，達到偽造射頻標簽的目的。攻擊者可以利用偽造射頻標簽代替實際物品或通過重寫合法的RFID射頻標簽內(nèi)容，使用低價物品標簽的內(nèi)容代替高價物品射頻標簽的內(nèi)容從而獲取非法利益。同時，攻擊者也可以通過某種方式隱藏標簽，使讀寫器無法發(fā)現(xiàn)該標簽，從而成功實施物品轉移。讀寫器只有通過身份認證才能確信消息是從正確的射頻標簽處發(fā)送過來的。在傳統(tǒng)的有線網(wǎng)絡中，通常使用數(shù)字簽名或數(shù)字證書來進行身份驗證，但這種公鑰算法不適用于通信能力、計算速度和存儲空間相當有限的射頻標簽。7.2RFID安全技術5）隱私性一個安全的RFID應用系統(tǒng)應當能夠保護使用者的隱私信息和相關的經(jīng)濟實體的商業(yè)利益。事實上，目前的RFID系統(tǒng)面臨著位置保密和實時跟蹤的安全風險。個人攜帶物品的射頻標簽可能會泄露個人身份，通過讀寫器能夠跟蹤攜帶不安全標簽的個人，并將這些信息進行綜合和分析，就可以獲得使用者個人喜好和行蹤等隱私信息。同時，情報人員也可能通過跟蹤不安全的標簽來獲得有用的商業(yè)機密。7.2RFID安全技術2RFID系統(tǒng)的安全解決方案RFID安全技術研究的原則是在標簽有限的硬件資源條件下，開發(fā)出一種高效、可靠和具有一定強度的安全機制。然而，RFID安全和隱私保護與成本之間是相互制約的。針對RFID系統(tǒng)中存在的一系列安全問題，國內(nèi)外的學者進行了廣泛和深入的研究與探索，并取得了一定的成果。當前，實現(xiàn)RFID安全機制所采用的方法主要有物理方法安全認證機制分布式環(huán)境下的安全方案7.2RFID安全技術1）物理方法保護RFID系統(tǒng)安全性的物理方法主要有5類：封殺標簽法裁剪標簽法法拉第籠法主動干擾法阻塞標簽法這些方法主要用于一些低成本的標簽中，因為這類標簽有嚴格的成本限制，難以采用復雜的密碼機制來實現(xiàn)標簽與讀寫器之間的通信安全。7.2RFID安全技術封殺標簽的方法是在物品被購買后，利用協(xié)議中的Kill指令使標簽失效，這是由標準化組織Auto-ID中心提出的方案。它可以完全杜絕物品的ID號被非法讀取，但是該方法以犧牲RFID的性能為代價換取了隱私的保護，使得RFID的標簽功能盡失，是不可逆的操作，如顧客需要退換商品時，則無法再次驗證商品的信息。（1）封殺標簽法IBM公司針對RFID的隱私問題，開發(fā)了一種“裁剪標簽”技術，消費者能夠將RFID天線扯掉或者刮除，大大縮短了標簽的可讀取范圍，使標簽不能被遠端的讀寫器隨意讀取。IBM的裁剪標簽法，彌補了封殺標簽法的短處，使得標簽的讀取距離縮短到1～2英寸，可以防止攻擊者在遠處非法監(jiān)聽和跟蹤標簽。（2）裁剪標簽法7.2RFID安全技術法拉第籠法根據(jù)電磁波屏蔽原理，采用金屬絲網(wǎng)制成電磁波不能穿透的容器，用以放置帶有RFID標簽的物品。根據(jù)電磁場的理論，無線電波可以被由傳導材料構成的容器所屏蔽。當我們將標簽放入法拉第網(wǎng)籠內(nèi)，可以阻止標簽被掃描，被動標簽接收不到信號，不能獲得能量，而主動標簽不能將信號發(fā)射出去。利用法拉第網(wǎng)籠同時可以阻止隱私侵犯者的掃描。例如，當貨幣嵌入RFID標簽以后，可以利用法拉第網(wǎng)籠原理，在錢包的周圍裹上金屬箔片，防止他人掃描得知身上所帶的現(xiàn)金數(shù)量。此方法是一種初級的物理方法，比較適合用于體積小的RFID物品的隱私保護。但如果此方法被濫用，還有可能成為商場盜竊的另一種手段。（3）法拉第籠法主動干擾法使用某些特殊裝置干擾RFID讀寫器的掃描，破壞和抵制非法的讀取過程。主動干擾無線電信號是另一種屏蔽標簽的方法。標簽用戶可以通過一個設備主動廣播無線電信號，用于阻止或破壞附近的RFID讀寫器的操作。但這種方法可能導致非法干擾，使附近其他合法的RFID系統(tǒng)受到干擾，也可能阻斷附近其他無線系統(tǒng)。（4）主動干擾法7.2RFID安全技術阻塞標簽法也稱RSA軟阻塞器，是指內(nèi)置在購物袋中的標簽，在物品被購買后，禁止讀寫器讀取袋中所購物品上的標簽。EPCglobal第二代標準具有這項功能。阻塞標簽法基于二進制樹查詢算法，它通過模擬標簽ID的方式干擾算法的查詢過程。（5）阻塞標簽法阻塞標簽可以模擬RFID標簽中所有可能的ID集合，從而避免標簽的真實ID被查詢到。該方法也可以將模擬ID的范圍定為二進制樹的某子樹，子樹內(nèi)的標簽有固定的前綴，當讀寫器查詢ID的固定前綴時，阻塞標簽不起作用。當查詢到固定前綴的后面幾位時，阻塞標簽將阻礙查詢過程。通過這種方式，選擇性阻塞標簽可以用于阻止讀寫器查詢具有任意固定前綴的標簽。阻塞標簽法可以有效防止非法掃描，最大的優(yōu)點是RFID標簽基本上不需要修改，也不需要執(zhí)行加解密運算，減少了標簽的成本，而且阻塞標簽的價格可以做到和普通標簽價格相當，這使得阻塞標簽可以作為一種有效的隱私保護工具。但缺點是阻塞標簽可以模擬多個標簽存在的情況，攻擊者可利用數(shù)量有限的阻塞標簽向讀寫器發(fā)動拒絕服務攻擊。另外，阻塞標簽有其保護范圍，超出隱私保護范圍的標簽無法得到保護。7.2RFID安全技術2）安全認證機制由于各種物理安全機制存在著這樣或那樣的缺陷和不足，因此基于密碼技術的安全機制更加受到人們的關注。嚴格的RFID安全機制應該能同時包括認證和加密兩種功能。針對低端RFID系統(tǒng)，設計切實可行的讀寫器與標簽之間的相互認證方案，是實現(xiàn)低成本RFID系統(tǒng)信息安全的重要途徑。Hash（哈希）鎖是一種較完善的抵制標簽未授權訪問的安全與隱私技術，整個方案只需要采用Hash函數(shù)，因此成本很低，方案原理是讀寫器存儲每個標簽的訪問密鑰K，對應標簽存儲的元身份為MetaID，其中MetaID=Hash(K)。標簽接收到讀寫器訪問請求后發(fā)送MetaID作為響應，讀寫器通過查詢獲得與標簽對應的密鑰K并發(fā)送給標簽，標簽檢查Hash(K)是否與MetaID相同，相同則解鎖，發(fā)送標簽真實ID給讀寫器。（1）Hash鎖方案7.2RFID安全技術（2）隨機Hash鎖方案作為Hash鎖的擴展，隨機Hash鎖解決了標簽位置隱私問題。采用隨機Hash鎖方案，讀寫器每次訪問標簽的輸出信息都不同。隨機Hash鎖的原理是標簽包含Hash函數(shù)和隨機數(shù)發(fā)生器，后臺服務器數(shù)據(jù)庫存儲所有標簽ID。讀寫器請求訪問標簽，標簽接收到訪問請求后，由Hash函數(shù)計算標簽ID與隨機數(shù)r（由隨機數(shù)發(fā)生器生成）的Hash值。標簽發(fā)送數(shù)據(jù)給請求的讀寫器，同時讀寫器發(fā)送給后臺服務器數(shù)據(jù)庫，后臺服務器數(shù)據(jù)庫窮舉搜索所有標簽ID和r的Hash值，判斷是否為對應標簽ID，標簽接收到讀寫器發(fā)送的ID后解鎖。盡管Hash函數(shù)可以在低成本的情況下完成，但要集成隨機數(shù)發(fā)生器到計算能力有限的低成本被動標簽，確實很困難。其次，隨機Hash鎖雖然解決了標簽位置隱私問題，但一旦標簽的秘密信息被截獲，隱私侵犯者就可以獲得訪問控制權，通過信息回溯得到標簽歷史記錄，推斷標簽持有者隱私。后臺服務器數(shù)據(jù)庫的解碼操作是通過窮舉搜索，需要對所有的標簽進行窮舉搜索和Hash函數(shù)計算，因此存在拒絕服務攻擊的風險。7.2RFID安全技術（3）Hash鏈方案作為Hash方法的一個發(fā)展，為了解決可跟蹤性，標簽使用了Hash函數(shù)在每次讀寫器訪問后自動更新標識符的方案。Hash鏈原理是標簽在存儲器中設置一個隨機的初始化標識符S1，這個標識符也存儲到后臺數(shù)據(jù)庫。標簽包含兩個Hash函數(shù)G和H。當讀寫器請求訪問標簽時，標簽返回當前標簽標識符ak=G(Sk)給讀寫器，標簽從電磁場獲得能量時自動更新標識符Sk+1=H(Sk)。與之前的Hash方案相比，Hash鏈的主要優(yōu)點是提供了前向安全性。然而，它并不能阻止重放攻擊，并且該方案每次識別時都需要進行窮舉搜索，比較后臺數(shù)據(jù)庫中的每個標簽。一旦標簽規(guī)模擴大，后端服務器的計算負擔將急劇增大。因此Hash鏈方案存在著所有標簽自動更新標識符方案的通用缺點，難以大規(guī)模擴展。同時，因為需要窮舉搜索，所以存在拒絕服務攻擊的風險。7.2RFID安全技術（4）匿名ID方案采用匿名ID，隱私侵犯者即使在消息傳遞過程中截獲標簽信息也不能獲得標簽的真實ID。該方案通過第三方數(shù)據(jù)加密裝置采用公鑰加密、私鑰加密或者添加隨機數(shù)生成匿名標簽ID。雖然標簽信息只需要采用隨機讀取存儲器（RAM）存儲，成本較低，但數(shù)據(jù)加密裝置與高級加密算法都將導致系統(tǒng)的成本增加。由于標簽ID加密以后仍具有固定輸出，這使得標簽的跟蹤成為可能，故存在標簽位置隱私問題。并且，該方案的實施前提是讀寫器與后臺服務器的通信建立在可信通道上。7.2RFID安全技術（5）重加密方案該方案采用公鑰加密，標簽可以在用戶請求下通過第三方數(shù)據(jù)加密裝置定期對標簽數(shù)據(jù)進行重寫。因采用公鑰加密，大量的計算負載超出了標簽的能力，通常這個過程由讀寫器來處理。該方案存在的最大缺陷是標簽的數(shù)據(jù)必須經(jīng)常重寫，否則，即使加密標簽ID固定的輸出也將導致標簽定位隱私泄露。與匿名ID方案相似，標簽數(shù)據(jù)加密裝置與公鑰加密將導致系統(tǒng)成本的增加，使得大規(guī)模的應用受到限制，并且頻繁的重復加密操作也會給實際操作帶來困難。隨著RFID標簽越來越普遍地出現(xiàn)在人們的日常生產(chǎn)和生活當中，也產(chǎn)生了許多新的安全和隱私問題。對低成本RFID標簽的追求，使得現(xiàn)有的密碼技術難以應用。如何根據(jù)RFID標簽有限的計算資源設計出安全有效的安全技術解決方案，仍然是一個具有相當挑戰(zhàn)性的課題。為了有效保護數(shù)據(jù)安全和個人隱私，引導RFID的合理應用和健康發(fā)展，還需要建立和制定完善的RFID安全與隱私保護法規(guī)、政策。7.2RFID安全技術3）分布式環(huán)境下的安全方案目前，分布式環(huán)境下的安全方案主要有David等提出的數(shù)字圖書館RFID協(xié)議和Rhee等提出的基于分布式數(shù)據(jù)庫環(huán)境的RFID認證協(xié)議。前者使用基于預共享秘密的偽隨機函數(shù)來實現(xiàn)認證，而后者則是典型的“詢問－應答”型雙向認證協(xié)議。這兩種方案都能滿足系統(tǒng)的安全性需求。但是為了支持這兩個協(xié)議，必須在標簽電路中包含比較復雜的電路和函數(shù)功能模塊，因此它們不適用于低成本的RFID系統(tǒng)。4）其他解決方案這里要介紹的是一種基于多個讀寫器的隨機讀取控制Hash鎖改進方法。工作原理為：讀寫器要查詢射頻標簽ID，當系統(tǒng)中有多個讀寫器時，這些讀寫器可能有相同或不同的ReaderID。當這些讀寫器有不同的ReaderID時，標簽需要首先確定該讀寫器是否被認證。若讀寫器被認證，標簽則響應讀寫器并讓讀寫器獲取其ID。在響應讀寫器并讓讀寫器獲得標簽ID信息前，讀寫器和標簽確定了認證機制。因為讀寫器的ReaderID提前存儲在標簽的RAM中，所以標簽通過讀寫器ID識別出有權限的讀寫器。標簽不響應沒有權限的讀寫器，因此不可能被攻擊者跟蹤（因為讀寫器都有權限）。另外，這種權限化過程是基于標簽產(chǎn)生的隨機數(shù)，故還可以防止攻擊者的哄騙。7.2RFID安全技術（1）防止竊聽在認證過程中，即使攻擊者竊聽到讀寫器的輸出a(k)，也不能在下一步獲得認證。因為每一認證過程中需要的a(k)值是變化的。前一次認證的a(k)值對于后一次認證來說是無意義的。認證完成后，射頻標簽輸出Hash(TagID)而不是TagID。因為Hash方程很難求其反函數(shù)，所以攻擊者捕獲到輸出的Hash(TagID)值，也不能得到TagID的值?？傊?，該方法即使在讀寫器和射頻標簽之間的通信遭遇到竊聽時，也是安全的。（2）防止跟蹤射頻標簽只對被認證的讀寫器響應。因為沒有標簽輸出，所以攻擊者不能通過跟蹤標簽來獲知客戶剛付費買的是什么。這樣，客戶位置隱私和攜帶的物品就得到了保護。7.2RFID安全技術（3）低計算負載該改進方法運算速度快，成本低。當要從N個已知的射頻標簽中識別出一個時，讀寫器只需要執(zhí)行一次Hash操作和N次ID搜索，而隨機讀取控制Hash鎖方法至少需要N次Hash操作和N次ID搜索。顯然在同一安全級上，該改進方法的計算負載顯著降低。（4）適用于大量射頻標簽因為計算負載低，并且隨著射頻標簽的數(shù)量增加而緩慢增加，所以該方法適合于有大量標簽存在的需要被保護的RFID系統(tǒng)。7.3無線傳感器網(wǎng)絡安全無線傳感器網(wǎng)絡的安全目標7（1）可用性無線傳感器網(wǎng)絡在遭受DOS攻擊時，主要功能還能夠正常工作，也就是說攻擊不能使網(wǎng)絡癱瘓。（2）機密性保證網(wǎng)絡中的一些敏感信息不被未授權的實體竊聽，除了傳感器節(jié)點收集到的敏感信息外，路由信息也可能要求被保密。如在軍事領域，如果路由信息被竊取，敵方可能找到重要攻擊目標而發(fā)動攻擊。（3）完整性保證信息在傳輸?shù)倪^程中沒有被篡改或出錯。由于無線信號原因或攻擊者的破壞，可能導致信息報文的不完整。（4）認證認證是節(jié)點相互建立信任機制的基礎。如果沒有認證，惡意節(jié)點就可以冒充正常節(jié)點竊聽敏感信息，干擾其他節(jié)點正常工作或發(fā)動其他攻擊，如DOS攻擊。（5）抗抵賴性確保節(jié)點對自己的行為不能抵賴。譬如，節(jié)點A收到節(jié)點B發(fā)出的惡意報文進行報警，此時節(jié)點B不能抵賴已發(fā)送惡意報文的事實。7.3無線傳感器網(wǎng)絡安全無線傳感器網(wǎng)絡面臨的攻擊及防御機制71物理層面臨的攻擊及防御方法物理層的攻擊主要集中在物理破壞、節(jié)點捕獲、信號干擾、竊聽和篡改等。攻擊者可以通過流量分析，發(fā)現(xiàn)重要節(jié)點如簇頭、基站的位置，然后發(fā)動物理攻擊。因為采用無線通信，低成本的傳感器網(wǎng)絡很容易遭受信號干擾和竊聽攻擊。其防御對策有擴頻通信，如跳頻；如果干擾不是持續(xù)的，在非干擾間歇內(nèi)可以發(fā)送優(yōu)先級高的信息來降低干擾破壞程度；另一種方法是切換到其他通信方式，如紅外線、光等，其缺點是成本比較高。而防止竊聽攻擊的有效方法是對敏感通信信息進行加密。1）信號干擾和竊聽攻擊及防御方法7.3無線傳感器網(wǎng)絡安全由于傳感器節(jié)點分布廣，成本低，很容易遭到物理損壞或被捕獲，因此一些加密密鑰和機密信息就可能被破壞或泄露，攻擊者甚至可利用獲得的信息對整個網(wǎng)絡進行攻擊，如篡改報文內(nèi)容。而攻擊者能夠篡改路由報文的根本原因在于節(jié)點無法對路由報文進行完整性檢測，因此對付篡改攻擊的方法是對整個路由報文或其中的關鍵信息加入報文鑒別碼MAC。節(jié)點在收到路由報文之后，先進行完整性檢測，通過后才能進行下一步處理，以防止報文被非法篡改。另外，還需要結合入侵檢測系統(tǒng)IDS找到并清除這些被捕俘節(jié)點，更新加密密鑰。在實際應用中，對節(jié)點進行物理偽裝和隱藏也是躲避物理破壞攻擊的有效方法。2）篡改和物理破壞攻擊及防御方法因為很多路由協(xié)議并不認證報文的地址，所以攻擊者可以聲稱為某個合法節(jié)點而加入網(wǎng)絡，甚至能夠屏蔽某些合法節(jié)點，替它們收發(fā)報文。造成這種攻擊的根本原因是節(jié)點未能鑒別報文的來源。因此對付仿冒節(jié)點攻擊的有效方法是網(wǎng)絡各節(jié)點之間進行相互認證。對于節(jié)點的行為，首先要進行身份認證，確定為合法節(jié)點才能接收和發(fā)送報文。3）仿冒節(jié)點攻擊及防御方法7.3無線傳感器網(wǎng)絡安全2鏈路層面臨的攻擊及防御方法鏈路層比較容易遭受DOS攻擊，攻擊者可以通過分析流量來確定通信鏈路，發(fā)動相應攻擊，如對主要通信節(jié)點如簇頭發(fā)動資源消耗攻擊。攻擊者通過花費很小的代價可實行鏈路層沖突攻擊。例如發(fā)送一個字節(jié)的報文破壞正在傳送的正常數(shù)據(jù)包，從而引起接收方校驗和出錯，進而在一些MAC協(xié)議中認為鏈路層沖突，引發(fā)指數(shù)退避機制，造成網(wǎng)絡延遲，甚至癱瘓。校錯碼雖然具有一定的糾錯能力，但是如果攻擊者惡意破壞數(shù)據(jù)包的較多數(shù)據(jù)位，校錯碼將無法糾正這些數(shù)據(jù)位而失效，并且校錯碼本身也會產(chǎn)生額外的CPU處理和通信開銷，造成網(wǎng)絡負荷過重。沖突檢測機制雖然能檢測出沖突節(jié)點，但難以判斷沖突節(jié)點是否為惡意節(jié)點。因此，關于鏈路層攻擊的防御機制仍需進一步研究。1）鏈路層沖突攻擊及防御方法7.3無線傳感器網(wǎng)絡安全攻擊者發(fā)送大量的無用報文消耗網(wǎng)絡和節(jié)點資源，如帶寬、內(nèi)存、CPU、電池等。例如剝奪睡眠攻擊，攻擊者不停發(fā)送報文，使得節(jié)點的電源很快耗盡，從而達到DOS攻擊效果。這種攻擊的防御方法之一是在MAC層限制節(jié)點發(fā)送數(shù)據(jù)報的速度，使得攻擊者不能發(fā)送大量的無用報文。另外，鄰居節(jié)點也可以監(jiān)視節(jié)點的反常行為，降低頻繁發(fā)送報文節(jié)點的發(fā)送優(yōu)先級。2）資源消耗攻擊及防御方法3網(wǎng)絡層面臨的攻擊及防御方法主要是通過改變兩個節(jié)點之間的路由信息進行攻擊。攻擊者可以偽造并廣播假的路由信息。例如，廣播某條存在的路由已中斷，或編造一條并不存在的路由。這類攻擊可造成路由回路、分割網(wǎng)絡、孤立節(jié)點、增長和縮短路由路徑、增加端到端的延遲、吸引或排斥通信流量造成網(wǎng)絡流量不均衡等后果。其根本原因在于節(jié)點無法驗證報文的內(nèi)容。因為要隨時掌握整個網(wǎng)絡的連通情況，才能辨別某個節(jié)點所發(fā)出信息的真假，因此防止偽造路由攻擊比較困難，防御方法主要是通過入侵檢測系統(tǒng)來檢測和清除這些入侵節(jié)點。1）路由信息的欺騙、篡改或回放攻擊及防御方法7.3無線傳感器網(wǎng)絡安全在按需路由協(xié)議中，節(jié)點路由查詢時經(jīng)常采用泛洪查詢，可能會導致一個節(jié)點收到多個相同的路由查詢報文，這時節(jié)點只會處理第一個到達的路由查詢報文，而將其他相同的路由查詢報文拋棄。Rushing攻擊就利用這個弱點，攻擊者比其他節(jié)點更快地轉發(fā)路由查詢報文，使得其他節(jié)點首先收到它轉發(fā)的報文。2）Rushing攻擊及防御方法這將導致兩個問題，其一，攻擊者短時間內(nèi)發(fā)送大量的路由查詢，令其遍歷整個網(wǎng)絡，從而使得其他節(jié)點正常的路由查詢由于無法提交處理而被拋棄；其二，所有建立的路由都要通過攻擊者。Y-C．Hu等人提出了通過隨機轉發(fā)的方法防御Rushing攻擊。其方法是將節(jié)點只處理第一個收到的路由查詢報文并拋棄隨后到達的相同路由查詢報文，改變?yōu)楣?jié)點收集一定數(shù)量的相同路由查詢報文，然后選擇其中任意一個進行處理，以阻止Rushing攻擊。7.3無線傳感器網(wǎng)絡安全惡意節(jié)點拒絕轉發(fā)包，但是為了防止被發(fā)現(xiàn)，可能會選擇性地發(fā)些包或將一些報文修改后再轉發(fā)。多路徑路由能有效減少由于這種攻擊所造成的信息丟失。另外，鄰居節(jié)點和基站能監(jiān)視這種行為，降低向這種容易丟包的節(jié)點轉發(fā)包的優(yōu)先級。3）選擇性轉發(fā)攻擊及防御方法攻擊者引誘其他節(jié)點向它發(fā)包，從而創(chuàng)造一個以攻擊者為中心的污水池。比較典型的攻擊方法是攻擊者讓其他節(jié)點根據(jù)路由算法相信它是最好的轉發(fā)選擇，從而吸引其他節(jié)點向它發(fā)包。例如，一個攻擊者可以通過偽造或回放一個廣告，以示它有十分高質(zhì)量的路由到基站。等吸引到其他節(jié)點向它發(fā)包后，再進行其他攻擊，如進行選擇性轉發(fā)攻擊。該類攻擊可采用隨機密鑰預分配機制和基站入侵檢測與響應系統(tǒng)進行防御。4）污水池（Sinkhole）攻擊及防御方法7.3無線傳感器網(wǎng)絡安全女巫攻擊是指一個攻擊節(jié)點假冒多個合法節(jié)點的身份。女巫攻擊能有效地降低容錯機制性能如分布存儲、多路徑路由和拓撲維護。女巫攻擊對基于位置的路由協(xié)議的安全也能產(chǎn)生很大的威脅。因為基于位置的路由需要交換彼此的位置信息，一個女巫攻擊節(jié)點可以使得其他節(jié)點相信很多位置上有它存在，從而導致路由混亂。建立對密鑰能使得任意兩個鄰居節(jié)點相互驗證，即使節(jié)點被捕獲，女巫攻擊也不能對其他鄰居節(jié)點進行攻擊。Douceur建議通過資源測試來確認一個物理節(jié)點的唯一身份。該類攻擊可采用無線波資源測試的方法、隨機密鑰預分配機制、節(jié)點注冊、節(jié)點位置驗證、代碼驗證等方法進行防御。5）女巫（Sybil）攻擊及防御方法7.3無線