《物聯(lián)網(wǎng)技術概論》課件第5章

第5章物聯(lián)網(wǎng)安全5.1物聯(lián)網(wǎng)安全概述5.2物聯(lián)網(wǎng)分層安全體系5.3物聯(lián)網(wǎng)面臨的其他安全風險本章小結

5.1物聯(lián)網(wǎng)安全概述

5.1.1物聯(lián)網(wǎng)安全的特點

與互聯(lián)網(wǎng)不同，物聯(lián)網(wǎng)的特點在于無處不在的數(shù)據(jù)感知、以無線為主的信息傳輸和智能化的信息處理。從物聯(lián)網(wǎng)的整個信息處理過程來看，感知信息經(jīng)過采集、匯聚、融合、傳輸、決策與控制等過程，體現(xiàn)了與傳統(tǒng)的網(wǎng)絡安全不同的特點。

物聯(lián)網(wǎng)的安全特征體現(xiàn)了感知信息的多樣性、網(wǎng)絡環(huán)境的異構性和應用需求的復雜性，呈現(xiàn)出網(wǎng)絡的規(guī)模大、數(shù)據(jù)的處理量大及決策控制復雜等特點，這對物聯(lián)網(wǎng)安全提出了新的挑戰(zhàn)。物聯(lián)網(wǎng)除了面對傳統(tǒng)TCP/IP網(wǎng)絡、無線網(wǎng)絡和移動通信網(wǎng)絡等傳統(tǒng)網(wǎng)絡安全問題之外，還存在著大量自身的特殊安全問題。具體地講，物聯(lián)網(wǎng)的安全主要有以下特點：

(1)物聯(lián)網(wǎng)的設備、節(jié)點等無人看管，容易受到操縱和破壞。物聯(lián)網(wǎng)的許多應用中，設備代替人完成一些復雜、危險和機械的工作，物聯(lián)網(wǎng)中設備、節(jié)點的工作環(huán)境大都是無人監(jiān)控。因此攻擊者很容易接觸到這些設備，從而對設備或嵌入其中的傳感器節(jié)點進行破壞。攻擊者甚至可以通過更換設備的軟硬件，對它們進行非法操控。例如，在遠程輸電過程中，電力企業(yè)可以使用物聯(lián)網(wǎng)來遠程操控一些變電設備。由于缺乏看管，攻擊者可輕易地使用非法裝置來干擾這些變電設備上的傳感器。如果變電設備的某些重要參數(shù)被篡改，后果將會極其嚴重。

(2)信息傳輸主要靠無線通信方式，信號容易被竊取和干擾。物聯(lián)網(wǎng)在信息傳輸中多使用無線傳輸方式，暴露在外的無線信號很容易成為攻擊者竊取和干擾的對象，這會對物聯(lián)網(wǎng)的信息安全產(chǎn)生嚴重的影響。例如，攻擊者可以通過竊取感知節(jié)點發(fā)射的信號，來獲取所需要的信息，甚至是用戶的機密信息并據(jù)此來偽造身份認證，其后果不堪設想。同時，攻擊者也可以在物聯(lián)網(wǎng)無線信號覆蓋的區(qū)域內，通過發(fā)射無線電信號來進行干擾，從而使無線通信網(wǎng)絡不能正常工作，甚至癱瘓。例如，在物流運輸過程中，嵌入在物品中的標簽或讀/寫設備的信號受到惡意干擾，很容易造成一些物品的丟失。

(3)出于低成本的考慮，傳感器節(jié)點通常是資源受限的。物聯(lián)網(wǎng)的許多應用通過部署大量的廉價傳感器覆蓋特定區(qū)域。廉價的傳感器一般體積較小，使用能量有限的電池供電，其能量、處理能力、存儲空間、傳輸距離、無線電頻率和帶寬都受到限制，因此傳感器節(jié)點無法使用較復雜的安全協(xié)議，因而這些傳感器節(jié)點或設備也就無法擁有較強的安全保護能力。攻擊者針對傳感器節(jié)點的這一弱點，可以通過采用連續(xù)通信的方式使節(jié)點的資源耗盡。

(4)物聯(lián)網(wǎng)中物品的信息能夠被自動地獲取和傳送。物聯(lián)網(wǎng)通過對物品的感知實現(xiàn)物物相聯(lián)，如通過RFID(射頻識別)、傳感器、二維識別碼和GPS定位等技術能夠隨時隨地且自動地獲取物品的信息。同樣這種信息也能被攻擊者獲取，在物品的使用者沒有察覺的情況下，物品的使用者將會不受控制地被掃描、定位及追蹤。這無疑對個人的隱私構成了極大的威脅。

物聯(lián)網(wǎng)安全的總體需求是物理安全、信息采集的安全、信息傳輸?shù)陌踩托畔⑻幚淼陌踩?，而最終目標要確保信息的機密性、完整性、真實性和網(wǎng)絡的容錯性。一方面，物聯(lián)網(wǎng)的安全性要求物聯(lián)網(wǎng)中的設備自己必須是安全可靠的，不僅要可靠地完成設計規(guī)定的功能，更不能發(fā)生故障危害到人員或者其他設備的安全；另一方面，它們必須有能力防護自己，在遭受黑客攻擊和外力破壞的時候仍然能夠正常工作。

物聯(lián)網(wǎng)的信息安全建設是一個復雜的系統(tǒng)工程，需要從政策引導、標準制定、技術研發(fā)等多個方面向前推進，提出堅實的信息安全保障手段，保障物聯(lián)網(wǎng)健康、快速地發(fā)展。5.1.2物聯(lián)網(wǎng)安全的特殊性

1.?RFID系統(tǒng)安全問題

RFID作為一種非接觸式的自動識別技術，通過射頻信號自動識別目標對象并獲取相關數(shù)據(jù)，可識別高速運動物體并可同時識別多個標簽。識別工作無需人工干預，操作也非常方便。但是，RFID技術的應用也面臨一個不可忽視的安全問題，RFID標簽、網(wǎng)絡和數(shù)據(jù)等各個環(huán)節(jié)都存在安全隱患。例如，消費物品的RFID標簽可能被用于追蹤及侵犯人們的位置隱私，貼有標簽的商品可能被商業(yè)間諜充分利用，隱私侵犯者通過重寫標簽可以篡改物品信息等。雖然與計算機和網(wǎng)絡的安全問題類似，但RFID技術的安全問題要嚴峻得多，主要表現(xiàn)在以下幾個方面：

(1)各組件的安全脆弱性。在RFID系統(tǒng)中，數(shù)據(jù)隨時受到攻擊，不管是在傳輸中還是已經(jīng)保存在標簽、閱讀器或在后端系統(tǒng)中。

(2)數(shù)據(jù)的脆弱性。一方面每個標簽擁有一個IC，即一個帶存儲器的微芯片，攻擊者可以通過閱讀器或其他手段讀取標簽中的數(shù)據(jù)，在讀/寫標簽的情況下，甚至可能改寫或刪除標簽中的內容；另一方面，閱讀器在收到數(shù)據(jù)以后，要進行一些相關的處理，在處理過程中，數(shù)據(jù)安全可能會受到類似計算機安全脆弱的問題。

(3)通信的脆弱性。標簽和閱讀器互相傳送數(shù)據(jù)通過無線電波進行，在這種交換中，攻擊者可能截取數(shù)據(jù)或者阻塞、欺騙數(shù)據(jù)通信，甚至采用非法標簽發(fā)送數(shù)據(jù)。

RFID系統(tǒng)的主要安全攻擊可簡單地分為主動攻擊和被動攻擊兩種類型。主動攻擊包括以下三種：

(1)利用獲得的RFID標簽實體，通過物理手段在實驗室環(huán)境中去除芯封裝。使用微探針獲取敏感信號，進而進行目標RFID標簽重構的復雜攻擊。

(2)通過軟件并利用微處理器的通用通信接口，從而掃描RFID標簽和響應閱讀器的探詢，尋求安全協(xié)議、加密算法及它們實現(xiàn)的弱點，進而刪除RFID標簽內容或篡改可重寫RFID標簽內容的攻擊。

(3)通過干擾廣播、阻塞信道或其他手段，產(chǎn)生異常的應用環(huán)境，使合法處理器產(chǎn)生故障，拒絕服務的攻擊等。被動攻擊主要包括以下兩個方面：

(1)通過采用竊聽技術，分析微處理器正常工作過程中產(chǎn)生的各種電磁特征，以獲得RFID標簽和閱讀器之間或其他RFID通信設備之間的通信數(shù)據(jù)。

(2)通過閱讀器等竊聽設備，跟蹤商品流通動態(tài)等。

主動攻擊和被動攻擊都使RFID應用系統(tǒng)承受巨大的安全風險。主動攻擊通過物理或軟件方法篡改標簽內容，以及通過刪除標簽內容、干擾廣播及阻塞信道等方法來擾亂合法處理器的正常工作，這是影響RFID應用系統(tǒng)正常使用的重要安全要素。盡管被動攻擊不改變RFID標簽的內容，也不影響RFID應用系統(tǒng)的正常工作，但它是獲取RFID信息、個人隱私和物品流通信息的重要手段，這也是RFID應用系統(tǒng)的重要安全隱患。

2.感知網(wǎng)絡的傳輸與信息安全

物聯(lián)網(wǎng)在很多場合都需要無線傳輸，對這種暴露在公開場所之中的信號，如果沒有合適適的保護機制，很容易被竊取，也更容易被干擾。在這個過程中，它所面臨的安全風險與RFID并沒有本質區(qū)別。此外，感知節(jié)點呈現(xiàn)多源異構性,感知節(jié)點通常情況下功能簡單、攜帶能量少，使得它們無法擁有復雜的安全保護能力；感知網(wǎng)絡多種多樣，從溫度測量到水文監(jiān)控、從道路導航到自動控制，它們的數(shù)據(jù)傳輸和消息沒有特定的標準，因此沒辦法提供統(tǒng)一的安全保護體系。

1)傳感器節(jié)點被俘獲

無線傳感器網(wǎng)絡(簡稱為傳感器網(wǎng)絡)在部署時，節(jié)點數(shù)目成千上萬，管理者很難對每個節(jié)點進行有效的監(jiān)控和保護，因而每個節(jié)點都是一個潛在的被攻擊點，都能被攻擊者進行物理和邏輯攻擊。此外，傳感器網(wǎng)絡通常都部署在無人維護的野外環(huán)境中，這更加方便攻擊者在俘獲傳感器節(jié)點后，可以通過傳感器的編程接口(JTAG接口)，修改或獲取傳感器節(jié)點中的敏感信息或代碼，依據(jù)相關研究的分析，攻擊者可利用簡單的工具(計算機、UISP自由軟件)在不到一分鐘的時間內可以把EEPROM、Flash和SRAM中所有的信息傳輸?shù)接嬎銠C，通過匯編軟件可以很方便地把獲取的信息轉換成匯編文件格式，從而分析出傳感器節(jié)點所存儲的程序代碼、路由協(xié)議及密鑰等機密信息，同時還可以修改程序代碼，并加載到傳感器節(jié)點。很顯然，目前通用的傳感器節(jié)點具有很大的安全漏洞，攻擊者通過此漏洞，可方便地獲取傳感器節(jié)點中的機密信息、修改傳感器節(jié)點中的程序代碼，如Sybil攻擊使得傳感器節(jié)點具有多個ID，從而以多個身份在傳感器網(wǎng)絡中進行通信。另外，攻擊者還可以通過獲取存儲在傳感器節(jié)點中的密鑰、代碼等信息，從而偽造或偽裝成合法節(jié)點加入傳感器網(wǎng)絡。一旦控制傳感器網(wǎng)絡中的一部分節(jié)點，攻擊者就可發(fā)動很多種攻擊，如監(jiān)聽傳感器網(wǎng)絡中傳輸?shù)男畔ⅲ騻鞲衅骶W(wǎng)絡中發(fā)布錯誤或虛假的路由信息、傳送虛假的傳感信息，進行拒絕服務攻擊等。針對傳感器節(jié)點被攻擊者俘獲后可能產(chǎn)生嚴重的后果，同時又因為傳感器節(jié)點容易被物理操縱是傳感器網(wǎng)絡不可回避的安全問題，所以必須通過其他的相關技術方案提高傳感器網(wǎng)絡的安全性能。

2)信息竊聽

根據(jù)無線傳感器網(wǎng)絡的傳感信道經(jīng)由無線傳播網(wǎng)絡隨機部署的特點，網(wǎng)絡攻擊者很容易通過節(jié)點之間的傳輸而獲得敏感或者私有的信息，如在通過無線傳感器網(wǎng)絡監(jiān)控室內溫度和燈光的應用中，部署在室外的無線接收器可以獲取室內傳感器發(fā)送過來的溫度和燈光信息；同樣，攻擊者通過監(jiān)聽室內和室外節(jié)點問的信息傳輸，也可以獲知室內信息，從而知道房屋主人的生活習性。目前，信息傳輸主要面臨的威脅有以下幾種：

(1)中斷。路由協(xié)議分組，特別是路由發(fā)現(xiàn)和更新消息時，會被惡意節(jié)點中斷和阻塞。攻擊者可以有選擇地過濾控制消息和路由更新消息，并中斷路由協(xié)議的正常工作。

(2)攔截。路由協(xié)議傳輸?shù)男畔?，如“保持有效”等命令和“是否在線”等查詢，會被攻擊者中途攔截，并重定向到其他節(jié)點，從而擾亂網(wǎng)絡的正常通信。

(3)篡改。攻擊者通過篡改路由協(xié)議分組，破壞分組中信息的完整性，并建立錯誤的路由，造成合法的節(jié)點被排斥在網(wǎng)絡之外。

(4)偽造。無線傳感器網(wǎng)絡內部的惡意節(jié)點可能偽造虛假的路由信息，并把這些信息插入到正常的協(xié)議分組中，對網(wǎng)絡造成破壞。顯然，如果對傳輸信息加密可以解決敏感信息被竊聽的問題，但需要一個靈活強健的密鑰管理方案，密鑰管理方案必須容易部署且適合傳感器節(jié)點資源有限的特點；另外，密鑰管理方案還必須保證部分節(jié)點在被俘獲后，不破壞整個網(wǎng)絡的安全。由于傳感器節(jié)點的內存資源有限，使得在傳感器網(wǎng)絡中實現(xiàn)大多數(shù)節(jié)點之間端到端的安全不切實際。

3)信息私密性

無線傳感器網(wǎng)絡主要是用于收集監(jiān)測對象的信息，網(wǎng)絡攻擊者可以通過竊聽、加入偽造的非法節(jié)點等方式獲取這些敏感信息，如果攻擊者知道怎樣從多路信息中獲取有限信息的相關算法，就可通過大量獲取的信息導出有效信息。攻擊者通過遠程監(jiān)聽無線傳感器網(wǎng)絡，從而獲得大量的信息，并根據(jù)特定算法分析其中的私密問題。因此，攻擊者無需使用物理接觸傳感器節(jié)點這種高風險的方式，使用遠程監(jiān)聽這種方式單個攻擊者就可同時獲取多個節(jié)點傳輸信息的信息竊聽方式。

3.核心網(wǎng)絡的傳輸與信息安全

相對于感知網(wǎng)絡，核心網(wǎng)絡具有相對完整的安全保護能力，但是由于物聯(lián)網(wǎng)中節(jié)點數(shù)量龐大且以集群方式存在，因此在數(shù)據(jù)傳播時，大量機器發(fā)送的數(shù)據(jù)使網(wǎng)絡擁塞，從而產(chǎn)生拒絕服務攻擊(DoS)。

DoS主要用于破壞網(wǎng)絡的可用性，減少、降低網(wǎng)絡或系統(tǒng)執(zhí)行某一功能的能力，如試圖中斷、顛覆或毀壞傳感器網(wǎng)絡，另外還包括硬件失敗、軟件Bug、資源耗盡、環(huán)境條件等。這里主要考慮協(xié)議和設計層面的漏洞，很難確定一個錯誤(或一系列錯誤)是否是DoS所造成的。特別是在大規(guī)模的網(wǎng)絡中，此時的傳感器網(wǎng)絡本身具有比較高的單個節(jié)點失效率。DoS可以發(fā)生在物理層，如信道阻塞，這可能包括在網(wǎng)絡中惡意干擾網(wǎng)絡協(xié)議的傳送或者物理損害傳感器節(jié)點。攻擊者還可以發(fā)起快速消耗傳感器節(jié)點能量的攻擊，例如，向目標節(jié)點連續(xù)發(fā)送大量無用信息，目標節(jié)點消耗能量處理這些信息，并把這些信息傳送給其他節(jié)點。如果攻擊者捕獲傳感器節(jié)點，那么還可偽造或偽裝成合法節(jié)點發(fā)起這些DoS，例如，它可以產(chǎn)生循環(huán)路由，從而耗盡這個循環(huán)中節(jié)點的能量。

4.物聯(lián)網(wǎng)業(yè)務的安全

由于物聯(lián)網(wǎng)設備可能是先部署后連接網(wǎng)絡，而物聯(lián)網(wǎng)節(jié)點又無人看守，因此如何對物聯(lián)網(wǎng)設備進行遠程簽約信息和業(yè)務信息配置就成了難題。另外，龐大且多樣化的物聯(lián)網(wǎng)平臺必然需要一個強大而統(tǒng)一的安全管理平臺，否則獨立的平臺會被各式各樣的物聯(lián)網(wǎng)應用淹沒，這使得如何對物聯(lián)網(wǎng)機器的日志等安全信息進行管理成為了新的問題，并且可能割裂網(wǎng)絡與業(yè)務平臺之間的信任關系，從而導致新一輪的安全問題。

5.加密機制安全問題

信息在物聯(lián)網(wǎng)中以數(shù)字信封的方式傳送，以保證信息傳輸?shù)臋C密性和完整性。信息發(fā)送者使用對稱算法及對稱密鑰加密待傳輸?shù)男畔?，再使用接收者的公鑰加密對稱密鑰信息，拼裝后發(fā)送。數(shù)字信封的加密可采用節(jié)點到節(jié)點加密(即逐跳加密)或端到端加密兩種方式。如果采用逐跳加密，則數(shù)字信封的加密頭在每跳節(jié)點需替換信封加密頭，直至傳送至終點。但是，由于逐跳加密方式在各節(jié)點都存在將加密消息解密的風險，因此逐跳加密對傳輸路徑中各傳送節(jié)點的可信任度要求很高。對于端到端的加密方式，它可以根據(jù)業(yè)務類型選擇不同的安全策略，從而為高安全要求的業(yè)務提供高安全等級的保護措施。不過，其弊端是加密不能對消息的目的地址進行保護，因為每一個消息所經(jīng)過的節(jié)點都以此目的地址確定如何傳輸消息。這導致端到端的加密方式不能掩蓋被傳輸消息的源點與終點，并容易受到對通信業(yè)務的進一步分析而發(fā)起的惡意攻擊。

6.隱私安全問題

射頻識別技術所具有的無線通信特點和物聯(lián)網(wǎng)便捷的信息獲取能力，導致信息安全措施不到位或者數(shù)據(jù)管理存在漏洞時，物聯(lián)網(wǎng)就能使我們所生活的世界“無所遁形”，即可能面臨黑客、病毒的襲擊等威脅；嵌入射頻識別標簽的物品還可能不受控制地被跟蹤、被定位和被識讀，這勢必帶來對物品持有者個人隱私的侵犯或企業(yè)機密泄漏等問題，從而破壞信息被合法有序使用的要求，可能導致人們的生活、工作完全崩潰，社會秩序混亂，甚至直接威脅到人類的生命安全。發(fā)展物聯(lián)網(wǎng)還會對現(xiàn)有的一些法律法規(guī)政策形成挑戰(zhàn)，如信息采集的合法性問題、公民隱私權問題等。5.1.3物聯(lián)網(wǎng)安全的關鍵技術

1.密鑰管理機制

密鑰系統(tǒng)是安全的基礎，是實現(xiàn)感知信息隱私保護的手段之一，了解密鑰管理機制的原理是應用其解決物聯(lián)網(wǎng)安全問題的前提。密鑰管理機制要求其具備以下一些特性：

(1)可擴展性：隨傳感器網(wǎng)絡節(jié)點規(guī)的擴大，密鑰協(xié)商過程所需的計算、存儲和通信開銷都隨之增大，密鑰管理機制必須適應不同規(guī)模的傳感器網(wǎng)絡。

(2)有效性：由于傳感器節(jié)點的存儲、處理和通信能力嚴格受限，在設計傳感器網(wǎng)絡密鑰管理機制時應考慮以下幾個方面：①存儲復雜度，用于保存通信密鑰的存儲空間使用情況。

②計算復雜度，為生成通信密鑰而必須進行的計算量的情況。

③通信復雜度，在通信密鑰協(xié)商過程中必須傳送的信息量的情況。

(3)密鑰連接：密鑰連接是指節(jié)點之間直接建立通信密鑰的概率。保持足夠高的密鑰連接概率是傳感器網(wǎng)絡發(fā)揮其功能的必要條件。由于傳感器節(jié)點不可能與距離較遠的其他節(jié)點直接通信，因此無需保證節(jié)點與其他所有節(jié)點保持安全連接，僅需確保相鄰節(jié)點之間保持較高的密鑰連接。

(4)抗毀性：抗毀性是指密鑰管理機制抵御節(jié)點受損的能力?？箽钥杀硎緸楫敳糠止?jié)點受損后，未受損節(jié)點的密鑰被暴露的概率。抗毀性越好，鏈路的受損程度越低。

密鑰管理機制依賴基本的密碼機制，可分為以下三類：①采用對稱密碼技術的機制；②采用非對稱密碼技術的機制；③采用對稱、非對稱技術結合的機制。不同的機制適用于不同的應用需求。對稱密碼技術的機制適用于對安全級別要求較低的傳感器網(wǎng)絡，如安全級別在三級以下的傳感器網(wǎng)絡宜采用基于對稱密碼技術的機制。對于安全級別要求較高的傳感器網(wǎng)絡，則采用基于非對稱密碼技術的機制。一個密鑰從產(chǎn)生到銷毀必須經(jīng)歷一系列的狀態(tài)，這些狀態(tài)確定其生存周期，如圖5-1所示，其三種主要的狀態(tài)分別為：①待激活狀態(tài)。在待激活狀態(tài)，密鑰已產(chǎn)生好但并未激活來使用；②激活狀態(tài)。在激活狀態(tài)，密鑰用于按密碼術處理信息；③次激活狀態(tài)。若已知某個密鑰已被泄露，應立即變?yōu)楸緺顟B(tài)，此時密鑰將只用于解密或驗證。密鑰在由一種狀態(tài)向另一種狀態(tài)變化時，經(jīng)歷如圖5-1所示的轉移過程：“產(chǎn)生”是指產(chǎn)生密鑰的過程，應根據(jù)指定的密鑰產(chǎn)生規(guī)則進行；“激活”是使密鑰生效，以便進行密碼運算；“次激活”是限制密鑰的使用，在密鑰已過期或已被撤銷的情況下執(zhí)行該過程；“再激活”是使一個次激活密鑰可重新用于密碼運算；“銷毀”是終止密鑰的生存期，該過程不可逆，包括密鑰的邏輯銷毀，也可能包括物理銷毀。傳感器網(wǎng)絡密鑰管理機制涉及不同類型的密鑰：密鑰材料、共享密鑰(包括直接密鑰和路徑密鑰)、會話密鑰。每種密鑰從建立到撤銷的整個有效期之內可能處在多個不同階段，需根據(jù)具體應用需求對密鑰進行維護和更新。圖5-1密鑰的生存周期不同的密鑰類型生存期的長短不同，在同一個密鑰材料的有效期內，共享密鑰可能撤銷和更新多次；在同一個共享密鑰的有效期內，會話密鑰可能撤銷和更新多次。會話密鑰在通信雙方節(jié)點通信完成后即被銷毀。會話密鑰的泄露不能影響到共享密鑰的安全。若某個共享密鑰泄露，則可信第三方將其撤銷，并與相關節(jié)點交互，分發(fā)更新的密鑰。共享密鑰的泄露并不說明密鑰材料的泄露。但是，若某個密鑰材料泄露，則相應的共享密鑰必須撤銷，并在密鑰材料更新后重新建立共享密鑰。由于互聯(lián)網(wǎng)不存在計算資源的限制，非對稱和對稱密鑰系統(tǒng)都可以適用，互聯(lián)網(wǎng)面臨的安全問題主要來源于其最初的開放式管理模式的設計，它是一種沒有嚴格管理中心的網(wǎng)絡。移動通信網(wǎng)是一種相對集中管理的網(wǎng)絡，而無線傳感器網(wǎng)絡和感知節(jié)點由于受計算資源的限制，對密鑰系統(tǒng)提出了更多的要求。因此，物聯(lián)網(wǎng)密鑰管理系統(tǒng)面臨兩個主要問題：一是如何構建一個貫穿多個網(wǎng)絡的統(tǒng)一密鑰管理系統(tǒng)，并與物聯(lián)網(wǎng)的體系結構相適應；二是如何解決傳感器網(wǎng)絡的密鑰管理問題，如密鑰的分配、更新、組播等問題。實現(xiàn)統(tǒng)一的密鑰管理系統(tǒng)可以采用兩種方式：一是以互聯(lián)網(wǎng)為中心的集中式管理方式，由互聯(lián)網(wǎng)的密鑰分配中心負責整個物聯(lián)網(wǎng)的密鑰管理，一旦傳感器網(wǎng)絡接入互聯(lián)網(wǎng)，通過密鑰中心與傳感器網(wǎng)絡匯聚節(jié)點進行交互，實現(xiàn)對網(wǎng)絡中節(jié)點的密鑰管理；二是以各自網(wǎng)絡為中心的分布式管理方式，在此模式下，互聯(lián)網(wǎng)和移動通信網(wǎng)比較容易解決，但在傳感器網(wǎng)絡環(huán)境中對匯聚點的要求比較高，盡管可以在傳感器網(wǎng)絡中采用簇頭選擇的方法，推選簇頭，形成層次式網(wǎng)絡結構，每個節(jié)點與相應的簇頭通信，簇頭之間及簇頭與匯聚節(jié)點之間進行密鑰的協(xié)商，但是對多跳通信的邊緣節(jié)點以及由于簇頭選擇算法和簇頭本身的能量消耗而言，使傳感器網(wǎng)絡的密鑰管理成為解決問題的關鍵。無線傳感器網(wǎng)絡密鑰管理系統(tǒng)的設計在很大程度上受限于其自身的特征，因此在設計需求上與有線網(wǎng)絡和傳統(tǒng)的資源不受限制的無線網(wǎng)絡有所不同，需特別充分考慮到無線傳感器網(wǎng)絡的傳感器節(jié)點的限制和網(wǎng)絡組網(wǎng)、路由的特征。它的安全需求主要體現(xiàn)在以下五個方面：

(1)密鑰生成或更新算法的安全：利用該算法生成的密鑰應具備一定的安全強度，不能被網(wǎng)絡攻擊者輕易破解或者花很小的代價破解，即是加密后保障數(shù)據(jù)包的機密性。

(2)前向私密：對中途退出無線傳感器網(wǎng)絡或者被俘獲的惡意節(jié)點，在周期更新的密鑰或者撤銷后無法再利用先前所獲知的密鑰信息生成合法的密鑰繼續(xù)參與網(wǎng)絡通信，即無法參加與報文解密或者生成有效的可認證的報文。

(3)后向私密和可擴展：新加入無線傳感器網(wǎng)絡的合法節(jié)點可利用新分發(fā)或者周期更新的密鑰參與網(wǎng)絡的正常通信，即進行報文的加解密和認證行為等，而且能保障網(wǎng)絡可擴展，即允許大量新節(jié)點加入。

(4)抗同謀攻擊：在無線傳感器網(wǎng)絡中，若干節(jié)點被俘獲后，其所掌握的密鑰信息可能造成網(wǎng)絡局部范圍泄密，但不應對整個網(wǎng)絡的運行造成破壞性或損毀性的后果，即密鑰系統(tǒng)要具有抗同謀攻擊。

(5)源端認證和新鮮：源端認證要求發(fā)送方身份可認證和消息可認證，即任何一個網(wǎng)絡數(shù)據(jù)包都能通過認證和追蹤尋找到其發(fā)送源，且不可否認?！靶迈r”則保證合法的節(jié)點在一定的時延許可內能收到所需的信息?！靶迈r”除和密鑰管理方案緊密相關外，與無線傳感器網(wǎng)絡的時間同步技術和路由算法也有很大的關聯(lián)。

2.數(shù)據(jù)處理與隱私

物聯(lián)網(wǎng)的數(shù)據(jù)經(jīng)過信息感知、獲取、匯聚、融合、傳輸、存儲、挖掘、決策和控制等處理流程，而末端的感知網(wǎng)絡幾乎涉及上述信息處理的全過程，只是由于傳感器節(jié)點與匯聚點的資源限制，在信息的挖掘和決策方面不占據(jù)主要的位置。物聯(lián)網(wǎng)應用不僅面臨信息采集的安全，也要考慮到信息傳送的私密，要求信息不能篡改，也不被非授權用戶使用，同時，還應考慮到網(wǎng)絡可靠、可信和安全。物聯(lián)網(wǎng)能否大規(guī)模推廣應用，很大程度上取決于其是否能保障用戶數(shù)據(jù)和隱私的安全。就傳感器網(wǎng)絡而言，在信息的感知采集階段應進行相關的安全處理，如對RFID標簽采集的信息進行輕量級的加密處理后，再傳送到匯聚節(jié)點。這里應關注的是對光學標簽的信息采集處理與安全，作為感知端的物體身份標識，光學標簽顯示獨特的優(yōu)勢，而虛擬光學的加密解密技術為基于光學標簽的身份標識提供手段，基于軟件的虛擬光學密碼系統(tǒng)由于可以在光波的多個維度進行信息的加密處理，具有比一般傳統(tǒng)的對稱加密系統(tǒng)更高的安全性，數(shù)學模型的建立和軟件技術的發(fā)展極大地推動該領域的研究和應用推廣。數(shù)據(jù)處理過程涉及基于位置的服務與在信息處理過程中的隱私保護問題。

ACM于2008年成立SIGSPATIAL，致力于空間信息理論與應用研究。基于位置的服務是物聯(lián)網(wǎng)提供的基本功能，也是定位、電子地圖、基于位置的數(shù)據(jù)挖掘和發(fā)現(xiàn)、自適應表達等技術的融合。定位技術目前主要有GPS定位、基于手機的定位、無線傳感器網(wǎng)絡定位等。

無線傳感器網(wǎng)絡的定位主要是利用射頻識別、藍牙及ZigBee技術等。基于位置的服務面臨嚴峻的隱私保護問題，這既是安全問題，也是法律問題。歐洲通過《隱私與電子通信法》，對隱私保護問題給出明確的法律規(guī)定?；谖恢梅盏碾[私內容涉及兩個方面：一是位置隱私；二是查詢隱私。位置隱私的位置是指用戶過去或現(xiàn)在的位置，而查詢隱私是指對敏感信息的查詢與挖掘，如某用戶經(jīng)常查詢某區(qū)域的餐館或醫(yī)院，可以分析該用戶的居住位置、收入狀況、生活行為、健康狀況等敏感信息，這容易泄露個人隱私信息，查詢隱私是數(shù)據(jù)處理過程中的隱私保護問題。所以，出現(xiàn)了一個困難的選擇：一方面希望提供盡可能精確的位置服務；另一方面又希望個人的隱私得到保護。這需要在技術上給以保證。目前的隱私保護方法主要有位置偽裝、時空匿名、空間加密等。

3.安全路由協(xié)議

物聯(lián)網(wǎng)的路由跨越多類網(wǎng)絡，有基于IP地址的互聯(lián)網(wǎng)路由協(xié)議、有基于標識的移動通信網(wǎng)和無線傳感器網(wǎng)絡的路由算法。因此物聯(lián)網(wǎng)至少解決兩個問題：一是多網(wǎng)融合的路由問題；二是無線傳感器網(wǎng)絡的路由問題。前者可以考慮將身份標識映射成類似的IP地址，實現(xiàn)基于地址的統(tǒng)一路由體系；后者由于傳感器網(wǎng)絡計算資源的局限性和易受到攻擊的特點，設計抗攻擊的安全路由算法。目前，國內外學者提出多種無線傳感器網(wǎng)絡路由協(xié)議，這些路由協(xié)議最初的設計目標通常是以最小的通信、計算、存儲開銷完成節(jié)點間數(shù)據(jù)傳輸，但是這些路由協(xié)議大都沒有考慮到安全問題。實際上，由于無線傳感器節(jié)點的電量、計算能力、存儲容量有限以及部署野外等特點，使它極易受到各類攻擊。無線傳感器網(wǎng)絡路由協(xié)議常受到的攻擊主要有以下幾類：虛假路由信息攻擊、選擇轉發(fā)攻擊、污水池攻擊、女巫攻擊、蟲洞攻擊、Hello洪泛攻擊、確認攻擊等。針對無線傳感器網(wǎng)絡中數(shù)據(jù)傳送的特點，目前已有許多較為有效的路由技術。按路由算法的實現(xiàn)方法劃分，有洪泛式路由，如Gossiping等；以數(shù)據(jù)為中心的路由，如DirectedDiffusion、SPIN等；層次式路由，如LE、ACH、TEEN等；基于位置信息的路由，如GPSR、GEAR等。

4.認證與訪問控制

認證指使用者采用某種方式“證明”身份，網(wǎng)絡中的認證主要包括身份認證和消息認證。身份認證可以使通信雙方確信對方的身份并交換會話密鑰。保密性和及時性是認證的密鑰交換中兩個重要的問題。為了防止假冒和會話密鑰泄密，用戶標識和會話密鑰必須以密文的形式傳送，這就必須事先已有能用于這一目的的主密鑰或公鑰。因為可能存在消息重放，所以及時性非常重要，在最壞的情況下，攻擊者可以利用重放攻擊威脅會話密鑰或者成功假冒另一方。消息認證主要是指接收方希望能保證其接收的消息確實來自真正的發(fā)送方。有時收發(fā)雙方不同時在線，例如，在電子郵件系統(tǒng)中，電子郵件消息發(fā)送到接收方的電子郵件，并一直存放在郵箱中直至接收方讀取為止。廣播認證是一種特殊的消息認證形式，其一方廣播的消息被多方認證。傳統(tǒng)的認證區(qū)分不同層次，網(wǎng)絡層的認證負責網(wǎng)絡層的身份鑒別，業(yè)務層的認證負責業(yè)務層的身份鑒別，兩者獨立存在。但是，在物聯(lián)網(wǎng)中，業(yè)務應用與網(wǎng)絡通信緊密結合，認證有其特殊性。例如，當物聯(lián)網(wǎng)的業(yè)務由運營商提供時，那么可以充分利用網(wǎng)絡層認證的結果而無需進行業(yè)務層認證；當業(yè)務是敏感業(yè)務如金融類業(yè)務時，一般業(yè)務提供者不信任網(wǎng)絡層的安全級別，而使用更高級別的安全保護，那么這時需業(yè)務層認證；當業(yè)務是普通業(yè)務時，如氣溫采集業(yè)務等，業(yè)務提供者認為網(wǎng)絡認證已經(jīng)足夠，那么無需業(yè)務層認證。

5.入侵檢測與容侵容錯技術

容侵是指在網(wǎng)絡中存在惡意入侵的情況下，網(wǎng)絡仍然能正常地運行。無線傳感器網(wǎng)絡的安全隱患在于網(wǎng)絡部署區(qū)域的開放特性及無線電網(wǎng)絡的廣播特性，攻擊者往往利用這兩個特性，阻礙網(wǎng)絡中節(jié)點的正常工作，進而破壞整個傳感器網(wǎng)絡的運行，降低網(wǎng)絡的可用性。無人值守的惡劣環(huán)境導致無線傳感器網(wǎng)絡缺少傳統(tǒng)網(wǎng)絡中的物理方面的安全，傳感器節(jié)點很容易被攻擊者俘獲、毀壞或妥協(xié)?，F(xiàn)階段無線傳感器網(wǎng)絡的容侵技術主要集中于網(wǎng)絡的拓撲容侵、安全路由容侵及數(shù)據(jù)傳輸過程中的容侵機制。無線傳感器網(wǎng)絡可用性的另一個要求是網(wǎng)絡的容錯。一般意義上的容錯是指在故障存在的情況下系統(tǒng)不失效，仍然能正常工作的特性。無線傳感器網(wǎng)絡的容錯是指當部分節(jié)點或鏈路失效后，網(wǎng)絡能恢復傳輸數(shù)據(jù)或者網(wǎng)絡結構自愈，從而盡可能減小節(jié)點或鏈路失效對無線傳感器網(wǎng)絡功能的影響。由于傳感器節(jié)點在能量、存儲空間、計算能力和通信帶寬等諸多方面都受限，而且通常工作在惡劣的環(huán)境中，網(wǎng)絡的傳感器節(jié)點經(jīng)常出現(xiàn)失效的狀況。因此，容錯成為無線傳感器網(wǎng)絡中一個重要的設計因素，容錯技術也是無線傳感器網(wǎng)絡研究的一個重要領域。目前，相關領域的研究主要集中在以下三個方面：

(1)網(wǎng)絡拓撲中的容錯。通過對無線傳感器網(wǎng)絡設計合理的拓撲結構，保證網(wǎng)絡出現(xiàn)斷裂的情況下能正常進行通信。

(2)網(wǎng)絡覆蓋中的容錯。無線傳感器網(wǎng)絡的部署階段主要研究在部分節(jié)點、鏈路失效的情況下，如何事先部署或事后移動、補充傳感器節(jié)點，從而保證對監(jiān)測區(qū)域的覆蓋和保持網(wǎng)絡節(jié)點之間的連通。

(3)數(shù)據(jù)檢測中的容錯機制。主要研究在惡劣的網(wǎng)絡環(huán)境中，當一些特定事件發(fā)生時，處于事件發(fā)生區(qū)域的節(jié)點如何能正確獲取數(shù)據(jù)。目前，已有的一種無線傳感器網(wǎng)絡的容侵框架，其包括以下三個部分：

(1)判定惡意節(jié)點。其主要任務是找出網(wǎng)絡中的攻擊節(jié)點或被妥協(xié)的節(jié)點。一種判定機制是基站隨機發(fā)送一個通過公鑰加密的報文給節(jié)點，為回應這個報文，節(jié)點必須利用其私鑰對報文進行解密并回送給基站，如果基站長時間接收不到節(jié)點的回應報文，則認為該節(jié)點可能遭受入侵；另一種判定機制是利用鄰居節(jié)點的簽名。如果節(jié)點發(fā)送數(shù)據(jù)包給基站，則必須獲得一定數(shù)量的鄰居節(jié)點對該數(shù)據(jù)包的簽名，當數(shù)據(jù)包和簽名到達基站后，基站通過驗證簽名的合法性來判定數(shù)據(jù)包的合法性，進而判定節(jié)點為惡意節(jié)點的可能性。

(2)發(fā)現(xiàn)惡意節(jié)點后啟動容侵機制。當基站發(fā)現(xiàn)網(wǎng)絡中可能存在的惡意節(jié)點后，則發(fā)送一個信息包告知惡意節(jié)點周圍的鄰居節(jié)點可能的入侵情況。因為還不能確定節(jié)點是惡意節(jié)點，鄰居節(jié)點只是將該節(jié)點的狀態(tài)修改為容侵，即節(jié)點仍然能在鄰居節(jié)點的控制下進行數(shù)據(jù)轉發(fā)。

(3)通過節(jié)點之間的協(xié)作，對惡意節(jié)點的處理決定(排除或是恢復)：一定數(shù)量的鄰居節(jié)點產(chǎn)生編造的報警報文，并對報警報文進行正確的簽名，然后將報警報文轉發(fā)給惡意節(jié)點。鄰居節(jié)點監(jiān)測惡意節(jié)點對報警報文的處理情況。正常節(jié)點在接收到報警報文后，產(chǎn)生正確的簽名，而惡意節(jié)點則可能產(chǎn)生無效的簽名。鄰居節(jié)點根據(jù)接收到惡意節(jié)點的無效簽名的數(shù)量確定節(jié)點是惡意節(jié)點的可能性。通過各個鄰居節(jié)點對節(jié)點是惡意節(jié)點信息的判斷，選擇攻擊或放棄。根據(jù)無線傳感器網(wǎng)絡中不同的入侵情況，可以設計出不同的容侵機制，如無線傳感器網(wǎng)絡中的拓撲容侵、路由容侵和數(shù)據(jù)傳輸容侵等機制。

6.決策與控制安全

物聯(lián)網(wǎng)的數(shù)據(jù)是雙向流動的信息流，主要表現(xiàn)是：一是從感知端采集物理世界的各種信息，經(jīng)過數(shù)據(jù)的處理，存儲在網(wǎng)絡的數(shù)據(jù)庫中；二是根據(jù)用戶的需求，進行數(shù)據(jù)的挖掘、決策和控制，實現(xiàn)與物理世界中任何互連物體的互動。在數(shù)據(jù)采集處理中討論相關的隱私等安全問題，而決策控制又涉及另一個安全問題，如可靠性等。前面討論的認證和訪問控制機制可以對用戶進行認證，合法的用戶才能使用相關的數(shù)據(jù)，并對系統(tǒng)進行控制操作，但問題是如何保證決策和控制正確和可靠。在傳統(tǒng)的無線傳感器網(wǎng)絡中，側重對感知端的信息獲取，對決策控制的安全考慮不多，互聯(lián)網(wǎng)的應用也側重于信息的獲取與挖掘，較少應用對第三方的控制。物聯(lián)網(wǎng)中對物體的控制是重要的組成部分，需進一步更深入研究。

5.2物聯(lián)網(wǎng)分層安全體系

物聯(lián)網(wǎng)會遇到各式各樣的安全問題，如智能感知節(jié)點的自身安全問題、假冒攻擊、數(shù)據(jù)驅動攻擊、惡意代碼攻擊、拒絕服務、物聯(lián)網(wǎng)業(yè)務的安全問題、信息安全問題、傳輸層和應用層的安全隱患等。

綜合而言，物聯(lián)網(wǎng)從安全上講涉及信息安全感知、可靠感知數(shù)據(jù)傳輸和安全信息操控。從層面上講，涉及感知層、網(wǎng)絡層、處理層和應用層四個層面，如圖5-2所示。圖5-2物聯(lián)網(wǎng)的網(wǎng)絡安全管理層面一般認為，物聯(lián)網(wǎng)系統(tǒng)的安全性主要有八個尺度：讀取控制、隱私保護、用戶認證、不可抵耐性、數(shù)據(jù)保密性、通信層安全、數(shù)據(jù)完整性、隨時可用性。

以上前四項主要處在物聯(lián)網(wǎng)的應用層，后四項主要位于網(wǎng)絡層和感知層。其中“隱私權”和“可信度”(數(shù)據(jù)完整性和保密性)問題在物聯(lián)網(wǎng)體系中尤其受關注。另外，對于物聯(lián)網(wǎng)的安全，可以參照互聯(lián)網(wǎng)所設計的安全防范體系，在感知層、網(wǎng)絡層和應用層分別設計相應的安全防范體系。物聯(lián)網(wǎng)的安全技術架構如圖5-3所示。圖5-3物聯(lián)網(wǎng)的安全技術架構在感知層中，目前主要的安全技術包括基本安全框架、密鑰分配、安全路由、入侵檢測和加密技術等。入侵檢測技術常常作為信息安全的第二道防線。由于物聯(lián)網(wǎng)節(jié)點資源受限，不可能在每個節(jié)點上運行一個全功能的入侵檢測系統(tǒng)，因此如何在傳感網(wǎng)中合理地分布，有待進一步研究。在傳輸層中，物聯(lián)網(wǎng)接入方式主要依靠移動通信網(wǎng)絡，主要和移動網(wǎng)的安全相關，還與接入設備、接入方式有關，存在無線竊聽、身份假冒和數(shù)據(jù)篡改等不安全的因素。在應用層中，海量數(shù)據(jù)信息處理和業(yè)務控制策略將在安全性和可靠性方面面臨巨大挑戰(zhàn)，特別是業(yè)務控制、管理和認證機制、中間件以及隱私保護等安全問題尤為突出。5.2.1感知層的安全問題

感知層處于物聯(lián)網(wǎng)的最底層，是物聯(lián)網(wǎng)的原始數(shù)據(jù)來源地，也是許多物聯(lián)網(wǎng)應用層控制硬件實現(xiàn)端。因此，物聯(lián)網(wǎng)感知層要實現(xiàn)感知和控制的功能，一旦感知層的節(jié)點受到攻擊，不僅可以破壞數(shù)據(jù)的正確來源，還會造成控制的失敗，從而破壞物聯(lián)網(wǎng)的正常工作。

物聯(lián)網(wǎng)感知層的典型設備包括RFID裝置、各類傳感器(如紅外、超聲、溫度、濕度、速度等傳感器)、圖像捕捉裝置(攝像頭)、全球定位系統(tǒng)(GPS)、激光掃描儀等。物聯(lián)網(wǎng)在感知層采集數(shù)據(jù)時，其信息傳輸方式主要采用無線網(wǎng)絡傳輸，對這種暴露在公共場所中的信號，如果缺乏有效保護措施，很容易被非法監(jiān)聽、竊取、干擾；而且在物聯(lián)網(wǎng)的應用中，大量使用傳感器來標示設備，由人或計算機遠程控制來完成一些復雜、危險或高精度的操作，在此種情況下，物聯(lián)網(wǎng)中的這些設備大多部署在無人監(jiān)控的地點完成任務，那么攻擊者就會比較容易地接觸到這些設備，從而可以對這些設備或其承載的傳感器進行破壞，甚至通過破譯傳感器通信協(xié)議，對它們進行非法操控。感知節(jié)點的另外一個問題是功能單一、能量有限、數(shù)據(jù)傳輸和消息也沒有特定的標準，這也為提供統(tǒng)一的安全保護體系帶來了障礙。

在感知層，一般感知信息要通過一個或多個與外界網(wǎng)連接的網(wǎng)關節(jié)點(Sink或Gateway)作為感知層和網(wǎng)絡層的聯(lián)系渠道，但一旦網(wǎng)關節(jié)點被破壞，感知層的信息將無法傳遞到網(wǎng)絡層。感知層的安全問題主要有以下幾個方面：

(1)傳感器網(wǎng)絡的普通節(jié)點被敵手捕獲，為入侵者對物聯(lián)網(wǎng)發(fā)起攻擊提供了可能性。

(2)傳感器網(wǎng)絡的網(wǎng)關節(jié)點被敵手控制，安全性全部丟失。

(3)盡管現(xiàn)有的互聯(lián)網(wǎng)具備相對完整的安全保護能力，但由于互聯(lián)網(wǎng)中存在著數(shù)量龐大的節(jié)點，將會導致大量的數(shù)據(jù)同時發(fā)送，使得傳感器節(jié)點(普通節(jié)點或網(wǎng)關節(jié)點)容易受到來自于網(wǎng)絡的拒絕服務攻擊(DoS)。

(4)對接入到物聯(lián)網(wǎng)的超大量傳感器節(jié)點的標識、識別、認證和控制問題。根據(jù)物聯(lián)網(wǎng)本身的特點和上述列舉的物聯(lián)網(wǎng)感知層在安全方面存在的問題，需要采取有效的防護對策，主要有以下幾個方面：

(1)加強對傳感器網(wǎng)絡機密性的安全控制。在傳感器網(wǎng)絡內部，需要有效的密鑰管理機制，用于保障傳感器網(wǎng)絡內部通信的安全。機密性需要在通信時建立一個臨時會話密鑰，確保數(shù)據(jù)安全。例如，在物聯(lián)網(wǎng)構建中選擇射頻識別系統(tǒng)，應該根據(jù)實際需求考慮是否選擇有密碼和認證功能的系統(tǒng)。

(2)加強節(jié)點認證。個別傳感器網(wǎng)絡(特別當傳感數(shù)據(jù)共享時)需要節(jié)點認證，確保非法節(jié)點不能接入。認證性可以通過對稱密碼或非對稱密碼方案解決。使用對稱密碼的認證方案需要預置節(jié)點間的共享密鑰，在效率上也比較高，消耗網(wǎng)絡節(jié)點的資源較少，許多傳感器網(wǎng)絡都選用此方案；而使用非對稱密碼技術的傳感器網(wǎng)絡一般具有較好的計算和通信能力，并且對安全性要求更高。在認證的基礎上完成密鑰協(xié)商是建立會話密鑰的必要步驟。

(3)加強入侵監(jiān)測。一些重要傳感器網(wǎng)絡需要對可能被敵手控制的節(jié)點行為進行評估，以降低敵手入侵后的危害。對于敏感場合，節(jié)點要設置封鎖或自毀程序，發(fā)現(xiàn)節(jié)點離開特定應用和場所，啟動封鎖或自毀，使攻擊者無法完成對節(jié)點的分析。5.2.2網(wǎng)絡層的安全問題

處于網(wǎng)絡末端的節(jié)點的傳輸如感知層的問題一樣，節(jié)點功能簡單，能量有限，使得它們無法擁有復雜的安全保護能力，這給網(wǎng)絡層的安全保障帶來困難。

物聯(lián)網(wǎng)的傳輸層主要用于把感知層收集到的信息安全可靠地傳輸?shù)叫畔⑻幚韺?，然后根?jù)不同的應用需求進行信息處理，而網(wǎng)絡層是一個高度異構的網(wǎng)絡。物聯(lián)網(wǎng)的網(wǎng)絡系統(tǒng)包括四大支撐網(wǎng)絡：短距離無線通信網(wǎng)，包括十多種已存在的短距離無線通信(如ZigBee、藍牙、RFID等)標準網(wǎng)絡以及組合形成的無線網(wǎng)狀網(wǎng)(MeshNetworks)；長距離無線通信網(wǎng)，包括GPRS/CDMA、3G、4G網(wǎng)以及真正的長距離GPS衛(wèi)星移動通信網(wǎng)；短距離有線通信網(wǎng)，主要依賴十多種現(xiàn)場總線(如ModBus、DeviceNet等)標準以及PLC電力線載波等網(wǎng)絡；長距離有線通信網(wǎng)，包括支持IP協(xié)議的網(wǎng)絡，包括計算機網(wǎng)、廣電網(wǎng)和電信網(wǎng)以及國家電網(wǎng)的通信網(wǎng)等。

物聯(lián)網(wǎng)傳輸層的異構網(wǎng)絡信息交換的安全性是其中的脆弱點，特別在網(wǎng)絡認證方面，難免存在中間人攻擊和其他類型的攻擊。這些攻擊都需要有更高的安全防護措施。目前局部的或小規(guī)模的物聯(lián)網(wǎng)示范工程項目尚不存在太多的信息安全問題，一方面，由于這些示范工程一般自成體系，很少與其他網(wǎng)絡互通，因此受到的攻擊來源少；另一方面，由于示范工程使用規(guī)模有限，潛在的攻擊者也不愿意為此花費太大的投入，因此相對比較安全。但是，一旦這些示范工程將來發(fā)展成為真正物聯(lián)網(wǎng)的一部分，當前看似安全的體系可能在將來會面臨重大安全隱患。如何在物聯(lián)網(wǎng)建立初期就建立嚴格規(guī)范的信息安全架構，關系到這些系統(tǒng)能否在真正物聯(lián)網(wǎng)系統(tǒng)下提供良好的安全措施或能夠對安全措施進行升級，以保障系統(tǒng)的可用性。對于核心承載網(wǎng)絡而言，雖然它具有相對完整的安全保護能力，但由于物聯(lián)網(wǎng)中節(jié)點數(shù)量龐大，且常以集群方式存在。對于事件驅動的應用，大量數(shù)據(jù)的同時發(fā)送可以致使網(wǎng)絡擁塞，產(chǎn)生拒絕服務攻擊。物聯(lián)網(wǎng)中的感知層所獲取的感知信息，通常由無線網(wǎng)絡傳輸至系統(tǒng)，相比TCP/IP網(wǎng)絡，惡意程序在無線網(wǎng)絡環(huán)境和傳感器網(wǎng)絡環(huán)境中有無窮多的入口。對這種暴露在公開場所之中的信息如果沒做合適保護的話更容易被入侵，例如，類似于蠕蟲這樣的惡意代碼，一旦入侵成功，其傳播性、隱蔽性、破壞性等更加難以防范，在這樣的環(huán)境中檢測和清除這樣的惡意代碼將很困難，這將直接影響到物聯(lián)網(wǎng)體系的安全。物聯(lián)網(wǎng)建立在互聯(lián)網(wǎng)的基礎上，對互聯(lián)網(wǎng)的依賴性很高，在互聯(lián)網(wǎng)中存在的危害信息安全的因素在一定程度上同樣也會造成對物聯(lián)網(wǎng)的危害。隨著互聯(lián)網(wǎng)的發(fā)展，病毒攻擊、黑客入侵、非法授權訪問均會對互聯(lián)網(wǎng)用戶造成損害。物聯(lián)網(wǎng)中感知層的傳感器設備數(shù)量龐大，所采集的數(shù)據(jù)格式多種多樣，而且其數(shù)據(jù)信息具有海量、多源和異構等特點，因此，在傳輸層會帶來更加復雜的網(wǎng)絡安全問題。大量節(jié)點的數(shù)據(jù)傳輸需求會導致網(wǎng)絡擁塞，產(chǎn)生拒絕服務攻擊。此外，現(xiàn)有通信網(wǎng)絡的安全架構都是以人通信的角度設計的，對以物為主體的物聯(lián)網(wǎng)需要建立新的傳輸與應用安全架構。傳輸層的安全要求有以下幾個方面：

(1)數(shù)據(jù)機密性：要保證數(shù)據(jù)在傳輸過程中不泄露內容。

(2)數(shù)據(jù)完整性：要保證數(shù)據(jù)在傳輸過程中不被非法篡改，并且被篡改的數(shù)據(jù)容易被檢測出。

(3)數(shù)據(jù)流機密性：對數(shù)據(jù)流量進行保密，防止數(shù)據(jù)流量信息被非法竊取。

(4)分布式拒絕服務攻擊(DDoS)的檢測與預防：DDoS是網(wǎng)絡中常見的攻擊現(xiàn)象，在物聯(lián)網(wǎng)中要能及時檢測到DDoS的發(fā)生，并能對脆弱節(jié)點如網(wǎng)關的DDoS進行防護。

(5)移動網(wǎng)絡中認證與密鑰協(xié)商(AKA)機制的一致性或兼容性、跨越認證和跨網(wǎng)認證等，如不同無線網(wǎng)絡所使用的不同AKA機制對跨網(wǎng)認證不利。傳輸層的信息安全問題主要有以下幾個方面：

(1)?DoS和DDoS。

(2)假冒攻擊、中間人攻擊等。

(3)跨異構網(wǎng)絡的網(wǎng)絡攻擊。

物聯(lián)網(wǎng)傳輸層的信息安全防護：

傳輸層的安全機制分為端到端的機密性和節(jié)點到節(jié)點的機密性。端到端的機密性的安全機制可以保證數(shù)據(jù)完整性，其主要安全機制包括：端到端的認證機制；端到端的密鑰協(xié)商機制；端到端的密鑰管理機制；端到端的機密性算法選取機制等。對于節(jié)點到節(jié)點的安全性機制主要包括節(jié)點的認證和密鑰協(xié)商機制。對于跨網(wǎng)絡的安全形式需要建立不同網(wǎng)絡環(huán)境的認證銜接機制。此外，網(wǎng)絡傳輸可以根據(jù)需要分為單播通信、組播通信和廣播通信，針對不同類型的通信模式要有相應的認證機制和機密性保護機制。綜合以上情況，傳輸層的安全架構主要包括以下幾個方面：

(1)節(jié)點認證、數(shù)據(jù)機密性、完整性、數(shù)據(jù)流機密性、DDoS的檢測與預防。

(2)移動網(wǎng)中AKA機制的一致性或兼容性、跨域認證和跨網(wǎng)認證。

(3)密鑰管理、端對端加密和節(jié)點對節(jié)點加密、密碼算法和協(xié)議等。

(4)組播和廣播通信的認證性、機密性和完整性機制等。5.2.3處理層的安全問題

物聯(lián)網(wǎng)的處理層是信息技術與行業(yè)應用緊密結合的產(chǎn)物，充分體現(xiàn)了物聯(lián)網(wǎng)智能處理的特點，涉及業(yè)務管理、中間件、云計算、分布式系統(tǒng)、海量信息處理等部分。上述這些支撐平臺要為上層服務管理和大規(guī)模行業(yè)應用建立起一個高效、可靠和可信的系統(tǒng)，而大規(guī)模、多平臺、多業(yè)務類型使物聯(lián)網(wǎng)業(yè)務層次的安全面臨新的挑戰(zhàn)，例如，針對不同的行業(yè)應用建立相應的安全策略，還是建立一個相對獨立的安全架構。另外考慮到物聯(lián)網(wǎng)涉及多領域多行業(yè)，海量數(shù)據(jù)信息處理和業(yè)務控制策略將在安全性和可靠性方面面臨巨大挑戰(zhàn)，特別是業(yè)務控制、管理和認證機制、中間件以及隱私保護等安全問題顯得尤為突出。物聯(lián)網(wǎng)處理層的智能信息處理主要包括如何從網(wǎng)絡中接收信息，并判斷哪些信息是真正有用的信息，哪些是垃圾信息甚至是惡意信息。實際上，智能處理就是按照一定的規(guī)則、定義或者計算模型，對數(shù)據(jù)信息進行過濾和判斷的過程，在這個處理過程中，除病毒、蠕蟲之外，攻擊者還會利用系統(tǒng)漏洞實施拒絕服務攻擊(DoS)、分布式拒絕服務攻擊(DDoS)、木馬程序、間諜軟件、垃圾郵件以及網(wǎng)絡釣魚等攻擊。應用層的系統(tǒng)本身還可能存在安全漏洞，這些系統(tǒng)安全漏洞是指系統(tǒng)在邏輯設計上的缺陷或錯誤，這個缺陷或錯誤可以被攻擊者利用，通過植入木馬、病毒等方式來攻擊或控制整個系統(tǒng)，從而竊取重要資料和信息，甚至破壞系統(tǒng)。漏洞會影響到的范圍很大，包括系統(tǒng)本身及其支撐軟件，網(wǎng)絡客戶和服務器軟件，網(wǎng)絡路由器和安全防火墻等。在這些不同的軟硬件設備中都可能存在不同的安全漏洞問題，在不同種類的軟、硬件設備，同種設備的不同版本之間，由不同設備構成的不同系統(tǒng)之間以及同種系統(tǒng)在不同的設置條件下，都會存在各自不同的安全漏洞問題。

1.處理層的安全挑戰(zhàn)和安全需求。

物聯(lián)網(wǎng)處理層的智能技術需要自動處理技術，其目的是使處理過程方便迅速，而非智能的處理手段可能無法應對海量數(shù)據(jù)。但自動過程對惡意數(shù)據(jù)特別是惡意指令信息的判斷能力是有限的，而智能也僅限于按照一定規(guī)則進行過濾和判斷，攻擊者很容易避開這些規(guī)則，因此處理層的安全挑戰(zhàn)包括以下幾個方面：

(1)來自于超大量終端的海量數(shù)據(jù)的識別和處理。

(2)智能變?yōu)榈湍堋?/p>

(3)自動變?yōu)槭Э?可控性是信息安全的重要指標之一)。

(4)災難控制和恢復。

(5)非法人為干預(內部攻擊)。

(6)設備(特別是移動設備)的丟失。物聯(lián)網(wǎng)需要處理的信息是海量的，需要處理的平臺也是分布式的。當不同性質的數(shù)據(jù)通過一個處理平臺處理時，該平臺需要多個功能各異的處理平臺協(xié)同處理。但首先應該知道將哪些數(shù)據(jù)分配到哪些處理平臺，因此數(shù)據(jù)類別分類是必需的。同時，安全的要求使得許多信息都是以加密形式存在的，因此如何快速有效地處理海量加密數(shù)據(jù)是智能處理階段遇到的一個重大挑戰(zhàn)。計算技術的智能處理過程較人類的智力來說還是有本質的區(qū)別，但計算機的智能判斷在速度上是人類智力判斷所無法比擬的，由此，期望物聯(lián)網(wǎng)環(huán)境的智能處理在智能水平上不斷提高，而且不能用人的智力去代替。也就是說，只要智能處理過程存在，就可能讓攻擊者有機會躲過智能處理過程的識別和過濾，從而達到攻擊目的。因此，物聯(lián)網(wǎng)的傳輸層需要高智能的處理機制。如果智能水平很高，那么可以有效識別并自動處理惡意數(shù)據(jù)和指令。但再好的智能也存在失誤的情況，特別在物聯(lián)網(wǎng)環(huán)境中，即使失誤概率非常小，因為自動處理過程的數(shù)據(jù)量非常龐大，因此失誤的情況還是很多。在處理發(fā)生失誤而使攻擊者攻擊成功后，如何將攻擊所造成的損失降低到最小，并盡快從災難中恢復到正常工作狀態(tài)，是物聯(lián)網(wǎng)智能處理層的另一重要問題，也是一個重大挑戰(zhàn)。智能處理層雖然使用智能的自動處理手段，但還是允許人為干預的。人為干預可能發(fā)生在智能處理過程無法做出正確判斷的時候，也可能發(fā)生在智能處理過程有關鍵中間結果或最終結果的時候，還可能發(fā)生在其他任何原因而需要人為干預的時候。人為干預的目的是為了處理層更好地工作，但也有例外，那就是實施人為干預的人試圖實施惡意行為。來自于人的惡意行為具有很大的不可預測性，防范措施除了技術輔助手段外，更多地需要依靠管理手段。因此，物聯(lián)網(wǎng)的信息保障還需要科學的管理手段。智能處理平臺的大小不同，大的可以是高性能工作站，小的可以是移動設備，如手機等。工作站的威脅是內部人員惡意操作，而移動設備的一個重大威脅是丟失。由于移動設備不僅是信息處理平臺，而且其本身通常攜帶大量重要機密信息，因此，如何降低作為處理平臺的移動設備丟失所造成的損失是重要的安全挑戰(zhàn)之一。

2.處理層的安全機制

處理層的安全機制主要有以下幾個方面：

(1)可靠的認證機制和密鑰管理方案。

(2)高強度數(shù)據(jù)機密性和完整性服務。

(3)可靠的密鑰管理機制，包括PKI和對稱密鑰的有機結合機制。

(4)可靠的高智能處理手段。

(5)入侵檢測和病毒檢測。

(6)惡意指令分析和預防，訪問控制及災難恢復機制。

(7)保密日志跟蹤和行為分析，惡意行為模型的建立。

(8)密文查詢、秘密數(shù)據(jù)挖掘、安全多方計算、安全云計算技術等。

(9)移動設備文件(包括秘密文件)的可備份和恢復。

(10)移動設備識別、定位和追蹤機制等。5.2.4應用層的安全問題

物聯(lián)網(wǎng)應用層是綜合的或有個體特性的具體應用業(yè)務，它所涉及的某些安全問題通過前面幾個邏輯層的安全解決方案可能仍然無法解決。在這些問題中，隱私保護就是典型的一種。無論感知層、傳輸層還是處理層，都不涉及隱私保護的問題，但它卻是一些特殊應用場景的實際需求，即應用層的特殊安全需求。物聯(lián)網(wǎng)的數(shù)據(jù)共享有多種情況，涉及不同權限的數(shù)據(jù)訪問。此外，在應用層還將涉及知識產(chǎn)權保護、計算機取證、計算機數(shù)據(jù)銷毀等安全需求和相應技術。由于物聯(lián)網(wǎng)需要根據(jù)不同應用需求對共享數(shù)據(jù)分配不同的訪問權限，而且不同權限訪問同一數(shù)據(jù)可能得到不同的結果。例如，道路交通監(jiān)控視頻數(shù)據(jù)用于城市規(guī)劃時只需要很低的分辨率即可，因為城市規(guī)劃需要的是交通堵塞的大概情況；而當用于交通管制時就需要清晰一些，因為需要知道交通實際情況，以便能及時發(fā)現(xiàn)哪里發(fā)生了交通事故以及交通事故的基本情況等；當用于公安偵查時可能需要更清晰的圖像，以便能準確識別汽車牌照等信息。因此如何以安全方式處理信息是應用中的一項挑戰(zhàn)。隨著個人和商業(yè)信息的網(wǎng)絡化，越來越多的信息被認為是用戶隱私信息。物聯(lián)網(wǎng)實現(xiàn)對物體的監(jiān)控，如位置信息、狀態(tài)信息等，而這些信息與人的本身密切相關。如當射頻標簽被嵌入人們的日常生活用品中，那么這個物品可能被不受控制地掃描、定位和追蹤，這就涉及隱私問題，需要利用技術保障安全與隱私。另外，由物聯(lián)網(wǎng)的應用帶來的隱私問題，也會對現(xiàn)有的一些法律法規(guī)政策形成挑戰(zhàn)，如信息采集的合法性問題、公民隱私權問題等。例如，如果個人的信息在任何一個讀卡器上都能隨意讀出，或者個人的生活起居信息、生活習性都可以被全天候監(jiān)視而暴露無遺，這不僅僅需要技術實現(xiàn)保障安全，也需要制定法律法規(guī)來保護物聯(lián)網(wǎng)時代的安全與隱私問題。一般認為需要隱私保護的應用至少包括以下幾種：

(1)移動用戶既需要知道(或被合法知道)其位置信息，又不愿意非法用戶獲取該信息。

(2)用戶既需要證明自己合法使用某種業(yè)務，又不想讓他人知道自己在使用某種業(yè)務，如在線游戲。

(3)病人急救時需要及時獲得該病人的電子病歷信息，但又要保護該病歷信息不被非法獲取，包括病歷數(shù)據(jù)管理員。事實上，電子病歷數(shù)據(jù)庫的管理人員可能有機會獲得電子病歷的內容，但隱私保護采用某種管理和技術手段使病歷內容與病人身份信息在電子病歷數(shù)據(jù)庫內無關聯(lián)。

(4)許多業(yè)務需要匿名性，如網(wǎng)絡投票。在很多情況下，用戶信息是認證過程的必要信息，如何對這些信息提供隱私保護，是一個具有挑戰(zhàn)性的問題，但又必須要解決的問題。例如，醫(yī)療病歷的管理系統(tǒng)需要病人的相關信息來獲取正確的病歷數(shù)據(jù)，但又要避免該病歷數(shù)據(jù)跟病人的身份信息相關聯(lián)。在應用過程中，主治醫(yī)生知道病人的病歷數(shù)據(jù)，這種情況下對隱私信息的保護具有一定困難性，但可以通過密碼技術掌握醫(yī)生泄露病人病歷信息的證據(jù)。在使用互聯(lián)網(wǎng)的商業(yè)活動中，特別是在物聯(lián)網(wǎng)環(huán)境的商業(yè)活動中，無論采取了什么技術措施，都難免惡意行為的發(fā)生。如果能根據(jù)惡意行為所造成后果的嚴重程度給予相應的懲罰，那么就可以減少惡意行為的發(fā)生。在技術上這需要搜集相關證據(jù)。因此，計算機取證就顯得非常重要，當然有一定的技術難度，主要是因為計算機平臺種類太多，包括多種計算機操作系統(tǒng)、虛擬操作系統(tǒng)、移動設備操作系統(tǒng)等。與計算機取證相對應的是數(shù)據(jù)銷毀。數(shù)據(jù)銷毀的目的是銷毀那些在密碼算法或密碼協(xié)議實施過程中所產(chǎn)生的臨時中間變量，一旦密碼算法或密碼協(xié)議實施完畢，這些中間變量將不再有用。但這些中間變量如果落入攻擊者手里，可能為攻擊者提供重要的參數(shù)，從而增大成功攻擊的可能性。因此，這些臨時中間變量需要及時安全地從計算機內存和存儲單元中刪除。計算機數(shù)據(jù)銷毀技術不可避免地會被計算機犯罪提供證據(jù)銷毀工具，從而增大計算機取證的難度。因此如何處理好計算機取證和計算機數(shù)據(jù)銷毀這對矛盾是一項具有挑戰(zhàn)性的技術難題，也是物聯(lián)網(wǎng)應用中需要解決的問題。

物聯(lián)網(wǎng)的主要市場將是商業(yè)應用，在商業(yè)應用中存在大量需要保護的知識產(chǎn)權產(chǎn)品，包括電子產(chǎn)品和軟件等。在物聯(lián)網(wǎng)的應用中，對電子產(chǎn)品的知識產(chǎn)權保護將會提高到一個新的高度，對應的技術要求也是一項新的挑戰(zhàn)。應用層的安全挑戰(zhàn)和安全需求主要有以下幾個方面：

(1)如何根據(jù)不同訪問權限對同一數(shù)據(jù)庫內容進行篩選。

(2)如何提供用戶隱私信息保護，同時又能正確認證。

(3)如何解決信息泄露追蹤問題。

(4)如何進行計算機取證。

(5)如何銷毀計算機數(shù)據(jù)。

(6)如何保護電子產(chǎn)品和軟件的知識產(chǎn)權。

基于物聯(lián)網(wǎng)綜合應用層的安全挑戰(zhàn)和安全需求，需要以下的安全機制：

(1)有效的數(shù)據(jù)庫訪問控制和內容篩選機制。

(2)不同場景的隱私信息保護技術。

(3)叛逆追蹤和其他信息泄露追蹤機制。

(4)有效的計算機取證技術。

(5)安全的計算機數(shù)據(jù)銷毀技術。

(6)安全的電子產(chǎn)品和軟件的知識產(chǎn)權保護技術。

針對這些安全架構，需要發(fā)展相關的密碼技術，包括訪問控制、匿名簽名、匿名認證、密文驗證(包括同態(tài)加密)、門限密碼、叛逆追蹤、數(shù)字水印和指紋技術等。

5.3物聯(lián)網(wǎng)面臨的其他安全風險

5.3.1云計算面臨的安全風險

鑒于云計算是架構在傳統(tǒng)服務器設施上的一種服務的交互和使用模式，因此傳統(tǒng)互聯(lián)網(wǎng)環(huán)境下存在的諸多安全問題都可能在云計算環(huán)境中出現(xiàn)，加之云計算規(guī)模大、價格低、資源共享等自身特點，可能會在網(wǎng)絡上引入新的安全風險或改變原有的安全風險影響程度和范圍。下面針對云計算的幾個特點，簡要分析一下云計算可能面臨的安全風險。

(1)云計算資源被濫用的風險。如上所述，“云”擁有非常龐大的資源。首先，基礎設施即服務(IaaS)供應商為方便用戶租用資源，通常其登記程序管理都是不很嚴格的，目前任何一個持有有效信用卡的人都可以注冊并能立即使用云計算服務；其次，由于云計算資源租用服務價格低廉，因此網(wǎng)絡犯罪分子可以很容易地租用到海量的計算和帶寬資源進行分布式拒絕服務攻擊(DDoS)或進行惡意破解盜取身份。當前，企業(yè)甚至網(wǎng)絡運營商所部署的流量清洗系統(tǒng)的規(guī)模，是很難抵御來自云計算的攻擊的。

(2)對網(wǎng)絡違法行為調查和溯源的風險。首先，由于在云計算廣泛應用的情況下，計算、存儲、帶寬服務可在全球跨國獲取，并可使用被盜竊的信用卡支付，因此對網(wǎng)絡犯罪行為很難進行追查。甚至部分資源可以是第三方普通用戶租用給云計算服務商的，溯源尤為困難；同時，不同國家和地域的有關云計算服務提供者的法律法規(guī)不盡相同，對各種違法行為調查和溯源的取證需求也各不相同。例如，在某些國家展開調查時，云計算服務商可能有權拒絕提交所托管的數(shù)據(jù)。因此可以預期，在云計算環(huán)境下對網(wǎng)絡犯罪行為的調查和溯源可能會存在著風險。

(3)安全管理的風險。雖然企業(yè)用戶將數(shù)據(jù)交給云計算服務商，但是網(wǎng)絡信息安全的相關事宜卻仍然由企業(yè)自身負責。一般而言，企業(yè)用戶會委托第三方安全服務機構進行安全審計、安全評估及安全認證。但在云計算環(huán)境下，首先，由于用戶甚至不知道其數(shù)據(jù)存放的地點，因此很難實施安全審計、評估及認證，云計算擁有者也可能不會配合用戶自身發(fā)起的安全審計與評估；其次，云計算擁有者即使委托第三方進行相關安全審計，其結果也未必能適用于各個云計算用戶；同時，云計算環(huán)境下的用戶信息設施安全審計、評估及認證方法，目前也還在研究之中。

(4)數(shù)據(jù)訪問優(yōu)先權的風險。一般而言，租用云計算存儲、虛擬機、平臺等資源的用戶都希望能保障數(shù)據(jù)的機密性。但是，在用戶將數(shù)據(jù)交給云計算服務提供商后，數(shù)據(jù)實際的最高權限屬于云計算服務提供商，而不是數(shù)據(jù)的真正擁有者。這樣，如果云計算服務提供商內部有惡意員工(這種可能通常是存在的)，用戶的企業(yè)秘密就很可能被泄露出去。雖然不少云計算服務提供商也意識到了這種風險的存在，并提供了一些管理和技術手段(如風險提示機制、同態(tài)加密技術等)予以防范，但是用戶還是應該關注此類風險。

(5)計算和存儲共享的風險。在云計算服務平臺上，用戶可能通過虛擬化技術共享CPU、內存、硬盤、網(wǎng)絡帶寬。如果為此采用加密技術，可能需增加額外的計算能力和處理時間，并因此而降低效率，且即使是采用了加密手段，也不能保證萬無一失。在虛擬化技術下，如果惡意用戶非法取得虛擬機權限，就有可能威脅到同一臺物理服務器上其他虛擬機。一般而言，隔離措施是現(xiàn)在最好的手段，但具體隔離技術的選擇及效果評估目前仍在進一步研究之中。

(6)高可靠性的風險。一般而言，云計算可能會采用一些不是最先進最強大的服務器和存儲設備，而是通過采用虛擬化技術將計算和存儲能力分攤到很多物理設備上。即使某一時刻服務所在設備的可靠性達不到用戶所要求的99.99%,甚至99.999%，云計算服務提供商可通過遷移來虛擬資源以保障其高可靠性。但即使采用了技術／管理措施，也仍然存在著云計算服務平臺高可靠性方面的風險憂慮，用戶應當充分了解服務提供者在業(yè)務可持續(xù)性、數(shù)據(jù)可恢復性能力及恢復時間等方面的真實水平。

(7)企業(yè)用戶長期發(fā)展方面的風險。在當前云計算環(huán)境下，無論是基礎設施即服務(IaaS)、平臺即服務(PaaS)或是軟件即服務(SaaS)，都還缺乏服務整體遷移方面的標準和手段。如果用戶選用了某一家云計算服務提供商，最理想的狀態(tài)是雙方共同發(fā)展與共贏。但是，如果云計算服務提供商破產(chǎn)或被并購而不能有效提供服務，用戶的業(yè)務和服務則有可能會出現(xiàn)中斷或不穩(wěn)定等風險。

(8)非技術領先國家面臨的風險。云計算的主要技術都是由美國Google、IBM、微軟等公司提出并推動的。雖然國外公司在云計算方面并不封鎖，例如，Google公司還以發(fā)表學術論文的形式公開了其云計算核心技術(如GFS、MapReduce、BigTable)并在高校開設了云計算編程課程，但是對包括我國在內的非技術領先國家來說，在虛擬化等關鍵技術方面并不掌握核心技術(大多是在一些開源代碼上做一些修改)。因此，與大規(guī)模采用進口設備可能存在的“后門”風險一樣，大規(guī)模部署云計算同樣也會存在著類似的安全風險。

(9)其他未知的風險。自2006年推出云計算概念以來公用云服務也才剛開始推出。雖然當前云計算服務并沒有暴露出太多的問題，但是畢竟還沒有經(jīng)受過長時間的考驗，因此可能還存在著其他眾多的技術、管理、法規(guī)上的未知風險。

5.3.2WLAN面臨的安全風險

1.?WLAN的安全現(xiàn)狀

由于無線局域網(wǎng)通過無線電波在空中傳輸數(shù)據(jù)，因此在數(shù)據(jù)發(fā)射機覆蓋區(qū)域內的幾乎任何一個無線局域網(wǎng)用戶都能接觸到這些數(shù)據(jù)。無論接觸數(shù)據(jù)者是在另外一個房間、另一層樓或是在本建筑之外，無線就意味著會讓人接觸到數(shù)據(jù)。與此同時，要將無線局域網(wǎng)發(fā)射的數(shù)據(jù)僅僅傳送給一名目標接收者是不可能的。而防火墻對通過無線電波進行的網(wǎng)絡通信起不了作用，任何人在視距范圍之內都可以截獲和插入數(shù)據(jù)。

因此，雖然無線網(wǎng)絡和無線局域網(wǎng)的應用擴展了網(wǎng)絡用戶的自由，它安裝時間短，增加用戶或更改網(wǎng)絡結構時靈活、經(jīng)濟，可提供無線覆蓋范圍內的全功能漫游服務。然而，這種自由同時也對網(wǎng)絡安全性帶來了新的挑戰(zhàn)。安全性包括兩個方面：一個是訪問控制；另一個是保密性。訪問控制確保敏感的數(shù)據(jù)僅由獲得授權的用戶訪問。保密性則確保傳送的數(shù)據(jù)只被目標接收者接收和理解。由上述可見，真正需要重視的是數(shù)據(jù)保密性，但訪問控制也不可忽視，如果沒有在安全性方面進行精心的建設，部署無線局域網(wǎng)將會給黑客和網(wǎng)絡犯罪開啟方便之門。

無線局域網(wǎng)必須考慮的安全威脅有以下幾種：

(1)所有常規(guī)有線網(wǎng)絡存在的安全威脅和隱患都存在。

(2)外部人員可以通過無線網(wǎng)絡繞過防火墻，對公司網(wǎng)絡進行非授權存取。

(3)無線網(wǎng)絡傳輸?shù)男畔]有加密或者加密很弱，易被竊取、竄改和插入。

(4)無線網(wǎng)絡易被拒絕服務攻擊(DoS)和干擾。

(5)內部員工可以設置無線網(wǎng)卡為P2P模式與外部員工連接。

(6)無線網(wǎng)絡的安全產(chǎn)品相對較少，技術相對比較新。

2.?WLAN面臨的主要風險

事實上，無線網(wǎng)絡受大量安全風險和安全問題的困擾，其中主要包括以下幾個方面：

(1)來自網(wǎng)絡用戶的進攻。

(2)未認證的用戶獲得存取權。

(3)來自公司的竊聽泄密等。針對以上威脅問題，常規(guī)的無線網(wǎng)絡安全技術有以下幾種：

(1)服務集標識符(Service

Set

ID，SSID)。通過對多個無線接入點AP設置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接入，并對資源訪問的權限進行區(qū)別限制。但是這只是一個簡單的口令，所有使用該網(wǎng)絡的人都知道該SSID，很容易泄漏，只能提供較低級別的安全；而且如果配置AP向外廣播其SSID，那么安全程度還將下降，因為任何人都可以通過工具得到這個SSID。

(2)介質訪問控制(Media

Access

Control，MAC)過濾又稱為物理地址過濾。由于每個無線工作站的網(wǎng)卡都有唯一的物理地址，因此可以在AP中手工維護一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。這個方案要求AP中的MAC地址列表必須隨時更新，可擴展性差，無法實現(xiàn)機器在不同AP之間的漫游；而且MAC地址在理論上可以偽造，因此這也是較低級別的授權認證。

(3)連線對等保密(Wired

Equivalent

Privacy，WEP)。鏈路層采用RC4對稱加密技術，用戶的加密金鑰必須與AP的密鑰相同時才能獲準存取網(wǎng)絡的資源，從而防止非授權用戶的監(jiān)聽以及非法用戶的訪問。WEP提供了40位(有時也稱為64位)和128位長度的密鑰機制，但是它仍然存在許多缺陷，例如，一個服務區(qū)內的所有用戶都共享同一個密鑰，一個用戶丟失或者泄漏密鑰將使整個網(wǎng)絡不安全。而且由于WEP加密被發(fā)現(xiàn)有安全缺陷，可以在幾個小時內被破解。

(4)虛擬專用網(wǎng)絡(Virtual

Private

Network，VPN)。VPN是指在一個公共IP網(wǎng)絡平臺上通過隧道以及加密技術保證專用數(shù)據(jù)的網(wǎng)絡安全性，它不屬于IEEE802.11標準定義；但是用戶可以借助VPN來抵抗無線網(wǎng)絡的不安全因素，同時還可以提供基于Radius的用戶認證以及計費。

(5)端口訪問控制技術(IEEE802.1x)。該技術是用于無線局域網(wǎng)的一種增強性網(wǎng)絡安全解決方案。當無線工作站與AP關聯(lián)后，是否可以使用AP的服務要取決于IEEE802.1x的認證結果。如果認證通過，則AP為用戶打開這個邏輯端口，否則不允許用戶上網(wǎng)。

IEEE802.1x除提供端口訪問控制能力之外，還提供基于用戶的認證系統(tǒng)及計費，特別適合于無線接入解決方案。5.3.3?IPv6面臨的安全風險

1.針對密碼的攻擊

基于密碼的攻擊很具有生命力，在IPv6環(huán)境下同樣面臨著這樣的威脅。雖然在IPv6環(huán)境下，IPsec是強制實施的,但是在這種情況下，用戶使用的操作系統(tǒng)與其他訪問控制的共同之處就是基于密碼進行訪問控制。對計算機與網(wǎng)絡資源的訪問都是由用戶名與密碼決定的。對那些版本較老的操作系統(tǒng)，有些組件不是在通過網(wǎng)絡傳輸標識信息進行驗證時而對該信息加以保護。這樣竊聽者能夠獲取有效的用戶名與密碼，就擁有了與實際用戶同樣的權限。攻擊者就可以進入到機器內部進行惡意破壞。

2.針對泄漏密鑰攻擊的分析

在IPv6環(huán)境下，IPsec工作的兩種模式(傳輸模式和隧道模式)都需要密鑰交換這樣的過程，因此對密鑰的攻擊仍然具有威脅。盡管對于攻擊者來說確定密鑰是一件艱難而消耗資源的過程，但是這種可能性實實在在存在。當攻擊者確定密鑰之后，攻擊者使用泄露密鑰便可獲取對于安全通信的訪問權，而發(fā)送者或接收者卻全然沒有察覺攻擊，使后面所進行的數(shù)據(jù)傳輸?shù)仍獾經(jīng)]有抵抗的攻擊。進而使攻擊者用泄露密鑰即可解密或修改其他需要的數(shù)據(jù)。同樣攻擊者還會試圖使用泄露密鑰計算其他密鑰，從而使其獲取對其他安全通信的訪問權。

3.針對應用層服務攻擊

應用程序層攻擊的目標是應用程序服務器，即導致服務器的操作系統(tǒng)或應用程序出錯。這會使攻擊者有能力繞過正常訪問控制。攻擊者利用這一點便可控制應用程序、系統(tǒng)或網(wǎng)絡，并可進行任意操作：①讀取、添加、刪除或修改數(shù)據(jù)或操作系統(tǒng)；②引入病毒，即使用計算機與軟件應用程序將病毒復制到整個網(wǎng)絡；③引入竊探器來分析網(wǎng)絡與獲取信息，并最終使用這些信息導致網(wǎng)絡停止響應或崩潰；④異常關閉數(shù)據(jù)應用程序或操作系統(tǒng)；⑤禁用其他安全控制以備日后攻擊。

由于IPsec在網(wǎng)絡層進行數(shù)據(jù)包加密，在網(wǎng)絡傳輸過程中防火墻無法有效地將加密的、帶有病毒的數(shù)據(jù)包進行監(jiān)測，這樣就對在接收端的主機或路由器構成了威脅。

4.可能發(fā)生的拒絕服務攻擊

密鑰管理分為手工密鑰管理和自動密鑰管理。Internet密鑰管理協(xié)議被定位在應用程序的層次,IETF規(guī)定了Internet安全協(xié)議和密鑰管理協(xié)議，(InternetSecurityAssociationandKeyManagementProtocol，ISAKMP)來實現(xiàn)IPsec的密鑰管理需求，為身份驗證的SA設置以及密鑰交換技術定義了一個通用的結構，可以使用不同的密鑰交換技術；IETF還設計了OAKLEY密鑰確定協(xié)議(KeyDet