物聯(lián)網(wǎng)安全綜述

馬芳澍/民航空管局電信公司

物聯(lián)網(wǎng)安全綜述

馬芳澍/民航空管局電信公司

目前，物聯(lián)網(wǎng)技術越來越多的受到了人們的關注。物聯(lián)網(wǎng)時代的到來甚至被認為是繼計算機和互聯(lián)網(wǎng)之后，信息產(chǎn)業(yè)的第三次飛躍。本文主要從物聯(lián)網(wǎng)的核心結構出發(fā)，并詳細的分析各個層次的特點、安全挑戰(zhàn)以及相應的研究現(xiàn)狀，從而了解目前物聯(lián)網(wǎng)安全研究中存在的挑戰(zhàn)。

物聯(lián)網(wǎng)；物聯(lián)網(wǎng)安全；CPS；EPCGloba

1.引言

目前，學術界公認“物聯(lián)網(wǎng)（Internet of Things，IOT）[1][2][3]是一個由感知層、傳輸層、處理層和應用層共同構成的大規(guī)模信息系統(tǒng)”（如圖1所示），其核心結構主要包括：感知層，如智能卡、RFID電子標簽、傳感器網(wǎng)絡等，其主要負責對各種信息的采集；傳輸層，如三網(wǎng)融合的計算機、Internet、無線網(wǎng)絡、固網(wǎng)等,其主要任務是負責信息交換和通信；處理層，主要任務是對收集到的信息進行處理分析；應用層，主要是對智能處理信息的利用，實現(xiàn)用戶定制的智能化應用和服務，從而最終實現(xiàn)物與物、人與物的相聯(lián)，構造一個覆蓋世界上萬事萬物的“Internet of things”。

圖1 物聯(lián)網(wǎng)架構

相對于傳統(tǒng)的互聯(lián)網(wǎng)，物聯(lián)網(wǎng)其覆蓋范圍更廣，所涉及的安全問題也更為敏感，應用環(huán)境也更為復雜，因此其安全問題勢必會更加的重要和艱難。本文將從物聯(lián)網(wǎng)的幾個核心結構出發(fā)分析各個結構面臨的安全威脅和挑戰(zhàn)。

2.感知層

2.1. 感知層的特點

在物聯(lián)網(wǎng)中，感知層具有以下特點：

（1）不確定性：感知層是一個存在嚴重不確定性因素的環(huán)境中；

（2）可跟蹤性：當感知層主要采用RFID技術時，嵌入了RFID芯片的物品不僅能方便地被物品主人所感知，同時其他人也能進行感知；

（3）分散性：感知層的各種RFID或者設備具有地理上是分散的；

（4）連接信道開放：感知層中各個設備之間的連接都是通過無線網(wǎng)進行連接，其信道是開放的；

（5）計算處理能力低下：一般感知層的設備都是小型設備而且能量供應受到嚴格限制，導致計算處理能力低下；

（6）規(guī)模龐大：為了滿足特定應用需求，物聯(lián)網(wǎng)感知層通常需要部署大量的感知設備。

2.2. 感知層面臨的威脅

（1）安全隱私

RFID標簽被嵌入任何物品中，從而導致物品的擁有者不受控制地被掃描、定位和追蹤，因此該物品的擁有者的很多隱私看起來就是公開的隱私，而且對于RFID標簽來說其一般對于任何的請求都會給予應答，所以就更加容易的被定位和跟蹤。

（2）智能感知節(jié)點的自身安全問題

智能感知節(jié)點的安全問題即物聯(lián)網(wǎng)機器/感知節(jié)點的本地安全問題，物聯(lián)網(wǎng)機器/感知節(jié)點多數(shù)部署在無人監(jiān)控的場景中，而且在地理上是分散的。那么攻擊者就可以輕易地接觸到這些設備，從而對它們造成破壞，甚至通過本地操作更換機器的軟硬件。

（3）信號容易被干擾

在感知層的網(wǎng)絡一般都是無線連接，而且信號是公開的，所以其網(wǎng)絡信號很容易就被入侵者進行干擾，從而使得設備之間無法進行正常的通信。

（4）假冒攻擊

由于智能傳感終端、RFID電子標簽相對于傳統(tǒng)網(wǎng)絡而言是“裸露”在攻擊者的眼皮底下的，再加上傳輸平臺是在一定范圍內(nèi)“暴露”在空中的，“竄擾”在傳感網(wǎng)絡領域顯得非常頻繁、并且容易。所以，傳感器網(wǎng)絡中的假冒攻擊是一種主動攻擊形式,它極大地威脅著傳感器節(jié)點間的協(xié)同工作。

（5）數(shù)據(jù)驅(qū)動攻擊

數(shù)據(jù)驅(qū)動攻擊是通過向某個程序或應用發(fā)送數(shù)據(jù)，以產(chǎn)生非預期結果的攻擊，通常為攻擊者提供訪問目標系統(tǒng)的權限。數(shù)據(jù)驅(qū)動攻擊分為緩沖區(qū)溢出攻擊、格式化字符串攻擊、輸入驗證攻擊、同步漏洞攻擊、信任漏洞攻擊等。通常向傳感網(wǎng)絡中的匯聚節(jié)點實施緩沖區(qū)溢出攻擊是非常容易的。

（6）惡意代碼攻擊

惡意程序在無線網(wǎng)絡環(huán)境和傳感網(wǎng)絡環(huán)境中有無窮多的入口。一旦入侵成功，之后通過網(wǎng)絡傳播就變得非常容易。它的傳播性、隱蔽性、破壞性等相比傳統(tǒng)網(wǎng)絡而言更加難以防范，如類似于蠕蟲這樣的惡意代碼，本身又不需要寄生文件，在這樣的環(huán)境中檢測和清除這樣的惡意代碼將很困難。

（7）DOS攻擊

這種攻擊方式多數(shù)會發(fā)生在感知層與核心網(wǎng)絡的銜接之處。由于物聯(lián)網(wǎng)中節(jié)點數(shù)量龐大，且以集群方式存在，因此在數(shù)據(jù)傳播時，大量節(jié)點的數(shù)據(jù)傳輸需求會導致網(wǎng)絡擁塞，產(chǎn)生拒絕服務攻擊。

2.3. 現(xiàn)有的解決方案

現(xiàn)在對于感知層面對的這些安全威脅有了相應的研究，并提出了一些相應的解決方案。但是很多是借鑒了傳統(tǒng)的信息安全的防御策略，主要有：

（1）加密機制

在感知層的加密機制上主要有兩種類型：針對隱私加密和針對防惡意跟蹤加密。目前針對隱私加密的研究主要包括：MIT的Sarma等人[4][5]提出基于哈希鎖方法，MIT的S. Weis等人[6]又進一步提出了基于隨機哈希哈希鎖的方法進行隱私保護的方法。德國凱澤斯勞滕大學的Henrici等人[7]提出基于雜湊的ID變化方法。針對防惡意跟蹤的研究主要包括：瑞士洛桑理工大學的M. Ohkubo教授[8]提出了基于哈希鏈的方法，A. Machanavajjhala等人[9]提出了一種在不損失統(tǒng)計正確性的情況下，有效防止身份信息泄露的匿名化方法。

（2）認證機制

認證機制是指通信的數(shù)據(jù)接收方能夠確認數(shù)據(jù)發(fā)送方的真實身份，以及數(shù)據(jù)在傳送過程中是否遭到篡改。從物聯(lián)網(wǎng)的體系結構來看，感知層的認證機制非常有必要。身份認證是確保節(jié)點的身份信息，從而可以阻止一些非授權的用戶竊取通信數(shù)據(jù)。Carlo Maria Medaglia等人[10]提出了在WSN中PKI認證方法來使得各個設備之間建立信任關系；Divyan M. Konidala等人[11]提出了在EPCGlobal中使用相互認證的機制來使得Reader與Tag進行相互認證從而來保證二者相互信任的。

（3）訪問控制技術

訪問控制在物聯(lián)網(wǎng)環(huán)境下被賦予了新的內(nèi)涵，從傳統(tǒng)網(wǎng)絡中主要給“人”進行訪問授權、變成了給機器進行訪問授權，有限制的分配、交互共享數(shù)據(jù)，在機器與機器之間將變得更加復雜。Carlo Maria Medaglia等人[10]提出了在WSN中使用一些標準（例如IEEE 802.15.4），在每個節(jié)點上定義一個訪問控制列表（ACL），從而使得每個節(jié)點只能接受其ACL中的節(jié)點的信息而達到安全目的；Yong Ki Lee等人[12]在分析了現(xiàn)有的很多國際標準和工業(yè)標準都是簡單的采用基于密碼的訪問控制方法的缺點，提出了一種EC-RAC的訪問控制方法，能夠使得設備間

（4）物理機制

主要是采用一些物理方法，從而來保證設備的安全。Christoph P. Mayer等人[13]提出了使用Kill codes、法拉第罩以及使用Blocker Tag等方法從來使得入侵者無法讀取Tag的信息。Olivier Savry等人[14]提出了使用RFID干擾信號使入侵者無法連接到正常的Tag。

2.4. 后續(xù)研究面臨的主要安全挑戰(zhàn)

從上面的分析可知，因為物聯(lián)網(wǎng)的感知層具有的特征導致了其在安全方面面臨著一些全新的威脅。雖然在某些方面的安全可以使用一些傳統(tǒng)的安全防御手段（加密機制、驗證機制等），但是這些技術和方法在物聯(lián)網(wǎng)的感知層這個特定環(huán)境下還是很難實現(xiàn)或者說其實現(xiàn)難度相當大。所以在今后對感知層安全的研究中面臨的新挑戰(zhàn)有：

（1）物聯(lián)網(wǎng)感知層設備的物理安全問題：物聯(lián)網(wǎng)規(guī)模的擴大甚至達到全球性，則會使得設備的地理分布更為分散則就需要制定一個更為合理的管理規(guī)則，從而使得所有的設備都能夠正常的運行并保證這些設備的物理安全。

（2）感知層的安全事件發(fā)現(xiàn)：在感知層，物聯(lián)網(wǎng)中感知節(jié)點通常情況下功能簡單（如自動溫度計）、攜帶能量少（使用電池）,使得它們無法擁有復雜的安全保護能力,因此要研究針對物聯(lián)網(wǎng)的感知層的網(wǎng)絡安全事件發(fā)現(xiàn)方法，包括感知層數(shù)據(jù)防篡改、防止惡意追蹤、防止信息竊取等；

（3）感知層的數(shù)據(jù)安全問題：由于現(xiàn)有的加密機制對于感知層的來說實現(xiàn)上還是有很大的困難，所以在接下來的研究工作中要綜合考慮感知層中各種設備的特點，而制定一種全新的適用于物聯(lián)網(wǎng)感知層的加密機制，從而來保證在感知層的信息安全；對于驗證機制來說，同樣是需要制定一些輕量級的驗證機制從而減緩設備的計算和存儲的需要。

（4） 感知層的隱私保護問題：現(xiàn)有的數(shù)據(jù)隱私保護方法側(cè)重于永久性的用戶記錄數(shù)據(jù)，并不完全適用于實時性的物聯(lián)網(wǎng)感知層數(shù)據(jù)。例如，基于統(tǒng)計方法的技術適用于靜態(tài)數(shù)據(jù)，但如何隱藏來自實時傳感器的私人信息流，還需要進一步研究。由于單個物體上的嵌入式設備的計算能力和能量有限，需要“輕量級”解決方案。

（5）感知層的訪問控制問題：物聯(lián)網(wǎng)的感知層涉及大量的底層物理設備，訪問控制在物聯(lián)網(wǎng)環(huán)境下被賦予了新的內(nèi)涵，從傳統(tǒng)網(wǎng)絡中主要給“人”進行訪問授權、變成了給機器進行訪問授權，有限制的分配、交互共享數(shù)據(jù)，在機器與機器之間將變得更加復雜。目前的訪問控制技術都無法適應這種大規(guī)模物理設備的訪問控制，如何實現(xiàn)有效的訪問控制也是一個難點。

（6）統(tǒng)一協(xié)議有待制定：在物聯(lián)網(wǎng)核心層面是基于TCP／IP協(xié)議，但是在感知層，協(xié)議種類很多，如GPRS、短信、傳感器、TD、SCDMA等，物聯(lián)網(wǎng)需要一個統(tǒng)一的協(xié)議基礎，以解決安全問題。

3.傳輸層

傳輸層是物聯(lián)網(wǎng)的神經(jīng)中樞和大腦——信息的交換和通信。傳輸層包括通信與互聯(lián)網(wǎng)的融合網(wǎng)絡、網(wǎng)絡管理中心和信息中心等。傳輸層將感知層獲取的信息進行傳遞，類似于人體結構中的神經(jīng)中樞和大腦。

3.1. 傳輸層的特點

（1）以現(xiàn)有的互聯(lián)網(wǎng)或者下一代互聯(lián)網(wǎng)作為通信的載體。在物聯(lián)網(wǎng)的發(fā)展過程中，其信息的傳遞基本上是以互聯(lián)網(wǎng)或者即將到來的下一代互聯(lián)網(wǎng)作為載體。

（2）在物聯(lián)網(wǎng)的傳輸層中，會存在著大量的異構網(wǎng)絡的信息傳遞。在物聯(lián)網(wǎng)的感知層中的組網(wǎng)技術沒有統(tǒng)一的標準，那么在傳輸層將面臨著對各種類型的網(wǎng)絡數(shù)據(jù)進行交換和通信。

3.2. 傳輸層面臨的威脅

公安部的郝文江等人[15]指出，由于物聯(lián)網(wǎng)的傳輸層依賴于傳統(tǒng)的互聯(lián)網(wǎng)，因此物聯(lián)網(wǎng)面臨傳統(tǒng)網(wǎng)絡的安全問題，例如病毒、木馬、DDOS攻擊、假冒、中間人攻擊、跨異構網(wǎng)絡的網(wǎng)絡攻擊等傳統(tǒng)互聯(lián)網(wǎng)的網(wǎng)絡安全的問題依然存在。

3.3. 現(xiàn)有的解決方案

在對物聯(lián)網(wǎng)的傳輸層的安全技術的研究目前主要還是對傳統(tǒng)的互聯(lián)網(wǎng)安全的研究，所以主要可以使用的技術有傳統(tǒng)的認證技術、數(shù)據(jù)加密技術等。傳輸層的安全機制可分為端到端機密性和節(jié)點到節(jié)點機密性。對于端到端機密性，需要建立如下安全機制：端到端認證機制、端到端密鑰協(xié)商機制、密鑰管理機制和機密性算法選取機制等。在這些安全機制中，根據(jù)需要可以增加數(shù)據(jù)完整性服務。對于節(jié)點到節(jié)點機密性，需要節(jié)點間的認證和密鑰協(xié)商協(xié)議，這類協(xié)議要重點考慮效率因素。機密性算法的選取和數(shù)據(jù)完整性服務則可以根據(jù)需求選取或省略?？紤]到跨網(wǎng)絡架構的安全需求，需要建立不同網(wǎng)絡環(huán)境的認證銜接機制。另外，根據(jù)應用層的不同需求，網(wǎng)絡傳輸模式可能區(qū)分為單播通信、組播通信和廣播通信，針對不同類型的通信模式也應該有相應的認證機制和機密性保護機制。

3.4. 后續(xù)研究面臨的主要安全挑戰(zhàn)

在物聯(lián)網(wǎng)的傳輸層中，信息的傳遞是以現(xiàn)在的互聯(lián)網(wǎng)或者下一代的互聯(lián)網(wǎng)作為傳輸?shù)妮d體，因此當傳統(tǒng)互聯(lián)網(wǎng)技術面臨著新的安全挑戰(zhàn)時，傳輸層同樣需要解決這些問題。在以后傳輸層安全的研究中將面臨的新挑戰(zhàn)有：

（1）跨網(wǎng)攻擊的防范問題：物聯(lián)網(wǎng)的傳輸層要進行異構網(wǎng)絡的信息交換，則隨時都會面臨著新的跨網(wǎng)攻擊類型的出現(xiàn)，目前的網(wǎng)絡安全技術隊跨網(wǎng)攻擊的研究還遠遠不夠，在這方面物聯(lián)網(wǎng)安全將面臨著比較嚴峻的挑戰(zhàn)。

（2）新型網(wǎng)絡安全事件分析與發(fā)現(xiàn)方法：在物聯(lián)網(wǎng)的傳輸層，根據(jù)物聯(lián)網(wǎng)中數(shù)據(jù)快速流動以及海量信息等特點，研究與傳統(tǒng)網(wǎng)絡不同的網(wǎng)絡安全事件發(fā)現(xiàn)方法，包括新型針對物聯(lián)網(wǎng)的拒絕服務攻擊、基于通信流量分析的網(wǎng)絡安全攻擊行為分析與發(fā)現(xiàn)等。

（3）自適應的攻擊防范問題：與傳統(tǒng)互聯(lián)網(wǎng)不同，物聯(lián)網(wǎng)所連接的終端設備性能和對網(wǎng)絡需求的巨大差異，使得其對網(wǎng)絡攻擊的防護能力也會有很大差別，而應針對不同網(wǎng)絡性能和網(wǎng)絡需求應該有不同的防范措施，因此很難設計通用的物聯(lián)網(wǎng)安全方案，如何實現(xiàn)自適應的物聯(lián)網(wǎng)攻擊防范是物聯(lián)網(wǎng)安全研究面臨的挑戰(zhàn)之一。

4.處理層

4.1. 處理層的特點

物聯(lián)網(wǎng)的處理層主要是接收傳輸層的信息以及對這些信息進行智能的處理，其主要的特點有：

（1）智能性：智能性是物聯(lián)網(wǎng)處理層最重要的特征；

（2）處理海量數(shù)據(jù)：這也是物聯(lián)網(wǎng)處理層的主要特征，因為物聯(lián)網(wǎng)中設備的數(shù)量是龐大的，而且數(shù)據(jù)都是由機器產(chǎn)生，所以處理層將要處理海量的數(shù)據(jù)；

（3）自動性：一般在處理層的處理都是自動處理的；

（4）智能處理設備多樣性：智能處理平臺的設備多樣化，規(guī)模大的到高性能工作站，小的可以到移動設備；

（5）實時性：對于處理層的處理，要求能夠?qū)崟r的處理并且快速的給予回復。

4.2. 處理層面臨的安全威脅

（1）來自于超大量終端的海量數(shù)據(jù)的識別和處理

物聯(lián)網(wǎng)時代需要處理的信息是海量的，需要處理的平臺也是分布式的。當不同性質(zhì)的數(shù)據(jù)通過一個處理平臺處理時，該平臺需要多個功能各異的處理平臺協(xié)同處理。但首先應該知道將哪些數(shù)據(jù)分配到哪個處理平臺，因此數(shù)據(jù)類別分類是必須的。同時，安全的要求使得許多信息都是以加密形式存在的，因此如何快速有效地處理海量加密數(shù)據(jù)是智能處理階段遇到的一個重大挑戰(zhàn)。

（2）智能變?yōu)榈湍?/p>

計算技術的智能處理過程較人類的智力來說還是有本質(zhì)的區(qū)別，但計算機的智能判斷在速度上是人類智力判斷所無法比擬的，由此，期望物聯(lián)網(wǎng)環(huán)境的智能處理在智能水平上不斷提高，而且不能用人的智力去代替。也就是說，只要智能處理過程存在，就可能讓攻擊者有機會躲過智能處理過程的識別和過濾，從而達到攻擊目的。在這種情況下，智能與低能相當。因此，物聯(lián)網(wǎng)的處理層需要高智能的處理機制。

（3）自動變?yōu)槭Э?/p>

處理層為了能夠達到智能的處理，一般情況下都需要達到自動控制的狀態(tài)。但是如果在自動控制的過程沒有處理好，那么就有可能會受到入侵者的攻擊，就有可能使得處理平臺由自動控制變成失控狀態(tài)。

（4）災難控制和恢復

如果智能水平很高，那么可以有效識別并自動處理惡意數(shù)據(jù)和指令。但再好的智能也存在失誤的情況，特別在物聯(lián)網(wǎng)環(huán)境中，即使失誤概率非常小，因為自動處理過程的數(shù)據(jù)量非常龐大，因此失誤的情況還是很多。在處理發(fā)生失誤而使攻擊者攻擊成功后，如何將攻擊所造成的損失降低到最小程度，并盡快從災難中恢復到正常工作狀態(tài)，是物聯(lián)網(wǎng)智能處理層的另一重要問題，也是一個重大挑戰(zhàn)，因為在技術上沒有最好，只有更好。

（5）非法人為干預

智能處理層雖然使用智能的自動處理手段，但還是允許人為干預，而且是必須的。人為干預可能發(fā)生在智能處理過程無法做出正確判斷的時候，也可能發(fā)生在智能處理過程有關鍵中間結果或最終結果的時候，還可能發(fā)生在其他任何原因而需要人為干預的時候。人為干預的目的是為了處理層更好地工作，但也有例外，那就是實施人為干預的人試圖實施惡意行為時。來自于人的惡意行為具有很大的不可預測性，防范措施除了技術輔助手段外，更多地需要依靠管理手段。因此，物聯(lián)網(wǎng)處理層的信息保障還需要科學管理手段。

4.3. 現(xiàn)有的解決方案

由于物聯(lián)網(wǎng)還處于起步階段，特別是關于處理層安全的相關研究和成果還很少。下面我們分析和介紹了一些傳統(tǒng)網(wǎng)絡中的安全問題解決方案，希望我們能從中得到啟發(fā)和靈感。

（1）災難備份和災難恢復[17]

災難備份是指為了減少災難發(fā)生的概率，以及減少災難發(fā)生時或發(fā)生后造成的損失而采取的各種防范措施。災難恢復是指計算機系統(tǒng)災難發(fā)生后，在遠離災難現(xiàn)場的地方重新組織系統(tǒng)運行和恢復運營的過程。都是降低災難發(fā)生的損失、保證計算機系統(tǒng)連續(xù)運行的重要措施。比較有名的災備和恢復系統(tǒng)有IBM的跨域并行系統(tǒng)耦合體技術（Geographically Dispersed Parallel Sysplex，GDPS），EMC SRDF遠程數(shù)據(jù)備份系統(tǒng)（Symmetrix Remote Data Facility，SRDF）和CA的BrightStor系統(tǒng)等。

（2）加密機制

加密是將在傳輸或存儲期間的明文改為密文，避免非授權的查看或使用，從而實現(xiàn)對隱私數(shù)據(jù)的保護。傳統(tǒng)網(wǎng)絡中，在網(wǎng)絡層的加密機制是逐跳加密，即信息在發(fā)送過程中，在傳輸過程中是加密的，但是需要不斷地在每個經(jīng)過的節(jié)點上解密和加密，即在每個節(jié)點上都是明文的，具有低時延、高效率、低成本、可擴展性好等特點。而業(yè)務層加密機制則是端到端的，即信息只在發(fā)送端和接收端才是明文，而在傳輸?shù)倪^程和轉(zhuǎn)發(fā)節(jié)點上都是密文，相對逐跳方式具有更高的安全性。物聯(lián)網(wǎng)中網(wǎng)絡連接和業(yè)務使用緊密結合，那么就面臨到底使用逐跳加密還是端到端加密的選擇。因此，就需要權衡業(yè)務的機密性要求與實時性、擴展性等要求之間的關系來做出具體的決定。

（3）入侵檢測[18]

入侵檢測是指在網(wǎng)絡中發(fā)現(xiàn)和察覺入侵及入侵企圖，以便采取有效的措施來堵塞漏洞和修復系統(tǒng)的技術。其作用包括：識別入侵者；識別入侵行為；檢測和監(jiān)視已成功的安全突破；為對抗入侵及時提供重要信息，阻止事件的發(fā)生和事態(tài)的擴大。入侵檢測技術主要分為異常入侵檢測和誤用入侵檢測等，兩者的不同在于異常入侵檢測是指能夠根據(jù)異常行為和使用計算機資源情況檢測出來的入侵，試圖用定量方式描述可接受的行為特征，以區(qū)分非正常的、潛在的入侵行為；而誤用入侵檢測則是指利用已知系統(tǒng)和應用軟件的弱點攻擊模式來檢測入侵的入侵檢測方法。物聯(lián)網(wǎng)作為一個新興的信息技術，建立一整套與系統(tǒng)結構相適應的且高效的入侵檢測方法，將極大的提高其整體的安全性能。

4.4. 后續(xù)研究面臨的主要安全挑戰(zhàn)

（1）高效數(shù)據(jù)機密性和完整性保障機制：物聯(lián)網(wǎng)中處理的是海量實時數(shù)據(jù)，如何在處理層實現(xiàn)高效的加解密算法、可靠的認證機制和密鑰管理機制等，以確保數(shù)據(jù)的機密性和完整性，是智能處理階段遇到的一個重大挑戰(zhàn)。

（2）惡意指令分析和預防：物聯(lián)網(wǎng)中涉及到控制指令，使得其網(wǎng)絡安全的危害不僅局限于傳統(tǒng)的信息系統(tǒng)，而且向物理世界延伸，因此處理層的惡意指令分析和預防變得尤為重要，尤其是對特殊的控制指令，需要研究專門的機制以保證指令的正確性。

（3）高效的災難恢復機制：在處理發(fā)生失誤而使攻擊者攻擊成功后，如何將攻擊所造成的損失降低到最小程度，并盡快從災難中恢復到正常工作狀態(tài)，是物聯(lián)網(wǎng)智能處理層的另一重要問題，也是一個重大挑戰(zhàn)，尤其針對物聯(lián)網(wǎng)中的移動設備，需要研究專門的移動設備識別、定位和追蹤機制以及移動設備文件（包括秘密文件）的可備份和恢復機制等。

5.應用層

5.1. 應用層的特點

應用層主要是為了利用處理層的智能處理結果，而實現(xiàn)用戶定制的智能化服務，其主要特點有：

（1）應用層將會有大量的不同需求的用戶進行訪問請求：一個應用的設計將會有不同的用戶來進行訪問，而不同的用戶將會有著不同的需求。

（2）利用處理層的智能結果來達到智能應用：應用層的最主要的任務就是要利用處理層的智能結果，從而實現(xiàn)用戶定制的智能化服務。

（3）存儲了大量的敏感信息：物聯(lián)網(wǎng)中的信息特別是企業(yè)信息或者私人信息，所以在應用層中還是存在著大量敏感的信息。

（4）具有大量的知識產(chǎn)權：物聯(lián)網(wǎng)的主要市場將是商業(yè)應用，在商業(yè)應用中存在大量需要保護的知識產(chǎn)權產(chǎn)品，包括電子產(chǎn)品和軟件等。

5.2. 應用層面臨的安全威脅

（1）如何根據(jù)不同訪問權限對同一數(shù)據(jù)庫內(nèi)容進行篩選

由于對于每一個應用有著大量的用戶進行訪問，那么就應該針對不同權限的用戶要進行不同的訪問控制，其能得到的功能和數(shù)據(jù)也將會有所不同，這是在應用層的使用中需要面對的一個安全挑戰(zhàn)。

（2）用戶隱私信息保護問題

物聯(lián)網(wǎng)應用層存儲著大量的用戶隱私信息，而且也極容易被跟蹤，那么要如何對這些隱私信息進行保護，如何使用正確、有效的認證機制來達到保護隱私的效果是在應用層要解決的問題。

（3）信息泄露追蹤問題

在應用層存在著大量處理層的智能處理結果，很多數(shù)據(jù)都是敏感數(shù)據(jù)，從而就會導致很多入侵者試圖進行入侵獲取這些敏感信息。那么，如何才能夠防止這些信息的泄露和被跟蹤的問題也是要面臨的安全挑戰(zhàn)。

（4）如何進行計算機取證

在使用互聯(lián)網(wǎng)的商業(yè)活動中，特別是在物聯(lián)網(wǎng)環(huán)境的商業(yè)活動中，無論采取了什么技術措施，都難免惡意行為的發(fā)生。如果能根據(jù)惡意行為所造成后果的嚴重程度給予相應的懲罰，那么就可以減少惡意行為的發(fā)生。技術上，這需要搜集相關證據(jù)。因此，計算機取證就顯得非常重要，當然這有一定的技術難度，主要是因為計算機平臺種類太多，包括多種計算機操作系統(tǒng)、虛擬操作系統(tǒng)、移動設備操作系統(tǒng)等。

5.3. 現(xiàn)有的解決方案

對于應用層的相關威脅，現(xiàn)有的解決方案有：

（1）訪問控制技術

訪問控制是網(wǎng)絡安全防范和保護的主要策略，它可以限制對關鍵資源的訪問，防止非法用戶的侵入或合法用戶的不慎操作所造成的破壞。Eberhard Grummt等人[19]于2008年的第一屆物聯(lián)網(wǎng)大會（The Internet of Things,IOT）上針對EPCIS協(xié)議不具有訪問限制權限的問題，設計了一種專門用于描述大規(guī)模EPCIS事件中訪問權限的上下文感知策略語言，并提出一種新的基于規(guī)則的訪問協(xié)議，通過定義訪問規(guī)則來限制用戶訪問權限，加強了信息的安全性。

（2）匿名簽名、匿名認證

匿名技術是一種保護用戶的身份和位置信息不被泄露的有效解決方案。Joaquin Garcia-Alfaro等人[20]針對現(xiàn)有ONS服務中隱私泄漏的問題，基于免費軟件Tor（The second generation Onion Router）實現(xiàn)了匿名的ONS查詢服務，并對結果進行了相應的分析評估。為解決ONS查詢中的隱私信息泄漏問題提供了一種較好的思路和指導。

5.4. 后續(xù)研究面臨的主要安全挑戰(zhàn)

（1）基于用戶隱私信息保護的認證機制：不僅僅是在感知層中存在著用戶的隱私信息，在應用層同樣存在著用戶的一些隱私信息而且也極容易被跟蹤，那么要如何對這些隱私信息進行保護，如何使用正確、有效的認證機制來達到保護隱私的效果是在應用層要解決的問題。

（2）有效的防止信息泄露和追蹤手段：在應用層存在著大量處理層的智能處理結果，很多數(shù)據(jù)都是敏感數(shù)據(jù)，從而就會導致很多入侵者試圖進行入侵獲取這些敏感信息。因此，如何才能夠防止這些信息的泄露和被跟蹤的問題也是要面臨的安全挑戰(zhàn)。

（3）物聯(lián)網(wǎng)網(wǎng)絡安全事件的綜合分析與發(fā)現(xiàn)：物聯(lián)網(wǎng)中各種網(wǎng)絡安全信息數(shù)據(jù)量大，來源復雜，包括從傳感網(wǎng)、從核心網(wǎng)、Internet以及應用層等各個層次發(fā)現(xiàn)的網(wǎng)絡安全事件，如何對這些不同來源、不同格式的網(wǎng)絡安全事件進行關聯(lián)分析、數(shù)據(jù)挖掘，實時發(fā)現(xiàn)全網(wǎng)的各種安全事件，特別是重大網(wǎng)絡安全事件，并對重大網(wǎng)絡安全事件進行追蹤溯源和定位，預測其發(fā)展趨勢，這些都是需要深入研究的問題。

（4）物聯(lián)網(wǎng)安全監(jiān)控體系架構：龐大且多樣化的物聯(lián)網(wǎng)平臺必然需要一個強大而統(tǒng)一的安全管理平臺，否則獨立的平臺會被各式各樣的物聯(lián)網(wǎng)應用所淹沒。物聯(lián)網(wǎng)安全監(jiān)控涉及到感知層、網(wǎng)絡層以及應用層等方面的問題，目前已有的研究都分散在各個研究點分別進行物聯(lián)網(wǎng)安全的研究，如何建立統(tǒng)一的、可集成的物聯(lián)網(wǎng)安全監(jiān)控體系架構，實現(xiàn)感知層、網(wǎng)絡層以及應用層安全聯(lián)動，同時支持與互聯(lián)網(wǎng)網(wǎng)絡安全監(jiān)控的集成和互操作是物聯(lián)網(wǎng)安全研究面臨的主要挑戰(zhàn)問題之一。

6.總結

本文討論了當前物聯(lián)網(wǎng)發(fā)展中面臨的安全問題，通過對物聯(lián)網(wǎng)的核心結構的具體分析，使得讀者能夠真正的了解現(xiàn)在物聯(lián)網(wǎng)面臨的安全挑戰(zhàn)。隨著物聯(lián)網(wǎng)的進一步發(fā)展，安全、隱私問題將日益突出，而關于物聯(lián)網(wǎng)安全的研究還處于起步階段，仍然面臨著很多的安全挑戰(zhàn)。因此，關于物聯(lián)網(wǎng)的安全研究任重而道遠。

[1] International Telecommunication Union UIT．N’U Internet Reports 2005：The Internet of Things[R]．2005．

[2] GUSTAVO R G MARIO M O，CARLOS DK．Early infrastructure of all Internet of Things in Spaces for Learning[C]．Eighth IEEE International Conference on Advanced Learning Technologies。2008：381—383．

[3] AMARDEO C，SARMA，J G Identities in the Future Internet of Things[J]．Wireless Pers Commun 2009．49： 353—363．

[4] C. Roberts. Radio frequency identication (RFID). Computers & Security, 25(1):18{26, 2006.

[5] S. Sarma, S. Weis, and D. Engels. RFID systems and security and privacy implications. Cryptographic Hardware and Embedded Systems-CHES 2002.

[6] S. Weis, S. Sarma, R. Rivest, and D. Engels. Security and privacy aspects of low-cost radio frequency identi_cation systems. Security in Pervasive Computing, pages 50-59, 2003.

[7] D. Henrici and P. Muller. Hash-based enhancement of location privacy for radio-frequency identication devices using varying identiers. In Proceedings of the Second IEEE Annual Conference on Pervasive Computing and Communications Workshops, page 149. IEEE Computer Society, 2004.

[8] M. Ohkubo, K. Suzuki, and S. Kinoshita. Hash-chain based forward-secure privacy protection scheme for low-cost RFID. In Proceedings of the SCIS, volume 2004, pages 719-724, 2004.

[9] A. Machanavajjhala, D. Kifer, J. Gehrke, and M. Venkitasubramaniam. ldiversity: Privacy beyond k-anonymity. ACM Transactions on Knowledge Discovery from Data (TKDD), 1(1):3, 2007.

[10] C.M. Medaglia, A. Serbanati, An overview of privacy and security issues in the internet of things, in: Proceedings of TIWDC 2009, Pula, Italy, September 2009.

[11] Divyan M. Konidala, Woan-Sik Kim, and Kwangjo Kim. Security assessment of epcglobal architecture framework. Technical report, Auto-ID Labs, 2007.

[12] Yong Ki Lee, Lejla Batina, and Ingrid Verbauwhede .Privacy Challenges in RFID Systems. The Internet of Things: 20th Tyrrhenian Workshop on Digital Communications.

[13] Christoph P. Mayer. Security and Privacy Challenges in the Internet of Things. WowKiVS 2009. 2009,Volume 17.

[14] Olivier Savry and Franc?ois Vacherand. Security and Privacy Protection of Contactless Devices. The 20th Tyrrhenian Workshop on digital communication. pages 409-419.

[15] 郝文江，武捷，物聯(lián)網(wǎng)技術安全問題探析，信息網(wǎng)絡安全，2010.1.

[16] 韓燕波，趙卓峰等，物聯(lián)網(wǎng)與云計算，中國計算機學會通訊，第6卷，第2期，2010.2.

[17] 張艷，李舟軍，何德全. 災難備份和恢復技術的現(xiàn)狀與發(fā)展. 計算機工程與科學. Vol．27，No．2，2005. 107-110.

[18] 蔣建春 馬恒太 任黨恩 卿斯?jié)h. 網(wǎng)絡安全入侵檢測:研究綜述[J].軟件學報.2000年第11期.

[19] Eberhard Grummt and Markus Müller. Fine-grained Access Control for EPC Information Services. In Christian Floerkemeier and Marc Langheinrich, editors, The Internet of Things 2008, volume 4952 of LNCS, pages 35-49. Springer-Verlag Berlin Heidelberg, March 2008.

[20] Garcia-Alfaro, J. Barbeau, M. Kranakis, E. Evaluation of Anonymized ONS Queries. Security of Autonomous and Spontaneous Networks (SETOP 2008), pp. 47-60. Loctudy, France, 2008.