淺談云計(jì)算及物聯(lián)網(wǎng)背景下的網(wǎng)絡(luò)安全新技術(shù)

◆盧曉麗

（遼寧機(jī)電職業(yè)技術(shù)學(xué)院信息工程系 遼寧 118000）

淺談云計(jì)算及物聯(lián)網(wǎng)背景下的網(wǎng)絡(luò)安全新技術(shù)

◆盧曉麗

（遼寧機(jī)電職業(yè)技術(shù)學(xué)院信息工程系 遼寧 118000）

本文從云計(jì)算和物聯(lián)網(wǎng)技術(shù)入手，分析了二者技術(shù)融合的必要性和未來(lái)的發(fā)展方向。詳細(xì)介紹了物聯(lián)網(wǎng)的安全特征及存在的安全問(wèn)題、物聯(lián)網(wǎng)安全技術(shù)架構(gòu)、物聯(lián)網(wǎng)安全與云計(jì)算安全的關(guān)鍵技術(shù)。

云計(jì)算；物聯(lián)網(wǎng)；安全關(guān)鍵技術(shù)

0 前言

物聯(lián)網(wǎng)與云計(jì)算都是基于互聯(lián)網(wǎng)的，可以說(shuō)互聯(lián)網(wǎng)就是它們相互連接的一個(gè)紐帶。物聯(lián)網(wǎng)就是互聯(lián)網(wǎng)通過(guò)傳感網(wǎng)絡(luò)向物理世界的延伸，它的最終目標(biāo)就是對(duì)物理世界進(jìn)行智能化管理。物聯(lián)網(wǎng)的這一使命，也決定了它必然要由一個(gè)大規(guī)模的計(jì)算平臺(tái)作為支撐。云計(jì)算從本質(zhì)上來(lái)說(shuō)就是一個(gè)用于海量數(shù)據(jù)處理的計(jì)算平臺(tái)，因此，云計(jì)算技術(shù)是物聯(lián)網(wǎng)涵蓋的技術(shù)范疇之一。

1 云計(jì)算與物聯(lián)網(wǎng)簡(jiǎn)介

1.1 云計(jì)算技術(shù)

云計(jì)算（Cloud Computing）的核心思想就是將大量用網(wǎng)絡(luò)連接的計(jì)算資源統(tǒng)一管理和調(diào)度，構(gòu)成一個(gè)計(jì)算資源池向用戶(hù)按需服務(wù)。提供資源的網(wǎng)絡(luò)被稱(chēng)為“云”?！霸啤敝械馁Y源在使用者看來(lái)是可以無(wú)限擴(kuò)展的，并且可以隨時(shí)獲取，按需使用，隨時(shí)擴(kuò)展，按使用付費(fèi)。這種特性經(jīng)常被稱(chēng)為“像水電一樣使用IT基礎(chǔ)設(shè)施”。

通過(guò)使各種計(jì)算需求分布在大量的分布式計(jì)算機(jī)上，而非本地計(jì)算機(jī)或遠(yuǎn)程服務(wù)器中，企業(yè)數(shù)據(jù)中心的運(yùn)行將與因特網(wǎng)更相似。這使得企業(yè)能夠?qū)①Y源切換到需要的應(yīng)用上，根據(jù)需求訪問(wèn)計(jì)算機(jī)和存儲(chǔ)系統(tǒng)。它意味著計(jì)算能力也可以作為一種商品通過(guò)因特網(wǎng)進(jìn)行傳輸、流通，就像煤氣、水電一樣，取用方便、費(fèi)用低廉。

1.2 物聯(lián)網(wǎng)技術(shù)

物聯(lián)網(wǎng)（The Internet of Things）是新一代信息技術(shù)的重要組成部分，它將無(wú)處不在的末端設(shè)備、設(shè)施（包括具備“內(nèi)在智能”的傳感器、移動(dòng)終端、工業(yè)系統(tǒng)、樓控系統(tǒng)、家庭智能設(shè)施、視頻監(jiān)控系統(tǒng)等）和“外在使能”的（如貼上RFID的各種資產(chǎn)、攜帶無(wú)線終端的個(gè)人與車(chē)輛等）智能化物件或動(dòng)物或智能塵埃，通過(guò)各種無(wú)線或有線的長(zhǎng)距離或短距離通信網(wǎng)絡(luò)實(shí)現(xiàn)互連互通、應(yīng)用大集成，以及基于云計(jì)算的SaaS營(yíng)運(yùn)等模式，在內(nèi)網(wǎng)、專(zhuān)網(wǎng)或因特網(wǎng)環(huán)境下，采用適當(dāng)?shù)男畔踩Ｕ蠙C(jī)制，提供安全甚至個(gè)性化的實(shí)時(shí)在線監(jiān)控、定位追溯、報(bào)警聯(lián)動(dòng)、調(diào)度指揮、預(yù)案管理、遠(yuǎn)程控制、安全防范、遠(yuǎn)程維保、在線升級(jí)、統(tǒng)計(jì)報(bào)表、決策支持、領(lǐng)導(dǎo)桌面等管理和服務(wù)功能，實(shí)現(xiàn)對(duì)“萬(wàn)物”的“高效、節(jié)能、安全、環(huán)?！钡摹肮堋⒖?、營(yíng)”一體化。

從技術(shù)架構(gòu)上來(lái)看，物聯(lián)網(wǎng)可分為三層：感知層、網(wǎng)絡(luò)層和應(yīng)用層，如表1所示。

表1 物聯(lián)網(wǎng)的技術(shù)架構(gòu)

傳感器、二維碼標(biāo)簽、RFID標(biāo)簽和讀寫(xiě)器、攝像頭、GPS等感知終端。源，其主要功能是識(shí)別物體，采集信息。網(wǎng)絡(luò)層由各種私有網(wǎng)絡(luò)、因特網(wǎng)、有線和無(wú)線通信網(wǎng)、網(wǎng)絡(luò)管理系統(tǒng)和云計(jì)算平臺(tái)等組成。相當(dāng)于人的神經(jīng)中樞和大腦，負(fù)責(zé)傳遞和處理感知層獲取的信息。應(yīng)用層是物聯(lián)網(wǎng)和用戶(hù)（包括人、組織和其他系統(tǒng)）的接口與行業(yè)需求相結(jié)合，實(shí)現(xiàn)物聯(lián)網(wǎng)的智能應(yīng)用。

2 云計(jì)算與物聯(lián)網(wǎng)的技術(shù)融合

云計(jì)算是實(shí)現(xiàn)物聯(lián)網(wǎng)的核心，運(yùn)用云計(jì)算模式使物聯(lián)網(wǎng)中以兆計(jì)算的各類(lèi)物品的實(shí)時(shí)動(dòng)態(tài)管理和智能分析變得可能。物聯(lián)網(wǎng)通過(guò)將射頻識(shí)別技術(shù)、傳感技術(shù)、納米技術(shù)等新技術(shù)充分運(yùn)用在各行業(yè)之中，將各種物體充分連接，并通過(guò)無(wú)線網(wǎng)絡(luò)將采集到的各種實(shí)時(shí)動(dòng)態(tài)信息送達(dá)計(jì)算機(jī)處理中心進(jìn)行匯總、分析和處理。

從網(wǎng)絡(luò)結(jié)構(gòu)層次上來(lái)看，物聯(lián)網(wǎng)和云聯(lián)網(wǎng)這二者并不是分離的。物聯(lián)網(wǎng)現(xiàn)在的關(guān)注點(diǎn)和技術(shù)發(fā)展點(diǎn)是在傳感和圖像采集等方面，以及它們之間怎樣用統(tǒng)一的標(biāo)準(zhǔn)互聯(lián)起來(lái)。實(shí)現(xiàn)互聯(lián)以后，采集到的信息還要上傳到云計(jì)算的數(shù)據(jù)中心層面進(jìn)行處理。所以不僅僅要實(shí)現(xiàn)物聯(lián)網(wǎng)網(wǎng)絡(luò)的互通互聯(lián)，還要實(shí)現(xiàn)物聯(lián)網(wǎng)與云計(jì)算數(shù)據(jù)中心的對(duì)接，而要想實(shí)現(xiàn)這幾點(diǎn)就需要網(wǎng)絡(luò)平臺(tái)保持暢通。物聯(lián)網(wǎng)的實(shí)現(xiàn)，將使IP地址的利用率劇增，這對(duì)本已將枯竭的IPV4地址來(lái)講，無(wú)疑加重了負(fù)擔(dān)，因此現(xiàn)在業(yè)內(nèi)對(duì)其關(guān)注的重點(diǎn)在于IPv6技術(shù)，云聯(lián)網(wǎng)更多關(guān)注的是數(shù)據(jù)中心。雖然二者的技術(shù)關(guān)注點(diǎn)不一樣，但最終會(huì)形成一個(gè)大的整合平臺(tái)。

3 基于云計(jì)算、物聯(lián)網(wǎng)背景下的安全特征與關(guān)鍵技術(shù)

在當(dāng)前全球電子互聯(lián)互通的時(shí)代，由于病毒、黑客、電子竊聽(tīng)和電子欺詐、使得安全性比任何時(shí)候都重要，信息與網(wǎng)絡(luò)安全的目標(biāo)是要達(dá)到被保護(hù)信息的機(jī)密性、完整性和可用性。在互聯(lián)網(wǎng)的早期階段，人們更關(guān)注基礎(chǔ)理論和應(yīng)用研究，隨著網(wǎng)絡(luò)和服務(wù)規(guī)模的不斷增大，安全問(wèn)題得以突顯，引起了人們的高度重視，相繼推出了一些安全技術(shù)，如入侵檢測(cè)系統(tǒng)、防火墻、PKI等等。云計(jì)算與物聯(lián)網(wǎng)的研究與應(yīng)用處于初級(jí)階段，很多的理論與關(guān)鍵技術(shù)有待突破。

3.1 物聯(lián)網(wǎng)的安全特征

從物聯(lián)網(wǎng)的信息處理過(guò)程來(lái)看，感知信息經(jīng)過(guò)采集、匯聚、融合、傳輸、決策與控制等過(guò)程，整個(gè)信息處理的過(guò)程體現(xiàn)了物聯(lián)網(wǎng)安全的特征與要求，也揭示了所面臨的安全問(wèn)題。

（1）感知網(wǎng)絡(luò)的信息采集、傳輸與信息安全問(wèn)題

感知節(jié)點(diǎn)呈現(xiàn)多源異構(gòu)性，感知節(jié)點(diǎn)通常情況下功能簡(jiǎn)單（如自動(dòng)溫度計(jì)）、攜帶能量少（使用電池），使得它們無(wú)法擁有復(fù)雜的安全保護(hù)能力，而感知網(wǎng)絡(luò)多種多樣，從溫度測(cè)量到水文監(jiān)控，從道路導(dǎo)航到自動(dòng)控制，它們的數(shù)據(jù)傳輸和消息也沒(méi)有特定的標(biāo)準(zhǔn)，所以沒(méi)法提供統(tǒng)一的安全保護(hù)體系。

（2）核心網(wǎng)絡(luò)的傳輸與信息安全問(wèn)題

核心網(wǎng)絡(luò)具有相對(duì)完整的安全保護(hù)能力，但是由于物聯(lián)網(wǎng)中節(jié)點(diǎn)數(shù)量龐大，且以集群方式存在，因此會(huì)導(dǎo)致在數(shù)據(jù)傳播時(shí)，由于大量機(jī)器的數(shù)據(jù)發(fā)送使網(wǎng)絡(luò)擁塞，產(chǎn)生拒絕服務(wù)攻擊。此外，現(xiàn)有通信網(wǎng)絡(luò)的安全架構(gòu)都是從人通信的角度設(shè)計(jì)的，對(duì)以物為主體的物聯(lián)網(wǎng)，要建立適合于感知信息傳輸與應(yīng)用的安全架構(gòu)。

（3）物聯(lián)網(wǎng)業(yè)務(wù)的安全問(wèn)題

支撐物聯(lián)網(wǎng)業(yè)務(wù)的平臺(tái)有著不同的安全策略，如云計(jì)算、分布式系統(tǒng)、海量信息處理等，這些支撐平臺(tái)要為上層服務(wù)管理和大規(guī)模行業(yè)應(yīng)用建立起一個(gè)高效、可靠和可信的系統(tǒng)，而大規(guī)模、多平臺(tái)、多業(yè)務(wù)類(lèi)型使物聯(lián)網(wǎng)業(yè)務(wù)層次的安全面臨新的挑戰(zhàn)。

3.2 物聯(lián)網(wǎng)安全技術(shù)架構(gòu)

物聯(lián)網(wǎng)在不同層次可以采取的安全，如表3所示。以密碼技術(shù)為核心的基礎(chǔ)信息安全平臺(tái)及基礎(chǔ)設(shè)施建設(shè)是物聯(lián)網(wǎng)安全，特別是數(shù)據(jù)隱私保護(hù)的基礎(chǔ)，安全平臺(tái)同時(shí)包括安全事件應(yīng)急響應(yīng)中心、數(shù)據(jù)備份和災(zāi)難恢復(fù)設(shè)施、安全管理等。安全防御技術(shù)主要是為了保證信息的安全而采用的一些方法，在網(wǎng)絡(luò)和通信傳輸安全方面，主要針對(duì)網(wǎng)絡(luò)環(huán)境的安全技術(shù)，如VPN、路由等，實(shí)現(xiàn)網(wǎng)絡(luò)互連過(guò)程的安全，旨在確保通信的機(jī)密性、完整性和可用性。而應(yīng)用環(huán)境主要針對(duì)用戶(hù)的訪問(wèn)控制與審計(jì)，以及應(yīng)用系統(tǒng)在執(zhí)行過(guò)程中產(chǎn)生的安全問(wèn)題。

3.3 物聯(lián)網(wǎng)安全關(guān)鍵技術(shù)

作為一種多網(wǎng)絡(luò)融合的網(wǎng)絡(luò)，物聯(lián)網(wǎng)安全涉及到各個(gè)網(wǎng)絡(luò)的不同層次，在這些獨(dú)立的網(wǎng)絡(luò)中已實(shí)際應(yīng)用了多種安全技術(shù)，特別是移動(dòng)通信網(wǎng)和互聯(lián)網(wǎng)的安全研究已經(jīng)歷了較長(zhǎng)的時(shí)間，但對(duì)物聯(lián)網(wǎng)中的感知網(wǎng)絡(luò)來(lái)說(shuō)，由于資源的局限性，使安全研究的難度較大。

（1）密鑰管理機(jī)制

物聯(lián)網(wǎng)密鑰管理系統(tǒng)面臨兩個(gè)主要問(wèn)題：一是如何構(gòu)建一個(gè)貫穿多個(gè)網(wǎng)絡(luò)的統(tǒng)一密鑰管理系統(tǒng)，并與物聯(lián)網(wǎng)的體系結(jié)構(gòu)相適應(yīng)；二是如何解決傳感網(wǎng)的密鑰管理問(wèn)題，如密鑰的分配、更新、組播等問(wèn)題。實(shí)現(xiàn)統(tǒng)一的密鑰管理系統(tǒng)可以采用以互聯(lián)網(wǎng)為中心的集中式管理方式和以各自網(wǎng)絡(luò)為中心的分布式管理方式。

（2）數(shù)據(jù)處理與隱私性

物聯(lián)網(wǎng)的數(shù)據(jù)要經(jīng)過(guò)信息感知、獲取、匯聚、融合、傳輸、存儲(chǔ)、挖掘、決策和控制等處理流程，而末端的感知網(wǎng)絡(luò)幾乎要涉及上述信息處理的全過(guò)程，只是由于傳感節(jié)點(diǎn)與匯聚點(diǎn)的資源限制，在信息的挖掘和決策方面不占居主要的位置。物聯(lián)網(wǎng)應(yīng)用不僅面臨信息采集的安全性，也要考慮到信息傳送的私密性，要求信息不能被篡改和非授權(quán)用戶(hù)使用，同時(shí)，還要考慮到網(wǎng)絡(luò)的可靠、可信和安全。物聯(lián)網(wǎng)能否大規(guī)模推廣應(yīng)用，很大程度上取決于其是否能夠保障用戶(hù)數(shù)據(jù)和隱私的安全。

（3）認(rèn)證與訪問(wèn)控制

認(rèn)證指使用者采用某種方式來(lái)“證明”自己確實(shí)是自己宣稱(chēng)的某人，網(wǎng)絡(luò)中的認(rèn)證主要包括身份認(rèn)證和消息認(rèn)證。在物聯(lián)網(wǎng)的認(rèn)證過(guò)程中，傳感網(wǎng)的認(rèn)證機(jī)制是重要的研究部分，無(wú)線傳感器網(wǎng)絡(luò)中的認(rèn)證技術(shù)主要包括基于輕量級(jí)公鑰的認(rèn)證技術(shù)、預(yù)共享密鑰的認(rèn)證技術(shù)、隨機(jī)密鑰預(yù)分布的認(rèn)證技術(shù)、利用輔助信息的認(rèn)證、基于單向散列函數(shù)的認(rèn)證等。

3.4 云計(jì)算安全關(guān)鍵技術(shù)

云計(jì)算特有的數(shù)據(jù)和服務(wù)外包、虛擬化、多租戶(hù)和跨域共享等特點(diǎn)，帶來(lái)了前所未有的安全挑戰(zhàn)。由于云計(jì)算環(huán)境下的數(shù)據(jù)對(duì)網(wǎng)絡(luò)和服務(wù)器的依賴(lài)，隱私問(wèn)題尤其是服務(wù)器端隱私的問(wèn)題比網(wǎng)絡(luò)環(huán)境下更加突出。

（1）可信訪問(wèn)控制

由于無(wú)法信賴(lài)服務(wù)商忠實(shí)實(shí)施用戶(hù)定義的訪問(wèn)控制策略，所以在云計(jì)算模式下，研究者關(guān)心的是如何通過(guò)非傳統(tǒng)訪問(wèn)控制類(lèi)手段實(shí)施數(shù)據(jù)對(duì)象的訪問(wèn)控制。其中得到關(guān)注最多的是基于密碼學(xué)方法實(shí)現(xiàn)訪問(wèn)控制，包括：基于層次密鑰生成與分配策略實(shí)施訪問(wèn)控制的方法、利用基于屬性的加密算法（如密鑰規(guī)則的基于屬性加密方案（KP-ABE）、或密文規(guī)則的基于屬性加密方案（CP-ABE）、基于代理重加密的方法和在用戶(hù)密鑰或密文中嵌入訪問(wèn)控制樹(shù)的方法。

（2）數(shù)據(jù)存在與可使用性證明

由于大規(guī)模數(shù)據(jù)所導(dǎo)致的巨大通信代價(jià)，用戶(hù)不可能將數(shù)據(jù)下載后再驗(yàn)證其正確性。因此，云用戶(hù)需在取回很少數(shù)據(jù)的情況下，通過(guò)某種知識(shí)證明協(xié)議或概率分析手段，以高置信概率判斷遠(yuǎn)端數(shù)據(jù)是否完整。

（3）數(shù)據(jù)隱私保護(hù)和虛擬安全技術(shù)

云中數(shù)據(jù)隱私保護(hù)涉及數(shù)據(jù)生命周期的每一個(gè)階段，虛擬技術(shù)是實(shí)現(xiàn)云計(jì)算的關(guān)鍵核心技術(shù)，使用虛擬技術(shù)的云計(jì)算平臺(tái)上的云架構(gòu)提供者必須向其客戶(hù)提供安全性和隔離保證。

（4）云資源訪問(wèn)控制和可信云計(jì)算

在云計(jì)算環(huán)境中，各個(gè)云應(yīng)用屬于不同的安全管理域，每個(gè)安全域都管理著本地的資源和用戶(hù)。當(dāng)用戶(hù)跨域訪問(wèn)資源時(shí)，需在域邊界設(shè)置認(rèn)證服務(wù)，對(duì)訪問(wèn)共享資源的用戶(hù)進(jìn)行統(tǒng)一的身份認(rèn)證管理。在跨多個(gè)域的資源訪問(wèn)中，各域有自己的訪問(wèn)控制策略，在進(jìn)行資源共享和保護(hù)時(shí)必須對(duì)共享資源制定一個(gè)公共的、雙方都認(rèn)同的訪問(wèn)控制策略，因此，需要支持策略的合成。將可信計(jì)算技術(shù)融入云計(jì)算環(huán)境，以可信賴(lài)方式提供云服務(wù)已成為云安全研究領(lǐng)域的一大熱點(diǎn)。

4 總結(jié)

物聯(lián)網(wǎng)的發(fā)展極大的推動(dòng)了云計(jì)算的發(fā)展。無(wú)論是云計(jì)算還是物聯(lián)網(wǎng)，都有海量的物、人相關(guān)的數(shù)據(jù)，其所面臨的數(shù)據(jù)安全的挑戰(zhàn)也越來(lái)越嚴(yán)峻。為了保證用戶(hù)信息安全，必須采用高強(qiáng)度的數(shù)據(jù)保護(hù)技術(shù)。物聯(lián)網(wǎng)的安全和隱私保護(hù)是物聯(lián)網(wǎng)服務(wù)能否大規(guī)模應(yīng)用的關(guān)鍵，物聯(lián)網(wǎng)的多源異構(gòu)性使其安全面臨巨大的挑戰(zhàn)。

[1]李云．基于云計(jì)算的物聯(lián)網(wǎng)安全問(wèn)題研究[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016．

[2]邱月嫦．計(jì)算機(jī)物聯(lián)網(wǎng)技術(shù)在物流領(lǐng)域中的應(yīng)用[J]．電子技術(shù)與軟件工程，2016．

[3]孫紅．基于云計(jì)算的物聯(lián)網(wǎng)安全問(wèn)題研究[J]．電子科技，2015．

[4]龔琴．基于云計(jì)算的物聯(lián)網(wǎng)安全技術(shù)的研究[J]．電腦知識(shí)與技術(shù)，2015．

[5]武傳坤．物聯(lián)網(wǎng)安全關(guān)鍵技術(shù)與挑戰(zhàn)[J]．密碼學(xué)報(bào)，2015．