物聯(lián)網(wǎng)安全關(guān)鍵技術(shù)與挑戰(zhàn)

武傳坤

1 引言

物聯(lián)網(wǎng)是建立在互聯(lián)網(wǎng)基礎(chǔ)上的泛在網(wǎng)絡(luò)發(fā)展的一個新階段，它可以通過各種有線和無線網(wǎng)絡(luò)與互聯(lián)網(wǎng)融合，綜合應(yīng)用海量的傳感器、智能處理終端、全球定位系統(tǒng)等，實現(xiàn)物與物、物與人的隨時隨地連接，實現(xiàn)智能管理和控制．物聯(lián)網(wǎng)引領(lǐng)了信息產(chǎn)業(yè)革命的第三次浪潮，將成為未來社會經(jīng)濟發(fā)展、社會進步和科技創(chuàng)新的最重要的基礎(chǔ)設(shè)施，也關(guān)系到國家在未來對一些物理設(shè)施的安全利用和管控。

在信息技術(shù)第一次浪潮，即電腦時代，人們的腦力勞動被解放出來，那時我們國家的技術(shù)水平遠(yuǎn)遠(yuǎn)落后于歐美發(fā)達(dá)國家；在信息技術(shù)的第二次浪潮，即互聯(lián)網(wǎng)時代，信息的異地共享成為可能，那時我們國家的技術(shù)水平緊跟歐美發(fā)達(dá)國家；今天面臨的物聯(lián)網(wǎng)時代，將虛擬空間與現(xiàn)實物理空間相結(jié)合，被認(rèn)為是信息技術(shù)發(fā)展的第三次浪潮，我們國家站在與歐美發(fā)達(dá)國家相同的起點，只有奮起向前，才能站在世界前列，在國際學(xué)術(shù)技術(shù)和產(chǎn)業(yè)領(lǐng)域爭得更大的話語權(quán)。

2012年2月14日，工業(yè)和信息化部發(fā)布了《物聯(lián)網(wǎng)“十二五”發(fā)展規(guī)劃》。該文件顯示，我國物聯(lián)網(wǎng)在安防、電力、交通、物流、醫(yī)療、環(huán)保等領(lǐng)域已經(jīng)得到應(yīng)用。易觀國際數(shù)據(jù)表明，2010年物聯(lián)網(wǎng)在安防、交通、電力和物流領(lǐng)域的市場規(guī)模分別為600億元、300億元、280億元和150億元，預(yù)計在今后5～10年將出現(xiàn)大規(guī)模增長。

雖然物聯(lián)網(wǎng)發(fā)展日趨迅猛，但物聯(lián)網(wǎng)的安全問題卻日趨突出（特別是當(dāng)物聯(lián)網(wǎng)與工業(yè)控制將結(jié)合時）。一個典型的案例是震網(wǎng)病毒（Stuxnet），它是第一個專門攻擊工業(yè)控制中基礎(chǔ)設(shè)施（如發(fā)電站和工廠）的病毒，震網(wǎng)病毒以蠕蟲的形式在互聯(lián)網(wǎng)擴散，并重點擴散到U盤上，一旦移動介質(zhì)放入到工業(yè)控制網(wǎng)中，就尋找西門子的WINCC系統(tǒng)并加以感染，一旦感染，就可以在PLC管理員沒有察覺的情況下，修改發(fā)送至PLC或從PLC返回的數(shù)據(jù)。震網(wǎng)病毒攻擊了伊朗在納坦茲的濃縮鈾工廠，造成伊朗約20%的離心機（1000多臺）失控、報廢，導(dǎo)致發(fā)電計劃推遲。2011年年末發(fā)生的一系列網(wǎng)絡(luò)信息泄露事件表明，信息安全所面臨的威脅比我們許多人想象的要嚴(yán)重得多，這也是國家近年來大力支持信息安全技術(shù)研究的根本原因。

對物聯(lián)網(wǎng)市場飛速發(fā)展和物聯(lián)網(wǎng)安全問題日益嚴(yán)重的矛盾，物聯(lián)網(wǎng)安全將會面臨哪些技術(shù)問題和挑戰(zhàn)，我們又將如何應(yīng)對這些挑戰(zhàn)？從物聯(lián)網(wǎng)的架構(gòu)可以看到，典型的物聯(lián)網(wǎng)系統(tǒng)包括感知層、傳輸層和處理應(yīng)用層。本文將從物聯(lián)網(wǎng)架構(gòu)方面討論物聯(lián)網(wǎng)安全的關(guān)鍵技術(shù)和挑戰(zhàn)。

2 物聯(lián)網(wǎng)安全的研究背景及意義

物聯(lián)網(wǎng)產(chǎn)業(yè)是融合了現(xiàn)有信息化技術(shù)廣泛應(yīng)用技術(shù)，需要更多的產(chǎn)學(xué)研機構(gòu)參與。同時，物聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展主要是以應(yīng)用來推動的，需要發(fā)揮政府各個部門的積極性，明確產(chǎn)業(yè)方向，引導(dǎo)市場需求，并從政策上給予扶持，鼓勵各種類型的企業(yè)積極投入研發(fā)、生產(chǎn)和運營。

我國政府一直高度重視信息化建設(shè)，很早就提出以信息化帶動工業(yè)化，通過全面提高我國信息化水平，實現(xiàn)產(chǎn)業(yè)升級和經(jīng)濟增長方式轉(zhuǎn)變。早在國家“十一五”規(guī)劃中，就已經(jīng)對寬帶無線通信網(wǎng)絡(luò)、傳感網(wǎng)、編碼中等物聯(lián)網(wǎng)涵蓋的一些問題做了相關(guān)部署。近年來，黨和國家領(lǐng)導(dǎo)人更充分認(rèn)識到以物聯(lián)網(wǎng)為主要內(nèi)容的新一次信息化浪潮的迅猛發(fā)展，適時果斷提出要加快發(fā)展我國物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展，相關(guān)政府部門對有關(guān)問題迅速做出部署。2009年8月7日，國務(wù)院總理溫家寶在無錫視察中科院物聯(lián)網(wǎng)技術(shù)研發(fā)中心時指出，要盡快突破核心技術(shù)，將物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展上升到戰(zhàn)略性新興產(chǎn)業(yè)的高度。2009年9月11日，中國傳感網(wǎng)標(biāo)準(zhǔn)工作組正式成立，該工作組將聚集國內(nèi)物聯(lián)網(wǎng)主要技術(shù)力量，制定國家標(biāo)準(zhǔn)，積極參與國際標(biāo)準(zhǔn)提案工作，促進國內(nèi)外物聯(lián)網(wǎng)業(yè)界同行的交流和合作，通過標(biāo)準(zhǔn)為產(chǎn)業(yè)發(fā)展奠定堅實基礎(chǔ)，提升中國在物聯(lián)網(wǎng)領(lǐng)域的國際競爭力。11月3日，國務(wù)院指出要著力突破傳感網(wǎng)、物聯(lián)網(wǎng)關(guān)鍵技術(shù)。隨后在12月11日，工信部開始統(tǒng)籌部署寬帶普及、三網(wǎng)融合、物聯(lián)網(wǎng)及下一代互聯(lián)網(wǎng)發(fā)展，將加快培育物聯(lián)網(wǎng)產(chǎn)業(yè)列為我國信息產(chǎn)業(yè)發(fā)展的三大重要目標(biāo)，制定技術(shù)產(chǎn)業(yè)發(fā)展規(guī)劃和應(yīng)用推進計劃，推動發(fā)展關(guān)鍵傳感器件、裝備、系統(tǒng)及服務(wù)。2011年11月28日，工業(yè)和信息化部發(fā)布了《物聯(lián)網(wǎng)“十二五”發(fā)展規(guī)劃》，進一步明確了國家在“十二五”期間在物聯(lián)網(wǎng)方面的發(fā)展目標(biāo)?！兑?guī)劃》指出，要大力攻克核心技術(shù)，加快構(gòu)建標(biāo)準(zhǔn)體系，協(xié)調(diào)推進產(chǎn)業(yè)發(fā)展，著力培育骨干企業(yè)，積極開展應(yīng)用示范，合理規(guī)劃區(qū)域布局，加強信息安全保障，提升公共服務(wù)能力。需要說明的是，《規(guī)劃》將信息安全保障作為一個專門任務(wù)予以重視，其內(nèi)容包括加強物聯(lián)網(wǎng)安全技術(shù)研發(fā)，建立并完善物聯(lián)網(wǎng)安全保障體系，加強網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全防護建設(shè)。2013年9月，國家發(fā)展改革委、工業(yè)和信息化部等10多個部門，以物聯(lián)網(wǎng)發(fā)展部際聯(lián)席會議的名義印發(fā)了頂層設(shè)計、標(biāo)準(zhǔn)制定、技術(shù)研發(fā)、應(yīng)用推廣、產(chǎn)業(yè)支撐、商業(yè)模式、安全保障、政府扶持措施、法律法規(guī)保障、人才培養(yǎng)十個物聯(lián)網(wǎng)發(fā)展專項行動計劃，為后續(xù)有計劃、有進度、有分工地落實相關(guān)工作，切實促進物聯(lián)網(wǎng)健康發(fā)展明確了方向目標(biāo)和具體舉措。

各部委也積極響應(yīng)國家號召，制定相關(guān)政策積極推動物聯(lián)網(wǎng)發(fā)展，通過設(shè)立專項資金，為物聯(lián)網(wǎng)應(yīng)用示范工程、技術(shù)研發(fā)與產(chǎn)業(yè)化項目提供大力支持。發(fā)改委自2011年起先后啟動了28項國家物聯(lián)網(wǎng)重大應(yīng)用示范工程，2013年10月份又發(fā)布了《國家發(fā)展改革委辦公廳關(guān)于組織開展2014—2016年國家物聯(lián)網(wǎng)重大應(yīng)用示范工程區(qū)域試點工作的通知》。財政部會同工業(yè)和信息化部設(shè)立了物聯(lián)網(wǎng)發(fā)展專項資金，自2011年起累計安排物聯(lián)網(wǎng)專項資金15億元，陸續(xù)支持了500多個研發(fā)項目，重點對企業(yè)為主體的物聯(lián)網(wǎng)技術(shù)研發(fā)和產(chǎn)業(yè)化項目進行扶持。科技部支持組建了物聯(lián)網(wǎng)產(chǎn)業(yè)技術(shù)創(chuàng)新戰(zhàn)略聯(lián)盟。國家標(biāo)準(zhǔn)委聯(lián)合國家發(fā)展改革委支持成立了物聯(lián)網(wǎng)國家標(biāo)準(zhǔn)基礎(chǔ)工作組和5個行業(yè)應(yīng)用標(biāo)準(zhǔn)工作組。公安部、農(nóng)業(yè)部等部門和部分中央企業(yè)實施了一批重大應(yīng)用示范工程。多個地方政府加大投入力度，出臺地方規(guī)劃和行動方案，建立協(xié)同推進機制，積極推廣物聯(lián)網(wǎng)應(yīng)用，取得了積極成效。

在中央政府和各部門的大力推動下，各地方政府積極響應(yīng)。無錫、北京、上海、深圳、杭州、南京、廣州等東部沿海城市紛紛開始規(guī)劃自己的物聯(lián)網(wǎng)城市藍(lán)圖，正在制定或者已經(jīng)制定了產(chǎn)業(yè)發(fā)展的推動策略和規(guī)劃，大力推進物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展。其中，上海較早在全國成立了RFID與物聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟，目前上海正在著手物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展規(guī)劃制定工作，初步選定交通、安防、農(nóng)業(yè)、醫(yī)療衛(wèi)生、商貿(mào)、物流、環(huán)保、電網(wǎng)等八大行業(yè)開展示范應(yīng)用，以產(chǎn)業(yè)園區(qū)和社區(qū)應(yīng)用為載體，分階段、分領(lǐng)域推進物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展；北京提出以傳感器、傳輸網(wǎng)絡(luò)、集成服務(wù)三大領(lǐng)域為核心，成為產(chǎn)業(yè)鏈和產(chǎn)業(yè)支持，并以應(yīng)用為先導(dǎo)，推動物聯(lián)網(wǎng)在政府、社會和企業(yè)三大領(lǐng)域的應(yīng)用，打造“感知北京”，通過物聯(lián)網(wǎng)的逐步實現(xiàn)與完善，推進無線城市向智慧北京的演進，打造以首都為核心得物聯(lián)網(wǎng)中心，輻射全國，逐漸形成系統(tǒng)化，規(guī)?；彤a(chǎn)業(yè)化，并成立了物聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟，促進物聯(lián)網(wǎng)協(xié)同創(chuàng)新和應(yīng)用；江蘇省已將物聯(lián)網(wǎng)列為六大新興產(chǎn)業(yè)之一，并在無錫成立了物聯(lián)網(wǎng)國家示范區(qū)和技術(shù)研發(fā)中心，旨在統(tǒng)一打造物聯(lián)網(wǎng)技術(shù)研發(fā)、項目孵化、產(chǎn)業(yè)化及商業(yè)應(yīng)用的完整產(chǎn)業(yè)鏈，促進物聯(lián)網(wǎng)技術(shù)研發(fā)和產(chǎn)業(yè)化進程，加快將無錫建成國內(nèi)首個“感知城市”，將江蘇建成國內(nèi)首個“智慧之省”；深圳也在著手物聯(lián)網(wǎng)產(chǎn)業(yè)相關(guān)研究和規(guī)劃，打造“智慧深圳”。盡管從整體水平看，中西部地區(qū)由于信息產(chǎn)業(yè)基礎(chǔ)條件薄弱，物聯(lián)網(wǎng)發(fā)展相對落后，但以重慶為代表的中西部城市也在積極打造物聯(lián)網(wǎng)。

在溫總理提出“感知中國”后，各級政府在抓緊推動在政府管理、社會服務(wù)和企業(yè)應(yīng)用等領(lǐng)域的示范工程。2009年工業(yè)和信息化部信息化推進司就重點推進了基于TD的電梯監(jiān)控、車輛監(jiān)控和企業(yè)安全監(jiān)控等M2M試點應(yīng)用。從各地情況看，智能交通、智能電網(wǎng)、智能物流、智能安防、智能物流、環(huán)境監(jiān)測等領(lǐng)域的示范應(yīng)用在北京、上海、江蘇、浙江、廣東等省市已初步展開。2008年，圍繞科技奧運，中關(guān)村下一代互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟及相關(guān)企業(yè)在全球首次實現(xiàn)將“物聯(lián)網(wǎng)”和IPv6技術(shù)全面服務(wù)于奧運會，城市網(wǎng)格管理、視頻監(jiān)控、智能交通、食品溯源、水質(zhì)檢測、IPV6奧運網(wǎng)站等方面的成功運用在國內(nèi)外產(chǎn)生重大影響；上海已經(jīng)在世博會和浦東機場布置防入侵傳感網(wǎng)，成為國際上規(guī)模較大的物聯(lián)網(wǎng)應(yīng)用系統(tǒng)，世博園還在新能源接入、儲能、電動汽車充放電，以及智能小區(qū)等方面建立了綜合示范工程；無錫除了已將傳感技術(shù)應(yīng)用在太湖水質(zhì)監(jiān)測系統(tǒng)中，還將在新區(qū)的太科園建一個傳感網(wǎng)應(yīng)用體驗式主題公園，并啟動建設(shè)無錫機場防入侵傳感網(wǎng)絡(luò)系統(tǒng)、機場安檢、市民中心、新區(qū)綜合保稅區(qū)的應(yīng)用示范工程，物聯(lián)網(wǎng)技術(shù)的市場化應(yīng)用明顯加快；浙江嘉興已正在試點智能傳感網(wǎng)車輛管理系統(tǒng)，主要用于交通控制；寧波港也積極開展物聯(lián)網(wǎng)相關(guān)應(yīng)用，如給進港汽車貼上電子車牌、在港口和車輛上布置傳感器，以實現(xiàn)“智慧物流”。

物聯(lián)網(wǎng)系統(tǒng)在建設(shè)初期，由于規(guī)模有限，各個物聯(lián)網(wǎng)示范區(qū)之間相對獨立，還不能構(gòu)成真正意義的互聯(lián)互通，因此面臨的信息安全威脅也小。隨著物聯(lián)網(wǎng)系統(tǒng)數(shù)量的增多和規(guī)模的增大，特別是隨著這些物聯(lián)網(wǎng)應(yīng)用系統(tǒng)的互聯(lián)互通，以及服務(wù)于這些系統(tǒng)的數(shù)據(jù)處理平臺的集中管理，物聯(lián)網(wǎng)安全問題將逐漸顯現(xiàn)，而且會以雪崩效應(yīng)影響到物聯(lián)網(wǎng)行業(yè)，到時候“亡羊補牢”將為時太晚，甚至無法彌補，就像今天我們的工業(yè)控制系統(tǒng)在應(yīng)對信息安全問題方面的無助局面。

3 國際研究現(xiàn)狀及發(fā)展趨勢

物聯(lián)網(wǎng)的概念的提出有多種途徑，但最早以物聯(lián)網(wǎng)為題的年度報告是ITU2005年的年度報告。物聯(lián)網(wǎng)的概念提出之后，很多學(xué)術(shù)研究也很快在該領(lǐng)域開展，僅在2008年，就出現(xiàn)了物聯(lián)網(wǎng)專題國際學(xué)術(shù)會議、專著和系列研究論文等。

隨著信息技術(shù)日新月異，特別是信息采集、傳輸技術(shù)及高性能計算機的迅速發(fā)展和互聯(lián)網(wǎng)與移動通信網(wǎng)的廣泛應(yīng)用，大規(guī)模發(fā)展傳感網(wǎng)及相關(guān)產(chǎn)業(yè)的時機日趨成熟，歐美等發(fā)達(dá)國家將物聯(lián)網(wǎng)視為未來發(fā)展的重要領(lǐng)域。2009年以來，美歐日等發(fā)達(dá)國家紛紛提出物聯(lián)網(wǎng)發(fā)展的戰(zhàn)略、規(guī)劃、核心技術(shù)及產(chǎn)業(yè)重點，促進物聯(lián)網(wǎng)產(chǎn)業(yè)迅速發(fā)展，以在新一輪的信息化浪潮中占得先機。2008年，美國提出“智慧地球”的概念，隨后在2009年，歐盟提出了“物聯(lián)網(wǎng)行動計劃”，日本提出“i-Japan”計劃，韓國在“u-Korea”戰(zhàn)略的基礎(chǔ)上，提出了“物聯(lián)網(wǎng)基礎(chǔ)設(shè)施構(gòu)建基本規(guī)劃”。不難看出，許多國家在物聯(lián)網(wǎng)領(lǐng)域的投入和重視程度都是很大的。

在物聯(lián)網(wǎng)安全相關(guān)方面，也有很多相關(guān)的研究成果。但由于物聯(lián)網(wǎng)在架構(gòu)上是一個新的信息技術(shù)模式，物聯(lián)網(wǎng)安全技術(shù)在產(chǎn)業(yè)方面的應(yīng)用還很不夠。我們首先從不同側(cè)面了解一下國際學(xué)術(shù)研究進展情況。

（1）物聯(lián)網(wǎng)安全體系方面

物聯(lián)網(wǎng)將經(jīng)濟社會活動、戰(zhàn)略性基礎(chǔ)設(shè)施資源和人們的日常生活全面架構(gòu)在全球互聯(lián)互通的網(wǎng)絡(luò)上，所有活動和設(shè)施理論上透明化，一旦遭受攻擊，安全和隱私將面臨巨大威脅，甚至可能引發(fā)電網(wǎng)癱瘓、交通失控、工廠停產(chǎn)等一系列惡性后果。因此實現(xiàn)信息安全和網(wǎng)絡(luò)安全是物聯(lián)網(wǎng)大規(guī)模應(yīng)用的必要條件，也是物聯(lián)網(wǎng)應(yīng)用系統(tǒng)成熟的重要標(biāo)志。

物聯(lián)網(wǎng)的安全形態(tài)主要體現(xiàn)在其體系結(jié)構(gòu)的各個要素上。第一是物理安全，主要是傳感器的安全，包括對傳感器的干擾、屏蔽、信號截獲等，是物聯(lián)網(wǎng)安全特殊性的體現(xiàn)；第二是運行安全，存在于各個要素中，涉及到傳感器、傳輸系統(tǒng)及處理系統(tǒng)的正常運行，與傳統(tǒng)信息系統(tǒng)安全基本相同；第三是數(shù)據(jù)安全，也是存在于各個要素中，要求在傳感器、傳輸系統(tǒng)、處理系統(tǒng)中的信息不會出現(xiàn)被竊取、被篡改、被偽造、被抵賴等性質(zhì)。其中傳感器與傳感網(wǎng)所面臨的安全問題比傳統(tǒng)的信息安全更為復(fù)雜，因為傳感器與傳感網(wǎng)可能會因為能量受限的問題而不能運行過于復(fù)雜的保護體系。因此，物聯(lián)網(wǎng)除面臨一般信息網(wǎng)絡(luò)所具有的安全問題外，還面臨物聯(lián)網(wǎng)特有的威脅和攻擊，相關(guān)威脅如下：物理俘獲、傳輸威脅、自私性威脅、拒絕服務(wù)威脅、感知數(shù)據(jù)威脅；相關(guān)攻擊包括：阻塞干擾、碰撞攻擊、耗盡攻擊、非公平攻擊、選擇轉(zhuǎn)發(fā)攻擊、陷洞攻擊、女巫攻擊、洪泛攻擊、信息篡改等。相關(guān)安全對策包括：加密機制和密鑰管理、感知層鑒別機制、安全路由機制、訪問控制機制、安全數(shù)據(jù)融合機制、容侵容錯機制。由上可知，雖然一些工作對物聯(lián)網(wǎng)的特點、相關(guān)威脅與攻擊進行了分類，但是目前還沒有支持形式驗證的物聯(lián)網(wǎng)安全體系構(gòu)架，顯然支持形式驗證安全構(gòu)架是保障安全的重要基礎(chǔ)。

國際上，意大利Sapienza大學(xué)的C. M. Medaglia和A. Serbanati在文獻(xiàn)[5]中指出物聯(lián)網(wǎng)在用戶隱私和信息安全傳輸機制中存在諸多不足：如標(biāo)簽被嵌入任何物品，用戶在沒有察覺的情況下其標(biāo)簽被閱讀器掃描，通過對物品的定位可追蹤用戶的行蹤，使個人隱私遭到破壞；物品的詳細(xì)信息在傳輸過程中易受流量分析、竊取、嗅探等網(wǎng)絡(luò)攻擊，導(dǎo)致物品信息的泄漏。

瑞士蘇黎世大學(xué)的R. H. Weber指出物聯(lián)網(wǎng)安全體系不僅要滿足抵抗攻擊，數(shù)據(jù)認(rèn)證，訪問控制及用戶隱私等要求，而且需針對物聯(lián)網(wǎng)感知節(jié)點易遭攻擊、計算資源受限導(dǎo)致無法利用高復(fù)雜度的加解密算法保證自身安全等物聯(lián)網(wǎng)安全所面臨的特殊問題展開研究，并指出應(yīng)該從容忍攻擊方面進行研究，以應(yīng)對單點故障、數(shù)據(jù)認(rèn)證、訪問控制和客戶端的隱私保護等問題，建議對企業(yè)進行必要的風(fēng)險評估與風(fēng)險管理。

英國Newcastle大學(xué)的Leusse中提出了一種面向服務(wù)思想的安全架構(gòu)，利用 Identity Brokerage、Usage & Access Management、SOA（Service-Oriented Architecture）Security Analysis、SOA Security Autonomics等模塊來構(gòu)建一個具有自組織能力的安全物聯(lián)網(wǎng)模型。

瑞士蘇黎世大學(xué)的Mattern團隊指出了從傳統(tǒng)的互聯(lián)網(wǎng)到物聯(lián)網(wǎng)的轉(zhuǎn)變過程中可能會面臨的一系列安全問題，尤其強調(diào)了資源訪問控制問題。德國Albert-Ludwigs大學(xué)的C. Struker提出利用口令管理機制來降低物聯(lián)網(wǎng)中感知節(jié)點（如RFID設(shè)備）遭受攻擊和破壞等威脅的思想，并提出了RFID網(wǎng)路中的兩種口令生成方法，以防止非法用戶肆意利用RFID的kill標(biāo)簽來擾亂感知節(jié)點正常工作。德國Humbold大學(xué)的Fabian團隊提出EPC網(wǎng)絡(luò)所面臨的一系列的安全挑戰(zhàn)，對比了VPN（virtual private networks）、TLS（transportlayer security）、DNSSEC（DNS security extensions）、Private Information Retrieval、Peer-to-Peer Systems 等應(yīng)對措施的優(yōu)缺點和有效性。

在RFID和無線傳感網(wǎng)（wireless sensor networks，WSN）等物聯(lián)網(wǎng)相關(guān)領(lǐng)域，人們也進行了大量的研究工作。美國丹佛大學(xué)的Ken Traub等多人在中基于RFID和物聯(lián)網(wǎng)技術(shù)提出了全球物聯(lián)網(wǎng)體系架構(gòu)，并結(jié)合該架構(gòu)給出了物聯(lián)網(wǎng)信息服務(wù)系統(tǒng)的設(shè)計方案，為實現(xiàn)物聯(lián)網(wǎng)安全架構(gòu)、信息服務(wù)系統(tǒng)和物聯(lián)網(wǎng)安全管理協(xié)議提供了參考。

在無線傳感器認(rèn)證領(lǐng)域中，R.Watro等人首次提出了基于低指數(shù)級RSA的TinyPK實體認(rèn)證方案，并采用分級的思想來執(zhí)行認(rèn)證的不同操作部分。TinyPK較方便地實現(xiàn)了WSN的實體認(rèn)證，但單一的節(jié)點是比較容易被捕獲的，在TinyPK中，如果某個認(rèn)證節(jié)點被捕獲了，那么整個網(wǎng)絡(luò)都將變得不安全，因為任意的敵對第三方都可以通過這個被捕獲的節(jié)點獲得合法身份進入WSN。Z. Benenson等人提出的強用戶認(rèn)證協(xié)議可以在一定程度上解決這個問題。相對于TinyPK，強用戶認(rèn)證協(xié)議有兩點改進：（1）公鑰算法不是采用RSA，而是采用密鑰長度更短卻具有同等安全強度的橢圓曲線加密算法（ECC）；（2）認(rèn)證方式不是采用傳統(tǒng)的單一認(rèn)證，而是采用n認(rèn)證。這個強用戶認(rèn)證協(xié)議安全強度較高，不過其缺點則主要體現(xiàn)在對節(jié)點能量的消耗過大。K. Bauer提出了一種分布式認(rèn)證協(xié)議，采用的是秘密共享和組群同意的密碼學(xué)概念。網(wǎng)絡(luò)由多個子群組成，每個子群配備一個基站，子群間通信通過基站進行。該方案的優(yōu)點是在認(rèn)證過程中沒有采用任何高消耗的加/解密方案，而是采用秘密共享和組群同意的方式，容錯性好，認(rèn)證強度和計算效率高；缺點是認(rèn)證時子群內(nèi)所有節(jié)點均要協(xié)同通信，在發(fā)送判定包時容易造成信息碰撞。

由于低成本的RFID標(biāo)簽僅有非常有限的計算能力，所以現(xiàn)有的應(yīng)用廣泛的安全策略無法在其上實現(xiàn)。西班牙的P. P. Lopez等在文獻(xiàn)[15]中提出了一種輕量級的互認(rèn)證協(xié)議，可以提供合適的安全級別并能夠應(yīng)用在大部分資源受限的RFID系統(tǒng)上。

國內(nèi)物聯(lián)網(wǎng)已經(jīng)取得了較快的發(fā)展，但其安全領(lǐng)域的研究目前還處于起步階段。

方濱興院士指出物聯(lián)網(wǎng)的安全與傳統(tǒng)互聯(lián)網(wǎng)的安全有一定的異同。物聯(lián)網(wǎng)的保護要素仍然是可用性、機密性、可鑒別性與可控性。從物聯(lián)網(wǎng)的3個構(gòu)成要素來看，物聯(lián)網(wǎng)的安全體現(xiàn)在傳感器、傳輸系統(tǒng)以及處理系統(tǒng)之中，特別的，就物理安全而言，主要表現(xiàn)在傳感器的安全方面，包括對傳感器的干擾、屏蔽、信號截獲等，這是物聯(lián)網(wǎng)的特殊所在；至于傳輸系統(tǒng)與處理系統(tǒng)中的信息安全則更為復(fù)雜，因為傳感器與傳感網(wǎng)可能會因為能量受限的問題而不能運行過于復(fù)雜的保護體系。

作者也曾從感知層、傳輸層、處理層和應(yīng)用層等各個層次分析了物聯(lián)網(wǎng)的安全需求，初步搭建了物聯(lián)網(wǎng)的安全架構(gòu)體系，該文特別指出：已有的對傳感網(wǎng)、互聯(lián)網(wǎng)、移動網(wǎng)等的安全解決方案在物聯(lián)網(wǎng)環(huán)境中不再適用，物聯(lián)網(wǎng)這樣大規(guī)模的系統(tǒng)在系統(tǒng)整合中會帶來新的安全問題。除此之外，還有許多關(guān)于物聯(lián)網(wǎng)安全體系架構(gòu)方面的研究，分別從不同角度闡述了物聯(lián)網(wǎng)作為一個大系統(tǒng)的安全問題，各種架構(gòu)之間在內(nèi)涵上基本一致，但在層次劃分的邊界方面有所不同。

（2）物聯(lián)網(wǎng)感知層的輕量級加密認(rèn)證技術(shù)方面

隨著便攜式電子設(shè)備的普及和RFID、無線傳感器網(wǎng)絡(luò)等技術(shù)的發(fā)展，越來越多的應(yīng)用需要解決相應(yīng)的安全問題。然而，相比于傳統(tǒng)的臺式機和高性能計算機，這些設(shè)備的資源環(huán)境通常有限，比如，計算能力較弱、計算可使用的存儲較少、能耗有限，等等。而傳統(tǒng)密碼算法無法很好的適用這種環(huán)境，這就使得受限環(huán)境中密碼算法的研究成為一個迫切需要解決的熱點問題。適宜資源受限環(huán)境使用的密碼算法就稱為輕量級密碼。

輕量級密碼算法與經(jīng)典密碼算法相互影響、互相促進。經(jīng)典密碼算法為輕量級密碼算法的設(shè)計與安全性分析提供理論支撐和技術(shù)指導(dǎo)；另一方面，輕量級密碼“輕量級”的特點，將使得一些安全性分析能夠更加全面深入展開，這個過程中可能會衍生出新問題，從而進一步帶動和促進密碼算法安全性分析的進展。源于應(yīng)用的推動，近幾年輕量級密碼的研究非常熱。比利時魯汶大學(xué)的COSIC實驗室、法國國立計算機及自動化研究院INRIA、瑞士皇家科技學(xué)院EPFL中心等國際上著名的密碼學(xué)實驗室，相繼展開了輕量級密碼的研究。歐洲的ECRYPT II項目專門設(shè)置了輕量級密碼研究專題，輕量級密碼逐步走向?qū)嵱秒A段。輕量級密碼算法設(shè)計的關(guān)鍵問題是處理安全性、實現(xiàn)代價和性能之間的權(quán)衡。部分學(xué)者針對已有的標(biāo)準(zhǔn)分組密碼算法如AES和IDEA等，進行高度優(yōu)化并面向硬件平臺嘗試簡潔實現(xiàn)，期待將實現(xiàn)資源降低到RFID所允許范圍之內(nèi)，但是效果并不理想。另外，還有對經(jīng)典算法稍作修改，使其符合輕量級環(huán)境使用，如在DES基礎(chǔ)上對S盒加以改進產(chǎn)生DESL算法。還有就是面向?qū)ｉT為低資源環(huán)境設(shè)計的分組密碼算法，如HIGHT、mCrypton、TEA、PRESENT、KATAN、KTANTAN和PRINT等。PRESENT分組密碼最早發(fā)布于CHES2007，Clefia分組密碼最早發(fā)布于FSE2007，這兩個密碼算法目前已成為ISO/IEC的輕量級分組密碼；DES類輕量級密碼最早公布于2007，它是在DES的基礎(chǔ)上進行輕量化的設(shè)計；KATAN &KTANTAN是一族輕量級密碼，基于流密碼算法Trivium設(shè)計；LBlock是我國的吳文玲和張蕾設(shè)計，發(fā)表于ACNS2011。

然而，有很多輕量級密碼算法，還缺乏對它們?nèi)?、深入的安全性分析，比如，Katan/Ktantan密碼在發(fā)表后不到兩年的時間后就被破譯；此外，還有一些輕量級密碼算法，其整體結(jié)構(gòu)和算法模塊的設(shè)計還有進一步輕量化的余地。

認(rèn)證技術(shù)通過服務(wù)基礎(chǔ)設(shè)施的形式將用戶身份管理與設(shè)備身份管理關(guān)聯(lián)起來，實現(xiàn)物聯(lián)網(wǎng)中所有接入設(shè)備和人員的數(shù)字身份管理、授權(quán)、責(zé)任追蹤，以及傳輸消息的完整性保護，這是整個網(wǎng)絡(luò)的安全核心和命脈。在RFID、無線傳感器網(wǎng)絡(luò)等應(yīng)用環(huán)境中，節(jié)點資源（包括存儲容量、計算能力、通信帶寬和傳輸距離等）受到比傳統(tǒng)網(wǎng)絡(luò)更加嚴(yán)格的限制，資源的嚴(yán)重受限使得傳統(tǒng)的計算、存儲和通信開銷較大的認(rèn)證技術(shù)無法應(yīng)用，因此輕量級（lightweight）認(rèn)證技術(shù)成為該領(lǐng)域研究的熱點。

消息認(rèn)證碼（message authentic-cation code，MAC）是保證消息完整性和進行數(shù)據(jù)源認(rèn)證的基本算法，它將密鑰和任意長度的消息作為輸入，輸出一個固定長度的標(biāo)簽，使驗證者可以能夠校驗消息的發(fā)送者是誰，以及消息傳輸過程中是否被篡改。MAC算法主要有3種構(gòu)造方法，分別基于分組密碼、雜湊函數(shù)或者泛雜湊函數(shù)族。為實現(xiàn)安全和效率的平衡，近幾年出現(xiàn)了幾種基于分組密碼的MAC設(shè)計新結(jié)構(gòu)。其中，以基于約減輪數(shù)的高級加密標(biāo)準(zhǔn)AES為代表。2005年，AES的設(shè)計者Daemen和Rijmen提出ALRED結(jié)構(gòu)及基于AES和縮減到1輪AES的實例ALPHA-MAC，隨后又以AES和4輪AES為主要部件設(shè)計了PELICAN算法。由于雜湊函數(shù)的普遍性和高效性，用雜湊函數(shù)設(shè)計消息認(rèn)證碼的方法也得到了廣泛的關(guān)注。1995年，Preneel等學(xué)者基于MD系列雜湊函數(shù)設(shè)計了MDx-MAC。之后，Bellare等學(xué)者提出NMAC和HMAC，并給出了安全性證明。近年來，雜湊函數(shù)安全性分析的一系列突破性進展引起了國內(nèi)外同行對基于雜湊函數(shù)的消息認(rèn)證碼安全性的廣泛關(guān)注。基于泛雜湊函數(shù)族的消息認(rèn)證碼的設(shè)計，其核心是泛雜湊函數(shù)族的設(shè)計。由于泛雜湊函數(shù)族是滿足一定性質(zhì)的組合結(jié)構(gòu)，其設(shè)計方法和雜湊函數(shù)有很大差異，但在速度上有很大優(yōu)勢。這類消息認(rèn)證碼如Poly1305-AES比基于AES的CBC-MAC和基于SHA-1的HMAC速度都要快，但是這類方法的缺陷是對密鑰限制過多且占用較多的存儲。

基于口令的認(rèn)證密鑰交換協(xié)議（PAKE）以其方便易用的獨特優(yōu)勢而得到廣泛關(guān)注。由于通信雙方共享的秘密信息是易于記憶的低熵口令，這類協(xié)議在實際中得到廣泛應(yīng)用。第一個PAKE協(xié)議由Bellovin和Merritt提出，這一工作成為該領(lǐng)域很多研究的基礎(chǔ)。雖然PAKE的研究發(fā)展有多年的歷史，但PAKE的可證明安全性理論研究以及在資源受限網(wǎng)絡(luò)協(xié)議中的應(yīng)用研究卻進展緩慢，主要原因在于設(shè)計從弱口令轉(zhuǎn)化為強的秘密信息的機制是困難的。LEAP協(xié)議（lightweight extensible authentication protocol）是由Cisco公司設(shè)計的輕量級認(rèn)證協(xié)議，其目的是填補無線局域網(wǎng)標(biāo)準(zhǔn)IEEE 802.11中的WEP協(xié)議密鑰管理的空白，給出高效的解決方案。LEAP協(xié)議是基于口令的輕量級密鑰交換協(xié)議，雖然它提供了無線網(wǎng)絡(luò)認(rèn)證密鑰交換的一種方式，但它卻受到離線字典攻擊（off-line dictionary attack）。如何克服這些困難，設(shè)計高效安全的輕量級鑒別機制，是一個需要深入研究的問題。

國際標(biāo)準(zhǔn)化組織也正在制訂輕量級密碼算法的相關(guān)標(biāo)準(zhǔn)，其中包括輕量級的分組密碼、流密碼、數(shù)字簽名等。但是，目前對于輕量級認(rèn)證技術(shù)并沒有統(tǒng)一的衡量和評價的標(biāo)準(zhǔn)體系，輕量級認(rèn)證還處于發(fā)展階段。雖然很多標(biāo)準(zhǔn)化組織已經(jīng)對消息認(rèn)證碼進行標(biāo)準(zhǔn)化工作，例如采用CBC工作模式構(gòu)造的CBCMAC，現(xiàn)已是ANSI X9.9、FIPS PUB 113和ISO/IEC 9797標(biāo)準(zhǔn)，但還沒有輕量級的消息認(rèn)證碼的相關(guān)標(biāo)準(zhǔn)。

（3）在感知節(jié)點鑒術(shù)方面

鑒別機制提供了關(guān)于某個實體（用戶、節(jié)點或設(shè)備）身份的保證，這意味著每當(dāng)某個實體聲稱具有一個特定的身份時，鑒別機制將提供某種方法來證實這一聲明是正確的。目前，一些輕量級的鑒別機制被提出，主要思想是以犧牲一方（如讓資源豐富的服務(wù)器處理大量的計算）為代價，來節(jié)省資源受限節(jié)點的計算開銷。最近關(guān)于聚合簽名（aggregate signature）的研究對于設(shè)計輕量級高效鑒別機制有可借鑒之處。聚合簽名的概念最初是由Boneh等人提出的，他們引進了一種改進通信效率和計算效率的方法：把n個不同用戶對n個不同消息做的簽名合并成一個有效的簽名，驗證者通過對此聚合簽名的驗證，即可證實每個用戶所做的相應(yīng)簽名的正確性。如何把這種思想應(yīng)用到物聯(lián)網(wǎng)感知層鑒別機制的設(shè)計中，以減少鏈路所占用的帶寬，緩解通信組成員數(shù)量增加所帶來的負(fù)擔(dān)，是物聯(lián)網(wǎng)安全需要解決的技術(shù)挑戰(zhàn)之一。

輕量級認(rèn)證技術(shù)是構(gòu)建物聯(lián)網(wǎng)信任體系的核心內(nèi)容，因此，輕量級認(rèn)證關(guān)鍵技術(shù)的研究是國家戰(zhàn)略需求，也是互聯(lián)網(wǎng)演進的必然趨勢。

（4）RFID隱私保護技術(shù)方面

關(guān)于感知節(jié)點隱私保護，主要涉及到感知節(jié)點芯片及存儲器物理防護技術(shù)，感知節(jié)點數(shù)據(jù)加密存儲技術(shù)，感知節(jié)點數(shù)據(jù)訪問控制和雙向認(rèn)證技術(shù)，感知節(jié)點周邊物理安全防護技術(shù)，感知節(jié)點聲、光、電磁信號干擾、攻擊或隱藏技術(shù)。比較突出的是RFID技術(shù)感知節(jié)點的隱私保護。

RFID技術(shù)應(yīng)用中因電子標(biāo)簽內(nèi)容被泄露，被追蹤、定位給人們帶來了很多隱私威脅問題。而隨著社會的進步與發(fā)展，安全與隱私得到越來越多的重視。因此，針對RFID技術(shù)應(yīng)用中的隱私保護問題國內(nèi)外學(xué)者開展了一定的研究。

對于RFID技術(shù)應(yīng)用中的隱私保護主要采用兩類，文獻(xiàn)[33]提到可從物理方法和邏輯方法兩方面來實現(xiàn)。目前的物理方法有：破壞標(biāo)簽（Kill標(biāo)簽）、屏蔽標(biāo)簽（法拉第網(wǎng)罩）、有源干擾法、阻塞標(biāo)簽等。邏輯方法有：讀取訪問控制、標(biāo)簽認(rèn)證、標(biāo)簽加密等。本文側(cè)重介紹幾種基于Hash函數(shù)的邏輯方法（讀取訪問控制）。到目前為止，已有多種RFID系統(tǒng)安全協(xié)議提出，包括Hash-LOCK協(xié)議、隨機化Hash-LOCK協(xié)議、Hash-CHAIN協(xié)議、各種改進的Hash協(xié)議。

文獻(xiàn)[34]提到kill機制。Kill標(biāo)簽機制由標(biāo)準(zhǔn)化組織Auto-ID Center（自動識別中心）提出，其原理是完全銷毀標(biāo)簽可以阻止追蹤，但犧牲了RFID電子標(biāo)簽功能。文獻(xiàn)[35]提到靜電屏蔽。靜電屏蔽是采用金屬屏蔽方式阻止標(biāo)簽被讀取。主動干擾無線電信號是另一種屏蔽標(biāo)簽的方法。標(biāo)簽用戶可以通過一個設(shè)備主動廣播無線電信號用于阻止或破壞附近的RFID閱讀器的操作。文獻(xiàn)[36]提到阻止標(biāo)簽方法。阻止標(biāo)簽方法是通過阻止閱讀器讀取標(biāo)簽確保消費者隱私。

與基于物理方法的硬件安全機制相比，基于密碼技術(shù)的安全認(rèn)證協(xié)議受到人們更多的青睞。典型的RFID安全認(rèn)證包括Hopper & Blum系列協(xié)議、噪聲標(biāo)簽的密碼交換協(xié)議、超寬帶調(diào)制、物理不可克隆函數(shù)和基于單時碼（one-time codes）的加密、基于Hash函數(shù)的安全協(xié)議等等。

Hopper和Blum提出了基于LPN（learning parity with noise）的HB協(xié)議。HB協(xié)議執(zhí)行過程簡單，硬件設(shè)備易于實現(xiàn)，存儲空間和計算負(fù)載較小。同時，HB+、HB++等一系列HB協(xié)議基于千位數(shù)據(jù)二進制向量、千位密鑰向量和一些噪聲位，用1或0來表示向量位元素，并滿足一些限定方程。但攻擊者仍有可能運用標(biāo)準(zhǔn)隨機估計理論通過個別數(shù)據(jù)猜測出可能的函數(shù)，存在一定的安全隱患。

Castelluccia和Avoine提出了基于RFID噪聲標(biāo)簽的密碼交換協(xié)議。其基本思想是在標(biāo)簽響應(yīng)消息中加入噪聲，這些噪聲能夠被可信的讀寫器識別并消除以恢復(fù)有用信號。攻擊者因為不能正確地區(qū)分出噪聲和有用數(shù)據(jù)，所以不能竊取有用的信息。

超寬帶調(diào)制（ultra wide band modulation）方法是基于時分傳輸時隙來實現(xiàn)的。它的安全性在于非法攻擊者很難得知有用信息是在哪個時隙發(fā)送的，該過程用到了相位調(diào)制器，也用到了跳時碼（time hopping codes）偽隨機序列生成器。

基于單時碼（one-time codes）的加密其主要思想是運用假名標(biāo)識來增強RFID標(biāo)簽的安全性。一個標(biāo)簽可以攜帶多個隨機標(biāo)識。每當(dāng)標(biāo)簽被查詢時，標(biāo)簽都給出一個不同的標(biāo)識。原則上，只有一個授權(quán)的讀寫器能夠識別出兩個不同的標(biāo)識是否是同一個標(biāo)簽，以實現(xiàn)安全性。這種方法的缺點是：攻擊者也可以通過反復(fù)地向某個標(biāo)簽送查詢命令以使這種方法的安全性減弱。

文獻(xiàn)[37]中提到基于Hash函數(shù)的安全協(xié)議主要有3種。Hash鎖（hash lock）協(xié)議是由Sarma等人提出來的。為了避免信息泄漏和被追蹤，使用metaID代替真實的標(biāo)簽ID。Hash鎖協(xié)議中沒有ID動態(tài)刷新機制，并且metaID也保持不變，ID是以明文的形式通過不安全的信道傳送的，因此，Hash鎖協(xié)議非常容易受到假冒攻擊和重傳攻擊，攻擊者也可以很容易地對標(biāo)簽進行追蹤。隨機化Hash鎖（random hashlock）協(xié)議由Weis等人提出，采用了基于隨機數(shù)的詢問—應(yīng)答機制。在隨機化Hash鎖協(xié)議中，認(rèn)證通過后的標(biāo)簽標(biāo)識IDk仍以明文的形式通過不安全信道傳送，因此攻擊者可以對標(biāo)簽進行有效的追蹤。同時，一旦獲得了標(biāo)簽的標(biāo)識IDk，攻擊者就可以對標(biāo)簽進行假冒，而該協(xié)議無法抵抗重傳攻擊。Hash鏈協(xié)議原理如下：標(biāo)簽最初在存儲器設(shè)置一個隨機的初始化標(biāo)識符s，同時這個標(biāo)識符也儲存在后端數(shù)據(jù)庫。標(biāo)簽包含兩個Hash函數(shù)G和H。當(dāng)閱讀器請求訪問標(biāo)簽時，標(biāo)簽返回當(dāng)前標(biāo)簽標(biāo)識符rk：G（S）給閱讀器，同時當(dāng)標(biāo)簽從閱讀器電磁場獲得能量時自動更新標(biāo)識符s＝H（S）。該方案具有“前向安全性”，但是該方法需要后臺進行大量的Hash運算。標(biāo)簽加密以后仍具有固定輸出，因此使得標(biāo)簽的追蹤成為可能，存在標(biāo)簽定位隱私問題。

文獻(xiàn)[38]提到基于K-匿名模型安全隱私控制模型，K-匿名的技術(shù)上世紀(jì)末由L. sweeney 和Samarati在PODS上提出。該技術(shù)能夠?qū)θ總€體敏感屬性進行保護，將其隱藏于K規(guī)模的群體里。之后，L.sweeney又提出了K-匿名的保護模型，并給出了應(yīng)用該技術(shù)的隱匿及泛化方法，有效地提升了保護隱私的力度。K-匿名的定義是：若一擁有數(shù)據(jù)者，其想將個人數(shù)據(jù)R（D1，…，Dn，C）進行共享。數(shù)據(jù)記錄的形式如下：R（V1，…，V，cls），其中V為屬性Di的數(shù)值，cls為一個屬性C的類別。如果R與外部數(shù)據(jù)記錄E共享一些屬性，則將其記錄為R*E。假設(shè)R*E中值比較特殊，則依據(jù)它就能夠在極大概率下，進行推斷一條對應(yīng)到現(xiàn)實生活中的具體記錄。所以，針對所有在R*E里的值，持有數(shù)據(jù)者需確保在R中，均有記錄和它進行對應(yīng)，該記錄的條數(shù)可等于或大于某一最小值。于是，能夠防止利用R*E中的值對R里數(shù)據(jù)隱私性的破壞。

文獻(xiàn)[39]提到對于使用用戶的地點信息，但是不把地點信息透漏給提供服務(wù)的提供者或第三方。這類位置隱私問題可通過計算幾何方法解決。特別是在物聯(lián)網(wǎng)的近距離通信中，由于RFID芯片使用者和RFID讀寫器距離太近，以至于閱讀器的地點無法隱藏。保護使用者地點隱私的方法是使用安全多方計算的臨時密碼保護并隱藏RFID標(biāo)識。

4 物聯(lián)網(wǎng)的安全架構(gòu)

物聯(lián)網(wǎng)的健康發(fā)展少不了信息安全保護技術(shù)，但在物聯(lián)網(wǎng)這個特殊的領(lǐng)域，許多傳統(tǒng)領(lǐng)域中的信息安全技術(shù)不能直接移植過來，需要重新搭建物聯(lián)網(wǎng)安全架構(gòu)和在此架構(gòu)下裁剪合適的具體方案。關(guān)于物聯(lián)網(wǎng)安全架構(gòu)問題已有許多不同觀點不同角度的深入討論，如文獻(xiàn)[16，17，40，41]。2013年，在物聯(lián)網(wǎng)安全架構(gòu)體系下，對物聯(lián)網(wǎng)安全體系的各個關(guān)節(jié)進行了深入的分析與討論。

事實上，到目前為止對什么是物聯(lián)網(wǎng)沒有一個合適定義，因此對物聯(lián)網(wǎng)的描述只能從特征和架構(gòu)上進行描述。的在介紹物聯(lián)網(wǎng)安全架構(gòu)之前，首先要了解物聯(lián)網(wǎng)的架構(gòu)。

物聯(lián)網(wǎng)的核心可劃分為3個邏輯層，分別為感知層、傳輸層和處理應(yīng)用層?？傮w上，感知層的作用是獲取原始數(shù)據(jù)，傳輸層的作用是將這些原始數(shù)據(jù)傳輸?shù)竭h(yuǎn)程的處理平臺進行處理，而處理應(yīng)用層的作用無疑是對來自不同感知節(jié)點的信息進行存儲、處理和應(yīng)用。由于對數(shù)據(jù)的處理和對數(shù)據(jù)的應(yīng)用無論從流程上和方法上都有很大區(qū)別，為了更清晰地描述完整的物聯(lián)網(wǎng)架構(gòu)，有時候?qū)⑽锫?lián)網(wǎng)的處理應(yīng)用層又分為處理層和應(yīng)用層這兩個邏輯層，形成4個邏輯層的架構(gòu)。從本質(zhì)上說，無論3層架構(gòu)還是4層架構(gòu)，其內(nèi)涵都是一樣的，只是邏輯層劃分邊界不同。

對物聯(lián)網(wǎng)系統(tǒng)的架構(gòu)還有另外一種劃分，即“海-網(wǎng)-云”架構(gòu)。在這種架構(gòu)中，所有終端設(shè)備被化分為一層，由于物聯(lián)網(wǎng)系統(tǒng)的終端數(shù)量將是巨大的，可以用海量來形容，因此將此類設(shè)備形象地稱為“?！薄?shù)據(jù)傳輸?shù)幕A(chǔ)網(wǎng)絡(luò)設(shè)施被稱為“網(wǎng)”，很明顯這個“網(wǎng)”不是單一的網(wǎng)，而是多種異構(gòu)網(wǎng)絡(luò)的統(tǒng)稱，包括局域網(wǎng)、互聯(lián)網(wǎng)、移動網(wǎng)等。物聯(lián)網(wǎng)系統(tǒng)的數(shù)據(jù)將由一個具有很強處理能力的平臺進行處理，用戶只需要知道跟處理平臺的邏輯關(guān)系，無需知道自己的數(shù)據(jù)是在處理平臺中的哪個計算機或者處理器處理的，也無需知道自己的數(shù)據(jù)存儲在哪里，只關(guān)心當(dāng)自己需要的時候可以從數(shù)據(jù)處理中心得到數(shù)據(jù)和處理結(jié)果，這樣的數(shù)據(jù)處理中心被形象地描述成“云”。這樣，就形成了物聯(lián)網(wǎng)的“海-網(wǎng)-云”邏輯架構(gòu)。

考慮到物聯(lián)網(wǎng)系統(tǒng)中有兩種類型的終端，一種是用于采集數(shù)據(jù)的終端，通常稱為感知終端（包括RFID標(biāo)簽），我們稱為這種終端為A類終端，一般處理能力小，但數(shù)量龐大；另一種是用戶移動終端，如手機、平板電腦、筆記本電腦等，這類終端的目的是獲取A類終端的數(shù)據(jù)或?qū)@些數(shù)據(jù)的處理結(jié)果，并且能控制A類終端。我們稱移動終端為B類終端。在物聯(lián)網(wǎng)的3層架構(gòu)中，A類終端在感知層，B類終端在處理應(yīng)用層；在物聯(lián)網(wǎng)的4層架構(gòu)中，A類終端在感知層，B類終端在應(yīng)用層；而在物聯(lián)網(wǎng)的“海-網(wǎng)-云”架構(gòu)中，A類終端與B類終端都在“?！倍?，因此不同架構(gòu)的內(nèi)涵相同，但劃分邊界和處理角度不同。

現(xiàn)在我們以物聯(lián)網(wǎng)的4層架構(gòu)為基礎(chǔ)，討論物聯(lián)網(wǎng)的安全架構(gòu)。首先，物聯(lián)網(wǎng)的感知層需要安全保護，我們稱這類安全保護為感知層安全；其次，物聯(lián)網(wǎng)的傳輸層需要安全保護，我們稱為處理層安全；同樣，物聯(lián)網(wǎng)的處理層需要安全保護，我們稱為處理層安全；最后，物聯(lián)網(wǎng)的應(yīng)用層需要安全保護，我們稱為應(yīng)用層安全。下面我們針對每個安全層，討論相關(guān)的關(guān)鍵技術(shù)。

5 物聯(lián)網(wǎng)感知層安全關(guān)鍵技術(shù)

物聯(lián)網(wǎng)感知層主要包括傳感器節(jié)點、傳感網(wǎng)路由節(jié)點、感知層網(wǎng)關(guān)節(jié)點（又稱為協(xié)調(diào)器節(jié)點或匯聚節(jié)點）、以及連接這些節(jié)點的網(wǎng)絡(luò)，通常是短距離無線網(wǎng)絡(luò)，如Zigbee、433、Wifi等。廣義上，傳感器節(jié)點也包括RFID標(biāo)簽，感知層網(wǎng)關(guān)節(jié)點包括RFID讀寫器，無線網(wǎng)絡(luò)也包括RFID使用的通信協(xié)議，如EPCglobal。

考慮到許多傳感器的特點是資源受限，因此處理能力有限，對安全的需求也相對較弱，但完全沒有安全保護會面臨很大問題，因此需要輕量級安全保護。什么是輕量級？與物聯(lián)網(wǎng)的概念一樣，對此沒有一個標(biāo)準(zhǔn)的定義。但我們可以分別以輕量級密碼算法和輕量級安全協(xié)議進行描述。由于RFID 標(biāo)準(zhǔn)中為安全保護預(yù)留了2000門等價電路的硬件資源，因此如果一個密碼算法能使用不多余2000門等價電路來實現(xiàn)的話，這種算法就可以稱為輕量級密碼算法。目前已知的輕量級密碼算法包括PRESENT和LBLOCK等。而對輕量級安全協(xié)議，沒有一個量化描述，許多安全協(xié)議都聲稱為輕量級協(xié)議，如文獻(xiàn)[15，43]。

雖然輕量級密碼算法有一個量化描述，但追求輕量的目標(biāo)卻永無止境。因此我們這里列出幾個輕量級密碼算法設(shè)計的關(guān)鍵技術(shù)和挑戰(zhàn)。

（1）超輕量級密碼算法的設(shè)計。這類密碼算法包括流密碼和分組密碼，設(shè)計目標(biāo)是在硬件實現(xiàn)成本上越小越好，不考慮數(shù)據(jù)吞吐率和軟件實現(xiàn)成本和運行性能，使用對象是RFID標(biāo)簽和資源非常有限的傳感器節(jié)點。

（2）可硬件并行化的輕量級密碼算法的設(shè)計。這類密碼算法同樣包括流密碼和分組密碼算法，設(shè)計目標(biāo)是考慮不同場景的應(yīng)用，或通信兩端的性能折衷，雖然在輕量化實現(xiàn)方面也許不是最優(yōu)，但當(dāng)不考慮硬件成本時，可使用并行處理技術(shù)實現(xiàn)吞吐率的大幅度提升，適合協(xié)調(diào)器端使用。

（3）可軟件并行化的輕量級密碼算法的設(shè)計。這類密碼算法的設(shè)計目標(biāo)是滿足一般硬件輕量級需求，但軟件實現(xiàn)時可以實現(xiàn)較高的吞吐率，適合在一個服務(wù)器管理大量終端感知節(jié)點情況下在服務(wù)器上軟件實現(xiàn)。

（4）輕量級公鑰密碼算法的設(shè)計。在許多應(yīng)用中，公鑰密碼具有不可替代的優(yōu)勢，但公鑰密碼的輕量化到目前為止是一個沒有逾越的技術(shù)挑戰(zhàn)，即公開文獻(xiàn)中還沒有找到一種公鑰密碼算法可以使用小于2000 等價門電路實現(xiàn)，且在當(dāng)前計算能力下不可實際破解。

（5）非平衡公鑰密碼算法的設(shè)計。這其實是輕量級公鑰密碼算法的折衷措施，目標(biāo)是設(shè)計一種在加密和解密過程很不平衡的公鑰密碼算法，使其加密過程達(dá)到輕量級密碼算法的要求，或解密過程達(dá)到輕量級密碼算法的要求?？紤]到輕量級密碼算法的使用很多情況下是在傳感器節(jié)點與協(xié)調(diào)器或服務(wù)器進行通信，而后者計算資源不受限制，因此無需使用輕量級算法，只要在傳感器終端上使用的算法具有輕量級即可。

對于輕量級安全協(xié)議，既沒有量化描述，也沒有定性描述?？傮w上，安全協(xié)議的輕量化需要交同類協(xié)議相比，減少通信輪數(shù)（次數(shù)），減少通信數(shù)據(jù)量，減少計算量，當(dāng)然這些要求的代價是一定會有所犧牲，就是可靠性甚至某些安全性方面的犧牲?？煽啃园▽?shù)據(jù)傳遞的確認(rèn)（是否到達(dá)目的地），對數(shù)據(jù)處理的確認(rèn)（是否被正確處理）等，而安全性包括前向安全性、后向安全性等，因為這些安全威脅在傳感器網(wǎng)絡(luò)中不太可能發(fā)生，攻擊成本高而造成的損失小。輕量級安全協(xié)議包括如下幾種。

（1）輕量級安全認(rèn)證協(xié)議，即如何認(rèn)證通信方的身份是否合法。

（2）輕量級安全認(rèn)證與密鑰協(xié)商協(xié)議（AKA），即如何在認(rèn)證成功后建立會話密鑰，包括同時建立多個會話密鑰的情況。

（3）輕量級認(rèn)證加密協(xié)議，即無需對通信方的身份進行專門認(rèn)證，在傳遞消息使驗證消息來源的合法性即可。這種協(xié)議適合非連接導(dǎo)向的通信。

（4）輕量級密鑰管理協(xié)議，包括輕量級PKI，輕量級密鑰分發(fā)（群組情況），輕量級密鑰更新等。注意無論輕量級密碼算法還是輕量級安全協(xié)議，必須考慮消息的新鮮性，以防止重放攻擊和修改重放攻擊。這是與傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)有著本質(zhì)區(qū)別的地方。

6 物聯(lián)網(wǎng)傳輸層安全關(guān)鍵技術(shù)

物聯(lián)網(wǎng)傳輸層主要包括互聯(lián)網(wǎng)、移動網(wǎng)絡(luò)（如GSM、3G、LTE等），也包括一些非主流的專業(yè)網(wǎng)絡(luò)，如電信網(wǎng)、電力載波等。但我們研究傳輸層安全關(guān)鍵技術(shù)時一般主要考慮互聯(lián)網(wǎng)和移動網(wǎng)絡(luò)。

事實上，互聯(lián)網(wǎng)有著許多安全保護技術(shù)，包括物理層，IP 層、傳輸層、和應(yīng)用層的各個方面，而移動網(wǎng)絡(luò)的安全保護也有自己的國際標(biāo)準(zhǔn)，因此物聯(lián)網(wǎng)傳輸層的安全技術(shù)不是物聯(lián)網(wǎng)安全中的研究重點。

7 物聯(lián)網(wǎng)處理層安全關(guān)鍵技術(shù)

物聯(lián)網(wǎng)處理層就是數(shù)據(jù)處理中心，小的可以是一個普通的處理器，大的可以是由分布式機群構(gòu)成的云計算平臺。從信息安全角度考慮，系統(tǒng)越大，遭受攻擊者關(guān)注的可能性就越大，因此需要的安全保護程度就要越高。因此物聯(lián)網(wǎng)處理層安全的關(guān)鍵計算主要是云計算安全的關(guān)鍵技術(shù)。由于云計算作為一個獨立的研究課題已經(jīng)得到廣泛關(guān)注，這方面的安全關(guān)鍵技術(shù)有許多專門論述和研究，因此不在本文的討論范圍。

8 物聯(lián)網(wǎng)應(yīng)用層安全關(guān)鍵技術(shù)

物聯(lián)網(wǎng)的應(yīng)用層嚴(yán)格地說不是一個具有普適性的邏輯層，因為不同的行業(yè)應(yīng)用在數(shù)據(jù)處理后的應(yīng)用階段表現(xiàn)形式相差各異。綜合不同的物聯(lián)網(wǎng)行業(yè)應(yīng)用可能需要的安全需求，物聯(lián)網(wǎng)應(yīng)用層安全的關(guān)鍵技術(shù)可以包括如下幾個方面。

（1）隱私保護技術(shù)。隱私保護包括身份隱私和位置隱私。身份隱私就是在傳遞數(shù)據(jù)時不泄漏發(fā)送設(shè)備的身份，而位置隱私則是告訴某個數(shù)據(jù)中心某個設(shè)備在正常運行，但不泄漏設(shè)備的具體位置信息。事實上，隱私保護都是相對的，沒有泄漏隱私并不意味著沒有泄漏關(guān)于隱私的任何信息，例如位置隱私，通常要泄漏（有時是公開或容易猜到的信息）某個區(qū)域的信息，要保護的是這個區(qū)域內(nèi)的具體位置，而身份隱私也常泄漏某個群體的信息，要保護的是這個群體的具體個體身份。

隱私保護的研究是一個傳統(tǒng)的問題，國際上對這一問題早有研究，例如文獻(xiàn)[5，6，36，44]。在物聯(lián)網(wǎng)系統(tǒng)中，隱私保護包括RFID的身份隱私保護、移動終端用戶的身份和位置隱私保護、大數(shù)據(jù)下的隱私保護技術(shù)等。

在智能醫(yī)療等行業(yè)應(yīng)用中，傳感器采集的數(shù)據(jù)需要集中處理，但該數(shù)據(jù)的來源與特定用戶身份沒有直接關(guān)聯(lián)，這就是身份隱私保護。這種關(guān)聯(lián)的隱藏可以通過第三方管理中心來實現(xiàn)，也可以通過密碼技術(shù)來實現(xiàn)。隱私保護的另一個種類是位置隱私保護，即用戶信息的合法性得到檢驗，但該信息來源的地理位置不能確定。同樣位置隱私的保護方法之一是通過密碼學(xué)的技術(shù)手段。根據(jù)我們的經(jīng)驗，在現(xiàn)實世界中少有不慎，我們的隱私信息就被暴露于網(wǎng)絡(luò)上，有時甚至處處小心還是會泄漏隱私信息。因此如何在物聯(lián)網(wǎng)應(yīng)用系統(tǒng)中不泄漏隱私信息是物聯(lián)網(wǎng)應(yīng)用層的關(guān)鍵技術(shù)之一。

在物聯(lián)網(wǎng)行業(yè)應(yīng)用中，如果隱私保護的目標(biāo)信息沒有被泄漏，就意味著隱私保護是成功的，但在學(xué)術(shù)研究中，我們需要對隱私的泄漏進行量化描述，即一個系統(tǒng)也許沒有完全泄漏被保護對象的隱私，但已經(jīng)泄漏的信息讓這個被保護的隱私信息非常脆弱，再有一點點信息就可以確定，或者說該隱私信息可以以較大概率被猜測成功。除此之外，大數(shù)據(jù)下的隱私保護如何研究，是一個值得深入探討的問題。

（2）移動終端設(shè)備安全。智能手機和其他移動通信設(shè)備的普及為生活帶來極大便利的同時，也帶來很多安全問題。當(dāng)移動設(shè)備失竊時，設(shè)備中數(shù)據(jù)和信息的價值可能遠(yuǎn)大于設(shè)備本身的價值，因此如何保護這些數(shù)據(jù)不丟失、不被竊，是移動設(shè)備安全的重要問題之一。當(dāng)移動設(shè)備稱為物聯(lián)網(wǎng)系統(tǒng)的控制終端時，移動設(shè)備的失竊所帶來的損失可能會遠(yuǎn)大于設(shè)備中數(shù)據(jù)的價值，因為對A類終端的惡意的控制所造成的損失不可估量。因此作為物聯(lián)網(wǎng)B類終端的移動設(shè)備安全保護是重要的技術(shù)挑戰(zhàn)。

（3）物聯(lián)網(wǎng)安全基礎(chǔ)設(shè)施。應(yīng)該說，即使保證物聯(lián)網(wǎng)感知層安全、傳輸層安全和處理層安全，也保證終端設(shè)備不失竊，仍然不能保證整個物聯(lián)網(wǎng)系統(tǒng)的安全。一個典型的例子是智能家居系統(tǒng)，假設(shè)傳感器到家庭匯聚網(wǎng)關(guān)的數(shù)據(jù)傳輸?shù)玫桨踩Ｗo，家庭網(wǎng)關(guān)到云端數(shù)據(jù)庫的遠(yuǎn)程傳輸?shù)玫桨踩Ｗo，終端設(shè)備訪問云端也得到安全保護，但對智能家居用戶來說還是沒有安全感，因為感知數(shù)據(jù)是在別人控制的云端存儲。如何實現(xiàn)端到端安全，即A類終端到B類終端以及B類終端到A類終端的安全，需要由合理的安全基礎(chǔ)設(shè)施完成。對智能家居這一特殊應(yīng)用來說，安全基礎(chǔ)設(shè)施可以非常簡單，例如通過預(yù)置共享密鑰的方式完成，但對其他環(huán)境，如智能樓宇和智慧社區(qū)，預(yù)置密鑰的方式不能被接受，也不能讓用戶放心。如何建立物聯(lián)網(wǎng)安全基礎(chǔ)設(shè)施的管理平臺，是安全物聯(lián)網(wǎng)實際系統(tǒng)建立中不可或缺的組成部分，也是重要的技術(shù)問題。

（4）物聯(lián)網(wǎng)安全測評體系。安全測評不是一種管理，更重要的是一種技術(shù)。首先要確定測評什么，即確定并量化測評安全指標(biāo)體系，然后給出測評方法，這些測評方法應(yīng)該不依賴于使用的設(shè)備、或執(zhí)行的人，而且具有可重復(fù)性。這一問題必須首先解決好，才能推動物聯(lián)網(wǎng)安全技術(shù)落實到具體的行業(yè)應(yīng)用中去。

9 結(jié)論

物聯(lián)網(wǎng)是一種新型產(chǎn)業(yè)方向，是信息技術(shù)發(fā)展的一個新階段。物聯(lián)網(wǎng)系統(tǒng)在物聯(lián)網(wǎng)概念被提出之前就已經(jīng)大量存在，但物聯(lián)網(wǎng)的概念會將這類技術(shù)和產(chǎn)業(yè)推向更重要的位置。但是，物聯(lián)網(wǎng)安全問題還沒有引起足夠重視，行業(yè)界認(rèn)為物聯(lián)網(wǎng)安全問題沒有這么嚴(yán)重，學(xué)術(shù)界認(rèn)為物聯(lián)網(wǎng)研究不能產(chǎn)生許多創(chuàng)新性成果。事實上，與物聯(lián)網(wǎng)相關(guān)的許多技術(shù)和理論可以具有很高的學(xué)術(shù)意義和應(yīng)用價值，一些已有方法的應(yīng)用，即一些技術(shù)方法在某種特殊物聯(lián)網(wǎng)行業(yè)中的落地實施也是一種集成創(chuàng)新，因為在應(yīng)用中除了考慮功能外，還要在性能優(yōu)化方面做許多工作。

本文闡述了物聯(lián)網(wǎng)安全所涉及的一些安全問題，其中與傳統(tǒng)信息安全中常見問題有所區(qū)別的是輕量級安全問題，特別是非平衡公鑰密碼的設(shè)計問題，隱私保護問題，以及物聯(lián)網(wǎng)安全基礎(chǔ)設(shè)施問題等。

（摘自《密碼學(xué)報》2015年1期）