(一)物联网安全层次概述
我们已经知道,物联网具备三个特征:一是全面感知,二是可靠传递,三是智能处理。物联网安全性相应地也分为三个逻辑层,即感知层,传输层和处理层。除此之外,在物联网的综合应用方面还有一个应用层,它是对智能处理后的信息的利用。
在某些框架中,尽管智能处理与应用层被作为同一逻辑层进行处理,但从信息安全的角度考虑,将应用层独立出来更容易建立安全架构。
其实,对物联网的几个逻辑层,目前已经有许多针对性的密码技术手段和解决方案。但需要说明的是,物联网作为一个应用整体,各层独立的安全措施简单相加不足以为自身提供可靠的安全保障。而且,物联网与几个逻辑层所对应的基础设施之间还存在许多本质的区别。最基本的区别如下。
(1)已有的对传感网(感知层)、互联网(传输层)、移动网(传输层)、安全多方计算、云计算(处理层)等安全解决方案在物联网环境可能不再适用。其主要原因是:
第一,物联网所对应的传感网的数量和终端物体的规模是单个传感网所无法相比的;第二,物联网所连接的终端设备或器件的处理能力有很大差异,它们之间需要相互作用;第三,物联网所处理的数据量比现在的互联网和移动网都大得多。
(2)即使分别保证感知层、传输层和处理层的安全,也不能保证物联网的安全。这是因为:第一,物联网是融几层于一体的大系统,许多安全问题来源于系统整合;第二,物联网的数据共享对安全性提出了更高的要求;第三,物联网的应用将对安全提出新要求,比如隐私保护不属于任一层的安全需求,但却是许多物联网应用的安全需求。
鉴于以上原因,为保障物联网的健康发展,需要重新规划并制定可持续发展的安全架构,使物联网在发展和应用过程中,其安全防护措施得到不断完善。
(二)感知层的安全需求和安全框架
感知层的任务是全面感知外界信息,或者说感知层是一个原始信息收集器。该层的典型设备包括RFID装置、各类传感器(如红外、超声、温度、湿度、速度等)、图像捕捉装置(摄像头)、全球定位系统(GPS)、激光扫描仪等。这些设备收集的信息通常具有明确的应用目的,因此过去这些信息直接被处理并应用,如公路摄像头捕捉的图像信息直接用于交通监控。
在物联网应用中,多种类型的感知信息可能会同时处理、综合利用,甚至不同感应信息的结果将影响其他的控制调节行为,如湿度的感应结果可能会影响温度或光照控制的调节。同时,物联网应用强调的是信息共享,这是物联网区别于传感网的最大特点之一。如交通监控录像信息可能还同时被用于公安侦破、城市改造规划设计、城市环境监测等。如何处理这些感知信息将直接影响信息的有效应用。为了使同样的信息被不同应用领域有效使用,应该建立一个综合处理平台,这就是物联网的智能处理层,将这些感知信息传输到这个处理平台进行处理。
感知信息要通过一个或多个与外界网连接的传感节点,被称为网关节点(sink或gate-way),所有与传感网内部节点的通信都需要经过网关节点与外界联系,因此在物联网的传感层,我们只需要考虑传感网本身的安全性。
1.感知层的安全挑战
感知层可能遇到的安全挑战包括下列情况。
(1)传感网的网关节点被敌手控制——安全性全部丢失。
(2)传感网的普通节点被敌手控制(敌手掌握节点密钥)。
(3)传感网的普通节点被敌手捕获(但由于没有得到节点密钥,而没有被控制)。
(4)传感网的节点(普通节点或网关节点)受到来自网络的DOS攻击。
(5)接入到物联网的超大量传感节点的标识、识别、认证和控制问题。
敌手捕获网关节点不等于控制该节点,实际上一个传感网的网关节点被敌手控制的可能性很小,因为控制网关节点需要掌握该节点的密钥(与传感网内部节点通信的密钥或与远程信息处理平台共享的密钥),而做到这点是十分困难的。如果敌手掌握了一个网关节点与传感网内部节点的共享密钥,那么他就可以控制传感网的网关节点,并由此获得通过该网关节点传出的所有信息。但如果敌手不知道该网关节点与远程信息处理平台的共享密钥,那么就不能篡改发送的信息,只能阻止部分或全部信息的发送,但这样极容易被远程信息处理平台觉察。若能识别一个被敌手控制的传感网,便可以降低甚至避免由敌手控制的传感网传来的虚假信息所造成的损失。
目前,传感网遇到比较普遍的情况是某些普通网络节点被敌手控制而发起攻击,传感网与这些普通节点交互的所有信息都被敌手获取。敌手的目的可能不仅仅是被动窃听,还包括通过所控制的网络节点传输一些错误数据。传感网的安全需求应包括对恶意节点行为的判断和对这些节点的阻断,以及在阻断一些恶意节点(假定这些被阻断的节点分布是随机的)后,网络的连通性如何保障。
更为常见的情况是敌手捕获一些网络节点,不需要解析它们的预置密钥或通信密钥(这种解析需要付出代价和时间),只需要鉴别节点种类,如检查节点是用于检测温度、湿度还是噪音等。有时候这种分析对敌手是很有用的。因此,安全的传感网络应该具有保护其正常工作的安全机制。
既然传感网最终要接入其他外在网络,包括互联网,那么就难免受到来自外在网络的攻击。目前能预期到的主要攻击除了非法访问外,还有拒绝服务(DOS)攻击。因为通常传感网节点的资源(计算和通信能力)有限,所以对抗DOS攻击的能力比较弱,在互联网环境里不被识别为DOS攻击的访问就可能使传感网瘫痪。所以,传感网的安全应该包括节点抗DOS攻击的能力。考虑到外部访问可能直接针对传感网内部的某个节点(如远程控制启动或关闭红外装置),而传感网内部普通节点的资源一般比网关节点更小,网络抗DOS攻击的能力还应分为网关节点和普通节点两种情况。
传感网接入互联网或其他类型网络所带来的问题,不仅仅是传感网如何对抗外来攻击,更重要的是如何与外部设备相互认证,而认证过程又需要特别考虑传感网资源的有限性,因此,认证机制需要的计算和通信代价都必须尽可能小。此外,对于外部互联网来说,其所连接的不同传感网的数量可能是一个庞大的数字,如何区分这些传感网及其内部节点,有效地识别它们,是安全机制能够建立的前提。
2.感知层的安全需求
针对上述的挑战,感知层的安全需求可以总结为以下几点。
(1)机密性。多数传感网内部不需要认证和密钥管理,如统一部署的共享一个密钥的传感网。
(2)密钥协商。部分传感网内部节点进行数据传输前,需要预先协商会话密钥。
(3)节点认证。个别传感网(特别当传感数据共享时)需要节点认证,确保非法节点不能接入。
(4)信誉评估。一些重要传感网需要对可能被敌手控制的节点行为进行评估,以降低敌手入侵后的危害(某种程度上相当于入侵检测)。
(5)安全路由。几乎所有传感网内部都需要不同的安全路由技术。
3.感知层的安全防护
根据物联网本身的特点和上述物联网感知层在安全方面存在的问题,需要采取有效的防护对策,具体做法如下。
(1)加强对传感网机密性的安全控制
在传感网内部需要建立有效的密钥管理机制,用于保障传感网内部通信的安全,在通信时需要建立一个临时会话密钥,确保数据安全。如在物联网构建中选择射频识别系统,应该根据实际需求考虑是否选择有密码和认证功能的系统。
(2)加强节点认证
节点认证可以通过对称密码或非对称密码方案解决。使用对称密码的认证方案需要预置节点间的共享密钥,在效率上比较高,消耗网络节点的资源较少,许多传感网都选用此方案。而使用非对称密码技术的传感网一般具有较好的计算和通信能力,并且对安全性要求更高。在认证的基础上完成密钥协商是建立会话密钥的必要步骤。
(3)加强入侵监测
在敏感场合,节点要设置封锁或自毁程序,发现节点离开特定应用和场所,启动“封锁”或“自毁”,可使攻击者无法完成对节点的分析。
(4)加强对传感网的安全路由控制
几乎所有传感网内部都需要应用不同的安全路由技术。
综上,由于传感网的安全一般不涉及其他网络的安全,因此,传感网安全是相对较独立的问题,有些已有的安全解决方案在物联网环境中也同样适用。但由于物联网环境中传感网遭受外部攻击的机会增大,因此用于独立传感网的传统安全解决方案需要提升安全等级后才能使用。也就是说,传感网在安全上要求更高。
(三)传输层的安全需求和安全框架
物联网的传输层主要用于把感知层收集到的信息安全可靠地传输到信息处理层,然后根据不同的应用需求进行信息处理,即传输层主要是网络基础设施,包括互联网、移动网和一些专业网(如国家电力专用网、广播电视网)等。信息在传输过程中,可能经过一个或多个不同架构的网络进行信息交接。如普通电话座机与手机之间的通话就是一个典型的跨网络架构的信息传输。在信息传输过程中,跨网络传输是很正常的,在物联网环境中这一现象更突出,而且很可能在极普通的事件中产生信息安全隐患。
1.传输层的安全挑战
网络环境目前遇到前所未有的安全挑战,而物联网传输层所处的网络环境也存在安全挑战,甚至是更大的挑战。同时,由于不同架构的网络需要相互连通,因此在跨网络架构的安全认证等方面会面临更大的挑战。
物联网传输层的安全问题主要存在以下方面:
(1)DOS攻击、DDOS(分布式拒绝服务攻击)攻击;
(2)假冒攻击、中间人攻击等;
(3)跨异构网络的网络攻击。
2.传输层的安全需求
在物联网发展过程中,目前的互联网或者下一代互联网将是物联网传输层的核心载体,多数信息要经过互联网传输。互联网遇到的DOS和DDOS仍然存在,需要采取更好的防范措施和灾难恢复机制。
考虑到物联网所连接的终端设备性能和对网络需求的巨大差异,其对网络攻击的防护能力也有很大差别,因此,很难设计出通用的安全方案,而应针对不同网络性能和网络需求采取不同的防范措施。
在传输层,异构网络的信息交换将成为安全的弱点,特别在网络认证方面,难免存在中间人攻击和其他类型的攻击(如异步攻击、合谋攻击等)。这些攻击都需要采取更高的安全防护措施。
如果仅考虑互联网和移动网以及其他一些专用网络,则物联网传输层对安全的需求可以概括为以下几点。
(1)数据机密性。需要保证数据在传输过程中不被泄露。
(2)数据完整性。需要保证数据在传输过程中不被非法篡改,或非法篡改的数据容易被检测出。
(3)数据流机密性。某些应用场景需要对数据流量信息进行保密,目前只能提供有限的数据流机密性。
(4)DDOS攻击的检测与预防。DDOS攻击是网络中常见的攻击类型之一,在物联网中更为常见。物联网中需要解决的问题还包括如何防护DDOS对脆弱节点的攻击。
(5)移动网中认证与密钥协商(AKA)机制的一致性或兼容性、跨域认证和跨网络认证。
3.传输层的安全防护
传输层的安全机制可分为端到端的机密性和节点到节点的机密性。
(1)对于端到端的机密性,需要建立安全机制。如端到端认证机制、端到端密钥协商机制、密钥管理机制和机密性算法选取机制等。在这些安全机制中,根据需要可以增加数据完整性服务。
(2)对于节点到节点的机密性,需要节点间的认证和密钥协商协议,这类协议要重点考虑效率因素。
机密性算法的选取和数据完整性服务,可以根据需求决定是否选用。考虑到跨网络架构的安全需求,需要建立不同网络环境的认证衔接机制。
另外,根据应用层的不同需求,网络传输模式可能区分为单播通信、组播通信和广播通信,针对不同类型的通信模式也应该建立相应的认证机制和机密性保护机制。
简言之,传输层的安全防护主要包括以下几个方面。(www.xing528.com)
(1)节点认证、数据机密性、完整性、数据流机密性、DDOS攻击的检测与预防。
(2)移动网中AKA机制的一致性或兼容性、跨域认证和跨网络认证。
(3)相应密码技术。密钥管理(密钥基础设施PKI和密钥协商)、端对端加密和节点对节点加密、密码算法和协议等。
(4)组播和广播通信的认证性、机密性和完整性安全机制。
(四)处理层的安全需求和安全框架
处理层是信息到达智能处理平台的处理过程,包括如何从网络中接收信息。在从网络中接收信息的过程中,需要判断哪些信息是真正有用的信息,哪些是垃圾信息甚至是恶意信息。
在来自网络的信息中,有些属于一般性数据,用于某些应用过程的输入,而有些可能是操作指令。在这些操作指令中,又有一些可能是由于某种原因造成的错误指令(如指令发出者的操作失误、网络传输错误、遭到恶意修改等),或者是攻击者的恶意指令。
如何通过密码技术等手段甄别出真正有用的信息,又如何识别并有效防范恶意信息和指令带来的威胁是物联网处理层面临的重大安全挑战。
1.处理层的安全挑战
物联网处理层的重要特征是智能,智能的技术实现少不了自动处理技术,其目的是使处理过程方便迅速,而非智能的处理手段可能无法应对海量数据。但是,自动过程对恶意数据,特别是恶意指令信息的判断能力是十分有限的,而智能也仅限于按照一定规则进行过滤和判断,攻击者很容易避开这些规则,正如过滤垃圾邮件一样,多年来一直是一个难以彻底解决的问题。
因此,处理层的安全挑战包括以下几个方面。
(1)来自超大量终端的海量数据的识别和处理。
(2)智能变为低能。
(3)自动变为失控(可控性是信息安全的重要指标之一)。
(4)灾难控制和恢复。
(5)非法人为干预(内部攻击)。
(6)设备(特别是移动设备)的丢失。
2.处理层的安全需求
针对所面临的安全问题,处理层产生了以下安全需求。
(1)物联网时代需要处理的信息是海量的,需要处理的平台数量众多。当不同性质的数据通过一个处理平台处理时,该平台需要多个功能各异的处理平台协同处理。但是,首先应该知道将哪些数据分配到哪个处理平台,因此数据类别分类是必需的。同时,安全的要求使得许多信息都是以加密形式存在的,因此如何快速有效地处理海量加密数据是智能处理阶段遇到的一个重大挑战。
(2)计算技术的智能处理过程与人类的智力相比具有本质的区别,但计算机的智能判断在速度上是人类智力判断所无法比拟的。由此,人们期望物联网环境的智能处理水平不断提高,而且不能用人的智力代替。换而言之,只要智能处理过程存在,就可能让攻击者有机会躲过智能处理过程的识别和过滤,从而达到攻击目的。在这种情况下,智能与低能相当。所以,物联网的传输层需要高智能的处理机制。
(3)如果智能水平很高,那么可以有效识别并自动处理恶意数据和指令。但再好的智能也存在失误,特别是在物联网环境中,即使出现失误的概率非常小,因为自动处理过程数据量非常庞大,因此出现失误的情况还是很多。
(4)在发生失误而致使攻击者攻击成功后,如何将攻击所造成的损失降低到最低程度,并尽快从灾难中恢复到正常工作状态,是物联网智能处理层的另一重要问题,也是一个重大挑战。
(5)智能处理层虽然使用智能自动处理手段,但还是允许人为干预,这是十分必要的。人为干预可能发生在智能处理过程无法做出正确判断的时候,也可能发生在智能处理过程有关键中间结果或最终结果的时候,还可能发生在其他任何原因而需要人为干预的时候。人为干预的目的是使处理层更好地工作,但也有例外,那就是实施人为干预的人试图实施恶意行为时。来自人的恶意行为具有很大的不可预测性。所以,物联网处理层的防范措施除了技术辅助手段外,更多地需要依靠科学管理手段。
(6)智能处理平台的大小不同,大的如高性能工作站,小的如移动设备,智能手机等。工作站的威胁来自内部人员恶意操作,而移动设备的一个重大威胁是丢失。由于移动设备不仅是信息处理平台,其本身通常也携带大量重要机密信息,如何降低作为处理平台的移动设备丢失所造成的损失是目前面临的重要安全挑战之一。
3.处理层的安全防护
为了满足物联网智能处理层的基本安全需求,需要采取以下的安全防护措施。
(1)可靠的认证机制和密钥管理方案;
(2)高强度数据机密性和完整性服务;
(3)可靠的密钥管理机制,包括PKI和对称密钥的有机结合机制;
(4)可靠的高智能处理手段;
(5)入侵检测和病毒检测;
(6)恶意指令分析和预防,访问控制及灾难恢复机制;
(7)保密日志跟踪和行为分析,恶意行为模型的建立;
(8)密文查询、秘密数据挖掘、安全多方计算、安全云计算技术等;
(9)移动设备文件(包括秘密文件)的可备份和恢复;
(10)移动设备识别、定位和追踪机制。
(五)应用层的安全需求和安全框架
应用层负责综合的或有个体特性的具体应用业务,它所涉及的某些安全问题通过前面几个逻辑层的安全解决方案可能仍然无法解决。在这些问题中,隐私保护就是典型的一种。无论感知层、传输层还是处理层,都不涉及隐私保护问题,但隐私保护却是一些特殊应用场景的实际需求,即应用层的特殊安全需求。物联网的数据共享分为多种情况,涉及不同权限的数据访问。此外,在应用层还涉及知识产权保护、计算机取证、计算机数据销毁等安全需求和相应技术。
1.应用层的安全挑战
应用层的安全挑战主要包括以下几个方面。
(1)如何根据不同访问权限对同一数据库内容进行筛选;
(2)如何提供用户隐私信息保护,同时能正确认证;
(3)如何解决信息泄露追踪问题;
(4)如何进行计算机取证;
(5)如何销毁计算机数据;
2.应用层的安全需求
针对以上应用层面临的安全问题,应用层的安全需求包括以下内容。
(1)由于物联网需要根据不同应用需求对共享数据分配不同的访问权限,而且不同权限访问同一数据可能得到不同的结果。
(2)随着个人和商业信息的网络化,越来越多的信息被认为是用户隐私信息。需要隐私保护的应用至少包括以下几种:第一,移动用户既需要知道(或被合法知道)其位置信息,又不愿意非法用户获取该信息;第二,用户既需要证明自己合法使用某种业务,又不想让他人知道自己在使用某种业务,如在线游戏等;第三,病人急救时需要及时获得该病人的电子病历信息,但又要保护该病历信息不被非法获取,包括病历数据管理员。事实上,电子病历数据库的管理人员可能有机会获得电子病历的内容,但隐私保护采用某种管理和技术手段,使病历内容与病人身份信息在电子病历数据库中无关联;第四,许多业务需要匿名性,如网络投票等。
(3)很多情况下,用户信息是认证过程的必填信息,如何对这些信息提供隐私保护,是一个具有挑战性的问题,但又是必须要解决的问题。例如,医疗病历的管理系统需要病人的相关信息来获取正确的病历数据,但又要避免该病历数据跟病人的身份信息相关联。在应用过程中,主治医生知道病人的病历数据,这种情况下对隐私信息的保护具有一定困难性,但可以通过密码技术手段掌握医生泄露病人病历信息的证据。
(4)在使用互联网的商业活动中,特别是在物联网环境的商业活动中,无论采取了什么技术措施,都难以避免恶意行为的发生。如果能根据恶意行为所造成后果的严重程度给予相应的惩罚,就可以减少恶意行为的发生。从技术层面来看,计算机取证就显得非常重要。当然,这有一定的技术难度,主要是因为计算机平台种类太多,包括多种计算机操作系统、虚拟操作系统、移动设备操作系统等。
(5)与计算机取证相对应的是数据销毁。数据销毁的目的是销毁那些在密码算法或密码协议实施过程中所产生的临时中间变量,一旦密码算法或密码协议实施完毕,这些中间变量将不再有用。但这些中间变量如果落入攻击者手里,可能为攻击者提供重要的参数,从而增大攻击成功的可能性。所以,这些临时中间变量需要及时安全地从计算机内存和存储单元中删除。
计算机数据销毁技术不可避免地会为计算机犯罪提供证据销毁工具,从而增大计算机取证的难度。如何处理好计算机取证和计算机数据销毁之间的矛盾,是一项具有挑战性的技术难题,也是物联网应用中需要解决的问题。
(6)物联网的主要市场是商业应用。在商业应用中存在大量需要保护的知识产权产品,包括电子产品和软件等。所以,对电子产品的知识产权保护将会提高到一个新的高度,对应的技术要求也是一项新的挑战。
3.应用层的安全防护
基于物联网应用层的安全挑战和安全需求,需要建立以下的安全防护机制。
(1)有效的数据库访问控制和内容筛选机制;
(2)不同场景的隐私信息保护技术;
(3)叛逆追踪和其他信息泄露追踪机;
(4)有效的计算机取证技术;
(5)安全的计算机数据销毁技术;
(6)安全的电子产品和软件的知识产权保护技术。
针对这些安全架构,需要开发相关的密码技术,包括访问控制、匿名签名、匿名认证、密文验证(包括同态加密)、门限密码、叛逆追踪、数字水印和指纹技术等。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。