2.3 物联网安全治理

物联网安全的建立不能再走以往互联网环境下的网络安全的老路,在分析了物联网安全几个比较典型的安全事件后,我们也要将物联网安全的治理理念和方法引入到更为具体的实际应用场景中,智慧城市场景在物联网的应用是一个比较成熟且影响范围较广的一种物联网场景。在这一场景下的物联网安全治理工作将显得更为重要。

2.3.1 智慧城市下的物联网安全治理概述

在网络安全的发展过程中,安全管理的地位和角色一直都是保障网络安全的重要组成部分。通过高效、全面的管理手段也让网络安全的水平得到了明显的提高,网络安全事件的发生率、应急响应处置成功率都大大提高。那么在物联网安全领域,这样的宝贵经验一样不能缺少,在物联网安全领域更需要吸收先前的安全管理经验,弥补以往的不足,补充最新的内容从而提高新兴安全领域的安全管理水平。

在智慧城市物联网安全管理领域,首先需要建立严格的全流程,全生命周期的网络安全管理。城市运营者在推进智慧城市建设中要同步加强网络安全保障工作。智慧城市在建设过程中,不可避免地要兴建重要物联网信息系统。那么这类系统在设计阶段,就要考虑并要合理确定安全保护等级,在系统软件的起步涉及阶段,就要同步设计安全防护方案;完成设计阶段后,紧接着进入该系统的实施阶段,在此阶段要加强对技术、设备和服务提供商的安全审查,同步建设安全防护手段;系统建设完成后,系统平稳运行是每个系统都需要完成的使命。那么在运行阶段,更要加强各方面的安全管理,定期开展检查、等级评测和风险评估工作,认真排查安全风险隐患,增强日常监测和应急响应处置恢复能力。

单个系统的安全建设过程完成后,还需要加强整体智慧城市物联网的要害信息设施和信息资源安全防护。在整体智慧城市中,涉及居民生活的方方面面,这就需要对党政军、金融、能源、交通、电信、公共安全、公用事业等重要信息系统安全可控。完善智慧城市网络安全设施,重点提高态势预警、应急处理和信任服务能力。

在安全管理方面,如何通过物联网监测平台判断城市运转是否在正常范围内?这就需要建立相关的评价体系来实现可视化,从而建立管理评价体系,才能对城市运转有更精确的把握。在智慧城市的安全管理方面也要建立物联网重要信息使用管理和安全评价机制。这方面往往也需要借助国家相关的法律法规及其标准的内容,加强行业和企业自律,切实加强个人信息保护。

安全管理中安全责任的确认和增强安全意识,是安全管理中非常重要的一环。在智慧城市中,也需要建立网络安全责任制,明确智慧城市各部门负责人、要害信息系统运营单位负责人的网络信息安全责任,建立责任追究机制。加大宣传教育力度,提高智慧城市规划、建设、管理、维护等各环节工作人员的网络信息安全风险意识、责任意识、工作技能和管理水平。在较为特殊和专业的领域中,智慧城市各部门也需要建立信息安全认证服务,为保障智慧城市网络信息安全提供支持。

物联网安全当然少不了使用各类安全技术去提高其自身的安全防御能力,在智慧城市领域也一样少不了这类技术的运用。在智慧城市中的物联网安全技术方面主要是针对相关物联网设备厂商提出相关安全建议,从而在源头提高各类设备的安全性。所有物联网设备制造商尤其应该要求以下方面。

● 消除默认用户和口令:这将防止黑客构建弱口令字典,使他们能够像Mirai一样危害大量的设备。

● 强制设备自动升级存在问题的软件版本或固件版本。很多物联网设备部署完毕后对于运营者而言意味着“遗忘”,这使得工程师和服务人员去手动升级或修补漏洞的可能性会非常低。

● 实施限速:强制限制登录速率,防止暴力破解是缓解人们使用弱密码的好方法。另一种选择是使用验证码或双因素登录手段对设备管理进行限制。

● 如果物联网设备遵循基本的最佳安全实践,或其他网络安全相关组织制定的物联网安全标准,则可以避免物联网僵尸网络事件再次上演。

● 运用大数据威胁情报分析手段,从多方面、多角度来了解网络空间的威胁动态,从而快速采取应急措施,在威胁来临之前将问题解决。

2.3.2 物联网安全目标及防护原则

物联网基本安全目标是指在数据或信息在传输、存储、使用过程中实现机密性、完整性、可用性。感知节点通常情况下功能简单(如自动温度计)、携带能量少(使用电池),使得它们无法拥有复杂的安全保护能力,而感知网络多种多样,从温度测量到水文监控,从道路导航到自动控制,它们的数据传输和消息也没有特定的标准,很难提供统一的安全保护体系。物联网安全体系需要从物理安全、安全计算环境、安全区域边界、安全通信网络、安全管理中心及应急响应恢复与处置六方面构建全面的安全体系,满足物联网密钥管理、点到点消息认证、防重放、抗拒绝服务、防篡改或泄漏、业务安全等需求。

防护原则包括坚持综合防范、确保安全的原则:从法律、管理、技术、人员等多个方面,从预防应急和打击犯罪等多个环节采取多种措施。对组织安全、管理安全和技术安全进行综合防范,全面提高物联网的安全防护水平。坚持统筹兼顾、分步实施的原则:统筹信息化发展与信息安全保障,统筹信息安全技术与管理,统筹经济效益与社会效益,统筹当前和长远,统筹中央和地方。坚持制度体系、流程管理与技术手段相结合的原则,保证充足合理的经费投入、高素质安全技术和管理人员,建立完善的技术支持和运行维护组织管理体系,制定完整的运行维护管理制度和明确的维护工作流程。坚持以防为主、注重应急的原则:网络安全系统建设的关键在于如何预防和控制风险,并在发生信息安全事故或事件时最大限度地减少损失,尽快使网络和系统恢复正常。坚持技术与管理相结合原则:安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。

2.3.3 全球物联网安全防御策略

2015年初,美国FTC(Federal Trade Commission,联邦贸易委员会)曾发布了一份有关物联网隐私与安全的报告,旨在为研发物联网相关连接设备的公司提出一系列安全建议,其中包括了如下几个方面。

(1)从一开始就为连接设备安装安全防护系统;

(2)在识别安全风险时,要制定一个“纵深防御”策略,即使用多重防御策略来逐级管控安全威胁;

(3)考虑并采取相关措施,以防止未经授权的用户访问用户的设备、数据或存储在互联网上的个人信息;

(4)对预期生命周期内的连接设备实施监控,并在可行的情况下,提供安全补丁,以覆盖已知的风险。

还有一点特别重要,即增加生产商监控连接设备的责任。但是,监控多少、监控到什么程度依然是不明确的,也并未提出具体实施办法。比照目前的困境来看,这些建议确实都是明智而有效的。从其内容也可以看出,提出者主要谈策略、责任、安全服务。

美国DHS(Department of Homeland Security,国土安全部)对物联网安全主要关注侦测、认证和更新三个领域。DHS在发布的“保障物联网安全的战略原则”中表示,物联网制造商必须在产品设计阶段进行安全风险评估和安全策略接入,否则可能会被起诉。在由网络安全政策与法律联盟(Coalition for Cyber Security Policy and Law)举办的下一任总统网络安全研讨会上,DHS网络政策助理部长罗伯特·西尔维斯(Robert Silvers)提出,前端的安全性提升将有助于防范类似于Mirai僵尸网络的风险,例如使默认密码个性化、更长、更难破解,以及需要在设计阶段构建安全措施、可靠的操作系统升级、促进安全更新和漏洞管理等。

在战略原则中,DHS定义了联邦机构需要执行的如下四项物联网安全事项。

(1)协调其他联邦部门和机构与物联网制造商、网络连接提供商和其他行业利益相关者合作。

(2)在所有利益相关者中强化与物联网有关的风险意识(提供不安全物联网产品的厂商和部署者将承担风险,实质是提高市场门槛)。

(3)识别并推进激励措施,保障物联网设备和网络安全(激励措施)。

(4)为物联网国际标准发展进程做贡献(抢占安全标准制高点)。同时,该原则总结出如下的结论:“由于物联网对关键基础设施、个人隐私和经济的潜在损害,后果不堪设想,美国无法承担不安全物联网设备带来的影响”。

美国商务部国家电信与信息管理局(NTIA)也计划启动一项多方利益协调程序,帮助消费者更好地理解早期物联网产品安全升级的相关问题。由此可见,美国在解决物联网安全问题上持续提出要加强“事前”安全设计与部署的要求,并且对不能达到要求的企业将给出“红牌罚下”。这一做法固然有打压中国产物联网设备的嫌疑,但从整体安全性的角度考虑,依然值得我们借鉴。

2.3.4 我国物联网安全标准

我国在物联网领域的安全标准研究最早始于传感网,在物联网安全领域相关国家标准研究和制定上牵头的主要为工业和信息化部和公安部两大部门,立项的标委会主要包括全国信息安全标准化技术委员会、公安部计算机与信息处理标准化技术委员会等。标准覆盖了物联网安全的通用模型、数据传输、终端安全、网关等方面的内容,总体呈现一种多点开花,但某些方面缺失的局面。具体标准情况如表2.1所示。

其他在传感网、通信网方面也有相应的物联网安全标准,总体来说数量上是具备一定规模了,但从覆盖面上看还未能满足全方位安全保障的要求。例如,在面对海量物联网终端的安全管理方面,我们认为依然需要制定专门的标准规范;在物联网终端设备的安装运维方面,缺少明确的安全责任划分,对企业生产的物联网终端智能设备还需要进行相应的安全评估,以确定其安全风险的大小,从而明确其可以获取更多帮助和支援。

2.3.5 物联网层次结构及安全模型

根据功能的不同,物联网体系结构可分为三层:感知层、网络层以及应用层。安全模型如图2.4所示。

图2.4 物联网安全层次模型

1.感知层安全

感知层是由无线传感器网络构成的封闭系统,通过网关节点完成和外部网络之间的所有通信,因此,其安全结构只需考虑无线传感器网络本身的安全。节点的硬件结构简单,计算和通信能力较弱,因此,不能符合传统意义上保密技术的需求。降低密码协议开销是该层需要解决的重要的安全问题。为了确保感知层内部通信的安全,感知层需要采用合适的密钥管理机制。为安全服务设置统一的标准比较困难,原因在于感知层的传感网类型的多样性,但是认证性和机密性两者缺一不可。机密性要求设定一个临时的会话密钥,而认证性用对称或非对称密码方案来解决。

如果感知节点所获得的信息没有采取安全防护措施,那么很可能这些信息会被第三方非法获取,从而造成很大的危害。考虑到安全防护措施的成本或者使用的便利性等因素,某些感知节点可能会采取很简单的信息安全防护,这样将会导致信息被公开传输。感知层内部节点间通信的密钥是很难掌握的,所以攻击者即便俘获了关键节点也不能对它实际控制。一般说来,感知层的关键节点被非法控制的可能性很小。但是,如果攻击者获得了一个关键节点与其他节点的共享密钥,就可以实际控制该节点,并且获取经由该节点的所有信息。相反,如果攻击者不知道该关键节点的共享密钥,他只能阻止部分信息的发送,而且容易被远程信息处理平台发觉。感知层经常遇到的情况是攻击者控制某些普通节点,与这些普通节点交互的关键节点上的所有信息都被窃取。攻击者的目的除了窃听信息以外还会通过感知节点传送错误的信息。因此,确保感知层的安全必须对恶意节点的行为进行判断并及时地加以阻断。

感知层最终要接入外在网络,所以难免会受到外在网络的攻击,主要是拒绝服务攻击(DOS)。感知节点在传统Internet环境内如果不能正确识别DOS攻击就可能导致网络陷于瘫痪。因此,感知节点必须拥有抵抗DOS攻击的能力。

感知层主要涉及以下安全问题。

(1)传感技术及其联网安全。目前感知层的安全技术主要有:安全架构、安全路由、入侵检测和加密技术。传感器网络的密钥分配主要采用随机预分配的模型。入侵检测主要分为被动监听和主动监测两种类型。

(2)RFID相关安全问题。标签本身的访问缺陷;通信链路的安全;移动RFID的安全。主要存在假冒和非法访问问题。

2.网络层安全

网络层主要负责将感知层获取的信息安全可靠地传送到应用层,主要涉及网络基础设施的管理。由于需要连通的网络架构方式的不同,所以跨网络架构的安全认证会遇到更多的挑战。

网络层安全架构的设计必须考虑高效性、兼容性和特异性。物联网由大量不同架构的网络组成,由于网络的性能各不相同,因此对网络攻击的防御能力也存在巨大差异。另外,出于对安全协议的一致性与兼容性的考虑,必须实现异构网络的平滑过渡。如果网络层不采取网络接入控制就很可能被非法接入,会造成网络层负担加重或者信息传输错误。在网络层,异构网络的信息交换是安全的脆弱点,存在中间人攻击、合谋攻击等安全威胁,因此需要更好的安全措施。网络层安全结构可以具体划分为两个子层,节到节安全子层和端到端安全子层。节到节的机密性由节点间认证以及密钥协商来保证其数据在传输过程中的安全性。而端到端子层的机密性,则必须建立端到端认证机制、端到端密钥协商以及密钥管理等机制。

网络层安全主要有以下特点。

(1)物联网是在传统Internet基础上延伸和扩展的网络,随着应用领域的不同具有不同的网络安全和服务要求,不能简单复制互联网的技术模式。另外,目前的通信网络都是从人通信的角度设计的,不适合机器通信的场合。如果照搬现有的安全机制会破坏物联网机器间的逻辑关系。

(2)网络层将面临现有网络的所有安全问题,因为物联网在感知层采用的数据格式的多样性,从感知层接收的数据是海量的并且是多源异构数据,与之而来的安全问题将更为复杂。

(3)物联网需要严密的安全性和可控性,其绝大多数应用都与个人隐私或者企业内部秘密有关,所以必须提供严密的安全性和可控性,必须具备保护用户隐私、对抗网络攻击的能力。

网络层主要涉及以下安全问题。

(1)物联网终端自身安全物联网终端业务的日益智能化使得物联网的应用更加丰富,但与此同时终端更容易受到木马、病毒的感染或者其他来自网络的威胁。如果攻击者入侵成功,通过网络传播就变得十分容易。这些木马、病毒在物联网内更易传播而且不容易被发现,会带来更大的破坏性,比起单一的通信网络而言更难防范。

(2)承载网络信息传输安全随着不断加速的网络融合以及越来越复杂的网络结构,物联网的承载网络作为一个多网络叠加的开放性网络,基于无线和有线链路进行数据传输的物联网面临的威胁更大。如果攻击者随意窃取、篡改链路上的数据,伪装成网络实体截取数据或者对网络流量进行分析,对于网络安全的数据传输造成的破坏是巨大的。

3.应用层安全

物联网应用直接面向用户,与普通大众的紧密程度更高,涉及的领域和行业较多。由于数据信息处理过于庞大,其在可靠性和安全性方面面临严峻的挑战,突出体现在业务控制和管理、中间件以及隐私保护等方面。

对于物联网来说,业务控制和管理是指对其设备进行远程签约,实现业务信息的配置。这并不是很容易解决的问题,因为传感器节点通常是先部署然后再连接至网络的,经常无人看守。另外,物联网需要建立一个强大而统一的安全管理平台,但由于此安全管理平台需要很高的权限来对所有的联网设备进行统筹控制,如果安全管理平台本身存在安全漏洞,那么就会引发新的安全问题。

物联网和人体有相似之处,感知层就像是人的四肢,传输层像是人的身体和脏腑,应用层就好像是人的大脑,那么中间件系统就是物联网的灵魂和枢纽,所以中间件在物联网中发挥的作用极为重要。

不同于感知层和应用层,应用层的隐私保护是必须考虑的一个问题。随着个人和商业信息的网络化,被认为是用户隐私的信息越来越多。设计不同等级的隐私保护将会成为物联网安全的热门研究。当前隐私保护方法分为两个发展方向:对等计算,通过直接交换和共享计算机相关的服务和资源来实现;语义Web,通过规范定义和组织信息,使其具有语义信息,可以被计算机理解,达到与人相互沟通和交流的目的。

应用层面临的安全问题主要包括中间件层和应用服务层两个方面,中间件层的主要特征是智能,采用自动处理技术,目的是使处理过程更为方便迅速。自动处理过程对于恶意数据的判断能力是有限的,并且智能局限于按照一定规则进行判断和过滤。因此中间件层的安全问题体现在以下方面。

(1)垃圾信息、恶意信息等干扰:中间件层接收信息时,需要判断信息是否有用。来自网络的信息中有些是一般性数据,其他的可能是操作指令,这些指令中可能包含各种原因造成的错误指令,甚至是攻击者的恶意指令。

(2)海量数据的识别和处理:在物联网时代,待处理的信息是海量的,处理的平台是分布式的。如果一个处理平台处理不同性质的数据时,就需要其他的处理平台协同处理。如何有效处理海量数据是物联网面对的重大挑战。

(3)攻击者利用智能处理过程躲避过滤:智能处理与人类的智力相比还是有本质区别的,智能处理的存在可能让攻击者躲过智能处理过程,进而达到攻击的目的。因此,物联网的中间件层必须具备高智能的处理机制。

应用服务层涉及的是具体应用业务,其所包含的某些安全问题通过传输层和感知层的安全防护可能无法解决,是应用服务层的特殊安全问题。主要有以下几个方面。

(1)访问同一数据库的内容筛选决策:根据不同的应用需求,物联网会对共享数据分配不同的访问权限,权限不同,访问同一数据会得到不一样的结果。例如,交通监控视频数据在不同的场合可以设置不同的分辨率,在用于城市规划时只需很低即可,而在交通管制时就需要清晰一些,用于公安侦查时则需要更为清晰的画面,要求可以准确识别汽车的牌照。

(2)信息泄漏追踪:很多情况下,某些组织或个人需要获取物联网设备的信息,如何确保访问权限控制,以及获取信息的人员不会泄漏关键信息,是亟需解决的问题。

(3)计算机取证分析:无论采取什么技术都很难避免恶意行为的发生。对恶意行为给予相应的惩罚可以减少此类行为的发生。从技术上来讲,需要得到相关证据,这就使得计算机取证显得十分重要。

(4)剩余信息保护:与上述计算机取证相对的是数据销毁,其目的是销毁在密码算法过程中产生的临时中间变量,算法或协议实施完成后,这些中间变量就没用了。如果这些变量落入攻击者手中,会为攻击者提供重要的参数,增加了成功攻击的可能。

2.3.6 物联网安全关键技术

作为一种多网络融合的网络,物联网安全涉及各个网络的不同层次,在这些独立的网络中已实际应用了多种安全技术,特别是移动通信网和互联网的安全研究已经历了较长的时间,但对物联网中的传感网来说,由于资源的局限性,使安全研究的难度较大,因此本章节主要针对传感网中的安全问题进行讨论。

1.密钥管理机制

密钥系统是安全的基础,是实现感知信息隐私保护的手段之一。与无线传感器网络和感知节点计算资源的限制相比,互联网不存在计算资源的限制,非对称和对称密钥系统都可以适用,互联网面临的安全主要是来源于其最初的开放式管理运营模式的设计,导致缺乏合理的授权管理和安全部署。移动通信网是一种相对集中式管理的网络,而无线传感器网络和感知节点由于计算资源的限制,对密钥系统提出了更多的要求,因此,物联网密钥管理系统面临两个主要问题:一是如何构建一个贯穿多个网络的统一密钥管理系统,并与物联网的体系结构相适应;二是如何解决传感网的密钥管理问题,如密钥的分配、更新、组播等问题。

实现统一的密钥管理系统可以采用两种方式:一是以互联网为中心的集中式管理方式。由互联网的密钥分配中心负责整个物联网的密钥管理,一旦传感器网络接入互联网,通过密钥中心与传感器网络汇聚点进行交互,实现对网络中节点的密钥管理;二是以各自网络为中心的分布式管理方式。在此模式下,互联网和移动通信网比较容易解决,但在传感网环境中对汇聚点的要求比较高,尽管可以在传感网中采用簇头选择方法,推选簇头,形成层次式网络结构,每个节点与相应的簇头通信,簇头间以及簇头与汇聚节点之间进行密钥的协商,但对多跳通信的边缘节点,以及由于簇头选择算法和簇头本身的能量消耗,使传感网的密钥管理成为解决问题的关键。

无线传感器网络的密钥管理系统的设计在很大程度上受到其自身特征的限制,因此在设计需求上与有线网络和传统的资源不受限制的无线网络有所不同,特别要充分考虑到无线传感器网络传感节点的限制和网络组网与路由的特征。它的安全需求主要体现在以下方面。

(1)密钥生成或更新算法的安全性:利用该算法生成的密钥应具备一定的安全强度,不能被网络攻击者轻易破解或者花很小的代价破解。也即是加密后保障数据包的机密性。

(2)前向私密性:对中途退出传感器网络或者被俘获的恶意节点,在周期性的密钥更新或者撤销后无法再利用先前所获知的密钥信息生成合法的密钥继续参与网络通信,即无法参加与报文解密或者生成有效的可认证的报文。

(3)后向私密性和可扩展性:新加入传感器网络的合法节点可利用新分发或者周期性更新的密钥参与网络的正常通信,即进行报文的加解密和认证行为等。而且能够保障网络是可扩展的,即允许大量新节点的加入。

(4)抗同谋攻击:在传感器网络中,若干节点被俘获后,其所掌握的密钥信息可能会造成网络局部范围的泄密,但不应对整个网络的运行造成破坏性或损毁性的后果即密钥系统要具有抗同谋攻击。

(5)源端认证性和新鲜性:源端认证要求发送方身份的可认证性和消息的可认证性,即任何一个网络数据包都能通过认证和追踪寻找到其发送源,且是不可否认的。新鲜性则保证合法的节点在一定的延迟许可内能收到所需要的信息。新鲜性除了和密钥管理方案紧密相关外,与传感器网络的时间同步技术和路由算法也有很大的关联。

根据这些要求,在密钥管理系统的实现方法中,业界提出了基于对称密钥系统的方法和基于非对称密钥系统的方法。在基于对称密钥的管理系统方面,从分配方式上也可分为以下三类:基于密钥分配中心方式、预分配方式和基于分组分簇方式。典型的解决方法有SPINS协议、基于密钥池预分配方式的E-G方法和q-Composite方法、单密钥空间随机密钥预分配方法、多密钥空间随机密钥预分配方法、对称多项式随机密钥预分配方法、基于地理信息或部署信息的随机密钥预分配方法、低能耗的密钥管理方法等。与非对称密钥系统相比,对称密钥系统在计算复杂度方面具有优势,但在密钥管理和安全性方面却有不足。例如邻居节点间的认证难于实现,节点的加入和退出不够灵活等。特别是在物联网环境下,如何实现与其他网络的密钥管理系统的融合是值得探讨的问题。为此,人们将非对称密钥系统也应用于无线传感器网络,TinyPK在使用TinyOS开发环境的MICA2节点上,采用RSA算法实现了传感器网络外部节点的认证以及TinySec密钥的分发。在MICA2节点上基于椭圆曲线密码ECC(ellipse curve cryptography)实现了TinyOS的TinySec密钥的分发,对基于轻量级ECC的密钥管理提出了改进的方案,特别是基于圆曲线密码体制作为公钥密码系统之一,在无线传感器网络密钥管理的研究中受到了极大的重视,具有一定的理论研究价值与应用前景。

近几年作为非对称密钥系统的基于身份标识的加密算法(identity-based encryption, IBE)引起了人们的关注。该算法的主要思想是加密的公钥不需要从公钥证书中获得,而是直接使用标识用户身份的字符串。最初提出这种基于身份标识加密算法的动机是为了简化电子邮件系统中证书的管理。当Alice给Bob发送邮件时,她仅仅需要使用Bob的邮箱bob@company.tom作为公钥来加密邮件,从而省略了获取Bob公钥证书这一步骤。当Bob接收到加密后的邮件时,联系私钥生成中心,同时向PKG验证自己的身份,然后就能够得到私钥,从而解密邮件。

基于身份标识加密算法具有一些特征和优势,主要体现在以下方面。

(1)它的公钥可以是任何唯一的字符串,如E-mail、身份证或者其他标识,不需要PKI系统的证书发放,使用起来简单。

(2)由于公钥是身份等标识,所以,基于身份标识的加密算法解决了密钥分配的问题。

(3)基于身份标识的加密算法具有比对称加密算法更高的加密强度。在同等安全级别条件下,比其他公钥加密算法有更小的参数,因而具有更快的计算速度和更小的存储空间。

2.数据处理与隐私性

物联网的数据要经过信息感知、获取、汇聚、融合、传输、存储、挖掘、决策和控制等处理流程,而末端的感知网络几乎要涉及上述信息处理的全过程,只是由于传感节点与汇聚点的资源限制,在信息的挖掘和决策方面不占据主要的位置。物联网应用不仅面临信息采集的安全性,也要考虑到信息传送的私密性,要求信息不能被篡改和非授权用户使用,同时,还要考虑到网络的可靠、可信和安全。物联网能否大规模推广应用,很大程度上取决于其是否能够保障用户数据和隐私的安全。

就传感网而言,在信息的感知采集阶段就要进行相关的安全处理,如对RFID采集的信息进行轻量级的加密处理后,再传送到汇聚节点。这里要关注的是对光学标签的信息采集处理与安全,作为感知端的物体身份标识,光学标签显示了独特的优势,而虚拟光学的加密解密技术为基于光学标签的身份标识提供了手段,基于软件的虚拟光学密码系统由于可以在光波的多个维度进行信息的加密处理,具有比一般传统的对称加密系统有更高的安全性,数学模型的建立和软件技术的发展极大地推动了该领域的研究和应用推广。

数据处理过程中涉及基于位置的服务与在信息处理过程中的隐私保护问题。基于位置的服务是物联网提供的基本功能,是定位、电子地图、基于位置的数据挖掘和发现、自适应表达等技术的融合。定位技术目前主要有GPS定位、基于手机的定位、无线传感网定位等。无线传感网的定位主要是射频识别、蓝牙及ZigBee等。基于位置的服务面临严峻的隐私保护问题,这既是安全问题,也是法律问题。欧洲通过了《隐私与电子通信法》,对隐私保护问题给出了明确的法律规定。

基于位置服务中的隐私内容涉及两个方面,一是位置隐私,二是查询隐私。位置隐私中的位置指用户过去或现在的位置,而查询隐私指敏感信息的查询与挖掘,如某用户经常查询某区域的餐馆或医院,可以分析该用户的居住位置、收入状况、生活行为、健康状况等敏感信息,造成个人隐私信息的泄漏,查询隐私就是数据处理过程中的隐私保护问题。所以,我们面临一个困难的选择,一方面希望提供尽可能精确的位置服务,另一方面又希望个人的隐私得到保护。这就需要在技术上给以保证。目前的隐私保护方法主要有位置伪装、时空匿名、空间加密等。

3.安全路由协议

物联网的路由要跨越多类网络,有基于IP地址的互联网络由协议、有基于标识的移动通信网和传感网的路由算法,因此我们要至少解决两个问题,一是多网融合的路由问题;二是传感网的路由问题。前者可以考虑将身份标识映射成类似的IP地址,实现基于地址的统一路由体系;后者是由于传感网的计算资源的局限性和易受到攻击的特点,要设计抗攻击的安全路由算法。

目前,国内外学者提出了多种无线传感器网络路由协议,这些路由协议最初的设计目标通常是以最小的通信、计算、存储开销完成节点间的数据传输,但是这些路由协议大都没有考虑到安全问题。实际上由于无线传感器节点电量有限、计算能力有限、存储容量有限以及部署野外等特点,使得它极易受到各类攻击。

无线传感器网络路由协议常受到的攻击主要有以下几类:虚假路由信息攻击、选择性转发攻击、污水池攻击、女巫攻击、虫洞攻击、Hello洪泛攻击、确认攻击等。针对无线传感器网络中数据传送的特点,目前已提出许多较为有效的路由技术。按路由算法的实现方法划分,有洪泛式路由,如Gossiping等;以数据为中心的路由,如LEACH(low energy adaptive clustering hierarchy)、TEEN(threshold sensitive energy efficient sensor network protocol)等;基于位置信息的路由,如GPSR(greedy perimeter stateless routing)、GEAR(geographical and energy aware routing)等。

4.认证与访问控制

认证指使用者采用某种方式来“证明”自己确实是自己宣称的某人,网络中的认证主要包括身份认证和消息认证。身份认证可以使通信双方确信对方的身份并交换会话密钥。保密性和及时性是认证的密钥交换中两个重要的问题。为了防止假冒和会话密钥的泄密,用户标识和会话密钥这样的重要信息必须以密文的形式传送,这就需要事先已有能用于这一目的的主密钥或公钥。因为可能存在消息重放,所以及时性非常重要,在最坏的情况下,攻击者可以利用重放攻击威胁会话密钥或者成功假冒另一方。

消息认证中心主要是接收方希望能够保证其接收的消息确实来自真正的发送方。有时收发双方不同时在线,例如在电子邮件系统中,电子邮件消息发送到接收方的电子邮箱中,并一直存放在邮箱中直至接收方读取为止。广播认证是一种特殊的消息认证形式,在广播认证中一方广播的消息被多方认证。

传统的认证是区分不同层次的,网络层的认证就负责网络层的身份鉴别,业务层的认证就负责业务层的身份鉴别,两者独立存在。但是在物联网中,业务应用与网络通信紧紧地绑在一起,认证有其特殊性。例如,当物联网的业务由运营商提供时,那么就可以充分利用网络层认证的结果而不需要进行业务层的认证;或者当业务是敏感业务如金融类业务时,一般业务提供者会不信任网络层的安全级别,而使用更高级别的安全保护,那么这个时候就需要做业务层的认证;而当业务是普通业务时,如气温采集业务等,业务提供者认为网络认证已经足够,那么就不再需要业务层的认证。

在物联网的认证过程中,传感网的认证机制是重要的研究部分,无线传感器网络中的认证技术主要包括基于轻量级公钥的认证技术、预共享密钥的认证技术、随机密钥预分布的认证技术、利用辅助信息的认证、基于单向散列函数的认证等。

(1)基于轻量级公钥算法的认证技术。鉴于经典的公钥算法需要高计算量,在资源有限的无线传感器网络中不具有可操作性,当前有一些研究正致力于对公钥算法进行优化设计使其能适应于无线传感器网络,但在能耗和资源方面还存在很大的改进空间,如基于RSA公钥算法的TinyPK认证方案,以及基于身份标识的认证算法等。

(2)基于预共享密钥的认证技术。该类方案中提出两种配置方法:一是节点之间的共享密钥,二是每个节点和基站之间的共享密钥。这类方案每对节点之间共享一个主密钥,可以在任何一对节点之间建立安全通信。缺点表现为扩展性和抗捕获能力较差,任意一节点被俘获后就会暴露密钥信息,进而导致全网络瘫痪。

(3)基于单向散列函数的认证方法。该类方法主要用在广播认证中,由单向散列函数生成一个密钥链,利用单向散列函数的不可逆性,保证密钥不可预测。通过某种方式依次公布密钥链中的密钥,可以对消息进行认证。

访问控制是对用户合法使用资源的认证和控制,目前信息系统的访问控制主要是基于角色的访问控制机制(role-based access control, RBAC)及其扩展模型。RBAC机制是一个用户先由系统分配一个角色,如管理员、普通用户等,登录系统后,根据用户的角色所设置的访问策略实现对资源的访问,显然,同样的角色可以访问同样的资源。RBAC机制是基于互联网的OA系统、银行系统、网上商店等系统的访问控制方法,是基于用户的。对物联网而言,末端是感知网络,可能是一个感知节点或一个物体,采用用户角色的形式进行资源的控制显得不够灵活,一是本身基于角色的访问控制在分布式的网络环境中已呈现出不相适应的地方,如对具有时间约束资源的访问控制,访问控制的多层次适应性等方面需要进一步探讨;二是节点不是用户,是各类传感器或其他设备,且种类繁多,基于角色的访问控制机制中角色类型无法一一对应这些节点,因此,使RBAC机制的难于实现;三是物联网表现的是信息的感知互动过程,包含了信息的处理、决策和控制等过程,特别是反向控制是物物互连的特征之一,资源的访问呈现动态性和多层次性,而RBAC机制中一旦用户被指定为某种角色,他的可访问资源就相对固定了。所以,寻求新的访问控制机制是物联网、也是互联网值得研究的问题。

基于属性的访问控制(attribute-based access control, ABAC)是近几年研究的热点,如果将角色映射成用户的属性,可以构成ABAC与RBAC的对等关系,而属性的增加相对简单,同时基于属性的加密算法可以使ABAC得以实现。ABAC方法的问题是对较少的属性来说,加密解密的效率较高,但随着属性数量的增加,加密的密文长度增加,使算法的实用性受到限制,目前有两个发展方向:基于密钥策略和基于密文策略,其目标就是改善基于属性的加密算法的性能。

5.入侵检测与容侵容错技术

容侵就是指在网络中存在恶意入侵的情况下,网络仍然能够正常运行。无线传感器网络的安全隐患在于网络部署区域的开放特性以及无线电网络的广播特性,攻击者往往利用这两个特性,通过阻碍网络中节点的正常工作,进而破坏整个传感器网络的运行,降低网络的可用性。无人值守的恶劣环境导致无线传感器网络缺少传统网络中的物理上的安全,传感器节点很容易被攻击者俘获、毁坏或妥协。现阶段无线传感器网络的容侵技术主要集中于网络的拓扑容侵、安全路由容侵以及数据传输过程中的容侵机制。无线传感器网络协议栈如图2.5所示。

图2.5 无线传感器网络协议栈

无线传感器网络可用性的另一个要求是网络的容错性。一般意义上的容错性是指在故障存在的情况下系统不失效、仍然能够正常工作的特性。无线传感器网络的容错性指的是当部分节点或链路失效后,网络能够进行传输数据的恢复或者网络结构自愈,从而尽可能减小节点或链路失效对无线传感器网络功能的影响。由于传感器节点在能量、存储空间、计算能力和通信带宽等诸多方面都受限,而且通常工作在恶劣的环境中,网络中的传感器节点经常会出现失效的状况。因此,容错性成为无线传感器网络中一个重要的设计因素,容错技术也是无线传感器网络研究的一个重要领域。目前相关领域的研究主要集中在以下方面。

(1)网络拓扑中的容错。通过对无线传感器网络设计合理的拓扑结构,保证网络出现断裂的情况下,能正常进行通信。

(2)网络覆盖中的容错。无线传感器网络的部署阶段,主要研究在部分节点、链路失效的情况下,如何事先部署或事后移动、补充传感器节点,从而保证对监测区域的覆盖和保持网络节点之间的连通。

(3)数据检测中的容错机制。主要研究在恶劣的网络环境中,当一些特定事件发生时,处于事件发生区域的节点如何能够正确获取到数据。

无线传感器网络中的容侵框架包括以下三个部分。

(1)判定恶意节点:主要任务是要找出网络中攻击节点和被妥协的节点,妥协的原因可能是运行了恶意代码或被攻击者截取等。基站随机发送一个通过公钥加密的报文给节点,为了回应这个报文,节点必须能够利用其私钥对报文进行解密并回送给基站,如果基站长时间接收不到节点的回应报文,则认为该节点可能遭受到入侵。另一种判定机制是利用邻居节点的签名。如果节点发送数据包给基站,需要获得一定数量的邻居节点对该数据包的签名。当数据包和签名到达基站后,基站通过验证签名的合法性来判定数据包的合法性,从而成功判定节点为恶意节点的可能性。

(2)发现恶意节点后启动容侵机制:当基站发现网络中可能存在的恶意节点后,则发送一个信息包告知恶意节点周围的邻居节点可能的入侵情况。因为还不能确定节点是恶意节点,邻居节点只是将该节点的状态修改为容侵,即节点仍然能够在邻居节点的控制下进行数据的转发。

(3)通过节点之间的协作,对恶意节点做出处理决定(排除或是恢复):一定数量的邻居节点产生编造的报警报文,并对报警报文进行正确的签名,然后将报警报文转发给恶意节点。邻居节点监测恶意节点对报警报文的处理情况。正常节点在接收到报警报文后,会产生正确的签名,而恶意节点则可能产生无效的签名。邻居节点根据接收到的恶意节点的无效签名的数量来确定节点是恶意节点的可能性。根据无线传感器网络中不同的入侵情况,可以设计出不同的容侵机制,如无线传感器网络中的拓扑容侵、路由容侵和数据传输容侵等机制。

6.决策与控制安全

物联网的数据是一个双向流动的信息流,一是从感知端采集物理世界的各种信息,经过数据的处理,存储在网络的数据库中;二是根据用户的需求,进行数据的挖掘、决策和控制,实现与物理世界中任何互连物体的互动。在数据采集处理中,我们讨论了相关的隐私性等安全问题,而决策控制又将涉及另一个安全问题,如可靠性等。前面讨论的认证和访问控制机制可以对用户进行认证,使合法的用户才能使用相关的数据,并对系统进行控制操作。但问题是如何保证决策和控制的正确性与可靠性。

在传统的无线传感器网络中,由于侧重对感知端的信息获取,对决策控制的安全考虑不多,互联网的应用也是侧重与信息的获取与挖掘,较少应用对第三方的控制。而物联网中对物体的控制将是重要的组成部分,需要进一步更深入的研究。

物联网的安全和隐私保护是物联网服务能否大规模应用的关键,物联网的多源异构性使其安全面临巨大的挑战,就单一网络而言,互联网、移动通信网等已建立了一系列行之有效的机制和方法,为我们的日常生活和工作提供了丰富的信息资源,改变了人们的生活和工作方式。相对而言,传感网的安全研究仍处于初始阶段,还没有提供一个完整的解决方案,由于传感网的资源局限性,使其安全问题的研究难度增大,因此,传感网的安全研究将是物联网安全的重要组成部分。同时如何建立有效的多网融合的安全架构,建立一个跨越多网的统一安全模型,形成有效的共同协调防御系统也是重要的研究方向之一。目前就密钥管理、安全路由、认证与访问控制、数据隐私保护、入侵检测与容错容侵,以及安全决策与控制等方面进行了相关研究,密钥管理作为多个安全机制的基础一直是研究的热点,但并没有找到理想的解决方案,要么寻求更轻量级的加密算法,要么提高传感器节点的性能,目前的方法距实际应用还有一定的距离,特别是至今为止,真正的大规模的无线传感器网络的实际应用仍然太少,多跳自组织网络无线多跳自组织网络:由一组带有无线收发装置的通信终端组成的一个多跳临时自治系统,终端不仅具有收发信号的功能,还具有路由和报文转发功能,可以通过无线连接构成任意的网络拓扑结构。[1]环境下的大规模数据处理(如路由和数据融合)使很多理论上的小规模仿真失去意义,而在这种环境下的安全问题才是传感网安全的难点所在。

2.3.7 物联网的安全体系设计

通过网络层次和物联网生命周期两个角度,设计物联网安全体系方案。重点根据物联网的生命周期来展示安全体系的产品部署策略。

1.物联网网络层次模型

物联网连接和处理的对象主要是机器或物以及相关的数据,因此物联网信息安全要求比以处理“文本”为主的互联网要高。因此提出一种物联网信息安全整体防护的实现技术体系,该体系从物联网物理安全、安全计算环境、安全区域边界、安全通信网络及应急响应恢复与处置六方面对物联网进行防护。

物理安全主要包括物理访问控制、环境安全(监控、报警系统、防雷、防火、防水、防潮、静电消除器等装置)、电磁兼容性安全、记录介质安全、电源安全、设备安全六个方面。

安全计算环境主要包括感知节点身份鉴别、自主/强制/角色访问控制、授杈管理(PKI/PMI系统)、感知节点安全防护(恶意节点、节点失效识别)、标签数据源可信、数据保密性和完整性、业务认证、系统安全审计。

安全区域边界主要包括节点控制(网络访问控制、节点设备认证)、信息安全交换(数据机密性与完整性、指令数据与内容数据分离、数据单向传输)、节点完整性(防护非法外联、入侵行为、恶意代码防范)、边界审计。

安全通信网络主要包括链路安全(物理专用或逻辑隔离)、传输安全(加密控制、消息摘要或数字签名)。安全管理中心主要包括业务与系统管理(业务准入接入与控制、用户管理、资源配置、网络服务管理)、安全检测系统(入侵检测、违规检查、数字取证)、安全管理(策略管理、审计管理、授权管理、异常与报警管理)。

应急响应恢复与处置主要包括容灾备份、故障恢复、安全事件处理与分析、应急机制。

2.物联网生命周期模型

物联网设备的生命周期包含设备原型设计、设备开发、设备测试、设备发布、线上设备以及报废终端。针对完整的生命周期的安全部署如图2.6所示。

图2.6 物联网生命周期安全部署

设备原型设计阶段需要遵循物联网安全开发规范等安全标准(详见2.3.4节),并对产品进行业务逻辑安全性评估,检测从产品设计上是否存在水平权限问题、认证绕过问题、信息批量爬取问题、缺少安全防护措施部署计划等。

设备开发阶段一方面可以直接增加安全模块,例如,安全加密芯片、病毒扫描插件、安全监控日志插件等;另一方面物联网云平台可以预先做安全渗透测试,检测是否存在安全漏洞以及抵御攻击的能力;部署高级持续性威胁预警设备(APT, Advanced Persistent Threat);部署Web应用防火墙设备(WAF, Web Application Firewall),实现访问控制、实时恶意行为检测、异常协议检测、异常输入验证、状态管理等安全防护;部署日志审计预警系统,通过实时分析云端日志数据检测异常时间/地点访问、异常流量、信息爬取、暴力破解等攻击,并实时预警;云端部署防爬安全策略;关键操作需进行二次认证,除了全栈HTTPS的部署,对重点敏感数据执行非对称/对称加密后再传输;威胁狩猎部署,即采用设备扫描和人工分析的方法,针对易发生威胁的网络和数据进行主动的和反复的搜索,主动发现攻击和入侵事件,从而有效实现威胁防御;部署拟态安全网关,从主动性、变化性、随机性、伪装性中来更加有效地进行主被动融合防御。云端具体的安全部署框架,如图2.7所示。

图2.7 安全部署框架图

设备测试阶段可以在代码发布平台上部署白盒固件扫描的持续集成扫描器,只要开发变更代码提交,即并行执行一次白盒扫描。开发完成后再模拟攻击者进行黑盒安全渗透测试服务。针对白盒扫描和渗透测试的问题形成成熟稳定的加固方案。

设备待发布阶段自动化扫描已知漏洞,并自动化扫描需要关闭的权限和端口,例如开放给测试的权限需关闭。

针对线上设备可以提供人工渗透测试服务,以及安全培训,培训内容包括物联网安全意识培训、物联网安全防护知识培训以及物联网应急响应培训。此外可以在物联网设备与云端、设备与设备沟通链路上的节点处,部署蜜罐检测逻辑,从而提供实时的用户攻击检测预警,并为以后的调查取证提供污点分析的数据,且可以通过异常流量监测提供僵尸网络攻击预警。此外针对全网部署动态感知预警系统,检测互联网中所有联网设备,一旦爆发安全事件可以快速定位整体威胁分布(如图2.8所示);可以对全网设备进行实时的漏洞预警服务,并针对性地提供成熟加固方案;由于可以实时监控全网设备,因此可以有效监测预警大型僵尸网络攻击的风险。

图2.8 弱密码漏洞检测

针对报废设备实现集成远程擦除服务,并确保无法通过信息恢复软件,恢复被擦除的信息;增加类似心跳机制的检测预警,若出现报废终端,实时在设备控制平台预警;对于极为敏感的设备增加远程销毁机制。

综上所述,物联网安全体系设计结合了物联网的产品生命周期以及网络层次,来部署安全检测、威胁预警和安全加固,从而实现全面防护和实时预警。