物聯網安全的第一道關—感知層安全
物聯網安全技術是一個有機的整體,其各部分的安全技術是互相聯系、共同作用于系統的。感知層安全是物聯網中最具特色的部分。與此同時,感知層是物聯網的信息源,也是物聯網各種拓展應用的基礎,感知層的安全是整個物聯網安全的首要問題。
感知節點數量龐大,直接面向世間萬“物”。物聯網相較于傳統通信網絡,其感知節點大多部署在無人監控的環境中,其節點呈現出多源異構性,又因為各個節點所持有的能量及智能化程度有限,所以無法獲得復雜的安全保護能力。
感知層安全技術的最大特點是“輕量級”,不管是密碼算法還是各種協議,都要求不能復雜。“輕量級”安全技術的結果是感知層安全的等級比網絡層和應用層要“弱”,因而在應用時,需要在網絡層和感知層之間部署安全匯聚設備。安全匯聚設備將信息進行安全增強之后,再與網絡層交換,以彌補感知層安全能力不足這一安全短板。
物聯網感知層的安全威脅
物聯網感知層的任務是感知外界信息,完成物理世界的信息采集、捕獲和識別。感知層的主要設備包括:RFID閱讀器、各類傳感器(如溫度、濕度、紅外、超聲、速度等)、圖像捕捉裝置(攝像頭)、全球定位系統裝置、激光掃描儀等。
這些設備收集的信息通常具有明確的應用目的,例如:公路攝像頭捕捉的圖像信息直接用于交通監控;使用手機攝像頭可以和朋友聊天以及與他人在網絡上面對面交流;使用導航儀可以輕松了解當前位置以及前往目的地的路線;使用RFID技術的汽車無匙系統,可以自由開關車門。
各種感知系統在給人們的生活帶來便利的同時,也存在各種安全和隱私問題。例如,使用攝像頭進行視頻對話或監控,在給人們生活提供方便的同時,也會被具有惡意企圖的人利用,從而監控個人的生活,竊取個人的隱私。近年來,黑客通過控制網絡攝像頭竊取并泄露用戶隱私的事件偶有發生。
根據物聯網感知層的功能和應用特征,可以將物聯網感知層面臨的安全威脅概括如下:
(1) 物理捕獲
感知設備存在于戶外,且被分散安裝,因此容易遭到物理攻擊,其信息易被篡改,進而導致安全性丟失。
RFID標簽、二維碼等的嵌入,使接入物聯網的用戶不受控制地被掃描、追蹤和定位,這極大可能會造成用戶的隱私信息泄露。RFID技術是一種非接觸式自動識別技術,它通過無線射頻信號自動識別目標對象并獲取相關數據,識別工作無須人工干預。
由于RFID標簽設計和應用的目標是降低成本和提高效率,大多采用“系統開放”的設計思想,安全措施不強,因此惡意用戶(授權或未授權的)可以通過合法的閱讀器讀取RFID標簽的數據,進而導致RFID標簽的數據在被獲取和傳輸的過程中面臨嚴重的安全威脅。另外,RFID標簽的可重寫性使標簽中數據的安全性、有效性和完整性也可能得不到保證。
(2) 拒絕服務
物聯網節點為節省自身能量或防止被木馬控制而拒絕提供轉發數據包的服務,造成網絡性能大幅下降。
感知層接入外在網絡(如互聯網等),難免會受到外在網絡的攻擊。目前,最主要的攻擊除非法訪問外,主要是拒絕服務攻擊。感知節點由于資源受限,計算和通信能力較低,因此對抗拒絕服務的能力比較弱,可能會造成感知網絡癱瘓。
(3) 木馬病毒
由于安全防護措施的成本、使用便利性等因素的存在,某些感知節點可能不會采取安全防護措施或者很簡單的信息安全防護措施,這可能會導致假冒和非授權服務訪問問題產生。
例如,物聯網感知節點的操作系統或者應用軟件過時,系統漏洞無法及時修復,物體標識、識別、認證和控制就易出現問題。
(4) 數據泄露
物聯網通過大量感知設備收集的數據種類繁多、內容豐富,如果保護不當,將存在隱私泄露、數據冒用或被盜取問題。
如果感知節點所感知的信息不采取安全防護措施或者安全防護的強度不夠,則這些信息可能會被第三方非法獲取。這種信息泄露在某些時候可能會造成很大的危害。
物聯網感知層的安全機制
針對物聯網感知層面臨的安全威脅,目前采用的物聯網安全保護機制主要有以下五種:
- 物理安全機制:常用的RFID標簽具有價格低、安全性差等特點。這種安全機制主要通過犧牲部分標簽的功能來實現安全控制。
- 認證授權機制:主要用于證實身份的合法性,以及被交換數據的有效性和真實性。主要包括內部節點間的認證授權管理和節點對用戶的認證授權管理。在感知層,RFID標簽需要通過認證授權機制實現身份認證。
- 訪問控制機制:保護體現在用戶對于節點自身信息的訪問控制和對節點所采集數據信息的訪問控制,以防止未授權的用戶對感知層進行訪問。常見的訪問控制機制包括強制訪問控制、自主訪問控制、基于角色的訪問控制和基于屬性的訪問控制。
- 加密機制和密鑰管理:這是所有安全機制的基礎,是實現感知信息隱私保護的重要手段之一。密鑰管理需要實現密鑰的生成、分配以及更新和傳播。RFID標簽身份認證機制的成功運行需要加密機制來保證。
- 安全路由機制:保證當網絡受到攻擊時,仍能正確地進行路由發現、構建,主要包括數據保密和鑒別機制、數據完整性和新鮮性校驗機制、設備和身份鑒別機制以及路由消息廣播鑒別機制。
