一、物联网的安全问题
物联网的安全问题是多方面的,包括传统的网络安全问题、计算系统的安全问题和物联网感知过程中的特殊安全问题等。下面简要介绍物联网系统中一些特殊的安全问题。
(1)物联网标签扫描引起信息泄露
由于物联网的运行靠的是标签扫描,而物联网设备的标签中包含着有关身份验证的相关信息和密钥等非常重要的信息,在扫描过程中标签能够自动回应阅读器,但是查询的结果不会告知所有者。这样,物联网标签扫描时可以向附近的阅读器发布信息,并且射频信号不受建筑物和金属物体阻碍,一些与物品连在一起的标签内的私密信息就有可能被泄露。在标签扫描时发生的个人隐私泄露可能会对个人造成伤害,严重的甚至会危害社会的稳定和国家的安全。
(2)物联网射频标签受到恶意攻击
物联网能够得到广泛的应用在于其大部分应用不用依靠人来完成,这样不仅节省人力,还能提高效率。但是,这种无人化的操作给恶意攻击者提供了机会。恶意攻击者很可能会对射频扫描设备进行破坏,甚至可能在实验室里获取射频信号,对标签进行篡改、伪造等,这些都会威胁到物联网的安全。
(3)标签用户可能被定位跟踪
射频识别标签只能对符合工作频率的信号予以回应,但是不能区分非法与合法的信号,这样,恶意的攻击者就可能利用非法的射频信号干扰正常的射频信号,还可能对标签所有者进行定位跟踪。这样不仅可能会给被定位和跟踪的相关人员造成生命财产安全隐患,还可能会造成国家机密的泄露,给国家带来安全危机。
(4)物联网的不安全因素可能通过互联网进行扩散
物联网建立在互联网基础之上,而互联网是一个复杂多元的平台,其本身就存在不安全的因素,如病毒、木马和各种漏洞等。以互联网为基础的物联网会受到这些安全隐患的干扰,恶意攻击者有可能利用互联网对物联网进行破坏。在物联网中已经存在的安全问题,也会通过互联网进行扩散,进而扩大不利影响。
(5)核心技术依靠国外存在安全隐患
我国的物联网技术兴起较晚,很多技术和标准体系都还不够完备,相较于世界上的发达国家,水平还很低。我国尚未掌握物联网的核心技术,目前只能依靠国外。基于此,恶意攻击者有可能在技术方面设置障碍,破坏物联网系统,影响物联网安全。
(6)物联网加密机制有待健全
目前,网络传输加密使用的是逐跳加密,只对受保护的链进行加密,中间的任何节点都可解读,这可能会造成信息的泄露。在业务传输中使用的是端到端的加密方法,但不对源地址和目标地址进行保密,这也会造成安全隐患。加密机制的不健全不仅威胁物联网安全,甚至可能威胁国家安全。
(7)物联网的安全隐患会加剧工业控制网络的安全威胁
物联网的应用面向社会上的各行各业,有效地解决了远程监测、控制和传输问题。但物联网在感知、传输和处理阶段的安全隐患,可能会延展到实际的工业网络中。这些安全隐患长期在物联网终端、物联网感知节点、物联网传输通路潜伏,伺机实施攻击,破坏工业系统安全,甚至威胁国家安全。
二、物联网的安全特征
物联网是一个多层次的网络体系,当其作为一个应用整体时,各个层次的独立安全措施简单相加不足以提供可靠的安全保障。物联网的安全特征体现在以下3个方面。
(1)安全体系结构复杂
已有的一些针对传感网、互联网、移动网、云计算等的安全解决方案在物联网环境中可以部分使用,而其余部分不再适用。物联网海量的感知终端,使其面临复杂的信任接入问题;物联网传输介质和方法的多样性,使其通信安全问题更加复杂;物联网感知的海量数据需要存储和保存,这使数据安全变得十分重要。因此,构建适合全面、可靠传输和智能处理环节的物联网安全体系结构是物联网发展的一项重要工作。
(2)安全领域涵盖广泛
首先,物联网所对应的传感网的数量和智能终端的规模巨大,是单个无线传感网无法相比的,需要引入复杂的访问控制问题;其次,物联网所连接的终端设备或器件的处理能力有很大差异,它们之间会相互作用,信任关系复杂,需要考虑差异化系统的安全问题;最后,物联网所处理的数据量将比现在的互联网和移动网大得多,需要考虑复杂的数据安全问题。所以,物联网的安全范围涵盖广泛。
(3)有别于传统的信息安全
即使分别保证了物联网各个层次的安全,也不能保证物联网的安全。这是因为物联网是融合多个层次于一体的大系统,许多安全问题来源于系统整合。例如,物联网的数据共享对安全性提出了更高的要求,物联网的应用需求对安全提出了新挑战,物联网的用户终端对隐私保护的要求也日益复杂。鉴于此,物联网的安全体系需要在现有信息安全体系之上,制定可持续发展的安全架构,使物联网在发展和应用过程中,其安全防护措施能够不断完善。
三、物联网的安全现状
目前,国内外学者针对物联网的安全问题开展了相关研究,在物联网感知、传输和处理等各个环节均开展了相关工作,但这些研究大部分是针对物联网的各个层次的,还没有形成完整系统的物联网安全体系。
在感知层,感知设备有多种类型,为确保其安全,目前主要进行加密和认证工作,利用认证机制避免标签和节点被非法访问。针对感知层加密,目前已经有了一定的技术手段加以实现,但是还需要提高安全等级,以应对更高的安全需求。
在传输层,主要研究节点到节点的机密性,利用节点与节点之间严格的认证,保证端到端的机密性;利用与密钥有关的安全协议,支持数据的安全传输。
在应用层,目前的主要研究工作是数据库安全访问控制技术,但还需要研究其他相关的安全技术,如信息保护技术、信息取证技术、数据加密检索技术等。
在物联网安全隐患中,用户隐私的泄露是危害用户的极大安全隐患,所以在考虑对策时,首先要对用户的隐私进行保护。目前主要通过加密和授权认证等方法,让只拥有解密密钥的用户才能读取通信中的用户数据以及个人信息,这样能够保证传输过程不被他人监听。但是如此一来,加密数据的使用就会变得极不方便。因此,需要研究支持密文检索和运算的加密算法。
另外,物联网核心技术掌握在世界上比较发达的国家手中,这始终会对没有掌握物联网核心技术的国家造成安全威胁。所以,要想解决物联网的安全隐患,必须加大投入力度,攻克技术难关,快速掌握物联网全生命周期的核心技术。
