《物联网技术与应用开发》课件第7章.ppt

1、第第7章章 物联网安全技术物联网安全技术 7.1信息安全基础知识7.2物联网的安全7.3 RFID系统的安全7.4 传感器网络的安全7.1信息安全基础知识信息安全基础知识7.1.1信息安全概述信息安全概述1信息安全的定义信息是一种资产，同其他重要的商业资产一样，它对其所有者而言具有一定的价值。信息可以以多种形式存在，它能被打印或者写在纸上，能够数字化存储；也可以由邮局或者用电子方式发送；还可以在电影中展示或者在交谈中提到。无论以任何形式存在，或者以何种方式共享或存储，信息都应当得到恰当的保护。国际标准化组织和国际电工委员会在ISO/IEC17799：2005标准中对信息安全的定义的描述是：“保

2、持信息的保密性、完整性、可用性；另外，也可能包含其他的特性，例如真实性、可核查性、抗抵赖和可靠性等。”对信息安全的描述大致可以分成两类：一类是指具体的信息技术系统的安全；另一类则是指某一特定的信息体系(如银行信息系统、证券行情与交易系统等)的安全。但也有人认为这两种定义都不全面，而应把信息安全定义为：一个国家的社会信息化状态与信息技术体系不受外来的威胁与侵害。作为信息的安全问题，首先是一个国家宏观的社会信息化状态是否处于自主控制之下和是否稳定的问题，其次才是信息技术安全的问题。因此，信息安全的作用是保护信息不受到大范围的威胁和干扰，能保证信息流的顺畅，减少信息的损失。计算机信息安全涉及物理安全

3、(实体安全)、运行安全和信息安全三个方面。(1)物理安全(Physical Security)：保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施、过程。特别是避免由于电磁泄漏产生信息泄露，从而干扰他人或受他人干扰。物理安全包括环境安全、设备安全和媒体安全三个方面。(2)运行安全(Operation Security)：为保障系统功能的安全实现，提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急等)来保护信息处理过程的安全。它侧重于保证系统正常运行，避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失。运行安全

4、包括风险分析、审计跟踪、备份与恢复和应急四个方面。(3)信息安全(Information Security)：防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制。即确保信息的完整性、保密性、可用性和可控性，避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。其本质是保护用户的利益和隐私。信息安全包括计算机系统安全、数据库安全、网络安全、病毒防护安全、访问控制安全、加密安全六个方面。2信息安全的特征无论入侵者使用何种方法和手段，最终目的都是要破坏信息的安全属性。信息安全在技术层次上的含义就是要杜绝入侵者对信息安全属性的攻击，使信息的所有者能放心地

5、使用信息。国际标准化组织将信息安全归纳为保密性、完整性、可用性和可控性四个特征。(1)保密性是指保证信息只让合法用户访问，信息不泄露给非授权的个人和实体。信息的保密性可以具有不同的保密程度或层次。所有人员都可以访问的信息为公开信息，需要限制访问的信息一般为敏感信息。敏感信息又可以根据信息的重要性及保密要求分为不同的密级。例如，国家根据秘密泄露对国家经济、安全利益产生的影响，将国家秘密分为“秘密”、“机密”和“绝密”三个等级。可根据信息安全要求的实际，在符合国家保密法的前提下将信息划分为不同的密级。(2)完整性是指保障信息及其处理方法的准确性、完全性。它一方面是指信息在利用、传输、存储等过程中不

6、被篡改、丢失、缺损等，另一方面是指信息处理的方法的正确性。不正当的操作，有可能造成重要信息的丢失。(3)可用性是指有权使用信息的人在需要的时候可以立即获取。例如，有线电视线路被中断就是对信息可用性的破坏。(4)可控性是指对信息的传播及内容具有控制能力。实现信息安全需要一套合适的控制机制，如策略、惯例、程序、组织结构或软件功能，这些都是用来保证信息的安全目标能够最终实现的机制。例如，美国制定和倡导的“密钥托管”、“密钥恢复”措施就是实现信息安全可控性的有效方法。不同类型的信息在保密性、完整性、可用性及可控性等方面的侧重点会有所不同，如专利技术、军事情报、市场营销计划的保密性尤其重要，而对于工业自

7、动控制系统，控制信息的完整性相对其保密性则重要得多。确保信息的完整性、保密性、可用性和可控性是信息安全的最终目标。3信息安全的内容信息安全的内容包括了实体安全与运行安全两方面的含义。实体安全是保护设备、设施以及其他硬件设施免遭地震、水灾、火灾、有害气体和其他环境事故以及人为因素破坏的措施和过程。运行安全是指为保障系统功能的安全实现，提供一套安全措施来保护信息处理过程的安全。信息安全的内容可以分为计算机系统安全、数据库安全、网络安全、病毒防护安全、访问控制安全、加密安全六个方面。(1)计算机系统安全是指计算机系统的硬件和软件资源能够得到有效的控制，保证其资源能够正常使用，避免各种运行错误与硬件损

8、坏，为进一步的系统构建工作提供一个可靠安全的平台。(2)数据库安全是为对数据库系统所管理的数据和资源提供有效的安全保护。一般采用多种安全机制与操作系统相结合，实现数据库的安全保护。(3)网络安全是指对访问网络资源或使用网络服务的安全保护，为网络的使用提供一套安全管理机制。例如，跟踪并记录网络的使用，监测系统状态的变化，对各种网络安全事故进行定位，提供某种程度的对紧急事件或安全事故的故障排除能力。(4)病毒防护安全是指对计算机病毒的防护能力，包括单机系统和网络系统资源的防护。这种安全主要依赖病毒防护产品来保证，病毒防护产品通过建立系统保护机制，达到预防、检测和消除病毒的目的。(5)访问控制安全是

9、指保证系统的外部用户或内部用户对系统资源的访问以及对敏感信息的访问方式符合事先制定的安全策略，主要包括出入控制和存取控制。出入控制主要是阻止非授权用户进入系统；存取控制主要是对授权用户进行安全性检查，以实现存取权限的控制。(6)加密安全是为了保证数据的保密性和完整性，通过特定算法完成明文与密文的转换。例如，数字签名是为了确保数据不被篡改，虚拟专用网是为了实现数据在传输过程中的保密性和完整性而在双方之间建立唯一的安全通道。4OSI信息安全体系结构为了适应网络技术的发展，国际标准化组织的计算机专业委员会根据开放系统互联OSI参考模型制定了一个网络安全体系结构信息处理系统 开放系统互联 基本参考模型

10、 第二部分：安全体系结构，即ISO 7498-2，它主要解决网络信息系统中的安全与保密问题，我国将其作为GB/T9387-2标准，并予以执行。该模型结构中包括五类安全服务以及提供这些服务所需要的八类安全机制。安全服务是由参与通信的开放系统的某一层所提供的服务，是针对网络信息系统安全的基本要求而提出的，旨在加强系统的安全性以及对抗安全攻击。ISO7498-2标准中确定了五大类安全服务，即鉴别服务、访问控制服务、数据保密性服务、数据完整性服务和禁止否认服务。(1)鉴别服务用于保证双方通信的真实性，证实通信数据的来源和去向是我方或他方所要求和认同的，包括对等实体鉴别和数据源鉴别。(2)访问控制服务用

11、于防止未经授权的用户非法使用系统中的资源，保证系统的可控性。访问控制不仅可以提供给单个用户，也可以提供给用户组。(3)数据保密性服务的目的是保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密。(4)数据完整性服务用于防止非法用户的主动攻击(如对正在交换的数据进行修改、插入，使数据延时以及丢失数据等)，以保证数据接收方收到的信息与发送方发送的信息完全一致。它包括可恢复的连接完整性、无恢复的连接完整性、选择字段的连接完整性、无连接完整性、选择字段无连接完整性。(5)禁止否认服务用来防止发送数据方发送数据后否认自己发送过数据，或接收方接收数据后否认自己收到过数据。它包括不得否认发送和不得否认

12、接收。7.1.2信息安全的基本属性信息安全的基本属性在美国国家信息基础设施(NII)的文献中，给出了安全的五个属性：可用性、可靠性、完整性、保密性和不可抵赖性。这五个属性适用于国家信息基础设施的教育、娱乐、医疗、运输、国家安全、电力供给及分配、通信等领域。这五个属性分别定义如下：(1)可用性(Availability)：得到授权的实体在需要时可访问资源和服务。可用性是指无论何时，只要用户需要，信息系统必须是可用的，也就是说，信息系统不能拒绝服务。网络最基本的功能是向用户提供所需的信息和通信服务，而用户的通信要求是随机的，多方面的(话音、数据、文字和图像等)，有时还要求时效性。(2)可靠性(Re

13、liability)：指系统在规定条件下和规定时间内完成规定功能的概率。可靠性是网络安全最基本的要求之一，网络不可靠，事故不断，也就谈不上网络的安全。(3)完整性(Integrity)：指信息在存储或传输时不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的特性。只有得到允许的人才能修改实体或进程，并且能够判别出实体或进程是否已被篡改，即信息的内容不能被未授权的第三方修改。(4)保密性(Confidentiality)：指确保信息不暴露给未授权的实体或进程，即信息的内容不会被未授权的第三方所知。这里所指的信息包括国家秘密、各种社会团体、企业组织的工作秘密及商业秘密、个人的秘密和个人私密(

14、如浏览习惯、购物习惯)。防止信息失窃和泄露的保障技术称为保密技术。(5)不可抵赖性(Non-Repudiation)：也称做不可否认性。不可抵赖性是面向通信双方(人、实体或进程)信息真实同一的安全要求，它包括收、发双方均不可抵赖。一是源发证明，它提供给信息接收者以证据，这将使发送者谎称未发送过这些信息或者否认它的内容的企图不能得逞；二是交付证明，它提供给信息发送者以证明，这将使接收者谎称未接收过这些信息或者否认它的内容的企图不能得逞。除此之外，计算机网络信息系统的安全属性还包括以下几个方面：(1)可控性：就是对信息及信息系统实施安全监控。管理机构对危害国家信息的来往、使用加密手段从事非法的通信

15、活动等进行监视、审计，对信息的传播及内容具有控制能力。(2)可审查性：使用审计、监控、防抵赖等安全机制，使得使用者(包括合法用户、攻击者、破坏者、抵赖者)的行为有证可查，并能够对网络出现的安全问题提供调查依据和手段。审计是通过对网络上发生的各种访问情况记录日志，并对日志进行统计分析，是对资源使用情况进行事后分析的有效手段，也是发现和追踪事件的常用措施。审计的主要对象为用户、主机和节点，主要内容为访问的主体、客体、时间和成败情况等。(3)认证：保证信息使用者和信息服务者都是真实声称者，防止冒充和重演的攻击。(4)访问控制：保证信息资源不被非授权地使用。访问控制根据主体和客体之间的访问授权关系，对

16、访问过程做出限制。总之，信息安全的宗旨是，不论信息处于动态还是静态，均应该向合法的服务对象提供准确、及时、可靠的信息服务，而对其他任何人员或组织，包括内部、外部以至于敌方，都要保持最大限度的信息的不可接触性、不可获取性、不可干扰性和不可破坏性。7.2物联网的安全物联网的安全7.2.1物联网的安全特点物联网的安全特点传统的网络中，网络层的安全和业务层的安全是相互独立的，而物联网的特殊安全问题很大一部分是在现有移动网络基础上由于集成了感知网络和应用平台产生的，移动网络中的大部分机制仍然可以适用于物联网并能够提供一定的安全性，如认证机制、加密机制等，但需要根据物联网的特征对安全机制进行调整和补充。这

17、使得物联网除了面对移动通信网络的传统网络安全问题之外，还存在着一些与已有移动网络安全不同的特殊安全问题，这些问题主要表现在以下几个方面：(1)物联网设备的本地安全问题。由于物联网在很多场合都需要无线传输，对这种暴露在公开场所之中的信号如果未做适当保护，就很容易被窃取，也更容易被干扰，这将直接影响到物联网体系的安全。同时，由于物联网的应用可以取代人来完成一些复杂、危险和机械的工作，所以物联网设备多数部署在无人监控的场景中，攻击者可以轻易地接触到这些设备，从而对它们造成破坏，甚至通过本地操作更换设备的软、硬件，因而物联网设备的本地安全问题也就显得日趋重要。(2)核心网络的传输与信息安全问题。核心网

18、络具有相对完整的安全保护能力，但由于物联网中节点数量庞大，且以集群方式存在，因此会导致在数据传播时由于大量机器的数据发送使网络拥塞而产生拒绝服务攻击。此外，现有通信网络的安全架构都是从人的通信角度设计的，并不适用于机器的通信。使用现有安全机制会割裂物联网机器间的逻辑关系。(3)物联网业务的安全问题。由于物联网节点无人值守，并且有可能是动态的，所以如何对物联网设备进行远程签约信息和业务信息配置就成了难题。另外，现有通信网络的安全架构都是从人与人之间的通信需求出发的，不一定适合以设备与设备之间的通信为需求的物联网络。使用现有的网络安全机制会割裂物联网设备间的逻辑关系。(4)RFID系统的安全问题。

19、由于集成的RFID系统实际上是一个计算机网络应用系统，因此安全问题类似于网络和计算机安全。而安全的主要目的则是保证存储数据和在各子系统/模块之间传输的数据的安全。但是RFID系统的安全仍然有两个特殊的特点：首先，RFID标签和后端系统之间的通信是非接触和无线的，使它们很容易受到窃听；其次，标签本身的计算能力和可编程性直接受到成本要求的限制。更准确地说，标签越便宜，其计算能力越弱，难以实现对安全威胁的防护。物联网存在上述安全问题，其在信息安全方面出现了一些新的特点，具体归纳如下：(1)设备、节点等无人看管，容易受到物理操纵；(2)信息传输主要靠无线通信方式，信号容易被窃取和干扰；(3)出于低成本

20、的考虑，传感器节点通常是资源受限的；(4)物联网中物品的信息能够被自动地获取和传送。7.2.2物联网安全机制物联网安全机制物联网快速发展的同时，其背后隐藏的信息安全问题也逐渐显现出来，信息安全将成为制约物联网发展的一个重要障碍。本节主要从法律规范、管理机制、技术三个层面提出物联网的安全措施。1构建和完善我国信息安全的监管体系目前监管体系存在着执法主体不集中，多重多头管理，对重要程度不同的信息网络的管理要求没有差异、没有标准，缺乏针对性等问题，对应该重点保护的单位和信息系统无从入手实施管控。因此，我国需要加强网络和信息安全监管体系，并建立评测体系。2物联网中的业务认证机制传统的认证是区分不同层次

21、的，网络层的认证负责网络层的身份鉴别，业务层的认证负责业务层的身份鉴别，两者独立存在。但是在物联网中，大多数情况下，机器都是拥有专门的用途，因此其业务应用与网络通信紧紧地绑在一起。由于网络层的认证是不可缺少的，其业务层的认证机制就不再是必须的，而是可以根据业务由谁来提供和业务的安全敏感程度来设计。例如，当物联网的业务由运营商提供时，就可以充分利用网络层认证的结果而不需要进行业务层的认证；当物联网的业务由第三方提供也无法从网络运营商处获得密钥等安全参数时，它就可以发起独立的业务认证而不用考虑网络层的认证。或者当业务是敏感业务时，如金融类业务，一般业务提供者会不信任网络层的安全级别，而使用更高级别

22、的安全保护，这个时候就需要进行业务层的认证；而当业务是普通业务时，如气温采集业务等，业务提供者认为网络认证已经足够，就不再需要进行业务层的认证了。3物联网中的加密机制传统的网络层加密机制是逐跳加密，即信息在发送过程中，虽然在传输过程中是加密的，但是需要不断地在每个经过的节点上解密和加密，即在每个节点上都是明文的。而业务层加密机制则是端到端的，即信息只在发送端和接收端才是明文，而在传输的过程和转发节点上都是密文。由于物联网中网络连接和业务使用紧密结合，这就面临着到底使用逐跳加密还是端到端加密的选择。对于逐跳加密方式来说，它可以只对有必要受保护的链接进行加密，并且由于逐跳加密在网络层进行，所以可以

23、适用于所有业务，即不同的业务可以在统一的物联网业务平台上实施安全管理，从而做到安全机制对业务的透明，这就保证了逐跳加密的时延低、效率高、成本低、可扩展性好的特点。但是，逐跳加密需要在各传送节点上对数据进行解密，各节点都有可能解读被加密消息的明文，因此逐跳加密对传输路径中的各传送节点的可信任度要求很高。对于端到端加密方式来说，它可以根据业务类型选择不同的安全策略，从而为高安全要求的业务提供高安全等级的保护。不过端到端的加密不能对消息的目的地址进行保护，因为每一个消息所经过的节点都要以此目的地址来确定如何传输消息，这就导致端到端加密方式不能掩盖被传输消息的源点与终点，并容易受到对通信业务进行分析而

24、发起的恶意攻击。另外，从国家政策角度来说，端到端加密方式也无法满足国家合法监听政策的需求。对一些安全要求不是很高的业务，在网络能够提供逐跳加密保护的前提下，业务层端到端的加密需求就显得并不重要。但是对于高安全需求的业务，端到端的加密仍然是首选。因而，由于不同物联网业务对安全级别的要求不同，可以将业务层的端到端安全作为可选项。由于物联网的发展已经开始加速，对物联网安全的需求日益迫切，因此需要明确物联网中的特殊安全需求，考虑如何为物联网提供端到端的安全保护以及这些安全保护功能应用哪些现有机制来解决。此外，随着物联网的发展，机器间集群概念的引入，还需要重点考虑如何用群组概念解决群组认证的问题。7.2

25、.3物联网的安全层次模型及体系结构物联网的安全层次模型及体系结构物联网安全的总体需求就是物理安全、信息采集安全、信息传输安全和信息处理安全的综合，安全的最终目标是确保信息的保密性、完整性、真实性和网络的容错性。本节结合物联网分布式连接、管理(DCM)模式以及每层安全特点等对物联网相应的安全层次涉及的关键技术进行系统阐述。物联网相应的安全层次模型如图7.1所示。图7.1 物联网的安全层次模型1感知层安全物联网感知层的任务是实现智能感知外界信息功能，包括信息采集、捕获和物体识别，该层的典型设备包括RFID装置、各类传感器(如红外、超声、温度、湿度、速度等)、图像捕捉装置(摄像头)、全球定位系统(G

26、PS)、激光扫描仪等，其涉及的关键技术包括传感器、RFID、自组织网络、短距离无线通信、低功耗路由等。1)传感技术及其联网安全 作为物联网的基础单元，传感器在物联网信息采集层面能否如愿以偿完成它的使命，是物联网感知任务成败的关键。传感器技术是物联网技术的支撑、应用的支撑和未来泛在网的支撑。传感器感知了物体的信息，RFID赋予它电子编码。传感器网络到物联网的演变是信息技术发展的阶段表征。传感技术利用传感器和多跳自组织网，协作地感知、采集网络覆盖区域中感知对象的信息，并发布给向上层。由于传感器网络本身具有无线链路比较脆弱，网络拓扑动态变化，节点计算能力、存储能力和能源有限，无线通信过程中易受到干扰

27、等特点，使得传统的安全机制无法应用到传感器网络中。传感技术的安全问题如表7.1所示。表表7.1 传感技术的安全问题传感技术的安全问题 目前传感器网络的安全技术主要包括基本安全框架、密钥分配、安全路由和入侵检测技术等。安全框架主要有SPIN(包含SNEP和TESLA两个安全协议)、Tiny Sec、参数化跳频、Lisp、LEAP协议等。传感器网络的密钥分配主要倾向于采用随机预分配模型的密钥分配方案。安全路由技术常采用的方法包括加入容侵策略。入侵检测技术常常作为信息安全的第二道防线，其主要包括被动监听检测和主动检测两大类。除了上述安全保护技术外，由于物联网节点资源受限，且是高密度冗余撒布，不可能在

28、每个节点上运行一个全功能的入侵检测系统(IDS)，所以如何在传感器网络中合理地分布IDS，有待于进一步研究。2)RFID相关安全问题 如果说传感技术是用来标识物体的动态属性，那么物联网中采用RFID标签则是对物体静态属性的标识，即构成物体感知的前提。RFID是一种非接触式的自动识别技术，它通过射频信号自动识别目标对象并获取相关数据，识别工作无需人工干预。RFID也是一种简单的无线系统，该系统用于控制、检测和跟踪物体，由一个询问器(或读写器)和很多应答器(或标签)组成。通常采用RFID技术的网络涉及的主要安全问题有：(1)标签本身的访问缺陷。任何用户(授权以及未授权的)都可以通过合法的读写器读取

29、RFID标签，而且标签的可重写性使得标签中数据的安全性、有效性和完整性都得不到保证。(2)通信链路的安全。(3)移动RFID的安全，即主要存在假冒和非授权服务访问问题。目前，实现RFID安全性机制所采用的方法主要有物理方法、密码机制以及二者结合的方法。2网络层安全网络层安全 物联网的网络层主要实现信息的转发和传送，它将感知层获取的信息传送到远端，为数据在远端进行智能处理和分析决策提供强有力的支持。考虑到物联网本身具有专业性的特征，其基础网络可以是互联网，也可以是具体的某个行业网络。物联网的网络层按功能可以大致分为接入层和核心层，因此物联网的网络层安全主要体现在以下两个方面。(1)来自物联网本身

30、的架构、接入方式和各种设备的安全问题。物联网的接入层将采用如移动互联网、有线网、Wi-Fi、WiMAX等各种无线接入技术。接入层的异构性使得如何为终端提供移动性管理以保证异构网络间节点漫游和服务的无缝移动成为研究的重点，其中安全问题的解决将得益于切换技术和位置管理技术的进一步研究。另外，物联网接入方式主要依靠移动通信网络，移动通信网络中移动站与固定网络端之间的所有通信都是通过无线接口来传输的，然而无线接口是开放的，任何使用无线设备的个体均可以通过窃听无线信道而获得其中传输的信息，甚至可以修改、插入、删除或重传无线接口中传输的信息，达到假冒移动用户身份以欺骗网络端的目的。因此移动通信网络存在无线

31、窃听、身份假冒和数据篡改等不安全的因素。(2)进行数据传输的网络相关安全问题。物联网的网络核心层主要依赖于传统网络技术，其面临的最大问题是现有的网络地址空间短缺。主要的解决方法是IPv6技术。IPv6采纳IPSec协议，在IP层上对数据包进行了高强度的安全处理，提供数据源地址验证、无连接数据完整性、数据保密性、抗重播和有限业务流加密等安全服务。但任何技术都不是完美的，实际上IPv4网络环境中大部分安全风险在IPv6网络环境中仍存在，而且某些安全风险随着IPv6新特性的引入会变得更加严重：首先，拒绝服务DoS(攻击)等异常流量攻击仍然猖獗，甚至更为严重，主要包括TCP-flood、UDP-flo

32、od等现有DoS攻击，以及IPv6协议本身机制的缺陷所引起的攻击；其次，针对域名服务器(DNS)的攻击仍会继续存在，而且在IPv6网络中提供域名服务的DNS更容易成为黑客攻击的目标；第三，IPv6协议作为网络层的协议，仅对网络层安全有影响，其他(包括物理层、数据链路层、传输层、应用层等)各层的安全风险在IPv6网络中仍会保持不变。此外，采用IPv6替换IPv4协议需要一段时间，向IPv6过渡只能采用逐步演进的办法，为解决两者间互通所采取的各种措施将带来新的安全风险。3应用层安全应用层安全 物联网应用是信息技术与行业专业技术紧密结合的产物。物联网的应用层充分体现了物联网智能处理的特点，其涉及业务

33、管理、中间件、数据挖掘等技术。考虑到物联网涉及多领域、多行业，因此广域范围的海量数据信息处理和业务控制策略将在安全性和可靠性方面面临巨大挑战，特别是业务控制和管理、中间件以及隐私保护等安全问题显得尤为突出。(1)业务控制和管理：由于物联网设备可能是先部署后连接网络，而物联网节点又无人值守，所以如何对物联网设备远程签约，如何对业务信息进行配置就成了难题。另外，庞大且多样化的物联网必然需要一个强大而统一的安全管理平台，否则单独的平台会被各式各样的物联网应用所淹没，但这样将使如何对物联网机器的日志等安全信息进行管理成为新的问题，并且可能割裂网络与业务平台之间的信任关系，导致新一轮安全问题的产生。(2

34、)中间件：如果把物联网系统和人体做比较，感知层好比人体的四肢，传输层好比人的身体和内脏，那么应用层就好比人的大脑，软件和中间件是物联网系统的灵魂和中枢神经。目前，使用最多的几种中间件系统是CORBA、DCOM、J2EE/EJB以及被视为下一代分布式系统核心技术的Web Services。在物联网中，中间件处于物联网的集成服务器端和感知层、传输层的嵌入式设备中。服务器端中间件称为物联网业务基础中间件，一般都是基于传统的中间件(应用服务器、ESB/MQ等)，加入设备连接和图形化组态展示模块构建而成；嵌入式中间件是一些支持不同通信协议的模块和运行环境。中间件的特点是其固化了很多通用功能，但在具体应用

35、中多半需要二次开发来实现个性化的行业业务需求，因此所有物联网中间件都要提供快速开发(RAD)工具。(3)隐私保护：在物联网发展过程中，大量的数据涉及个体隐私问题(如个人出行路线、消费习惯、个体位置信息、健康状况、企业产品信息等)，因此隐私保护是必须考虑的一个问题。如何设计不同场景、不同等级的隐私保护技术将成为物联网安全技术研究的热点问题。当前隐私保护方法主要有两个发展方向：一是对等计算(P2P)，通过直接交换共享计算机资源和服务；二是语义Web，通过规范定义和组织信息内容，使之具有语义信息，能被计算机理解，从而实现与人的相互沟通。另外，物联网安全还有一些非技术因素，如目前物联网发展在中国表现为

36、行业性太强，公众性和公用性不足，重数据收集、轻数据挖掘与智能处理，产业链长但每一环节规模效益不够，商业模式不清晰。物联网是一种全新的应用，要想得以快速发展一定要建立一个社会各方共同参与和协作的组织模式，集中优势资源，这样物联网应用才会朝着规模化、智能化和协同化方向发展。物联网的普及，需要各方的协调配合及各种力量的整合，这就需要国家的政策以及相关立法走在前面，以便引导物联网朝着健康、稳定、快速的方向发展。人们的安全意识教育也将是影响物联网安全的一个重要因素。7.3 RFID系统的安全系统的安全7.3.1 RFID系统面临的安全攻击系统面临的安全攻击目前，RFID安全问题主要集中在对个人用户信息的

37、隐私保护、对企业用户的商业秘密保护、防范对RFID系统的攻击以及利用RFID技术进行安全防范等方面。RFID系统中的安全问题在很多方面与计算机体系和网络中的安全问题类似。从根本上说，这两类系统的目的都是为了保护存储的数据及在系统的不同组件之间互相传送的数据。然而，由于以下两点原因，处理RFID系统中的安全问题更具有挑战性。首先，RFID系统中的传输基于无线通信方式，这使得传送的数据容易被“偷听”；其次，在RFID系统中，特别是在电子标签上，计算能力和可编程能力都被标签本身的成本要求所约束，更准确地讲，在一个特定的应用中，标签的成本越低，它的计算能力也就越弱，安全的可编程能力也越弱。一般地，常见

38、的安全攻击有以下四种类型。1电子标签数据的获取攻击每个电子标签通常都包含一个集成电路，其本质是一个带内存的微芯片。电子标签上数据的安全和计算机中数据的安全都同样会受到威胁。当未授权方进入一个授权的读写器时仍然设置一个读写器与某一特定的电子标签通信，电子标签的数据就会受到攻击。在这种情况下，未授权方可以像一个合法的读写器一样去读取电子标签上的数据。在可写标签上，数据甚至可能被非法使用者修改或删除。2电子标签和读写器之间的通信侵入当电子标签向读写器传送数据，或者读写器从电子标签上查询数据时，数据是通过无线电波在空中传播的。在这个通信过程中，数据容易受到攻击，这类无线通信易受攻击的特性包括以下几个方

39、面：(1)非法读写器截获数据：非法读写器中途截取标签传输的数据。(2)第三方堵塞数据传输：非法用户可以利用某种方式阻塞数据和读写器之间的正常传输。最常用的方法是欺骗，通过很多假的标签响应让读写器不能区分出正确的标签响应，从而使读写器负载制造电磁干扰，这种方法也叫做拒绝服务攻击。(3)伪造标签发送数据：伪造的标签向读写器提供无用信息或者错误数据，可以有效地欺骗RFID系统接收、处理并且执行错误的电子标签数据。3侵犯读写器内部的数据当电子标签向读写器发送数据、清空数据或是将数据发送给主机系统之前，都会先将信息存储在内存中，并用它来执行一些功能。在这些处理过程中，读写器功能就像其他计算机一样存在传统

40、的安全侵入问题。目前，市场上大部分读写器都是私有的，一般不提供相应的扩展接口让用户自行增强读写器安全性。因此挑选可二次开发、具备可扩展开发接口的读写器将变得非常重要。4主机系统侵入电子标签传出的数据经过读写器到达主机系统后，将面临现存主机系统的RFID数据安全侵入。这些侵入已超出本书讨论的范围，有兴趣的读者可参考计算机或网络安全方面相关的文献资料。7.3.2 RFID系统的安全风险分类系统的安全风险分类RFID数据安全可能遭受的风险取决于不同的应用类型。在此将RFID应用分为消费者应用和企业应用两类，并讨论每种类型的安全风险。1消费者应用的风险RFID应用包括收集和管理有关消费者的数据。在消费

41、者应用方面，安全性破坏风险不仅会对配置RFID系统的商家造成损害，也会对消费者造成损害。即使是在那些RFID系统没有直接收集或维护消费者数据的情况下，如果消费者携带具备电子标签的物体，也存在创建一个消费者和电子标签之间联系的可能性。由于这种关系承载消费者的私人数据，所以存在隐私方面的风险。2企业应用的风险企业RFID应用基于单个商务的内部数据或者很多商务数据的收集。典型的企业应用包括任意数量供应链管理的处理增强应用(例如：财产清单控制或后勤事务处理)，另外一个应用是工业自动化领域，RFID系统可用来追踪工厂场地内的生产制造过程。这些安全隐患可能使商业交易和运行变得混乱，或危及到公司的机密信息。

42、举例来说，计算机黑客可以通过欺诈和实施拒绝服务攻击来中断商业合作伙伴之间基于RFID技术的供应链处理。此外，商业竞争对手可以窃取机密的存货数据或者获取专门的工业自动化技术。其他情况下，黑客还可以获取并公开类似的企业机密数据，这将危及到公司的竞争优势。如果几家企业共同使用一个RFID系统，即在供应商和生产商之间创建一个更有效的供应链，电子标签数据安全方面受到的破坏很可能对所有关联的商家都造成危害。7.3.3 RFID系统的安全缺陷系统的安全缺陷实际上，尽管与计算机和网络的安全问题类似，但RFID所面临的安全问题要严峻得多。这不仅仅表现在RFID产品的成本极大地限制了RFID的处理能力和安全加密措

43、施，而且RFID技术本身就包含了比计算机和网络更多、更容易泄密的不安全因素。一般地，RFID在安全缺陷方面除了与计算机网络有相同之处外，还包括以下三种不同的安全缺陷类型。1标签本身的访问缺陷由于标签本身的成本所限，标签本身很难具备保证安全的能力。这样，就面临着许多问题。非法用户可以利用合法的读写器或者自构一个读写器与标签进行通信，很容易地就获取了标签内的所存数据。而对于读写式标签，还面临数据被改写的风险。2通信链路上的安全问题RFID的数据通信链路是无线通信链路，与有线连接不同的是，无线传输的信号本身是开放的，这就给非法用户的监听带来了方便。实现非法监听的常用方法包括以下三种。(1)黑客非法截

44、取通信数据。(2)业务拒绝式攻击，即非法用户通过发射干扰信号来堵塞通信链路，使得读写器过载，无法接收正常的标签数据。(3)利用冒名顶替的标签来向读写器发送数据，使得读写器处理的都是虚假数据，而真实的数据则被隐藏。3读写器内部的安全风险读写器内部的安全风险在读写器中，除了中间件被用来完成数据的传输选择、时间过滤和管理之外，只能提供用户业务接口，而不能提供让用户自行提升安全性能的接口。由此可见，RFID所遇到的安全问题要比通常计算机网络的安全问题复杂得多，如何应对RFID的安全威胁，一直是尚待研究解决的焦点问题。虽然在ISO和EPC Gen2中都规定了严格的数据加密格式和用户定义位，RFID技术也

45、具有比较强大的安全信息处理能力，但仍然有一些人认为RFID的安全性很差。美国的密码学研究专家Adi Shamir表示，目前RFID毫无安全可言，简直是畅通无阻。他声称已经破解了目前大多数主流电子标签的密码口令，并可以对目前几乎所有的RFID芯片进行无障碍攻击。当前，安全仍被认为是阻碍RFID技术推广的一个重要原因之一。7.3.4 RFID安全需求及研究进展安全需求及研究进展1RFID系统的安全需求一种比较完善的RFID系统解决方案应当具备保密性、完整性、可用性和真实性等基本特征。在RFID系统应用中，这些特性都涉及密码技术。(1)保密性。一个RFID电子标签不应当向未授权读写器泄露任何敏感的信

46、息，在许多应用中，RFID电子标签中所包含的信息关系到消费者的隐私，这些数据一旦被攻击者获取，消费者的隐私权将无法得到保障，因而一个完备的RFID安全方案必须能够保证电子标签中所包含的信息仅能被授权读写器访问。(2)完整性。在通信过程中，数据完整性能够保证接收者收到的信息在传输过程中没有被攻击者篡改或替换。在RFID系统中，通常使用消息认证来进行数据完整性的检验。它使用的是一种带有共享密钥的散列算法，即将共享密钥和待测的消息连接在一起进行散列运算，对数据的任何细微改动都会对消息认证码的值产生极大的影响。(3)可用性。RFID系统的安全解决方案所提供的各种服务能够被授权用户使用，并能够有效防止非

47、法攻击者企图中断RFID系统服务的恶意攻击。一个合理的安全方案应当具有节能的特点，各种安全协议和算法的设计不应当太复杂，并尽可能地减少用户密钥计算开销，存储容量和通信能力也应当充分考虑RFID系统资源有限的特点，从而使得能量消耗最小化。同时，安全性设计方案不应当限制RFID系统的可用性，并能够有效防止攻击者对电子标签资源的恶意消耗。(4)真实性。电子标签的身份认证在RFID系统的许多应用中是非常重要的。攻击者可以伪造电子标签，也可以通过某种方式隐藏标签，使读写器无法发现该标签，从而成功地实施物品转移，读写器通过身份认证才能确信正确的电子标签。2RFID系统的安全研究进展为实现上述安全需求，RF

48、ID系统必须在电子标签资源有限的情况下实现具有一定安全强度的安全机制。受低成本RFID电子标签中资源有限的影响，一些高强度的公钥加密机制和认证算法难以在RFID系统中实现。目前，国内外针对低成本RFID安全技术进行了一系列研究，并取得了一些有意义的成果。(1)访问控制。为防止RFID电子标签内容的泄露，保证仅有授权实体才可以读取和处理相关标签上的信息，必须建立相应的访问控制机制。(2)标签认证。为防止对电子标签的依靠和标签内容的滥用，必须在通信之前对电子标签的身份进行认证。目前，学术界提出了多种标签认证方案，这些方案也充分考虑了电子标签资源有限的特点。(3)消息加密。现有读写器和标签之间的无线

49、通信在多数情况下是以明文方式进行的，由于未采用任何加密机制，因而攻击者能够获取并利用RFID电子标签上的内容。国内外学者为此提出了多种解决方案，旨在解决RFID系统的保密性问题。7.4 传感器网络的安全传感器网络的安全7.4.1 传感器网络的安全分析传感器网络的安全分析无线传感器网络(WSN)是一种自组织网络，通过大量低成本、资源受限的传感器节点设备协同工作实现某一特定任务。传感器网络为在复杂的环境中部署大规模的网络，进行实时数据采集与处理带来了希望。但同时WSN通常部署在无人维护、不可控制的环境中，除了具有一般无线网络所面临的信息泄露、信息篡改、重放攻击、拒绝服务攻击等多种威胁外，WSN还面

50、临传感器节点容易被攻击者物理操纵，并获取存储在传感器节点中的所有信息，从而控制部分网络的威胁。用户不可能接受并部署一个没有解决好安全和隐私问题的传感器网络，因此在进行WSN协议和软件设计时，必须充分考虑WSN可能面临的安全问题，并把安全机制集成到系统设计中去。1传感器网络的特点传感器网络的特点主要体现在以下几个方面:(1)能量有限：能量是限制传感器节点能力、寿命的最主要的约束性条件，现有的传感器节点都是通过标准的AAA或AA电池进行供电，并且不能重新充电。(2)计算能力有限：传感器节点CPU一般只具有8 bit、4 MHz8 MHz的处理能力。(3)存储能力有限：传感器节点一般包括三种形式的存