物联网安全问题研究_李振汕

物联网安全研究物联网安全问题研究 李振汕

（广西政法管理干部学院，广西南宁 530023）

随着国内互联网的发展，物联网相关概念也随之进入了人们的视线。物联网是把所有物品通过摘　要：

射频识别等信息传感设备与互联网连接起来，实现智能化识别和管理，是继计算机、互联网与移动通信网之后的又一次信息产业浪潮。本文分析了物联网所面临的安全问题，讨论了物联网安全问题所涉及的六大关系，最后提出了物联网的安全机制，以期对物联网的建设发展起到积极的建言作用。

物联网；无线传感器网络；RFID；安全机制关键词：

中图分类号：TP393.08 文献标识码：A 文章编号：1671-1122（2010）12-0001-03

The Reserch of Internet of Things Security Issues

LI Zhen-Shan

( Information Technology Department, Guangxi Administrative cadre Institute of Politics and Law,

Nanning Guangxi 530023,China )

Abstract: With the development of the Internet in China, also will be the concepts of things into the people's attention. Things are all the articles and other information through the radio frequency identifi cation sensing device connected to the Internet, intelligent identifi cation and management, is the second computer, Internet and mobile communication network again after the wave of the information industry. This paper analyzes the face of things the security issues, discusses security issues related to things the six relations, and fi nally made the security of things to the construction of things play a positive role in suggestions.

Key words: Internet of Things; Wireless Sensor Network; RFID; Security

0 引言

“物联网”的问世，打破了之前的传统思维。在“物联网”时代，道路、房屋、电缆、管道、车辆等各类物品，甚至是动物，将与芯片、宽带等连接起来，这个巨大的网络不仅可以实现人与物的通信和感知，而且还可以实现物与物之间的感知、通信和相互控制。在我国，自2009年8月温家宝总理提出“感知中国”战略后“物联网”一时成为国内热点，迅速得到了政府、企业和学术界的广泛关注。由于物联网建设涉及未来网络和信息资源的掌控与利用，并且建设物联网还能够带动国内一系列相关产业的自主创新能力和国际竞争力的提高，因此加快物联网技术的研发，促进物联网产业的快速发展已成为国家战略的需求。

从技术的角度看，物联网是建立在互联网基础之上的，因此互联网所能够遇到的信息安全问题，在物联网中都会存在，只是在表现形式与危害程度上有些区别。从应用的角度看，物联网上传输的是大量涉及企业经营的物流、生产、销售、金融数据，保护这些有经济价值的数据的安全比保护互联网上音乐、视频、游戏数据重要得多，困难得多。从构成物联网的端系统的角度看，大量的数据是由RFID与无线传感器网络的传感器产生，并且通过无线信道传输，而无线信道比较容易遭受攻击。因此，物联网所能够遇到的信息安全问题会比互联网更多，我们必须在研究物联网应用的同时，从道德教育、技术保障与法制环境完善的三个角度出发，为物联网的健康发展创造一个良好的环境。

1 物联网面临的安全问题

物联网的应用，可使人与物的交互更加方便，给人们带来诸多便利。在物联网的应用中，如果网络安全无保障，那么个人隐私、物品信息等随时都可能被泄露。而且如果网络不安全，物联网的应用为黑客提供了远程控制他人物品、甚至操纵城市供电系统，夺取机场管理权限的可能性。不可否认，物联网在信息安全方面存在很多问题。这些安全问题主要体现在以下几方面。

1.1 感知节点的安全问题

由于感知节点数量庞大，并且分布在一个很大的区域内，缺少人的有效监控，攻击者可以轻易地接触到这些设备，从而对它

收稿时间：2010-11-17作者简介：李振汕（1972-），男，系主任，副教授，硕士，主要研究方向：计算机应用、电子商务、网络安全。

1

物联网安全研究2010.12们造成破坏，甚至通过本地操作更换机器的软硬件。实现的，其过程中没有任何物理或者可视的接触，这种非接触和无线通信存在严重安全隐患。RFID的安全缺陷主要表现在以下三方面：1）RFID标识自身访问的安全性问题。由于RFID标识本身的成本所限，使之很难具备足以自身保证安全的能力。这样，就面临很大的问题。非法用户可以利用合法的读写器或者自制的一个读写器，直接与RFID标识进行通信。这样，就可以很容易地获取RFID标识中的数据，并且还能够修改RFID标识中的数据；2）通信信道的安全性问题。RFID使用的是无线通信信道，这就给非法用户的攻击带来了方便。攻击者可以非法截取通信数据；可以通过发射干扰信号来堵塞通信链路，使得读写器过载，无法接收正常的标签数据，制造拒绝服务攻击；可以冒名顶替向RFID发送数据，篡改或伪造数据；3）RFID读写器的安全性问题。RFID读写器自身可以被伪造；RFID读写器与主机之间的通信可以采用传统的攻击方法截获。所以，RFID读写器自然也是攻击者要攻击的对象。由此可见，RFID所遇到的安全问题要比通常的计算机网络安全问题要复杂得多。

1.2 感知网络的安全问题

通常情况下，感知节点所有的操作都依靠自身所带的电池供电，它的计算能力、存储能力、通信能力受到结点自身所带能源的限制，无法设计复杂的安全协议，因而也就无法拥有复杂的安全保护能力。而感知结点不仅要进行数据传输，而且还要进行数据采集、融合和协同工作。同时，感知网络多种多样，从温度测量到水文监控，从道路导航到自动控制，它们的数据传输和消息也没有特定的标准，所以没法提供统一的安全保护体系。

1.3 自组网的安全问题

自组网作为物联网的末梢网，由于它拓扑的动态变化会导致节点间信任关系的不断变化，这给密钥管理带来很大的困难。同时，由于节点可以自由漫游，与邻近节点通信的关系在不断地改变，节点加入或离开无需任何声明，这样就很难为节点建立信任关系，以保证两个节点之间的路径上不存在想要破坏网络的恶意节点。路由协议中的现有机制还不能处理这种恶意行为的破坏。

1.4 核心网络的传输与信息安全问题

物联网的核心网络应当具有相对完整的安全保护能力，但是由于物联网中节点数量庞大，而且以集群方式存在，因此会导致在数据传输时，由于大量机器的数据发送而造成网络拥塞。而且，现有通行网络是面向连接的工作方式，而物联网的广泛应用必须解决地址空间空缺和网络安全标准等问题，从目前的现状看物联网对其核心网络的要求，特别是在可信、可知、可管和可控等方面，远远高于目前的IP网所提供的能力，因此认为物联网必定会为其核心网络采用数据分组技术。

此外，现有的通信网络的安全架构均是从人的通信角度设计的，并不完全适用于机器间的通信，使用现有的互联网安全机制会割裂物联网机器间的逻辑关系。

2物联网安全问题中的六大关系

面对物联网中的信息安全问题时，我们必须处理好六个方面的关系[3]。

2.1 物联网安全与现实社会的关系

我们知道，是生活在现实社会的人类创造了网络虚拟社会的繁荣，同时也是人类制造了网络虚拟社会的麻烦。现实世界中真善美的东西，网络的虚拟社会都会有。同样，现实社会中丑陋的东西，网络的虚拟社会一般也会有，只是表现形式不一样。互联网上如此之多的信息安全问题是人类自身制造的。同样，物联网的安全也是现实社会安全问题的反映。因此，我们在建设物联网的同时，需要拿出更大的精力去应对物联网所面临的更加复杂的信息安全问题。物联网安全是一个系统的社会工程，光靠技术来解决物联网安全问题是不可能的，它必然要涉及技术、政策、道德与法律规范。

1.5 物联网业务的安全问题

由于物联网设备可能是先部署后连接网络，而物联网节点又无人看守，所以如何对物联网设备进行远程签约信息和业务信息配置就成了难题。另外，庞大且多样化的物联网平台必然需要一个强大而统一的安全管理平台，否则独立的平台会被各式各样的物联网应用所淹没，但如此一来，如何对物联网机器的日志等安全信息进行管理成为新的问题，并且可能割裂网络与业务平台之间的信任关系，导致新一轮安全问题的产生[1]。

2.2 物联网安全与计算机、计算机网络安全的关系

所有的物联网应用系统都是建立在互联网环境之中的，因此，物联网应用系统的安全都是建立在互联网安全的基础之上的。互联网包括端系统与网络核心交换两个部分。端系统包括计算机硬件、操作系统、数据库系统等，而运行物联网信息系统的大型服务器或服务器集群，及用户的个人计算机都是以固定或移动方式接入到互联网中的，它们是保证物联网应用系统正常运行的基础。任何一种物联网功能和服务的实现都需要通过网络核心交换在不同的计算机系统之间进行数据交互。病毒、木马、蠕虫、脚本攻击代码等恶意代码可以利用E-mail、FTP与Web系统进行传播，网络攻击、网络诱骗、信息窃取可以在互联网环境中进行。那么，它们同样会对物联网应用系统构成威胁。如果互联网核心交换部分不

1.6 RFID系统安全问题

RFID射频识别是一种非接触式的自动识别技术，它通过射频信号自动识别目标对象并获取相关数据，可识别高速运动物体并可同时识别多个标签，识别工作无需人工干预，操作也非常方便[2]。

RFID系统同传统的Internet一样，容易受到各种攻击，这主要是由于标签和读写器之间的通信是通过电磁波的形式22010.12物联网安全研究安全了，那么物联网信息安全的问题就无从谈起。因此，保证网络核心交换部分的安全，以及保证计算机系统的安全是保障物联网应用系统安全的基础。

3.1 认证和访问控制

对用户访问网络资源的权限进行严格的多等级认证和访问控制，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限等。例如，可以在通信前进行节点与节点的身份认证；设计新的密钥协商方案，使得即使有一小部分节点被操纵后，攻击者也不能或很难从获取的节点信息推导出其他节点的密钥信息。另外，还可以通过对节点设计的合法性进行认证等措施来提高感知终端本身的安全性能。

2.3 物联网应用系统建设与安全系统建设的关系

网络技术不是在真空之中，物联网是要提供给全世界的用户使用的，网络技术人员在研究和开发一种新的物联网应用技术与系统时，必须面对一个复杂的局面。成功的网络应用技术与成功的应用系统的标志是功能性与安全性的统一。不应该简单地把物联网安全问题看做是从事物联网安全技术工程师的事，而是每位信息技术领域的工程师与管理人员共同面对的问题。在规划一种物联网应用系统时，除了要规划出建设系统所需要的资金，还需要考虑拿出一定比例的经费用于安全系统的建设。这是一个系统设计方案成熟度的标志。物联网的建设涉及更为广阔的领域，因此物联网的安全问题应该引起我们更加高度的重视。

3.2 数据加密

加密是保护数据安全的重要手段。加密的作用是保障信息被攻击者截获后不能被破译。同时，对传输信息加密可以解决窃听问题，但需要一个灵活、强健的密钥交换和管理方案，密钥管理方案必须容易部署而且适合感知节点资源有限的特点。另外，密钥管理方案还必须保证当部分节点被操纵后不会破坏整个网络的安全性。目前，机密技术很多，但是如何让加密算法适应快速节能的计算需求，并提供更高效和可靠的保护，尤其是在资源受限的情况下，或在人和物体相对运动彼此断裂的情况下，进行安全加密和认证，是物联网发展对加密技术提出的更高挑战和要求。

2.4 物联网安全与密码学的关系

密码学是信息安全研究的重要工具，在网络安全中有很多重要的应用，物联网在用户身份认证、敏感数据传输的加密上都会使用到密码技术。但是物联网安全涵盖的问题远不止密码学涉及的范围。密码学是数学的一个分支，它涉及数字、公式与逻辑。数学是精确的和遵循逻辑规律的，而计算机网络、互联网、物联网的安全涉及的是人所知道的事、人与人之间的关系、人和物之间的关系，以及物与物之间的关系。物是有价值的，人是有欲望的，是不稳定的，甚至是难于理解的。因此，密码学是研究网络安全所必需的一个重要的工具与方法，但是物联网安全研究所涉及的问题要广泛得多。

3.3 立法保护

目前监管体系存在着执法主体不集中，多重多头管理对重要程度不同的信息网络的管理要求没有差异、没有标准，缺乏针对性等问题，对应该重点保护的单位和信息系统无从入手实施管控。因此，我国需要从立法角度，针对物联网隐私规章的地域性影响数据所有权等问题，明晰统一的法律诠释并建立完善的保护机制。通过政策法规加大对物联网信息涉及到的国家安全、企业机密和个人隐私的保护力度，进一步加强对监管机构的人、财、物的投入，完善监管组织体系，形成监管合力，这些都是解决物联网安全和隐私问题的重要手段。

2.5 物联网安全与国家信息安全战略的关系

物联网在互联网的基础上进一步发展了人与物、物与物之间的交互，它将越来越多地应用于现代社会的政治、经济、文化、教育、科学研究与社会生活的各个领域，物联网安全必然会成为影响社会稳定、国家安全的重要因素之一。因此，网络安全问题已成为信息化社会的一个焦点问题。每个国家只有立足于本国，研究网络安全体系，培养专门人才，发展网络安全产业，才能构筑本国的网络与信息安全防范体系。如果哪个国家不重视网络与信息安全，那么他们必将在未来的国际竞争中处于被动和危险的境地。

4 结束语

目前物联网的研究与应用刚刚开始，我们缺乏足够的管理经验，更谈不上保护物联网安全运行的法律规范。如果我们在开始研究技术及应用的同时，不能够组织力量同步研究物联网安全技术、物联网应用中的道德与法律问题，我们就不可能保证物联网的健康发展。所以物联网的安全研究任重而道远。（责编 张岩 ）

参考文献：

[1] 朱红儒，齐鹏. 物联网安全问题不容忽视[N]. 北京：人民邮电，2010-02-04（7）.

[2] 宁焕生. RFID重大工程与国家物联网[M]. 北京：机械工业出版社，2010：169-173.

[3] 吴功宜. 智慧的物联网：感知中国和世界的技术[M]. 北京：机械工业出版社，2010：237-242.

2.6 物联网安全与信息安全共性技术的关系

对于物联网安全来说，它既包括互联网中存在的安全问题（即传统意义上的网络环境中信息安全共性技术），也有它自身特有的安全问题（即物联网环境中信息安全的个性技术）。物联网信息安全的个性化问题主要包括无线传感器网络的安全性与RFID安全性问题。

3 物联网的安全机制

物联网的安全机制可以从以下几个方面加强：

3