基于物联网安全架构.docVIP

基于物联网安全架构 　　摘 要 根据物联网的基本概念、特点，分析了物联网三层体系结构分布面临的安全威胁，并提出了物联网在各层的安全架构。 　　关键词 物联网 威胁 安全架构 　　1 引言 　　随着信息通信技术的不断进步，通信网络作为信息通信技术的重要基础，已经从人到人的通信发展到人到物以及物到物，并逐渐从纵向的局部物物相连过渡到横向的跨应用、跨地域的物联网。所谓物联网（Internet of Things），指的是通过射频识别（RFID）、红外感应器、全球定位系统、激光扫描器等信息传感设备，按约定的协议，把任何物品与互联网相连接，进行信息交换和通信，以实现智能化识别、定位、跟踪、监控和管理的一种网络概念。从1999年提出物联网概念到现在，很多科研成果不断涌现，但从物联网的安全角度看还相当薄弱，需要各国和组织提高安全认识，找到可靠有效的安全机制。 　　2 物联网的体系架构及威胁分析 　　根据对物联网的理论探讨和技术、产业的实践观察，目前物联网业界比较认可的是将系统划分为三个层次：感知层、网络层、应用层，如图1所示，并概括的描绘物联网的系统架构。 　　感知层解决的是人类世界和物理世界的数据获取的问题。可进一步划分为两个子层，首先是通过传感器、码相机等设备采集外部物理世界的数据，然后通过RFID、条码、工业现场总线、蓝牙、红外等短距离传输技术传递数据。感知层所需要的关键技术包括检测技术、短距离有线和无线通信技术等。感知层所面临的威胁主要有对节点本省的物理攻击、长时间占用信道导致合法通信 　　无法进行引起的信道阻塞、伪造攻击、信息篡改等。 　　网络层解决的是感知层所获得的数据在一定范围内，通常是长距离的传输问题。这些数据可以通过移动通信网，国际互联网、企业内部网、各类专网、小型局域网等网络传输。特别是当三网融合后，有线电视网也能承担物联网网络层的功能，有利于物联网的加快推进。网络层所需要的关键技术包括长距离有线和无线通信技术、网络技术等。网络层受到的攻击主要有：虚假路由信息的传播、选择性转发/不转发、黑洞攻击、hello包泛洪等攻击都会使得发送的数据??到达不了目的地，从而造成网络混乱。 　　应用层解决的是信息处理和人机界面的问题。网络层传输而来的数据在这一层里进入各类信息系统进行处理，并通过各种设备与人进行交互。这一层也可按形态直观地划分为两个子层。一个是应用程序层，进行数据处理，它涵盖了国民经济和社会的每一领域，包括电力、医疗、银行、交通、环保、物流、工业、农业、城市管理、家居生活等，包括支付、监控、安保、定位盘点、预测等，可用于政府、企业、社会组织、家庭、个人等。这正是物联网作为深度信息化的重要体现。另一个是终端设备层，提供人机界面。物联网虽然是“物物相连的网”，但最终是要以人为本的，最终还是需要人的操作与控制，不过这里的人机界面已远远超出现时人与计算机交互的概念，而是泛指与应用程序相连的各种设备与人的反馈。应用层所面临的安全主要有本地安全威胁，如设备的盗用与破坏；无线链路的非授权访问、拒绝服务攻击等；服务网络的非法入侵等。 　　3 物联网的安全架构 　　明确了物联网的体系结构和所面临的安全形势，接下来考虑如何解决物联网面临的安全问题。由于物联网必须兼容和集成现有的TCP/IP网络和无线移动网等，因此现有网络安全体系中的大部分机制仍然可以适用于物联网，并能够提供一定的安全性，但还需根据物联网的特征对安全机制进行调整和补充，对物联网的发展需要重新规划并制定可持续发展的安全架构，使物联网在发展和应用过程中，其安全防护措施能够不断完善。 　　3.1 感知层的安全架构 　　在感知层内部，需要有效的密钥管理机制，用于保障感知层内部通信的安全。由于感知层传感网类型的多样性，很难统一要求有哪些安全服务，但机密性和认证性都是必要的。机密性需要在通信时建立一个临时会话密钥，而认证性可以通过对称密码或非对称密码方案解决，使用对称密码的认证方案需要预置节点间的共享密钥，在效率上也比较高，消耗网络节点的资源较少，许多传感器都选用此方案；而使用非对称密码技术的传感器一般具有较好的计算和通信能力，并且对安全性要求更高。安全架构如图2所示。传感网的安全需求 涉及的密码技术包括轻量级密码算法、轻量级密码协议、可设定安全等级的密码技术等。 　　3.2 网络层的安全架构 　　接入层和网络层的安全机制可分为端到端机密性和节点到节点机密性。对于端到端机密性，需要建立如下安全机制：端到端认证机制、端到端密钥协商机制、密钥管理机制和机密性算法选取机制等。对于节点到节点机密性，需要节点间的认证和密钥协商协议，这类协议要重点考虑效率因素。机密性算法的选取和数据完整性服务则可以根据需求选取和省略。如图3所示。 　　3.3 应用层的安全架构 　　在感知层和网络层中都不涉及隐私