浅析物联网安全
开篇:润墨网以专业的文秘视角,为您筛选了一篇浅析物联网安全范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:随着物联网逐渐被人们认识和应用,它将人和周围物品联系起来,使物品成为网络中的一份子,并给人们带来诸多便利。然而,在享受物联网带给人类们便利的同时,物联网在信息安全方面也存在一定的局限性。本文通过对物联网的基本概念及原理,安全尺度和特有安全问题进行阐述分析,提出物联网安全中间件的体系架构,从而对物联网安全方面的建设积极建言。
关键词:物联网;安全;中间件;体系架构
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)11-2528-03
Brief Introduction of M2M Security
SONG Yong-guo
(IT Department of Lucent Technologies Qingdao Telecommunications Systems, Ltd. Qingdao 266101, China)
Abstract: With gradual recognition and application of Internet of things, people and items around are being linked, so that goods are becoming part of the network and much convenience are being brought to people. However, while we enjoy the convenience, there exists some limitations on information security. This article elaborates the basic concepts, principles, safety standards, and the specific issues about Internet of things and brings forward the system architecture of security middleware of Internet of things, so as to provide positive suggestions to contribute to the security construction for it.
Key words: internet of things; security; middleware; system architecture
物联网产业的热潮正在席卷全球,它被誉为继计算机、互联网、移动通信网之后的又一次信息产业浪潮。早在1999年,物联网(The Internet of things)的概念就被提出来,它是指通过射频识别(RFID)、红外感应器、全球定位系统、激光扫描器等信息传感设备,按约定的协议,把物品与互联网连接起来,进行信息交换和通讯,以实现智能化识别、定位、跟踪、监控和管理的一种网络。2005年,在突尼斯举行世界峰会上,国际电信联盟(ITU) 给出了物联网的定义 , 物联网主要解决物品到物品 (Thing to Thing, T2T), 人到物品 (Human to Thing, H2T), 人到人 (Human to Human, H2H) 之间的互连。
中国高度重视物联网的发展,2009年8月7日,视察无锡并指示,要迅速在无锡建立中国的“感知中国”中心;同年底,国务院正式批复,在无锡建设国家传感网创新示范区方案;2010年1月4日,无锡物联网产业研究院揭牌成立,这是继中国物联网发展研究中心之后,在国家传感网创新示范区内建设的又一重要战略平台。政府和社会对物联网发展的重视再次成为产业发展创新的强烈指向信号。
物联网用途广泛,遍及智能家居、智能交通、智能消防、环境保护、公共安全、工业监测、个人健康等多个领域。就目前来看,行业应用将成为未来几年物联网产业发展的主要动力。在政府的大力扶持下,物联网产业发展机会巨大,市场前景广阔。然而,和互联网一样,物联网让一切变得更加智能化的同时,也更加危险,特别是当这个网络由别人掌控。这也意味着,在规模化推广之前,安全问题是必须解决的一个重要环节。
为了增强安全性,在物联网的三层基本结构的基础上,增加了密码服务、认证服务等安全机制。传统的网络中,网络层的安全和业务层的安全是相互独立的,而物联网的特殊安全问题很大一部分是由于物联网是在现有移动网络基础上集成了感知网络和应用平台带来的,因此,移动网络中的大部分机制仍然可以适用于物联网并能够提供一定的安全性,如认证机制、加密机制等。但还是需要根据物联网的特征对安全机制进行调整和补充。目前,物联网的发展还是初级阶段,更多的时候只是一个概念。本文将分析物联网安全方面存在的问题,进而提出物联网安全中间件的架构,为物联网安全方面的设计提供参考。
1 物联网的相关问题
1.1 物联网架构
可以将物联网分为四个部分,包括感知层、网络层、应用层和公共技术,如图1所示。
1) 感知层―识别物体,信息采集:感知层包括二维码、RFID读写器、摄像头、GPS、传感器网络等,主要用于采集现实世界中发生的事件和数据。
2) 网络层―信息传递和处理:网络层需要传感器网络与移动通信技术、互联网技术相融合,实现广泛的互连功能,把感知到的信息安全高效的传递到应用层。
3) 应用层―与行业需求结合,实现广泛智能化:应用层主要包含应用支撑平台子层和应用服务子层。其中应用支撑平台子层用于支撑跨行业、跨应用、跨系统之间的信息协同、共享、互通的功能。应用服务子层包括工业监控、公共安全、城市管理、远程医疗、智能交通、智能家居等行业应用。应用层是物联网与行业的深度融合,与行业需求结合,实现智能化。
4) 公共技术―优化服务:公共技术不属于物联网技术的某个特定层面,但是与物联网技术架构的三层都有关系,它包括标识与解析、安全技术、网络管理和服务质量(QoS)管理。
1.2 物联网信息安全
1.2.1 安全尺度
物联网系统的安全主要有八个尺度:读取控制、隐私保护、用户认证、不可抵赖性、数据保密性、通信层安全、数据完整性、随时可用性。其中前4项主要处在物联网架构的应用层,后4项主要位于网络层和感知层。参照以上的八个安全尺度,我们可以发现,现有的安全体系基本上可以满足物联网的应用需要,尤其是在初级和中级发展阶段。
“隐私权”和“可信度”(数据完整性和保密性)问题在物联网系统中尤其受关注。首先个人数据的隐私保护是当今的互联网安全的一个不变的优先度非常高的话题,所以物联网如果想要发展,就必须面临使普通用户如何避免风险这个问题。安全尺度的一个重要基础标准就是如何避免人们在物联网使用过程当中所承受的风险。其次,物联网是一种虚拟网络与现实世界实时交互的新型系统,其无处不在的数据感知、以无线为主的信息传输、智能化的信息处理所组成的整个过程对于数据完整性和保密性有相当高的依赖性。物联网的发展,是基于海量数据的收集,传输和处理的基础上的,因此“可信度”也是物联网安全尺度的重要标准之一。
1.2.2 特有安全问题
由于物联网在多种情况下需要无线传输,无线信号很容易被窃取和干扰,这将直接影响到物联网体系的安全,因此有如下几种特有安全问题。
1) 感知层本地安全问题―由于物联网应用设备多数情况都部署在无人监守的环境下,攻击者很容易接触到设备,并进行破坏,例如在不知情的情况下,读取信息;用机械手段屏蔽信号让终端无法连接;克隆终端设备,冒名顶替;损坏或盗走终端设备。
2) 感知网络传输与信息安全问题―感知节点功能简单,能量有限,无法拥有复杂的安全保护能力,使得信息可能被中途截取。
3) 核心网络传输和信息安全问题―核心网络具有相对完整的保护能力,但是由于物联网中节点数量庞大,大量节点发送数据使网络拥塞,产生拒绝服务攻击。
物联网还可能带来许多个人隐私泄露。在未来的物联网中,每个人包括每件拥有的物品都将随时随地连接在这个网络上,随时随地被感知,在这种环境中如何确保信息的安全性和隐私性,防止个人信息、业务信息丢失或被他人盗用,将是物联网推进过程中需要突破的重大障碍之一,因此研究物联网安全中间件十分必要。
2 物联网安全中间件体系架构
由于物联网特有的安全问题所致,在硬件层面上进行较复杂的安全保护实现起来非常困难,因此在体系中增加安全中间件就是一种较为易实现的安全策略。安全中间件是一类中间件的技术,它采用许多成熟的中间件技术和安全技术来屏蔽安全的复杂性,如算法复杂性,模块间和模块内部的安全,体系结构安全,基于组件的安全机器效率等等,从而使安全技术真正易用,易普及,将物联网真正实用化。安全中间件是实施安全策略,实现安全服务的基础架构。
如果物联网的设计没有健全的安全机制,会降低公众对此信任。因此,在物联网中间件的设计之初就要考虑到安全问题,笔者提出了物联网安全中间件的体系架构,如图2所示。
图2中,在物联网的三层架构中,均增加了安全机制,包括密码服务、认证服务和安全应用。其中,密码服务和认证服务中又包含了各种加密算法和认证方式。省略号表示其他可能有效的安全机制,可以对应加入到该架构中。
通过在架构中增加安全中间件,屏蔽了安全技术的复杂性,向用户提供统一的安全接口标准,满足各种级别的安全应用需求,能与其他中间件一起无缝地整合于物联网应用平台。安全中间件贯穿于物联网的三层架构中,将信息安全与各个层面中的业务功能分离开来,提供单独的安全验证服务,从而使物联网体系中的安全机制变得更加灵活,可以根据情况的变化满足不同的安全需求。同时,安全中间件可以作为物联网体系中的一个单独模块,由专门的有实力的专业企业或者团队来实现,提供标准接口。这样就可以将信息安全与物联网的业务分离,使专注于物联网的企业不用再为专业的信息安全问题考虑解决方案。
物联网是一个广大的市场,在其发展过程中,必然会有无数的团体和个人参加进来。由此使信心安全的复杂程度提高到了一个前所未有的高度。安全中间件针对这个问题,将新鲜全问题分离出来,作为物联网三层架构共有的一个中间件。同时,也将从事物联网的团体和个人从信息安全的困惑中解脱出来。按照公共标准制定的安全中间件,将可以加入到物联网的各层架构中,与物联网体系无缝融合在一起。
2.1 密码服务
密码服务是整个安全中间件的核心,它以应用密码学为基础,能够实现数据的加密、解密、数字签名和认证等。密码服务是上层认证服务的基础,同时提供了统一的密码服务接口,能够满足特定的安全服务需求。密码服务的底层是一个加密库,主要有以下几个模块。
1) 随机数算法模块:采用伪随机数序列设计,支持RC4算法,增强伪随机数的安全,同时,为密钥的产生提供保障。
2) 对称加密算法模块:支持高强度的分组加密算法,且支持各种加密模式,主要用于加密传输的信息,可以使在中途拦截的感知网络传输信息不可用。
3) 公钥模块:提供了DiffieHellman、RSA和ECC三种可选的系统,是安全认证、数字签名和证书服务的基础。RSA既能用于数据加密也能用于数字签名的算法,对冒名顶替可以有效的识别;ECC算法是计算资源有限移动终端的首选。
4) 单向Hash算法模块:带有秘密密钥的单向Hash函数又称消息鉴别码(MAC),用于消息完整性校验,可以防止消息被篡改。
密码服务是保障信息安全的基础。通过提供多种算法模块以供用户选择,并且根据所选择的算法生成相应的密码,以求达到最适合当前实际情况的安全认证手段。由于物联网的应用可以取代人来完成一些复杂、危险和机械的工作,所以物联网机器/感知节点多数部署在无人监控的场景中。密码服务将会避免攻击者可以轻易地接触到这些设备,从而对它们造成破坏,甚至通过本地操作更换机器的软硬件。又因为智能传感终端、RFID电子标签相对于传统TCP/IP网络而言是“”在攻击者的眼皮底下的,再加上传输平台是在一定范围内“暴露”在空中的,“窜扰”在传感网络领域显得非常频繁、并且容易。所以,传感器网络中的假冒攻击是一种主动攻击形式,它极大地威胁着传感器节点间的协同工作。通过密码服务明确使用者的身份信息,确认其角色是否可以接受,将可以识别绝大部分的假冒攻击。
同时,物联网最终将会与现在的互联网一样,深入到世界的每个角落,参与到人们生活得每个细节中。因此,每个人的个人信息,业务信息以及个人物品等等隐私信息都将会连接到物联网上。密码服务从用户方向为物联网的安全性提供了第一层保障。
密码服务是解决数据保密性和通信层安全的基础。传统的网络加密机制是逐跳加密,即信息在发送过程中,虽然在传输过程中是加密的,但是需要不断地在每个经过的节点上解密和加密,即在每个节点上都是明文的。而业务层加密机制则是端到端的,即信息只在发送端和接收端才是明文,而在传输的过程和转发节点上都是密文。密码服务可以为以上的两种加密方式提供算法支持。根据不同的安全策略,提供相应的密码服务。
2.2 认证服务
认证服务主要完成数据认证的一种机制,确保协议双方数据的可靠性。本架构采用的认证方式有以下几种。
1) 开放式认证:允许任何物联网设备访问,只要其符合预先设置的标识过滤规定,在认证过程中和认证后的所有通讯均以明文方式传输,没有任何加密技术来保护。
2) 基于共享密钥的认证:它是以WEP算法为基础的共享密钥认证。物联网通讯设备间共享同一公共密钥,通过私钥来进行认证。
3) RADIUS认证:RADIUS (Remote Authentication Dial-In User Service) 远程接入用户认证服务,是基于用户的认证,通过物联网设备唯一的ID标识码作为认证信息来批准或拒绝双方通信。RADIUS服务器收集用户的认证信息,如用户ID,访问控制列表等,它可以提供不同的存取级别。在此通讯过程中各种信息都是经过加密的。
4) 扩展认证机制EAP:可扩展认证协议EAP ( Extensible Authentication Protocol) 是PPP( Point - toCPoint Protocol) 认证中的一个通用协议,它是一种封装协议,它允许高层使用不同的身份认证协议,也可将此应用到物联网的认证中,通过不同的认证身份来实现不同的应用。
认证服务是让通信的数据接收方能够确认数据发送方的真实身份,以及数据在传送过程中是否遭到篡改。从物联网的体系结构来看,感知层的认证机制非常有必要。身份认证是确保节点的身份信息,加密机制通过对数据进行编码来保证数据的机密性,以防止数据在传输过程中被窃取,同时通过私钥或公共密钥来进行验证,保证发送方和接收方的数据的一致性和完整性。利用认证服务和技术建立的提供的信息安全服务,是解决信息的真实性、完整性、机密性和不可否认性这一系列问题的技术基础,是物联网环境下保障信息安全的重要方案。