1、物聯網平安架構初探武傳坤 中國科學院軟件研究所信息平安國家重點實驗室 物聯網是信息技術開展到一定階段的產物，是全球信息產業的又一次科技與經濟浪潮，將影響到許多重大技術創新和產業的開展，受到各國政府、企業和科研機構的高度重視。同時，物聯網的信息平安問題是關系物聯網產業能否平安可持續開展的核心技術之一，必需引起高度重視。因此如何建立合理的物聯網平安架構和平安體系將對物聯網的平安使用和可持續開展有著重大影響。本文試圖從不同層次分析物聯網的平安需求，搭建物聯網的平安架構體系，希望為物聯網可靠的信息平安系統提供理論參考依據。物聯網應具備三個特征:一是全面感知;二是可靠傳遞;三是智能處理。盡管對物聯網概念

2、還有其他一些不同的描述，但內涵根本相同。因此我們在分析物聯網的平安性時，也相應地將其分為三個邏輯層，即感知層，傳輸層和處理層。除此之外，在物聯網的綜合應用方面還應該有一個應用層，它是對智能處理后的信息的利用。在某些框架中，盡管智能處理應該與應用層可能被作為同一邏輯層進行處理，但從信息平安的角度考慮，將應用層獨立出來更容易建立平安架構。本文試圖從不同層次分析物聯網對信息平安的需求和如何建立平安架構。 其實，對物聯網的幾個邏輯層，目前已經有許多針對性的密碼技術手段和解決方案。但需要說明的是，物聯網作為一個應用整體，各個層獨立的平安措施簡單相加缺乏以提供可靠的平安保障。而且，物聯網與幾個邏輯層所對應

3、的根底設施之間還存在許多本質區別。最根本的區別可以從下述幾點看到:(1)已有的對傳感網(感知層)、互聯網(傳輸層)、移動網(傳輸層)、平安多方計算、云計算(處理層)等的一些平安解決方案在物聯網環境可能不再適用。首先，物聯網所對應的傳感網的數量和終端物體的規模是單個傳感網所無法相比的;其次，物聯網所聯接的終端設備或器件的處理能力將有很大差異，它們之間可能需要相互作用;再次，物聯網所處理的數據量將比現在的互聯網和移動網都大得多。(2)即使分別保證感知層、傳輸層和處理層的平安，也不能保證物聯網的平安。這是因為物聯網是融幾個層于一體的大系統，許多平安問題來源于系統整合;物聯網的數據共享對平安性提出了更

4、高的要求;物聯網的應用將對平安提出了新要求，比方隱私保護不屬于任一層的平安需求，但卻是許多物聯網應用的平安需求。資料個人收集整理，勿做商業用途鑒于以上諸原因，對物聯網的開展需要重新規劃并制定可持續開展的平安架構，使物聯網在開展和應用過程中，其平安防護措施能夠不斷完善。1 感知層的平安需求和平安框架 在討論平安問題之前，首先要了解什么是感知層。感知層的任務是全面感知外界信息，或者說是原始信息收集器。該層的典型設備包括RFID裝置、各類傳感器(如紅外、超聲、溫度、濕度、速度等)、圖像捕捉裝置(攝像頭)、全球定位系統(GPS)、激光掃描儀等。這些設備收集的信息通常具有明確的應用目的，因此傳統上這些信

5、息直接被處理并應用，如公路攝像頭捕捉的圖像信息直接用于交通監控。但是在物聯網應用中，多種類型的感知信息可能會同時處理，綜合利用，甚至不同感應信息的結果將影響其他控制調節行為，如濕度的感應結果可能會影響到溫度或光照控制的調節。同時，物聯網應用強調的是信息共享，這是物聯網區別于傳感網的最大特點之一。比方交通監控錄像信息可能還同時被用于公安偵破、城市改造規劃設計、城市環境監測等。于是，如何處理這些感知信息將直接影響到信息的有效應用。為了使同樣的信息被不同應用領域有效使用，應該有綜合處理平臺，這就是物聯網的智能處理層，因此這些感知信息需要傳輸到一個處理平臺。文檔收集自網絡，僅用于個人學習在考慮感知信息

6、進入傳輸層之前，我們把傳感網絡本身(包括上述各種感知器件構成的網絡)看作感知的局部。感知信息要通過一個或多個與外界網連接的傳感節點，稱之為網關節點(sink或gateway)，所有與傳感網內部節點的通信都需要經過網關節點與外界聯系，因此在物聯網的傳感層，我們只需要考慮傳感網本身的平安性即可。1.1感知層的平安挑戰和平安需求感知層可能遇到的平安挑戰包括以下情況:(1)傳感網的網關節點被敵手控制平安性全部喪失;(2)傳感網的普通節點被敵手控制(敵手掌握節點密鑰);(3)傳感網的普通節點被敵手捕獲(但由于沒有得到節點密鑰，而沒有被控制);(4)傳感網的節點(普通節點或網關節點)受來自于網絡的DOS攻

7、擊;(5)接入到物聯網的超大量傳感節點的標識、識別、認證和控制問題。 敵手捕獲網關節點不等于控制該節點，一個傳感網的網關節點實際被敵手控制的可能性很小，因為需要掌握該節點的密鑰(與傳感網內部節點通信的密鑰或與遠程信息處理平臺共享的密鑰)，而這是很困難的。如果敵手掌握了一個網關節點與傳感網內部節點的共享密鑰，那么他就可以控制傳感網的網關節點，并由此獲得通過該網關節點傳出的所有信息。但如果敵手不知道該網關節點與遠程信息處理平臺的共享密鑰，那么他不能篡改發送的信息，只能阻止局部或全部信息的發送，但這樣容易被遠程信息處理平臺覺察到。因此，假設能識別一個被敵手控制的傳感網，便可以降低甚至防止由敵手控制的

8、傳感網傳來的虛假信息所造成的損失。傳感網遇到比較普遍的情況是某些普通網絡節點被敵手控制而發起的攻擊，傳感網與這些普通節點交互的所有信息都被敵手獲取。敵手的目的可能不僅僅是被動竊聽，還通過所控制的網絡節點傳輸一些錯誤數據。因此，傳感網的平安需求應包括對惡意節點行為的判斷和對這些節點的阻斷，以及在阻斷一些惡意節點(假定這些被阻斷的節點分布是隨機的)后，網絡的連通性如何保障。 對傳感網絡分析(很難說是否為攻擊行為，因為有別于主動攻擊網絡的行為)更為常見的情況是敵手捕獲一些網絡節點，不需要解析它們的預置密鑰或通信密鑰(這種解析需要代價和時間)，只需要鑒別節點種類，比方檢查節點是用于檢測溫度、濕度還是噪

9、音等。有時候這種分析對敵手是很有用的。因此平安的傳感網絡應該有保護其工作類型的平安機制。既然傳感網最終要接入其他外在網絡，包括互聯網，那么就難免受到來自外在網絡的攻擊。目前能預期到的主要攻擊除了非法訪問外，應該是拒絕效勞(DOS)攻擊了。因為傳感網節點的通常資源(計算和通信能力)有限，所以對抗DOS攻擊的能力比較脆弱，在互聯網環境里不被識別為DOS攻擊的訪問就可能使傳感網癱瘓，因此，傳感網的平安應該包括節點抗DOS攻擊的能力。考慮到外部訪問可能直接針對傳感網內部的某個節點(如遠程控制啟動或關閉紅外裝置)，而傳感網內部普通節點的資源一般比網關節點更小，因此，網絡抗DOS攻擊的能力應包括網關節點和

10、普通節點兩種情況。 傳感網接入互聯網或其他類型網絡所帶來的問題不僅僅是傳感網如何對抗外來攻擊的問題，更重要的是如何與外部設備相互認證的問題，而認證過程又需要特別考慮傳感網資源的有限性，因此認證機制需要的計算和通信代價都必須盡可能小。此外，對外部互聯網來說，其所連接的不同傳感網的數量可能是一個龐大的數字，如何區分這些傳感網及其內部節點，有效地識別它們，是平安機制能夠建立的前提。針對上述的挑戰，感知層的平安需求可以總結為如下幾點:(1)機密性:多數傳感網內部不需要認證和密鑰管理，如統一部署的共享一個密鑰的傳感網。(2)密鑰協商:局部傳感網內部節點進行數據傳輸前需要預先協商會話密鑰。(3)節點認證:

11、個別傳感網(特別當傳感數據共享時)需要節點認證，確保非法節點不能接入。(4)信譽評估:一些重要傳感網需要對可能被敵手控制的節點行為進行評估，以降低敵手入侵后的危害(某種程度上相當于入侵檢測)。(5)平安路由:幾乎所有傳感網內部都需要不同的平安路由技術。1.2 感知層的平安架構 了解了傳感網的平安威脅，就容易建立合理的平安架構。在傳感網內部，需要有效的密鑰管理機制，用于保障傳感網內部通信的平安。傳感網內部的平安路由、聯通性解決方案等都可以相對獨立地使用。由于傳感網類型的多樣性，很難統一要求有哪些平安效勞，但機密性和認證性都是必要的。機密性需要在通信時建立一個臨時會話密鑰，而認證性可以通過對稱密碼

12、或非對稱密碼方案解決。使用對稱密碼的認證方案需要預置節點間的共享密鑰5，在效率上也比較高，消耗網絡節點的資源較少，許多傳感網都選用此方案;而使用非對稱密碼技術的傳感網一般具有較好的計算和通信能力，并且對平安性要求更高。在認證的根底上完成密鑰協商是建立會話密鑰的必要步驟。平安路由和入侵檢測等也是傳感網應具有的性能。 由于傳感網的平安一般不涉及其他網路的平安，因此是相對較獨立的問題，有些已有的平安解決方案在物聯網環境中也同樣適用。但由于物聯網環境中傳感網遭受外部攻擊的時機增大，因此用于獨立傳感網的傳統平安解決方案需要提升平安等級后才能使用，也就是說在平安的要求上更高，這僅僅是量的要求，沒有質的變化

13、。相應地，傳感網的平安需求所涉及的密碼技術包括輕量級密碼算法、輕量級密碼協議、可設定平安等級的密碼技術等。2 傳輸層的平安需求和平安框架 物聯網的傳輸層主要用于把感知層收集到的信息平安可靠地傳輸到信息處理層，然后根據不同的應用需求進行信息處理，即傳輸層主要是網絡根底設施，包括互聯網、移動網和一些專業網(如國家電力專用網、播送電視網)等。在信息傳輸過程中，可能經過一個或多個不同架構的網絡進行信息交接。例如，普通 座機與 之間的通話就是一個典型的跨網絡架構的信息傳輸實例。在信息傳輸過程中跨網絡傳輸是很正常的，在物聯網環境中這一現象更突出，而且很可能在正常而普通的事件中產生信息平安隱患。2.1傳輸層

14、的平安挑戰和平安需求 網絡環境目前遇到前所未有的平安挑戰，而物聯網傳輸層所處的網絡環境也存在平安挑戰，甚至是更高的挑戰。同時，由于不同架構的網絡需要相互連通，因此在跨網絡架構的平安認證等方面會面臨更大挑戰。初步分析認為，物聯網傳輸層將會遇到以下平安挑戰。 (1)DOS攻擊、DDOS攻擊;(2)假冒攻擊、中間人攻擊等;(3)跨異構網絡的網絡攻擊。 在物聯網開展過程中，目前的互聯網或者下一代互聯網將是物聯網傳輸層的核心載體，多數信息要經過互聯網傳輸。互聯網遇到的DOS和分布式拒絕效勞攻擊(DDOS)仍然存在，因此需要有更好的防范措施和災難恢復機制。考慮到物聯網所連接的終端設備性能和對網絡需求的巨大

15、差異，對網絡攻擊的防護能力也會有很大差異，因此很難設計通用的平安方案，而應針對不同網絡性能和網絡需求有不同的防范措施。 在傳輸層，異構網絡的信息交換將成為平安性的脆弱點，特別在網絡認證方面，難免存在中間人攻擊和其他類型的攻擊(如異步攻擊、合謀攻擊等)。這些攻擊都需要有更高的平安防護措施。 如果僅考慮互聯網和移動網以及其他一些專用網絡，那么物聯網傳輸層對平安的需求可以概括為以下幾點: (1)數據機密性:需要保證數據在傳輸過程中不泄露其內容;(2)數據完整性:需要保證數據在傳輸過程中不被非法篡改，或非法篡改的數據容易被檢測出;(3)數據流機密性:某些應用場景需要對數據流量信息進行保密，目前只能提供

16、有限的數據流機密性;(4)DDOS攻擊的檢測與預防:DDOS攻擊是網絡中最常見的攻擊現象，在物聯網中將會更突出。物聯網中需要解決的問題還包括如何對脆弱節點的DDOS攻擊進行防護;(5)移動網中認證與密鑰協商(AKA)機制的一致性或兼容性、跨域認證和跨網絡認證(基于IMSI):不同無線網絡所使用的不同AKA機制對跨網認證帶來不利。這一問題亟待解決。2.2 傳輸層的平安架構 傳輸層的平安機制可分為端到端機密性和節點到節點機密性。對于端到端機密性，需要建立如下平安機制:端到端認證機制、端到端密鑰協商機制、密鑰管理機制和機密性算法選取機制等。在這些平安機制中，根據需要可以增加數據完整性效勞。對于節點到

17、節點機密性，需要節點間的認證和密鑰協商協議，這類協議要重點考慮效率因素。機密性算法的選取和數據完整性效勞那么可以根據需求選取或省略。考慮到跨網絡架構的平安需求，需要建立不同網絡環境的認證銜接機制。另外，根據應用層的不同需求，網絡傳輸模式可能區分為單播通信、組播通信和播送通信，針對不同類型的通信模式也應該有相應的認證機制和機密性保護機制。簡言之，傳輸層的平安架構主要包括如下幾個方面:(1)節點認證、數據機密性、完整性、數據流機密性、DDOS攻擊的檢測與預防;(2)移動網中AKA機制的一致性或兼容性、跨域認證和跨網絡認證(基于IMSI);(3)相應密碼技術。密鑰管理(密鑰根底設施PKI和密鑰協商)

18、、端對端加密和節點對節點加密、密碼算法和協議等;(4)組播和播送通信的認證性、機密性和完整性平安機制。3 處理層的平安需求和平安框架 處理層是信息到達智能處理平臺的處理過程，包括如何從網絡中接收信息。在從網絡中接收信息的過程中，需要判斷哪些信息是真正有用的信息，哪些是垃圾信息甚至是惡意信息。在來自于網絡的信息中，有些屬于一般性數據，用于某些應用過程的輸入，而有些可能是操作指令。在這些操作指令中，又有一些可能是多種原因造成的錯誤指令(如指令發出者的操作失誤、網絡傳輸錯誤、得到惡意修改等)，或者是攻擊者的惡意指令。如何通過密碼技術等手段甄別出真正有用的信息，又如何識別并有效防范惡意信息和指令帶來的

19、威脅是物聯網處理層的重大平安挑戰。3.1 處理層的平安挑戰和平安需求 物聯網處理層的重要特征是智能，智能的技術實現少不了自動處理技術，其目的是使處理過程方便迅速，而非智能的處理手段可能無法應對海量數據。但自動過程對惡意數據特別是惡意指令信息的判斷能力是有限的，而智能也僅限于按照一定規那么進行過濾和判斷，攻擊者很容易避開這些規那么，正如垃圾郵件過濾一樣，這么多年來一直是一個棘手的問題。因此處理層的平安挑戰包括如下幾個方面: (1)來自于超大量終端的海量數據的識別和處理;(2)智能變為低能;(3)自動變為失控(可控性是信息平安的重要指標之一);(4)災難控制和恢復;(5)非法人為干預(內部攻擊);

20、(6)設備(特別是移動設備)的喪失。 物聯網時代需要處理的信息是海量的，需要處理的平臺也是分布式的。當不同性質的數據通過一個處理平臺處理時，該平臺需要多個功能各異的處理平臺協同處理。但首先應該知道將哪些數據分配到哪個處理平臺，因此數據類別分類是必須的。同時，平安的要求使得許多信息都是以加密形式存在的，因此如何快速有效地處理海量加密數據是智能處理階段遇到的一個重大挑戰。 計算技術的智能處理過程較人類的智力來說還是有本質的區別，但計算機的智能判斷在速度上是人類智力判斷所無法比較的，由此，期望物聯網環境的智能處理在智能水平上不斷提高，而且不能用人的智力去代替。也就是說，只要智能處理過程存在，就可能讓

21、攻擊者有時機躲過智能處理過程的識別和過濾，從而到達攻擊目的。在這種情況下，智能與低能相當。因此，物聯網的傳輸層需要高智能的處理機制。 如果智能水平很高，那么可以有效識別并自動處理惡意數據和指令。但再好的智能也存在失誤的情況，特別在物聯網環境中，即使失誤概率非常小，因為自動處理過程的數據量非常龐大，因此失誤的情況還是很多。在處理發生失誤而使攻擊者攻擊成功后，如何將攻擊所造成的損失降低到最小程度，并盡快從災難中恢復到正常工作狀態，是物聯網智能處理層的另一重要問題，也是一個重大挑戰，因為在技術上沒有最好，只有更好。 智能處理層雖然使用智能的自動處理手段，但還是允許人為干預，而且是必須的。人為干預可能

22、發生在智能處理過程無法做出正確判斷的時候，也可能發生在智能處理過程有關鍵中間結果或最終結果的時候，還可能發生在其他任何原因而需要人為干預的時候。人為干預的目的是為了處理層更好地工作，但也有例外，那就是實施人為干預的人試圖實施惡意行為時。來自于人的惡意行為具有很大的不可預測性，防范措施除了技術輔助手段外，更多地需要依靠管理手段。因此，物聯網處理層的信息保障還需要科學管理手段。 智能處理平臺的大小不同，大的可以是高性能工作站，小的可以是移動設備，如 等。工作站的威脅是內部人員惡意操作，而移動設備的一個重大威脅是喪失。由于移動設備不僅是信息處理平臺，而且其本身通常攜帶大量重要機密信息，因此，如何降低

23、作為處理平臺的移動設備喪失所造成的損失是重要的平安挑戰之一。3.2 處理層的平安架構為了滿足物聯網智能處理層的根本平安需求，需要如下的平安機制。 (1)可靠的認證機制和密鑰管理方案;(2)高強度數據機密性和完整性效勞;(3)可靠的密鑰管理機制，包括PKI和對稱密鑰的有機結合機制;(4)可靠的高智能處理手段;(5)入侵檢測和病毒檢測;(6)惡意指令分析和預防，訪問控制及災難恢復機制;(7)保密日志跟蹤和行為分析，惡意行為模型的建立;(8)密文查詢、秘密數據挖掘、平安多方計算、平安云計算技術等;(9)移動設備文件(包括秘密文件)的可備份和恢復;(10)移動設備識別、定位和追蹤機制。4 應用層的平安

24、需求和平安框架 應用層設計的是綜合的或有個體特性的具體應用業務，它所涉及的某些平安問題通過前面幾個邏輯層的平安解決方案可能仍然無法解決。在這些問題中，隱私保護就是典型的一種。無論感知層、傳輸層還是處理層，都不涉及隱私保護的問題，但它卻是一些特殊應用場景的實際需求，即應用層的特殊平安需求。物聯網的數據共享有多種情況，涉及到不同權限的數據訪問。此外，在應用層還將涉及到知識產權保護、計算機取證、計算機數據銷毀等平安需求和相應技術。4.1 應用層的平安挑戰和平安需求 應用層的平安挑戰和平安需求主要來自于下述幾個方面: (1)如何根據不同訪問權限對同一數據庫內容進行篩選;(2)如何提供用戶隱私信息保護，

25、同時又能正確認證;(3)如何解決信息泄露追蹤問題;(4)如何進行計算機取證;(5)如何銷毀計算機數據;(6)如何保護電子產品和軟件的知識產權。 由于物聯網需要根據不同應用需求對共享數據分配不同的訪問權限，而且不同權限訪問同一數據可能得到不同的結果。例如，道路交通監控視頻數據在用于城市規劃時只需要很低的分辨率即可，因為城市規劃需要的是交通堵塞的大概情況;當用于交通管制時就需要清晰一些，因為需要知道交通實際情況，以便能及時發現哪里發生了交通事故，以及交通事故的根本情況等;當用于公安偵查時可能需要更清晰的圖像，以便能準確識別汽車牌照等信息。因此如何以平安方式處理信息是應用中的一項挑戰。 隨著個人和商

26、業信息的網絡化，越來越多的信息被認為是用戶隱私信息。需要隱私保護的應用至少包括如下幾種: (1)移動用戶既需要知道(或被合法知道)其位置信息，又不愿意非法用戶獲取該信息;(2)用戶既需要證明自己合法使用某種業務，又不想讓他人知道自己在使用某種業務，如在線游戲;(3)病人急救時需要及時獲得該病人的電子病歷信息，但又要保護該病歷信息不被非法獲取，包括病歷數據管理員。事實上，電子病歷數據庫的管理人員可能有時機獲得電子病歷的內容，但隱私保護采用某種管理和技術手段使病歷內容與病人身份信息在電子病歷數據庫中無關聯;(4)許多業務需要匿名性，如網絡投票。很多情況下，用戶信息是認證過程的必須信息，如何對這些信

27、息提供隱私保護，是一個具有挑戰性的問題，但又是必須要解決的問題。例如，醫療病歷的管理系統需要病人的相關信息來獲取正確的病歷數據，但又要防止該病歷數據跟病人的身份信息相關聯。在應用過程中，主治醫生知道病人的病歷數據，這種情況下對隱私信息的保護具有一定困難性，但可以通過密碼技術手段掌握醫生泄露病人病歷信息的證據。資料個人收集整理，勿做商業用途 在使用互聯網的商業活動中，特別是在物聯網環境的商業活動中，無論采取了什么技術措施，都難免惡意行為的發生。如果能根據惡意行為所造成后果的嚴重程度給予相應的懲罰，那么就可以減少惡意行為的發生。技術上，這需要搜集相關證據。因此，計算機取證就顯得非常重要，當然這有一

28、定的技術難度，主要是因為計算機平臺種類太多，包括多種計算機操作系統、虛擬操作系統、移動設備操作系統等。與計算機取證相對應的是數據銷毀。數據銷毀的目的是銷毀那些在密碼算法或密碼協議實施過程中所產生的臨時中間變量，一旦密碼算法或密碼協議實施完畢，這些中間變量將不再有用。但這些中間變量如果落入攻擊者手里，可能為攻擊者提供重要的參數，從而增大成功攻擊的可能性。因此，這些臨時中間變量需要及時平安地從計算機內存和存儲單元中刪除。計算機數據銷毀技術不可防止地會被計算機犯罪提供證據銷毀工具，從而增大計算機取證的難度。因此如何處理好計算機取證和計算機數據銷毀這對矛盾是一項具有挑戰性的技術難題，也是物聯網應用中需要解決的問題。資料個人收集整理，勿做商業用途 物聯網的主要市場將是商業應用，在商業應用中存在大量需要保護的知識產權產品，包括電子產品和軟件等。在物聯網的應用中，對電子產品的知識產權保護將會提高到一個新的高度，對應