王慧 曾紹平

摘 要：本文通過物聯(lián)網存在的安全風險，從感知層、網絡層、應用層三個技術層面，分析了物聯(lián)網的網絡攻擊技術及相應的安全防護技術。

關鍵詞：物聯(lián)網；網絡攻擊；安全防護

隨著物聯(lián)網在國家基礎設施、經濟活動、以及智能家居、交通、醫(yī)療等社會活動方面的廣泛應用，物聯(lián)網的安全問題已不僅僅局限于網絡攻防等技術領域范疇，而是已成為影響人們日常生活和社會穩(wěn)定的重要因素。

1 物聯(lián)網安全風險分析

從信息安全和隱私保護的角度講，物聯(lián)網各種智能終端的廣泛聯(lián)網，極易遭受網絡攻擊，增加了用戶關鍵信息的暴露危險，也加大了物聯(lián)網系統(tǒng)與網絡的信息安全防護難度。

2 物聯(lián)網攻擊技術及安全防護體系

2.1 感知層安全問題

⑴物理安全與信息采集安全。感知層是物聯(lián)網的網絡基礎，由具體的感知設備組成，感知層安全問題主要是指感知節(jié)點的物理安全與信息采集安全。

⑵典型攻擊技術。針對感知層的攻擊主要來自節(jié)點的信號干擾或者信號竊取，典型的攻擊技術主要有阻塞攻擊、偽裝攻擊、重放攻擊及中間人攻擊等。

2.2 網絡層安全問題

網絡層主要實現(xiàn)物聯(lián)網信息的轉發(fā)和傳送，包括網絡拓撲組成、網絡路由協(xié)議等。利用路由協(xié)議與網絡拓撲的脆弱性，可對網絡層實施攻擊。

⑴物聯(lián)網接入安全。物聯(lián)網為實現(xiàn)不同類型傳感器信息的快速傳遞與共享，采用了移動互聯(lián)網、有線網、Wi-Fi、WiMAX等多種網絡接入技術。網絡接入層的異構性，使得如何為終端提供位置管理以保證異構網絡間節(jié)點漫游和服務的無縫聯(lián)接時，出現(xiàn)了不同網絡間通信時安全認證、訪問控制等安全問題。

跨異構網絡攻擊，就是針對上述物聯(lián)網實現(xiàn)多種傳統(tǒng)網絡融合時，由于沒有統(tǒng)一的跨異構網絡安全體系標準，利用不同網絡間標準、協(xié)議的差異性，專門實施的身份假冒、惡意代碼攻擊、偽裝欺騙等網絡攻擊技術。

⑵信息傳輸安全。物聯(lián)網信息傳輸主要依賴于傳統(tǒng)網絡技術，網絡層典型的攻擊技術主要包括鄰居發(fā)現(xiàn)協(xié)議攻擊、蟲洞攻擊、黑洞攻擊等。

鄰居發(fā)現(xiàn)協(xié)議攻擊。利用IPv6中鄰居發(fā)現(xiàn)協(xié)議（Neighbor Discovery Protocol），使得目標攻擊節(jié)點能夠為其提供路由連接，導致目標節(jié)點無法獲得正確的網絡拓撲感知，達到目標節(jié)點過載或阻斷網絡的目的。如Hello洪泛攻擊。

2.3 應用層安全問題

應用層主要是指建立在物聯(lián)網服務與支撐數(shù)據(jù)上的各種應用平臺，如云計算、分布式系統(tǒng)、海量信息處理等，但是，這些支撐平臺要建立起一個高效、可靠和可信的應用服務，需要建立相應的安全策略或相對獨立的安全架構。典型的攻擊技術包括軟件漏洞攻擊、病毒攻擊、拒絕服務流攻擊。

3 物聯(lián)網安全防護的關鍵技術

物聯(lián)網安全防護，既有傳統(tǒng)信息安全的各項技術需求，又包含了物聯(lián)網自身的特殊技術規(guī)范，特別是物物相連的節(jié)點安全。

3.1 節(jié)點認證機制技術

節(jié)點認證機制是指感知層節(jié)點與用戶之間信息傳送時雙方進行身份認證，確保非法節(jié)點節(jié)點及非法用戶不能接入物聯(lián)網，確保信息傳遞安全。通過加密技術和密鑰分配，保證節(jié)點和用戶身份信息的合法性及數(shù)據(jù)的保密性，從而防止在傳遞過程中數(shù)據(jù)被竊取甚至篡改。

物聯(lián)網主要采用對稱密碼或非對稱密碼進行節(jié)點認證。對稱密碼技術，需要預置節(jié)點間的共享密鑰，效率高，消耗資源較少；采用非對稱密碼技術的傳感，通常對安全性要求更高，對自身網絡性能也同樣要求很高。在二者基礎上發(fā)展的PKI技術，由公開密鑰密碼技術、數(shù)字證書、證書認證中心等組成，確保了信息的真實性、完整性、機密性和不可否認性，是物聯(lián)網環(huán)境下保障信息安全的重要方案。

3.2 入侵檢測技術

入侵檢測技術，能夠及時發(fā)現(xiàn)并報告物聯(lián)網中未授權或異常的現(xiàn)象，檢測物聯(lián)網中違反安全策略的各種行為。

信息收集是入侵檢測的第一步，由放置在不同網段的傳感器來收集，包括日志文件、網絡流量、非正常的目錄和文件改變、非正常的程序執(zhí)行等情況。信息分析是入侵檢測的第二步，上述信息被送到檢測引擎，通過模式匹配、統(tǒng)計分析和完整性分析等方法進行非法入侵告警。結果處理是入侵檢測的第三步，按照告警產生預先定義的響應采取相應措施，重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性等。

3.3 訪問控制技術

訪問控制在物聯(lián)網環(huán)境下被賦予了新的內涵，從TCP/IP網絡中主要給“人”進行訪問授權、變成了給機器進行訪問授權，有限制的分配、交互共享數(shù)據(jù)，在機器與機器之間將變得更加復雜。

訪問控制技術用于解決誰能夠以何種方式訪問哪些系統(tǒng)資源的問題。適當?shù)脑L問控制能夠阻止未經允許的用戶有意或無意獲取數(shù)據(jù)。其手段包括用戶識別代碼、口令、登錄控制、資源授權、授權核查、日志和審計等。

[參考文獻]

[1]劉宴兵，胡文平.物聯(lián)網安全模型與關鍵技術.數(shù)字通信，2010.8.

[2]臧勁松.物聯(lián)網安全性能分析.計算機安全，2010.6.

[3]葉青.物聯(lián)網安全問題技術分析.網絡安全技術與應用，2010.10.

[4]劉件，候毅.物聯(lián)網時代的信息安全防護研究.微計算機應用，2011.1.