王嘉威

（哈爾濱商業(yè)大學(xué) 黑龍江省哈爾濱市 150000）

在最近幾年中，隨著我國社會經(jīng)濟(jì)的不斷快速發(fā)展，科學(xué)技術(shù)水平的不斷提高，出現(xiàn)了物聯(lián)網(wǎng)技術(shù)。通過運用物聯(lián)網(wǎng)技術(shù)，有助于信息傳遞與傳輸速度的提高。在當(dāng)前信息化時代中，人們常常會在網(wǎng)絡(luò)中儲存很多個人信息，不過當(dāng)惡意攻擊者對物聯(lián)網(wǎng)系統(tǒng)進(jìn)行攻擊時，常常會泄露個人重要信息，嚴(yán)重威脅物聯(lián)網(wǎng)系統(tǒng)的安全?；诖耍疚膶ξ锫?lián)網(wǎng)系統(tǒng)安全威脅進(jìn)行深入研究，具有重要意義。

1 相關(guān)理論基礎(chǔ)概述

1.1 物聯(lián)網(wǎng)的定義

物聯(lián)網(wǎng)是由信息讀寫器、信息掃描傳感系統(tǒng)等進(jìn)行構(gòu)成的，通過有效接收、傳遞與處理數(shù)據(jù)信息，可以有效連接虛擬與現(xiàn)實，能夠促使現(xiàn)實物體工作變得更為智能化，能夠智能化識別、定位、跟蹤、管理、控制現(xiàn)實物體，能夠促使現(xiàn)實物體與人類之間進(jìn)行智能化溝通。

1.2 物聯(lián)網(wǎng)結(jié)構(gòu)體系

物聯(lián)網(wǎng)結(jié)構(gòu)體系一共包括四塊內(nèi)容，即：公共技術(shù)層、應(yīng)用程序?qū)?、網(wǎng)絡(luò)層、感知層。

（1）感知層，包括讀寫器、傳感器等，通過感知層能夠?qū)ΜF(xiàn)實中的數(shù)據(jù)信息進(jìn)行感知，能夠有效收集現(xiàn)實中的數(shù)據(jù)信息；

（2）網(wǎng)絡(luò)層，能夠有效轉(zhuǎn)化由感知層收集到的數(shù)據(jù)信息，將其變?yōu)閿?shù)字化信息，同時將其傳遞給遠(yuǎn)端接收器；

（3）應(yīng)用程序，主要對網(wǎng)絡(luò)層傳輸?shù)臄?shù)據(jù)信息進(jìn)行接收，智能化儲存、處理這些數(shù)據(jù)信息；

（4）公共技術(shù)層，能夠有效聯(lián)合應(yīng)用程序?qū)印⒕W(wǎng)絡(luò)層、感知層這三個技術(shù)層，對其進(jìn)行統(tǒng)籌應(yīng)用與管理，最終實現(xiàn)物理網(wǎng)智能化的目的。

2 物聯(lián)網(wǎng)安全威脅分析

2.1 Dos攻擊

針對網(wǎng)絡(luò)系統(tǒng)資源與網(wǎng)絡(luò)帶寬，Dos 通過利用多種途徑對其進(jìn)行消耗與攻擊，促使網(wǎng)絡(luò)系統(tǒng)無法正常運轉(zhuǎn)，完全處于癱瘓狀態(tài)，對特定企業(yè)的活動進(jìn)行干擾，能夠促使更多的應(yīng)用、設(shè)備、基礎(chǔ)設(shè)施發(fā)展成為新的攻擊對象，最終正常用戶訪問服務(wù)會遭受到拒絕。

2.2 數(shù)據(jù)信息的保護(hù)

現(xiàn)實世界是物聯(lián)網(wǎng)系統(tǒng)傳感器信息收集的主要源頭，只有在經(jīng)過加密安全認(rèn)證的安全環(huán)境中，才能夠儲存、傳輸、處理、管理、控制數(shù)據(jù)信息。為保證計算機(jī)網(wǎng)絡(luò)的安全，需要采用多種不同的防護(hù)技術(shù)。在物聯(lián)網(wǎng)系統(tǒng)中，物、人通過傳感器、網(wǎng)絡(luò)系統(tǒng)得以相連，極易出現(xiàn)個人隱私泄露問題。對于商家來說，個人隱私信息具有極大的誘惑力，能夠為商家創(chuàng)造出非?？捎^的經(jīng)濟(jì)收益，不過這也造成物聯(lián)網(wǎng)系統(tǒng)安全威脅風(fēng)險的增加。

2.3 擴(kuò)大物聯(lián)網(wǎng)系統(tǒng)被攻擊范圍

在當(dāng)前物聯(lián)網(wǎng)發(fā)展環(huán)境中，很多不同種類的傳感器均處于在線狀態(tài)，相應(yīng)地，當(dāng)前全球IT 基礎(chǔ)設(shè)施也變得越來越為健全與完善，在當(dāng)前互聯(lián)網(wǎng)時代中，針對物聯(lián)網(wǎng)安全系統(tǒng)，很多不同地區(qū)的惡意攻擊者均在嘗試各種不同手段將其予以破解。為對物聯(lián)網(wǎng)系統(tǒng)實時連接要求進(jìn)行滿足，大部分物聯(lián)網(wǎng)設(shè)備必須要全天24h 處于在線狀態(tài)，所以物聯(lián)網(wǎng)設(shè)備極易遭受到惡意攻擊。當(dāng)前RFID 技術(shù)被廣泛應(yīng)用于物聯(lián)網(wǎng)系統(tǒng)中，與傳統(tǒng)的TCP/IP 網(wǎng)絡(luò)協(xié)議相比，RFID 技術(shù)還不夠成熟與完善，造成非法入侵者通過一些手段來竊取信息。

3 物聯(lián)網(wǎng)系統(tǒng)安全威脅的應(yīng)對措施

3.1 對感知層的安全性進(jìn)行提高

安全認(rèn)證技術(shù)包括兩大部分，分別為信息認(rèn)證、實體認(rèn)證。第一，信息認(rèn)證，為避免出現(xiàn)惡意攻擊者對信息來源端身份進(jìn)行修改與偽造，對數(shù)據(jù)信息的完整性進(jìn)行嚴(yán)格核實，檢驗信息來源端的身份。第二，實體認(rèn)證，能夠有效避免惡意攻擊者將非法節(jié)點加入到物聯(lián)網(wǎng)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備中。針對物聯(lián)網(wǎng)系統(tǒng)，它能夠在多個方面進(jìn)行運用，通過采用多種不同的控制技術(shù)，包括權(quán)限訪問配置、多級權(quán)限認(rèn)證等，能夠?qū)ξ锫?lián)網(wǎng)在多個不同方面的安全性進(jìn)行有效提高，包括數(shù)據(jù)共享、用戶權(quán)限管理、數(shù)據(jù)訪問等。

在實際中，為對感知層的安全性進(jìn)行提高，可以從以下幾點著手進(jìn)行，即：

（1）為對物聯(lián)網(wǎng)系統(tǒng)安全性進(jìn)行有效提高，避免出現(xiàn)非法篡改數(shù)據(jù)信息現(xiàn)象，一定要合法驗證物聯(lián)網(wǎng)系統(tǒng)中的數(shù)據(jù)信息，另外還應(yīng)實施一些安全技術(shù)措施，包括IPSec 安全協(xié)議、固件簽名、增加軟件簽名等。

（2）選用Azure 技術(shù)來驗證傳感器、重要物聯(lián)網(wǎng)設(shè)備的的身份。

（3）對于各種不同的網(wǎng)絡(luò)傳輸部分，應(yīng)對其制定具有針對性的密鑰方案，即便物聯(lián)網(wǎng)系統(tǒng)被惡意攻擊，在這種情況下，如果網(wǎng)絡(luò)傳輸部分未遭受到惡意攻擊，它還是能夠繼續(xù)正常工作的。

3.2 對數(shù)據(jù)加密技術(shù)進(jìn)行充分利用

為保證物聯(lián)網(wǎng)系統(tǒng)中信息的安全，一定要對數(shù)據(jù)加密技術(shù)進(jìn)行充分利用。在傳輸數(shù)據(jù)信息過程中，為避免出現(xiàn)重要信息被竊取現(xiàn)象，可以對信息數(shù)據(jù)的編碼復(fù)雜程度進(jìn)行提高。在過去，主要選用端與端之間的數(shù)據(jù)加密技術(shù)，因為傳統(tǒng)數(shù)據(jù)加密技術(shù)存在很多缺陷，如容易被截取、儲存空間不大、功能單一等，所以傳統(tǒng)數(shù)據(jù)加密技術(shù)的安全保護(hù)作用并不顯著。在當(dāng)前物聯(lián)網(wǎng)系統(tǒng)感知層中安裝的傳感器，因為尚未制定出統(tǒng)一的信息數(shù)據(jù)傳輸、采集標(biāo)準(zhǔn)，所以物聯(lián)網(wǎng)系統(tǒng)安全體系尚不完善與健全。針對端與端之間的加密方式，盡管它具有可操作性，物聯(lián)網(wǎng)系統(tǒng)在運行過程中，卻常常會出現(xiàn)多種問題，如不能夠及時響應(yīng)信息等，導(dǎo)致物聯(lián)網(wǎng)系統(tǒng)運行效率的降低。針對以上問題，為對其進(jìn)行有效解決，我國在最近幾年時間中對物聯(lián)網(wǎng)系統(tǒng)進(jìn)行了不斷完善與改進(jìn)，為提高物聯(lián)網(wǎng)系統(tǒng)的安全性，對物聯(lián)網(wǎng)系統(tǒng)重要節(jié)點進(jìn)行數(shù)據(jù)加密處理，將安全芯片置于物聯(lián)網(wǎng)設(shè)備中。在無線傳感器數(shù)據(jù)信息存儲與數(shù)據(jù)通信中采用數(shù)據(jù)加密技術(shù)，能夠?qū)σ虮I取、竊聽數(shù)據(jù)信息帶來的損失進(jìn)行有效降低。為避免出現(xiàn)非法修改無線鏈路中數(shù)據(jù)信息現(xiàn)象、應(yīng)對無線傳感器系統(tǒng)中所有類型的設(shè)備實施數(shù)據(jù)加密技術(shù)。通過實施密鑰管理技術(shù)、安全認(rèn)證技術(shù)等，能夠促使物聯(lián)網(wǎng)系統(tǒng)中無線傳感器系統(tǒng)中的信息數(shù)據(jù)變得更為安全與完整。與國際互聯(lián)網(wǎng)系統(tǒng)相比，物聯(lián)網(wǎng)系統(tǒng)的感知設(shè)備在大多數(shù)情況下均為無人值守的在線狀態(tài)，物聯(lián)網(wǎng)系統(tǒng)功能不夠多元化，運算水平與信號處理技術(shù)水平比較低，所以對于物聯(lián)網(wǎng)系統(tǒng)來說，國際互聯(lián)網(wǎng)系統(tǒng)并不是對其完全適合的。與此同時，因為各大生產(chǎn)商選用不同的應(yīng)用軟件與設(shè)備，造成廠商不能夠有效防護(hù)物聯(lián)網(wǎng)系統(tǒng)的安全。物聯(lián)網(wǎng)系統(tǒng)安全問題具有多維度、多層次特征，針對各種物聯(lián)網(wǎng)安全威脅，傳統(tǒng)安全防御技術(shù)無法對其進(jìn)行有有效處理。因此，根據(jù)物聯(lián)網(wǎng)系統(tǒng)的自身特點，應(yīng)對物聯(lián)網(wǎng)系統(tǒng)安全防御機(jī)制進(jìn)行重新設(shè)計。在本文中提出了一種新的物聯(lián)網(wǎng)系統(tǒng)安全防御機(jī)制，即基于SDN 的異構(gòu)型物聯(lián)網(wǎng)安全機(jī)制，通過運用SDN 技術(shù)，能夠?qū)ξ锫?lián)網(wǎng)開放問題、維護(hù)控制問題、管理問題進(jìn)行有效解決，同時能夠?qū)W(wǎng)絡(luò)控制、數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)發(fā)進(jìn)行分離，能夠?qū)⒏哔|(zhì)量的安全服務(wù)提供給物聯(lián)網(wǎng)系統(tǒng)用戶，能夠統(tǒng)一集中調(diào)度物聯(lián)網(wǎng)系統(tǒng)中的數(shù)據(jù)信息安全資源，能夠?qū)ξ锫?lián)網(wǎng)系統(tǒng)安全措施進(jìn)行靈活配置。

4 基于SDN技術(shù)的異構(gòu)型物聯(lián)網(wǎng)安全防御機(jī)制

通過利用SDN 技術(shù)，能夠有效分開網(wǎng)絡(luò)設(shè)備控制層面、數(shù)據(jù)層面，能夠有效管控網(wǎng)絡(luò)與網(wǎng)絡(luò)流量，有助于網(wǎng)絡(luò)運維的簡化與網(wǎng)絡(luò)利用率的提高，能夠充分發(fā)揮出網(wǎng)絡(luò)的使用價值，另外，還能夠?qū)崿F(xiàn)數(shù)據(jù)中心對網(wǎng)絡(luò)資源的自動化設(shè)置，有效轉(zhuǎn)換分布式控制模式，使其變?yōu)榧锌刂颇Ｊ??；赟DN 技術(shù)的異構(gòu)型物聯(lián)網(wǎng)安全防御機(jī)制，具有很多優(yōu)勢特點，例如，分布式信息數(shù)據(jù)處理中心能夠高效傳輸處理海量數(shù)據(jù)，可以集中分配調(diào)度物聯(lián)網(wǎng)系統(tǒng)中資源，能夠統(tǒng)一處理物聯(lián)網(wǎng)系統(tǒng)中的數(shù)據(jù)，并以此作為重要依據(jù)，制定相應(yīng)有效的決策。在基于SDN 技術(shù)的異構(gòu)型物聯(lián)網(wǎng)安全防御機(jī)制中，包括應(yīng)用層信息網(wǎng)絡(luò)安全服務(wù)、SDN 控制器、云計算平臺、OpenFlow 技術(shù)等，進(jìn)而促使安全監(jiān)控管理平臺的形成，能夠?qū)ξ锫?lián)網(wǎng)系統(tǒng)的運行情況進(jìn)行實時監(jiān)控，可以對異常安全情況進(jìn)行及時發(fā)現(xiàn)，能夠?qū)Π踩到y(tǒng)資源進(jìn)行統(tǒng)一集中分配，可以主動防御物聯(lián)網(wǎng)系統(tǒng)中的安全威脅。

4.1 OpenFlow安全設(shè)備

針對OpenFlow 安全設(shè)備，它的內(nèi)部包括多種不同的群組表與流量表，所以能夠?qū)?shù)據(jù)進(jìn)行多種不同的操作，包括查詢數(shù)據(jù)包、轉(zhuǎn)發(fā)數(shù)據(jù)包等，能夠向感知層中的傳感器提供接口，進(jìn)而可以將網(wǎng)絡(luò)層接入到感知層，另外，還能夠?qū)ι蠈覵DN 控制器管理規(guī)劃系統(tǒng)的數(shù)據(jù)流量路徑給予大力支持，能夠?qū)ξ锫?lián)網(wǎng)系統(tǒng)中的數(shù)據(jù)流規(guī)則進(jìn)行隨時修改，可以高效處理數(shù)據(jù)信息流量。針對異構(gòu)型物聯(lián)網(wǎng)中的各種物聯(lián)網(wǎng)，通過利用OpenFlow 安全設(shè)備技術(shù)能夠促使它們之間互相聯(lián)通。不同種類的物聯(lián)網(wǎng)系統(tǒng)中感知設(shè)備所采集的信息數(shù)據(jù)是存在一定的區(qū)別的，而通過利用OpenFlow 安全設(shè)備技術(shù)，則能夠?qū)ζ鋮^(qū)別進(jìn)行有效消除，能夠有效簡化數(shù)據(jù)信息通信管理與物聯(lián)網(wǎng)系統(tǒng)構(gòu)架。

4.2 SDN控制器、服務(wù)器與安全控制器

SDN 控制器是一種軟件系統(tǒng)，能夠統(tǒng)一管理控制網(wǎng)絡(luò)，進(jìn)而可以自動化控制管理網(wǎng)絡(luò)系統(tǒng)。在異構(gòu)型物聯(lián)網(wǎng)系統(tǒng)中，能夠管理網(wǎng)絡(luò)與申請集成業(yè)務(wù)，而通過采用基于軟件系統(tǒng)的網(wǎng)絡(luò)控制技術(shù)，能夠為其帶來極大的方便。針對網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)流量，通過利用SDN 控制器，能夠?qū)ζ溥M(jìn)行智能化管理。因為SDN 控制器主要選用OpenFlow 等協(xié)議，所以服務(wù)器能夠?qū)?shù)據(jù)包的具體發(fā)送地址及時告知給交換機(jī)。網(wǎng)絡(luò)安全管理模塊是由網(wǎng)絡(luò)安全處理控制器、安全策略管理服務(wù)器等構(gòu)成的，將網(wǎng)絡(luò)安全管理模塊置于控制層中，能夠有效執(zhí)行安全服務(wù)工作，能夠?qū)W(wǎng)絡(luò)的安全運行狀態(tài)進(jìn)行實時檢測，將用戶指令、網(wǎng)絡(luò)系統(tǒng)狀態(tài)作為重要依據(jù)，實施相應(yīng)合理、有效的物聯(lián)網(wǎng)安全措施。針對上層應(yīng)用服務(wù)的安全措施，安全策略管理服務(wù)器可以對其進(jìn)行儲存，能夠查詢網(wǎng)絡(luò)安全處理控制器信息。根據(jù)用戶申請的業(yè)務(wù)，能夠?qū)ι蠈討?yīng)用服務(wù)中的有關(guān)安全服務(wù)進(jìn)行查詢與訂閱。

4.3 基于應(yīng)用層的網(wǎng)絡(luò)安全服務(wù)

在基于SDN 控制層的網(wǎng)絡(luò)安全系統(tǒng)模塊中運行各種不同的應(yīng)用層網(wǎng)絡(luò)安全服務(wù)，可以實時監(jiān)控流量，能夠有效消除異常情況。針對基于應(yīng)用層的網(wǎng)絡(luò)安全服務(wù)，它的具體工作過程為：深入分析收集到的數(shù)據(jù)，通過運用SDN 控制器來收集全網(wǎng)流量數(shù)據(jù)，對數(shù)據(jù)信息收集分析服務(wù)，能夠?qū)崟r統(tǒng)計、檢測數(shù)據(jù)信息。在各周期時隙中，向網(wǎng)絡(luò)安全服務(wù)異常檢測功能模塊發(fā)送數(shù)據(jù)信息分析結(jié)果，對突發(fā)的物聯(lián)網(wǎng)系統(tǒng)攻擊行為進(jìn)行嚴(yán)格檢測，針對惡意攻擊軟件庫與計算機(jī)病毒特征庫，異常檢測功能模塊接收的數(shù)據(jù)信息與它們進(jìn)行比較分析，便可以判斷出接收的數(shù)據(jù)信息的安全情況，并以此為依據(jù)，最終產(chǎn)生數(shù)據(jù)信息安全報告書。一旦發(fā)現(xiàn)物聯(lián)網(wǎng)系統(tǒng)中存在攻擊行為，應(yīng)向安全服務(wù)異常清除服務(wù)功能模塊發(fā)送該情況，通過利用模塊來有效處理攻擊行為。根據(jù)上一環(huán)節(jié)提供的安全異常檢測結(jié)果，安全服務(wù)異常清除服務(wù)功能模塊制定相應(yīng)有效的信息安全配置措施，通過使用SDN 控制器來調(diào)整OpenFlow 安全設(shè)備中的流量控制規(guī)則，對不安全的信息數(shù)據(jù)進(jìn)行及時消除。針對端到端異構(gòu)型物聯(lián)網(wǎng)系統(tǒng)，它采用了SDN 技術(shù)、OpenFlow 技術(shù)，能夠?qū)Ψ峙湎到y(tǒng)安全資源進(jìn)行集中分配與統(tǒng)一控制，通過建立健全異構(gòu)型物聯(lián)網(wǎng)安全防御結(jié)構(gòu)，可以有效阻隔與消除物聯(lián)網(wǎng)系統(tǒng)中的不安全信息。

5 小結(jié)

綜上所述，為有效保護(hù)物聯(lián)網(wǎng)系統(tǒng)的安全，提高物聯(lián)網(wǎng)系統(tǒng)的安全防御性能，一定要采取有效措施來應(yīng)對與處理物聯(lián)網(wǎng)系統(tǒng)安全威脅。本文首先論述了物聯(lián)網(wǎng)的定義與物聯(lián)網(wǎng)結(jié)構(gòu)體系，分析了物聯(lián)網(wǎng)中常見的安全威脅，然后闡述了物聯(lián)網(wǎng)系統(tǒng)安全威脅的應(yīng)對措施，包括對感知層的安全性進(jìn)行提高、對數(shù)據(jù)加密技術(shù)進(jìn)行充分利用等，最后提出了基于SDN 技術(shù)的異構(gòu)型物聯(lián)網(wǎng)安全防御機(jī)制，以期對物聯(lián)網(wǎng)系統(tǒng)安全性的保護(hù)起到一定的借鑒作用。