國網(wǎng)浙江省電力有限公司遂昌縣供電公司 蘇愷 鄭華 李盧城 樓棟 王鼎

近年來，隨著大數(shù)據(jù)、云計算等技術(shù)的發(fā)展與迭代，物聯(lián)網(wǎng)在各個領域中的應用變得越來越廣泛，物聯(lián)網(wǎng)正從以碎片化、孤立化應用為主的起步階段，快速邁入到以跨界、集成、融合和智能為主要特征的大規(guī)模增長階段，推動著世界經(jīng)濟的發(fā)展。本文基于此，針對物聯(lián)網(wǎng)的體系架構(gòu)進行了闡述，探討物聯(lián)網(wǎng)典型安全漏洞及其防護措施。

在工業(yè)制造技術(shù)、信息通信技術(shù)的發(fā)展下，物聯(lián)網(wǎng)在社會經(jīng)濟發(fā)展領域中的應用變得日益廣泛，顯著提高了日常生活質(zhì)量與社會運轉(zhuǎn)效能，鑒于物聯(lián)網(wǎng)應用場景的豐富，其面臨的安全漏洞也越來越多，安全形勢變得愈加嚴峻[1]。從目前的物聯(lián)網(wǎng)安全漏洞案例來看，當前的物聯(lián)網(wǎng)安全架構(gòu)無法解決自身安全漏洞造成的風險，這不僅會影響用戶的信心和使用體驗，也會影響物聯(lián)網(wǎng)的健康發(fā)展與廣泛部署。

1 物聯(lián)網(wǎng)的體系架構(gòu)

物聯(lián)網(wǎng)有著產(chǎn)業(yè)鏈條長、終端設備多、信息交互強、涉及環(huán)節(jié)多的特點，是一項復雜、龐大的系統(tǒng)，在物聯(lián)網(wǎng)中，云計算、邊緣計算、安全多方計算等技術(shù)具有廣泛應用，上述特點為物聯(lián)網(wǎng)帶來便利和優(yōu)勢的同時，也帶來了風險和挑戰(zhàn)。從物聯(lián)網(wǎng)的體系架構(gòu)來看，包括幾個層級如圖1所示。

圖1 物聯(lián)網(wǎng)的體系架構(gòu)圖Fig.1 Architecture diagram of the Internet of Things

(1)感知層：感知層位于物聯(lián)網(wǎng)的底層，與智能開關、智能傳感器相連，也被稱之為傳感器層，可從智能物理設備中感知、獲取、收集信息。

(2)網(wǎng)絡層：網(wǎng)絡層位于物聯(lián)網(wǎng)感知層、平臺層之間，是物聯(lián)網(wǎng)的神經(jīng)中樞，充當著物聯(lián)網(wǎng)節(jié)點的橋梁紐帶作用，通過過濾、聚合、連接可從不同傳感器中接收數(shù)據(jù)，向不同的傳感器發(fā)送數(shù)據(jù)，完成信息的傳輸、交互功能。

(3)平臺層：平臺層位于網(wǎng)絡層、應用層之間，起著提供數(shù)據(jù)管理、信息處理、計算分析的作用，平臺層基礎設施包括云計算平臺、云存儲平臺、大數(shù)據(jù)分析平臺，可為物聯(lián)網(wǎng)的集成化、多樣化發(fā)展奠定基礎[2]。

(4)應用層：應用層是物聯(lián)網(wǎng)的最高層，是與用戶接觸的顯性部分，能夠提供各類應用服務和接口，實現(xiàn)了用戶與應用程序之間的直接互動，能夠在確保數(shù)據(jù)完整、真實、保密的前提下，更好的為用戶服務。

2 物聯(lián)網(wǎng)典型安全漏洞

2.1 感知層安全漏洞

在感知層中，由于存儲空間較小，網(wǎng)關與傳感器計算能力不強，在完成緊急恢復、提供安全保障上，會受到各類限制。感知層中的安全漏洞包括物理安全漏洞、軟件安全漏洞，也包括數(shù)據(jù)傳輸泄露漏洞、網(wǎng)絡通信安全漏洞、服務終端漏洞、惡意軟件感染漏洞等。

2.2 網(wǎng)絡層安全漏洞

在網(wǎng)絡層中，怎樣保證傳輸數(shù)據(jù)的完整、機密是一個最大挑戰(zhàn)，網(wǎng)絡資源與計算能力的約束會影響數(shù)據(jù)的安全傳輸，在網(wǎng)絡層中，常見的安全漏洞集中在身份識別、隱私保護、密鑰管理、授權(quán)認證上。除了應用傳統(tǒng)有線網(wǎng)絡通信技術(shù)外，各個物聯(lián)網(wǎng)也開始廣泛使用無線網(wǎng)絡通信技術(shù)，相應的完整性、機密性、可用性也遭遇著挑戰(zhàn)，主要的安全威脅集中在偽裝攻擊、未授權(quán)訪問、傳輸安全、惡意代碼、拒絕服務攻擊、路由攻擊幾個方面。

2.3 平臺層安全漏洞

在平臺層中，存儲了大量系統(tǒng)數(shù)據(jù)、用戶信息，很容易遭到攻擊者的攻擊，尤其是邊緣計算、大數(shù)據(jù)分析、云計算、霧計算等新技術(shù)的應用，給物聯(lián)網(wǎng)帶來了新的風險。另外，確保平臺層通訊服務、網(wǎng)絡服務的正常運行十分關鍵，這些服務很容易遭到竊聽、攔截，從而影響平臺層的數(shù)據(jù)安全，與網(wǎng)絡層類似，身份認證、授權(quán)管理、抗否認性也是平臺層中常見的安全漏洞[3]。

2.4 跨層安全漏洞

物聯(lián)網(wǎng)中信息的傳輸、讀取、接收、計算等操作，并不是單一獨立發(fā)生在某個架構(gòu)層，數(shù)據(jù)傳輸、指令操作、服務請求等，均可在物聯(lián)網(wǎng)四層體系架構(gòu)中交叉完成，這也帶來了更多的安全漏洞，包括隱私問題、信任問題、身份認證問題等。

3 物聯(lián)網(wǎng)典型安全漏洞的防護

3.1 應用通信加密技術(shù)

加密技術(shù)是解決物聯(lián)網(wǎng)典型安全漏洞的重要措施，其原理是數(shù)據(jù)發(fā)送端利用某種密碼算法，將明文信息轉(zhuǎn)化為密文信息，數(shù)據(jù)接收端利用對應解密算法來還原為明文信息。當前，最具代表性的加密技術(shù)有：

(1)網(wǎng)絡層安全協(xié)議IPSec：IPSec應用的是封裝安全載荷(ESP)、認證頭(AH)、秘鑰管理協(xié)議(IKE)等技術(shù)，在通信環(huán)節(jié)中，數(shù)據(jù)發(fā)送方、接收方都可確認對方身份，在端到端傳輸中，對數(shù)據(jù)進行編碼，確保通信數(shù)據(jù)的完整性與機密性。

(2)傳輸層安全協(xié)議SSL/TLS：TLS建立在SSL規(guī)范基礎上，SSL是以TCP協(xié)議作為基礎，比起來，TLS協(xié)議規(guī)范更為安全、精確，提供加密數(shù)據(jù)、認證用戶與服務器、維護數(shù)據(jù)完整性服務。

3.2 應用身份認證技術(shù)

身份認證其目的是為了在通信雙方間建立信任關系，通過認證方式來保證網(wǎng)絡安全性，身份認證技術(shù)包括如下幾類：

(1)基于口令的身份認證技術(shù)：基于口令的身份認證技術(shù)是應用“用戶名+密碼”的方式實現(xiàn)，在登錄系統(tǒng)時，系統(tǒng)會對輸入的用戶名、密碼進行對比，如果通過認證，表示身份合法。但是，用戶名、密碼都是靜態(tài)數(shù)據(jù)，很容易受到竊取、攻擊，驗證信息也很容易被攻擊者攔截，因此，基于口令的身份認證技術(shù)安全系數(shù)不高[4]。

(2)雙因素身份認證技術(shù)：雙因素身份認證技術(shù)屬于基于口令的認證技術(shù)，在驗證用戶身份時，需要同時提供靜態(tài)與動態(tài)口令，只有兩者都通過，才能夠登錄系統(tǒng)，一般應用在網(wǎng)絡游戲、電子等領域。這種認證技術(shù)是一種不可預測的隨機數(shù)字組合，每次的口令不同，且只能夠使用一次。

(3)基于數(shù)字證書的身份認證技術(shù)：數(shù)字證書屬于權(quán)威化的電子文檔，包括多種數(shù)據(jù)，多應用在Web服務器、瀏覽器客戶端的身份校驗，該種認證方式依賴于CA認證機構(gòu)。數(shù)字證書應用的是非對稱密碼體制，也被稱之為X509證書，可用于多種應用層協(xié)議身份認證。

3.3 MQTT通信加密技術(shù)

目前，應用最廣泛的通信協(xié)議加密技術(shù)就是IPSec與TLS，這兩種技術(shù)具有幾個差異：(1)在部署與管理成本上，IPSse需要IT技術(shù)的支持，管理成本較高，TLS則相反，對部署的要求不高，可以做到即刻安裝、馬上生效，降低了部署成本；(2)在兼容性上，傳統(tǒng)IPSec需要借助客戶端來運行，不同操作系統(tǒng)，需要設置不同的客戶端，不同客戶端對于操作系統(tǒng)也有要求，而TLS就不需要考慮這一問題；(3)可擴展性，在部署IPSec時，需要關注網(wǎng)絡拓撲結(jié)構(gòu)問題，如果要新增設備，就需要改變網(wǎng)絡結(jié)構(gòu)，其可擴展性較差，相比而言，TLS可隨時添加設備，擴展性較好；(4)安全性，IPSec各個使用端在網(wǎng)絡上都會被看做一個節(jié)點，處在聯(lián)機狀態(tài)，黑客可通過這一節(jié)點進入網(wǎng)絡內(nèi)部，TLS具有保護功能，在會話停止一段時間后，可將連接自動斷開，能夠有效避免安全問題的產(chǎn)生。TLS加密流程如圖2所示。

3.4 偽造數(shù)據(jù)包攻擊

在實際應用環(huán)節(jié)，很多傳輸層采用的是MQTT協(xié)議，如果沒有采用相應的身份認證機制，就容易遭到攻擊者的攻擊。根據(jù)MQTT協(xié)議的規(guī)定，在控制報文中，需涵蓋可變報頭、固定報頭與有效載荷，固定報頭是由兩個字節(jié)數(shù)據(jù)構(gòu)成。

3.5 異常檢測

在受保護的網(wǎng)絡與系統(tǒng)中，任何未經(jīng)批準、未經(jīng)授權(quán)的活動，都是入侵，入侵可能源自于外部，也可源自于內(nèi)部，如，某合法用戶試圖未經(jīng)過授權(quán)來提升訪問權(quán)限。有時，入侵是被動發(fā)生的，如信息竊聽、信息收集等，有時，是主動實現(xiàn)的，如，正常數(shù)據(jù)包丟失、有害數(shù)據(jù)包轉(zhuǎn)發(fā)、漏洞攻擊等，對此，需要設置入侵檢測系統(tǒng)[5]。入侵檢測系統(tǒng)是一種積極、主動的安全防護系統(tǒng)，可及時發(fā)現(xiàn)入侵，多設置在設備、系統(tǒng)周圍，能夠檢測出系統(tǒng)和網(wǎng)絡中的各類可疑行為。從安全層面來看，入侵檢測系統(tǒng)可看做是防盜報警器，在入侵防御系統(tǒng)無法起到作用的情況下，入侵檢測系統(tǒng)就會發(fā)揮作用，根據(jù)功能來看，入侵檢測系統(tǒng)包括三種類型，即基于異常的檢測、基于規(guī)范的檢測、基于濫用的檢測，為了提升檢測的精確性，需要定期對數(shù)據(jù)庫進行更新。

3.6 認證追溯

在物聯(lián)網(wǎng)安全中，認證問題是一個關鍵所在，最為常見的認證問題，就是身份認證與授權(quán)認證。物聯(lián)網(wǎng)具有一定的特殊性，在各個用戶、終端設備接入物聯(lián)網(wǎng)之前，需要對其身份的合法性進行驗證，保證自身安全性，這可以有效避免物聯(lián)網(wǎng)的惡意攻擊，還能保證物聯(lián)網(wǎng)中服務、用戶、設備之間的數(shù)據(jù)傳輸安全與通信安全。實際上，在物聯(lián)網(wǎng)中，各個終端設備都有獨立訪問權(quán)限，有時候，連接到同一階段的終端設備是不同的，因此，在物聯(lián)網(wǎng)的安全管理中，不同終端設備的權(quán)限與訪問控制是一個關鍵內(nèi)容。在互聯(lián)網(wǎng)中，常常會使用生物特征、密碼口令，或者以X.509證書來構(gòu)建授權(quán)認證系統(tǒng)，但是，針對物聯(lián)網(wǎng)的情況，這種做法很難實現(xiàn)，這就需要采用輕量級的密碼方案。目前，研究者一般采用基于訪問能力或者基于訪問控制的方式來實現(xiàn)訪問控制，但是在實際的研究中，也面臨諸多問題：(1)在計算資源限制因素的影響下，有的物聯(lián)網(wǎng)終端設備不支持強密碼；(2)一些物聯(lián)網(wǎng)終端設備沒有軟件更新、升級能力，即便配置了更新機制，但卻不包括加密方案、簽名協(xié)議等內(nèi)容；(3)多數(shù)物聯(lián)網(wǎng)終端設備不支持服務器端、客戶端之間的雙向認證[6]。

為了解決上述問題，需要設置相互認證機制，確保系統(tǒng)雙方都可識別、驗證對方身份，這就是認證溯源，盡管采用密碼方案也可以確保數(shù)據(jù)的完整、隱私，但卻存在一些漏洞，對此，需要根據(jù)物聯(lián)網(wǎng)的應用場景來推行認證溯源制度。

4 結(jié)語

在萬物互聯(lián)時代下，對于數(shù)據(jù)的安全性、可靠性都有了新要求，要發(fā)揮出物聯(lián)網(wǎng)的作用，必須要確保其使用安全。傳統(tǒng)的安全算法、密碼方法、隱私保護機制無法適應物聯(lián)網(wǎng)時代的要求。近年來，物聯(lián)網(wǎng)在智能交通、遠程醫(yī)療、污染監(jiān)測、物流監(jiān)控等領域得到了廣泛應用，國家對于物聯(lián)網(wǎng)安全的關注度也越來越高，為了促進物聯(lián)網(wǎng)的健康、穩(wěn)定和長遠發(fā)展，需要認真分析通用的安全協(xié)議與機制，進行完善與設計，以更好的實現(xiàn)安全目標。