物聯(lián)網(wǎng)技術(shù)與應(yīng)用第七章

物聯(lián)網(wǎng)技術(shù)與應(yīng)用第七章物聯(lián)網(wǎng)安全7.1物聯(lián)網(wǎng)安全概述7.2RFID安全技術(shù)物聯(lián)網(wǎng)面臨的安全問題及安全機(jī)制目錄Contents無線傳感器網(wǎng)絡(luò)安全本章學(xué)習(xí)重點(diǎn)（1）物聯(lián)網(wǎng)安全的研究現(xiàn)狀、安全需求、關(guān)鍵技術(shù)及研究重點(diǎn)。（2）物聯(lián)網(wǎng)的安全體系架構(gòu)。（3）RFID技術(shù)、無線傳感器網(wǎng)絡(luò)和物聯(lián)網(wǎng)所面臨的安全威脅及安全防御機(jī)制。本章學(xué)習(xí)重點(diǎn)物聯(lián)網(wǎng)在給人們的生活帶來方便和快捷的同時(shí)，也會(huì)給人們帶來種種安全隱患。2014年，研究人員演示了如何在15s的時(shí)間內(nèi)入侵家中的恒溫控制器，通過對(duì)恒溫控制器數(shù)據(jù)的收集，入侵者就可以了解到家中什么時(shí)候有人，他們的日程安排是什么等信息。許多智能電視帶有攝像頭，即便電視沒有打開，入侵智能電視的攻擊者也可以使用攝像頭來監(jiān)視你和你的家人。攻擊者在獲取對(duì)于智能家庭中的燈光系統(tǒng)的訪問后，除了可以控制家庭中的燈光外，還可以訪問家庭的電力，從而增加家庭的電力消耗，導(dǎo)致產(chǎn)生巨額的電費(fèi)賬單。種種安全問題提示人們，在享受物聯(lián)網(wǎng)帶來的便利的同時(shí)，也要關(guān)注物聯(lián)網(wǎng)的安全問題，保證物聯(lián)網(wǎng)安全已經(jīng)成為推動(dòng)物聯(lián)網(wǎng)健康發(fā)展的重要前提。7.1物聯(lián)網(wǎng)安全概述信息與網(wǎng)絡(luò)安全的目標(biāo)是要達(dá)到被保護(hù)信息的機(jī)密性、完整性和可用性。在互聯(lián)網(wǎng)的早期階段，人們更關(guān)注基礎(chǔ)理論和應(yīng)用研究，隨著網(wǎng)絡(luò)和服務(wù)規(guī)模的不斷增大，安全問題日益凸顯，引起了人們的高度重視，相繼出現(xiàn)了一些安全技術(shù)，如入侵檢測(cè)系統(tǒng)、防火墻、PKI（公鑰基礎(chǔ)設(shè)施）等。目前，物聯(lián)網(wǎng)的研究與應(yīng)用處于初級(jí)階段，很多的理論與關(guān)鍵技術(shù)有待突破，特別是與互聯(lián)網(wǎng)和移動(dòng)通信網(wǎng)相比，還沒有展示出令人信服的實(shí)際應(yīng)用，物聯(lián)網(wǎng)安全問題需要進(jìn)一步地深入研究。7.1物聯(lián)網(wǎng)安全概述物聯(lián)網(wǎng)安全的研究現(xiàn)狀7物聯(lián)網(wǎng)作為互聯(lián)網(wǎng)的延伸，被稱為世界信息產(chǎn)業(yè)的第三次浪潮。2017年，物聯(lián)網(wǎng)進(jìn)入規(guī)模商用元年。物聯(lián)網(wǎng)產(chǎn)業(yè)由政府推動(dòng)走向市場(chǎng)主導(dǎo)，大量新興的物聯(lián)網(wǎng)技術(shù)應(yīng)用會(huì)走進(jìn)我們的生活。而隨著物聯(lián)網(wǎng)產(chǎn)業(yè)市場(chǎng)的擴(kuò)大，物聯(lián)網(wǎng)安全問題越發(fā)凸顯，成為制約物聯(lián)網(wǎng)大規(guī)模應(yīng)用的重要因素。目前，國(guó)內(nèi)外一些企業(yè)已經(jīng)意識(shí)到安全在物聯(lián)網(wǎng)發(fā)展中的重要作用，并針對(duì)物聯(lián)網(wǎng)各層次結(jié)構(gòu)開展了安全技術(shù)和產(chǎn)品的研究。出于對(duì)物聯(lián)網(wǎng)安全的重視，2016年信息安全行業(yè)領(lǐng)軍企業(yè)綠盟科技發(fā)布《物聯(lián)網(wǎng)安全白皮書》，從物聯(lián)網(wǎng)安全的體系架構(gòu)、需求及對(duì)策、安全技術(shù)等相關(guān)方面著手，展開描述了物聯(lián)網(wǎng)安全的三大細(xì)分領(lǐng)域，并總結(jié)了物聯(lián)網(wǎng)安全的六大研究點(diǎn)。綠盟科技認(rèn)為，物聯(lián)網(wǎng)安全產(chǎn)品的核心在于技術(shù)，物聯(lián)網(wǎng)的安全其實(shí)是互聯(lián)網(wǎng)安全的延伸，我們可以利用互聯(lián)網(wǎng)已有的安全技術(shù)，結(jié)合物聯(lián)網(wǎng)安全的實(shí)際需要改進(jìn)已有技術(shù)，并將改進(jìn)后的技術(shù)應(yīng)用到物聯(lián)網(wǎng)中，從而解決物聯(lián)網(wǎng)的安全問題。7.1物聯(lián)網(wǎng)安全概述白皮書指出，物聯(lián)網(wǎng)安全研究可以從工控安全、智能汽車安全和智能家居安全3個(gè)領(lǐng)域切入。比如，攻擊者可以利用網(wǎng)絡(luò)攻破一些智能家用產(chǎn)品的安全防線，像侵占智能設(shè)備（恒溫控制器、智能電視、攝像頭），從而獲取用戶隱私信息，帶來安全隱患；再比如，攻擊者可以攻破智能汽車系統(tǒng)，嚴(yán)重時(shí)可能會(huì)威脅人們的生命安全。另外，白皮書給出了物聯(lián)網(wǎng)安全的6個(gè)關(guān)注點(diǎn)，即物聯(lián)網(wǎng)安全網(wǎng)關(guān)、應(yīng)用層的物聯(lián)網(wǎng)安全服務(wù)、漏洞挖掘研究、物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)研究、區(qū)塊鏈技術(shù)和物聯(lián)網(wǎng)設(shè)備安全設(shè)計(jì)，為信息安全行業(yè)廠商進(jìn)軍物聯(lián)網(wǎng)萬億級(jí)藍(lán)海提供了指導(dǎo)方向。白皮書指出，目前物聯(lián)網(wǎng)設(shè)備制造商沒有強(qiáng)大的安全背景，也缺乏標(biāo)準(zhǔn)來說明一個(gè)產(chǎn)品是否是安全的。很多安全問題來自于不安全的設(shè)計(jì)。綠盟科技建議，信息安全廠商要做到三點(diǎn)：一是提供安全的開發(fā)規(guī)范，提高產(chǎn)品的安全性；二是將安全模塊內(nèi)置于物聯(lián)網(wǎng)產(chǎn)品中，對(duì)設(shè)備提供更好的安全防護(hù)；三是對(duì)出廠設(shè)備進(jìn)行安全檢測(cè)，及時(shí)發(fā)現(xiàn)設(shè)備中的漏洞并協(xié)助廠商進(jìn)行修復(fù)。7.1物聯(lián)網(wǎng)安全概述在2017世界移動(dòng)通信大會(huì)期間，華為與西班牙網(wǎng)絡(luò)安全局、聯(lián)合發(fā)布了名為《共建可信可管的物聯(lián)網(wǎng)世界》的白皮書。該白皮書分析了物聯(lián)網(wǎng)安全技術(shù)的發(fā)展現(xiàn)狀，總結(jié)了物聯(lián)網(wǎng)安全實(shí)踐，提出了物聯(lián)網(wǎng)需要通過多重的端到端安全防御機(jī)制來確保安全。白皮書還倡導(dǎo)，物聯(lián)網(wǎng)的安全需要各國(guó)政府、國(guó)際組織和行業(yè)共同建設(shè)，在政策引導(dǎo)、法律頒布、標(biāo)準(zhǔn)制定、技術(shù)創(chuàng)新和產(chǎn)業(yè)生態(tài)等方面加大投入，促進(jìn)物聯(lián)網(wǎng)產(chǎn)業(yè)的健康發(fā)展。此外，西班牙網(wǎng)絡(luò)安全局還提出了一系列國(guó)內(nèi)和國(guó)際層面的網(wǎng)絡(luò)安全倡議。該白皮書的發(fā)布將推動(dòng)物聯(lián)網(wǎng)安全政策的執(zhí)行，引導(dǎo)企業(yè)實(shí)施安全策略，推動(dòng)所有相關(guān)方共建可信可管的物聯(lián)網(wǎng)世界。7.1物聯(lián)網(wǎng)安全概述目前，ARM和賽門鐵克公司在感知層安全方面的實(shí)力比較強(qiáng)。據(jù)了解，ARM公司推出了兩款基于ARMv8-M架構(gòu)的低成本32位MCUCortex-M23和Cortex-M33芯片，它們將得到市場(chǎng)認(rèn)可的安全技術(shù)拓展到要求最為苛刻的物聯(lián)網(wǎng)終端節(jié)點(diǎn)；另外，賽門鐵克擬通過在物聯(lián)網(wǎng)終端中植入基于半輕量級(jí)EC密碼的根證書，以及物聯(lián)網(wǎng)終端設(shè)備的全球唯一標(biāo)識(shí)和認(rèn)證技術(shù)，實(shí)現(xiàn)對(duì)物聯(lián)網(wǎng)設(shè)備的安全認(rèn)證。目前，Sigfox和LoRa公司在傳輸層安全方面的實(shí)力比較強(qiáng)。從近幾年的市場(chǎng)發(fā)展?fàn)顩r來看，低功耗廣域網(wǎng)（LPWAN）作為面向物聯(lián)網(wǎng)應(yīng)用而設(shè)計(jì)的專用網(wǎng)絡(luò)受到了市場(chǎng)的喜愛。Sigfox和LoRa公司在這個(gè)領(lǐng)域持續(xù)領(lǐng)跑市場(chǎng)，已經(jīng)在多個(gè)國(guó)家和地區(qū)部署。當(dāng)然，低功耗廣域網(wǎng)作為新興事物在安全方面必然要受到行業(yè)質(zhì)疑。據(jù)了解，Sigfox和LoRa公司也投入了巨大的金錢和精力來保障安全，特別是LoRa以生態(tài)系統(tǒng)的形式做安全防護(hù)，推動(dòng)其網(wǎng)絡(luò)安全部署。在國(guó)內(nèi)，華為以不同的形式來推動(dòng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)。其主要是聯(lián)合多家國(guó)際大企業(yè)通過3GPP國(guó)際組織推動(dòng)NB-IoT技術(shù)，NB-IoT可以使用移動(dòng)通信的核心基礎(chǔ)設(shè)施（如基站），通過很小的改造和升級(jí)，服務(wù)于物聯(lián)網(wǎng)數(shù)據(jù)傳輸業(yè)務(wù)。雖然NB-IoT標(biāo)準(zhǔn)已于2016年6月份發(fā)布，但由于受多項(xiàng)標(biāo)準(zhǔn)和許可審批等方面的限制，到目前為止，NB-IoT網(wǎng)絡(luò)的實(shí)際部署和應(yīng)用進(jìn)展緩慢。7.1物聯(lián)網(wǎng)安全概述由于物聯(lián)網(wǎng)的應(yīng)用領(lǐng)域非常廣泛，而這些應(yīng)用在應(yīng)用層又沒有統(tǒng)一的安全平臺(tái)和標(biāo)準(zhǔn)，因此，各物聯(lián)網(wǎng)企業(yè)在應(yīng)用層方面的研究也各有特點(diǎn)。應(yīng)用層是物聯(lián)網(wǎng)三層結(jié)構(gòu)中的最頂層，主要對(duì)感知層所采集數(shù)據(jù)進(jìn)行計(jì)算、處理和知識(shí)挖掘，從而實(shí)現(xiàn)對(duì)物理世界進(jìn)行實(shí)時(shí)控制、精確管理和科學(xué)決策。物聯(lián)網(wǎng)的處理應(yīng)用層主要是云計(jì)算平臺(tái)及其服務(wù)，包括大數(shù)據(jù)處理。因此物聯(lián)網(wǎng)處理應(yīng)用層的安全就是處理平臺(tái)本身的安全和其所提供的服務(wù)的安全。在這方面，幾乎每個(gè)物聯(lián)網(wǎng)處理平臺(tái)都有自己的特色。7.1物聯(lián)網(wǎng)安全概述物聯(lián)網(wǎng)是一個(gè)復(fù)雜多樣、跨度大的系統(tǒng)，在安全防護(hù)方面要進(jìn)行體系化治理，就需要具備整體解決方案能力的公司。目前，國(guó)際上許多安全公司聲稱自己提供這方面的服務(wù)。例如，賽門鐵克聲稱提供物聯(lián)網(wǎng)安全整體解決方案，也發(fā)布了一些研究報(bào)告；Amazon以AWSIoT解決方案云平臺(tái)作為物聯(lián)網(wǎng)整體解決方案，Intel旗下風(fēng)河公司也提供物聯(lián)網(wǎng)安全解決方案。國(guó)內(nèi)為物聯(lián)網(wǎng)提供整體安全解決方案的企業(yè)還不多。在這方面，匡恩網(wǎng)絡(luò)則走在了技術(shù)創(chuàng)新前沿。據(jù)了解，匡恩網(wǎng)絡(luò)集結(jié)了一批信息安全領(lǐng)域的尖端人才和專家，以其在工業(yè)領(lǐng)域的安全防護(hù)領(lǐng)先技術(shù)為基礎(chǔ)，針對(duì)物聯(lián)網(wǎng)的感知層安全研發(fā)了物聯(lián)網(wǎng)安全網(wǎng)關(guān)，可有效解決感知層安全問題；針對(duì)物聯(lián)網(wǎng)的傳輸層安全研發(fā)了安全交換機(jī)，以加強(qiáng)網(wǎng)絡(luò)傳輸層的安全保護(hù)；針對(duì)處理應(yīng)用層研發(fā)了工業(yè)大數(shù)據(jù)態(tài)勢(shì)感知平臺(tái)等。這些產(chǎn)品之間相互配合，從整體上提供工業(yè)物聯(lián)網(wǎng)系統(tǒng)全產(chǎn)業(yè)鏈的安全服務(wù)，并逐步將其解決方案應(yīng)用于其他物聯(lián)網(wǎng)行業(yè)。7.1物聯(lián)網(wǎng)安全概述物聯(lián)網(wǎng)的安全需求7物聯(lián)網(wǎng)系統(tǒng)的安全和一般IT系統(tǒng)的安全基本一樣，主要有8個(gè)尺度：讀取控制隱私保護(hù)用戶認(rèn)證不可抵賴性數(shù)據(jù)保密性通信層安全數(shù)據(jù)完整性隨時(shí)可用性前4項(xiàng)主要處在物聯(lián)網(wǎng)三層架構(gòu)的應(yīng)用層，后4項(xiàng)主要位于傳輸層和感知層。其中，隱私權(quán)和可信度（數(shù)據(jù)完整性和數(shù)據(jù)保密性）問題在物聯(lián)網(wǎng)體系中尤其受關(guān)注。7.1物聯(lián)網(wǎng)安全概述物聯(lián)網(wǎng)的安全需求7物聯(lián)網(wǎng)系統(tǒng)的安全和一般IT系統(tǒng)的安全基本一樣，主要有8個(gè)尺度：讀取控制隱私保護(hù)用戶認(rèn)證不可抵賴性數(shù)據(jù)保密性通信層安全數(shù)據(jù)完整性隨時(shí)可用性前4項(xiàng)主要處在物聯(lián)網(wǎng)三層架構(gòu)的應(yīng)用層，后4項(xiàng)主要位于傳輸層和感知層。其中，隱私權(quán)和可信度（數(shù)據(jù)完整性和數(shù)據(jù)保密性）問題在物聯(lián)網(wǎng)體系中尤其受關(guān)注。相較于傳統(tǒng)網(wǎng)絡(luò)，物聯(lián)網(wǎng)的感知節(jié)點(diǎn)大都部署在無人監(jiān)控的環(huán)境，具有能力脆弱、資源受限等特點(diǎn)，并且由于物聯(lián)網(wǎng)是在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)上擴(kuò)展了感知網(wǎng)絡(luò)和應(yīng)用平臺(tái)，傳統(tǒng)網(wǎng)絡(luò)安全措施不足以提供可靠的安全保障，從而使得物聯(lián)網(wǎng)的安全問題具有特殊性。7.1物聯(lián)網(wǎng)安全概述1從物聯(lián)網(wǎng)的構(gòu)成要素分析物聯(lián)網(wǎng)的構(gòu)成要素包括傳感器、傳輸系統(tǒng)（泛在網(wǎng)）及處理系統(tǒng)，因此物聯(lián)網(wǎng)的安全形態(tài)表現(xiàn)在這3個(gè)要素上。就物理安全而言，主要表現(xiàn)在傳感器的安全方面，包括對(duì)傳感器的干擾、屏蔽、信號(hào)截獲等。就運(yùn)行安全而言，則存在于各個(gè)要素中，即涉及傳感器、傳輸系統(tǒng)及處理系統(tǒng)的正常運(yùn)行，這方面與傳統(tǒng)的信息安全基本相同。數(shù)據(jù)安全也是存在于各個(gè)要素中，要求在傳感器、傳輸系統(tǒng)、處理系統(tǒng)中的信息不會(huì)出現(xiàn)被竊取、被篡改、被偽造、被抵賴等。傳感器與無線傳感器網(wǎng)絡(luò)所面臨的問題比傳統(tǒng)的信息安全更為復(fù)雜，因?yàn)閭鞲衅髋c無線傳感器網(wǎng)絡(luò)可能會(huì)因?yàn)槟芰渴芟薜膯栴}而不能運(yùn)行過于復(fù)雜的保護(hù)體系。7.1物聯(lián)網(wǎng)安全概述2從物聯(lián)網(wǎng)的保護(hù)要素分析物聯(lián)網(wǎng)的保護(hù)要素是可用性、機(jī)密性、可鑒別性與可控性。其中，可用性是從體系上來保障物聯(lián)網(wǎng)的健壯性、可生存性；機(jī)密性是要構(gòu)建整體的加密體系來保護(hù)物聯(lián)網(wǎng)的數(shù)據(jù)隱私；可鑒別性是要構(gòu)建完整的信任體系來保證所有的行為、來源、數(shù)據(jù)的完整性等都是真實(shí)可信的；可控性是物聯(lián)網(wǎng)最為特殊的地方，是要采取措施來保證物聯(lián)網(wǎng)不會(huì)因?yàn)殄e(cuò)誤而帶來控制方面的災(zāi)難，包括控制判斷的冗余性、控制命令傳輸渠道的可生存性、控制結(jié)果的風(fēng)險(xiǎn)評(píng)估能力等。7.1物聯(lián)網(wǎng)安全概述3從物聯(lián)網(wǎng)安全的機(jī)密性、完整性和可用性分析信息隱私是物聯(lián)網(wǎng)信息機(jī)密性的直接體現(xiàn)，如感知終端的位置信息是物聯(lián)網(wǎng)的重要信息資源之一，也是需要保護(hù)的敏感信息。另外，在數(shù)據(jù)處理過程中同樣存在隱私保護(hù)問題，如基于數(shù)據(jù)挖掘的行為分析等，要建立訪問控制機(jī)制，控制物聯(lián)網(wǎng)中信息采集、傳遞和查詢等操作，確保不會(huì)由于個(gè)人隱私或機(jī)構(gòu)秘密的泄露而對(duì)個(gè)人或機(jī)構(gòu)造成傷害。信息的加密是實(shí)現(xiàn)機(jī)密性的重要手段，由于物聯(lián)網(wǎng)的多源異構(gòu)性，使密鑰管理顯得更為困難，特別是對(duì)感知網(wǎng)絡(luò)的密鑰管理是制約物聯(lián)網(wǎng)信息機(jī)密性的瓶頸。物聯(lián)網(wǎng)的信息完整性和可用性貫穿物聯(lián)網(wǎng)數(shù)據(jù)流的全過程，網(wǎng)絡(luò)入侵、拒絕攻擊服務(wù)、女巫攻擊、路由攻擊等都會(huì)使信息的完整性和可用性受到破壞。同時(shí)，物聯(lián)網(wǎng)的感知互動(dòng)過程也要求網(wǎng)絡(luò)具有高度的穩(wěn)定性和可靠性。物聯(lián)網(wǎng)與許多應(yīng)用領(lǐng)域的物理設(shè)備相關(guān)聯(lián)，要保證網(wǎng)絡(luò)的穩(wěn)定可靠，如在倉(cāng)儲(chǔ)物流應(yīng)用領(lǐng)域，物聯(lián)網(wǎng)必須是穩(wěn)定的；要保證網(wǎng)絡(luò)的連通性，不能出現(xiàn)互聯(lián)網(wǎng)中電子郵件時(shí)常丟失等問題，不然無法準(zhǔn)確檢測(cè)進(jìn)庫(kù)和出庫(kù)的物品。7.1物聯(lián)網(wǎng)安全概述4從物聯(lián)網(wǎng)面臨的安全問題分析從物聯(lián)網(wǎng)的信息處理過程來看，感知信息經(jīng)過采集、匯聚、融合、傳輸、決策與控制等過程，整個(gè)信息處理的過程體現(xiàn)了物聯(lián)網(wǎng)安全的特征與要求，也揭示了其所面臨的安全問題。（1）感知網(wǎng)絡(luò)的信息采集、傳輸與信息安全問題感知節(jié)點(diǎn)呈現(xiàn)多源異構(gòu)性，通常情況下感知節(jié)點(diǎn)功能簡(jiǎn)單（如自動(dòng)溫度計(jì)）、攜帶能量少（使用電池），使得它們無法擁有復(fù)雜的安全保護(hù)能力，而感知網(wǎng)絡(luò)多種多樣，從溫度測(cè)量到水文監(jiān)控，從道路導(dǎo)航到自動(dòng)控制，它們的數(shù)據(jù)傳輸和消息也沒有特定的標(biāo)準(zhǔn)，所以無法提供統(tǒng)一的安全保護(hù)體系，因此要根據(jù)具體的應(yīng)用去制定相應(yīng)的標(biāo)準(zhǔn)。7.1物聯(lián)網(wǎng)安全概述（2）核心網(wǎng)絡(luò)的傳輸與信息安全問題核心網(wǎng)絡(luò)具有相對(duì)完整的安全保護(hù)能力，但是由于物聯(lián)網(wǎng)中節(jié)點(diǎn)數(shù)量龐大，且以集群方式存在，因此會(huì)導(dǎo)致在數(shù)據(jù)傳播時(shí)，由于大量機(jī)器的數(shù)據(jù)發(fā)送使網(wǎng)絡(luò)擁塞，產(chǎn)生拒絕服務(wù)攻擊。此外，現(xiàn)有通信網(wǎng)絡(luò)的安全架構(gòu)都是從人通信的角度設(shè)計(jì)的，對(duì)以物為主體的物聯(lián)網(wǎng)，要建立適合于感知信息傳輸與應(yīng)用的安全架構(gòu)。（3）物聯(lián)網(wǎng)業(yè)務(wù)的安全問題支撐物聯(lián)網(wǎng)業(yè)務(wù)的平臺(tái)有著不同的安全策略，如云計(jì)算、分布式系統(tǒng)、海量信息處理等，這些支撐平臺(tái)要為上層服務(wù)管理和大規(guī)模行業(yè)應(yīng)用建立起一個(gè)高效、可靠和可信的系統(tǒng)，而大規(guī)模、多平臺(tái)、多業(yè)務(wù)類型使物聯(lián)網(wǎng)業(yè)務(wù)層次的安全面臨新的挑戰(zhàn)，是針對(duì)不同的行業(yè)應(yīng)用建立相應(yīng)的安全策略，還是建立一個(gè)相對(duì)獨(dú)立的安全架構(gòu)，這都是需要研究和討論的問題?？傊锫?lián)網(wǎng)安全的總體需求就是物理安全、信息采集安全、信息傳輸安全和信息處理安全的綜合，安全的最終目標(biāo)是確保信息的機(jī)密性、完整性、真實(shí)性和網(wǎng)絡(luò)的容錯(cuò)性。7.1物聯(lián)網(wǎng)安全概述物聯(lián)網(wǎng)的安全體系架構(gòu)71物聯(lián)網(wǎng)的安全層次模型物聯(lián)網(wǎng)的3個(gè)特征分別是全面感知、可靠傳遞和智能處理，因此在分析物聯(lián)網(wǎng)的安全性時(shí)，也相應(yīng)地將其分為3個(gè)邏輯層，即感知層、網(wǎng)絡(luò)層和應(yīng)用層。除此之外，在物聯(lián)網(wǎng)的綜合應(yīng)用方面還應(yīng)該有一個(gè)處理層，它主要完成對(duì)采集數(shù)據(jù)的智能處理，并保證數(shù)據(jù)的完整性、有效性和安全性。在某些框架中，處理層與應(yīng)用層可能被作為統(tǒng)一邏輯層進(jìn)行處理，但從信息安全的角度考慮，將處理層和應(yīng)用層獨(dú)立出來更容易建立安全架構(gòu)。結(jié)合物聯(lián)網(wǎng)的安全需求、分布式連接和管理（DCM）模式，給出物聯(lián)網(wǎng)的安全層次模型。物聯(lián)網(wǎng)安全層次模型7.1物聯(lián)網(wǎng)安全概述感知層通過各種傳感器節(jié)點(diǎn)獲取各類數(shù)據(jù)，包括物體屬性、環(huán)境狀態(tài)、行為狀態(tài)等動(dòng)態(tài)和靜態(tài)信息，通過傳感器網(wǎng)絡(luò)、射頻讀寫器、GPS、圖像捕捉裝置（如攝像頭）等網(wǎng)絡(luò)和設(shè)備實(shí)現(xiàn)數(shù)據(jù)在感知層的匯聚和傳輸；網(wǎng)絡(luò)層主要通過移動(dòng)通信網(wǎng)、無線網(wǎng)絡(luò)、互聯(lián)網(wǎng)等網(wǎng)絡(luò)基礎(chǔ)設(shè)施，實(shí)現(xiàn)對(duì)感知層信息的接入和傳輸；處理層是為上層應(yīng)用服務(wù)建立起一個(gè)高效、可靠的支撐技術(shù)平臺(tái)，通過并行數(shù)據(jù)挖掘處理等過程，為應(yīng)用提供服務(wù)，屏蔽底層的網(wǎng)絡(luò)、信息的異構(gòu)性；應(yīng)用層是根據(jù)用戶的需求，建立相應(yīng)的業(yè)務(wù)模型，運(yùn)行相應(yīng)的應(yīng)用系統(tǒng)。在各個(gè)層次中，安全和管理貫穿于其中。7.1物聯(lián)網(wǎng)安全概述2物聯(lián)網(wǎng)的安全技術(shù)架構(gòu)以密碼技術(shù)為核心的基礎(chǔ)信息安全平臺(tái)及基礎(chǔ)設(shè)施建設(shè)是物聯(lián)網(wǎng)安全，特別是數(shù)據(jù)隱私保護(hù)的基礎(chǔ)，安全平臺(tái)同時(shí)包括安全事件應(yīng)急響應(yīng)中心、數(shù)據(jù)備份和災(zāi)難恢復(fù)設(shè)施、安全管理等。物聯(lián)網(wǎng)安全技術(shù)架構(gòu)7.1物聯(lián)網(wǎng)安全概述安全防御技術(shù)主要是為了保證信息的安全而采用的一些方法。在物理安全和信息采集安全方面，主要采用針對(duì)信息安全基礎(chǔ)核心的安全技術(shù)，如密碼技術(shù)、高速密碼芯片、PKI（公鑰基礎(chǔ)設(shè)施）、信息系統(tǒng)平臺(tái)安全等，以保證信息采集過程中節(jié)點(diǎn)不被控制和破壞，信息不被偽造和攻擊。在網(wǎng)絡(luò)與信息系統(tǒng)安全方面，主要采用針對(duì)網(wǎng)絡(luò)環(huán)境的安全技術(shù)，如虛擬專用網(wǎng)、安全路由、防火墻、安全域策略等，實(shí)現(xiàn)網(wǎng)絡(luò)互連過程的安全，旨在確保通信的機(jī)密性、完整性和可用性。在信息處理安全方面，主要采用針對(duì)信息安全防御的關(guān)鍵技術(shù)，如攻擊監(jiān)測(cè)、內(nèi)容分析、病毒防治、訪問控制、應(yīng)急反應(yīng)、戰(zhàn)略預(yù)警等，以保證信息的安全處理和存儲(chǔ)。在信息應(yīng)用安全方面，主要采用針對(duì)應(yīng)用環(huán)境的安全技術(shù)，如可信終端、身份認(rèn)證、訪問控制、安全審計(jì)等，以實(shí)現(xiàn)應(yīng)用系統(tǒng)安全運(yùn)行和信息保護(hù)。7.1物聯(lián)網(wǎng)安全概述物聯(lián)網(wǎng)安全的關(guān)鍵技術(shù)7作為一種多網(wǎng)絡(luò)融合的網(wǎng)絡(luò)，物聯(lián)網(wǎng)安全涉及各個(gè)網(wǎng)絡(luò)的不同層次，在這些獨(dú)立的網(wǎng)絡(luò)中已實(shí)際應(yīng)用了多種安全技術(shù)，物聯(lián)網(wǎng)中涉及安全的關(guān)鍵技術(shù)主要包括密鑰管理機(jī)制數(shù)據(jù)處理與隱私性安全路由協(xié)議認(rèn)證與訪問控制入侵檢測(cè)與容侵容錯(cuò)技術(shù)決策與控制安全7.1物聯(lián)網(wǎng)安全概述1密鑰管理機(jī)制密鑰作為物聯(lián)網(wǎng)安全技術(shù)的基礎(chǔ)，它就像一把大門的鑰匙一樣，在網(wǎng)絡(luò)安全中起著決定性作用。對(duì)于互聯(lián)網(wǎng)，由于不存在計(jì)算機(jī)資源的限制，非對(duì)稱和對(duì)稱密鑰系統(tǒng)都可以適用，移動(dòng)通信網(wǎng)是一種相對(duì)集中式管理的網(wǎng)絡(luò)，而無線傳感器網(wǎng)絡(luò)和感知節(jié)點(diǎn)由于計(jì)算資源的限制，對(duì)密鑰系統(tǒng)提出了更多的要求。一是如何構(gòu)建一個(gè)貫穿多個(gè)網(wǎng)絡(luò)的統(tǒng)一密鑰管理系統(tǒng)，并與物聯(lián)網(wǎng)的體系結(jié)構(gòu)相適應(yīng)；二是如何解決無線傳感器網(wǎng)絡(luò)中的密鑰管理問題，如密鑰的分配、更新、組播等問題。物聯(lián)網(wǎng)密鑰管理系統(tǒng)面臨兩個(gè)主要問題：7.1物聯(lián)網(wǎng)安全概述一種是以互聯(lián)網(wǎng)為中心的集中式管理方法；一種是以各自網(wǎng)絡(luò)為中心的分布式管理方法；實(shí)現(xiàn)統(tǒng)一的密鑰管理系統(tǒng)可以采用兩種方法：在后一種模式下，互聯(lián)網(wǎng)和移動(dòng)通信網(wǎng)比較容易實(shí)現(xiàn)對(duì)密鑰進(jìn)行管理，但在無線傳感器網(wǎng)絡(luò)環(huán)境中對(duì)匯聚節(jié)點(diǎn)的要求就比較高了。盡管可以在無線傳感器網(wǎng)絡(luò)中采用簇頭選擇方法，推選簇頭，形成層次式網(wǎng)絡(luò)結(jié)構(gòu)，每個(gè)節(jié)點(diǎn)與相應(yīng)的簇頭通信，簇頭間以及簇頭與匯聚節(jié)點(diǎn)之間進(jìn)行密鑰的協(xié)商，但對(duì)多跳通信的邊緣節(jié)點(diǎn)，以及由于簇頭選擇算法和簇頭本身的能量消耗，使無線傳感器網(wǎng)絡(luò)的密鑰管理成為解決問題的關(guān)鍵。7.1物聯(lián)網(wǎng)安全概述2數(shù)據(jù)處理與隱私性物聯(lián)網(wǎng)的數(shù)據(jù)要經(jīng)過信息感知、獲取、匯聚、融合、傳輸、存儲(chǔ)、挖掘、決策和控制等處理流程，而末端的感知網(wǎng)絡(luò)幾乎要涉及上述信息處理的全過程，只是由于傳感節(jié)點(diǎn)與匯聚節(jié)點(diǎn)的資源限制，在信息的挖掘和決策方面不占據(jù)主要的位置。物聯(lián)網(wǎng)應(yīng)用不僅面臨信息采集的安全性，也要考慮到信息傳送的私密性，要求信息不能被篡改和非授權(quán)用戶使用，同時(shí)，還要考慮到網(wǎng)絡(luò)的可靠、可信和安全。物聯(lián)網(wǎng)能否大規(guī)模推廣應(yīng)用，很大程度上取決于其是否能夠保障用戶數(shù)據(jù)和隱私的安全。7.1物聯(lián)網(wǎng)安全概述就無線傳感器網(wǎng)絡(luò)而言，在信息的感知采集階段就要進(jìn)行相關(guān)的安全處理，如對(duì)RFID采集的信息進(jìn)行輕量級(jí)的加密處理后，再傳送到匯聚節(jié)點(diǎn)。這里要關(guān)注的是對(duì)光學(xué)標(biāo)簽的信息采集處理與安全，作為感知端的物體身份標(biāo)識(shí)，光學(xué)標(biāo)簽顯示了獨(dú)特的優(yōu)勢(shì)，而虛擬光學(xué)的加密解密技術(shù)為基于光學(xué)標(biāo)簽的身份標(biāo)識(shí)提供了手段，基于軟件的虛擬光學(xué)密碼系統(tǒng)由于可以在光波的多個(gè)維度進(jìn)行信息的加密處理，比一般傳統(tǒng)的對(duì)稱加密系統(tǒng)具有更高的安全性，數(shù)學(xué)模型的建立和軟件技術(shù)的發(fā)展極大地推動(dòng)了該領(lǐng)域的研究和應(yīng)用推廣。7.1物聯(lián)網(wǎng)安全概述數(shù)據(jù)處理過程中涉及基于位置的服務(wù)和在信息處理過程中的隱私保護(hù)問題。ACM（國(guó)際計(jì)算機(jī)學(xué)會(huì)）于2008年成立了SIGSPATIAL（空間信息專業(yè)委員會(huì)），致力于空間信息理論與應(yīng)用研究?；谖恢玫姆?wù)是物聯(lián)網(wǎng)提供的基本功能，是定位、電子地圖、基于位置的數(shù)據(jù)挖掘和發(fā)現(xiàn)、自適應(yīng)表達(dá)等技術(shù)的融合。定位技術(shù)目前主要有GPS定位、基于手機(jī)的定位、無線傳感器網(wǎng)絡(luò)定位等。無線傳感器網(wǎng)絡(luò)的定位主要是射頻識(shí)別、藍(lán)牙及ZigBee等?；谖恢玫姆?wù)面臨嚴(yán)峻的隱私保護(hù)問題，這既是安全問題，也是法律問題。歐洲通過了《隱私與電子通信法》，對(duì)隱私保護(hù)問題給出了明確的法律規(guī)定。7.1物聯(lián)網(wǎng)安全概述基于位置服務(wù)中的隱私內(nèi)容涉及兩個(gè)方面：一是位置隱私，二是查詢隱私。位置隱私中的位置指用戶過去或現(xiàn)在的位置，查詢隱私指敏感信息的查詢與挖掘，如某用戶經(jīng)常查詢某區(qū)域的餐館或醫(yī)院，可以分析該用戶的居住位置、收入狀況、生活行為、健康狀況等敏感信息，造成個(gè)人隱私信息的泄露。查詢隱私就是數(shù)據(jù)處理過程中的隱私保護(hù)問題。所以，我們面臨一個(gè)困難的選擇，一方面希望提供盡可能精確的位置服務(wù)，另一方面又希望個(gè)人的隱私得到保護(hù)，這就需要在技術(shù)上給予保證。目前的隱私保護(hù)方法主要有位置偽裝、時(shí)空匿名、空間加密等。7.1物聯(lián)網(wǎng)安全概述3安全路由協(xié)議物聯(lián)網(wǎng)的路由要跨越多類網(wǎng)絡(luò)，有基于IP地址的互聯(lián)網(wǎng)路由協(xié)議、有基于標(biāo)識(shí)的移動(dòng)通信網(wǎng)和無線傳感器網(wǎng)絡(luò)的路由算法，因此至少要解決兩個(gè)問題：一是多網(wǎng)融合的路由問題；二是無線傳感器網(wǎng)絡(luò)的路由問題。前者可以考慮將身份標(biāo)識(shí)映射成類似的IP地址，實(shí)現(xiàn)基于地址的統(tǒng)一路由體系；后者是由于無線傳感器網(wǎng)絡(luò)的計(jì)算資源的局限性和易受到攻擊的特點(diǎn)，要設(shè)計(jì)抗攻擊的安全路由算法。7.1物聯(lián)網(wǎng)安全概述目前，國(guó)內(nèi)外學(xué)者提出了多種無線傳感器網(wǎng)絡(luò)路由協(xié)議，這些路由協(xié)議最初的設(shè)計(jì)目標(biāo)通常是以最小的通信、計(jì)算和存儲(chǔ)開銷完成節(jié)點(diǎn)間的數(shù)據(jù)傳輸，但是這些路由協(xié)議大都沒有考慮到安全問題。實(shí)際上由于無線傳感器節(jié)點(diǎn)電量有限、計(jì)算能力有限、存儲(chǔ)容量有限、部署在野外等特點(diǎn)，使得它極易受到各類攻擊。無線傳感器網(wǎng)絡(luò)路由協(xié)議常受到的攻擊主要有虛假路由信息攻擊選擇性轉(zhuǎn)發(fā)攻擊污水池攻擊女巫攻擊蟲洞攻擊Hello泛洪攻擊確認(rèn)攻擊7.1物聯(lián)網(wǎng)安全概述4認(rèn)證與訪問控制1）認(rèn)證認(rèn)證是指使用者采用某種方式來證明自己確實(shí)是自己宣稱的某人。網(wǎng)絡(luò)中的認(rèn)證主要包括身份認(rèn)證和消息認(rèn)證。身份認(rèn)證可以使通信雙方確信對(duì)方的身份并交換會(huì)話密鑰。保密性和及時(shí)性是認(rèn)證的密鑰交換中兩個(gè)重要的問題。為了防止假冒和會(huì)話密鑰的泄露，用戶標(biāo)識(shí)和會(huì)話密鑰這樣的重要信息必須以密文的形式傳送，這就需要事先已有能用于這一目的的主密鑰或公鑰。因?yàn)榭赡艽嬖谙⒅胤牛约皶r(shí)性非常重要，在最壞的情況下，攻擊者可以利用重放攻擊威脅會(huì)話密鑰或者成功假冒另一方。消息認(rèn)證中主要是接收方希望能夠保證其接收的消息確實(shí)來自真正的發(fā)送方。有時(shí)收發(fā)雙方不同時(shí)在線，例如在電子郵件系統(tǒng)中，電子郵件消息發(fā)送到接收方的電子郵件中，并一直存放在郵箱中直至接收方讀取為止。廣播認(rèn)證是一種特殊的消息認(rèn)證形式，在廣播認(rèn)證中一方廣播的消息被多方認(rèn)證。7.1物聯(lián)網(wǎng)安全概述傳統(tǒng)的認(rèn)證是區(qū)分不同層次的，網(wǎng)絡(luò)層的認(rèn)證負(fù)責(zé)網(wǎng)絡(luò)層的身份鑒別，業(yè)務(wù)層的認(rèn)證負(fù)責(zé)業(yè)務(wù)層的身份鑒別，兩者獨(dú)立存在。但是在物聯(lián)網(wǎng)中，業(yè)務(wù)應(yīng)用與網(wǎng)絡(luò)通信緊緊地綁在一起，認(rèn)證有其特殊性。例如，當(dāng)物聯(lián)網(wǎng)的業(yè)務(wù)由運(yùn)營(yíng)商提供時(shí)，那么就可以充分利用網(wǎng)絡(luò)層認(rèn)證的結(jié)果而不需要進(jìn)行業(yè)務(wù)層的認(rèn)證；當(dāng)業(yè)務(wù)是敏感業(yè)務(wù)如金融類業(yè)務(wù)時(shí)，一般業(yè)務(wù)提供者會(huì)不信任網(wǎng)絡(luò)層的安全級(jí)別，而使用更高級(jí)別的安全保護(hù)，那么這個(gè)時(shí)候就需要做業(yè)務(wù)層的認(rèn)證；當(dāng)業(yè)務(wù)是普通業(yè)務(wù)時(shí)，如氣溫采集業(yè)務(wù)等，業(yè)務(wù)提供者認(rèn)為網(wǎng)絡(luò)認(rèn)證已經(jīng)足夠，那么就不再需要業(yè)務(wù)層的認(rèn)證。7.1物聯(lián)網(wǎng)安全概述在物聯(lián)網(wǎng)的認(rèn)證過程中，無線傳感器網(wǎng)絡(luò)的認(rèn)證機(jī)制是重要的研究部分，無線傳感器網(wǎng)絡(luò)中的認(rèn)證技術(shù)主要包括基于輕量級(jí)公鑰的認(rèn)證技術(shù)預(yù)共享密鑰的認(rèn)證技術(shù)隨機(jī)密鑰預(yù)分布的認(rèn)證技術(shù)利用輔助信息的認(rèn)證基于單向散列函數(shù)的認(rèn)證7.1物聯(lián)網(wǎng)安全概述（1）基于輕量級(jí)公鑰算法的認(rèn)證技術(shù)鑒于經(jīng)典的公鑰算法需要高計(jì)算量，在資源有限的無線傳感器網(wǎng)絡(luò)中不具有可操作性，當(dāng)前有一些研究正致力于對(duì)公鑰算法進(jìn)行優(yōu)化設(shè)計(jì)，使其能適應(yīng)于無線傳感器網(wǎng)絡(luò)，但在能耗和資源方面還存在很大的改進(jìn)空間，如基于RSA公鑰算法的TinyPK認(rèn)證方案，以及基于身份標(biāo)識(shí)的認(rèn)證算法等。（2）基于預(yù)共享密鑰的認(rèn)證技術(shù)SNEP方案中提出兩種配置方法：一是節(jié)點(diǎn)之間的共享密鑰，二是每個(gè)節(jié)點(diǎn)和基站之間的共享密鑰。這類方案使用每對(duì)節(jié)點(diǎn)之間共享一個(gè)主密鑰，可以在任何一對(duì)節(jié)點(diǎn)之間建立安全通信。缺點(diǎn)表現(xiàn)為擴(kuò)展性和抗捕獲能力較差，任意一節(jié)點(diǎn)被俘獲后就會(huì)暴露密鑰信息，進(jìn)而導(dǎo)致全網(wǎng)絡(luò)癱瘓。（3）基于單向散列函數(shù)的認(rèn)證方法該類方法主要用在廣播認(rèn)證中，由單向散列函數(shù)生成一個(gè)密鑰鏈，利用單向散列函數(shù)的不可逆性，保證密鑰不可預(yù)測(cè)。通過某種方式依次公布密鑰鏈中的密鑰，可以對(duì)消息進(jìn)行認(rèn)證。目前基于單向散列函數(shù)的廣播認(rèn)證方法主要是對(duì)μTESLA協(xié)議的改進(jìn)。μTESLA協(xié)議以TESLA協(xié)議為基礎(chǔ)，對(duì)密鑰更新過程、初始認(rèn)證過程進(jìn)行了改進(jìn)，使其能夠在無線傳感器網(wǎng)絡(luò)有效實(shí)施。7.1物聯(lián)網(wǎng)安全概述2）訪問控制訪問控制是對(duì)用戶合法使用資源的認(rèn)證和控制，目前信息系統(tǒng)的訪問控制主要是基于角色的訪問控制機(jī)制（RBAC）及其擴(kuò)展模型。RBAC機(jī)制主要由Sandhu于1996年提出的基本模型RBAC96構(gòu)成，一個(gè)用戶先由系統(tǒng)分配一個(gè)角色，如管理員、普通用戶等，登錄系統(tǒng)后，根據(jù)用戶的角色所設(shè)置的訪問策略實(shí)現(xiàn)對(duì)資源的訪問，顯然，同樣的角色可以訪問同樣的資源。RBAC機(jī)制是基于互聯(lián)網(wǎng)的OA系統(tǒng)、銀行系統(tǒng)、網(wǎng)上商店等系統(tǒng)的訪問控制方法，是基于用戶的。對(duì)物聯(lián)網(wǎng)而言，末端是感知網(wǎng)絡(luò)，可能是一個(gè)感知節(jié)點(diǎn)或一個(gè)物體，采用用戶角色的形式進(jìn)行資源的控制顯得不夠靈活，一是本身基于角色的訪問控制在分布式的網(wǎng)絡(luò)環(huán)境中已呈現(xiàn)出不相適應(yīng)的地方，如對(duì)具有時(shí)間約束資源的訪問控制，訪問控制的多層次適應(yīng)性等方面需要進(jìn)一步探討；二是節(jié)點(diǎn)不是用戶，是各類傳感器或其他設(shè)備，且種類繁多，基于角色的訪問控制機(jī)制中角色類型無法一一對(duì)應(yīng)這些節(jié)點(diǎn)，因此，使RBAC機(jī)制難以實(shí)現(xiàn)；三是物聯(lián)網(wǎng)表現(xiàn)的是信息的感知互動(dòng)過程，包含了信息的處理、決策和控制等過程，特別是反向控制是物物互連的特征之一，資源的訪問呈現(xiàn)動(dòng)態(tài)性和多層次性，而RBAC機(jī)制中一旦用戶被指定為某種角色，他的可訪問資源就相對(duì)固定了。所以，尋求新的訪問控制機(jī)制是物聯(lián)網(wǎng)，也是互聯(lián)網(wǎng)值得研究的問題。7.1物聯(lián)網(wǎng)安全概述5入侵檢測(cè)與容侵容錯(cuò)技術(shù)容侵是指在網(wǎng)絡(luò)中存在惡意入侵的情況下，網(wǎng)絡(luò)仍然能夠正常地運(yùn)行。無線傳感器網(wǎng)絡(luò)的安全隱患在于網(wǎng)絡(luò)部署區(qū)域的開放特性及無線電網(wǎng)絡(luò)的廣播特性，攻擊者往往利用這兩個(gè)特性，通過阻礙網(wǎng)絡(luò)中節(jié)點(diǎn)的正常工作，進(jìn)而破壞整個(gè)無線傳感器網(wǎng)絡(luò)的運(yùn)行，降低網(wǎng)絡(luò)的可用性。無人值守的惡劣環(huán)境導(dǎo)致無線傳感器網(wǎng)絡(luò)缺少傳統(tǒng)網(wǎng)絡(luò)中的物理上的安全，傳感器節(jié)點(diǎn)很容易被攻擊者俘獲、毀壞或妥協(xié)?，F(xiàn)階段無線傳感器網(wǎng)絡(luò)的容侵技術(shù)主要集中于網(wǎng)絡(luò)的拓?fù)淙萸帧踩酚扇萸旨皵?shù)據(jù)傳輸過程中的容侵機(jī)制。7.1物聯(lián)網(wǎng)安全概述無線傳感器網(wǎng)絡(luò)可用性的另一個(gè)要求是網(wǎng)絡(luò)的容錯(cuò)性。一般意義上的容錯(cuò)性是指在故障存在的情況下系統(tǒng)不失效、仍然能夠正常工作的特性。無線傳感器網(wǎng)絡(luò)的容錯(cuò)性指的是當(dāng)部分節(jié)點(diǎn)或鏈路失效后，網(wǎng)絡(luò)能夠進(jìn)行傳輸數(shù)據(jù)的恢復(fù)或者網(wǎng)絡(luò)結(jié)構(gòu)自愈，從而盡可能減小節(jié)點(diǎn)或鏈路失效對(duì)無線傳感器網(wǎng)絡(luò)功能的影響。由于傳感器節(jié)點(diǎn)在能量、存儲(chǔ)空間、計(jì)算能力和通信帶寬等諸多方面都受限，而且通常工作在惡劣的環(huán)境中，網(wǎng)絡(luò)中的傳感器節(jié)點(diǎn)經(jīng)常會(huì)出現(xiàn)失效的狀況。因此，容錯(cuò)性成為無線傳感器網(wǎng)絡(luò)中一個(gè)重要的設(shè)計(jì)因素，容錯(cuò)技術(shù)也是無線傳感器網(wǎng)絡(luò)研究的一個(gè)重要領(lǐng)域。7.1物聯(lián)網(wǎng)安全概述提示目前，無線傳感器網(wǎng)絡(luò)容錯(cuò)技術(shù)領(lǐng)域的研究主要集中在3個(gè)方面。（1）網(wǎng)絡(luò)拓?fù)渲械娜蒎e(cuò)。通過對(duì)無線傳感器網(wǎng)絡(luò)設(shè)計(jì)合理的拓?fù)浣Y(jié)構(gòu)，保證網(wǎng)絡(luò)在出現(xiàn)斷裂的情況下，也能正常進(jìn)行通信。（2）網(wǎng)絡(luò)覆蓋中的容錯(cuò)。在無線傳感器網(wǎng)絡(luò)的部署階段，主要研究在部分節(jié)點(diǎn)、鏈路失效的情況下，如何事先部署或事后移動(dòng)、補(bǔ)充傳感器節(jié)點(diǎn)，從而保證對(duì)監(jiān)測(cè)區(qū)域的覆蓋和保持網(wǎng)絡(luò)節(jié)點(diǎn)之間的連通。（3）數(shù)據(jù)檢測(cè)中的容錯(cuò)機(jī)制。主要研究在惡劣的網(wǎng)絡(luò)環(huán)境中，當(dāng)一些特定事件發(fā)生時(shí)，處于事件發(fā)生區(qū)域的節(jié)點(diǎn)如何能夠正確獲取到數(shù)據(jù)。7.1物聯(lián)網(wǎng)安全概述6決策與控制安全物聯(lián)網(wǎng)的數(shù)據(jù)是一個(gè)雙向流動(dòng)的信息流，一是從感知端采集物理世界的各種信息，經(jīng)過數(shù)據(jù)的處理，存儲(chǔ)在網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)中；二是根據(jù)用戶的需求，進(jìn)行數(shù)據(jù)的挖掘、決策和控制，實(shí)現(xiàn)與物理世界中任何互連物體的互動(dòng)。在數(shù)據(jù)采集處理中我們討論了相關(guān)的隱私性等安全問題，而決策控制又將涉及另一個(gè)安全問題，如可靠性等。前面討論的認(rèn)證和訪問控制機(jī)制可以對(duì)用戶進(jìn)行認(rèn)證，使合法的用戶才能使用相關(guān)的數(shù)據(jù)，并對(duì)系統(tǒng)進(jìn)行控制操作。但問題是如何保證決策和控制的正確性和可靠性。在傳統(tǒng)的無線傳感器網(wǎng)絡(luò)中由于側(cè)重對(duì)感知端的信息獲取，對(duì)決策控制的安全考慮不多，互聯(lián)網(wǎng)的應(yīng)用也是側(cè)重于信息的獲取與挖掘，較少應(yīng)用對(duì)第三方的控制。而物聯(lián)網(wǎng)中對(duì)物體的控制將是重要的組成部分，需要進(jìn)一步更深入地研究。7.1物聯(lián)網(wǎng)安全概述物聯(lián)網(wǎng)安全的研究重點(diǎn)7綠盟科技2016年發(fā)布的《物聯(lián)網(wǎng)安全白皮書》指出了物聯(lián)網(wǎng)安全的6大研究重點(diǎn)。物聯(lián)網(wǎng)安全網(wǎng)關(guān)應(yīng)用層的物聯(lián)網(wǎng)安全服務(wù)漏洞挖掘研究物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)研究區(qū)塊鏈技術(shù)物聯(lián)網(wǎng)設(shè)備安全設(shè)計(jì)7.1物聯(lián)網(wǎng)安全概述1物聯(lián)網(wǎng)安全網(wǎng)關(guān)物聯(lián)網(wǎng)網(wǎng)關(guān)，作為一個(gè)新的名詞，在未來的物聯(lián)網(wǎng)中將會(huì)扮演非常重要的角色，它將成為連接感知網(wǎng)絡(luò)與傳統(tǒng)通信網(wǎng)絡(luò)的紐帶。作為網(wǎng)關(guān)設(shè)備，物聯(lián)網(wǎng)網(wǎng)關(guān)可以實(shí)現(xiàn)感知網(wǎng)絡(luò)與通信網(wǎng)絡(luò)，以及不同類型感知網(wǎng)絡(luò)之間的協(xié)議轉(zhuǎn)換，既可以實(shí)現(xiàn)廣域互聯(lián)，也可以實(shí)現(xiàn)局域互聯(lián)。此外，物聯(lián)網(wǎng)網(wǎng)關(guān)還需要具備設(shè)備管理功能，運(yùn)營(yíng)商通過物聯(lián)網(wǎng)網(wǎng)關(guān)設(shè)備可以管理底層的各感知節(jié)點(diǎn)，了解各節(jié)點(diǎn)的相關(guān)信息，并實(shí)現(xiàn)遠(yuǎn)程控制。物聯(lián)網(wǎng)設(shè)備缺乏認(rèn)證和授權(quán)標(biāo)準(zhǔn)，有些甚至沒有相關(guān)設(shè)計(jì)，對(duì)于連接到公網(wǎng)的設(shè)備，這將導(dǎo)致可通過公網(wǎng)直接對(duì)其進(jìn)行訪問。另外，也很難保證設(shè)備的認(rèn)證和授權(quán)實(shí)現(xiàn)沒有問題，且所有設(shè)備都進(jìn)行完備的認(rèn)證未必現(xiàn)實(shí)（設(shè)備的功耗等），這時(shí)可考慮額外加一層認(rèn)證環(huán)節(jié)，只有認(rèn)證通過，才能夠?qū)ζ溥M(jìn)行訪問?？山Y(jié)合大數(shù)據(jù)分析提供自適應(yīng)訪問控制和細(xì)粒度訪問控制。7.1物聯(lián)網(wǎng)安全概述知識(shí)庫(kù)自適應(yīng)訪問控制：研究安全設(shè)備按需編排模型，對(duì)于設(shè)備的異常行為進(jìn)行安全防護(hù)，限制惡意用戶對(duì)于物聯(lián)網(wǎng)設(shè)備的訪問。細(xì)粒度訪問控制：研究基于屬性的訪問控制模型，使設(shè)備根據(jù)其屬性按需細(xì)粒度訪問內(nèi)部網(wǎng)絡(luò)的資源。7.1物聯(lián)網(wǎng)安全概述未來物聯(lián)網(wǎng)網(wǎng)關(guān)可以發(fā)展成富應(yīng)用平臺(tái)，就像當(dāng)下的手機(jī)一樣。一是對(duì)于用戶體驗(yàn)和交互性來說，擁有本地接口和數(shù)據(jù)存儲(chǔ)是非常有用的；二是即使與互聯(lián)網(wǎng)的連接中斷，這些應(yīng)用也需要持續(xù)工作。物理網(wǎng)關(guān)對(duì)于嵌入式設(shè)備可以提供有用的安全保護(hù)。低功耗操作和受限的軟件支持意味著頻繁的固件更新代價(jià)太高甚至不可能實(shí)現(xiàn)。反而，網(wǎng)關(guān)可以主動(dòng)更新軟件（高級(jí)防火墻）以保護(hù)嵌入式設(shè)備免受攻擊。實(shí)現(xiàn)這些特性需要重新思考運(yùn)行在網(wǎng)關(guān)上的操作系統(tǒng)和其機(jī)制。軟件定義邊界可以被用來隱藏服務(wù)器和服務(wù)器與設(shè)備的交互，從而最大化地保障安全和運(yùn)行時(shí)間。同時(shí)，安全網(wǎng)關(guān)還可與云端通信，實(shí)現(xiàn)對(duì)于設(shè)備的OTA升級(jí)，可以定期對(duì)內(nèi)網(wǎng)設(shè)備狀態(tài)進(jìn)行檢測(cè)，并將檢測(cè)結(jié)果上傳到云端進(jìn)行分析等。但是，也應(yīng)意識(shí)到安全網(wǎng)關(guān)的局限性，安全網(wǎng)關(guān)更適用于對(duì)于固定場(chǎng)所中外部與內(nèi)部連接之間的防護(hù)，如家庭、企業(yè)等，對(duì)于一些需要移動(dòng)的設(shè)備的安全，如智能手環(huán)等，或者內(nèi)部使用無線通信的環(huán)境，則可能需要使用其他的方式來解決。7.1物聯(lián)網(wǎng)安全概述2應(yīng)用層的物聯(lián)網(wǎng)安全服務(wù)應(yīng)用層的物聯(lián)網(wǎng)安全服務(wù)主要包含兩個(gè)方面：一是大數(shù)據(jù)分析驅(qū)動(dòng)的安全，二是對(duì)于已有的安全能力的集成。感知層由于設(shè)備性能所限，并不具備分析海量數(shù)據(jù)的能力，也不具備關(guān)聯(lián)多種數(shù)據(jù)發(fā)現(xiàn)異常的能力，一種自然的思路是在感知層與網(wǎng)絡(luò)層的連接處提供一個(gè)安全網(wǎng)關(guān)，安全網(wǎng)關(guān)負(fù)責(zé)采集數(shù)據(jù)，如流量數(shù)據(jù)、設(shè)備狀態(tài)等，這些數(shù)據(jù)上傳到應(yīng)用層，利用應(yīng)用層的數(shù)據(jù)分析能力進(jìn)行分析，根據(jù)分析結(jié)果下發(fā)相應(yīng)指令。傳統(tǒng)Web安全中的安全能力，如URL信譽(yù)服務(wù)、IP信譽(yù)服務(wù)等，同樣可以集成到物聯(lián)網(wǎng)環(huán)境中，可作為安全服務(wù)模塊，由用戶自行選擇。7.1物聯(lián)網(wǎng)安全概述3漏洞挖掘研究物聯(lián)網(wǎng)漏洞挖掘主要關(guān)注兩個(gè)方面：一是網(wǎng)絡(luò)協(xié)議的漏洞挖掘，二是嵌入式操作系統(tǒng)的漏洞挖掘。它們分別對(duì)應(yīng)網(wǎng)絡(luò)層和感知層。應(yīng)用層大多采用云平臺(tái)，屬于云安全的范疇，可應(yīng)用已有的云安全防護(hù)措施。在現(xiàn)代的汽車、工控等物聯(lián)網(wǎng)行業(yè)，各種網(wǎng)絡(luò)協(xié)議被廣泛使用，這些網(wǎng)絡(luò)協(xié)議帶來了大量的安全問題。需要利用一些漏洞挖掘技術(shù)對(duì)物聯(lián)網(wǎng)中的協(xié)議進(jìn)行漏洞挖掘，先于攻擊者發(fā)現(xiàn)并及時(shí)修補(bǔ)漏洞，有效減少來自黑客的威脅，提升系統(tǒng)的安全性。物聯(lián)網(wǎng)設(shè)備多使用嵌入式操作系統(tǒng)，如果這些嵌入式操作系統(tǒng)遭受了攻擊，將會(huì)對(duì)整個(gè)設(shè)備造成很大的影響。對(duì)嵌入式操作系統(tǒng)的漏洞挖掘也是一個(gè)重要的物聯(lián)網(wǎng)安全研究方向。7.1物聯(lián)網(wǎng)安全概述4物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)研究2016年最為有名的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)Mirai，通過感染網(wǎng)絡(luò)攝像頭等物聯(lián)網(wǎng)設(shè)備進(jìn)行傳播，發(fā)動(dòng)了大規(guī)模的DDoS攻擊。它對(duì)BrianKrebs個(gè)人網(wǎng)站和法國(guó)網(wǎng)絡(luò)服務(wù)商OVH發(fā)動(dòng)了DDoS攻擊。對(duì)于美國(guó)Dyn公司的攻擊，Mirai也貢獻(xiàn)了部分流量。對(duì)于物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的研究，包括傳播機(jī)理、檢測(cè)、防護(hù)和清除方法等。7.1物聯(lián)網(wǎng)安全概述5區(qū)塊鏈技術(shù)區(qū)塊鏈解決的核心問題是在信息不對(duì)稱、不確定的環(huán)境下，如何建立滿足經(jīng)濟(jì)活動(dòng)賴以發(fā)生、發(fā)展的“信任”生態(tài)體系。在物聯(lián)網(wǎng)環(huán)境中，所有日常家居物件都能自發(fā)、自動(dòng)地與其他物件或外界世界進(jìn)行互動(dòng)，但是必須解決物聯(lián)網(wǎng)設(shè)備之間的信任問題。在傳統(tǒng)的中心化系統(tǒng)中，信任機(jī)制比較容易建立，存在一個(gè)可信的第三方來管理所有的設(shè)備的身份信息。但是物聯(lián)網(wǎng)環(huán)境中設(shè)備眾多，未來可能會(huì)達(dá)到百億級(jí)別，這會(huì)對(duì)可信第三方造成很大的壓力。區(qū)塊鏈系統(tǒng)網(wǎng)絡(luò)是典型的P2P網(wǎng)絡(luò)，具有分布式異構(gòu)特征，而物聯(lián)網(wǎng)天然具備分布式特征，網(wǎng)中的每一個(gè)設(shè)備都能管理自己在交互作用中的角色、行為和規(guī)則，對(duì)建立區(qū)塊鏈系統(tǒng)的共識(shí)機(jī)制具有重要的支持作用。7.1物聯(lián)網(wǎng)安全概述6物聯(lián)網(wǎng)設(shè)備安全設(shè)計(jì)物聯(lián)網(wǎng)設(shè)備制造商并沒有很強(qiáng)的安全背景，也缺乏標(biāo)準(zhǔn)來說明一個(gè)產(chǎn)品是否安全。很多安全問題來自于不安全的設(shè)計(jì)。信息安全廠商可以做三點(diǎn)：一是提供安全的開發(fā)規(guī)范，進(jìn)行安全開發(fā)培訓(xùn)，指導(dǎo)物聯(lián)網(wǎng)領(lǐng)域的開發(fā)人員進(jìn)行安全開發(fā)，提高產(chǎn)品的安全性；二是將安全模塊內(nèi)置于物聯(lián)網(wǎng)產(chǎn)品中，比如工控領(lǐng)域?qū)τ趯?shí)時(shí)性的要求很高，而且一旦部署可能很多年都不會(huì)對(duì)其進(jìn)行替換，這時(shí)的安全可能更偏重于安全評(píng)估和檢測(cè)，如果將安全模塊融入設(shè)備的制造過程，將能顯著降低安全模塊的開銷，對(duì)設(shè)備提供更好的安全防護(hù)；三是對(duì)出廠設(shè)備進(jìn)行安全檢測(cè)，及時(shí)發(fā)現(xiàn)設(shè)備中的漏洞并協(xié)助生產(chǎn)廠商進(jìn)行修復(fù)。7.2RFID安全技術(shù)

RFID系統(tǒng)的安全問題及安全需求71RFID系統(tǒng)的安全問題RFID系統(tǒng)同傳統(tǒng)的Internet一樣，容易受到各種攻擊，這主要是由于標(biāo)簽和讀寫器之間的通信是通過電磁波的形式實(shí)現(xiàn)的，其過程中沒有任何物理或者可視的接觸，這種非接觸和無線通信存在嚴(yán)重安全隱患。例如，在RFID系統(tǒng)應(yīng)用過程中，攻擊者通過向RFID系統(tǒng)提供不能辨認(rèn)的虛假信息欺騙系統(tǒng)或發(fā)送大量的錯(cuò)誤信息，導(dǎo)致RFID系統(tǒng)拒絕服務(wù)或中斷正常通信；攻擊者通過向標(biāo)簽數(shù)據(jù)儲(chǔ)存區(qū)寫入非法命令，并將命令以數(shù)據(jù)形式傳輸?shù)胶笈_(tái)服務(wù)器，導(dǎo)致系統(tǒng)被非法訪問和控制；攻擊者通過截取并記錄標(biāo)簽返回到讀寫器的部分?jǐn)?shù)據(jù)信息，再重新發(fā)送給讀寫器，導(dǎo)致讀寫器與攻擊者建立通信。同時(shí)，由于RFID標(biāo)簽的成本和功耗受限，這都極大地限制了系統(tǒng)的處理運(yùn)算能力和安全算法實(shí)現(xiàn)能力，進(jìn)一步增加了系統(tǒng)的安全隱患。7.2RFID安全技術(shù)1）RFID標(biāo)識(shí)自身訪問的安全性問題由于標(biāo)簽成本、工藝和功耗受限，其本身并不包含完善的安全模塊，使之很難具備足以自身保證安全的能力，這樣就很容易被攻擊者操控，其數(shù)據(jù)大多采用簡(jiǎn)單的加密機(jī)制進(jìn)行傳輸，很容易被復(fù)制、篡改甚至刪除。特別是對(duì)于無源標(biāo)簽，由于缺乏自身能量供應(yīng)系統(tǒng)，標(biāo)簽芯片很容易受到“耗盡”攻擊。未授權(quán)用戶可以通過合法的讀寫器直接與RFID標(biāo)簽進(jìn)行通信。這樣，就可以很容易地獲取RFID標(biāo)識(shí)中的數(shù)據(jù)并能夠修改。此外，標(biāo)簽的一致開放性對(duì)于個(gè)人隱私、企業(yè)利益和公共安全都形成了風(fēng)險(xiǎn)，容易造成隱私泄露。7.2RFID安全技術(shù)2）通信信道的安全性問題由于RFID使用的是無線通信信道，這就容易遭受攻擊。攻擊者可以非法截取通信數(shù)據(jù)；可以通過發(fā)射干擾信號(hào)來堵塞通信鏈路，使得讀寫器過載，無法接收正常的標(biāo)簽數(shù)據(jù)，制造拒絕服務(wù)攻擊；可以冒名頂替向RFID發(fā)送數(shù)據(jù)，篡改或偽造數(shù)據(jù)。RFID系統(tǒng)的通信鏈路包括前端標(biāo)簽到讀寫器的空中接口無線鏈路和后端讀寫器到后臺(tái)系統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)。在前端空中接口鏈路中，由于無線傳輸信號(hào)本身具有開放性，使得數(shù)據(jù)安全性十分脆弱，給非法用戶的非法操作帶來了方便，攻擊者可以利用非法的讀寫器攔截?cái)?shù)據(jù)；可以阻塞通信信道進(jìn)行DOS攻擊；可以假冒用戶身份篡改、刪除標(biāo)簽數(shù)據(jù)等。該環(huán)節(jié)是RFID系統(tǒng)安全研究的重點(diǎn)。在后端通信鏈路中，系統(tǒng)面臨著傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)普遍存在的安全問題，屬于傳統(tǒng)信息安全的范疇，具有相對(duì)成熟的安全機(jī)制，可以認(rèn)為具有較好的安全性。7.2RFID安全技術(shù)3）RFID讀寫器的安全性問題由于RFID讀寫器自身可以被偽造；RFID讀寫器與主機(jī)之間的通信可以采用傳統(tǒng)的攻擊方法截獲，所以RFID讀寫器自然也是攻擊者要攻擊的對(duì)象。由此可見，RFID所遇到的安全問題要比通常的計(jì)算機(jī)網(wǎng)絡(luò)安全問題復(fù)雜得多。4）物理破壞物理破壞是指針對(duì)RFID設(shè)備的損壞和攻擊。攻擊者一般會(huì)毀壞附在物品上的標(biāo)簽，或使用一些屏蔽措施如“法拉第籠”使RFID的標(biāo)簽失效。對(duì)于這些破壞性的攻擊，主要考慮使用監(jiān)控設(shè)備進(jìn)行監(jiān)視、將標(biāo)簽隱藏在產(chǎn)品中等傳統(tǒng)方法。另外，“KILL”命令和“RFIDZapper”的惡意使用或者誤用也會(huì)使RFID的標(biāo)簽永久失效。為了降低惡意使用或者誤用“KILL”命令帶來的風(fēng)險(xiǎn)，在Class-1Gen-2EPC標(biāo)準(zhǔn)中，“KILL”命令的使用必須要有一個(gè)32位的密碼認(rèn)證。7.2RFID安全技術(shù)5）“中間人”攻擊攻擊者將一個(gè)設(shè)備秘密地放置在合法的RFID標(biāo)簽和讀寫器之間。該設(shè)備可以攔截甚至修改合法標(biāo)簽與讀寫器之間發(fā)射的無線電信號(hào)。目前在技術(shù)上一般利用往返時(shí)延及信號(hào)強(qiáng)度等指標(biāo)來檢測(cè)標(biāo)簽和讀寫器之間的距離，以此來檢測(cè)是否存在“中間人”攻擊。比較著名的有Hancke&Kuhn提出基于超寬帶脈沖通信的距離限協(xié)議。之后，Reid等人研究了基于超寬帶脈沖通信的距離限協(xié)議的缺陷，然后提出了另一種基于XOR操作的距離限協(xié)議。6）對(duì)中間件的攻擊緩沖器溢出和惡意代碼植入是常見的對(duì)中間件的攻擊。緩沖器溢出使程序隨意執(zhí)行代碼，從而危及中間件后臺(tái)系統(tǒng)安全。惡意代碼植入是入侵者先制作惡意鏈接，欺騙用戶點(diǎn)擊，激活時(shí)這些腳本將執(zhí)行攻擊。7）隱私保護(hù)相關(guān)問題隱私問題主要是指跟蹤定位問題，即攻擊者通過標(biāo)簽的響應(yīng)信息來追蹤定位標(biāo)簽。要想達(dá)到反追蹤的目的，首先應(yīng)該做到ID匿名。其次，我們還應(yīng)考慮前向安全性。前向安全性是指如果一個(gè)攻擊者獲取了該標(biāo)簽當(dāng)前發(fā)出的信息，那么攻擊者用該信息仍然不能夠確定該標(biāo)簽以前的歷史信息。這樣，就能有效防止攻擊者對(duì)標(biāo)簽進(jìn)行追蹤定位。7.1物聯(lián)網(wǎng)安全概述不可追蹤性可區(qū)分性前向安全性后向安全性同步性2RFID系統(tǒng)的安全需求根據(jù)前面對(duì)現(xiàn)存RFID安全問題的分類和分析，著重針對(duì)隱私保護(hù)和數(shù)據(jù)通信中存在的安全問題提出了RFID系統(tǒng)應(yīng)滿足的安全要求，包括不可追蹤性、可區(qū)分性、前向安全性、后向安全性和同步性5個(gè)方面。7.2RFID安全技術(shù)1）不可追蹤性為了有效保護(hù)標(biāo)簽持有者的隱私和合法利益，必須保證標(biāo)簽輸出的信息不僅可以區(qū)分，而且攻擊者不能從雙方通信的信息中得到區(qū)分標(biāo)簽的信息，更不能從此次通信的信息中得出目標(biāo)標(biāo)簽下次通信的信息特點(diǎn)，對(duì)標(biāo)簽進(jìn)行跟蹤。否則會(huì)將持有者的安全、隱私、個(gè)人行蹤都暴露給攻擊者。因此，通信的協(xié)議的設(shè)計(jì)必須要保證標(biāo)簽的不可追蹤性。2）可區(qū)分性對(duì)于大量使用標(biāo)簽的RFID系統(tǒng)，對(duì)于讀寫器來說不同標(biāo)簽在同一時(shí)刻的輸出應(yīng)該具有可區(qū)分性；對(duì)于攻擊者來說標(biāo)簽的輸出要保證不可區(qū)分性。這主要是針對(duì)攻擊者有可能利用標(biāo)簽的輸出信息，通過分析、綜合后，對(duì)目的標(biāo)簽進(jìn)行跟蹤，進(jìn)行下一步的不法活動(dòng)。因此，在標(biāo)簽的認(rèn)證過程中要保證標(biāo)簽是可區(qū)分的，但是對(duì)于攻擊者來說標(biāo)簽的輸出信息要保證不可區(qū)分性，這樣才能保證整個(gè)RFID系統(tǒng)的安全性。7.2RFID安全技術(shù)3）前向安全性前向安全性是指即使攻擊者獲得了某次通信過程中的全部信息，也不能利用截獲的信息來獲得關(guān)于目標(biāo)標(biāo)簽以前的信息，比如在何時(shí)、何地認(rèn)證的，標(biāo)簽所處的環(huán)境信息等。對(duì)于供應(yīng)鏈系統(tǒng)的RFID系統(tǒng)來說，前向安全性是很重要的需求，可以保護(hù)商業(yè)機(jī)密，對(duì)于目標(biāo)標(biāo)簽整個(gè)生產(chǎn)、銷售等各個(gè)環(huán)節(jié)都有很好的保護(hù)。4）后向安全性后向安全性是指即使攻擊者獲得了認(rèn)證過程中的所有信息，且攻擊者有強(qiáng)大的攻擊能力，也不能從這些信息中來破解標(biāo)簽以后的認(rèn)證消息、標(biāo)簽的具體位置。相對(duì)來說，前向安全性更加重要一點(diǎn)，但是后向安全性也能確保整個(gè)RFID系統(tǒng)具有更好的安全性。7.2RFID安全技術(shù)5）同步性對(duì)于需要對(duì)共享信息進(jìn)行更新的系統(tǒng)來說，攻擊者如果在某次認(rèn)證過程中阻塞、篡改了更新消息，就會(huì)在后端數(shù)據(jù)庫(kù)和標(biāo)簽的共享信息中出現(xiàn)不同步狀態(tài)，秘密信息不相同。這樣在下次認(rèn)證時(shí)，對(duì)于目標(biāo)標(biāo)簽就會(huì)拒絕認(rèn)證。因此，對(duì)于上述系統(tǒng)中的安全隱患，在構(gòu)建認(rèn)證協(xié)議的時(shí)候要考慮到。實(shí)際上，由于RFID系統(tǒng)的計(jì)算能力有限，除了需要考慮上述安全性需求外，算法的復(fù)雜度和系統(tǒng)的開銷、成本等方面也必須予以考慮。如果盲目追求安全保密性，而導(dǎo)致系統(tǒng)開銷和成本急劇上升，其應(yīng)用場(chǎng)合必然受到限制，結(jié)果也沒有太大的實(shí)際意義。因此，需要在系統(tǒng)安全性和系統(tǒng)性能及成本之間進(jìn)行權(quán)衡，找到一個(gè)可以接受的平衡點(diǎn)。7.2RFID安全技術(shù)

RFID系統(tǒng)的安全解決方案71RFID系統(tǒng)解決方案的基本特征一種比較完善的RFID系統(tǒng)安全解決方案應(yīng)該具備機(jī)密性完整性可用性真實(shí)性隱私性7.2RFID安全技術(shù)1）機(jī)密性RFID標(biāo)簽不應(yīng)當(dāng)向未被授權(quán)的讀寫器泄露任何信息。在許多應(yīng)用中，RFID標(biāo)簽中所包含的信息關(guān)系重大，因而一個(gè)完備的RFID安全方案必須能夠保證標(biāo)簽中的信息只能被授權(quán)的讀寫器所訪問。事實(shí)上，目前情況下射頻標(biāo)簽和讀寫器之間的通信大多數(shù)是不受保護(hù)的，因而未采用安全機(jī)制的射頻標(biāo)簽會(huì)向鄰近的讀寫器泄露標(biāo)簽內(nèi)容。由于缺乏支持點(diǎn)對(duì)點(diǎn)加密和PKI密鑰交換的功能，在RFID系統(tǒng)應(yīng)用過程中，攻擊者能夠獲取并利用射頻標(biāo)簽上的內(nèi)容。同時(shí)由于讀寫器到射頻標(biāo)簽的前向信道具有較大的覆蓋范圍，因而它比從射頻標(biāo)簽到讀寫器的后向信道更加不安全。攻擊者可以通過采用竊聽技術(shù)，分析微處理器正常工作時(shí)產(chǎn)生的電磁特征，來獲得射頻標(biāo)簽和讀寫器之間或其他RFID通信設(shè)備之間的通信數(shù)據(jù)。7.2RFID安全技術(shù)2）完整性在通信過程中，數(shù)據(jù)完整性能夠保證接收者收到的信息在傳輸過程中沒有被攻擊者篡改或替換。在基于公鑰的密碼體制中，數(shù)據(jù)完整性一般是通過數(shù)字簽名來完成的，但資源有限的RFID系統(tǒng)難以采用這種代價(jià)昂貴的密碼算法。在RFID系統(tǒng)中，通常使用消息認(rèn)證碼來進(jìn)行數(shù)據(jù)完整性的檢驗(yàn)，它使用的是一種帶有共享密鑰的散列算法，即將共享密鑰和待檢驗(yàn)的消息連接在一起進(jìn)行散列運(yùn)算，對(duì)數(shù)據(jù)的任何細(xì)微改動(dòng)都會(huì)對(duì)消息認(rèn)證碼的值產(chǎn)生較大影響。事實(shí)上，在讀寫器和射頻標(biāo)簽的通信過程中，傳輸信息的完整性無法得到保障。如果不采用訪問控制機(jī)制，可寫的射頻讀寫標(biāo)簽有可能被攻擊者所控制，攻擊者利用軟件、微處理器的接口，通過掃描射頻讀寫標(biāo)簽和響應(yīng)讀寫器的探尋，尋求安全協(xié)議、加密算法及其實(shí)現(xiàn)機(jī)制上的漏洞，進(jìn)而刪除RFID射頻標(biāo)簽內(nèi)容或篡改可重寫射頻標(biāo)簽內(nèi)容。在通信接口處使用校驗(yàn)和的方法也僅僅能夠檢測(cè)隨機(jī)錯(cuò)誤的發(fā)生。7.2RFID安全技術(shù)3）可用性RFID系統(tǒng)的安全解決方案所提供的各種服務(wù)能夠被授權(quán)的用戶使用，并能有效防止非法攻擊者企圖中斷RFID服務(wù)的惡意攻擊。一個(gè)合理的安全方案應(yīng)該具有節(jié)能的特點(diǎn)，各種安全協(xié)議和算法的設(shè)計(jì)不應(yīng)太復(fù)雜，并盡可能避開公鑰運(yùn)算，計(jì)算開銷、存儲(chǔ)容量和通信能力也應(yīng)當(dāng)充分考慮RFID系統(tǒng)資源有限的特點(diǎn)，從而使得能量消耗最小化。同時(shí)安全性設(shè)計(jì)方案不應(yīng)當(dāng)限制RFID系統(tǒng)的可用性，并能夠有效防止攻擊者對(duì)射頻標(biāo)簽資源的惡意消耗。事實(shí)上，由于無線通信本身固有的脆弱性，大多數(shù)RFID系統(tǒng)極易受到攻擊者的破壞。攻擊者可以通過頻率干擾的手段，產(chǎn)生異常的應(yīng)用環(huán)境，使合法處理器產(chǎn)生故障進(jìn)而在上層服務(wù)實(shí)現(xiàn)拒絕服務(wù)攻擊，也可以使用阻塞信道的方法來中斷讀寫器與所有或特定標(biāo)簽的通信。7.2RFID安全技術(shù)4）真實(shí)性射頻標(biāo)簽的身份認(rèn)證在RFID系統(tǒng)的許多應(yīng)用中是非常重要的。攻擊者可以從獲取的射頻標(biāo)簽實(shí)體，通過武力手段在實(shí)驗(yàn)室環(huán)境下去除封裝，使用微探針獲取敏感信息，進(jìn)而重構(gòu)目標(biāo)射頻標(biāo)簽，達(dá)到偽造射頻標(biāo)簽的目的。攻擊者可以利用偽造射頻標(biāo)簽代替實(shí)際物品或通過重寫合法的RFID射頻標(biāo)簽內(nèi)容，使用低價(jià)物品標(biāo)簽的內(nèi)容代替高價(jià)物品射頻標(biāo)簽的內(nèi)容從而獲取非法利益。同時(shí)，攻擊者也可以通過某種方式隱藏標(biāo)簽，使讀寫器無法發(fā)現(xiàn)該標(biāo)簽，從而成功實(shí)施物品轉(zhuǎn)移。讀寫器只有通過身份認(rèn)證才能確信消息是從正確的射頻標(biāo)簽處發(fā)送過來的。在傳統(tǒng)的有線網(wǎng)絡(luò)中，通常使用數(shù)字簽名或數(shù)字證書來進(jìn)行身份驗(yàn)證，但這種公鑰算法不適用于通信能力、計(jì)算速度和存儲(chǔ)空間相當(dāng)有限的射頻標(biāo)簽。7.2RFID安全技術(shù)5）隱私性一個(gè)安全的RFID應(yīng)用系統(tǒng)應(yīng)當(dāng)能夠保護(hù)使用者的隱私信息和相關(guān)的經(jīng)濟(jì)實(shí)體的商業(yè)利益。事實(shí)上，目前的RFID系統(tǒng)面臨著位置保密和實(shí)時(shí)跟蹤的安全風(fēng)險(xiǎn)。個(gè)人攜帶物品的射頻標(biāo)簽可能會(huì)泄露個(gè)人身份，通過讀寫器能夠跟蹤攜帶不安全標(biāo)簽的個(gè)人，并將這些信息進(jìn)行綜合和分析，就可以獲得使用者個(gè)人喜好和行蹤等隱私信息。同時(shí)，情報(bào)人員也可能通過跟蹤不安全的標(biāo)簽來獲得有用的商業(yè)機(jī)密。7.2RFID安全技術(shù)2RFID系統(tǒng)的安全解決方案RFID安全技術(shù)研究的原則是在標(biāo)簽有限的硬件資源條件下，開發(fā)出一種高效、可靠和具有一定強(qiáng)度的安全機(jī)制。然而，RFID安全和隱私保護(hù)與成本之間是相互制約的。針對(duì)RFID系統(tǒng)中存在的一系列安全問題，國(guó)內(nèi)外的學(xué)者進(jìn)行了廣泛和深入的研究與探索，并取得了一定的成果。當(dāng)前，實(shí)現(xiàn)RFID安全機(jī)制所采用的方法主要有物理方法安全認(rèn)證機(jī)制分布式環(huán)境下的安全方案7.2RFID安全技術(shù)1）物理方法保護(hù)RFID系統(tǒng)安全性的物理方法主要有5類：封殺標(biāo)簽法裁剪標(biāo)簽法法拉第籠法主動(dòng)干擾法阻塞標(biāo)簽法這些方法主要用于一些低成本的標(biāo)簽中，因?yàn)檫@類標(biāo)簽有嚴(yán)格的成本限制，難以采用復(fù)雜的密碼機(jī)制來實(shí)現(xiàn)標(biāo)簽與讀寫器之間的通信安全。7.2RFID安全技術(shù)封殺標(biāo)簽的方法是在物品被購(gòu)買后，利用協(xié)議中的Kill指令使標(biāo)簽失效，這是由標(biāo)準(zhǔn)化組織Auto-ID中心提出的方案。它可以完全杜絕物品的ID號(hào)被非法讀取，但是該方法以犧牲RFID的性能為代價(jià)換取了隱私的保護(hù)，使得RFID的標(biāo)簽功能盡失，是不可逆的操作，如顧客需要退換商品時(shí)，則無法再次驗(yàn)證商品的信息。（1）封殺標(biāo)簽法IBM公司針對(duì)RFID的隱私問題，開發(fā)了一種“裁剪標(biāo)簽”技術(shù)，消費(fèi)者能夠?qū)FID天線扯掉或者刮除，大大縮短了標(biāo)簽的可讀取范圍，使標(biāo)簽不能被遠(yuǎn)端的讀寫器隨意讀取。IBM的裁剪標(biāo)簽法，彌補(bǔ)了封殺標(biāo)簽法的短處，使得標(biāo)簽的讀取距離縮短到1～2英寸，可以防止攻擊者在遠(yuǎn)處非法監(jiān)聽和跟蹤標(biāo)簽。（2）裁剪標(biāo)簽法7.2RFID安全技術(shù)法拉第籠法根據(jù)電磁波屏蔽原理，采用金屬絲網(wǎng)制成電磁波不能穿透的容器，用以放置帶有RFID標(biāo)簽的物品。根據(jù)電磁場(chǎng)的理論，無線電波可以被由傳導(dǎo)材料構(gòu)成的容器所屏蔽。當(dāng)我們將標(biāo)簽放入法拉第網(wǎng)籠內(nèi)，可以阻止標(biāo)簽被掃描，被動(dòng)標(biāo)簽接收不到信號(hào)，不能獲得能量，而主動(dòng)標(biāo)簽不能將信號(hào)發(fā)射出去。利用法拉第網(wǎng)籠同時(shí)可以阻止隱私侵犯者的掃描。例如，當(dāng)貨幣嵌入RFID標(biāo)簽以后，可以利用法拉第網(wǎng)籠原理，在錢包的周圍裹上金屬箔片，防止他人掃描得知身上所帶的現(xiàn)金數(shù)量。此方法是一種初級(jí)的物理方法，比較適合用于體積小的RFID物品的隱私保護(hù)。但如果此方法被濫用，還有可能成為商場(chǎng)盜竊的另一種手段。（3）法拉第籠法主動(dòng)干擾法使用某些特殊裝置干擾RFID讀寫器的掃描，破壞和抵制非法的讀取過程。主動(dòng)干擾無線電信號(hào)是另一種屏蔽標(biāo)簽的方法。標(biāo)簽用戶可以通過一個(gè)設(shè)備主動(dòng)廣播無線電信號(hào)，用于阻止或破壞附近的RFID讀寫器的操作。但這種方法可能導(dǎo)致非法干擾，使附近其他合法的RFID系統(tǒng)受到干擾，也可能阻斷附近其他無線系統(tǒng)。（4）主動(dòng)干擾法7.2RFID安全技術(shù)阻塞標(biāo)簽法也稱RSA軟阻塞器，是指內(nèi)置在購(gòu)物袋中的標(biāo)簽，在物品被購(gòu)買后，禁止讀寫器讀取袋中所購(gòu)物品上的標(biāo)簽。EPCglobal第二代標(biāo)準(zhǔn)具有這項(xiàng)功能。阻塞標(biāo)簽法基于二進(jìn)制樹查詢算法，它通過模擬標(biāo)簽ID的方式干擾算法的查詢過程。（5）阻塞標(biāo)簽法阻塞標(biāo)簽可以模擬RFID標(biāo)簽中所有可能的ID集合，從而避免標(biāo)簽的真實(shí)ID被查詢到。該方法也可以將模擬ID的范圍定為二進(jìn)制樹的某子樹，子樹內(nèi)的標(biāo)簽有固定的前綴，當(dāng)讀寫器查詢ID的固定前綴時(shí)，阻塞標(biāo)簽不起作用。當(dāng)查詢到固定前綴的后面幾位時(shí)，阻塞標(biāo)簽將阻礙查詢過程。通過這種方式，選擇性阻塞標(biāo)簽可以用于阻止讀寫器查詢具有任意固定前綴的標(biāo)簽。阻塞標(biāo)簽法可以有效防止非法掃描，最大的優(yōu)點(diǎn)是RFID標(biāo)簽基本上不需要修改，也不需要執(zhí)行加解密運(yùn)算，減少了標(biāo)簽的成本，而且阻塞標(biāo)簽的價(jià)格可以做到和普通標(biāo)簽價(jià)格相當(dāng)，這使得阻塞標(biāo)簽可以作為一種有效的隱私保護(hù)工具。但缺點(diǎn)是阻塞標(biāo)簽可以模擬多個(gè)標(biāo)簽存在的情況，攻擊者可利用數(shù)量有限的阻塞標(biāo)簽向讀寫器發(fā)動(dòng)拒絕服務(wù)攻擊。另外，阻塞標(biāo)簽有其保護(hù)范圍，超出隱私保護(hù)范圍的標(biāo)簽無法得到保護(hù)。7.2RFID安全技術(shù)2）安全認(rèn)證機(jī)制由于各種物理安全機(jī)制存在著這樣或那樣的缺陷和不足，因此基于密碼技術(shù)的安全機(jī)制更加受到人們的關(guān)注。嚴(yán)格的RFID安全機(jī)制應(yīng)該能同時(shí)包括認(rèn)證和加密兩種功能。針對(duì)低端RFID系統(tǒng)，設(shè)計(jì)切實(shí)可行的讀寫器與標(biāo)簽之間的相互認(rèn)證方案，是實(shí)現(xiàn)低成本RFID系統(tǒng)信息安全的重要途徑。Hash（哈希）鎖是一種較完善的抵制標(biāo)簽未授權(quán)訪問的安全與隱私技術(shù)，整個(gè)方案只需要采用Hash函數(shù)，因此成本很低，方案原理是讀寫器存儲(chǔ)每個(gè)標(biāo)簽的訪問密鑰K，對(duì)應(yīng)標(biāo)簽存儲(chǔ)的元身份為MetaID，其中MetaID=Hash(K)。標(biāo)簽接收到讀寫器訪問請(qǐng)求后發(fā)送MetaID作為響應(yīng)，讀寫器通過查詢獲得與標(biāo)簽對(duì)應(yīng)的密鑰K并發(fā)送給標(biāo)簽，標(biāo)簽檢查Hash(K)是否與MetaID相同，相同則解鎖，發(fā)送標(biāo)簽真實(shí)ID給讀寫器。（1）Hash鎖方案7.2RFID安全技術(shù)（2）隨機(jī)Hash鎖方案作為Hash鎖的擴(kuò)展，隨機(jī)Hash鎖解決了標(biāo)簽位置隱私問題。采用隨機(jī)Hash鎖方案，讀寫器每次訪問標(biāo)簽的輸出信息都不同。隨機(jī)Hash鎖的原理是標(biāo)簽包含Hash函數(shù)和隨機(jī)數(shù)發(fā)生器，后臺(tái)服務(wù)器數(shù)據(jù)庫(kù)存儲(chǔ)所有標(biāo)簽ID。讀寫器請(qǐng)求訪問標(biāo)簽，標(biāo)簽接收到訪問請(qǐng)求后，由Hash函數(shù)計(jì)算標(biāo)簽ID與隨機(jī)數(shù)r（由隨機(jī)數(shù)發(fā)生器生成）的Hash值。標(biāo)簽發(fā)送數(shù)據(jù)給請(qǐng)求的讀寫器，同時(shí)讀寫器發(fā)送給后臺(tái)服務(wù)器數(shù)據(jù)庫(kù)，后臺(tái)服務(wù)器數(shù)據(jù)庫(kù)窮舉搜索所有標(biāo)簽ID和r的Hash值，判斷是否為對(duì)應(yīng)標(biāo)簽ID，標(biāo)簽接收到讀寫器發(fā)送的ID后解鎖。盡管Hash函數(shù)可以在低成本的情況下完成，但要集成隨機(jī)數(shù)發(fā)生器到計(jì)算能力有限的低成本被動(dòng)標(biāo)簽，確實(shí)很困難。其次，隨機(jī)Hash鎖雖然解決了標(biāo)簽位置隱私問題，但一旦標(biāo)簽的秘密信息被截獲，隱私侵犯者就可以獲得訪問控制權(quán)，通過信息回溯得到標(biāo)簽歷史記錄，推斷標(biāo)簽持有者隱私。后臺(tái)服務(wù)器數(shù)據(jù)庫(kù)的解碼操作是通過窮舉搜索，需要對(duì)所有的標(biāo)簽進(jìn)行窮舉搜索和Hash函數(shù)計(jì)算，因此存在拒絕服務(wù)攻擊的風(fēng)險(xiǎn)。7.2RFID安全技術(shù)（3）Hash鏈方案作為Hash方法的一個(gè)發(fā)展，為了解決可跟蹤性，標(biāo)簽使用了Hash函數(shù)在每次讀寫器訪問后自動(dòng)更新標(biāo)識(shí)符的方案。Hash鏈原理是標(biāo)簽在存儲(chǔ)器中設(shè)置一個(gè)隨機(jī)的初始化標(biāo)識(shí)符S1，這個(gè)標(biāo)識(shí)符也存儲(chǔ)到后臺(tái)數(shù)據(jù)庫(kù)。標(biāo)簽包含兩個(gè)Hash函數(shù)G和H。當(dāng)讀寫器請(qǐng)求訪問標(biāo)簽時(shí)，標(biāo)簽返回當(dāng)前標(biāo)簽標(biāo)識(shí)符ak=G(Sk)給讀寫器，標(biāo)簽從電磁場(chǎng)獲得能量時(shí)自動(dòng)更新標(biāo)識(shí)符Sk+1=H(Sk)。與之前的Hash方案相比，Hash鏈的主要優(yōu)點(diǎn)是提供了前向安全性。然而，它并不能阻止重放攻擊，并且該方案每次識(shí)別時(shí)都需要進(jìn)行窮舉搜索，比較后臺(tái)數(shù)據(jù)庫(kù)中的每個(gè)標(biāo)簽。一旦標(biāo)簽規(guī)模擴(kuò)大，后端服務(wù)器的計(jì)算負(fù)擔(dān)將急劇增大。因此Hash鏈方案存在著所有標(biāo)簽自動(dòng)更新標(biāo)識(shí)符方案的通用缺點(diǎn)，難以大規(guī)模擴(kuò)展。同時(shí)，因?yàn)樾枰F舉搜索，所以存在拒絕服務(wù)攻擊的風(fēng)險(xiǎn)。7.2RFID安全技術(shù)（4）匿名ID方案采用匿名ID，隱私侵犯者即使在消息傳遞過程中截獲標(biāo)簽信息也不能獲得標(biāo)簽的真實(shí)ID。該方案通過第三方數(shù)據(jù)加密裝置采用公鑰加密、私鑰加密或者添加隨機(jī)數(shù)生成匿名標(biāo)簽ID。雖然標(biāo)簽信息只需要采用隨機(jī)讀取存儲(chǔ)器（RAM）存儲(chǔ)，成本較低，但數(shù)據(jù)加密裝置與高級(jí)加密算法都將導(dǎo)致系統(tǒng)的成本增加。由于標(biāo)簽ID加密以后仍具有固定輸出，這使得標(biāo)簽的跟蹤成為可能，故存在標(biāo)簽位置隱私問題。并且，該方案的實(shí)施前提是讀寫器與后臺(tái)服務(wù)器的通信建立在可信通道上。7.2RFID安全技術(shù)（5）重加密方案該方案采用公鑰加密，標(biāo)簽可以在用戶請(qǐng)求下通過第三方數(shù)據(jù)加密裝置定期對(duì)標(biāo)簽數(shù)據(jù)進(jìn)行重寫。因采用公鑰加密，大量的計(jì)算負(fù)載超出了標(biāo)簽的能力，通常這個(gè)過程由讀寫器來處理。該方案存在的最大缺陷是標(biāo)簽的數(shù)據(jù)必須經(jīng)常重寫，否則，即使加密標(biāo)簽ID固定的輸出也將導(dǎo)致標(biāo)簽定位隱私泄露。與匿名ID方案相似，標(biāo)簽數(shù)據(jù)加密裝置與公鑰加密將導(dǎo)致系統(tǒng)成本的增加，使得大規(guī)模的應(yīng)用受到限制，并且頻繁的重復(fù)加密操作也會(huì)給實(shí)際操作帶來困難。隨著RFID標(biāo)簽越來越普遍地出現(xiàn)在人們的日常生產(chǎn)和生活當(dāng)中，也產(chǎn)生了許多新的安全和隱私問題。對(duì)低成本RFID標(biāo)簽的追求，使得現(xiàn)有的密碼技術(shù)難以應(yīng)用。如何根據(jù)RFID標(biāo)簽有限的計(jì)算資源設(shè)計(jì)出安全有效的安全技術(shù)解決方案，仍然是一個(gè)具有相當(dāng)挑戰(zhàn)性的課題。為了有效保護(hù)數(shù)據(jù)安全和個(gè)人隱私，引導(dǎo)RFID的合理應(yīng)用和健康發(fā)展，還需要建立和制定完善的RFID安全與隱私保護(hù)法規(guī)、政策。7.2RFID安全技術(shù)3）分布式環(huán)境下的安全方案目前，分布式環(huán)境下的安全方案主要有David等提出的數(shù)字圖書館RFID協(xié)議和Rhee等提出的基于分布式數(shù)據(jù)庫(kù)環(huán)境的RFID認(rèn)證協(xié)議。前者使用基于預(yù)共享秘密的偽隨機(jī)函數(shù)來實(shí)現(xiàn)認(rèn)證，而后者則是典型的“詢問－應(yīng)答”型雙向認(rèn)證協(xié)議。這兩種方案都能滿足系統(tǒng)的安全性需求。但是為了支持這兩個(gè)協(xié)議，必須在標(biāo)簽電路中包含比較復(fù)雜的電路和函數(shù)功能模塊，因此它們不適用于低成本的RFID系統(tǒng)。4）其他解決方案這里要介紹的是一種基于多個(gè)讀寫器的隨機(jī)讀取控制Hash鎖改進(jìn)方法。工作原理為：讀寫器要查詢射頻標(biāo)簽ID，當(dāng)系統(tǒng)中有多個(gè)讀寫器時(shí)，這些讀寫器可能有相同或不同的ReaderID。當(dāng)這些讀寫器有不同的ReaderID時(shí)，標(biāo)簽需要首先確定該讀寫器是否被認(rèn)證。若讀寫器被認(rèn)證，標(biāo)簽則響應(yīng)讀寫器并讓讀寫器獲取其ID。在響應(yīng)讀寫器并讓讀寫器獲得標(biāo)簽ID信息前，讀寫器和標(biāo)簽確定了認(rèn)證機(jī)制。因?yàn)樽x寫器的ReaderID提前存儲(chǔ)在標(biāo)簽的RAM中，所以標(biāo)簽通過讀寫器ID識(shí)別出有權(quán)限的讀寫器。標(biāo)簽不響應(yīng)沒有權(quán)限的讀寫器，因此不可能被攻擊者跟蹤（因?yàn)樽x寫器都有權(quán)限）。另外，這種權(quán)限化過程是基于標(biāo)簽產(chǎn)生的隨機(jī)數(shù)，故還可以防止攻擊者的哄騙。7.2RFID安全技術(shù)（1）防止竊聽在認(rèn)證過程中，即使攻擊者竊聽到讀寫器的輸出a(k)，也不能在下一步獲得認(rèn)證。因?yàn)槊恳徽J(rèn)證過程中需要的a(k)值是變化的。前一次認(rèn)證的a(k)值對(duì)于后一次認(rèn)證來說是無意義的。認(rèn)證完成后，射頻標(biāo)簽輸出Hash(TagID)而不是TagID。因?yàn)镠ash方程很難求其反函數(shù)，所以攻擊者捕獲到輸出的Hash(TagID)值，也不能得到TagID的值。總之，該方法即使在讀寫器和射頻標(biāo)簽之間的通信遭遇到竊聽時(shí)，也是安全的。（2）防止跟蹤射頻標(biāo)簽只對(duì)被認(rèn)證的讀寫器響應(yīng)。因?yàn)闆]有標(biāo)簽輸出，所以攻擊者不能通過跟蹤標(biāo)簽來獲知客戶剛付費(fèi)買的是什么。這樣，客戶位置隱私和攜帶的物品就得到了保護(hù)。7.2RFID安全技術(shù)（3）低計(jì)算負(fù)載該改進(jìn)方法運(yùn)算速度快，成本低。當(dāng)要從N個(gè)已知的射頻標(biāo)簽中識(shí)別出一個(gè)時(shí)，讀寫器只需要執(zhí)行一次Hash操作和N次ID搜索，而隨機(jī)讀取控制Hash鎖方法至少需要N次Hash操作和N次ID搜索。顯然在同一安全級(jí)上，該改進(jìn)方法的計(jì)算負(fù)載顯著降低。（4）適用于大量射頻標(biāo)簽因?yàn)橛?jì)算負(fù)載低，并且隨著射頻標(biāo)簽的數(shù)量增加而緩慢增加，所以該方法適合于有大量標(biāo)簽存在的需要被保護(hù)的RFID系統(tǒng)。7.3無線傳感器網(wǎng)絡(luò)安全無線傳感器網(wǎng)絡(luò)的安全目標(biāo)7（1）可用性無線傳感器網(wǎng)絡(luò)在遭受DOS攻擊時(shí)，主要功能還能夠正常工作，也就是說攻擊不能使網(wǎng)絡(luò)癱瘓。（2）機(jī)密性保證網(wǎng)絡(luò)中的一些敏感信息不被未授權(quán)的實(shí)體竊聽，除了傳感器節(jié)點(diǎn)收集到的敏感信息外，路由信息也可能要求被保密。如在軍事領(lǐng)域，如果路由信息被竊取，敵方可能找到重要攻擊目標(biāo)而發(fā)動(dòng)攻擊。（3）完整性保證信息在傳輸?shù)倪^程中沒有被篡改或出錯(cuò)。由于無線信號(hào)原因或攻擊者的破壞，可能導(dǎo)致信息報(bào)文的不完整。（4）認(rèn)證認(rèn)證是節(jié)點(diǎn)相互建立信任機(jī)制的基礎(chǔ)。如果沒有認(rèn)證，惡意節(jié)點(diǎn)就可以冒充正常節(jié)點(diǎn)竊聽敏感信息，干擾其他節(jié)點(diǎn)正常工作或發(fā)動(dòng)其他攻擊，如DOS攻擊。（5）抗抵賴性確保節(jié)點(diǎn)對(duì)自己的行為不能抵賴。譬如，節(jié)點(diǎn)A收到節(jié)點(diǎn)B發(fā)出的惡意報(bào)文進(jìn)行報(bào)警，此時(shí)節(jié)點(diǎn)B不能抵賴已發(fā)送惡意報(bào)文的事實(shí)。7.3無線傳感器網(wǎng)絡(luò)安全無線傳感器網(wǎng)絡(luò)面臨的攻擊及防御機(jī)制71物理層面臨的攻擊及防御方法物理層的攻擊主要集中在物理破壞、節(jié)點(diǎn)捕獲、信號(hào)干擾、竊聽和篡改等。攻擊者可以通過流量分析，發(fā)現(xiàn)重要節(jié)點(diǎn)如簇頭、基站的位置，然后發(fā)動(dòng)物理攻擊。因?yàn)椴捎脽o線通信，低成本的傳感器網(wǎng)絡(luò)很容易遭受信號(hào)干擾和竊聽攻擊。其防御對(duì)策有擴(kuò)頻通信，如跳頻；如果干擾不是持續(xù)的，在非干擾間歇內(nèi)可以發(fā)送優(yōu)先級(jí)高的信息來降低干擾破壞程度；另一種方法是切換到其他通信方式，如紅外線、光等，其缺點(diǎn)是成本比較高。而防止竊聽攻擊的有效方法是對(duì)敏感通信信息進(jìn)行加密。1）信號(hào)干擾和竊聽攻擊及防御方法7.3無線傳感器網(wǎng)絡(luò)安全由于傳感器節(jié)點(diǎn)分布廣，成本低，很容易遭到物理?yè)p壞或被捕獲，因此一些加密密鑰和機(jī)密信息就可能被破壞或泄露，攻擊者甚至可利用獲得的信息對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行攻擊，如篡改報(bào)文內(nèi)容。而攻擊者能夠篡改路由報(bào)文的根本原因在于節(jié)點(diǎn)無法對(duì)路由報(bào)文進(jìn)行完整性檢測(cè)，因此對(duì)付篡改攻擊的方法是對(duì)整個(gè)路由報(bào)文或其中的關(guān)鍵信息加入報(bào)文鑒別碼MAC。節(jié)點(diǎn)在收到路由報(bào)文之后，先進(jìn)行完整性檢測(cè)，通過后才能進(jìn)行下一步處理，以防止報(bào)文被非法篡改。另外，還需要結(jié)合入侵檢測(cè)系統(tǒng)IDS找到并清除這些被捕俘節(jié)點(diǎn)，更新加密密鑰。在實(shí)際應(yīng)用中，對(duì)節(jié)點(diǎn)進(jìn)行物理偽裝和隱藏也是躲避物理破壞攻擊的有效方法。2）篡改和物理破壞攻擊及防御方法因?yàn)楹芏嗦酚蓞f(xié)議并不認(rèn)證報(bào)文的地址，所以攻擊者可以聲稱為某個(gè)合法節(jié)點(diǎn)而加入網(wǎng)絡(luò)，甚至能夠屏蔽某些合法節(jié)點(diǎn)，替它們收發(fā)報(bào)文。造成這種攻擊的根本原因是節(jié)點(diǎn)未能鑒別報(bào)文的來源。因此對(duì)付仿冒節(jié)點(diǎn)攻擊的有效方法是網(wǎng)絡(luò)各節(jié)點(diǎn)之間進(jìn)行相互認(rèn)證。對(duì)于節(jié)點(diǎn)的行為，首先要進(jìn)行身份認(rèn)證，確定為合法節(jié)點(diǎn)才能接收和發(fā)送報(bào)文。3）仿冒節(jié)點(diǎn)攻擊及防御方法7.3無線傳感器網(wǎng)絡(luò)安全2鏈路層面臨的攻擊及防御方法鏈路層比較容易遭受DOS攻擊，攻擊者可以通過分析流量來確定通信鏈路，發(fā)動(dòng)相應(yīng)攻擊，如對(duì)主要通信節(jié)點(diǎn)如簇頭發(fā)動(dòng)資源消耗攻擊。攻擊者通過花費(fèi)很小的代價(jià)可實(shí)行鏈路層沖突攻擊。例如發(fā)送一個(gè)字節(jié)的報(bào)文破壞正在傳送的正常數(shù)據(jù)包，從而引起接收方校驗(yàn)和出錯(cuò)，進(jìn)而在一些MAC協(xié)議中認(rèn)為鏈路層沖突，引發(fā)指數(shù)退避機(jī)制，造成網(wǎng)絡(luò)延遲，甚至癱瘓。校錯(cuò)碼雖然具有一定的糾錯(cuò)能力，但是如果攻擊者惡意破壞數(shù)據(jù)包的較多數(shù)據(jù)位，校錯(cuò)碼將無法糾正這些數(shù)據(jù)位而失效，并且校錯(cuò)碼本身也會(huì)產(chǎn)生額外的CPU處理和通信開銷，造成網(wǎng)絡(luò)負(fù)荷過重。沖突檢測(cè)機(jī)制雖然能檢測(cè)出沖突節(jié)點(diǎn)，但難以判斷沖突節(jié)點(diǎn)是否為惡意節(jié)點(diǎn)。因此，關(guān)于鏈路層攻擊的防御機(jī)制仍需進(jìn)一步研究。1）鏈路層沖突攻擊及防御方法7.3無線傳感器網(wǎng)絡(luò)安全攻擊者發(fā)送大量的無用報(bào)文消耗網(wǎng)絡(luò)和節(jié)點(diǎn)資源，如帶寬、內(nèi)存、CPU、電池等。例如剝奪睡眠攻擊，攻擊者不停發(fā)送報(bào)文，使得節(jié)點(diǎn)的電源很快耗盡，從而達(dá)到DOS攻擊效果。這種攻擊的防御方法之一是在MAC層限制節(jié)點(diǎn)發(fā)送數(shù)據(jù)報(bào)的速度，使得攻擊者不能發(fā)送大量的無用報(bào)文。另外，鄰居節(jié)點(diǎn)也可以監(jiān)視節(jié)點(diǎn)的反常行為，降低頻繁發(fā)送報(bào)文節(jié)點(diǎn)的發(fā)送優(yōu)先級(jí)。2）資源消耗攻擊及防御方法3網(wǎng)絡(luò)層面臨的攻擊及防御方法主要是通過改變兩個(gè)節(jié)點(diǎn)之間的路由信息進(jìn)行攻擊。攻擊者可以偽造并廣播假的路由信息。例如，廣播某條存在的路由已中斷，或編造一條并不存在的路由。這類攻擊可造成路由回路、分割網(wǎng)絡(luò)、孤立節(jié)點(diǎn)、增長(zhǎng)和縮短路由路徑、增加端到端的延遲、吸引或排斥通信流量造成網(wǎng)絡(luò)流量不均衡等后果。其根本原因在于節(jié)點(diǎn)無法驗(yàn)證報(bào)文的內(nèi)容。因?yàn)橐S時(shí)掌握整個(gè)網(wǎng)絡(luò)的連通情況，才能辨別某個(gè)節(jié)點(diǎn)所發(fā)出信息的真假，因此防止偽造路由攻擊比較困難，防御方法主要是通過入侵檢測(cè)系統(tǒng)來檢測(cè)和清除這些入侵節(jié)點(diǎn)。1）路由信息的欺騙、篡改或回放攻擊及防御方法7.3無線傳感器網(wǎng)絡(luò)安全在按需路由協(xié)議中，節(jié)點(diǎn)路由查詢時(shí)經(jīng)常采用泛洪查詢，可能會(huì)導(dǎo)致一個(gè)節(jié)點(diǎn)收到多個(gè)相同的路由查詢報(bào)文，這時(shí)節(jié)點(diǎn)只會(huì)處理第一個(gè)到達(dá)的路由查詢報(bào)文，而將其他相同的路由查詢報(bào)文拋棄。Rushing攻擊就利用這個(gè)弱點(diǎn)，攻擊者比其他節(jié)點(diǎn)更快地轉(zhuǎn)發(fā)路由查詢報(bào)文，使得其他節(jié)點(diǎn)首先收到它轉(zhuǎn)發(fā)的報(bào)文。2）Rushing攻擊及防御方法這將導(dǎo)致兩個(gè)問題，其一，攻擊者短時(shí)間內(nèi)發(fā)送大量的路由查詢，令其遍歷整個(gè)網(wǎng)絡(luò)，從而使得其他節(jié)點(diǎn)正常的路由查詢由于無法提交處理而被拋棄；其二，所有建立的路由都要通過攻擊者。Y-C．Hu等人提出了通過隨機(jī)轉(zhuǎn)發(fā)的方法防御Rushing攻擊。其方法是將節(jié)點(diǎn)只處理第一個(gè)收到的路由查詢報(bào)文并拋棄隨后到達(dá)的相同路由查詢報(bào)文，改變?yōu)楣?jié)點(diǎn)收集一定數(shù)量的相同路由查詢報(bào)文，然后選擇其中任意一個(gè)進(jìn)行處理，以阻止Rushing攻擊。7.3無線傳感器網(wǎng)絡(luò)安全惡意節(jié)點(diǎn)拒絕轉(zhuǎn)發(fā)包，但是為了防止被發(fā)現(xiàn)，可能會(huì)選擇性地發(fā)些包或?qū)⒁恍﹫?bào)文修改后再轉(zhuǎn)發(fā)。多路徑路由能有效減少由于這種攻擊所造成的信息丟失。另外，鄰居節(jié)點(diǎn)和基站能監(jiān)視這種行為，降低向這種容易丟包的節(jié)點(diǎn)轉(zhuǎn)發(fā)包的優(yōu)先級(jí)。3）選擇性轉(zhuǎn)發(fā)攻擊及防御方法攻擊者引誘其他節(jié)點(diǎn)向它發(fā)包，從而創(chuàng)造一個(gè)以攻擊者為中心的污水池。比較典型的攻擊方法是攻擊者讓其他節(jié)點(diǎn)根據(jù)路由算法相信它是最好的轉(zhuǎn)發(fā)選擇，從而吸引其他節(jié)點(diǎn)向它發(fā)包。例如，一個(gè)攻擊者可以通過偽造或回放一個(gè)廣告，以示它有十分高質(zhì)量的路由到基站。等吸引到其他節(jié)點(diǎn)向它發(fā)包后，再進(jìn)行其他攻擊，如進(jìn)行選擇性轉(zhuǎn)發(fā)攻擊。該類攻擊可采用隨機(jī)密鑰預(yù)分配機(jī)制和基站入侵檢測(cè)與響應(yīng)系統(tǒng)進(jìn)行防御。4）污水池（Sinkhole）攻擊及防御方法7.3無線傳感器網(wǎng)絡(luò)安全女巫攻擊是指一個(gè)攻擊節(jié)點(diǎn)假冒多個(gè)合法節(jié)點(diǎn)的身份。女巫攻擊能有效地降低容錯(cuò)機(jī)制性能如分布存儲(chǔ)、多路徑路由和拓?fù)渚S護(hù)。女巫攻擊對(duì)基于位置的路由協(xié)議的安全也能產(chǎn)生很大的威脅。因?yàn)榛谖恢玫穆酚尚枰粨Q彼此的位置信息，一個(gè)女巫攻擊節(jié)點(diǎn)可以使得其他節(jié)點(diǎn)相信很多位置上有它存在，從而導(dǎo)致路由混亂。建立對(duì)密鑰能使得任意兩個(gè)鄰居節(jié)點(diǎn)相互驗(yàn)證，即使節(jié)點(diǎn)被捕獲，女巫攻擊也不能對(duì)其他鄰居節(jié)點(diǎn)進(jìn)行攻擊。Douceur建議通過資源測(cè)試來確認(rèn)一個(gè)物理節(jié)點(diǎn)的唯一身份。該類攻擊可采用無線波資源測(cè)試的方法、隨機(jī)密鑰預(yù)分配機(jī)制、節(jié)點(diǎn)注冊(cè)、節(jié)點(diǎn)位置驗(yàn)證、代碼驗(yàn)證等方法進(jìn)行防御。5）女巫（Sybil）攻擊及防御方法7.3無線