在中國，物聯(lián)網(wǎng)的概念是在溫家寶總理去無錫考察后才引起廣泛重視的。隨著人們對物聯(lián)網(wǎng)理解的不斷深入，物聯(lián)網(wǎng)的內(nèi)涵進(jìn)一步明朗。在2009年的百家講壇上，中國移動總裁王建宙指出，物聯(lián)網(wǎng)應(yīng)具備三個特征：一是全面感知；二是可靠傳遞；三是智能處理。盡管對物聯(lián)網(wǎng)概念還有其他一些不同的描述，但內(nèi)涵基本相同。因此我們在分析物聯(lián)網(wǎng)的安全性時，也相應(yīng)地將其分為三個邏輯層，即感知層，傳輸層和處理層。除此之外，在物聯(lián)網(wǎng)的綜合應(yīng)用方面還應(yīng)該有一個應(yīng)用層，它是對智能處理后的信息的利用。在某些框架中，盡管智能處理應(yīng)該與應(yīng)用層可能被作為同一邏輯層進(jìn)行處理，但從信息安全的角度考慮，將應(yīng)用層獨(dú)立出來更容易建立安全架構(gòu)。本文試圖從不同層次分析物聯(lián)網(wǎng)對信息安全的需求和如何建立安全架構(gòu)。

其實(shí)，對物聯(lián)網(wǎng)的幾個邏輯層，目前已經(jīng)有許多針對性的密碼技術(shù)手段和解決方案。但需要說明的是，物聯(lián)網(wǎng)作為一個應(yīng)用整體，各個層獨(dú)立的安全措施簡單相加不足以提供可靠的安全保障。而且，物聯(lián)網(wǎng)與幾個邏輯層所對應(yīng)的基礎(chǔ)設(shè)施之間還存在許多本質(zhì)區(qū)別。最基本的區(qū)別可以從下述幾點(diǎn)看到：（1）已有的對傳感網(wǎng)（感知層）、互聯(lián)網(wǎng)（傳輸層）、移動網(wǎng)（傳輸層）、安全多方計(jì)算、云計(jì)算（處理層）等的一些安全解決方案在物聯(lián)網(wǎng)環(huán)境可能不再適用。首先，物聯(lián)網(wǎng)所對應(yīng)的傳感網(wǎng)的數(shù)量和終端物體的規(guī)模是單個傳感網(wǎng)所無法相比的；其次，物聯(lián)網(wǎng)所聯(lián)接的終端設(shè)備或器件的處理能力將有很大差異，它們之間可能需要相互作用；再次，物聯(lián)網(wǎng)所處理的數(shù)據(jù)量將比現(xiàn)在的互聯(lián)網(wǎng)和移動網(wǎng)都大得多。（2）即使分別保證感知層、傳輸層和處理層的安全，也不能保證物聯(lián)網(wǎng)的安全。這是因?yàn)槲锫?lián)網(wǎng)是融幾個層于一體的大系統(tǒng)，許多安全問題來源于系統(tǒng)整合；物聯(lián)網(wǎng)的數(shù)據(jù)共享對安全性提出了更高的要求；物聯(lián)網(wǎng)的應(yīng)用將對安全提出了新要求，比如隱私保護(hù)不屬于任一層的安全需求，但卻是許多物聯(lián)網(wǎng)應(yīng)用的安全需求。

鑒于以上諸原因，對物聯(lián)網(wǎng)的發(fā)展需要重新規(guī)劃并制定可持續(xù)發(fā)展的安全架構(gòu)，使物聯(lián)網(wǎng)在發(fā)展和應(yīng)用過程中，其安全防護(hù)措施能夠不斷完善。

1 感知層的安全需求和安全框架

在討論安全問題之前，首先要了解什么是感知層。感知層的任務(wù)是全面感知外界信息，或者說是原始信息收集器。該層的典型設(shè)備包括RFID裝置、各類傳感器（如紅外、超聲、溫度、濕度、速度等）、圖像捕捉裝置（攝像頭）、全球定位系統(tǒng)（GPS）、激光掃描儀等。這些設(shè)備收集的信息通常具有明確的應(yīng)用目的，因此傳統(tǒng)上這些信息直接被處理并應(yīng)用，如公路攝像頭捕捉的圖像信息直接用于交通監(jiān)控。但是在物聯(lián)網(wǎng)應(yīng)用中，多種類型的感知信息可能會同時處理，綜合利用，甚至不同感應(yīng)信息的結(jié)果將影響其他控制調(diào)節(jié)行為，如濕度的感應(yīng)結(jié)果可能會影響到溫度或光照控制的調(diào)節(jié)。同時，物聯(lián)網(wǎng)應(yīng)用強(qiáng)調(diào)的是信息共享，這是物聯(lián)網(wǎng)區(qū)別于傳感網(wǎng)的最大特點(diǎn)之一。比如交通監(jiān)控錄像信息可能還同時被用于公安偵破、城市改造規(guī)劃設(shè)計(jì)、城市環(huán)境監(jiān)測等。于是，如何處理這些感知信息將直接影響到信息的有效應(yīng)用。為了使同樣的信息被不同應(yīng)用領(lǐng)域有效使用，應(yīng)該有綜合處理平臺，這就是物聯(lián)網(wǎng)的智能處理層，因此這些感知信息需要傳輸?shù)揭粋€處理平臺。 在考慮感知信息進(jìn)入傳輸層之前，我們把傳感網(wǎng)絡(luò)本身（包括上述各種感知器件構(gòu)成的網(wǎng)絡(luò)）看作感知的部分。感知信息要通過一個或多個與外界網(wǎng)連接的傳感節(jié)點(diǎn)，稱之為網(wǎng)關(guān)節(jié)點(diǎn)（sink或gateway），所有與傳感網(wǎng)內(nèi)部節(jié)點(diǎn)的通信都需要經(jīng)過網(wǎng)關(guān)節(jié)點(diǎn)與外界聯(lián)系，因此在物聯(lián)網(wǎng)的傳感層，我們只需要考慮傳感網(wǎng)本身的安全性即可。

1.1 感知層的安全挑戰(zhàn)和安全需求

感知層可能遇到的安全挑戰(zhàn)包括下列情況：

（1）傳感網(wǎng)的網(wǎng)關(guān)節(jié)點(diǎn)被敵手控制——安全性全部丟失(通過什么技術(shù)能控制網(wǎng)關(guān)節(jié)點(diǎn)？查找相關(guān)資料)；（2）傳感網(wǎng)的普通節(jié)點(diǎn)被敵手控制（敵手掌握節(jié)點(diǎn)密鑰）；（3）傳感網(wǎng)的普通節(jié)點(diǎn)被敵手捕獲（但由于沒有得到節(jié)點(diǎn)密鑰，而沒有被控制）；（4）傳感網(wǎng)的節(jié)點(diǎn)（普通節(jié)點(diǎn)或網(wǎng)關(guān)節(jié)點(diǎn)）受來自于網(wǎng)絡(luò)的DOS攻擊（單純的DOS攻擊研究是否過于單一，理論上取得不好突破？）；（5）接入到物聯(lián)網(wǎng)的超大量傳感節(jié)點(diǎn)的標(biāo)識、識別、認(rèn)證和控制問題。

敵手捕獲網(wǎng)關(guān)節(jié)點(diǎn)不等于控制該節(jié)點(diǎn)，一個傳感網(wǎng)的網(wǎng)關(guān)節(jié)點(diǎn)實(shí)際被敵手控制的可能性很小，因?yàn)樾枰莆赵摴?jié)點(diǎn)的密鑰（與傳感網(wǎng)內(nèi)部節(jié)點(diǎn)通信的密鑰或與遠(yuǎn)程信息處理平臺共享的密鑰），而這是很困難的。如果敵手掌握了一個網(wǎng)關(guān)節(jié)點(diǎn)與傳感網(wǎng)內(nèi)部節(jié)點(diǎn)的共享密鑰，那么他就可以控制傳感網(wǎng)的網(wǎng)關(guān)節(jié)點(diǎn)，并由此獲得通過該網(wǎng)關(guān)節(jié)點(diǎn)傳出的所有信息（怎么也能獲得通過該網(wǎng)關(guān)節(jié)點(diǎn)傳出的所有信息？）。但如果敵手不知道該網(wǎng)關(guān)節(jié)點(diǎn)與遠(yuǎn)程信息處理平臺的共享密鑰，那么他不能篡改發(fā)送的信息，只能阻止部分或全部信息的發(fā)送，但這樣容易被遠(yuǎn)程信息處理平臺覺察到。因此，若能識別一個被敵手控制的傳感網(wǎng)，便可以降低甚至避免由敵手控制的傳感網(wǎng)傳來的虛假信息所造成的損失。

傳感網(wǎng)遇到比較普遍的情況是某些普通網(wǎng)絡(luò)節(jié)點(diǎn)被敵手控制而發(fā)起的攻擊，傳感網(wǎng)與這些普通節(jié)點(diǎn)交互的所有信息都被敵手獲取。敵手的目的可能不僅僅是被動竊聽，還通過所控制的網(wǎng)絡(luò)節(jié)點(diǎn)傳輸一些錯誤數(shù)據(jù)。因此，傳感網(wǎng)的安全需求應(yīng)包括對惡意節(jié)點(diǎn)行為的判斷和對這些節(jié)點(diǎn)的阻斷，以及在阻斷一些惡意節(jié)點(diǎn)（假定這些被阻斷的節(jié)點(diǎn)分布是隨機(jī)的）后，網(wǎng)絡(luò)的連通性如何保障。

對傳感網(wǎng)絡(luò)分析（很難說是否為攻擊行為，因?yàn)橛袆e于主動攻擊網(wǎng)絡(luò)的行為）更為常見的情況是敵手捕獲一些網(wǎng)絡(luò)節(jié)點(diǎn)，不需要解析它們的預(yù)置密鑰或通信密鑰（這種解析需要代價和時間），只需要鑒別節(jié)點(diǎn)種類，比如檢查節(jié)點(diǎn)是用于檢測溫度、濕度還是噪音等。有時候這種分析對敵手是很有用的。因此安全的傳感網(wǎng)絡(luò)應(yīng)該有保護(hù)其工作類型的安全機(jī)制。

既然傳感網(wǎng)最終要接入其他外在網(wǎng)絡(luò)，包括互聯(lián)網(wǎng)，那么就難免受到來自外在網(wǎng)絡(luò)的攻擊。目前能預(yù)期到的主要攻擊除了非法訪問外，應(yīng)該是拒絕服務(wù)（DOS）攻擊了。因?yàn)閭鞲芯W(wǎng)節(jié)點(diǎn)的通常資源（計(jì)算和通信能力）有限，所以對抗DOS攻擊的能力比較脆弱，在互聯(lián)網(wǎng)環(huán)境里不被識別為DOS攻擊的訪問就可能使傳感網(wǎng)癱瘓，因此，傳感網(wǎng)的安全應(yīng)該包括節(jié)點(diǎn)抗DOS攻擊的能力?？紤]到外部訪問可能直接針對傳感網(wǎng)內(nèi)部的某個節(jié)點(diǎn)（如遠(yuǎn)程控制啟動或關(guān)閉紅外裝置），而傳感網(wǎng)內(nèi)部普通節(jié)點(diǎn)的資源一般比網(wǎng)關(guān)節(jié)點(diǎn)更小，因此，網(wǎng)絡(luò)抗DOS攻擊的能力應(yīng)包括網(wǎng)關(guān)節(jié)點(diǎn)和普通節(jié)點(diǎn)兩種情況。

傳感網(wǎng)接入互聯(lián)網(wǎng)或其他類型網(wǎng)絡(luò)所帶來的問題不僅僅是傳感網(wǎng)如何對抗外來攻擊的問題，更重要的是如何與外部設(shè)備相互認(rèn)證的問題，而認(rèn)證過程又需要特別考慮傳感網(wǎng)資源的有限性，因此認(rèn)證機(jī)制需要的計(jì)算和通信代價都必須盡可能小。此外，對外部互聯(lián)網(wǎng)來說，其所連接的不同傳感網(wǎng)的數(shù)量可能是一個龐大的數(shù)字，如何區(qū)分這些傳感網(wǎng)及其內(nèi)部節(jié)點(diǎn)，有效地識別它們，是安全機(jī)制能夠建立的前提。

針對上述的挑戰(zhàn)，感知層的安全需求可以總結(jié)為如下幾點(diǎn)：

（1）機(jī)密性：多數(shù)傳感網(wǎng)內(nèi)部不需要認(rèn)證和密鑰管理，如統(tǒng)一部署的共享一個密鑰的傳感網(wǎng)。（2）密鑰協(xié)商：部分傳感網(wǎng)內(nèi)部節(jié)點(diǎn)進(jìn)行數(shù)據(jù)傳輸前需要預(yù)先協(xié)商會話密鑰。（3）節(jié)點(diǎn)認(rèn)證：個別傳感網(wǎng)（特別當(dāng)傳感數(shù)據(jù)共享時）需要節(jié)點(diǎn)認(rèn)證，確保非法節(jié)點(diǎn)不能接入。 （4）信譽(yù)評估：一些重要傳感網(wǎng)需要對可能被敵手控制的節(jié)點(diǎn)行為進(jìn)行評估，以降低敵手入侵后的危害（某種程度上相當(dāng)于入侵檢測）。 （5）安全路由：幾乎所有傳感網(wǎng)內(nèi)部都需要不同的安全路由技術(shù)。（什么叫安全路由？）

1.2 感知層的安全架構(gòu)

了解了傳感網(wǎng)的安全威脅，就容易建立合理的安全架構(gòu)。在傳感網(wǎng)內(nèi)部，需要有效的密鑰管理機(jī)制，用于保障傳感網(wǎng)內(nèi)部通信的安全。傳感網(wǎng)內(nèi)部的安全路由、聯(lián)通性解決方案等都可以相對獨(dú)立地使用。由于傳感網(wǎng)類型的多樣性，很難統(tǒng)一要求有哪些安全服務(wù)，但機(jī)密性和認(rèn)證性都是必要的。機(jī)密性需要在通信時建立一個臨時會話密鑰，而認(rèn)證性可以通過對稱密碼或非對稱密碼方案解決。使用對稱密碼的認(rèn)證方案需要預(yù)置節(jié)點(diǎn)間的共享密鑰，在效率上也比較高，消耗網(wǎng)絡(luò)節(jié)點(diǎn)的資源較少，許多傳感網(wǎng)都選用此方案；而使用非對稱密碼技術(shù)的傳感網(wǎng)一般具有較好的計(jì)算和通信能力，并且對安全性要求更高。在認(rèn)證的基礎(chǔ)上完成密鑰協(xié)商是建立會話密鑰的必要步驟。安全路由和入侵檢測等也是傳感網(wǎng)應(yīng)具有的性能。

由于傳感網(wǎng)的安全一般不涉及其他網(wǎng)路的安全，因此是相對較獨(dú)立的問題，有些已有的安全解決方案在物聯(lián)網(wǎng)環(huán)境中也同樣適用。但由于物聯(lián)網(wǎng)環(huán)境中傳感網(wǎng)遭受外部攻擊的機(jī)會增大，因此用于獨(dú)立傳感網(wǎng)的傳統(tǒng)安全解決方案需要提升安全等級后才能使用，也就是說在安全的要求上更高，這僅僅是量的要求，沒有質(zhì)的變化。相應(yīng)地，傳感網(wǎng)的安全需求所涉及的密碼技術(shù)包括輕量級密碼算法、輕量級密碼協(xié)議、可設(shè)定安全等級的密碼技術(shù)等。

2 傳輸層的安全需求和安全框架

物聯(lián)網(wǎng)的傳輸層主要用于把感知層收集到的信息安全可靠地傳輸?shù)叫畔⑻幚韺?，然后根?jù)不同的應(yīng)用需求進(jìn)行信息處理，即傳輸層主要是網(wǎng)絡(luò)基礎(chǔ)設(shè)施，包括互聯(lián)網(wǎng)、移動網(wǎng)和一些專業(yè)網(wǎng)（如國家電力專用網(wǎng)、廣播電視網(wǎng)）等。在信息傳輸過程中，可能經(jīng)過一個或多個不同架構(gòu)的網(wǎng)絡(luò)進(jìn)行信息交接。例如，普通電話座機(jī)與手機(jī)之間的通話就是一個典型的跨網(wǎng)絡(luò)架構(gòu)的信息傳輸實(shí)例。在信息傳輸過程中跨網(wǎng)絡(luò)傳輸是很正常的，在物聯(lián)網(wǎng)環(huán)境中這一現(xiàn)象更突出，而且很可能在正常而普通的事件中產(chǎn)生信息安全隱患。

2.1 傳輸層的安全挑戰(zhàn)和安全需求

網(wǎng)絡(luò)環(huán)境目前遇到前所未有的安全挑戰(zhàn)，而物聯(lián)網(wǎng)傳輸層所處的網(wǎng)絡(luò)環(huán)境也存在安全挑戰(zhàn)，甚至是更高的挑戰(zhàn)。同時，由于不同架構(gòu)的網(wǎng)絡(luò)需要相互連通，因此在跨網(wǎng)絡(luò)架構(gòu)的安全認(rèn)證等方面會面臨更大挑戰(zhàn)。初步分析認(rèn)為，物聯(lián)網(wǎng)傳輸層將會遇到下列安全挑戰(zhàn)。

（1）DOS攻擊、DDOS攻擊；（2）假冒攻擊、中間人攻擊等；（3）跨異構(gòu)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊。

在物聯(lián)網(wǎng)發(fā)展過程中，目前的互聯(lián)網(wǎng)或者下一代互聯(lián)網(wǎng)將是物聯(lián)網(wǎng)傳輸層的核心載體，多數(shù)信息要經(jīng)過互聯(lián)網(wǎng)傳輸?；ヂ?lián)網(wǎng)遇到的DOS和分布式拒絕服務(wù)攻擊（DDOS）仍然存在，因此需要有更好的防范措施和災(zāi)難恢復(fù)機(jī)制?？紤]到物聯(lián)網(wǎng)所連接的終端設(shè)備性能和對網(wǎng)絡(luò)需求的巨大差異，對網(wǎng)絡(luò)攻擊的防護(hù)能力也會有很大差別，因此很難設(shè)計(jì)通用的安全方案，而應(yīng)針對不同網(wǎng)絡(luò)性能和網(wǎng)絡(luò)需求有不同的防范措施。 在傳輸層，異構(gòu)網(wǎng)絡(luò)的信息交換將成為安全性的脆弱點(diǎn)，特別在網(wǎng)絡(luò)認(rèn)證方面，難免存在中間人攻擊和其他類型的攻擊（如異步攻擊、合謀攻擊等）。這些攻擊都需要有更高的安全防護(hù)措施。

如果僅考慮互聯(lián)網(wǎng)和移動網(wǎng)以及其他一些專用網(wǎng)絡(luò)，則物聯(lián)網(wǎng)傳輸層對安全的需求可以概括為以下幾點(diǎn)：

（1）數(shù)據(jù)機(jī)密性：需要保證數(shù)據(jù)在傳輸過程中不泄露其內(nèi)容；（2）數(shù)據(jù)完整性：需要保證數(shù)據(jù)在傳輸過程中不被非法篡改，或非法篡改的數(shù)據(jù)容易被檢測出；（3）數(shù)據(jù)流機(jī)密性：某些應(yīng)用場景需要對數(shù)據(jù)流量信息進(jìn)行保密，目前只能提供有限的數(shù)據(jù)流機(jī)密性；（4）DDOS攻擊的檢測與預(yù)防：DDOS攻擊是網(wǎng)絡(luò)中最常見的攻擊現(xiàn)象，在物聯(lián)網(wǎng)中將會更突出。物聯(lián)網(wǎng)中需要解決的問題還包括如何對脆弱節(jié)點(diǎn)的DDOS攻擊進(jìn)行防護(hù)；（5）移動網(wǎng)中認(rèn)證與密鑰協(xié)商（AKA）機(jī)制的一致性或兼容性、跨域認(rèn)證和跨網(wǎng)絡(luò)認(rèn)證（基于IMSI）：不同無線網(wǎng)絡(luò)所使用的不同AKA機(jī)制對跨網(wǎng)認(rèn)證帶來不利。這一問題亟待解決。

2.2 傳輸層的安全架構(gòu)

傳輸層的安全機(jī)制可分為端到端機(jī)密性和節(jié)點(diǎn)到節(jié)點(diǎn)機(jī)密性。對于端到端機(jī)密性，需要建立如下安全機(jī)制：端到端認(rèn)證機(jī)制、端到端密鑰協(xié)商機(jī)制、密鑰管理機(jī)制和機(jī)密性算法選取機(jī)制等。在這些安全機(jī)制中，根據(jù)需要可以增加數(shù)據(jù)完整性服務(wù)。對于節(jié)點(diǎn)到節(jié)點(diǎn)機(jī)密性，需要節(jié)點(diǎn)間的認(rèn)證和密鑰協(xié)商協(xié)議，這類協(xié)議要重點(diǎn)考慮效率因素。機(jī)密性算法的選取和數(shù)據(jù)完整性服務(wù)則可以根據(jù)需求選取或省略?？紤]到跨網(wǎng)絡(luò)架構(gòu)的安全需求，需要建立不同網(wǎng)絡(luò)環(huán)境的認(rèn)證銜接機(jī)制。另外，根據(jù)應(yīng)用層的不同需求，網(wǎng)絡(luò)傳輸模式可能區(qū)分為單播通信、組播通信和廣播通信，針對不同類型的通信模式也應(yīng)該有相應(yīng)的認(rèn)證機(jī)制和機(jī)密性保護(hù)機(jī)制。簡言之，傳輸層的安全架構(gòu)主要包括如下幾個方面：

（1）節(jié)點(diǎn)認(rèn)證、數(shù)據(jù)機(jī)密性、完整性、數(shù)據(jù)流機(jī)密性、DDOS攻擊的檢測與預(yù)防；（2）移動網(wǎng)中AKA機(jī)制的一致性或兼容性、跨域認(rèn)證和跨網(wǎng)絡(luò)認(rèn)證（基于IMSI）；（3）相應(yīng)密碼技術(shù)。密鑰管理（密鑰基礎(chǔ)設(shè)施PKI和密鑰協(xié)商）、端對端加密和節(jié)點(diǎn)對節(jié)點(diǎn)加密、密碼算法和協(xié)議等；（4）組播和廣播通信的認(rèn)證性、機(jī)密性和完整性安全機(jī)制。

3 處理層的安全需求和安全框架

處理層是信息到達(dá)智能處理平臺的處理過程，包括如何從網(wǎng)絡(luò)中接收信息。在從網(wǎng)絡(luò)中接收信息的過程中，需要判斷哪些信息是真正有用的信息，哪些是垃圾信息甚至是惡意信息。在來自于網(wǎng)絡(luò)的信息中，有些屬于一般性數(shù)據(jù)，用于某些應(yīng)用過程的輸入，而有些可能是操作指令。在這些操作指令中，又有一些可能是多種原因造成的錯誤指令（如指令發(fā)出者的操作失誤、網(wǎng)絡(luò)傳輸錯誤、得到惡意修改等），或者是攻擊者的惡意指令。如何通過密碼技術(shù)等手段甄別出真正有用的信息，又如何識別并有效防范惡意信息和指令帶來的威脅是物聯(lián)網(wǎng)處理層的重大安全挑戰(zhàn)。

3.1 處理層的安全挑戰(zhàn)和安全需求

物聯(lián)網(wǎng)處理層的重要特征是智能，智能的技術(shù)實(shí)現(xiàn)少不了自動處理技術(shù)，其目的是使處理過程方便迅速，而非智能的處理手段可能無法應(yīng)對海量數(shù)據(jù)。但自動過程對惡意數(shù)據(jù)特別是惡意指令信息的判斷能力是有限的，而智能也僅限于按照一定規(guī)則進(jìn)行過濾和判斷，攻擊者很容易避開這些規(guī)則，正如垃圾郵件過濾一樣，這么多年來一直是一個棘手的問題。因此處理層的安全挑戰(zhàn)包括如下幾個方面：

（1）來自于超大量終端的海量數(shù)據(jù)的識別和處理；（2）智能變?yōu)榈湍?；?）自動變?yōu)槭Э兀煽匦允切畔踩闹匾笜?biāo)之一）； （4）災(zāi)難控制和恢復(fù)；（5）非法人為干預(yù)（內(nèi)部攻擊）；（6）設(shè)備（特別是移動設(shè)備）的丟失。

物聯(lián)網(wǎng)時代需要處理的信息是海量的，需要處理的平臺也是分布式的。當(dāng)不同性質(zhì)的數(shù)據(jù)通過一個處理平臺處理時，該平臺需要多個功能各異的處理平臺協(xié)同處理。但首先應(yīng)該知道將哪些數(shù)據(jù)分配到哪個處理平臺，因此數(shù)據(jù)類別分類是必須的。同時，安全的要求使得許多信息都是以加密形式存在的，因此如何快速有效地處理海量加密數(shù)據(jù)是智能處理階段遇到的一個重大挑戰(zhàn)。

計(jì)算技術(shù)的智能處理過程較人類的智力來說還是有本質(zhì)的區(qū)別，但計(jì)算機(jī)的智能判斷在速度上是人類智力判斷所無法比擬的，由此，期望物聯(lián)網(wǎng)環(huán)境的智能處理在智能水平上不斷提高，而且不能用人的智力去代替。也就是說，只要智能處理過程存在，就可能讓攻擊者有機(jī)會躲過智能處理過程的識別和過濾，從而達(dá)到攻擊目的。在這種情況下，智能與低能相當(dāng)。因此，物聯(lián)網(wǎng)的傳輸層需要高智能的處理機(jī)制。

如果智能水平很高，那么可以有效識別并自動處理惡意數(shù)據(jù)和指令。但再好的智能也存在失誤的情況，特別在物聯(lián)網(wǎng)環(huán)境中，即使失誤概率非常小，因?yàn)樽詣犹幚磉^程的數(shù)據(jù)量非常龐大，因此失誤的情況還是很多。在處理發(fā)生失誤而使攻擊者攻擊成功后，如何將攻擊所造成的損失降低到最小程度，并盡快從災(zāi)難中恢復(fù)到正常工作狀態(tài)，是物聯(lián)網(wǎng)智能處理層的另一重要問題，也是一個重大挑戰(zhàn)，因?yàn)樵诩夹g(shù)上沒有最好，只有更好。

智能處理層雖然使用智能的自動處理手段，但還是允許人為干預(yù)，而且是必須的。人為干預(yù)可能發(fā)生在智能處理過程無法做出正確判斷的時候，也可能發(fā)生在智能處理過程有關(guān)鍵中間結(jié)果或最終結(jié)果的時候，還可能發(fā)生在其他任何原因而需要人為干預(yù)的時候。人為干預(yù)的目的是為了處理層更好地工作，但也有例外，那就是實(shí)施人為干預(yù)的人試圖實(shí)施惡意行為時。來自于人的惡意行為具有很大的不可預(yù)測性，防范措施除了技術(shù)輔助手段外，更多地需要依靠管理手段。因此，物聯(lián)網(wǎng)處理層的信息保障還需要科學(xué)管理手段。

智能處理平臺的大小不同，大的可以是高性能工作站，小的可以是移動設(shè)備，如手機(jī)等。工作站的威脅是內(nèi)部人員惡意操作，而移動設(shè)備的一個重大威脅是丟失。由于移動設(shè)備不僅是信息處理平臺，而且其本身通常攜帶大量重要機(jī)密信息，因此，如何降低作為處理平臺的移動設(shè)備丟失所造成的損失是重要的安全挑戰(zhàn)之一。

3.2 處理層的安全架構(gòu)

為了滿足物聯(lián)網(wǎng)智能處理層的基本安全需求，需要如下的安全機(jī)制。

（1）可靠的認(rèn)證機(jī)制和密鑰管理方案；（2）高強(qiáng)度數(shù)據(jù)機(jī)密性和完整性服務(wù)；（3）可靠的密鑰管理機(jī)制，包括PKI和對稱密鑰的有機(jī)結(jié)合機(jī)制；（4）可靠的高智能處理手段；（5）入侵檢測和病毒檢測；（6）惡意指令分析和預(yù)防，訪問控制及災(zāi)難恢復(fù)機(jī)制；（7）保密日志跟蹤和行為分析，惡意行為模型的建立；（8）密文查詢、秘密數(shù)據(jù)挖掘、安全多方計(jì)算、安全云計(jì)算技術(shù)等；（9）移動設(shè)備文件（包括秘密文件）的可備份和恢復(fù)；（10）移動設(shè)備識別、定位和追蹤機(jī)制。

4 應(yīng)用層的安全需求和安全框架

應(yīng)用層設(shè)計(jì)的是綜合的或有個體特性的具體應(yīng)用業(yè)務(wù)，它所涉及的某些安全問題通過前面幾個邏輯層的安全解決方案可能仍然無法解決。在這些問題中，隱私保護(hù)就是典型的一種。無論感知層、傳輸層還是處理層，都不涉及隱私保護(hù)的問題，但它卻是一些特殊應(yīng)用場景的實(shí)際需求，即應(yīng)用層的特殊安全需求。物聯(lián)網(wǎng)的數(shù)據(jù)共享有多種情況，涉及到不同權(quán)限的數(shù)據(jù)訪問。此外，在應(yīng)用層還將涉及到知識產(chǎn)權(quán)保護(hù)、計(jì)算機(jī)取證、計(jì)算機(jī)數(shù)據(jù)銷毀等安全需求和相應(yīng)技術(shù)。

4.1 應(yīng)用層的安全挑戰(zhàn)和安全需求

應(yīng)用層的安全挑戰(zhàn)和安全需求主要來自于下述幾個方面：

（1）如何根據(jù)不同訪問權(quán)限對同一數(shù)據(jù)庫內(nèi)容進(jìn)行篩選；（2）如何提供用戶隱私信息保護(hù)，同時又能正確認(rèn)證；（3）如何解決信息泄露追蹤問題；（4）如何進(jìn)行計(jì)算機(jī)取證；（5）如何銷毀計(jì)算機(jī)數(shù)據(jù)；（6）如何保護(hù)電子產(chǎn)品和軟件的知識產(chǎn)權(quán)。 由于物聯(lián)網(wǎng)需要根據(jù)不同應(yīng)用需求對共享數(shù)據(jù)分配不同的訪問權(quán)限，而且不同權(quán)限訪問同一數(shù)據(jù)可能得到不同的結(jié)果。例如，道路交通監(jiān)控視頻數(shù)據(jù)在用于城市規(guī)劃時只需要很低的分辨率即可，因?yàn)槌鞘幸?guī)劃需要的是交通堵塞的大概情況；當(dāng)用于交通管制時就需要清晰一些，因?yàn)樾枰澜煌▽?shí)際情況，以便能及時發(fā)現(xiàn)哪里發(fā)生了交通事故，以及交通事故的基本情況等；當(dāng)用于公安偵查時可能需要更清晰的圖像，以便能準(zhǔn)確識別汽車牌照等信息。因此如何以安全方式處理信息是應(yīng)用中的一項(xiàng)挑戰(zhàn)。

隨著個人和商業(yè)信息的網(wǎng)絡(luò)化，越來越多的信息被認(rèn)為是用戶隱私信息。需要隱私保護(hù)的應(yīng)用至少包括如下幾種：

（1）移動用戶既需要知道（或被合法知道）其位置信息，又不愿意非法用戶獲取該信息；（2）用戶既需要證明自己合法使用某種業(yè)務(wù)，又不想讓他人知道自己在使用某種業(yè)務(wù)，如在線游戲；（3）病人急救時需要及時獲得該病人的電子病歷信息，但又要保護(hù)該病歷信息不被非法獲取，包括病歷數(shù)據(jù)管理員。事實(shí)上，電子病歷數(shù)據(jù)庫的管理人員可能有機(jī)會獲得電子病歷的內(nèi)容，但隱私保護(hù)采用某種管理和技術(shù)手段使病歷內(nèi)容與病人身份信息在電子病歷數(shù)據(jù)庫中無關(guān)聯(lián)；（4）許多業(yè)務(wù)需要匿名性，如網(wǎng)絡(luò)投票。很多情況下，用戶信息是認(rèn)證過程的必須信息，如何對這些信息提供隱私保護(hù)，是一個具有挑戰(zhàn)性的問題，但又是必須要解決的問題。例如，醫(yī)療病歷的管理系統(tǒng)需要病人的相關(guān)信息來獲取正確的病歷數(shù)據(jù)，但又要避免該病歷數(shù)據(jù)跟病人的身份信息相關(guān)聯(lián)。在應(yīng)用過程中，主治醫(yī)生知道病人的病歷數(shù)據(jù)，這種情況下對隱私信息的保護(hù)具有一定困難性，但可以通過密碼技術(shù)手段掌握醫(yī)生泄露病人病歷信息的證據(jù)。

在使用互聯(lián)網(wǎng)的商業(yè)活動中，特別是在物聯(lián)網(wǎng)環(huán)境的商業(yè)活動中，無論采取了什么技術(shù)措施，都難免惡意行為的發(fā)生。如果能根據(jù)惡意行為所造成后果的嚴(yán)重程度給予相應(yīng)的懲罰，那么就可以減少惡意行為的發(fā)生。技術(shù)上，這需要搜集相關(guān)證據(jù)。因此，計(jì)算機(jī)取證就顯得非常重要，當(dāng)然這有一定的技術(shù)難度，主要是因?yàn)橛?jì)算機(jī)平臺種類太多，包括多種計(jì)算機(jī)操作系統(tǒng)、虛擬操作系統(tǒng)、移動設(shè)備操作系統(tǒng)等。與計(jì)算機(jī)取證相對應(yīng)的是數(shù)據(jù)銷毀。數(shù)據(jù)銷毀的目的是銷毀那些在密碼算法或密碼協(xié)議實(shí)施過程中所產(chǎn)生的臨時中間變量，一旦密碼算法或密碼協(xié)議實(shí)施完畢，這些中間變量將不再有用。但這些中間變量如果落入攻擊者手里，可能為攻擊者提供重要的參數(shù)，從而增大成功攻擊的可能性。因此，這些臨時中間變量需要及時安全地從計(jì)算機(jī)內(nèi)存和存儲單元中刪除。計(jì)算機(jī)數(shù)據(jù)銷毀技術(shù)不可避免地會被計(jì)算機(jī)犯罪提供證據(jù)銷毀工具，從而增大計(jì)算機(jī)取證的難度。因此如何處理好計(jì)算機(jī)取證和計(jì)算機(jī)數(shù)據(jù)銷毀這對矛盾是一項(xiàng)具有挑戰(zhàn)性的技術(shù)難題，也是物聯(lián)網(wǎng)應(yīng)用中需要解決的問題。

物聯(lián)網(wǎng)的主要市場將是商業(yè)應(yīng)用，在商業(yè)應(yīng)用中存在大量需要保護(hù)的知識產(chǎn)權(quán)產(chǎn)品，包括電子產(chǎn)品和軟件等。在物聯(lián)網(wǎng)的應(yīng)用中，對電子產(chǎn)品的知識產(chǎn)權(quán)保護(hù)將會提高到一個新的高度，對應(yīng)的技術(shù)要求也是一項(xiàng)新的挑戰(zhàn)。

4.2 應(yīng)用層的安全架構(gòu)

基于物聯(lián)網(wǎng)綜合應(yīng)用層的安全挑戰(zhàn)和安全需求，需要如下的安全機(jī)制：

（1）有效的數(shù)據(jù)庫訪問控制和內(nèi)容篩選機(jī)制；（2）不同場景的隱私信息保護(hù)技術(shù)；（3）叛逆追蹤和其他信息泄露追蹤機(jī)制；（4）有效的計(jì)算機(jī)取證技術(shù)；（5）安全的計(jì)算機(jī)數(shù)據(jù)銷毀技術(shù)；（6）安全的電子產(chǎn)品和軟件的知識產(chǎn)權(quán)保護(hù)技術(shù)。

【返回列表】