未来智讯 > 物联网论文 > 浅析物联网平安

浅析物联网平安

发布时间:2018-12-27 01:06:07 文章来源:未来智讯    
    浅析物联网平安作者:未知   摘要:随着物联网逐步被人们认识和应用,它将人和周围物品联系起来,使物品成为网络中的一份子,并给人们带来诸多便利。但是,在享受物联网带给人类们便利的同时,物联网在信息平安方面也存在一定的局限性。本文通过对物联网的基本观念及原理,平安尺度和特有平安问题进行阐述分析,提出物联网平安中间件的体系架构,从而对物联网平安方面的建设积极建言。
  关键词:物联网;平安;中间件;体系架构
  中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)11-2528-03
  Brief Introduction of M2M Security
  SONG Yong-guo
  (IT Department of Lucent Technologies Qingdao Telecommunications Systems, Ltd. Qingdao 266101, China)
  Abstract: With gradual recognition and application of Internet of things, people and items around are being linked, so that goods are becoming part of the network and much convenience are being brought to people. However, while we enjoy the convenience, there exists some limitations on information security. This article elaborates the basic concepts, principles, safety standards, and the specific issues about Internet of things and brings forward the system architecture of security middleware of Internet of things, so as to provide positive suggestions to contribute to the security construction for it.
  Key words: internet of things; security; middleware; system architecture
  物联网家当的热潮正在席卷全球,它被誉为继计算机、互联网、移动通讯网之后的又一次信息家当浪潮。早在1999年,物联网(The Internet of things)的观念就被提出来,它是指通过射频识别(RFID)、红外感应器、全球定位系统、激光扫描器等信息传感设备,按约定的协议,把物品与互联网连接起来,进行信息交换和通信,以实现智能化识别、定位、跟踪、监控和管理的一种网络。2005年,在突尼斯举行世界峰会上,国际电信联盟(ITU) 给出了物联网的定义 , 物联网主要解决物品到物品 (Thing to Thing, T2T), 人到物品 (Human to Thing, H2T), 人到人 (Human to Human, H2H) 之间的互连。
  中国高度重视物联网的发展,2009年8月7日,温家宝视察无锡并指示,要迅速在无锡建立中国的“感知中国”中心;同年底,国务院正式批复,在无锡建设国家传感网创新示范区方案;2010年1月4日,无锡物联网家当研讨院揭牌成立,这是继中国物联网发展研讨中心之后,在国家传感网创新示范区内建设的又一重要战略平台。政府和社会对物联网发展的重视再次成为家当发展创新的强烈指向信号。
  物联网用途广泛,遍及智能家居、智能交通、智能消防、环境保护、公共平安、工业监测、个人健康等多个领域。就目前来看,行业应用将成为未来几年物联网家当发展的主要动力。在政府的大力扶持下,物联网家当发展机会巨大,市场前景辽阔。但是,和互联网一样,物联网让一切变得更加智能化的同时,也更加危险,特别是当这个网络由别人掌控。这也意味着,在规模化推广之前,平安问题是必须解决的一个重要环节。
  为了增强平安性,在物联网的三层基本结构的基础上,增加了密码服务、认证服务等平安机制。传统的网络中,网络层的平安和业务层的平安是相互独立的,而物联网的特殊平安问题很大一局部是由于物联网是在现有移动网络基础上集成了感知网络和应用平台带来的,因此,移动网络中的大局部机制仍然能够适用于物联网并可以提供一定的平安性,如认证机制、加密机制等。但还是需要根据物联网的特征对平安机制进行调整和补充。目前,物联网的发展还是初级阶段,更多的时候不过一个观念。本文将分析物联网平安方面存在的问题,进而提出物联网平安中间件的架构,为物联网平安方面的设计提供参考。
  1 物联网的相关问题
  1.1 物联网架构
  能够将物联网分为四个局部,包括感知层、网络层、应用层和公共技能,如图1所示。
  1) 感知层―识别物体,信息采集:感知层包括二维码、RFID读写器、摄像头、GPS、传感器网络等,主要用于采集现实世界中发生的事件和数据。
  2) 网络层―信息传递和处理:网络层需要传感器网络与移动通讯技能、互联网技能相融合,实现广泛的互连功能,把感知到的信息平安高效的传递到应用层。
  3) 应用层―与行业需求联合,实现广泛智能化:应用层主要包含应用支撑平台子层和应用服务子层。其中应用支撑平台子层用于支撑跨行业、跨应用、跨系统之间的信息协同、共享、互通的功能。应用服务子层包括工业监控、公共平安、城市管理、远程医疗、智能交通、智能家居等行业应用。应用层是物联网与行业的深度融合,与行业需求联合,实现智能化。
  4) 公共技能―优化服务:公共技能不属于物联网技能的某个特定层面,然而与物联网技能架构的三层都有关系,它包括标识与解析、平安技能、网络管理和服务质量(QoS)管理。
  1.2 物联网信息平安
  1.2.1 平安尺度
  物联网系统的平安主要有八个尺度:读取抑制、隐私保护、用户认证、不可狡辩性、数据保密性、通讯层平安、数据完整性、随时可用性。其中前4项主要处在物联网架构的应用层,后4项主要位于网络层和感知层。参照以上的八个平安尺度,我们能够发现,现有的平安体系基本上能够满足物联网的应用需要,尤其是在初级和中级发展阶段。
  “隐私权”和“可信度”(数据完整性和保密性)问题在物联网系统中尤其受关注。最初个人数据的隐私保护是当今的互联网平安的一个不变的优先度相当高的话题,所以物联网如果想要发展,就必须面临使普通用户如何避免风险这个问题。平安尺度的一个重要基础标准便是如何避免人们在物联网使用过程当中所承受的风险。其次,物联网是一种虚拟网络与现实世界实时交互的新型系统,其无处不在的数据感知、以无线为主的信息传输、智能化的信息处理所组成的整个过程对于数据完整性和保密性有非常高的依赖性。物联网的发展,是基于海量数据的收集,传输和处理的基础上的,因此“可信度”也是物联网平安尺度的重要标准之一。
  1.2.2 特有平安问题
  由于物联网在多种情况下需要无线传输,无线信号很容易被窃取和干扰,这将直接影响到物联网体系的平安,因此有如下几种特有平安问题。
  1) 感知层本地平安问题―由于物联网应用设备多数情况都部署在无人监守的环境下,抨击者很容易接触到设备,并进行破坏,例如在不知情的情况下,读取信息;用机械手段屏蔽信号让终端无法连接;克隆终端设备,冒名顶替;损坏或盗走终端设备。
  2) 感知网络传输与信息平安问题―感知节点功能大略,能量有限,无法拥有复杂的平安保护能力,使得信息可能被中途截取。
  3) 核心网络传输和信息平安问题―核心网络具有相对完整的保护能力,然而由于物联网中节点数量庞大,大量节点发送数据使网络拥塞,产生拒绝服务抨击。
  物联网还可能带来许多个人隐私泄露。在未来的物联网中,每个人包括每件拥有的物品都将随时随地连接在这个网络上,随时随地被感知,在这种环境中如何确保信息的平安性和隐私性,防止个人信息、业务信息丢失或被他人盗用,将是物联网推进过程中需要突破的重大障碍之一,因此研讨物联网平安中间件十分必要。
  2 物联网平安中间件体系架构
  由于物联网特有的平安问题所致,在硬件层面长进行较复杂的平安保护实现起来相当困难,因此在体系中增加平安中间件便是一种较为易实现的平安策略。平安中间件是一类中间件的技能,它选取许多成熟的中间件技能和平安技能来屏蔽平安的复杂性,如算法复杂性,模块间和模块内部的平安,体系结构平安,基于组件的平安机器效率等等,从而使平安技能真正易用,易普及,将物联网真正实用化。平安中间件是实施平安策略,实现平安服务的基础架构。
  如果物联网的设计没有健全的平安机制,会降低公众对此信任。因此,在物联网中间件的设计之初就要考虑到平安问题,笔者提出了物联网平安中间件的体系架构,如图2所示。
  图2中,在物联网的三层架构中,均增加了平安机制,包括密码服务、认证服务和平安应用。其中,密码服务和认证服务中又包含了各种加密算法和认证方式。省略号表示其他可能有效的平安机制,能够对应投入到该架构中。
  通过在架构中增加平安中间件,屏蔽了平安技能的复杂性,向用户提供统一的平安接口标准,满足各种级别的平安应用需求,能与其他中间件一同无缝地整合于物联网应用平台。平安中间件贯穿于物联网的三层架构中,将信息平安与各个层面中的业务功能分离开来,提供单独的平安验证服务,从而使物联网体系中的平安机制变得更加灵活,能够根据情况的变化满足不同的平安需求。同时,平安中间件能够作为物联网体系中的一个单独模块,由专门的有实力的专业企业或者团队来实现,提供标准接口。这样就能够将信息平安与物联网的业务分离,使专注于物联网的企业不用再为专业的信息平安问题考虑解决方案。
  物联网是一个广大的市场,在其发展过程中,必然会有无数的团体和个人参加进来。由此使信心平安的复杂程度提高到了一个前所未有的高度。平安中间件针对这个问题,将新鲜全问题分离出来,作为物联网三层架构共有的一个中间件。同时,也将从事物联网的团体和个人从信息平安的困惑中解脱出来。按照公共标准制定的平安中间件,将能够投入到物联网的各层架构中,与物联网体系无缝融合在一同。
  2.1 密码服务
  密码服务是整个平安中间件的核心,它以应用密码学为基础,可以实现数据的加密、解密、数字签名和认证等。密码服务是上层认证服务的基础,同时提供了统一的密码服务接口,可以满足特定的平安服务需求。密码服务的底层是一个加密库,主要有以下几个模块。
  1) 随机数算法模块:选取伪随机数序列设计,支持RC4算法,增强伪随机数的平安,同时,为密钥的产生提供保障。
  2) 对称加密算法模块:支持高强度的分组加密算法,且支持各种加密模式,主要用于加密传输的信息,能够使在中途拦截的感知网络传输信息不可用。
  3) 公钥模块:提供了DiffieHellman、RSA和ECC三种可选的系统,是平安认证、数字签名和证书服务的基础。RSA既能用于数据加密也能用于数字签名的算法,对冒名顶替能够有效的识别;ECC算法是计算资源有限移动终端的首选。
  4) 单向Hash算法模块:带有秘密密钥的单向Hash函数又称消息辨别码(MAC),用于消息完整性校验,能够防止消息被窜改。
  密码服务是保障信息平安的基础。通过提供多种算法模块以供用户选择,并且根据所选择的算法生成相应的密码,以求达到最符合当前实际情况的平安认证手段。由于物联网的应用能够取代人来完成一些复杂、危险和机械的事务,所以物联网机器/感知节点多数部署在无人监控的场景中。密码服务将会避免抨击者能够轻易地接触到这些设备,从而对它们造成破坏,甚至通过本地操作更换机器的软硬件。又因为智能传感终端、RFID电子标签相对于传统TCP/IP网络而言是“裸露”在抨击者的眼皮底下的,再加上传输平台是在一定范围内“暴露”在空中的,“窜扰”在传感网络领域显得相当频繁、并且容易。所以,传感器网络中的假冒抨击是一种主动抨击形式,它极大地威胁着传感器节点间的协同事务。通过密码服务明确使用者的身份信息,确认其角色是否能够接受,将能够识别绝大局部的假冒抨击。
  同时,物联网最后将会与如今的互联网一样,深入到世界的每个角落,参与到人们生活得每个细节中。因此,每个人的个人信息,业务信息以及个人物品等等隐私信息都将会连接到物联网上。密码服务从用户方向为物联网的平安性提供了第一层保障。
  密码服务是解决数据保密性和通讯层平安的基础。传统的网络加密机制是逐跳加密,即信息在发送过程中,虽然在传输过程中是加密的,然而需要不时地在每个经过的节点上解密和加密,即在每个节点上都是明文的。而业务层加密机制则是端到端的,即信息只在发送端和接收端才是明文,而在传输的过程和转发节点上都是密文。密码服务能够为以上的两种加密方式提供算法支持。根据不同的平安策略,提供相应的密码服务。
  2.2 认证服务
  认证服务主要完成数据认证的一种机制,确保协议双方数据的可靠性。本架构选取的认证方式有以下几种。
  1) 开放式认证:允许任何物联网设备访问,只要其适合预先设置的标识过滤规定,在认证过程中和认证后的所有通信均以明文方式传输,没有任何加密技能来保护。
  2) 基于共享密钥的认证:它是以WEP算法为基础的共享密钥认证。物联网通信设备间共享同一公共密钥,通过私钥来进行认证。
  3) RADIUS认证:RADIUS (Remote Authentication Dial-In User Service) 远程接入用户认证服务,是基于用户的认证,通过物联网设备唯一的ID标识码作为认证信息来核准或拒绝双方通讯。RADIUS服务器收集用户的认证信息,如用户ID,访问抑制列表等,它能够提供不同的存取级别。在此通信过程中各种信息都是经过加密的。
  4) 扩展认证机制EAP:可扩展认证协议EAP ( Extensible Authentication Protocol) 是PPP( Point - to�CPoint Protocol) 认证中的一个通用协议,它是一种封装协议,它允许高层使用不同的身份认证协议,也可将此应用到物联网的认证中,通过不同的认证身份来实现不同的应用。
  认证服务是让通讯的数据接收方可以确认数据发送方的真实身份,以及数据在传送过程中是否遭到窜改。从物联网的体系结构来看,感知层的认证机制相当有必要。身份认证是确保节点的身份信息,加密机制通过对数据进行编码来保证数据的机密性,以防止数据在传输过程中被窃取,同时通过私钥或公共密钥来进行验证,保证发送方和接收方的数据的一致性和完整性。利用认证服务和技能建立的提供的信息平安服务,是解决信息的真实性、完整性、机密性和不可否认性这一系列问题的技能基础,是物联网环境下保障信息平安的重要方案。

转载请注明来源。原文地址:https://www.7428.cn/page/2018/1227/67434/
 与本篇相关的热门内容: